Analyse de rapport HijackThisFermé

Question

Bonjours,

Voilà plusieurs semaines que je rencontre des problèmes avec mon pc et Windows, je me demande si je ne suis pas infecté. Je vous explique les différents problèmes :

1-	Au démarrage de la machine que ce soit en veille prolongé ou quand elle est éteinte elle se coupe toute seule, elle arrive sur la page de chargement Windows et elle se coupe. Ensuite je la redémarre une bonne dizaine de fois avant que Windows ne se charge.  Elle me fait pareil en mode sans échec.

2-	Mes raccourcis Windows, ainsi que ceux de mes programmes  ne fonctionnent plus, les menu déroulants non plus (pour VLC par exemple je ne peux plus utiliser les différentes touches de lecture, stop, les menus, pour wmp impossible de faire un click droit et d’aller dans les options…), les fichiers accessibles du menu tous les programmes ne se lancent plus, je suis obligé d’aller chercher le point d’exécution directement au point d’installation. 
3-	Quand je clic sur le bureau avec le bouton droit de ma sourie, c’est IE qui apparaît.
De plus je n'utilise que firefox et jamais IE.

4- Je perds régulièrement le curseur de la sourie (la flèche reste sur place et je n'st plus qu'a relancer la machine par le biais du gestionnaire des taches).Quand je clic gauche pour (écrire ce texte par exemple) placer le curseur sur une ligne, la sourie sélectionne le dernier mot de la ligne en surbrillance et je dois pour pouvoir reperdre ma phrase au bon endroit utiliser les flèches du clavier etc etc ...
 
J’ai passé plusieurs fois malwarebytes, spybot, superantispyware, Avira, rien ne se passe ils ne trouvent rien. J’ai utilisé Ccleaner, corrigé les erreurs, fait une analyse etc mais rien ne change.
Je vous poste donc un rapport HijackThis, en espérant obtenir votre aide et pouvoir faire la lumière sur ces disfonctionnements. Je vous remercie.

Cordialement Nouhanda. (Le rapport suit).



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:27, on 12/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Multimedia Mouse Driver\MouseDrv.exe
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: ZMatrix.lnk = C:\Program Files\ZMatrix\matrix.exe
O4 - Global Startup: EasyTune5.lnk = C:\Program Files\Gigabyte\ET5\ET5SC.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{347ADA54-F472-4062-AA7B-A1C502D27827}: NameServer = 192.168.1.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

gen-hackman · Answer

salut manque de precision :

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654 dans la colonne de gauche , mets tout sur "all"

ne modifie pas ceci : 

"files created whithin" et "files modified whithin" 

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Nouhanda · Answer

Bonjours gen-hackman,

Tout d'abord merci pour ta réponse rapide. Tu trouveras les deux rapports sur le site ci-joint dont voici les liens:



http://www.cijoint.fr/cjlink.php?file=cj201003/cijrjtSCoW.txt


http://www.cijoint.fr/cjlink.php?file=cj201003/cijJTS8IwE.txt

J'attends tes autres instructions, encore merci.

Cordialement.

gen-hackman · Answer

&#9654 Télécharge UsbFix

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

&#9654 Double clic sur le raccourci UsbFix présent sur ton bureau .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Nouhanda · Answer

Re,

J'ai effectué le fix comme tu me l'a demandé, voila donc son rapport.
Merci.
Cordialement.



############################## | UsbFix V6.099 |

User : Aknot (Administrateurs) # AKNOT-S
Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:56:31 | 12/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Sunbelt Personal Firewall[ Enabled ]4.5.916 T

C:\ -> Disque fixe local # 13 Go (353,88 Mo free) [System] # NTFS
D:\ -> Disque fixe local # 258,09 Go (7,79 Go free) [Matrice] # NTFS
E:\ -> Disque CD-ROM # 585,1 Mo (0 Mo free) [ROL DISK 1] # CDFS
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM
J:\ -> Disque CD-ROM # 728,68 Mo (0 Mo free) [CDROM] # CDFS
K:\ -> Disque amovible # 7,45 Go (4,87 Go free) [CLEF 8GO] # FAT32
L:\ -> Disque amovible # 7,46 Go (3,31 Go free) [CLÉ HP 8 GO] # FAT32
M:\ -> Disque amovible # 996,31 Mo (284,72 Mo free) [CLEF 1GO] # FAT32

################## | Elements infectieux |

E:\autorun.inf  
J:\autorun.inf  

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\E
Shell\AutoRun\command =E:\autorun.exe 
Shell\directx\command =E:\DirectX9\dxsetup.exe 
Shell\setup\command =E:\install.exe 

HKCU\..\..\Explorer\MountPoints2\F
Shell\AutoRun\command =F:\autorun.exe 

HKCU\..\..\Explorer\MountPoints2\J
Shell\AutoRun\command =J:\Autorun.exe 

HKCU\..\..\Explorer\MountPoints2\{186e7b3a-8243-11db-9296-0016e6624e5b}
Shell\AutoRun\command =J:\Autorun.exe 

HKCU\..\..\Explorer\MountPoints2\{7b6a70a0-8253-11db-9297-0016e6624e5b}
Shell\AutoRun\command =E:\autorun.exe 
Shell\directx\command =E:\DirectX9\dxsetup.exe 
Shell\setup\command =E:\install.exe 

HKCU\..\..\Explorer\MountPoints2\{c57b4bf2-6649-11de-94c4-0050fcc4c1af}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.099 ! |

gen-hackman · Answer

&#9654  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#9654 Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

&#9654 Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

&#9654 Ton bureau disparaitra et le pc redémarrera .

&#9654 Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Nouhanda · Answer

re, 
note que : ################## | Elements infectieux |

E:\autorun.inf  
J:\autorun.inf  

sont des jeux en iso qui ne mon jamais posés de pbs, je les ai depuis perpette, bien avant tout ces pbs...
Cordialement.

gen-hackman · Answer

s'ils sont sur le cd ils ne seront pas supprimés

Nouhanda · Answer

re voila le rapport usbfix.
Est-ce que j'envoie le fichier demandé ?
Cordialement.


############################## | UsbFix V6.099 |

User : Aknot (Administrateurs) # AKNOT-S
Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:18:16 | 12/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Sunbelt Personal Firewall[ Enabled ]4.5.916 T

C:\ -> Disque fixe local # 13 Go (323,79 Mo free) [System] # NTFS
D:\ -> Disque fixe local # 258,09 Go (7,79 Go free) [Matrice] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM
J:\ -> Disque CD-ROM
K:\ -> Disque amovible # 7,45 Go (4,87 Go free) [CLEF 8GO] # FAT32
L:\ -> Disque amovible # 7,46 Go (3,31 Go free) [CLÉ HP 8 GO] # FAT32
M:\ -> Disque amovible # 996,31 Mo (284,72 Mo free) [CLEF 1GO] # FAT32

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-583907252-764733703-839522115-1003 
Supprimé ! C:\Recycler\S-1-5-21-583907252-764733703-839522115-501 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-3445750846-2134903021-918043217-1000 
Supprimé ! D:\Recycler\S-1-5-18 
Supprimé ! D:\Recycler\S-1-5-21-1177238915-1078145449-839522115-1002 
Supprimé ! D:\Recycler\S-1-5-21-2025429265-343818398-839522115-1003 
Supprimé ! D:\Recycler\S-1-5-21-3712253463-1385396167-4086295670-500 
Supprimé ! D:\Recycler\S-1-5-21-583907252-764733703-839522115-1003 
Supprimé ! D:\Recycler\S-1-5-21-583907252-764733703-839522115-501 
Supprimé ! D:\Recycler\S-1-5-21-606747145-527237240-725345543-1004 
Supprimé ! D:\Recycler\S-1-5-21-725345543-1343024091-682003330-1003 
Supprimé ! D:\Recycler\S-1-5-21-790525478-854245398-839522115-1002 

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\F\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\J\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{c57b4bf2-6649-11de-94c4-0050fcc4c1af}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[02/12/2006 18:27|--a------|0] C:\AUTOEXEC.BAT 
[02/06/2009 18:26|-rahs----|282] C:\boot.ini 
[28/09/2001 13:00|-rahs----|4952] C:\Bootfont.bin 
[02/12/2006 18:27|--a------|0] C:\CONFIG.SYS 
[?|?|?] C:\hiberfil.sys 
[02/12/2006 18:27|-rahs----|0] C:\IO.SYS 
[02/12/2006 18:27|-rahs----|0] C:\MSDOS.SYS 
[03/08/2004 22:38|-rahs----|47564] C:\NTDETECT.COM 
[17/10/2008 20:55|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[20/04/2008 00:52|--ahs----|7168] C:\Thumbs.db 
[12/03/2010 16:26|--a------|2933] C:\UsbFix.txt 
[06/09/2009 10:34|--a------|373955018] M:\Dexter.S01E01.FRENCH.HDTV.XviD-JMT.avi 
[06/09/2009 07:29|--a------|372190536] M:\Dexter.S01E02.FRENCH.HDTV.XviD-JMT.avi 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# K:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# L:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# M:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_AKNOT-S.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.099 ! |

gen-hackman · Answer

oui envoie le ficher demandé sur la page internet qui s'est ouverte 

rappel :

https://www.ionos.fr/?affiliate_id=77097

Nouhanda · Answer

re, c'est fait, le fichier zip est envoyé (j'espère que cela pourra les aider).

Je reste à ta disposition pour la suite de la désinfection.

Cordialement.

Nouhanda · Answer

re, c'est fait le fichier zip est envoyé.

Je reste à ta disposition pour la suite de la désinfection.

Cordialement.

Nouhanda · Answer

Bonjours gen-hackman,

Merci pour tes bon conseils et les réponses rapides. Je suis à ta disposition pour la suite.
Cordialement.

Nouhanda · Answer

Bonjours, y a t'il quelqu'un pour prendre la suite ?

Merci beaucoup.
Cordialement.

Nouhanda · Answer

Re,
Désolé je dois partir, laissé moi des instruction pour la suite, je les exécuteraient ce soir à mon retour.
Merci.
Cordialement.

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Nouhanda · Answer

Bonjours gen-hackman,

J'ai fait partir le fix list_killthem à 13h il est maintenant 19h et il reste bloquer depuis 6h donc sur :

HkCU\software\microsoft\Windows\Curentversion\run\eggs joy math type.

Que dosi-je faire ?????? Il ne m'a même pas généré le rapport catch me.
Évidemment le scan n'est pas fini.
Cordialement.

gen-hackman · Answer

hello tu as tout bien desactivé les protections ?

Nouhanda · Answer

Re, gen hackman, oui kerio, tea timer, et avira ont été désactivé comme tu me l'as demandé.

gen-hackman · Answer

bah ton pc doit pas etre tout jeune alors ^^

Nouhanda · Answer

il a 3 ans, proco dual core

gen-hackman · Answer

bizarre.....

Nouhanda · Answer

Amd Athlon 64 x 2 dual core processor 4400+ 2021ghz 896 mo de ram

Nouhanda · Answer

re, amd athlon 64 x 2 dual core pocessor 4400+ 2.21 Ghz 896 mo de Ram

gen-hackman · Answer

pas assez de RAM

Nouhanda · Answer

RE, donc c'est quoi la suite ??? parce que là je ne vois pas...
Merci.

gen-hackman · Answer

le scan tourne toujours ?

Nouhanda · Answer

yes, pas de changement au niveau de la progression...

gen-hackman · Answer

bah faut laisser finir quoi qu'il en soit pour avoir un diagnostic

Nouhanda · Answer

ok, j'attends alors.
Merci, je te tiens au courant, pour la fin du scan..
merci.
Cordialement.

gen-hackman · Answer

pas de soucis

Nouhanda · Answer

Bonjour gen-hackman, voilà un peu les nouvelles.

J'ai fais tourné ton fix list_kill'em pendant 2 jours et 3 nuits et il se bloque toujours. Je l'ai relancé plusieurs fois et j'ai pu remarquer qu'il ne se bloquait pas aux même endroits. Je l'ai fait repartir hier soir et stoppé il y a environ 30 minutes car toujours pas de changement. Il m'a généré un pseudo rapport que je post ici mais à mon avis rien d'exploitable. Je me retourne donc de nouveau vers toi pour connaître la suite des opérations.
Je te remercie encore une fois pour le temps que tu m'accorde.(une petite question ce fix c'est toi qui la créer il me semble non ?)
Cordialement Nouhanda.



List'em by g3n-h@ckm@n 1.3.2.1

User : Aknot (Administrateurs) 
Update on 10/03/2010 by g3n-h@ckm@n ::::: 17.30
Start at: 23:44:38 | 17/03/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Sunbelt Personal Firewall[ Enabled ]4.5.916 T

C:\ -> Disque fixe local | 13 Go (518,41 Mo free) [System] | NTFS
D:\ -> Disque fixe local | 258,09 Go (11,72 Go free) [Matrice] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM
J:\ -> Disque CD-ROM
 
Boot: Normal 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Multimedia Mouse Driver\MouseDrv.exe
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32	askmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\List_Kill'em\FxEx.scr
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\pv.exe

======================
Keys "Run" 
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ctfmon.exe	REG_SZ         	C:\WINDOWS\system32\ctfmon.exe
SUPERAntiSpyware	REG_SZ         	C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
SuperCopier2.exe	REG_SZ         	C:\Program Files\SuperCopier2\SuperCopier2.exe
SpybotSD TeaTimer	REG_SZ         	C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
NvCplDaemon	REG_SZ         	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
SkyTel	REG_SZ         	SkyTel.EXE 
RTHDCPL	REG_SZ         	RTHDCPL.EXE 
nwiz	REG_SZ         	nwiz.exe /install 
NvMediaCenter	REG_SZ         	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
DAEMON Tools	REG_SZ         	"C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 
High Definition Audio Property Page Shortcut	REG_SZ         	HDAShCut.exe 
NeroFilterCheck	REG_SZ         	C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe 
WireLessMouse	REG_SZ         	C:\Program Files\Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe 
LifeCam	REG_SZ         	"C:\Program Files\Microsoft LifeCam\LifeExp.exe" 
VX3000	REG_SZ         	C:\WINDOWS\vVX3000.exe 
avgnt	REG_SZ         	"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
SunJavaUpdateSched	REG_SZ         	"C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" 
Adobe Reader Speed Launcher	REG_SZ         	"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 
Adobe ARM	REG_SZ         	"C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" 
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
dontdisplaylastusername	REG_DWORD      	0 (0x0) 
legalnoticecaption	REG_SZ         	 
legalnoticetext	REG_SZ         	 
shutdownwithoutlogon	REG_DWORD      	1 (0x1) 
undockwithoutlogon	REG_DWORD      	1 (0x1) 
HideLegacyLogonScripts	REG_DWORD      	0 (0x0) 
HideLogoffScripts	REG_DWORD      	0 (0x0) 
RunLogonScriptSync	REG_DWORD      	1 (0x1) 
RunStartupScriptSync	REG_DWORD      	0 (0x0) 
HideStartupScripts	REG_DWORD      	0 (0x0) 

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveTypeAutoRun	REG_DWORD      	255 (0xff) 
NoDriveAutoRun	REG_DWORD      	255 (0xff) 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveAutoRun	REG_DWORD      	255 (0xff) 
NoDriveTypeAutoRun	REG_DWORD      	255 (0xff) 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 

=============== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS	REG_SZ         	

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 AutoRestartShell	REG_DWORD      	1 (0x1) 
 DefaultDomainName	REG_SZ         	AKNOT-S 
 DefaultUserName	REG_SZ         	Aknot 
 LegalNoticeCaption	REG_SZ         	 
 LegalNoticeText	REG_SZ         	 
 PowerdownAfterShutdown	REG_SZ         	0 
 ReportBootOk	REG_SZ         	1 
 Shell	REG_SZ         	explorer.exe 
 ShutdownWithoutLogon	REG_SZ         	0 
 System	REG_SZ         	 
 Userinit	REG_SZ         	C:\WINDOWS\system32\userinit.exe, 
 VmApplet	REG_SZ         	rundll32 shell32,Control_RunDLL "sysdm.cpl" 
 SfcQuota	REG_DWORD      	-1 (0xffffffff) 
 allocatecdroms	REG_SZ         	0 
 allocatedasd	REG_SZ         	0 
 allocatefloppies	REG_SZ         	0 
 cachedlogonscount	REG_SZ         	10 
 forceunlocklogon	REG_DWORD      	0 (0x0) 
 passwordexpirywarning	REG_DWORD      	14 (0xe) 
 scremoveoption	REG_SZ         	0 
 AllowMultipleTSSessions	REG_DWORD      	1 (0x1) 
 UIHost	REG_EXPAND_SZ  	logonui.exe 
 LogonType	REG_DWORD      	1 (0x1) 
 DebugServerCommand	REG_SZ         	no 
 SFCDisable	REG_DWORD      	0 (0x0) 
 WinStationsDisabled	REG_SZ         	0 
 HibernationPreviouslyEnabled	REG_DWORD      	1 (0x1) 
 ShowLogonOptions	REG_DWORD      	0 (0x0) 
 AltDefaultUserName	REG_SZ         	Aknot 
 AltDefaultDomainName	REG_SZ         	AKNOT-S 
 Background	REG_SZ         	0 0 0 
 ChangePasswordUseKerberos	REG_DWORD      	1 (0x1) 
 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\Notify_Disabled 

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\!SASWinLogon]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\dimsntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify	ermsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\wlballoon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972}	REG_SZ         	 
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}	REG_SZ         	 

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
C:\Program Files\eMule\emule.exe	REG_SZ         	C:\Program Files\eMule\emule.exe:*:Enabled:eMule
C:\WINDOWS\system32\dplaysvr.exe	REG_SZ         	C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper
D:\Jeux\Cartes\Jeu de Tarot\Tarot365.exe	REG_SZ         	D:\Jeux\Cartes\Jeu de Tarot\Tarot365.exe:*:Enabled:Application Jeu de Tarot
C:\Program Files\Teamspeak2_RC2\server_windows.exe	REG_SZ         	C:\Program Files\Teamspeak2_RC2\server_windows.exe:*:Enabled:Server
D:\Jeux\FD2\FIRE.EXE	REG_SZ         	D:\Jeux\FD2\FIRE.EXE:*:Enabled:FIRE
D:\Jeux\Rise of Nations	hrones.exe	REG_SZ         	D:\Jeux\Rise of Nations	hrones.exe:*:Enabled:Rise of Nations
D:\Jeux\Rise of Nations\patriots.exe	REG_SZ         	D:\Jeux\Rise of Nations\patriots.exe:*:Enabled:Rise of Nations
C:\Program Files\RealVNC4\winvnc4.exe	REG_SZ         	C:\Program Files\RealVNC4\winvnc4.exe:*:Enabled:VNC Server Free Edition for Win32
C:\Program Files\TYPSoft FTP Server\ftpserv.exe	REG_SZ         	C:\Program Files\TYPSoft FTP Server\ftpserv.exe:*:Enabled:TYPSoft FTP Server
D:\Jeux\Call of duty 2\CoD2MP_s.exe	REG_SZ         	D:\Jeux\Call of duty 2\CoD2MP_s.exe:*:Enabled:CoD2MP_s
D:\Jeux\AOE III\age3.exe	REG_SZ         	D:\Jeux\AOE III\age3.exe:*:Enabled:Age of Empires 3
D:\Jeux\FD3\FD3.exe	REG_SZ         	D:\Jeux\FD3\FD3.exe:*:Enabled:FD3
C:\Program Files\Mozilla Firefox\firefox.exe	REG_SZ         	C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Mozilla Firefox
C:\WINDOWS\system32\sessmgr.exe	REG_SZ         	C:\WINDOWS\system32\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019
C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe	REG_SZ         	C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe:*:Enabled:Assistance à distance - Windows Messenger et voix
%windir%\Network Diagnostic\xpnetdiag.exe	REG_SZ         	%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
C:\Program Files\RealVNC4\vncviewer.exe	REG_SZ         	C:\Program Files\RealVNC4\vncviewer.exe:*:Enabled:VNC Viewer Free Edition for Win32
L:\FramaKey\Data\Jeux\PortableDark-Oberon-1.0.1-US-r03\PortableDark-Oberon\dark-oberon\doberon.exe	REG_SZ         	L:\FramaKey\Data\Jeux\PortableDark-Oberon-1.0.1-US-r03\PortableDark-Oberon\dark-oberon\doberon.exe:*:Enabled:doberon
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe	REG_SZ         	C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe:*:Enabled:Sunbelt Firewall GUI
%windir%\system32\sessmgr.exe	REG_SZ         	%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Program Files\Microsoft LifeCam\LifeCam.exe	REG_SZ         	C:\Program Files\Microsoft LifeCam\LifeCam.exe:*:Enabled:LifeCam.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe	REG_SZ         	C:\Program Files\Microsoft LifeCam\LifeExp.exe:*:Enabled:LifeExp.exe
C:\Program Files\uTorrent\uTorrent.exe	REG_SZ         	C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent
C:\Program Files\Skype\Phone\Skype.exe	REG_SZ         	C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype
C:\Program Files\Windows Live\Messenger\msnmsgr.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe	REG_SZ         	C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe	REG_SZ         	%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
%windir%\Network Diagnostic\xpnetdiag.exe	REG_SZ         	%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
C:\Program Files\Windows Live\Messenger\msnmsgr.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe	REG_SZ         	C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare

===============
ActivX controls
===============
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{C7DB51B4-BCF7-4923-8874-7F1A0DC92277}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]

===============
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{CB58DED6-4AF3-4080-9DF1-DEE72075169F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Microsoft Base Smart Card Crypto Provider Package]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{0526D034-4FAE-6064-951D-4983EC1BF27B}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5056b317-8d4c-43ee-8543-b9d1e234b8f4}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{941051F4-4C46-4658-B8D6-1B5CB73E1B1C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9A394342-4A68-4EBA-85A6-55B559F4E700}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B508B3F1-A24A-32C0-B310-85786919EF28}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-9DB8-56FBECED082D}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EF289A85-8E57-408d-BE47-73B55609861A}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F196AC50-7C95-42E1-9947-BDAB18BF3C8C}]

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]

===
DNS
===

HKLM\SYSTEM\CCS\Services\Tcpip\..\{347ADA54-F472-4062-AA7B-A1C502D27827}: NameServer=192.168.1.2 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9795102F-E1F8-4162-B183-DEF17FAB32B1}: DhcpNameServer=192.168.1.254 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{347ADA54-F472-4062-AA7B-A1C502D27827}: NameServer=192.168.1.2 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9795102F-E1F8-4162-B183-DEF17FAB32B1}: NameServer=212.27.53.252,212.27.54.252 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{347ADA54-F472-4062-AA7B-A1C502D27827}: NameServer=192.168.1.2 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9795102F-E1F8-4162-B183-DEF17FAB32B1}: NameServer=212.27.53.252,212.27.54.252 
HKLM\SYSTEM\CS3\Services\Tcpip\..\{347ADA54-F472-4062-AA7B-A1C502D27827}: NameServer=192.168.1.2 
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9795102F-E1F8-4162-B183-DEF17FAB32B1}: NameServer=212.27.53.252,212.27.54.252 
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254 

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.fr/?gws_rd=ssl

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
SharedAccess : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
## 
95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\Service_Pack_Files\i386\atapi.sys
## 
96512,9f3a2f5aa6875c72bf062c712cfa2674,b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9,C:\WINDOWS\Service_Pack_Files\i386\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\system32\drivers\atapi.sys
## 
96512,9f3a2f5aa6875c72bf062c712cfa2674,b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9,C:\WINDOWS\system32\drivers\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\i386\atapi.sys
## 
95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\i386\atapi.sys

Référence :
==========

Win 2000_SP2   : ff953a8f08ca3f822127654375786bbe
Win XP_32b     : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b      : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b  : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b  : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b  : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b  : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b  : 02062C0B390B7729EDC9E69C680A6F3C
 
=======
Drive :
=======

D'fragmenteur de disque Windows
Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

Rapport d'analyse                 	 
    13,00 Go total,  519 Mo libre (3%),  28% fragment' (fragmentation du fichier 54%)

Vous devriez d'fragmenter ce volume. 	 

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache  
Present !! : C:\WINDOWS\System32\drivers\etc\hosts.msn 
Present !! : C:\WINDOWS\System32	mp.reg"  
Present !! : C:\Documents and Settings\Aknot\Application Data\GDIPFONTCACHEV1.DAT  
Present !! : C:\Documents and Settings\Aknot\Application Data\GDIPFONTCACHEV1.DAT  
Present !! : C:\Documents and Settings\Aknot\Local Settings\Temp\dw.log  
Present !! : C:\Documents and Settings\Aknot\LOCAL Settings\Temp\SSUPDATE.EXE  
Present !! : C:\Documents and Settings\Aknot\LOCAL Settings\Temp\_is80.exe  
Present !! : C:\Documents and Settings\Aknot\LOCAL Settings\Temp\_is9.exe  
 
¤¤¤¤¤¤¤¤¤¤ Keys :

Nouhanda · Answer

Bonjour gen-hachman, 

Je viens te donner les dernières nouvelles. J'ai donc fais tourner ton fix list-kill'em pendant 3 nuits et 2 jours sans discontinuer, et il est resté bloquer rapidement mais sur un autre endroits cette fois. Je l'ai fait repartir plusieurs fois et j'ai pu remarquer qu'il ne se bloquais jamais au même endroit.
Je l'ai fais repartir hier soir et stoppé ce matin, il m'a généré un pseudo rapport, qui a mon avis n'est pas exploitable, je te le post quand même car c'est toi le spécialiste, tu m'en dira des nouvelles ;-)
Je me retourne de nouveau vers toi pour connaître la suite des évènements.
Je te remercie encore pour le temps que tu m'accorde.

Cordialement Nouhanda.

Voici le pseudo rapport:

List'em by g3n-h@ckm@n 1.3.2.1

User : Aknot (Administrateurs) 
Update on 10/03/2010 by g3n-h@ckm@n ::::: 17.30
Start at: 23:44:38 | 17/03/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Sunbelt Personal Firewall[ Enabled ]4.5.916 T

C:\ -> Disque fixe local | 13 Go (518,41 Mo free) [System] | NTFS
D:\ -> Disque fixe local | 258,09 Go (11,72 Go free) [Matrice] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM
J:\ -> Disque CD-ROM
 
Boot: Normal 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Multimedia Mouse Driver\MouseDrv.exe
C:\Program Files\Gigabyte\ET5\GUI.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32	askmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\List_Kill'em\FxEx.scr
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\pv.exe

======================
Keys "Run" 
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ctfmon.exe	REG_SZ         	C:\WINDOWS\system32\ctfmon.exe
SUPERAntiSpyware	REG_SZ         	C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
SuperCopier2.exe	REG_SZ         	C:\Program Files\SuperCopier2\SuperCopier2.exe
SpybotSD TeaTimer	REG_SZ         	C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
NvCplDaemon	REG_SZ         	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
SkyTel	REG_SZ         	SkyTel.EXE 
RTHDCPL	REG_SZ         	RTHDCPL.EXE 
nwiz	REG_SZ         	nwiz.exe /install 
NvMediaCenter	REG_SZ         	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
DAEMON Tools	REG_SZ         	"C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 
High Definition Audio Property Page Shortcut	REG_SZ         	HDAShCut.exe 
NeroFilterCheck	REG_SZ         	C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe 
WireLessMouse	REG_SZ         	C:\Program Files\Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe 
LifeCam	REG_SZ         	"C:\Program Files\Microsoft LifeCam\LifeExp.exe" 
VX3000	REG_SZ         	C:\WINDOWS\vVX3000.exe 
avgnt	REG_SZ         	"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
SunJavaUpdateSched	REG_SZ         	"C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" 
Adobe Reader Speed Launcher	REG_SZ         	"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 
Adobe ARM	REG_SZ         	"C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" 
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
dontdisplaylastusername	REG_DWORD      	0 (0x0) 
legalnoticecaption	REG_SZ         	 
legalnoticetext	REG_SZ         	 
shutdownwithoutlogon	REG_DWORD      	1 (0x1) 
undockwithoutlogon	REG_DWORD      	1 (0x1) 
HideLegacyLogonScripts	REG_DWORD      	0 (0x0) 
HideLogoffScripts	REG_DWORD      	0 (0x0) 
RunLogonScriptSync	REG_DWORD      	1 (0x1) 
RunStartupScriptSync	REG_DWORD      	0 (0x0) 
HideStartupScripts	REG_DWORD      	0 (0x0) 

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveTypeAutoRun	REG_DWORD      	255 (0xff) 
NoDriveAutoRun	REG_DWORD      	255 (0xff) 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveAutoRun	REG_DWORD      	255 (0xff) 
NoDriveTypeAutoRun	REG_DWORD      	255 (0xff) 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 

=============== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS	REG_SZ         	

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 AutoRestartShell	REG_DWORD      	1 (0x1) 
 DefaultDomainName	REG_SZ         	AKNOT-S 
 DefaultUserName	REG_SZ         	Aknot 
 LegalNoticeCaption	REG_SZ         	 
 LegalNoticeText	REG_SZ         	 
 PowerdownAfterShutdown	REG_SZ         	0 
 ReportBootOk	REG_SZ         	1 
 Shell	REG_SZ         	explorer.exe 
 ShutdownWithoutLogon	REG_SZ         	0 
 System	REG_SZ         	 
 Userinit	REG_SZ         	C:\WINDOWS\system32\userinit.exe, 
 VmApplet	REG_SZ         	rundll32 shell32,Control_RunDLL "sysdm.cpl" 
 SfcQuota	REG_DWORD      	-1 (0xffffffff) 
 allocatecdroms	REG_SZ         	0 
 allocatedasd	REG_SZ         	0 
 allocatefloppies	REG_SZ         	0 
 cachedlogonscount	REG_SZ         	10 
 forceunlocklogon	REG_DWORD      	0 (0x0) 
 passwordexpirywarning	REG_DWORD      	14 (0xe) 
 scremoveoption	REG_SZ         	0 
 AllowMultipleTSSessions	REG_DWORD      	1 (0x1) 
 UIHost	REG_EXPAND_SZ  	logonui.exe 
 LogonType	REG_DWORD      	1 (0x1) 
 DebugServerCommand	REG_SZ         	no 
 SFCDisable	REG_DWORD      	0 (0x0) 
 WinStationsDisabled	REG_SZ         	0 
 HibernationPreviouslyEnabled	REG_DWORD      	1 (0x1) 
 ShowLogonOptions	REG_DWORD      	0 (0x0) 
 AltDefaultUserName	REG_SZ         	Aknot 
 AltDefaultDomainName	REG_SZ         	AKNOT-S 
 Background	REG_SZ         	0 0 0 
 ChangePasswordUseKerberos	REG_DWORD      	1 (0x1) 
 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\Notify_Disabled 

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\!SASWinLogon]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\dimsntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify	ermsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\wlballoon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972}	REG_SZ         	 
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}	REG_SZ         	 

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
C:\Program Files\eMule\emule.exe	REG_SZ         	C:\Program Files\eMule\emule.exe:*:Enabled:eMule
C:\WINDOWS\system32\dplaysvr.exe	REG_SZ         	C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper
D:\Jeux\Cartes\Jeu de Tarot\Tarot365.exe	REG_SZ         	D:\Jeux\Cartes\Jeu de Tarot\Tarot365.exe:*:Enabled:Application Jeu de Tarot
C:\Program Files\Teamspeak2_RC2\server_windows.exe	REG_SZ         	C:\Program Files\Teamspeak2_RC2\server_windows.exe:*:Enabled:Server
D:\Jeux\FD2\FIRE.EXE	REG_SZ         	D:\Jeux\FD2\FIRE.EXE:*:Enabled:FIRE
D:\Jeux\Rise of Nations	hrones.exe	REG_SZ         	D:\Jeux\Rise of Nations	hrones.exe:*:Enabled:Rise of Nations
D:\Jeux\Rise of Nations\patriots.exe	REG_SZ         	D:\Jeux\Rise of Nations\patriots.exe:*:Enabled:Rise of Nations
C:\Program Files\RealVNC4\winvnc4.exe	REG_SZ         	C:\Program Files\RealVNC4\winvnc4.exe:*:Enabled:VNC Server Free Edition for Win32
C:\Program Files\TYPSoft FTP Server\ftpserv.exe	REG_SZ         	C:\Program Files\TYPSoft FTP Server\ftpserv.exe:*:Enabled:TYPSoft FTP Server
D:\Jeux\Call of duty 2\CoD2MP_s.exe	REG_SZ         	D:\Jeux\Call of duty 2\CoD2MP_s.exe:*:Enabled:CoD2MP_s
D:\Jeux\AOE III\age3.exe	REG_SZ         	D:\Jeux\AOE III\age3.exe:*:Enabled:Age of Empires 3
D:\Jeux\FD3\FD3.exe	REG_SZ         	D:\Jeux\FD3\FD3.exe:*:Enabled:FD3
C:\Program Files\Mozilla Firefox\firefox.exe	REG_SZ         	C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Mozilla Firefox
C:\WINDOWS\system32\sessmgr.exe	REG_SZ         	C:\WINDOWS\system32\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019
C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe	REG_SZ         	C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe:*:Enabled:Assistance à distance - Windows Messenger et voix
%windir%\Network Diagnostic\xpnetdiag.exe	REG_SZ         	%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
C:\Program Files\RealVNC4\vncviewer.exe	REG_SZ         	C:\Program Files\RealVNC4\vncviewer.exe:*:Enabled:VNC Viewer Free Edition for Win32
L:\FramaKey\Data\Jeux\PortableDark-Oberon-1.0.1-US-r03\PortableDark-Oberon\dark-oberon\doberon.exe	REG_SZ         	L:\FramaKey\Data\Jeux\PortableDark-Oberon-1.0.1-US-r03\PortableDark-Oberon\dark-oberon\doberon.exe:*:Enabled:doberon
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe	REG_SZ         	C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe:*:Enabled:Sunbelt Firewall GUI
%windir%\system32\sessmgr.exe	REG_SZ         	%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Program Files\Microsoft LifeCam\LifeCam.exe	REG_SZ         	C:\Program Files\Microsoft LifeCam\LifeCam.exe:*:Enabled:LifeCam.exe
C:\Program Files\Microsoft LifeCam\LifeExp.exe	REG_SZ         	C:\Program Files\Microsoft LifeCam\LifeExp.exe:*:Enabled:LifeExp.exe
C:\Program Files\uTorrent\uTorrent.exe	REG_SZ         	C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent
C:\Program Files\Skype\Phone\Skype.exe	REG_SZ         	C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype
C:\Program Files\Windows Live\Messenger\msnmsgr.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe	REG_SZ         	C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe	REG_SZ         	%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
%windir%\Network Diagnostic\xpnetdiag.exe	REG_SZ         	%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
C:\Program Files\Windows Live\Messenger\msnmsgr.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe	REG_SZ         	C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare

===============
ActivX controls
===============
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{C7DB51B4-BCF7-4923-8874-7F1A0DC92277}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]

===============
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{CB58DED6-4AF3-4080-9DF1-DEE72075169F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Microsoft Base Smart Card Crypto Provider Package]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{0526D034-4FAE-6064-951D-4983EC1BF27B}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5056b317-8d4c-43ee-8543-b9d1e234b8f4}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{941051F4-4C46-4658-B8D6-1B5CB73E1B1C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9A394342-4A68-4EBA-85A6-55B559F4E700}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B508B3F1-A24A-32C0-B310-85786919EF28}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-9DB8-56FBECED082D}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EF289A85-8E57-408d-BE47-73B55609861A}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F196AC50-7C95-42E1-9947-BDAB18BF3C8C}]

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]

===
DNS
===

HKLM\SYSTEM\CCS\Services\Tcpip\..\{347ADA54-F472-4062-AA7B-A1C502D27827}: NameServer=192.168.1.2 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9795102F-E1F8-4162-B183-DEF17FAB32B1}: DhcpNameServer=192.168.1.254 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{347ADA54-F472-4062-AA7B-A1C502D27827}: NameServer=192.168.1.2 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9795102F-E1F8-4162-B183-DEF17FAB32B1}: NameServer=212.27.53.252,212.27.54.252 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{347ADA54-F472-4062-AA7B-A1C502D27827}: NameServer=192.168.1.2 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9795102F-E1F8-4162-B183-DEF17FAB32B1}: NameServer=212.27.53.252,212.27.54.252 
HKLM\SYSTEM\CS3\Services\Tcpip\..\{347ADA54-F472-4062-AA7B-A1C502D27827}: NameServer=192.168.1.2 
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9795102F-E1F8-4162-B183-DEF17FAB32B1}: NameServer=212.27.53.252,212.27.54.252 
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254 

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.fr/?gws_rd=ssl

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
SharedAccess : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
## 
95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\Service_Pack_Files\i386\atapi.sys
## 
96512,9f3a2f5aa6875c72bf062c712cfa2674,b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9,C:\WINDOWS\Service_Pack_Files\i386\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\system32\drivers\atapi.sys
## 
96512,9f3a2f5aa6875c72bf062c712cfa2674,b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9,C:\WINDOWS\system32\drivers\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\i386\atapi.sys
## 
95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\i386\atapi.sys

Référence :
==========

Win 2000_SP2   : ff953a8f08ca3f822127654375786bbe
Win XP_32b     : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b      : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b  : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b  : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b  : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b  : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b  : 02062C0B390B7729EDC9E69C680A6F3C
 
=======
Drive :
=======

D'fragmenteur de disque Windows
Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

Rapport d'analyse                 	 
    13,00 Go total,  519 Mo libre (3%),  28% fragment' (fragmentation du fichier 54%)

Vous devriez d'fragmenter ce volume. 	 

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache  
Present !! : C:\WINDOWS\System32\drivers\etc\hosts.msn 
Present !! : C:\WINDOWS\System32	mp.reg"  
Present !! : C:\Documents and Settings\Aknot\Application Data\GDIPFONTCACHEV1.DAT  
Present !! : C:\Documents and Settings\Aknot\Application Data\GDIPFONTCACHEV1.DAT  
Present !! : C:\Documents and Settings\Aknot\Local Settings\Temp\dw.log  
Present !! : C:\Documents and Settings\Aknot\LOCAL Settings\Temp\SSUPDATE.EXE  
Present !! : C:\Documents and Settings\Aknot\LOCAL Settings\Temp\_is80.exe  
Present !! : C:\Documents and Settings\Aknot\LOCAL Settings\Temp\_is9.exe  
 
¤¤¤¤¤¤¤¤¤¤ Keys :

gen-hackman · Answer

desinstalle cette verssion et telecharge la nouvelle

Nouhanda · Answer

Bonjour gen, peux-tu me donner un lien pour la nouvelle version du fix car je ne la trouve pas sur le web.Merci.
Cordialement.

gen-hackman · Answer

bonjour :

http://sd-1.archive-host.com/...

Nouhanda · Answer

Merci pour le lien gen, je lance la nouvelle version de ton fix et je te tiens au courant de la suite des évènements

Cordialement.

gen-hackman · Answer

ok à lire le rapport...

Nouhanda · Answer

Re gen, Bon voilà le scan du fix est fini (non sans mal), je t'explique un peu: J'ai donc téléchargé le fix par le biais de ton lien et installé. Il à commencé son travail et comme pour les autres fois il c'est bloqué presque au début. J'avais déja remarqué auparavant qu'un processus tournait et me prenait 50 % de l'UC. J'ai donc par dépit stopper ce processus pendant le scan par l'intermédiaire du gestionnaire des taches; Ce processus était noté comme suit: swreg.exe J'ai du le stopper environ 3 à 4 fois pour que le scan du fix redémarre et de là plus de problèmes. Le Scan c'est exécuté jusqu'au bout,il à généré un rapport catchme, et l'autre rapport que nous attendions et que je te post maintenant. ha oui encore une chose, j'avais commencé le sacn sans firewall et sans antivirus quand celui-ci (le scan) c'est bloqué j'ai les ai remis en branle pour aller surfer et essayer de trouver une solution au blocage (sans succès ;-). Puis j'ai stopper ce fameux processus, le scan est reparti mais ma barre des tâches est resté fixe et inactive et donc il m'a été impossible d'arrêter les protections. Voilà le roman est terminé, le rapport suit en espérant qu'il est complet.Tiens moi au courant. Merci encore. Cordialement. List'em by g3n-h@ckm@n 1.6.0.2 User : Aknot (Administrateurs) Update on 18/03/2010 by g3n-h@ckm@n ::::: 12.30 Start at: 13:05:33 | 19/03/2010 Contact : https://forums.commentcamarche.net/forum/virus-securite-7 AMD Athlon(tm) 64 X2 Dual Core Processor 4400+ Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3 Internet Explorer 8.0.6001.18702 Windows Firewall Status : Disabled AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ] FW : Sunbelt Personal Firewall[ Enabled ]4.5.916 T C:\ -> Disque fixe local | 13 Go (506,54 Mo free) [System] | NTFS D:\ -> Disque fixe local | 258,09 Go (11,73 Go free) [Matrice] | NTFS E:\ -> Disque CD-ROM F:\ -> Disque CD-ROM G:\ -> Disque CD-ROM H:\ -> Disque CD-ROM I:\ -> Disque CD-ROM J:\ -> Disque CD-ROM Boot: Normal ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\DAEMON Tools\daemon.exe C:\WINDOWS\vVX3000.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Program Files\SuperCopier2\SuperCopier2.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\3M\PSNLite\PsnLite.exe C:\Program Files\Multimedia Mouse Driver\MouseDrv.exe C:\PROGRA~1\3M\PSNLite\PSNGive.exe C:\Program Files\Gigabyte\ET5\GUI.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Microsoft LifeCam\MSCamS32.exe C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\System32\alg.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\List_Kill'em\List_Kill'em.exe C:\WINDOWS\system32\cmd.exe C:\Program Files\List_Kill'em\pv.exe ====================== Keys "Run" ====================== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe SUPERAntiSpyware REG_SZ C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe SuperCopier2.exe REG_SZ C:\Program Files\SuperCopier2\SuperCopier2.exe SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup SkyTel REG_SZ SkyTel.EXE RTHDCPL REG_SZ RTHDCPL.EXE nwiz REG_SZ nwiz.exe /install NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit DAEMON Tools REG_SZ "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 High Definition Audio Property Page Shortcut REG_SZ HDAShCut.exe NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe WireLessMouse REG_SZ C:\Program Files\Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe LifeCam REG_SZ "C:\Program Files\Microsoft LifeCam\LifeExp.exe" VX3000 REG_SZ C:\WINDOWS\vVX3000.exe avgnt REG_SZ "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" Adobe ARM REG_SZ "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] ===================== Other Keys ===================== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] dontdisplaylastusername REG_DWORD 0 (0x0) legalnoticecaption REG_SZ legalnoticetext REG_SZ shutdownwithoutlogon REG_DWORD 1 (0x1) undockwithoutlogon REG_DWORD 1 (0x1) HideLegacyLogonScripts REG_DWORD 0 (0x0) HideLogoffScripts REG_DWORD 0 (0x0) RunLogonScriptSync REG_DWORD 1 (0x1) RunStartupScriptSync REG_DWORD 0 (0x0) HideStartupScripts REG_DWORD 0 (0x0) =============== [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] NoDriveTypeAutoRun REG_DWORD 255 (0xff) NoDriveAutoRun REG_DWORD 255 (0xff) HonorAutoRunSetting REG_DWORD 0 (0x0) =============== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] NoDriveAutoRun REG_DWORD 255 (0xff) NoDriveTypeAutoRun REG_DWORD 255 (0xff) HonorAutoRunSetting REG_DWORD 0 (0x0) =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLS REG_SZ =============== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] AutoRestartShell REG_DWORD 1 (0x1) DefaultDomainName REG_SZ AKNOT-S DefaultUserName REG_SZ Aknot LegalNoticeCaption REG_SZ LegalNoticeText REG_SZ PowerdownAfterShutdown REG_SZ 0 ReportBootOk REG_SZ 1 Shell REG_SZ explorer.exe ShutdownWithoutLogon REG_SZ 0 System REG_SZ Userinit REG_SZ C:\WINDOWS\system32\userinit.exe, VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl" SfcQuota REG_DWORD -1 (0xffffffff) allocatecdroms REG_SZ 0 allocatedasd REG_SZ 0 allocatefloppies REG_SZ 0 cachedlogonscount REG_SZ 10 forceunlocklogon REG_DWORD 0 (0x0) passwordexpirywarning REG_DWORD 14 (0xe) scremoveoption REG_SZ 0 AllowMultipleTSSessions REG_DWORD 1 (0x1) UIHost REG_EXPAND_SZ logonui.exe LogonType REG_DWORD 1 (0x1) DebugServerCommand REG_SZ no SFCDisable REG_DWORD 0 (0x0) WinStationsDisabled REG_SZ 0 HibernationPreviouslyEnabled REG_DWORD 1 (0x1) ShowLogonOptions REG_DWORD 0 (0x0) AltDefaultUserName REG_SZ Aknot AltDefaultDomainName REG_SZ AKNOT-S Background REG_SZ 0 0 0 ChangePasswordUseKerberos REG_DWORD 1 (0x1) HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\Notify_Disabled =============== [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\!SASWinLogon] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\crypt32chain] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\cryptnet] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\cscdll] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\dimsntfy] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\ScCertProp] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\Schedule] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\sclgntfy] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\SensLogn] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify ermsrv] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\wlballoon] =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] {AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} REG_SZ =============== [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] C:\Program Files\eMule\emule.exe REG_SZ C:\Program Files\eMule\emule.exe:*:Enabled:eMule C:\WINDOWS\system32\dplaysvr.exe REG_SZ C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper D:\Jeux\Cartes\Jeu de Tarot\Tarot365.exe REG_SZ D:\Jeux\Cartes\Jeu de Tarot\Tarot365.exe:*:Enabled:Application Jeu de Tarot C:\Program Files\Teamspeak2_RC2\server_windows.exe REG_SZ C:\Program Files\Teamspeak2_RC2\server_windows.exe:*:Enabled:Server D:\Jeux\FD2\FIRE.EXE REG_SZ D:\Jeux\FD2\FIRE.EXE:*:Enabled:FIRE D:\Jeux\Rise of Nations hrones.exe REG_SZ D:\Jeux\Rise of Nations hrones.exe:*:Enabled:Rise of Nations D:\Jeux\Rise of Nations\patriots.exe REG_SZ D:\Jeux\Rise of Nations\patriots.exe:*:Enabled:Rise of Nations C:\Program Files\RealVNC4\winvnc4.exe REG_SZ C:\Program Files\RealVNC4\winvnc4.exe:*:Enabled:VNC Server Free Edition for Win32 C:\Program Files\TYPSoft FTP Server\ftpserv.exe REG_SZ C:\Program Files\TYPSoft FTP Server\ftpserv.exe:*:Enabled:TYPSoft FTP Server D:\Jeux\Call of duty 2\CoD2MP_s.exe REG_SZ D:\Jeux\Call of duty 2\CoD2MP_s.exe:*:Enabled:CoD2MP_s D:\Jeux\AOE III\age3.exe REG_SZ D:\Jeux\AOE III\age3.exe:*:Enabled:Age of Empires 3 D:\Jeux\FD3\FD3.exe REG_SZ D:\Jeux\FD3\FD3.exe:*:Enabled:FD3 C:\Program Files\Mozilla Firefox\firefox.exe REG_SZ C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Mozilla Firefox C:\WINDOWS\system32\sessmgr.exe REG_SZ C:\WINDOWS\system32\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019 C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe REG_SZ C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe:*:Enabled:Assistance à distance - Windows Messenger et voix %windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 C:\Program Files\RealVNC4\vncviewer.exe REG_SZ C:\Program Files\RealVNC4\vncviewer.exe:*:Enabled:VNC Viewer Free Edition for Win32 L:\FramaKey\Data\Jeux\PortableDark-Oberon-1.0.1-US-r03\PortableDark-Oberon\dark-oberon\doberon.exe REG_SZ L:\FramaKey\Data\Jeux\PortableDark-Oberon-1.0.1-US-r03\PortableDark-Oberon\dark-oberon\doberon.exe:*:Enabled:doberon C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe REG_SZ C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe:*:Enabled:Sunbelt Firewall GUI %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 C:\Program Files\Microsoft LifeCam\LifeCam.exe REG_SZ C:\Program Files\Microsoft LifeCam\LifeCam.exe:*:Enabled:LifeCam.exe C:\Program Files\Microsoft LifeCam\LifeExp.exe REG_SZ C:\Program Files\Microsoft LifeCam\LifeExp.exe:*:Enabled:LifeExp.exe C:\Program Files\uTorrent\uTorrent.exe REG_SZ C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent C:\Program Files\Skype\Phone\Skype.exe REG_SZ C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe REG_SZ C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 %windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe REG_SZ C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare =============== ActivX controls =============== [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}] [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}] [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{C7DB51B4-BCF7-4923-8874-7F1A0DC92277}] [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}] [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}] [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}] =============== [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{CB58DED6-4AF3-4080-9DF1-DEE72075169F}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Microsoft Base Smart Card Crypto Provider Package] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{0526D034-4FAE-6064-951D-4983EC1BF27B}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5056b317-8d4c-43ee-8543-b9d1e234b8f4}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{941051F4-4C46-4658-B8D6-1B5CB73E1B1C}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9A394342-4A68-4EBA-85A6-55B559F4E700}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B508B3F1-A24A-32C0-B310-85786919EF28}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-9DB8-56FBECED082D}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EF289A85-8E57-408d-BE47-73B55609861A}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F196AC50-7C95-42E1-9947-BDAB18BF3C8C}] ============== BHO : ====== [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] === DNS === HKLM\SYSTEM\CCS\Services\Tcpip\..\{347ADA54-F472-4062-AA7B-A1C502D27827}: NameServer=192.168.1.2 HKLM\SYSTEM\CCS\Services\Tcpip\..\{9795102F-E1F8-4162-B183-DEF17FAB32B1}: DhcpNameServer=192.168.1.254 HKLM\SYSTEM\CS1\Services\Tcpip\..\{347ADA54-F472-4062-AA7B-A1C502D27827}: NameServer=192.168.1.2 HKLM\SYSTEM\CS1\Services\Tcpip\..\{9795102F-E1F8-4162-B183-DEF17FAB32B1}: NameServer=212.27.53.252,212.27.54.252 HKLM\SYSTEM\CS2\Services\Tcpip\..\{347ADA54-F472-4062-AA7B-A1C502D27827}: NameServer=192.168.1.2 HKLM\SYSTEM\CS2\Services\Tcpip\..\{9795102F-E1F8-4162-B183-DEF17FAB32B1}: NameServer=212.27.53.252,212.27.54.252 HKLM\SYSTEM\CS3\Services\Tcpip\..\{347ADA54-F472-4062-AA7B-A1C502D27827}: NameServer=192.168.1.2 HKLM\SYSTEM\CS3\Services\Tcpip\..\{9795102F-E1F8-4162-B183-DEF17FAB32B1}: NameServer=212.27.53.252,212.27.54.252 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254 ================ Internet Explorer : ================ [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.msn.com/fr-fr [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.google.fr/?gws_rd=ssl ======== Services ======== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] Ndisuio : 0x3 ( OK = 3 ) EapHost : 0x3 ( OK = 2 ) SharedAccess : 0x2 ( OK = 2 ) wuauserv : 0x2 ( OK = 2 ) ========= Atapi.sys ========= %%%% HASHDEEP-1.0 %%%% size,md5,sha256,filename ## Invoked from: C:\Program Files\List_Kill'em ## C:\> hashdeep.exe C:\WINDOWS\$NtServicePackUninstall$\atapi.sys ## 95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\$NtServicePackUninstall$\atapi.sys %%%% HASHDEEP-1.0 %%%% size,md5,sha256,filename ## Invoked from: C:\Program Files\List_Kill'em ## C:\> hashdeep.exe C:\WINDOWS\Service_Pack_Files\i386\atapi.sys ## 96512,9f3a2f5aa6875c72bf062c712cfa2674,b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9,C:\WINDOWS\Service_Pack_Files\i386\atapi.sys %%%% HASHDEEP-1.0 %%%% size,md5,sha256,filename ## Invoked from: C:\Program Files\List_Kill'em ## C:\> hashdeep.exe C:\WINDOWS\system32\drivers\atapi.sys ## 96512,9f3a2f5aa6875c72bf062c712cfa2674,b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9,C:\WINDOWS\system32\drivers\atapi.sys %%%% HASHDEEP-1.0 %%%% size,md5,sha256,filename ## Invoked from: C:\Program Files\List_Kill'em ## C:\> hashdeep.exe C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\i386\atapi.sys ## 95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\i386\atapi.sys Référence : ========== Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867 Win XP_32b : a64013e98426e1877cb653685c5c0009 Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51 Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674 Vista_32b : e03e8c99d15d0381e02743c36afc7c6f Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9 Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4 Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e ======= Drive : ======= D'fragmenteur de disque Windows Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc. Rapport d'analyse 13,00 Go total, 507 Mo libre (3%), 28% fragment' (fragmentation du fichier 54%) Vous devriez d'fragmenter ce volume. ¤¤¤¤¤¤¤¤¤¤ Files/folders : Present !! : C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache Present !! : C:\WINDOWS\System32\drivers\etc\hosts.msn Present !! : C:\WINDOWS\System32 mp.reg" Present !! : C:\Documents and Settings\Aknot\Application Data\GDIPFONTCACHEV1.DAT Present !! : C:\Documents and Settings\Aknot\Application Data\GDIPFONTCACHEV1.DAT Present !! : C:\Documents and Settings\Aknot\Local Settings\Temp\dw.log Present !! : C:\Documents and Settings\Aknot\LOCAL Settings\Temp\SSUPDATE.EXE Present !! : C:\Documents and Settings\Aknot\LOCAL Settings\Temp\_is80.exe Present !! : C:\Documents and Settings\Aknot\LOCAL Settings\Temp\_is9.exe ¤¤¤¤¤¤¤¤¤¤ Keys : Present !! : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383} Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe" Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe" Present !! : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d} Present !! : HKCR\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d} Present !! : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d} Present !! : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d} Present !! : HKCR\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d} Present !! : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF Present !! : HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv ============ catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-03-19 16:26:17 Windows 5.1.2600 Service Pack 3 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys sfsync04.sys >>UNKNOWN [0x859BC1D8]<< kernel: MBR read successfully user & kernel MBR OK ¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ End of scan : 16:27:28,21

gen-hackman · Answer

hello

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'option 2 = Mode Suppression

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

Nouhanda · Answer

Bonjour gen,

je te post le rapport List_Kill'em comme prévu, j'attends tes suggestion pour la suite.
Merci
Cordialement.




Kill'em by g3n-h@ckm@n 1.6.0.2 
 
User : Aknot (Administrateurs) 
Update on 18/03/2010 by g3n-h@ckm@n ::::: 12.30
Start at: 15:35:51 | 21/03/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]
FW : Sunbelt Personal Firewall[ Enabled ]4.5.916 T

C:\ -> Disque fixe local | 13 Go (438,16 Mo free) [System] | NTFS
D:\ -> Disque fixe local | 258,09 Go (11,73 Go free) [Matrice] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM
J:\ -> Disque CD-ROM
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
Quarantined & Deleted !! : C:\Documents and Settings\Aknot\LOCAL Settings\Temp\SSUPDATE.EXE 
 
==============
host file OK !
==============

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
Deleted : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF  
========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
============
 
=================
anti-ver blaster : OK !! 
=================

================
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Nouhanda · Answer

Re gen, J'ai déja un malwarebytes à jours d'aujourd'hui, puis-je utilisser celui-la ? Je l'ai télécharger il y a environ 2 ans et il est MAJ plusieurs fois par semaines. 
Cordialement.

gen-hackman · Answer

oui tu peux fais quand meme une mise a jour avant on sait jamais

fais un scan complet par contre

Nouhanda · Answer

Bonjour gen,

J'ai fais tourner Malware une première fois en oubliant de lui demander de me générer un rapport. Il m'a trouvé un backdoor du nom de : Backdoor.Celofot
Du coup je l'ai mis en quarantaine et de la je l'ai supprimer. Par acquis de conscience j'ai dans la foulé refais un scan (sans oublier cette fois de cocher la case rapport) et à ma grande surprise il me retrouve encore ce backdoor, de plus tu verra sur le rapport il me dit que je n'ai fait aucune action alors qu'une nouvelle fois je l'ai mis en quarantaine et supprimé. Zarb,Zarb,Zarb...
Voilà donc le rapport de Mbam.
Cordialement.


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3896
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/03/2010 12:21:37
mbam-log-2010-03-22 (12-21-31).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 278981
Temps écoulé: 55 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\protect_ie (Backdoor.Celofot) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

gen-hackman · Answer

tu as bien supprimé en fin de scan ?

Nouhanda · Answer

re, oui j'ai bien supprimer en fin de scan

gen-hackman · Answer

des soucis persistent ?

Nouhanda · Answer

Re gen,

oui quelques pbs persistent au niveau de l'allumage de la machine, je t'avais expliqué qu'il fallait que je la relance plusieurs fois avant qu'elle ne charge xp, maintenant c'est bcp moins mais c'est quand même présent, je ne perds plus régulièrement mon curseur mais cela arrive quand même par exemple: 1 fois tout les deux jours à la place de 10 fois par jours, par contre l'utilisation des raccourcis est bien réparé, pas de pbs de ce coté ni du coté des programmes pour eux aussi c'est rentré dans l'ordre.
Cordialement.

gen-hackman · Answer

on va faire un grand menage et tu me diras quoi ensuite :

pour commencer , option 1 de ceci :

http://sd-1.archive-host.com/membres/up/829108531491024/Mes_Tools/Kill_Tool.exe

Nouhanda · Answer

re, voici le log avec option 1

List_Tool by g3n-h@ckm@n 1.0.0.2 

¤¤¤¤¤¤¤¤¤¤ Files | Folders :
 
Present : C:\Kill'em  
Present : C:\Documents and Settings\Aknot\Bureau\Kill'em.txt  
Present : C:\Documents and Settings\Aknot\Bureau\List_Kill'em Uninstall.lnk  
Present : C:\Documents and Settings\Aknot\Bureau\List_Kill'em.lnk  
Present : C:\Documents and Settings\Aknot\Bureau\OTL.exe  
Present : C:\Documents and Settings\Aknot\Local Settings\Temp\27D.tmp\List_Kill'em.bat  
Present : C:\Documents and Settings\Aknot\Local Settings\Temp\2A.tmp\List_Kill'em.bat  
Present : C:\Documents and Settings\Aknot\Local Settings\Temp\A.tmp\List_Kill'em.bat  
Present : C:\Documents and Settings\Aknot\Recent\Kill'em.lnk  
Present : C:\Kill'em\Quarantine  
Present : C:\Kill'em\Save  
Present : C:\Kill'em\Quarantine\dw.log.Kill'em  
Present : C:\Kill'em\Quarantine\GDIPFONTCACHEV1.DAT.Kill'em  
Present : C:\Kill'em\Quarantine\hosts.msn.Kill'em  
Present : C:\Kill'em\Quarantine\QTSBandwidthCache.Kill'em  
Present : C:\Kill'em\Quarantine\SSUPDATE.EXE.Kill'em  
Present : C:\Kill'em\Quarantine	mp.reg.Kill'em  
Present : C:\Kill'em\Quarantine\_is80.exe.Kill'em  
Present : C:\Kill'em\Quarantine\_is9.exe.Kill'em  
Present : C:\Kill'em\Save\default  
Present : C:\Kill'em\Save\ERDNT.CON  
Present : C:\Kill'em\Save\ERDNT.EXE  
Present : C:\Kill'em\Save\ERDNT.INF  
Present : C:\Kill'em\Save\ERDNTDOS.LOC  
Present : C:\Kill'em\Save\ERDNTWIN.LOC  
Present : C:\Kill'em\Save\SAM  
Present : C:\Kill'em\Save\SECURITY  
Present : C:\Kill'em\Save\software  
Present : C:\Kill'em\Save\system  
Present : C:\Kill'em\Save\Users  
Present : C:\Kill'em\Save\Users\00000001  
Present : C:\Kill'em\Save\Users\00000002  
Present : C:\Kill'em\Save\Users\00000001
tuser.dat  
Present : C:\Kill'em\Save\Users\00000002\UsrClass.dat  
Present : C:\Program Files\List_Kill'em  
Present : C:\Program Files\List_Kill'em\#Keys  
Present : C:\Program Files\List_Kill'em\$drives  
Present : C:\Program Files\List_Kill'em\Add_Key.exe  
Present : C:\Program Files\List_Kill'em\AppInit.exe  
Present : C:\Program Files\List_Kill'em\blast_cln.exe  
Present : C:\Program Files\List_Kill'em\catchme.exe  
Present : C:\Program Files\List_Kill'em\Com_L.exe  
Present : C:\Program Files\List_Kill'em\del_reg.bat  
Present : C:\Program Files\List_Kill'em\del_wow_nat.bat  
Present : C:\Program Files\List_Kill'em\dns.exe  
Present : C:\Program Files\List_Kill'em\End.exe  
Present : C:\Program Files\List_Kill'em\ERDNT.E_E  
Present : C:\Program Files\List_Kill'em\ERDNTDOS.LOC  
Present : C:\Program Files\List_Kill'em\ERDNTWIN.LOC  
Present : C:\Program Files\List_Kill'em\ERUNT.bat  
Present : C:\Program Files\List_Kill'em\ERUNT.EXE  
Present : C:\Program Files\List_Kill'em\ERUNT.LOC  
Present : C:\Program Files\List_Kill'em\File  
Present : C:\Program Files\List_Kill'em\File_Rec.exe  
Present : C:\Program Files\List_Kill'em\Fold_Lst.exe  
Present : C:\Program Files\List_Kill'em\FxEx.scr  
Present : C:\Program Files\List_Kill'em\hashdeep.exe  
Present : C:\Program Files\List_Kill'em\header.txt  
Present : C:\Program Files\List_Kill'em\Host  
Present : C:\Program Files\List_Kill'em\List'em.bat  
Present : C:\Program Files\List_Kill'em\List'em.ico  
Present : C:\Program Files\List_Kill'em\List'em.vbs  
Present : C:\Program Files\List_Kill'em\List_Kill'em.exe  
Present : C:\Program Files\List_Kill'em\lst_38147_77.ico  
Present : C:\Program Files\List_Kill'em\Man_Supp.exe  
Present : C:\Program Files\List_Kill'em\mbr.exe  
Present : C:\Program Files\List_Kill'em\mbr.log  
Present : C:\Program Files\List_Kill'em\MD5.exe  
Present : C:\Program Files\List_Kill'em\Proc_end.exe  
Present : C:\Program Files\List_Kill'em\pv.exe  
Present : C:\Program Files\List_Kill'em\Reboot.bat  
Present : C:\Program Files\List_Kill'em\Rem_Key.exe  
Present : C:\Program Files\List_Kill'em\Rest_MBR.exe  
Present : C:\Program Files\List_Kill'em\Root_List.exe  
Present : C:\Program Files\List_Kill'em\shcut.vbs  
Present : C:\Program Files\List_Kill'em\SID.exe  
Present : C:\Program Files\List_Kill'em\swreg.exe  
Present : C:\Program Files\List_Kill'em\swxcacls.com  
Present : C:\Program Files\List_Kill'em\SYS  
Present : C:\Program Files\List_Kill'em\Unins.vbs  
Present : C:\Program Files\List_Kill'em\unins000.dat  
Present : C:\Program Files\List_Kill'em\unins000.exe  
Present : C:\Program Files\List_Kill'em\UPDT.exe  
Present : C:\Program Files\List_Kill'em\wait.bat  

¤¤¤¤¤¤¤¤¤¤ Keys : 
 
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\{e88ba4e8-6b36-4d39-9499-c10b439819e1}_is1 
DisplayName	REG_SZ         	List_Kill'em 1.6.0.2 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Nouhanda · Answer

RE gen,
Le log est il complet ? car j'ai l'impression que le fix pédale dans la semoule...
Cordialement.

Nouhanda · Answer

Bonjour gen, je suis dispo et derrière la machine, j'attends tes instructions.
Cordialement.

gen-hackman · Answer

salut fais l'option 2

Nouhanda · Answer

J'men doutais mais j'ai préférer t'attendre.
Merci. ;-)
C'est partie....

Nouhanda · Answer

ok j'attends alors.

Nouhanda · Answer

re, voila le log.

Kill_Tool by g3n-h@ckm@n 1.0.0.2 

¤¤¤¤¤¤¤¤¤¤ Files | Folders
 
Deleted : C:\Kill'em  
Deleted : C:\Documents and Settings\Aknot\Bureau\Kill'em.txt  
Deleted : C:\Documents and Settings\Aknot\Bureau\List_Kill'em Uninstall.lnk  
Deleted : C:\Documents and Settings\Aknot\Bureau\List_Kill'em.lnk  
Deleted : C:\Documents and Settings\Aknot\Bureau\OTL.exe  
Deleted : C:\Documents and Settings\Aknot\Local Settings\Temp\27D.tmp\List_Kill'em.bat  
Deleted : C:\Documents and Settings\Aknot\Local Settings\Temp\2A.tmp\List_Kill'em.bat  
Deleted : C:\Documents and Settings\Aknot\Local Settings\Temp\A.tmp\List_Kill'em.bat  
Deleted : C:\Documents and Settings\Aknot\Recent\Kill'em.lnk  
Deleted : C:\Kill'em\Quarantine  
Deleted : C:\Kill'em\Save  
Deleted : C:\Kill'em\Quarantine\dw.log.Kill'em  
Deleted : C:\Kill'em\Quarantine\GDIPFONTCACHEV1.DAT.Kill'em  
Deleted : C:\Kill'em\Quarantine\hosts.msn.Kill'em  
Deleted : C:\Kill'em\Quarantine\QTSBandwidthCache.Kill'em  
Deleted : C:\Kill'em\Quarantine\SSUPDATE.EXE.Kill'em  
Deleted : C:\Kill'em\Quarantine	mp.reg.Kill'em  
Deleted : C:\Kill'em\Quarantine\_is80.exe.Kill'em  
Deleted : C:\Kill'em\Quarantine\_is9.exe.Kill'em  
Deleted : C:\Kill'em\Save\default  
Deleted : C:\Kill'em\Save\ERDNT.CON  
Deleted : C:\Kill'em\Save\ERDNT.EXE  
Deleted : C:\Kill'em\Save\ERDNT.INF  
Deleted : C:\Kill'em\Save\ERDNTDOS.LOC  
Deleted : C:\Kill'em\Save\ERDNTWIN.LOC  
Deleted : C:\Kill'em\Save\SAM  
Deleted : C:\Kill'em\Save\SECURITY  
Deleted : C:\Kill'em\Save\software  
Deleted : C:\Kill'em\Save\system  
Deleted : C:\Kill'em\Save\Users  
Deleted : C:\Kill'em\Save\Users\00000001  
Deleted : C:\Kill'em\Save\Users\00000002  
Deleted : C:\Kill'em\Save\Users\00000001
tuser.dat  
Deleted : C:\Kill'em\Save\Users\00000002\UsrClass.dat  
Deleted : C:\Program Files\List_Kill'em  
Deleted : C:\Program Files\List_Kill'em\#Keys  
Deleted : C:\Program Files\List_Kill'em\$drives  
Deleted : C:\Program Files\List_Kill'em\Add_Key.exe  
Deleted : C:\Program Files\List_Kill'em\AppInit.exe  
Deleted : C:\Program Files\List_Kill'em\blast_cln.exe  
Deleted : C:\Program Files\List_Kill'em\catchme.exe  
Deleted : C:\Program Files\List_Kill'em\Com_L.exe  
Deleted : C:\Program Files\List_Kill'em\del_reg.bat  
Deleted : C:\Program Files\List_Kill'em\del_wow_nat.bat  
Deleted : C:\Program Files\List_Kill'em\dns.exe  
Deleted : C:\Program Files\List_Kill'em\End.exe  
Deleted : C:\Program Files\List_Kill'em\ERDNT.E_E  
Deleted : C:\Program Files\List_Kill'em\ERDNTDOS.LOC  
Deleted : C:\Program Files\List_Kill'em\ERDNTWIN.LOC  
Deleted : C:\Program Files\List_Kill'em\ERUNT.bat  
Deleted : C:\Program Files\List_Kill'em\ERUNT.EXE  
Deleted : C:\Program Files\List_Kill'em\ERUNT.LOC  
Deleted : C:\Program Files\List_Kill'em\File

gen-hackman · Answer

? Télécharge :ATF Cleaner par Atribune Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ? Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ ? Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ? Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ? Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ? Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ? Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ? Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ? Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ? si tu as installé Antivir : Configuration ________________________________________________________ ? Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ? Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ? Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ? Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ? Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ? Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ? dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ? Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ? Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ? si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ? Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ? clique sur Appliquer, puis OK. ____________ ?G3?-?@¢??@?(TM)©®?

Nouhanda · Answer

Merci gen, je fais tout ça et je te tiens au courant.Merci beaucoup, pour ta patience et tes très bon conseils
Cordialement et respectueusement Nouhanda.

gen-hackman · Answer

ok à te lire ^^

Analyse de rapport HijackThis

59 réponses

Discussions similaires

Newsletters