malware virus xp pro

Question

bonjour,
j'ai un soucis avec mon portable.
j'ai essayé de revenir a une version anterieure cad dernire bonne config reconnu mais j'ai toujours le meme probleme.

XP internet secutité alert
stealth threat
spyware intusion detected 
severe system damage.
trojan spy html.bankfrad.


avant de poster j ai telecharger malwarebyte's.
il m'a trouvé des infections qui'il a corrifé .
cependant il m'a dit qu'il ne pouvait pas tout vire .
apre le reboot j ai tjs les messages.
voici le log
je ne sais plus vraiment quoi faire .apparemment cela semble etre arrivé a d autres 
sauriez vous que faire de +.
merci
 

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21/03/2010 21:16:06
mbam-log-2010-03-21 (21-16-06).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 233368
Temps écoulé: 52 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll (Adware.MyWebSearch) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\TypeLib\{4d25f920-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4d25f923-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4d25f921-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d25f921-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4d25f921-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4d25f924-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4d25f926-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{4d25f926-b9fe-4682-bf72-8ab8210d6d75} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\MyWaySA (Adware.MyWebSearch) -> Delete on reboot.
C:\Program Files\MyWaySA\SrchAsDe (Adware.MyWebSearch) -> Delete on reboot.

Fichier(s) infecté(s):
C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll (Adware.MyWebSearch) -> Delete on reboot.

pimprenelle27 · Answer

Bonjour,

Pourrais tu me faire ceci afin de voir ce qu'il reste comme infection dans ton pc : 

* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Clique sur Démarrer puis sur panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.
* Redémarre le PC


&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel est  à ta disposition pour l'installer et l'utiliser correctement ici

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. &#x25B6; copie le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

&#x25B6; Ensuite viens coller dans ta prochaine réponse le rapport log.txt et dans une autre réponse la rapport info.txt afin qu'ils soient complet tout les 2.

tournemine · Answer

j ai donc lancer rsit
cela a generer 2 fichiers textes  : info et lo
voici info
info.txt logfile of random's system information tool 1.06 2010-03-22 12:43:20

======Uninstall list======

--> -cC:\Program Files\StreamServe\4.1.2\Server\ssuninst.dll
--> -cC:\Program Files\StreamServe\4.1.2\Tools\system\ssuninst.dll
--> -cC:\WINDOWS\system\ssuninst.dll
-->C:\DOCUME~1\YDerrien\LOCALS~1\Temp\{625D4DC1-75A6-406C-A772-1A68217E8526}\sysid.exe C:\DOCUME~1\YDerrien\LOCALS~1\Temp\{625D4DC1-75A6-406C-A772-1A68217E8526}\sysid.txt -cC:\Program Files\StreamServe\3.0\Server\ssuninst.dll
-->C:\DOCUME~1\YDerrien\LOCALS~1\Temp\{8D77A0AC-9805-48F9-A895-3040496EE663}\sys.exe C:\DOCUME~1\YDerrien\LOCALS~1\Temp\{8D77A0AC-9805-48F9-A895-3040496EE663}\sysid.txt -cC:\Program Files\StreamServe\3.0\Tools\system\ssuninst.dll
-->C:\WINDOWS\IsUn040c.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\AFPViewr\DeIsL1.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL10.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL11.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL12.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL13.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL14.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL15.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL16.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL17.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL2.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL3.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL32.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL4.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL46.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL5.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL6.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL7.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL8.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\DeIsL9.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\Emulator\DeIsL1.isu"
-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\IBM\Client Access\Emulator\DeIsL2.isu"
-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{20A4352A-237B-41DD-A6C0-3CD2F8E8D35C}\Setup.exe" -l0x40c 
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ABBYY FineReader 6.0 Sprint Plus-->MsiExec.exe /I{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}
Access Companion-->C:\WINDOWS\system32\DmUninst.exe -dm
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->MsiExec.exe /X{0DFB3DE8-65B9-44FF-AA0A-3BECC5A2BFD1}
Agent avancé LANDesk-->MsiExec.exe /I{7E8833A1-AF24-4CAE-82DF-CFE14C14B94D}
ALPS Touch Pad Driver-->C:\Program Files\Apoint\Uninstap.exe ADDREMOVE
Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
a-squared Anti-Malware 4.5-->"C:\Program Files\a-squared Anti-Malware\unins000.exe"
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
BAR-ONE 6.0 Lite-->MsiExec.exe /I{E5721133-49C8-47CC-8094-BD08E9BC97A9}
Bonjour-->MsiExec.exe /I{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}
Broadcom Advanced Control Suite 2-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{64A77F14-0E08-4A97-A859-E93CFF428756} /l1036 
Broadcom ASF Management Applications-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{25D24E84-64A9-40D2-85CF-540B1C4A6D52} /l1036 
CDBurnerXP Pro 3-->MsiExec.exe /I{896D642C-7125-44F0-AC49-A23ABF82209C}
Cisco Systems VPN Client 4.0.5 (Rel)-->MsiExec.exe /X{3E5562ED-69AB-4CEC-91E2-64E18EC5ACC6}
Conexant D110 MDC V.9x Modem-->C:\Program Files\CONEXANT\CNXT_MODEM_PCI_VEN_8086&DEV_24x6&SUBSYS_542214F1\HXFSETUP.EXE -U -Idel5422k.inf
Correctif Windows XP - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Correctif Windows XP - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Correctif Windows XP - KB887742-->C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe
Correctif Windows XP - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Correctif Windows XP - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Crystal Reports XI Release 2 .NET 2005 Server-->MsiExec.exe /I{A7FE99B6-E077-4F52-BC6A-E24C338F3C23}
DameWare NT Utilities-->MsiExec.exe /I{BD4D7556-8C37-46ED-9612-B56390177726}
Dell Photo AIO Printer 962-->C:\WINDOWS\system32\spool\drivers\w32x86\3\dlbxUNST.EXE -NOLICENSE
Désinstallation du logiciel d'imprimante Lexmark-->C:\Program Files\Lexmark\Install\Uninstall.exe
Digital Line Detect-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E646DCF0-5A68-11D5-B229-002078017FBF}\setup.exe" -l0x40c ControlPanel
DVD X Player 4.1 Professionnel-->"C:\Program Files\DVD X Player 4.1 Professionnel\unins000.exe"
Freeplayer-->C:\Program Files\Freeplayer\Uninstall.exe
Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
Gestion de l'alimentation de la carte réseau interne-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1F528948-0E80-4C96-B455-DE4167CB1DF7}\setup.exe" -l0x40c UNINSTALL APPDRVNT4
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
IBM iSeries Access for Windows-->"C:\Program Files\IBM\Client Access\cwbinarp.exe"
Identité Visuelle LISI-->C:\WINDOWS\unin040c.exe -f"C:\Program Files\NetForm\Identité Visuelle LISI\DeIsL1.isu"  -c"C:\Program Files\NetForm\Identité Visuelle LISI\_ISREG32.DLL"
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Intel(R) Graphics Media Accelerator Driver for Mobile-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx2ID PCI\VEN_8086&DEV_2792 PCI\VEN_8086&DEV_2592
Intel(R) PROSet/Wireless Software-->C:\WINDOWS\Installer\iProInst.exe
Internet Explorer Default Page-->MsiExec.exe /I{35BDEFF1-A610-4956-A00D-15453C116395}
IrfanView (remove only)-->C:\Program Files\IrfanView\iv_uninstall.exe
IsoBuster 2.3-->"C:\Program Files\Smart Projects\IsoBuster\Uninst\unins000.exe"
iTunes-->MsiExec.exe /I{318AB667-3230-41B5-A617-CB3BF748D371}
Jasc Paint Shop Photo Album-->MsiExec.exe /I{CC000127-5E5D-4A1C-90CB-EEAAAC1E3AC0}
Jasc Paint Shop Pro 8-->MsiExec.exe /I{81A34902-9D0B-4920-A25C-4CDC5D14B328}
Java 2 Runtime Environment, SE v1.4.2_03-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142030}
Java(TM) 6 Update 16-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
LimeWire 5.4.6-->"C:\Program Files\LimeWire\uninstall.exe"
LiveUpdate 1.80 (Symantec Corporation)-->C:\Program Files\Symantec\LiveUpdate\LSETUP.EXE /U
Lotus Notes 6.5.4 fr-->MsiExec.exe /I{475EF14B-55FE-4614-B9C3-561892008CE6}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
mCore-->MsiExec.exe /I{6DE14BE4-6F04-4935-8ABD-A0A19FE2E55A}
mDrWiFi-->MsiExec.exe /I{F6090A17-0967-4A8A-B3C3-422A1B514D49}
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
mHlpDell-->MsiExec.exe /I{49D687E5-6784-431B-A0A2-2F23B8CC5A1B}
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office Outlook Connector-->MsiExec.exe /I{95120000-0122-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Search Enhancement Pack-->MsiExec.exe /I{9C9CEB9D-53FD-49A7-85D2-FE674F72F24E}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)-->"C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB899589)-->"C:\WINDOWS\$NtUninstallKB899589$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB905915)-->"C:\WINDOWS\$NtUninstallKB905915$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB911567)-->"C:\WINDOWS\$NtUninstallKB911567$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB912812)-->"C:\WINDOWS\$NtUninstallKB912812$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB912919)-->"C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB913446)-->"C:\WINDOWS\$NtUninstallKB913446$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB916281)-->"C:\WINDOWS\$NtUninstallKB916281$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917159)-->"C:\WINDOWS\$NtUninstallKB917159$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917344)-->"C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917422)-->"C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917953)-->"C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB918899)-->"C:\WINDOWS\$NtUninstallKB918899$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB919007)-->"C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB920214)-->"C:\WINDOWS\$NtUninstallKB920214$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB921398)-->"C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB921883)-->"C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB922616)-->"C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB922760)-->"C:\WINDOWS\$NtUninstallKB922760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB922819)-->"C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923414)-->"C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923694)-->"C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB924191)-->"C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB924496)-->"C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB925454)-->"C:\WINDOWS\$NtUninstallKB925454$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB925486)-->"C:\WINDOWS\$NtUninstallKB925486$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB926255)-->"C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB928090)-->"C:\WINDOWS\$NtUninstallKB928090$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB928843)-->"C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB929969)-->"C:\WINDOWS\$NtUninstallKB929969$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB931768)-->"C:\WINDOWS\$NtUninstallKB931768$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB931784)-->"C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB933566)-->"C:\WINDOWS\$NtUninstallKB933566$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB935840)-->"C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB916595)-->"C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB920872)-->"C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB922582)-->"C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB927891)-->"C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB929338)-->"C:\WINDOWS\$NtUninstallKB929338$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB931836)-->"C:\WINDOWS\$NtUninstallKB931836$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB936357)-->"C:\WINDOWS\$NtUninstallKB936357$\spuninst\spuninst.exe"
mIWA-->MsiExec.exe /I{3E9D596A-61D4-4239-BD19-2DB984D2A16F}
mIWCA-->MsiExec.exe /I{6FFFE74E-3FBD-4E2E-97F9-5E9A2A077626}
mLogView-->MsiExec.exe /I{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}
mMHouse-->MsiExec.exe /I{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}
Modem Helper-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F142D56-3326-11D5-B229-002078017FBF}\setup.exe" -l0x40c ControlPanel
Movex Explorer ver 11.3ThisGen Workstation Configuration-->C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Intentia\Movex Explorer ver 11.3ThisGen\Uninstall\Uninstall Workstation Config.EXE
mPfMgr-->MsiExec.exe /I{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}
mPfWiz-->MsiExec.exe /I{90B0D222-8C21-4B35-9262-53B042F18AF9}
mProSafe-->MsiExec.exe /I{23FB368F-1399-4EAC-817C-4B83ECBE3D83}
mSSO-->MsiExec.exe /I{06BE8AFD-A8E2-4B63-BAE7-287016D16ACB}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
mToolkit-->MsiExec.exe /I{CA9BAADB-C262-4E05-B2E2-CEE8CE9809EC}
mWlsSafe-->MsiExec.exe /I{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}
mXML-->MsiExec.exe /I{9CC89556-3578-48DD-8408-04E66EBEF401}
MyWay Search Assistant-->MsiExec.exe /X{E7559288-223B-453C-9F06-340E3BE21E39}
mZConfig-->MsiExec.exe /I{94658027-9F16-4509-BBD7-A59FE57C3023}
NetWaiting-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3F92ABBB-6BBF-11D5-B229-002078017FBF}\setup.exe" -l0x40c ControlPanelAnyText
Numara Remote Control Guest-->MsiExec.exe /I{00000038-C690-11DB-9900-000E0CBD0225}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
PC Updater-->"C:\Program Files\PC Updater\unins000.exe"
PhotoFiltre-->"C:\Program Files\PhotoFiltre\Uninst.exe"
PowerArchiver-->C:\Program Files\PowerArchiver\UNINST.EXE
PowerDVD-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe"  -uninstall
Print to Fax-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5BF2B19D-9C79-492A-8969-F059F06A627F}\setup.exe" -l0x40c ControlPanel
Programme de gestion Camera de Logitech®-->"C:\Program Files\Fichiers communs\Logitech\QCDRV\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT
QuickSet-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C5074CC4-0E26-4716-A307-960272A90040}\setup.exe" -l0x40c UNINSTALL APPDRVNT4 - ALL
QuickTime-->MsiExec.exe /I{F958CA02-BB40-4007-894B-258729456EE4}
Satsuki Decoder Pack-->C:\Program Files\Satsuki Decoder Pack\Uninstall.exe
Security Update pour Microsoft .NET Framework 2.0 (KB928365)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {8056AC9E-49C5-4375-9ADE-B2F862C9DF51} /package {7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Service Pack 3 for StreamServe 3.0.1-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F006521E-0BAF-4897-BF6D-AB8B26191517}\setup.exe" -l0x9 
StreamServe Communication Server 3.0-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{625D4DC1-75A6-406C-A772-1A68217E8526}\setup.exe" -l0x9 
StreamServe Communication Server 4.1.2-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{13E5E081-F728-400B-A238-DCD42987295D}\setup.exe" -l0x9 
StreamServe Design 3.0-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9214A719-AEE0-4656-8035-5FC25E5180E1}\setup.exe" -l0x9 
StreamServe Tools 3.0-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8D77A0AC-9805-48F9-A895-3040496EE663}\setup.exe" -l0x9 
StreamServe Tools 4.1.2-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6E6C6FE8-59EA-4104-B719-517447316180}\setup.exe" -l0x9 
Trust WB-3100P Portable Webcam-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EADAA6F7-991F-4CE9-B5CE-FCF3D81F7C7D}\Setup.exe" -l0x9 
VideoLAN VLC media player 0.8.5-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Contrôle parental-->MsiExec.exe /X{D5D81435-B8DE-4CAF-867F-7998F2B92CFC}
Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}
Windows Live Writer-->MsiExec.exe /X{4634B21A-CC07-4396-890C-2B8168661FEA}
ZebraNet Utilities-->MsiExec.exe /I{3D3C6E58-7BAA-11D5-8F8F-0010A4EC0ADE}

======Security center information======

AV: LANDesk Antivirus client (disabled)
AV: a-squared Anti-Malware (disabled) (outdated)

======System event log======

Computer Name: PT102060
Event Code: 14
Message: Le fournisseur de temps NtpClient n'a pas pu trouver un contrôleur de domaine à utiliser comme
source de temps. NtpClient va essayer à nouveau dans 240 minutes.

Record Number: 44749
Source Name: W32Time
Time Written: 20100220202417.000000+060
Event Type: Avertissement
User: 

Computer Name: PT102060
Event Code: 40961
Message: Le système de sécurité n'a pas pu établir une connexion sécurisée avec le serveur DNS/relay.globalintranet.net. Aucun protocole n'était disponible.

Record Number: 44748
Source Name: LSASRV
Time Written: 20100220193919.000000+060
Event Type: Avertissement
User: 

Computer Name: PT102060
Event Code: 40960
Message: Le système de sécurité a détecté une tentative d'attaque pour
rétrograder le serveur DNS/relay.globalintranet.net. Le code de la panne à partir du protocole
d'authentification Kerberos était "Aucun serveur d'accès n'est actuellement disponible pour traiter la demande d'ouverture de session.
 (0xc000005e)".

Record Number: 44747
Source Name: LSASRV
Time Written: 20100220193919.000000+060
Event Type: Avertissement
User: 

Computer Name: PT102060
Event Code: 40961
Message: Le système de sécurité n'a pas pu établir une connexion sécurisée avec le serveur GFI-AEROSPACE\PT102060$. Aucun protocole n'était disponible.

Record Number: 44746
Source Name: LSASRV
Time Written: 20100220190613.000000+060
Event Type: Avertissement
User: 

Computer Name: PT102060
Event Code: 40960
Message: Le système de sécurité a détecté une tentative d'attaque pour
rétrograder le serveur GFI-AEROSPACE\PT102060$. Le code de la panne à partir du protocole
d'authentification Kerberos était "Aucun serveur d'accès n'est actuellement disponible pour traiter la demande d'ouverture de session.
 (0xc000005e)".

Record Number: 44745
Source Name: LSASRV
Time Written: 20100220190613.000000+060
Event Type: Avertissement
User: 

=====Application event log=====

Computer Name: PT102060
Event Code: 2
Message: Service started
Record Number: 13482
Source Name: FastObjects Server 9.5
Time Written: 20091118192225.000000+060
Event Type: Informations
User: 

Computer Name: PT102060
Event Code: 0
Message: 
Record Number: 13481
Source Name: RegSrvc
Time Written: 20091118192225.000000+060
Event Type: Informations
User: 

Computer Name: PT102060
Event Code: 1054
Message: Windows ne peut pas obtenir le nom du contrôleur de domaine pour votre réseau. (Le domaine spécifié n'existe pas ou n'a pas pu être contacté. ). Le traitement de la stratégie de groupe est interrompu.

Record Number: 13480
Source Name: Userenv
Time Written: 20091118192224.000000+060
Event Type: erreur
User: AUTORITE NT\SYSTEM

Computer Name: PT102060
Event Code: 2
Message: Le service a démarré.

Record Number: 13479
Source Name: Service de contrôle à distance LANDesk
Time Written: 20091118192221.000000+060
Event Type: Informations
User: 

Computer Name: PT102060
Event Code: 1054
Message: Windows ne peut pas obtenir le nom du contrôleur de domaine pour votre réseau. (Le domaine spécifié n'existe pas ou n'a pas pu être contacté. ). Le traitement de la stratégie de groupe est interrompu.

Record Number: 13478
Source Name: Userenv
Time Written: 20091118192218.000000+060
Event Type: erreur
User: AUTORITE NT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"LDMS_LOCAL_DIR"=C:\Program Files\LANDesk\LDClient\Data
"MAGICK_HOME"=C:\Program Files\StreamServe\4.1.2\Common\bin;C:\Program Files\StreamServe\3.0\Common\bin
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"PATH"=C:\Program Files\StreamServe\4.1.2\Common\bin;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\PROGRA~1\IBM\CLIENT~1;C:\PROGRA~1\IBM\CLIENT~1\Shared;C:\PROGRA~1\IBM\CLIENT~1\Emulator;;C:\Program Files\StreamServe\3.0\Common\bin;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 13 Stepping 8, GenuineIntel
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=0d08
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%
"CLASSPATH"=.;C:\Program Files\Java\j2re1.4.2_03\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\j2re1.4.2_03\lib\ext\QTJava.zip

-----------------EOF-----------------

pimprenelle27 · Answer

Et le rapport log.txt il est où?

tournemine · Answer

il arrive , il arrive
Logfile of random's system information tool 1.06 (written by random/random)
Run by YDerrien at 2010-03-22 12:44:51
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 7 GB (12%) free of 57 GB
Total RAM: 503 MB (17% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:43:38, on 22/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
slsvice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2service.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\basfipm.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\LANDesk\Shared Filesesidentagent.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Program Files\LANDesk\LDClient\LocalSch.EXE
C:\WINDOWS\system32\CBA\pds.exe
C:\Program Files\LANDesk\LDClient	mcsvc.exe
C:\PROGRA~1\LANDesk\LDClient\issuser.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\LANDesk\LDClient\collector.exe
C:\Program Files\lotus
otes
tmulti.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\StreamServe\4.1.2\Server\bin\ptserv32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\LANDesk\LDClient\softmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\PROGRA~1\LANDesk\LDClientcgui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Dell Photo AIO Printer 962\dlbxmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\LANDesk\LDClient\webportal\sdclientmonitor.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\dlbxcoms.exe
C:\Program Files\LANDesk\LDClient\antivirus\LDav.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Apoint\HidFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\LimeWire\LimeWire.exe
C:\Documents and Settings\YDerrien\Local Settings\Application Data\ave.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Satsuki Decoder Pack\mpc\mplayerc.exe
C:\RSIT.exe
C:\Program Files	rend micro\YDerrien.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.fr/myway
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearch.myway.com/jsp/dellsidebar.jsp?p=DR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.fr/myway
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dell.fr/myway
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [dlbxmon.exe] "C:\Program Files\Dell Photo AIO Printer 962\dlbxmon.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IntelAPMClient] "C:\Program Files\LANDesk\LDClient\amclient.exe" /apm /s /ro /Retry=2 /Tspan=60 /Rstart
O4 - HKLM\..\Run: [SDClientMonitor] "C:\Program Files\LANDesk\LDClient\webportal\sdclientmonitor.exe"
O4 - HKLM\..\Run: [LANDesk Antivirus] "C:\Program Files\LANDesk\LDClient\antivirus\LDav.exe" /systray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Notes Minder.lnk = C:\Lotus\Notes
minder.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CDC8A43-059E-47CD-A3D0-FA46E01F6496} (ExcelGenerator Class) - http://tellus.intentia.com/Tellus/Misc/TellusExportAx.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1C7CF466-F149-478F-B232-BC6F72638D28} (TellusView Class) - http://tellus.intentia.com/Tellus/Misc/TellusList.CAB
O16 - DPF: {B8C681FD-D629-4CCE-90CD-89493F1F2799} (MovexWorkplaceExtension Object) - http://172.20.32.191/mwp/ieui/IEMod.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = GFI-AEROSPACE.COM
O17 - HKLM\Software\..\Telephony: DomainName = GFI-AEROSPACE.COM
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = GFI-AEROSPACE.COM
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = GFI-AEROSPACE.COM
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = GFI-AEROSPACE.COM
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk Software, Ltd. - C:\Program Files\LANDesk\Shared Filesesidentagent.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iSeries Access for Windows Remote Command (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: dlbx_device - Dell - C:\WINDOWS\system32\dlbxcoms.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel Local Scheduler Service - LANDesk Software, Ltd. - C:\Program Files\LANDesk\LDClient\LocalSch.EXE
O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINDOWS\system32\CBA\pds.exe
O23 - Service: Multicast LANDesk ciblé (Intel Targeted Multicast) - LANDesk Software, Ltd. - C:\Program Files\LANDesk\LDClient	mcsvc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service de contrôle à distance LANDesk (ISSUSER) - LANDesk Software, Ltd. - C:\PROGRA~1\LANDesk\LDClient\issuser.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LANDesk(R) Antivirus (LDAVService) - LANDesk Software, Ltd. - C:\Program Files\LANDesk\LDClient\antivirus\avservice.exe
O23 - Service: Ouverture de session unique de Lotus Notes (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32
slsvice.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Program Files\lotus
otes
tmulti.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: StreamServe Reporter (Reporter) - Unknown owner - C:\Program Files\StreamServe\4.1.2\Reporter\bin\bootloader.exe
O23 - Service: StreamServe Repository Server (Repository Server) - POET Software - C:\Program Files\StreamServe\4.1.2\Server\bin\ptserv32.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceBroker - StreamServe, Inc. - C:\Program Files\StreamServe\4.1.2\Server\ServiceBroker.exe
O23 - Service: LANDesk(R) Software Monitoring Service (Softmon) - LANDesk Software, Ltd. - C:\Program Files\LANDesk\LDClient\softmon.exe
O23 - Service: StreamServe MVXOUT_V4 (StreamServe2) - StreamServe, Inc. - C:\Program Files\StreamServe\4.1.2\Server\strsvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
O24 - Desktop Component 1: (no name) - P:\informatique
O24 - Desktop Component 2: (no name) - P:\informatique\MOVEX M3

pimprenelle27 · Answer

Voici les infections que tu as : 

Infection Rogue (Trojan.Sinkin)

Infection USB (USB.Troj)

Infection BT (MyWebSearch.Spy)


en plus tu fais deu peer to peer

Tu n'as plus d'antivirus

tu as A-Squared Anti-malware à virer de suite il ne sert à rien


1ère chose à faire  : 

&#x25B6; Télécharge FindyKill et enregistre-le sur ton bureau

&#x25B6; Double clic sur le raccourci FindyKill sur ton bureau, l'installation se fera automatiquement

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

&#x25B6; Au menu principal,choisi l option 1 (Recherche)

&#x25B6; Patiente un peu, l'analyse peut durer quelques minutes

&#x25B6; Post le rapport FindyKill.txt

 * Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

tournemine · Answer

voici le rapport:
j ai branché mes 2 clefs usbs.
j ai voulue mettre une autre version d'antivir mais apres desinstallation
la nouvelle ne s installe pas .
donc je n ai plus dantivirus actuellement.

############################## | FindyKill V5.038 |

# User : YDerrien () # PT102060
# Update on 15/03/2010 by El Desaparecido
# Start at: 17:21:54 | 22/03/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

#         Intel(R) Pentium(R) M processor 1.73GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : LANDesk Antivirus client 8.70.7.17 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 55,78 Go (6,73 Go free) [g] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque amovible # 1,89 Go (1,89 Go free) [CLEF USB] # FAT32
# H:\ # Disque amovible # 507,23 Mo (478,26 Mo free) # FAT32
# X:\ # Connexion réseau

################## | Eléments infectieux |


################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.038 ! |

pimprenelle27 · Answer

il fallait attendre avant de faire quoi que ce soit il fallait m'en parler avant avec les virus que tu as c'est normale : 

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

&#x25B6; Double clic sur le raccourci FindyKill sur ton bureau

&#x25B6; Au menu principal,choisi l option 2 (Suppression)


/!\ il y aura un redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

&#x25B6; ensuite post le rapport FindyKill.txt

 * Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
 * Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides


A lire :


le danger des cracks

bagle/beagle

tournemine · Answer

salut,

le scan est en cours et il bloque a30 % depuis hier soir sur un fichier du repertoire
i386 fichier clipsrv.exe
je fais quoi j'essaie de le virer ?

tournemine · Answer

re,
a nouveau a 30% mais avecle fichier cmd.exe du meme repertoire

pimprenelle27 · Answer

Ne vire pas ces fichiers STP essaye findykill en mode sans échec STP.

tournemine · Answer

quand je l'execute en mode sans echec il redemarre mais au redemarrage il doit faire sa suppression en sans echec ou en normal ?
Car si je lui dis pas (via f5) de faire du sans echec il redemarre en normal.
et si je le force en sans echec il ne fais pas de scan .
en normal donc il fais le scan mais a 30% il semble bloquer sur le meme repertoire  fichier ahui.exe.
je laisse tourner

pimprenelle27 · Answer

Que je comprenne tu arrive à accéder au mode sans échec?

Si oui arrive tu à lancer findykill?

tournemine · Answer

non au redemarrage en sans echec il ne fait pas le scan ,meme sil a ete lancé en sans echec au depart.
en fait pour qu'il fasse sont scan le pc doit redemarrer en normal.
actuellement il est bloqué sur le fichier arp.exe

tournemine · Answer

en fait il semble continuer  il est surun fichier: asr_fmt.exe
est ce normal qu'il soit si long  ?

tournemine · Answer

Pour repondre a ta question oui j'arrive a aller au mode sans echec.
mais une fois le choix 1 fais je fais 2 suppression.
et c est là que ça foire car il redemarre et au reboot si je fais pas f5 pour lui dire sans echec il va en mode normal et ne fais pas le mode suppression en sans echec.

pimprenelle27 · Answer

laisse le tourner en mode normale c'est parfois long suivant les pc.

tournemine · Answer

bonjour,
ça fais maintenant 24 heures que ça tourne et il est toujours sur le repertoire i386.
de temps en teps il change de fichier : actuellement sur diskperf.exe
mais l'activité du disque dur semble quasi nulle voir inexistante.
est ce necessaire de le laisser quand meme ?
merci

pimprenelle27 · Answer

Ferme la et réessaye le STP.

tournemine · Answer

tu veux que je demarre le pc et que je relance , c est ça ?

pimprenelle27 · Answer

oui c'est ça.

tournemine · Answer

je l ai relancé dans l'apres midi il est sur  le repertoir i386 
fichier admin.exe
mais tjs en mode normal .
ça doit changer quoi de le relancer

pimprenelle27 · Answer

D'essayer d'obtenir un rapport. si cela ne fonctionne pas on passera à la suite.

tournemine · Answer

salut,
ça na pas beaucoup avancé depuis hier midi  , il est toujours en cours dans i386
il reste a 30% et change de fichier de temps en temps.
dois je le laisser tourner ?
merci

tournemine · Answer

salut,
ça tourne toujours depuis hier .
dans le repertoire i386
je laisse faire ?

merci pour ta reponse

pimprenelle27 · Answer

Arrête tout on va faire la suite  : 


&#x25B6; Désactiver vos logiciels de sécurité tel qu'antivirus...

&#x25B6; Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : 

https://www.androidworld.fr/

&#x25B6; Ou là :

https://www.androidworld.fr/

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

&#x25B6;  Double-clique sur l'icône Ad-remover située sur ton Bureau.

&#x25B6;  Sur la page, clique sur le bouton « Scanner »

&#x25B6;  Confirme lancement du scan

&#x25B6;  Laisse travailler l'outil.

&#x25B6;  Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report.)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

tournemine · Answer

bonjour,
voici le rapport:
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 23/03/10 à 14:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 08:23:52 le 26/03/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM)  Service Pack 2 - X86
Nom du PC: PT102060 | Utilisateur actuel: YDerrien (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
.
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.dell.fr/myway
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://mysearch.myway.com/jsp/dellsidebar.jsp?p=DR
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Use Custom Search URL: 0x01000000
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.dell.fr/myway
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://www.dell.fr/myway
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\DOCUME~1\YDerrien\LOCALS~1\Temp: 5718 Fichier(s), 85 Dossier(s)
C:\WINDOWS	emp: 69 Fichier(s), 12 Dossier(s)
Temporary Internet Files: 333 Fichier(s), 15 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 0 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 1845 Octet(s)
.
Fin à: 08:36:27, 26/03/2010
.
============== E.O.F - SCAN[1] ==============

pimprenelle27 · Answer

Bonjour,

aurais tu supprimé l'infection MyWebSearch?

tournemine · Answer

non non  pas que je sache.
c estquoi mywebsearch ?

pimprenelle27 · Answer

Non ça devait être des restes car malware l'à supprimé, on va passer à l'infection USB : 

&#x25B6; Télécharge UsbFix et enregistre-le sur ton bureau

&#x25B6; tutoriel recherche

&#x25B6; Double-clique sur UsbFix présent sur ton bureau, l'installation se fera automatiquement

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

&#x25B6; Choisi l'option 1 (recherche)

&#x25B6; Laisse travailler l'outil

&#x25B6; Ensuite post le rapport UsbFix.txt qui apparaîtra

* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

tournemine · Answer

voile le rapport usbfix  (choix1)
je n ai pas fais les choix 2 ni 3.


############################## | UsbFix V6.100 |

User : YDerrien () # PT102060
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 13:53:16 | 26/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

        Intel(R) Pentium(R) M processor 1.73GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : LANDesk Antivirus client 8.70.7.17 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 55,78 Go (6,72 Go free) [g] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 507,23 Mo (476,55 Mo free) # FAT32
H:\ -> Disque amovible # 1,89 Go (1,89 Go free) [CLEF USB] # FAT32
X:\ -> Connexion réseau

################## | Elements infectieux |

C:\WINDOWS\CwbRmDir.bat  
C:\recycled\Recycled   

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\##192.168.102.2#d$
Shell\AutoRun\command =Z:\ 
Shell\explore\Command =RECYCLED\INFO.exe 
Shell\open\Command =RECYCLED\INFO.exe 

HKCU\..\..\Explorer\MountPoints2\{d4ebc25c-5d0b-11de-94c4-00166f5d3386}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
Shell\Open(0)\command =G:\Recycled\ctfmon.exe 

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.100 ! |

pimprenelle27 · Answer

&#x25B6; tutoriel nettoyage

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#x25B6; Double clic sur le raccourci UsbFix présent sur ton bureau

&#x25B6; choisi l'option 2 ( Suppression )

&#x25B6; Ton bureau disparaîtra et le pc redémarrera .

&#x25B6; Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#x25B6; Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .

&#x25B6; Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

&#x25B6; /!\ UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

&#x25B6; Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.

&#x25B6; Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

&#x25B6; Merci d'avance pour ta contribution !!

tournemine · Answer

c est fait j ai envoyé le fichier zip .
Mais quelle demarche se met en place ensuite stp ?
merci

pimprenelle27 · Answer

Je peux avoir le rapport de supression usb fix STP.

tournemine · Answer

voila,

############################## | UsbFix V6.100 |

User : YDerrien () # PT102060
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:18:36 | 26/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

        Intel(R) Pentium(R) M processor 1.73GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : LANDesk Antivirus client 8.70.7.17 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 55,78 Go (6,67 Go free) [g] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 507,23 Mo (476,54 Mo free) # FAT32
H:\ -> Disque amovible # 1,89 Go (1,89 Go free) [CLEF USB] # FAT32
X:\ -> Connexion réseau

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\CwbRmDir.bat 
Supprimé ! C:ecycled\Recycled  
Supprimé ! C:\Recycler\S-1-5-21-2128635536-4166032182-1258186530-500 
Supprimé ! C:\Recycler\S-1-5-21-21973435-1843860885-618671499-1274 
Supprimé ! C:\Recycler\S-1-5-21-21973435-1843860885-618671499-1276 
Supprimé ! C:\Recycler\S-1-5-21-21973435-1843860885-618671499-1736 
Supprimé ! C:\Recycler\S-1-5-21-21973435-1843860885-618671499-1945 
Supprimé ! C:\Recycler\S-1-5-21-21973435-1843860885-618671499-500 
Supprimé ! C:\Recycler\S-1-5-21-21973435-1843860885-618671499-9142 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\##192.168.102.2#d$\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{d4ebc25c-5d0b-11de-94c4-00166f5d3386}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[22/03/2010 09:06|--a------|86876128] C:\a2AntiMalwareSetup[0].exe 
[26/03/2010 08:36|--a------|1969] C:\Ad-Report-SCAN[1].txt 
[19/08/2004 14:18|--a------|0] C:\AUTOEXEC.BAT 
[08/07/2009 12:19|--a------|30143928] C:\avira_antivir_personal_free.exe 
[13/03/2006 09:08|-rahs----|212] C:\boot.ini 
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin 
[19/08/2004 14:18|--a------|0] C:\CONFIG.SYS 
[26/03/2010 08:16|--a------|1324373] C:\C_XX_AD-R.exe 
[26/03/2010 13:47|--a------|1509] C:\dlbx.log 
[26/03/2010 13:49|--a------|41333] C:\dlbxscan.log 
[24/03/2010 18:30|--a------|845] C:\FyK.txt 
[23/03/2010 10:31|--a------|1336] C:\FyK2.txt 
[23/03/2010 13:03|--a------|1336] C:\FyK3.txt 
[?|?|?] C:\hiberfil.sys 
[24/12/2009 13:16|--a------|4128] C:\INFCACHE.1 
[14/02/2007 15:34|-rahs----|0] C:\IO.SYS 
[21/03/2010 19:41|--a------|5115824] C:\mbam-setup.exe 
[14/02/2007 15:34|-rahs----|0] C:\MSDOS.SYS 
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM 
[05/08/2004 13:00|-rahs----|251712] C:
tldr 
[?|?|?] C:\pagefile.sys 
[22/03/2010 17:17|--a------|1376471] C:\Setup.exe 
[22/03/2010 08:57|--a------|5295104] C:\spywarefighter.exe 
[24/03/2010 18:18|--a------|167] C:\TCleaner.txt 
[26/03/2010 13:28|--a------|1776011] C:\UsbFix.exe 
[26/03/2010 14:24|--a------|3006] C:\UsbFix.txt 
[03/03/2010 11:09|--a------|20480] G:\Vid'o.doc 
[03/03/2010 11:11|--a------|107520] G:\Explications du sch'ma de la peau.doc 
[03/03/2010 11:00|--a------|27136] G:\la peau manon.doc 
[03/03/2010 11:04|--a------|24064] G:\Les rides.doc 
[03/03/2010 11:05|--a------|27136] G:\Plan du TPE.doc 
[08/07/2009 12:19|--a------|30143928] G:\avira_antivir_personal_free.exe 
[22/03/2010 17:22|--a------|1329] G:\FyK.txt 
[24/03/2010 17:32|--a------|455680] G:\ToolsCleaner2.exe 
[26/03/2010 08:16|--a------|1324373] G:\C_XX_AD-R.exe 
[26/03/2010 09:36|--a------|1969] G:\Ad-Report-SCAN[1].txt 
[26/03/2010 13:55|--a------|1529] G:\UsbFix.txt 
[?|?|?] H:\ZOLA.docx 
[?|?|?] H:\M2MOIRE1.JPG 
[09/03/2010 19:11|---h-----|27561] H:\~WRL1418.tmp 
[?|?|?] H:\m'moire 201.docx 
[?|?|?] H:\FyK.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

pimprenelle27 · Answer

Parfais ensuite  : 

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

tournemine · Answer

voici le rapport
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3917
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

26/03/2010 17:38:58
mbam-log-2010-03-26 (17-38-58).txt

Type de recherche: Examen complet (C:\|G:\|)
Eléments examinés: 246023
Temps écoulé: 55 minute(s), 5 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
C:\Documents and Settings\YDerrien\Local Settings\Application Data\ave.exe (Rogue.MultipleAV) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\mywaysearchassistantde.auxiliary (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywaysearchassistantde.auxiliary.1 (Adware.MyWaySearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\secfile\shell\open\command\(default) (Rogue.MultipleAV) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\YDerrien\Local Settings\Application Data\ave.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.exe\(default) (Hijacked.exeFile) -> Bad: (secfile) Good: (exefile) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\DAEMON Tools\SetupDTSB.exe (Adware.WhenU) -> Quarantined and deleted successfully.
C:\Setup.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\YDerrien\Local Settings\Application Data\ave.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.

pimprenelle27 · Answer

Parfais vide la quarantaine, Ensuite pour vérifier qu'il n'y est pas de spyware, adware, trojans, vers, keylogger, hijacker, dialer et toutes autres menaces destinées au vol d'informations confidentielles


Télécharge Superantispyware (SAS)



Choisis en bas de la page download free version home users puis tu clique sur "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning  (Fermer Navigateur avant le scan)

Scan for tracking cookies  (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.

tournemine · Answer

salut,
ok c est en cours de scan .
il semble que deja ça aille beaucoup mieux car le pare feu de windows est re activé.
en + j ai plus tous les messages du debut.
avant que je recoive ton message ja i reinstalle  antivir , mais pour le moment il estdesactiver.
sinon une question comme fire wall il est preferable de desactiver celui de windows et d'avoir par exemple zonealarm ?

pimprenelle27 · Answer

Je te donnerais toute les infos sur les parfeu et le reste.

Il ne reste plus qu'1 scan après SAS et ensuite on passe au nettoyage et mis à jour de ton ordi.

tournemine · Answer

voila le rapport:
SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 03/26/2010 at 09:13 PM

Application Version : 4.34.1000

Core Rules Database Version : 4596
Trace Rules Database Version: 1978

Scan type       : Complete Scan
Total Scan Time : 00:52:35

Memory items scanned      : 631
Memory threats detected   : 0
Registry items scanned    : 7164
Registry threats detected : 0
File items scanned        : 22245
File threats detected     : 411

Adware.Tracking Cookie
	C:\Documents and Settings\YDerrien\Cookies\yderrien@e-2dj6wjkyuocpgeo.stats.esomniture[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@msnportal.112.2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@cgi-bin[3].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.motogp[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ad.proxad[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@indexstats[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@dynamic.media.adrevolver[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@msnaccountservices.112.2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@lagarderefrance.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@server.iad.liveperson[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.sports[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@stats.canalblog[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@adv.surinter[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@adserver.aol[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@partypoker[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@track.bestbuy[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@tradedoubler[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@revenue[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@adrevolver[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@weba.cdiscount[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ad.yieldmanager[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@content.yieldmanager[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@advertising[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@boursoramabanque.solution.weborama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@interhome.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@bs.serving-sys[3].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@cetelem.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@windowslivemessenger.solution.weborama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ehg-lexmark.hitbox[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@valueclick[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ouestfrance-multimedia[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@trafficmp[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ad.caradisiac[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@eas.apm.emediate[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@winantivirus[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@xiti[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@cdiscount[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@apmebf[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.pixicast[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@gemeyrenosuperstay.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@nestle.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@burstnet[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@statse.webtrendslive[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ad.zanox[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@tracker.affistats[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@meteof[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@adviva[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@samsung.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@bluestreak[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@maxserving[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@statcounter[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@overture[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@kontera[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@doubleclick[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@stats1.reliablestats[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@fastclick[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@media6degrees[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@track.effiliation[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@2006[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@as1.falkag[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@yourmedia[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@weborama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@admarketplace[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@realmedia[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@cgi-bin[4].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads1.partnerlogic[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@nestlewaters.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@stats.sports[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@questionmarket[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ttbpgsm.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@cassava[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@adbrite[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@nestlecereals.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@windowsmedia[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@adtech[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@account.live[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@www.winantivirus[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@serving-sys[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@sonyeurope.112.2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.ratiatum[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@casalemedia[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@2006[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@mediaplex[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@estat[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@tracking.lsfinteractive[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@smartadserver[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@247realmedia[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ladynett.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@bnpparibasnet.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@media.adrevolver[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@interclick[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@atdmt[3].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@fr.winantivirus[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@specificclick[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@a[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@elle.solution.weborama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@click.mediadome[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@cnam.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@creditcooperatif.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@mediastay.directtrack[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@at.atwola[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ehg-nokiafin.hitbox[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@cgi-bin[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@vivelledop.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.pointroll[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@dieselonlythebrave.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@elite-auto[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@bubblestat[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@nestleextreme.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@lfstmedia[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@hitbox[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@zedo[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@castorama.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@lascad.solution.weborama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@tribalfusion[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@microsoftwindows.112.2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@www.cdiscount[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ad.doctissimo[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@www2.adserverpub[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@yadro[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@consolidationwindowsfrie8.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@collective-media[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.canalblog[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@lorealpariselseve.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@aimfar.solution.weborama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@player[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@chitika[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ie8audience.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@himedia.112.2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ww3.shoshkeles[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@fr.at.atwola[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@fnacmagasin.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@adrevolver[2].txt

tournemine · Answer

voici le log
	C:\Documents and Settings\YDerrien\Cookies\yderrien@adv.bewebmedia[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@3426148[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@tacoda[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@laredoute.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@tracking.publicidees[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@888[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@m1.webstats.motigo[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@lorealparis.solution.weborama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@oboulogroupe.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@118218.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@himedia.individuad[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@intermarche2009.solution.weborama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@socialmedia[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@scout-sex-sun.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@videoegg.adbureau[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@t.bbtrack[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@toplist[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@pmu[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@buggy.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@notrefamille.112.2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@click-fr[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@sexionofficiel.skyrock[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@banquepopulaire.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@media.photobucket[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@cacharel2010.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@invitemedia[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@cdn5.specificclick[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@trackstar-sound.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ttbdurex.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@mediadico[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@track.webgains[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@movitex.122.2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@lamediatheque[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@clickintext[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@caf2009.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ww57.smartadserver[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@asteclick[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@eurosportfr[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@media-convert[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@virginmobile.solution.weborama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@fl01.ct2.comclick[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.blogg[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@www.elite-auto[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@garnier2009.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@www.belstat[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@gemey2009.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@pixel[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@iv2.bluestreak[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@baseco.solution.weborama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@interflora2.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@publishers.bewebmedia[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@www.belstat[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.128b[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@adserver.futura-sciences[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@weboramapromotions.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@sexiion-musiic.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.songlyrics[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@specificmedia[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@zanox[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@x-sexion-dassaut-x.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@smeno[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@xxx-f4shion-muziik-xxx.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@bouyguestelecom.solution.weborama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@www.lamediatheque[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@metroleap.rotator.hadj7.adjuggler[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@gwada-mixxx.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@xxx-3min3m-xxx.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@fr[4].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@xxx-dj-walid-zik-xxx.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@hotchicksoundtrack.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@valueclick[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@servlet[3].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.glispa[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@cdn4.specificclick[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@xxxx-ice-cream-xxxx.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@aem.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@sexion-offishal.skyrock[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@premiere.solution.weborama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@www3.smartadserver[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@sexiondassaut-3emepro.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.ad4game[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@stat.blogorama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@date.ventivmedia[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@renault-fr[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@aodfrance.solution.weborama[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@1070193650[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@trackers.1st-affiliation[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.bootcampmedia[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@adserver.wconception[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@eurosport[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@lyceens[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@armani2010.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@phoneandphone.122.2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@www.aina-media[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@simyofr.112.2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@account.yusho[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@lolitalempickasaintvalentin2008.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@espaceinfirmier[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@jibjab.112.2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@xxx-7-loic-7-xxx.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@xbirthdaaysex.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.networldmedia[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@mmedia.t134[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@xxxjeremychapronxxx.skyrock[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@earlyexp[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@mediatraffic[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@rts.pgmediaserve[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@partyaccount[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@trunitybe2.122.2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@fr.partypoker[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@www.smartadserver[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@biothermaquapower.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@renault-group[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@adserving.favorit-network[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@track.right-ads[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@wkfr[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@CM[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ak[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@pro-market[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@data.coremetrics[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.outcamp[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@networldmedia[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@stat.dealtime[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@adserver.adreactor[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@homairvacances.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@cewecolor.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@xm.xtendmedia[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@canoe.112.2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@carrefourfr.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@99counters[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@courchevelgroupe.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@advertise[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@vitamine.networldmedia[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.clicmanager[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@uk.at.atwola[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ads.easyad[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@tracking.veille-referencement[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@conforamalancementsite.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@pmu-fr[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@decitre[3].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@1063334938[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@ad.ieurop[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@adecn[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@sfr.122.2o7[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@aco.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@toyota2.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@canalplus-fr[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@simyofr.122.2o7[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@laredoute.solution.weborama[2].txt
	C:\Documents and Settings\Administrateur\Cookies\administrateur@maxserving[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@boursoramabanque.solution.weborama[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@fastclick[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@adbrite[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@weborama[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@tracking.lsfinteractive[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@tradedoubler[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@zanox[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@burstnet[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@track.bestbuy[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@tracker.affistats[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@lfstmedia[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@content.yieldmanager[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@247realmedia[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@bs.serving-sys[3].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@stats.canalblog[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@lagarderefrance.solution.weborama[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@trafficmp[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@ads.sports[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@bs.serving-sys[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@advertising[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@ad.zanox[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@nestle.solution.weborama[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@doubleclick[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@track.effiliation[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@clickintext[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@adserver.aol[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@ad.caradisiac[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@e-2dj6wjkyuocpgeo.stats.esomniture[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@windowsmedia[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@stats.sports[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@statcounter[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@ad.yieldmanager[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@adrevolver[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@adrevolver[3].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@msnaccountservices.112.2o7[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@questionmarket[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@as1.falkag[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@stats1.reliablestats[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@specificclick[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@fr.winantivirus[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@statse.webtrendslive[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@ttbpgsm.solution.weborama[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@msnportal.112.2o7[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@atdmt[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@bnpparibasnet.solution.weborama[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@ehg-lexmark.hitbox[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@interclick[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@xiti[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@adtech[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@eas.apm.emediate[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@media.adrevolver[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@ouestfrance-multimedia[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@ads.motogp[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@casalemedia[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@apmebf[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@indexstats[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@cdiscount[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@www.winantivirus[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@fr.classic.clickintext[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@yourmedia[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@overture[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@adviva[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@smartadserver[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@adv.surinter[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@server.iad.liveperson[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@winantivirus[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@mediaplex[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@himedia.individuad[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@weba.cdiscount[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@admarketplace[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@kontera[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@interhome.solution.weborama[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@adv.bewebmedia[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@ads.adbrite[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@sonyeurope.112.2o7[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@ads.pixicast[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@ad.proxad[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@bluestreak[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@ads.ratiatum[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@m1.webstats.motigo[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@tracking.publicidees[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@windowslivemessenger.solution.weborama[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@revenue[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@elle.solution.weborama[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@dynamic.media.adrevolver[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@serving-sys[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@aimfar.solution.weborama[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@cnam.solution.weborama[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@cetelem.solution.weborama[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@valueclick[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@2o7[1].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@click.mediadome[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@maxserving[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@media6degrees[2].txt
	C:\Documents and Settings\Administrateur\Cookies\yderrien@realmedia[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@bs.serving-sys[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@account[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@stats[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@atdmt[1].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@atdmt[2].txt
	C:\Documents and Settings\YDerrien\Cookies\yderrien@serving-sys[2].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@weborama[1].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@boursoramabanque.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@tradedoubler[1].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@content.yieldmanager[2].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@content.yieldmanager.edgesuite[2].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@bs.serving-sys[1].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@doubleclick[2].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@ad.yieldmanager[2].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@msnportal.112.2o7[1].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@atdmt[2].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@xiti[1].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@toyota2.solution.weborama[2].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@bluestreak[2].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@tracking.publicidees[2].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@serving-sys[2].txt
	C:\Documents and Settings\YDerrien\Local Settings\Temp\Cookies\yderrien@adtech[1].txt
	C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-2128635536-4166032182-1258186530-500.UsbFix\Dc3\Cookies\acoquel@xiti[1].txt
	C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-2128635536-4166032182-1258186530-500.UsbFix\Dc3\Cookies\acoquel@ads.tiscali[1].txt
	C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-2128635536-4166032182-1258186530-500.UsbFix\Dc3\Cookies\acoquel@as-eu.falkag[1].txt
	C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-2128635536-4166032182-1258186530-500.UsbFix\Dc3\Cookies\acoquel@tracker.roitesting[1].txt
	C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-2128635536-4166032182-1258186530-500.UsbFix\Dc3\Cookies\acoquel@bluestreak[2].txt
	C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-2128635536-4166032182-1258186530-500.UsbFix\Dc3\Cookies\acoquel@adv.surinter[2].txt
	C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-2128635536-4166032182-1258186530-500.UsbFix\Dc3\Cookies\acoquel@mediaplex[1].txt
	C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-2128635536-4166032182-1258186530-500.UsbFix\Dc3\Cookies\acoquel@www.smartadserver[2].txt
	C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-2128635536-4166032182-1258186530-500.UsbFix\Dc3\Cookies\acoquel@doubleclick[1].txt
	C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-2128635536-4166032182-1258186530-500.UsbFix\Dc3\Cookies\acoquel@maxserving[2].txt

pimprenelle27 · Answer

il n'y a que ça de rapport, il est entier?

tournemine · Answer

c est bien ce que je crois ,  il doit en manquer un bout mais il n est pas dans
le journal.
le pc a du s eteindre hier soir je sais pas trop comment d ailleurs .
y a  til un moyen de le relancer ou de le retoruver ?

tournemine · Answer

en fait il y a deux logs :
le 1er est celui que j'aiposté mais qui est imcomplet suite a mon avis un arret 
intempestif du pc 
le second d'aujourdhui avecle rapport ci dessous :
UPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 03/27/2010 at 02:11 PM

Application Version : 4.34.1000

Core Rules Database Version : 4596
Trace Rules Database Version: 1978

Scan type       : Complete Scan
Total Scan Time : 00:54:37

Memory items scanned      : 599
Memory threats detected   : 0
Registry items scanned    : 7165
Registry threats detected : 0
File items scanned        : 22244
File threats detected     : 1

Adware.Tracking Cookie
	C:\Documents and Settings\YDerrien\Cookies\yderrien@atdmt[2].txt

pimprenelle27 · Answer

ok tu peux vider la quarantaine, ensuite  

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#x25B6; Télécharge List_Kill'em et enregistre le sur ton bureau

&#x25B6; Double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

&#x25B6; une fois terminée , clic sur "terminer" et le programme se lancera seul

&#x25B6; Choisis choisis l'option Search

&#x25B6; Un icône blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.

&#x25B6; laisse travailler l'outil

&#x25B6; A l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

&#x25B6; Un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

&#x25B6; Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"


 Ensuite héberger le rapport : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  chercher le rapport .txt puis cliquez sur  ici pour déposer le fichier

&#x25B6; Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

tournemine · Answer

la fenetre est planté a 30%
j ai du arreterle pc dans le fichier a la racine il y a ceic i:
List'em by g3n-h@ckm@n 1.6.0.6

User : YDerrien () 
Update on 27/03/2010 by g3n-h@ckm@n ::::: 14.50
Start at: 11:24:48 | 28/03/2010

        Intel(R) Pentium(R) M processor 1.73GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : LANDesk Antivirus client 8.70.7.17 [ (!) Disabled | Updated ]
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local | 55,78 Go (6,57 Go free) [g] | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible | 507,23 Mo (462,89 Mo free) | FAT32
X:\ -> Connexion réseau
 
Boot: Normal 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
slsvice.exe
C:\WINDOWS\system32
sl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\basfipm.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\LANDesk\Shared Filesesidentagent.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Program Files\LANDesk\LDClient\LocalSch.EXE
C:\WINDOWS\system32\CBA\pds.exe
C:\Program Files\LANDesk\LDClient	mcsvc.exe
C:\PROGRA~1\LANDesk\LDClient\issuser.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\lotus
otes
tmulti.exe
C:\PROGRA~1\LANDesk\LDClient\collector.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\StreamServe\4.1.2\Server\bin\ptserv32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\LANDesk\LDClient\softmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\PROGRA~1\LANDesk\LDClientcgui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Apoint\HidFind.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Dell Photo AIO Printer 962\dlbxmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\dlbxcoms.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\LANDesk\LDClient\webportal\sdclientmonitor.exe
C:\Program Files\LANDesk\LDClient\antivirus\LDav.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\LANDesk\LDClient\vulScan.exe
C:\WINDOWS\system32\wuauclt.exe
G:\List_Killem_Install.exe
C:\DOCUME~1\YDerrien\LOCALS~1\Temp\is-EG8EH.tmp\List_Killem_Install.tmp
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\pv.exe

======================
Keys "Run" 
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ctfmon.exe	REG_SZ         	C:\WINDOWS\system32\ctfmon.exe
msnmsgr	REG_SZ         	"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
SUPERAntiSpyware	REG_SZ         	C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
Apoint	REG_SZ         	C:\Program Files\Apoint\Apoint.exe 
igfxtray	REG_SZ         	C:\WINDOWS\system32\igfxtray.exe 
igfxhkcmd	REG_SZ         	C:\WINDOWS\system32\hkcmd.exe 
igfxpers	REG_SZ         	C:\WINDOWS\system32\igfxpers.exe 
SunJavaUpdateSched	REG_SZ         	"C:\Program Files\Java\jre6\bin\jusched.exe" 
<NO NAME>	REG_SZ         	 
IntelWireless	REG_SZ         	C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless 
Dell QuickSet	REG_SZ         	C:\Program Files\Dell\QuickSet\quickset.exe 
dlbxmon.exe	REG_SZ         	"C:\Program Files\Dell Photo AIO Printer 962\dlbxmon.exe" 
DAEMON Tools	REG_SZ         	"C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 
Client Access Service	REG_SZ         	"C:\Program Files\IBM\Client Access\cwbsvstr.exe" 
Client Access Help Update	REG_SZ         	"C:\Program Files\IBM\Client Access\cwbinhlp.exe" 
Client Access Check Version	REG_SZ         	"C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN 
Client Access Express Welcome	REG_SZ         	"C:\Program Files\IBM\Client Access\cwbwlwiz.exe" 
RemoteControl	REG_SZ         	"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" 
IntelAPMClient	REG_SZ         	"C:\Program Files\LANDesk\LDClient\amclient.exe" /apm /s /ro /Retry=2 /Tspan=60 /Rstart 
SDClientMonitor	REG_SZ         	"C:\Program Files\LANDesk\LDClient\webportal\sdclientmonitor.exe" 
LANDesk Antivirus	REG_SZ         	"C:\Program Files\LANDesk\LDClient\antivirus\LDav.exe" /systray 
QuickTime Task	REG_SZ         	"C:\Program Files\QuickTime\qttask.exe" -atboottime 
iTunesHelper	REG_SZ         	"C:\Program Files\iTunes\iTunesHelper.exe" 
LVCOMSX	REG_SZ         	C:\WINDOWS\system32\LVCOMSX.EXE 
avgnt	REG_SZ         	"C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] 
dontdisplaylastusername	REG_DWORD      	0 (0x0) 
legalnoticecaption	REG_SZ         	 
legalnoticetext	REG_SZ         	 
shutdownwithoutlogon	REG_DWORD      	1 (0x1) 
undockwithoutlogon	REG_DWORD      	1 (0x1) 

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveTypeAutoRun	REG_DWORD      	255 (0xff) 
NoDriveAutoRun	REG_DWORD      	255 (0xff) 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] 
NoDriveAutoRun	REG_DWORD      	255 (0xff) 
NoDriveTypeAutoRun	REG_DWORD      	255 (0xff) 
HonorAutoRunSetting	REG_DWORD      	0 (0x0) 

=============== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS	REG_SZ         	

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 AutoRestartShell	REG_DWORD      	1 (0x1) 
 DefaultUserName	REG_SZ         	yderrien 
 LegalNoticeCaption	REG_SZ         	 
 LegalNoticeText	REG_SZ         	 
 PowerdownAfterShutdown	REG_SZ         	0 
 ReportBootOk	REG_SZ         	1 
 Shell	REG_SZ         	explorer.exe 
 ShutdownWithoutLogon	REG_SZ         	0 
 System	REG_SZ         	 
 Userinit	REG_SZ         	C:\WINDOWS\system32\userinit.exe, 
 VmApplet	REG_SZ         	rundll32 shell32,Control_RunDLL "sysdm.cpl" 
 SfcQuota	REG_DWORD      	-1 (0xffffffff) 
 allocatecdroms	REG_SZ         	0 
 allocatedasd	REG_SZ         	0 
 allocatefloppies	REG_SZ         	0 
 cachedlogonscount	REG_SZ         	10 
 forceunlocklogon	REG_DWORD      	0 (0x0) 
 passwordexpirywarning	REG_DWORD      	14 (0xe) 
 scremoveoption	REG_SZ         	0 
 AllowMultipleTSSessions	REG_DWORD      	0 (0x0) 
 UIHost	REG_EXPAND_SZ  	logonui.exe 
 LogonType	REG_DWORD      	0 (0x0) 
 DebugServerCommand	REG_SZ         	no 
 SFCDisable	REG_DWORD      	0 (0x0) 
 WinStationsDisabled	REG_SZ         	0 
 HibernationPreviouslyEnabled	REG_DWORD      	1 (0x1) 
 ShowLogonOptions	REG_DWORD      	1 (0x1) 
 AltDefaultUserName	REG_SZ         	yderrien 
 AltDefaultDomainName	REG_SZ         	GFI-AEROSPACE 
 DefaultDomainName	REG_SZ         	GFI-AEROSPACE 
 DisableCAD	REG_DWORD      	0 (0x0) 
 AutoAdminLogon	REG_SZ         	0 
 CachePrimaryDomain	REG_SZ         	GFI-AEROSPACE 
 DCacheUpdate	REG_BINARY     	e6b2dcec57ceca01 
 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\DomainCache 

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\!SASWinLogon]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\igfxcui]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\IntelWireless]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify	ermsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\WgaLogon]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\wlballoon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972}	REG_SZ         	 
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}	REG_SZ         	 

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe	REG_SZ         	%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\WINDOWS\system32\cba\pds.exe	REG_SZ         	C:\WINDOWS\system32\cba\pds.exe:*:Enabled:Agent à base commune (CBA)
C:\LDClient\Wuser32.exe	REG_SZ         	C:\LDClient\Wuser32.exe:*:Enabled:Contrôle distant
C:\LDClient	mcsvc.exe	REG_SZ         	C:\LDClient	mcsvc.exe:*:Enabled:Multicast ciblé
C:\WINDOWS\system32\dlbxcoms.exe	REG_SZ         	C:\WINDOWS\system32\dlbxcoms.exe:*:Disabled:Dell 962 Server
C:\Program Files\Numara Software\Remote\Guest
gstw32.exe	REG_SZ         	C:\Program Files\Numara Software\Remote\Guest
gstw32.exe:*:Enabled:NetOp Guest
C:\Program Files\Windows Live\Messenger\wlcsdk.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
C:\Program Files\Messenger\msmsgs.exe	REG_SZ         	C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger
C:\Program Files\Bonjour\mDNSResponder.exe	REG_SZ         	C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour
C:\Program Files\iTunes\iTunes.exe	REG_SZ         	C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes
C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe	REG_SZ         	C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe:*:Enabled:Assistance à distance - Windows Messenger et voix
C:\Program Files\Windows Live\Messenger\msnmsgr.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe	REG_SZ         	C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare
C:\Program Files\LimeWire\LimeWire.exe	REG_SZ         	C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire
C:\Program Files\LANDesk\Shared Filesesidentagent.exe	REG_SZ         	C:\Program Files\LANDesk\Shared Filesesidentagent.exe:*:Enabled:LANDesk(R) Management Agent

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe	REG_SZ         	%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Program Files\Numara Software\Remote\Guest
gstw32.exe	REG_SZ         	C:\Program Files\Numara Software\Remote\Guest
gstw32.exe:*:Enabled:NetOp Guest
C:\WINDOWS\system32\cba\pds.exe	REG_SZ         	C:\WINDOWS\system32\cba\pds.exe:*:Enabled:LANDesk Ping Discovery Service
C:\WINDOWS\system32\msgsys.exe	REG_SZ         	C:\WINDOWS\system32\msgsys.exe:*:Enabled:LANDesk Message Service
C:\Program Files\LANDesk\LDClient\issuser.exe	REG_SZ         	C:\Program Files\LANDesk\LDClient\issuser.exe:*:Enabled:LANDesk Remote Control Agent
C:\Program Files\LANDesk\LDClient	mcsvc.exe	REG_SZ         	C:\Program Files\LANDesk\LDClient	mcsvc.exe:*:Enabled:LANDesk Targeted Multicast
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE	REG_SZ         	C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook
C:\Program Files\LANDesk\Shared Filesesidentagent.exe	REG_SZ         	C:\Program Files\LANDesk\Shared Filesesidentagent.exe:*:Enabled:LANDesk(R) Management Agent
C:\Program Files\Windows Live\Messenger\wlcsdk.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
C:\Program Files\Windows Live\Messenger\msnmsgr.exe	REG_SZ         	C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe	REG_SZ         	C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare

===============
ActivX controls
===============
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{0CDC8A43-059E-47CD-A3D0-FA46E01F6496}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{17492023-C23A-453E-A040-C7C580BBF700}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{1C7CF466-F149-478F-B232-BC6F72638D28}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{B8C681FD-D629-4CCE-90CD-89493F1F2799}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{D27CDB6E-AE6D-11CF-96B8-444553540000}]

===============
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73fa19d0-2d75-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8056AC9E-49C5-4375-9ADE-B2F862C9DF51}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8b15971b-5355-4c82-8c07-7e181ea07608}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8D1D0E9A-C799-4D28-9E29-0061D1E66E43}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{94de52c8-2d59-4f1b-883e-79663d2d9a8c}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9A394342-4A68-4EBA-85A6-55B559F4E700}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

===
DNS
===

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6DD7AF65-D06A-45B9-B0F0-4D25C240CF41}: DhcpNameServer=212.27.40.240 212.27.40.241 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6DD7AF65-D06A-45B9-B0F0-4D25C240CF41}: DhcpNameServer=212.27.40.240 212.27.40.241 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6DD7AF65-D06A-45B9-B0F0-4D25C240CF41}: DhcpNameServer=212.27.40.240 212.27.40.241 
HKLM\SYSTEM\CS3\Services\Tcpip\..\{6DD7AF65-D06A-45B9-B0F0-4D25C240CF41}: DhcpNameServer=212.27.40.240 212.27.40.241 
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 ( OK = 3 )
SharedAccess : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\i386\atapi.sys
## 
95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\i386\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\system32\dllcache\atapi.sys
## 
95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\system32\dllcache\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\system32\drivers\atapi.sys
## 
95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\system32\drivers\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys
## 
95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys

Référence :
==========

Win 2000_SP2   : ff953a8f08ca3f822127654375786bbe
Win 2000_SP4   : 8c718aa8c77041b3285d55a0ce980867
Win XP_32b     : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b      : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b  : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b  : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b  : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b  : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b  : 02062C0B390B7729EDC9E69C680A6F3C
Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e
 
=======
Drive :
=======

D'fragmenteur de disque Windows
Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

Rapport d'analyse                 	 
    55,78 Go total,  6,57 Go libre (11%),  10% fragment' (fragmentation du fichier 20%)

Il ne vous est pas n'cessaire de d'fragmenter ce volume. 	 

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}  
Present !! : C:\WINDOWS\_delis32.ini  
Present !! : C:\WINDOWS\jestertb.dll  
Present !! : C:\WINDOWS\System32\drivers\etc\hosts.msn 
Present !! : C:\Documents and Settings\YDerrien\application data\ccpopack  
Present !! : C:\Documents and Settings\YDerrien\Local Settings\Temp\dw.log  
Present !! : C:\Documents and Settings\YDerrien\Local Settings\Temp\MOD.cml  
Present !! : C:\Documents and Settings\YDerrien\Local Settings\Temp\MOD.fcn  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\B33C11F5-3A11-4f1e-85E4-C3CABE52C369.exe  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\FP_PL_MSI_INSTALLER.exe  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\jnPg.exe  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\jre-6u15-windows-i586-iftw_17a8e122.exe  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\jre-6u3-windows-i586-p-iftw_2cd32978.exe  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\ose00000.exe  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\ose00002.exe  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\setup_wm.exe  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\SSUPDATE.EXE  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\parcce.dat  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\Perflib_Perfdata_13cc.dat  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\Perflib_Perfdata_1bc.dat  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\Perflib_Perfdata_83c.dat  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp1113.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp12B7.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp13B2.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp13B3.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp13B5.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp13B6.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp151B.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp1622.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp20C.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp210.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp232.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp237.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp296.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp2AC.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp2D.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp2DE.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp2DF.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp2E0.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp2E1.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp2E2.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp2E3.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp2E4.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp2E5.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp2E6.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp2E7.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp357.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp35B.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp3C8.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp3C9.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp3CA.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp3CD.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp3D.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp3D3.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp3EB.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp3EC.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp3ED.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp3EE.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp4419.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp441A.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp441B.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp448B.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp45E.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp4A0E.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp507.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp508.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp509.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp510.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp511.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp512.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp522.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp523.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp528.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp536.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp543.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp55E.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp60.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp61.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp611.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp63.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp6F.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp79E.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp7E6.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp7E7.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp7E8.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp7E9.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp7EA.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp7EB.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp7EC.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp7ED.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp7EE.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp80E.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp85F.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp863.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp8CD.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp95C.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9E0.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9E1.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9E2.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9E3.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9E4.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9E5.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9E6.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9E7.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9E8.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9E9.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9EA.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9EB.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9EC.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9ED.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9EE.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9EF.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9F0.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mp9F1.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpAC.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpAEF.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpB6A.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpB6E.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpB70.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpB71.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpB73.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpB74.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpBFA.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpBFB.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpBFC.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpBFD.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpBFE.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpC0E.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpC92.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpC93.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpC94.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpD04.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpD1.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpD86.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpE5F.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpE82.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpE83.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpE84.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpE85.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpE86.tmp  
Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp	mpE97.tmp  
 
¤¤¤¤¤¤¤¤¤¤ Keys :

pimprenelle27 · Answer

Bonsoir,

Et ba dite donc y en à des choses, tu peux réessayer le scan en mode sans échec STP : 

 * Redémarrer ton PC en mode sans échec manuellement 
    * Tapez sur la touche F8 avant de voir apparaître la barre de progression, avant l'écran de logo Windows
    * Sélectionnez alors le mode sans échec sans prise en charge réseau et appuyez sur la touche entrée de votre clavier.

tournemine · Answer

en mode sans echec c est mieux & + rapide: voici le log List'em by g3n-h@ckm@n 1.6.0.6 User : YDerrien () Update on 27/03/2010 by g3n-h@ckm@n ::::: 14.50 Start at: 19:56:30 | 28/03/2010 Intel(R) Pentium(R) M processor 1.73GHz Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2 Internet Explorer 6.0.2900.2180 Windows Firewall Status : Enabled AV : LANDesk Antivirus client 8.70.7.17 [ (!) Disabled | Updated ] AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ] C:\ -> Disque fixe local | 55,78 Go (6,94 Go free) [g] | NTFS D:\ -> Disque CD-ROM E:\ -> Disque CD-ROM F:\ -> Disque CD-ROM X:\ -> Connexion réseau Boot: Safeboot ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Program Files\List_Kill'em\List_Kill'em.exe C:\WINDOWS\system32\cmd.exe C:\Program Files\List_Kill'em\pv.exe ====================== Keys "Run" ====================== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background SUPERAntiSpyware REG_SZ C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Apoint REG_SZ C:\Program Files\Apoint\Apoint.exe igfxtray REG_SZ C:\WINDOWS\system32\igfxtray.exe igfxhkcmd REG_SZ C:\WINDOWS\system32\hkcmd.exe igfxpers REG_SZ C:\WINDOWS\system32\igfxpers.exe SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe" REG_SZ IntelWireless REG_SZ C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless Dell QuickSet REG_SZ C:\Program Files\Dell\QuickSet\quickset.exe dlbxmon.exe REG_SZ "C:\Program Files\Dell Photo AIO Printer 962\dlbxmon.exe" DAEMON Tools REG_SZ "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 Client Access Service REG_SZ "C:\Program Files\IBM\Client Access\cwbsvstr.exe" Client Access Help Update REG_SZ "C:\Program Files\IBM\Client Access\cwbinhlp.exe" Client Access Check Version REG_SZ "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN Client Access Express Welcome REG_SZ "C:\Program Files\IBM\Client Access\cwbwlwiz.exe" RemoteControl REG_SZ "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" IntelAPMClient REG_SZ "C:\Program Files\LANDesk\LDClient\amclient.exe" /apm /s /ro /Retry=2 /Tspan=60 /Rstart SDClientMonitor REG_SZ "C:\Program Files\LANDesk\LDClient\webportal\sdclientmonitor.exe" LANDesk Antivirus REG_SZ "C:\Program Files\LANDesk\LDClient\antivirus\LDav.exe" /systray QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe" LVCOMSX REG_SZ C:\WINDOWS\system32\LVCOMSX.EXE avgnt REG_SZ "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] ===================== Other Keys ===================== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] dontdisplaylastusername REG_DWORD 0 (0x0) legalnoticecaption REG_SZ legalnoticetext REG_SZ shutdownwithoutlogon REG_DWORD 1 (0x1) undockwithoutlogon REG_DWORD 1 (0x1) =============== [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] NoDriveTypeAutoRun REG_DWORD 255 (0xff) NoDriveAutoRun REG_DWORD 255 (0xff) HonorAutoRunSetting REG_DWORD 0 (0x0) =============== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] NoDriveAutoRun REG_DWORD 255 (0xff) NoDriveTypeAutoRun REG_DWORD 255 (0xff) HonorAutoRunSetting REG_DWORD 0 (0x0) =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLS REG_SZ =============== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] AutoRestartShell REG_DWORD 1 (0x1) DefaultUserName REG_SZ yderrien LegalNoticeCaption REG_SZ LegalNoticeText REG_SZ PowerdownAfterShutdown REG_SZ 0 ReportBootOk REG_SZ 1 Shell REG_SZ explorer.exe ShutdownWithoutLogon REG_SZ 0 System REG_SZ Userinit REG_SZ C:\WINDOWS\system32\userinit.exe, VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl" SfcQuota REG_DWORD -1 (0xffffffff) allocatecdroms REG_SZ 0 allocatedasd REG_SZ 0 allocatefloppies REG_SZ 0 cachedlogonscount REG_SZ 10 forceunlocklogon REG_DWORD 0 (0x0) passwordexpirywarning REG_DWORD 14 (0xe) scremoveoption REG_SZ 0 AllowMultipleTSSessions REG_DWORD 0 (0x0) UIHost REG_EXPAND_SZ logonui.exe LogonType REG_DWORD 0 (0x0) DebugServerCommand REG_SZ no SFCDisable REG_DWORD 0 (0x0) WinStationsDisabled REG_SZ 0 HibernationPreviouslyEnabled REG_DWORD 1 (0x1) ShowLogonOptions REG_DWORD 1 (0x1) AltDefaultUserName REG_SZ yderrien AltDefaultDomainName REG_SZ GFI-AEROSPACE DefaultDomainName REG_SZ GFI-AEROSPACE DisableCAD REG_DWORD 0 (0x0) AutoAdminLogon REG_SZ 0 CachePrimaryDomain REG_SZ GFI-AEROSPACE DCacheUpdate REG_BINARY 520692598aceca01 HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\DomainCache =============== [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\!SASWinLogon] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\crypt32chain] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\cryptnet] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\cscdll] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\igfxcui] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\IntelWireless] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\ScCertProp] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\Schedule] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\sclgntfy] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\SensLogn] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify ermsrv] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\WgaLogon] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\wlballoon] =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] {AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} REG_SZ =============== [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 C:\WINDOWS\system32\cba\pds.exe REG_SZ C:\WINDOWS\system32\cba\pds.exe:*:Enabled:Agent à base commune (CBA) C:\LDClient\Wuser32.exe REG_SZ C:\LDClient\Wuser32.exe:*:Enabled:Contrôle distant C:\LDClient mcsvc.exe REG_SZ C:\LDClient mcsvc.exe:*:Enabled:Multicast ciblé C:\WINDOWS\system32\dlbxcoms.exe REG_SZ C:\WINDOWS\system32\dlbxcoms.exe:*:Disabled:Dell 962 Server C:\Program Files\Numara Software\Remote\Guest gstw32.exe REG_SZ C:\Program Files\Numara Software\Remote\Guest gstw32.exe:*:Enabled:NetOp Guest C:\Program Files\Windows Live\Messenger\wlcsdk.exe REG_SZ C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call C:\Program Files\Messenger\msmsgs.exe REG_SZ C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger C:\Program Files\Bonjour\mDNSResponder.exe REG_SZ C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour C:\Program Files\iTunes\iTunes.exe REG_SZ C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe REG_SZ C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe:*:Enabled:Assistance à distance - Windows Messenger et voix C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe REG_SZ C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare C:\Program Files\LimeWire\LimeWire.exe REG_SZ C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire C:\Program Files\LANDesk\Shared Files esidentagent.exe REG_SZ C:\Program Files\LANDesk\Shared Files esidentagent.exe:*:Enabled:LANDesk(R) Management Agent [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 C:\Program Files\Numara Software\Remote\Guest gstw32.exe REG_SZ C:\Program Files\Numara Software\Remote\Guest gstw32.exe:*:Enabled:NetOp Guest C:\WINDOWS\system32\cba\pds.exe REG_SZ C:\WINDOWS\system32\cba\pds.exe:*:Enabled:LANDesk Ping Discovery Service C:\WINDOWS\system32\msgsys.exe REG_SZ C:\WINDOWS\system32\msgsys.exe:*:Enabled:LANDesk Message Service C:\Program Files\LANDesk\LDClient\issuser.exe REG_SZ C:\Program Files\LANDesk\LDClient\issuser.exe:*:Enabled:LANDesk Remote Control Agent C:\Program Files\LANDesk\LDClient mcsvc.exe REG_SZ C:\Program Files\LANDesk\LDClient mcsvc.exe:*:Enabled:LANDesk Targeted Multicast C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE REG_SZ C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook C:\Program Files\LANDesk\Shared Files esidentagent.exe REG_SZ C:\Program Files\LANDesk\Shared Files esidentagent.exe:*:Enabled:LANDesk(R) Management Agent C:\Program Files\Windows Live\Messenger\wlcsdk.exe REG_SZ C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe REG_SZ C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare =============== ActivX controls =============== [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{0CDC8A43-059E-47CD-A3D0-FA46E01F6496}] [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{17492023-C23A-453E-A040-C7C580BBF700}] [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{1C7CF466-F149-478F-B232-BC6F72638D28}] [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}] [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{B8C681FD-D629-4CCE-90CD-89493F1F2799}] [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}] [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}] [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}] [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{D27CDB6E-AE6D-11CF-96B8-444553540000}] =============== [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73fa19d0-2d75-11d2-995d-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8056AC9E-49C5-4375-9ADE-B2F862C9DF51}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8b15971b-5355-4c82-8c07-7e181ea07608}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8D1D0E9A-C799-4D28-9E29-0061D1E66E43}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{94de52c8-2d59-4f1b-883e-79663d2d9a8c}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9A394342-4A68-4EBA-85A6-55B559F4E700}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}] ============== BHO : ====== [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] === DNS === HKLM\SYSTEM\CCS\Services\Tcpip\..\{6DD7AF65-D06A-45B9-B0F0-4D25C240CF41}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS1\Services\Tcpip\..\{6DD7AF65-D06A-45B9-B0F0-4D25C240CF41}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS2\Services\Tcpip\..\{6DD7AF65-D06A-45B9-B0F0-4D25C240CF41}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS3\Services\Tcpip\..\{6DD7AF65-D06A-45B9-B0F0-4D25C240CF41}: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241 ================ Internet Explorer : ================ [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.msn.com/fr-fr [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome ======== Services ======== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] Ndisuio : 0x3 ( OK = 3 ) SharedAccess : 0x2 ( OK = 2 ) wuauserv : 0x2 ( OK = 2 ) ========= Atapi.sys ========= %%%% HASHDEEP-1.0 %%%% size,md5,sha256,filename ## Invoked from: C:\Program Files\List_Kill'em ## C:\> hashdeep.exe C:\i386\atapi.sys ## 95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\i386\atapi.sys %%%% HASHDEEP-1.0 %%%% size,md5,sha256,filename ## Invoked from: C:\Program Files\List_Kill'em ## C:\> hashdeep.exe C:\WINDOWS\system32\dllcache\atapi.sys ## 95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\system32\dllcache\atapi.sys %%%% HASHDEEP-1.0 %%%% size,md5,sha256,filename ## Invoked from: C:\Program Files\List_Kill'em ## C:\> hashdeep.exe C:\WINDOWS\system32\drivers\atapi.sys ## 95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\system32\drivers\atapi.sys %%%% HASHDEEP-1.0 %%%% size,md5,sha256,filename ## Invoked from: C:\Program Files\List_Kill'em ## C:\> hashdeep.exe C:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys ## 95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys Référence : ========== Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867 Win XP_32b : a64013e98426e1877cb653685c5c0009 Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51 Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674 Vista_32b : e03e8c99d15d0381e02743c36afc7c6f Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9 Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4 Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e ======= Drive : ======= D'fragmenteur de disque Windows Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc. Rapport d'analyse 55,78 Go total, 6,94 Go libre (12%), 10% fragment' (fragmentation du fichier 20%) Il ne vous est pas n'cessaire de d'fragmenter ce volume. ¤¤¤¤¤¤¤¤¤¤ Files/folders : Present !! : C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} Present !! : C:\WINDOWS\_delis32.ini Present !! : C:\WINDOWS\jestertb.dll Present !! : C:\WINDOWS\System32\drivers\etc\hosts.msn Present !! : C:\Documents and Settings\YDerrien\application data\ccpopack Present !! : C:\Documents and Settings\YDerrien\Local Settings\Temp\dw.log Present !! : C:\Documents and Settings\YDerrien\Local Settings\Temp\MOD.cml Present !! : C:\Documents and Settings\YDerrien\Local Settings\Temp\MOD.fcn Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\B33C11F5-3A11-4f1e-85E4-C3CABE52C369.exe Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\FP_PL_MSI_INSTALLER.exe Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\jnPg.exe Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\jre-6u15-windows-i586-iftw_17a8e122.exe Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\jre-6u3-windows-i586-p-iftw_2cd32978.exe Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\ose00000.exe Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\ose00002.exe Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\setup_wm.exe Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\SSUPDATE.EXE Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\parcce.dat Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\Perflib_Perfdata_13cc.dat Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\Perflib_Perfdata_1bc.dat Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp\Perflib_Perfdata_83c.dat Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp1113.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp12B7.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp13B2.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp13B3.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp13B5.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp13B6.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp151B.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp1622.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp20C.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp210.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp232.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp237.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp296.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp2AC.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp2D.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp2DE.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp2DF.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp2E0.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp2E1.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp2E2.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp2E3.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp2E4.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp2E5.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp2E6.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp2E7.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp357.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp35B.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp3C8.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp3C9.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp3CA.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp3CD.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp3D.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp3D3.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp3EB.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp3EC.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp3ED.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp3EE.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp4419.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp441A.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp441B.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp448B.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp45E.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp4A0E.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp507.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp508.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp509.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp510.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp511.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp512.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp522.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp523.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp528.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp536.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp543.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp55E.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp60.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp61.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp611.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp63.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp6F.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp79E.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp7E6.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp7E7.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp7E8.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp7E9.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp7EA.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp7EB.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp7EC.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp7ED.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp7EE.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp80E.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp85F.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp863.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp8CD.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp95C.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9E0.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9E1.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9E2.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9E3.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9E4.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9E5.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9E6.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9E7.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9E8.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9E9.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9EA.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9EB.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9EC.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9ED.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9EE.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9EF.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9F0.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mp9F1.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpAC.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpAEF.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpB6A.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpB6E.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpB70.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpB71.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpB73.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpB74.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpBFA.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpBFB.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpBFC.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpBFD.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpBFE.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpC0E.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpC92.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpC93.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpC94.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpD04.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpD1.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpD86.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpE5F.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpE82.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpE83.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpE84.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpE85.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpE86.tmp Present !! : C:\Documents and Settings\YDerrien\LOCAL Settings\Temp mpE97.tmp ¤¤¤¤¤¤¤¤¤¤ Keys : Present !! : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383} Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe" Present !! : HKCR\secfile ============ catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-03-28 20:04:29 Windows 5.1.2600 Service Pack 2 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x833D81D8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\atapi -> 0x833d81d8 Warning: possible MBR rootkit infection ! user & kernel MBR OK Use "Recovery Console" command "fixmbr" to clear infection ! ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ End of scan : 20:04:30,65

pimprenelle27 · Answer

Y en a des choses à supprimer en plus tu as chopé un rootkit : 

detected MBR rootkit hooks:
\Driver\atapi -> 0x833d81d8
Warning: possible MBR rootkit infection


Nettoyage :


! Déconnecte toi ferme toutes tes applications en cours !

    * Redémarrer ton PC en mode sans échec manuellement 
    * Tapez sur la touche F8 avant de voir apparaître la barre de progression, avant l'écran de logo Windows
    * Sélectionnez alors le mode sans échec sans prise en charge réseau et appuyez sur la touche entrée de votre clavier.


? Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

? choisis l'option clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

? colle le contenu dans ta reponse

tournemine · Answer

j ai le meme probleme pour l'execution en mode sans echec que les 1ers
jours.
1-je le lance en mode sans echec.
2-il doit rebooter puis s'executer sans ce meme mode .
mais comme je passe par f6 pour le forcer il ne se lance pas .
3-par contre en mode normal il execute le nettoyage.
Mais je crains qu'il soit a nouvo planter il est sur 60% depuis quelques temps et le nom du fichier ne change pas .

pimprenelle27 · Answer

Bonjour,

Tu peu essayer l'option safemode clean

tournemine · Answer

salut,
en mode safemode clean , il reste planté à 60%
j ai desactivé l antivirus ainsi que le parefeu.

pimprenelle27 · Answer

Et ça ne marche toujours pas?


Fais donc le mode restore MBR pour le rootkit c'est ça qui doit bloquer.

tournemine · Answer

salut,
en fait je crois que oui l y a un probleme au nivo du restore MBR.
car lorsque j ai fait l avant dernier mail disant que c etait planté
j ai laissé tourné quand mm et a mon reout il y avait 3 fenetres ouverte 
avec un fichier txt vide me disant mbr inexistant.
 j ai du arreter le portable vu que j avais plus la main dessus.

en lancer restore MBR seul  il s 'arrete au mm moment avec un fichier txt vide .

pimprenelle27 · Answer

Bon attention on va passer à combofix pour le rootkit :

Attention cette procédure ne convient pas à tout les PC.

Attention bien respecter cette procédure : 

* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

&#x25B6; Clique sur Démarrer puis sur panneau de configuration
&#x25B6; Double Clique sur l'icône "Comptes d'utilisateurs"
&#x25B6; Clique ensuite sur désactiver et valide.
&#x25B6; Redémarre le PC


&#x25B6; Télécharge Combofix de sUBs


&#x25B6; et enregistre le sur le Bureau.

 
&#x25B6; désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


&#x25B6; Je te conseille d'installer la console de récupération !!
 
ensuite envois le rapport stp


si combofix n'a pas installé la console de récupération, suivre ceci  pour l'installe et relance combofix ensuite  : http://www.zebulon.fr/dossiers/61-2-installation-console-recuperation-disque.html

tournemine · Answer

voici le rapport : 
ComboFix 10-03-28.03 - YDerrien 29/03/2010  19:14:38.2.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.503.153 [GMT 2:00]
Lancé depuis: c:\antivir_malw\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: LANDesk Antivirus client *On-access scanning disabled* (Updated) {C386CD1A-44E8-4B9D-885E-4751A79CE5BD}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll

	/wow section - STAGE 1

	/wow section non terminée

	/wow section non terminée

(((((((((((((((((((((((((((((   Fichiers créés du 2010-02-28 au 2010-03-29  ))))))))))))))))))))))))))))))))))))
.

2010-03-28 17:56 . 2010-03-29 06:10	--------	d-----w-	C:\Kill'em
2010-03-28 09:22 . 2010-03-29 13:11	--------	d-----w-	c:\program files\List_Kill'em
2010-03-26 19:25 . 2010-03-29 16:56	--------	d-----w-	C:\antivir_malw
2010-03-26 19:17 . 2010-03-26 19:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2010-03-26 19:16 . 2010-03-26 19:16	--------	d-----w-	c:\program files\SUPERAntiSpyware
2010-03-26 19:16 . 2010-03-26 19:16	--------	d-----w-	c:\documents and settings\YDerrien\Application Data\SUPERAntiSpyware.com
2010-03-26 19:16 . 2010-03-26 19:10	7757856	----a-w-	C:\SUPERAntiSpyware.exe
2010-03-26 17:02 . 2010-03-26 17:07	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-03-26 17:02 . 2009-03-30 09:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-03-26 17:02 . 2009-02-13 11:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-03-26 17:02 . 2009-02-13 11:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-03-26 17:02 . 2010-03-26 17:02	--------	d-----w-	c:\program files\Avira
2010-03-26 17:02 . 2010-03-26 17:02	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2010-03-26 13:27 . 2010-03-26 13:28	--------	d-----w-	C:\UsbFix_Upload_Me
2010-03-26 12:29 . 2010-03-26 13:26	--------	d-----w-	C:\UsbFix
2010-03-26 07:23 . 2010-03-26 07:35	--------	d-----w-	C:\Ad-Remover
2010-03-22 16:20 . 2010-03-24 17:29	--------	d-----w-	C:\FyK
2010-03-22 11:42 . 2010-03-22 11:44	--------	d-----w-	c:\program files	rend micro
2010-03-22 08:01 . 2010-03-22 08:01	--------	dc----w-	c:\documents and settings\All Users\Application Data\{88078557-37D5-402B-8B75-49F162ECEDBD}
2010-03-22 08:01 . 2010-03-22 08:01	--------	d-----w-	c:\documents and settings\YDerrien\Application Data\Fighters
2010-03-22 08:01 . 2010-03-22 08:01	--------	d-----w-	c:\documents and settings\YDerrien\Local Settings\Application Data\PackageAware
2010-03-21 19:21 . 2010-03-21 19:21	--------	d-----w-	c:\documents and settings\YDerrien\Application Data\Malwarebytes
2010-03-21 19:21 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-21 19:21 . 2010-03-26 15:17	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-03-21 19:21 . 2010-03-21 19:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-21 19:21 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-03-04 08:29 . 2010-03-04 08:29	--------	d-----w-	c:\program files\Freeplayer

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-29 16:59 . 2008-01-22 10:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\vulScan
2010-03-28 18:12 . 2004-08-19 13:03	76922	----a-w-	c:\windows\system32\perfc00C.dat
2010-03-28 18:12 . 2004-08-19 13:03	470610	----a-w-	c:\windows\system32\perfh00C.dat
2010-03-26 19:17 . 2010-03-26 19:17	52224	----a-w-	c:\documents and settings\YDerrien\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-03-26 19:17 . 2010-03-26 19:17	117760	----a-w-	c:\documents and settings\YDerrien\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-03-26 19:16 . 2006-03-21 08:15	--------	d-----w-	c:\program files\Fichiers communs\Wise Installation Wizard
2010-03-26 17:32 . 2010-01-06 19:00	--------	d-----w-	c:\documents and settings\YDerrien\Application Data\LimeWire
2010-03-06 15:44 . 2009-04-05 08:19	--------	d-----w-	c:\documents and settings\All Users\Application Data\Messenger Plus!
2010-03-06 15:43 . 2009-04-04 12:06	--------	d-----w-	c:\program files\Messenger Plus! Live
2010-03-04 09:25 . 2007-06-01 16:31	--------	d-----w-	c:\documents and settings\YDerrien\Application Data\vlc
2010-01-06 18:18 . 2010-01-06 18:18	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-01-06 18:17 . 2010-01-06 18:17	152576	----a-w-	c:\documents and settings\YDerrien\Application Data\Sun\Java\jre1.6.0_16\lzma.dll
2008-05-25 18:04 . 2008-01-22 10:31	2256160	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2008-05-25 18:04 . 2008-01-22 10:31	158752	--sha-w-	c:\windows\system32\drivers\fidbox2.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-02-18 2012912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-06 149280]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 385024]
"Dell QuickSet"="c:\program files\Dell\QuickSet\quickset.exe" [2005-09-01 684032]
"dlbxmon.exe"="c:\program files\Dell Photo AIO Printer 962\dlbxmon.exe" [2004-08-27 417792]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]
"Client Access Service"="c:\program files\IBM\Client Access\cwbsvstr.exe" [2002-05-07 20530]
"Client Access Help Update"="c:\program files\IBM\Client Access\cwbinhlp.exe" [2002-05-07 24626]
"Client Access Check Version"="c:\program files\IBM\Client Access\cwbckver.exe" [2002-05-07 45056]
"Client Access Express Welcome"="c:\program files\IBM\Client Access\cwbwlwiz.exe" [2002-05-07 20530]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"IntelAPMClient"="c:\program files\LANDesk\LDClient\amclient.exe" [2007-08-07 331776]
"SDClientMonitor"="c:\program files\LANDesk\LDClient\webportal\sdclientmonitor.exe" [2006-11-01 258048]
"LANDesk Antivirus"="c:\program files\LANDesk\LDClient\antivirus\LDav.exe" [2007-06-21 823296]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-12-09 225280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-3-3 24576]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= P:\informatique
FriendlyName= 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
Source= p:\informatique\MOVEX M3
FriendlyName= 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\!SASWinLogon]
2009-09-03 13:21	548352	----a-w-	c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\IntelWireless]
2004-09-07 16:08	110592	----a-w-	c:\program files\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-21973435-1843860885-618671499-1274\Scripts\Logon\0\0]
"Script"=\gfi-aerospace.com
etlogon
etform.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-21973435-1843860885-618671499-1276\Scripts\Logon\0\0]
"Script"=netform.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-21973435-1843860885-618671499-1276\Scripts\Logon\1\0]
"Script"=\srv102fs01\sysvol\GFI-AEROSPACE.COM\scripts\GPO\102\impr102_60.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-21973435-1843860885-618671499-1276\Scripts\Logon\1\1]
"Script"=\srv102fs01\sysvol\GFI-AEROSPACE.COM\scripts\GPO\102\impr102_20.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-21973435-1843860885-618671499-1276\Scripts\Logon\1\2]
"Script"=\srv102fs01\sysvol\GFI-AEROSPACE.COM\scripts\GPO\102\impr102_21.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-21973435-1843860885-618671499-1736\Scripts\Logon\0\0]
"Script"=\gfi-aerospace.com
etlogon
etform.bat

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\system32\cba\pds.exe"=
"c:\WINDOWS\system32\dlbxcoms.exe"=
"c:\Program Files\Numara Software\Remote\Guest\ngstw32.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\LANDesk\Shared Files\residentagent.exe"=

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 11:25 12872]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [17/02/2010 11:15 66632]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [26/03/2010 19:02 108289]
R2 CBA8;LANDesk(R) Management Agent;c:\program files\LANDesk\Shared FilesesidentAgent.exe [09/01/2007 12:03 122880]
R2 Repository Server;StreamServe Repository Server;c:\program files\StreamServe\4.1.2\Server\bin\ptserv32.exe -config "c:\program files\StreamServe\4.1.2\Common\bin\ptserver.cfg" --> c:\program files\StreamServe\4.1.2\Server\bin\ptserv32.exe -config c:\program files\StreamServe\4.1.2\Common\bin\ptserver.cfg [?]
R2 Softmon;LANDesk(R) Software Monitoring Service;c:\program files\LANDesk\LDClient\SoftMon.exe [22/01/2008 12:25 266240]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [03/03/2006 13:37 87936]
R3 ldblank;Screen Blanking driver for Remote Control;c:\windows\system32\drivers\ldblank.sys [22/01/2008 12:25 11904]
R3 ldmirror;ldmirror;c:\windows\system32\drivers\ldmirror.sys [22/01/2008 12:25 3328]
R3 mirrorflt;Mirror Filter Driver for Uninstall;c:\windows\system32\drivers\mirrorflt.sys [22/01/2008 12:25 3712]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [17/02/2010 11:15 12872]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04/04/2007 13:25 639224]
S2 LDAVService;LANDesk(R) Antivirus;c:\program files\LANDesk\LDClient\Antivirus\AVService.exe [22/01/2008 12:25 344128]
S3 Intel Remote Control Helper;Intel Remote Control Helper;c:\windows\system32\driversch.sys [13/03/2006 11:26 49972]
S3 Reporter;StreamServe Reporter;c:\program files\StreamServe\4.1.2\Reporter\bin\bootloader.exe [05/06/2006 09:14 11776]
S3 ServiceBroker;ServiceBroker;c:\program files\StreamServe\4.1.2\Server\ServiceBroker.exe [05/06/2006 09:14 1753088]
S3 StreamServe2;StreamServe MVXOUT_V4;c:\program files\StreamServe\4.1.2\Server\strsvc.exe [05/06/2006 09:14 9863168]
.
Contenu du dossier 'Tâches planifiées'

2010-03-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>;*.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {0CDC8A43-059E-47CD-A3D0-FA46E01F6496} - hxxp://tellus.intentia.com/Tellus/Misc/TellusExportAx.CAB
DPF: {1C7CF466-F149-478F-B232-BC6F72638D28} - hxxp://tellus.intentia.com/Tellus/Misc/TellusList.CAB
DPF: {B8C681FD-D629-4CCE-90CD-89493F1F2799} - hxxp://172.20.32.191/mwp/ieui/IEMod.cab
.
.
------- Associations de fichier -------
.
txtfile\shell\satsukidecoder\command=c:\program files\Satsuki Decoder Pack\mpc\mplayerc.exe "%1"
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-StreamServe Communication Server 3.0.0 - c:\docume~1\YDerrien\LOCALS~1\Temp\{625D4DC1-75A6-406C-A772-1A68217E8526}\sysid.exe
AddRemove-StreamServe Tools 3.0.0 - c:\docume~1\YDerrien\LOCALS~1\Temp\{8D77A0AC-9805-48F9-A895-3040496EE663}\sys.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-29 19:15
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1432)
c:\program files\SUPERAntiSpyware\SASWINLO.dll
c:\program files\Intel\Wireless\Bin\LgNotify.dll

- - - - - - - > 'explorer.exe'(3636)
c:\docume~1\YDerrien\LOCALS~1\Temp\catchme.dll
.
Heure de fin: 2010-03-29  19:21:44
ComboFix-quarantined-files.txt  2010-03-29 17:21

Avant-CF: 6 714 568 704 octets libres
Après-CF: 6 674 882 560 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

- - End Of File - - B626C4CEA46C22504076B6B380E5E0F3

pimprenelle27 · Answer

bonsoir, 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!  


Maintenant peux tu réessayer l'option clean et MBR de List&Killem? 
En formation pour éradiquer les méchants virus.

tournemine · Answer

oui c estok voici le log:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

pimprenelle27 · Answer

As tu pu faire la suppression de ce qu'avait trouvé List&Killem avec l'option clean et me poster le rapport, car tu n'arrivais pas à le faire.

tournemine · Answer

salut,
donc il fallait que je fasse clean puis MBR ?

j ai fais que MBR , j'avais pas pigé.
donc j'y vais.
merci

tournemine · Answer

j ai lancé le safe mode clean en  mode sans echec.

en fin de traitement dans la fenetre dos il y a marqué.
un fichier copié.
le chemin  acces est introuvable .

de quel fichier s'agit il , ?
a la racine  je nai qun seul fichier txt de 10h00 heure a laquelle c estfini le traitement et il fait 1k , vide .

tournemine · Answer

J'ai donc fait sur le pc
1: le restore MBR
2:safemoede clean

mais l'option 2. qui est scan je crois plante toujours

pimprenelle27 · Answer

Parfais merci.

tournemine · Answer

ok ,
le pc est clean maintenant non ?

merci beaucoup pour toutes l'aide que tu m'as fourni ,heureusement
que tu etais là.

encore merci

pimprenelle27 · Answer

As tu le rapport Killem après l'option clean?

Car ce n'est pas fini, tu as quand même un rootkit sur ton pc ça ne s'enlève pas comme ça.

tournemine · Answer

le probleme est que  l option clean , cad l option 2 si je me souviens bien ,
plante le pc !!!
il esttjs en cours d ailleurs a 60% .
je penseque je peux l arreter?

tournemine · Answer

le seul rapport que j ai est incomplet vu qu'il ne se termine pas bien :
Kill'em by g3n-h@ckm@n 1.6.0.6 
 
User : YDerrien () 
Update on 27/03/2010 by g3n-h@ckm@n ::::: 14.50
Start at: 10:48:56 | 30/03/2010

        Intel(R) Pentium(R) M processor 1.73GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : LANDesk Antivirus client 8.70.7.17 [ (!) Disabled | Updated ]
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local | 55,78 Go (10,06 Go free) [g] | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
X:\ -> Connexion réseau
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
slsvice.exe
C:\WINDOWS\system32
sl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\basfipm.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\LANDesk\Shared Filesesidentagent.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Program Files\LANDesk\LDClient\LocalSch.EXE
C:\WINDOWS\system32\CBA\pds.exe
C:\Program Files\LANDesk\LDClient	mcsvc.exe
C:\PROGRA~1\LANDesk\LDClient\issuser.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\LANDesk\LDClient\collector.exe
C:\PROGRA~1\LANDesk\LDClient\LDInventoryProvider.exe
C:\Program Files\lotus
otes
tmulti.exe
C:\PROGRA~1\LANDesk\LDClient\LDregwatch.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\StreamServe\4.1.2\Server\bin\ptserv32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\LANDesk\LDClient\softmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\PROGRA~1\LANDesk\LDClientcgui.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe
 
Detections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
 
==============
host file OK !
==============

========
Registry
========

pimprenelle27 · Answer

Et en mode sans échec?

tournemine · Answer

j ai deja essayé .
lemode sans echec n est pas possible car :
-meme si je lance en ss echec reboot seul
-ensuite au redemarrage en passant par f5 pour acceder au ss echec
il ne fait pas le scan .
sauf en mode normal , et la il plante

pimprenelle27 · Answer

Bon tu va me refaire ceci alors : 

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

tournemine · Answer

salut,
voici lelog apparemment y   a pas de soucis:
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3930

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

30/03/2010 23:37:38
mbam-log-2010-03-30 (23-37-38).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 195746
Temps écoulé: 1 heure(s), 11 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

pimprenelle27 · Answer

Bonjour,

J'ai demandé à quelqu'un de venir en soutient, car le rootkit est très résistant et ne plus patché.

tournemine · Answer

ok merci pour ton aide .

gen-hackman · Answer

salut à tous :

tournemine :

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'option More Informations

laisse travailler l'outil.

en fin de scan un rapport du nom de More.txt s'est créé dans C:\


Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

pimprenelle27 · Answer

Merci genhackman.

tournemine · Answer

salut,
dans la fenetre de listkill j 'ai pas l option dont tou parles:

jai search

tournemine · Answer

recapitulatif des options:
search , clean reinit retore mbr manuel del safemode affkey
download last version file recover remove key  MDS command line folder list rootlist  mais pas d'options more informations

gen-hackman · Answer

tournemine · Answer

sésole mais loption MORE INFORMATION se trouve ou stp ?

tournemine · Answer

désolé,
ok c estbon c est en cours

tournemine · Answer

le log ci dessous : 

====
DLLs
====

------------------------------------------------------------------------------ 
explorer.exe pid: 756 
Command line: C:\WINDOWS\Explorer.EXE 
Base        Size      Version	        Path 
0x01000000  0x100000  6.00.2900.2180  C:\WINDOWS\Explorer.EXE 
0x7c910000  0xb7000   5.01.2600.2180  C:\WINDOWS\system32
tdll.dll 
0x7c800000  0x105000  5.01.2600.3119  C:\WINDOWS\system32\kernel32.dll 
0x77be0000  0x58000   7.00.2600.2180  C:\WINDOWS\system32\msvcrt.dll 
0x77da0000  0xac000   5.01.2600.2180  C:\WINDOWS\system32\ADVAPI32.dll 
0x77e50000  0x91000   5.01.2600.2180  C:\WINDOWS\system32\RPCRT4.dll 
0x77ef0000  0x47000   5.01.2600.3099  C:\WINDOWS\system32\GDI32.dll 
0x7e390000  0x90000   5.01.2600.3099  C:\WINDOWS\system32\USER32.dll 
0x77f40000  0x76000   6.00.2900.3121  C:\WINDOWS\system32\SHLWAPI.dll 
0x7c9d0000  0x823000  6.00.2900.3051  C:\WINDOWS\system32\SHELL32.dll 
0x774a0000  0x13d000  5.01.2600.2726  C:\WINDOWS\system32\ole32.dll 
0x770e0000  0x8c000   5.01.2600.2180  C:\WINDOWS\system32\OLEAUT32.dll 
0x75f10000  0xfd000   6.00.2900.3121  C:\WINDOWS\system32\BROWSEUI.dll 
0x7e210000  0x16f000  6.00.2900.3121  C:\WINDOWS\system32\SHDOCVW.dll 
0x779e0000  0x96000   5.131.2600.2180  C:\WINDOWS\system32\CRYPT32.dll 
0x77a80000  0x12000   5.01.2600.2180  C:\WINDOWS\system32\MSASN1.dll 
0x76610000  0x84000   5.131.2600.2180  C:\WINDOWS\system32\CRYPTUI.dll 
0x76be0000  0x2e000   5.131.2600.2180  C:\WINDOWS\system32\WINTRUST.dll 
0x76c40000  0x28000   5.01.2600.2180  C:\WINDOWS\system32\IMAGEHLP.dll 
0x6fee0000  0x54000   5.01.2600.2976  C:\WINDOWS\system32\NETAPI32.dll 
0x77aa0000  0xa7000   6.00.2900.3121  C:\WINDOWS\system32\WININET.dll 
0x76f10000  0x2d000   5.01.2600.2180  C:\WINDOWS\system32\WLDAP32.dll 
0x77bd0000  0x8000    5.01.2600.2180  C:\WINDOWS\system32\VERSION.dll 
0x5b090000  0x38000   6.00.2900.2180  C:\WINDOWS\system32\UxTheme.dll 
0x5cea0000  0x26000   5.01.2600.2180  C:\WINDOWS\system32\ShimEng.dll 
0x595b0000  0x1ca000  5.01.2600.2180  C:\WINDOWS\AppPatch\AcGenral.DLL 
0x76ae0000  0x2f000   5.01.2600.2180  C:\WINDOWS\system32\WINMM.dll 
0x77bb0000  0x15000   5.01.2600.2180  C:\WINDOWS\system32\MSACM32.dll 
0x76960000  0xb5000   5.01.2600.2180  C:\WINDOWS\system32\USERENV.dll 
0x77390000  0x103000  6.00.2900.2982  C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll 
0x58b50000  0x9a000   5.82.2900.2982  C:\WINDOWS\system32\comctl32.dll 
0x77b50000  0x22000   5.01.2600.2180  C:\WINDOWS\system32\appHelp.dll 
0x76f80000  0x7f000   2001.12.4414.0308  C:\WINDOWS\system32\CLBCATQ.DLL 
0x77000000  0xd4000   2001.12.4414.0258  C:\WINDOWS\system32\COMRes.dll 
0x765b0000  0x56000   5.01.2600.2180  C:\WINDOWS\System32\cscui.dll 
0x76590000  0x1d000   5.01.2600.2180  C:\WINDOWS\System32\CSCDLL.dll 
0x5b950000  0x73000   6.00.2900.2180  C:\WINDOWS\system32	hemeui.dll 
0x77fc0000  0x11000   5.01.2600.2180  C:\WINDOWS\system32\Secur32.dll 
0x76310000  0x5000    5.01.2600.2180  C:\WINDOWS\system32\MSIMG32.dll 
0x20000000  0x2da000  5.01.2600.2180  C:\WINDOWS\system32\xpsp2res.dll 
0x71ca0000  0x1c000   6.00.2900.2180  C:\WINDOWS\system32\actxprxy.dll 
0x76920000  0x8000    5.01.2600.2751  C:\WINDOWS\system32\LINKINFO.dll 
0x76930000  0x26000   5.01.2600.2180  C:\WINDOWS\system32
tshrui.dll 
0x76ac0000  0x11000   3.05.2284.0000  C:\WINDOWS\system32\ATL.DLL 
0x10000000  0x14000   1.00.0000.1012  C:\Program Files\SUPERAntiSpyware\SASSEH.DLL 
0x7df30000  0xa0000   6.00.2900.3121  C:\WINDOWS\system32\urlmon.dll 
0x762f0000  0x10000   5.01.2600.2180  C:\WINDOWS\system32\WINSTA.dll 
0x74aa0000  0x48000   6.00.2900.2180  C:\WINDOWS\system32\webcheck.dll 
0x71a10000  0xa000    5.01.2600.2180  C:\WINDOWS\system32\WSOCK32.dll 
0x719f0000  0x17000   5.01.2600.2180  C:\WINDOWS\system32\WS2_32.dll 
0x719e0000  0x8000    5.01.2600.2180  C:\WINDOWS\system32\WS2HELP.dll 
0x778e0000  0xf8000   5.01.2600.2180  C:\WINDOWS\system32\SETUPAPI.dll 
0x76540000  0x21000   5.01.2600.2180  C:\WINDOWS\system32\stobject.dll 
0x74a60000  0xa000    6.00.2900.2180  C:\WINDOWS\system32\BatMeter.dll 
0x74a40000  0x8000    6.00.2900.2180  C:\WINDOWS\system32\POWRPROF.dll 
0x76f00000  0x8000    5.01.2600.2180  C:\WINDOWS\system32\WTSAPI32.dll 
0x72c70000  0x9000    5.01.2600.2180  C:\WINDOWS\system32\wdmaud.drv 
0x72c60000  0x8000    5.01.2600.0000  C:\WINDOWS\system32\msacm32.drv 
0x77ba0000  0x7000    5.01.2600.2180  C:\WINDOWS\system32\midimap.dll 
0x76390000  0x1aa000  5.01.2600.2180  C:\WINDOWS\system32\NETSHELL.dll 
0x76e30000  0xe000    5.01.2600.2180  C:\WINDOWS\system32tutils.dll 
0x76bb0000  0x2f000   5.01.2600.2180  C:\WINDOWS\system32\credui.dll 
0x76d10000  0x19000   5.01.2600.2912  C:\WINDOWS\system32\iphlpapi.dll 
0x0ffd0000  0x28000   5.01.2600.2161  C:\WINDOWS\system32saenh.dll 
0x01690000  0x17000   9.05.0000.1098  C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll 
0x7d200000  0x2be000  3.01.4000.4039  C:\WINDOWS\system32\msi.dll 
0x69270000  0x8d000   5.02.2600.2180  C:\WINDOWS\system32\fxsst.dll 
0x72f50000  0x26000   5.01.2600.2180  C:\WINDOWS\system32\WINSPOOL.DRV 
0x61410000  0x72000   5.02.2600.2180  C:\WINDOWS\system32\FXSAPI.dll 
0x77650000  0x21000   5.01.2600.2180  C:\WINDOWS\system32\NTMARTA.DLL 
0x71b50000  0x13000   5.01.2600.2180  C:\WINDOWS\system32\SAMLIB.dll 
0x72f80000  0x10000   5.01.2600.2180  C:\WINDOWS\system32\WZCSAPI.DLL 
0x71a60000  0x12000   5.01.2600.2180  C:\WINDOWS\system32\MPR.dll 
0x75ef0000  0x7000    5.01.2600.2180  C:\WINDOWS\System32\drprov.dll 
0x71b70000  0xe000    5.01.2600.2180  C:\WINDOWS\System32
tlanman.dll 
0x71c30000  0x17000   5.01.2600.2180  C:\WINDOWS\System32\NETUI0.dll 
0x71bf0000  0x40000   5.01.2600.2180  C:\WINDOWS\System32\NETUI1.dll 
0x71be0000  0x7000    5.01.2600.2180  C:\WINDOWS\System32\NETRAP.dll 
0x75f00000  0x9000    5.01.2600.2180  C:\WINDOWS\System32\davclnt.dll 

No matching processes were found.
 
=====
Ports
=====

Pid   Process            Port  Proto Path                          
1252                 ->  1055  TCP                                 
1868                 ->  135   TCP                                 
1340  AppleMobileDeviceService->  27015 TCP   C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
636   DWRCS          ->  6129  TCP   C:\WINDOWS\SYSTEM32\DWRCS.EXE 
2704  LDInventoryProvider->  51224 TCP   C:\PROGRA~1\LANDesk\LDClient\LDInventoryProvider.exe
2696  LDregwatch     ->  53001 TCP   C:\PROGRA~1\LANDesk\LDClient\LDregwatch.exe
0     System         ->  1042  TCP                                 
0     System         ->  1046  TCP                                 
0     System         ->  21584 TCP                                 
4     System         ->  445   TCP                                 
2392  collector      ->  21584 TCP   C:\PROGRA~1\LANDesk\LDClient\collector.exe
1112  issuser        ->  9535  TCP   C:\PROGRA~1\LANDesk\LDClient\issuser.exe
1172  jqs            ->  5152  TCP   C:\Program Files\Java\jre6\bin\jqs.exe
1376  mDNSResponder  ->  5354  TCP   C:\Program Files\Bonjour\mDNSResponder.exe
2208  ptserv32       ->  6001  TCP   C:\Program Files\StreamServe\4.1.2\Server\bin\ptserv32.exe
2208  ptserv32       ->  6002  TCP   C:\Program Files\StreamServe\4.1.2\Server\bin\ptserv32.exe
3424  rcgui          ->  1054  TCP   C:\PROGRA~1\LANDesk\LDClientcgui.exe
1388  residentagent  ->  1030  TCP   C:\Program Files\LANDesk\Shared Filesesidentagent.exe
1388  residentagent  ->  9592  TCP   C:\Program Files\LANDesk\Shared Filesesidentagent.exe
1388  residentagent  ->  9593  TCP   C:\Program Files\LANDesk\Shared Filesesidentagent.exe
1388  residentagent  ->  9594  TCP   C:\Program Files\LANDesk\Shared Filesesidentagent.exe
1388  residentagent  ->  9595  TCP   C:\Program Files\LANDesk\Shared Filesesidentagent.exe
1056  tmcsvc         ->  1036  TCP   C:\Program Files\LANDesk\LDClient	mcsvc.exe
1056  tmcsvc         ->  33354 TCP   C:\Program Files\LANDesk\LDClient	mcsvc.exe
1868                 ->  445   UDP                                 
1252                 ->  62521 UDP                                 
636   DWRCS          ->  33354 UDP   C:\WINDOWS\SYSTEM32\DWRCS.EXE 
4     System         ->  500   UDP                                 
0     System         ->  62515 UDP                                 
0     System         ->  62517 UDP                                 
1112  issuser        ->  33355 UDP   C:\PROGRA~1\LANDesk\LDClient\issuser.exe
1172  jqs            ->  62523 UDP   C:\Program Files\Java\jre6\bin\jqs.exe
1376  mDNSResponder  ->  62524 UDP   C:\Program Files\Bonjour\mDNSResponder.exe
2208  ptserv32       ->  4500  UDP   C:\Program Files\StreamServe\4.1.2\Server\bin\ptserv32.exe
2208  ptserv32       ->  9595  UDP   C:\Program Files\StreamServe\4.1.2\Server\bin\ptserv32.exe
3424  rcgui          ->  62519 UDP   C:\PROGRA~1\LANDesk\LDClientcgui.exe
1388  residentagent  ->  1053  UDP   C:\Program Files\LANDesk\Shared Filesesidentagent.exe
1388  residentagent  ->  123   UDP   C:\Program Files\LANDesk\Shared Filesesidentagent.exe
1388  residentagent  ->  38293 UDP   C:\Program Files\LANDesk\Shared Filesesidentagent.exe
1388  residentagent  ->  5353  UDP   C:\Program Files\LANDesk\Shared Filesesidentagent.exe
1056  tmcsvc         ->  1028  UDP   C:\Program Files\LANDesk\LDClient	mcsvc.exe
1056  tmcsvc         ->  1900  UDP   C:\Program Files\LANDesk\LDClient	mcsvc.exe

=============
Boot Execute
=============


HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
   autocheck autochk *
     autocheck autochk *
     Utilitaire de vérification automatique
     Microsoft Corporation
     5.01.2600.2180
     c:\windows\system32\autochk.exe
     d22586e6d84fd19d02410c17060666af (MD5)
     7d680469d9f5ce6a42f0ab5a0aea5602ab2527ce (SHA-1)

===================
LSA Security Providers
===================


HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
   msapsspc.dll
     msapsspc.dll
     Client DPA pour plate-forme 32 bit 
     Microsoft Corporation
     6.00.0000.7755
     c:\windows\system32\msapsspc.dll
     9c431d87203053b68e16d480684627bd (MD5)
     61ac91cea4570d46b3f98c8d95b6c54001df11e4 (SHA-1)
   schannel.dll
     schannel.dll
     TLS / SSL Security Provider
     Microsoft Corporation
     5.01.2600.3126
     c:\windows\system32\schannel.dll
     b0c2e9d9fc7b57afd56ff471da6d1312 (MD5)
     47e7a83deab01204a2b661610bae84a48028465a (SHA-1)
   digest.dll
     digest.dll
     Package d'authentification Digest SSPI
     Microsoft Corporation
     6.00.2900.2180
     c:\windows\system32\digest.dll
     3005f5521d60343e78f666a385793655 (MD5)
     9d5058660bf26c6c1db1d7e99f701eedcdec2c08 (SHA-1)
   msnsspc.dll
     msnsspc.dll
     Accès MSN Internet
     Microsoft Corporation
     6.01.1825.0000
     c:\windows\system32\msnsspc.dll
     650a149ab2c18a460423289913c5484c (MD5)
     b28afcac10fb74893c23de9a62d674940e117a92 (SHA-1)

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
   msv1_0
     msv1_0
     Microsoft Authentication Package v1.0
     Microsoft Corporation
     5.01.2600.2180
     c:\windows\system32\msv1_0.dll
     8eb7867ceb8710ebcfcedb427d411003 (MD5)
     4bcce4fb6a63714a18b8b195accf354b1f9daa86 (SHA-1)

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
   scecli
     scecli
     Moteur du client de l'Éditeur de configuration de sécurité Windows
     Microsoft Corporation
     5.01.2600.2180
     c:\windows\system32\scecli.dll
     dec0397f35d027874804ec72979d03cc (MD5)
     106bb249cfd97831a5c66db68c6afd4b0c3e72e8 (SHA-1)

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
   kerberos
     kerberos
     Kerberos Security Package
     Microsoft Corporation
     5.01.2600.2698
     c:\windows\system32\kerberos.dll
     a985b11790111383d15c818e1958e513 (MD5)
     3b8b536f636e8d726db5addbf89fea26defb2d6c (SHA-1)
   msv1_0
     msv1_0
     Microsoft Authentication Package v1.0
     Microsoft Corporation
     5.01.2600.2180
     c:\windows\system32\msv1_0.dll
     8eb7867ceb8710ebcfcedb427d411003 (MD5)
     4bcce4fb6a63714a18b8b195accf354b1f9daa86 (SHA-1)
   schannel
     schannel
     TLS / SSL Security Provider
     Microsoft Corporation
     5.01.2600.3126
     c:\windows\system32\schannel.dll
     b0c2e9d9fc7b57afd56ff471da6d1312 (MD5)
     47e7a83deab01204a2b661610bae84a48028465a (SHA-1)
   wdigest
     wdigest
     Microsoft Digest Access
     Microsoft Corporation
     5.01.2600.2180
     c:\windows\system32\wdigest.dll
     792f1eeaee06ffd0b513959e84fd5955 (MD5)
     9cb9031a969cd0cee3a6b220063669a0c6488382 (SHA-1)

===============
Scheduled tasks
===============


Task Scheduler
   AppleSoftwareUpdate.job
     C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task
     Apple Software Update
     Apple Inc.
     2.01.0001.0116
     c:\program files\apple software update\softwareupdate.exe
     7b43567b4c32ad7aded537cd3b1342b9 (MD5)
     8322f1c2c355d88432f1f03a1f231f63912186bd (SHA-1)

========
Programs
========

ABBYY FineReader 6.0 Sprint Plus 6.00.1224.4165
ALPS Touch Pad Driver
Access Companion
Ad-Remover By C_XX
Adobe Acrobat 5.0 5.0
Adobe Flash Player 10 ActiveX 10.0.32.18
Adobe Flash Player 10 Plugin 10.0.32.18
Agent avancé LANDesk 1.0.0
Apple Mobile Device Support 2.1.2.7
Apple Software Update 2.1.1.116
Assistant de connexion Windows Live 5.000.818.5
Avira AntiVir Personal - Free Antivirus
BAR-ONE 6.0 Lite 6.0.2.0000
Bonjour 1.0.105
Broadcom ASF Management Applications 5.09.01
Broadcom ASF Management Applications 5.09.01
Broadcom Advanced Control Suite 2 7.73.01
Broadcom Advanced Control Suite 2 7.73.01
CDBurnerXP Pro 3 3.0.116
Cisco Systems VPN Client 4.0.5 (Rel) 4.0
Conexant D110 MDC V.9x Modem
Correctif Windows XP - KB873339 20041117.092459
Correctif Windows XP - KB885250 20050118.202711
Correctif Windows XP - KB885835 20041027.181713
Correctif Windows XP - KB885836 20041028.173203
Correctif Windows XP - KB885855 20040930.104104
Correctif Windows XP - KB886185 20041021.090540
Correctif Windows XP - KB887472 20041014.162858
Correctif Windows XP - KB887742 20041103.095002
Correctif Windows XP - KB888113 20041116.131036
Correctif Windows XP - KB888302 20041207.111426
Correctif Windows XP - KB889673 20041116.085848
Correctif Windows XP - KB890859 1
Correctif Windows XP - KB891781 20050110.165439
Correctif pour Windows XP (KB896256) 1
Correctif pour Windows XP (KB908673) 1
Crystal Reports XI Release 2 .NET 2005 Server 11.5.0.0
DVD X Player 4.1 Professionnel
DameWare NT Utilities 3.70.0.0
Dell Photo AIO Printer 962
Digital Line Detect 1.14
Désinstallation du logiciel d'imprimante Lexmark
Freeplayer 20050902
Galerie de photos Windows Live 14.0.8081.709
Gestion de l'alimentation de la carte réseau interne 1.7.1
IBM iSeries Access for Windows
Identité Visuelle LISI
Installation Windows Live 14.0.8089.726
Installation Windows Live 14.0.8089.0726
Intel(R) Graphics Media Accelerator Driver for Mobile 6.14.10.4396
Intel(R) PROSet/Wireless Software 9.00.0000
Internet Explorer Default Page 1.00.03
IrfanView (remove only)
IsoBuster 2.3 2.3
Jasc Paint Shop Photo Album 4.0.4
Jasc Paint Shop Pro 8 8.10.0000
Java 2 Runtime Environment, SE v1.4.2_03 1.4.2_03
Java(TM) 6 Update 16 6.0.160
Junk Mail filter update 14.0.8089.726
LANDesk(R) Antivirus 8.70.7.17
LANDesk(R) Common Base Agent 8 8.7.0.23
List_Kill'em 1.7.0.1
LiveUpdate 1.80 (Symantec Corporation) 1.80.19.0
Lotus Notes 6.5.4 fr 6.54.586
MSVCRT 14.0.1468.721
MSXML 4.0 SP2 (KB927978) 4.20.9841.0
Malwarebytes' Anti-Malware
Messenger Plus! Live 4.83.0.378
Microsoft .NET Framework 1.1 1.1.4322
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack 1.1.4322
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 2.0.50727
Microsoft .NET Framework 2.0
Microsoft Application Error Reporting 12.0.6012.5000
Microsoft Choice Guard 2.0.48.0
Microsoft Office Access MUI (French) 2007 12.0.4518.1014
Microsoft Office Excel MUI (French) 2007 12.0.4518.1014
Microsoft Office InfoPath MUI (French) 2007 12.0.4518.1014
Microsoft Office Live Add-in 1.3 2.0.2313.0
Microsoft Office Outlook Connector 12.0.6423.1000
Microsoft Office Outlook MUI (French) 2007 12.0.4518.1014
Microsoft Office PowerPoint MUI (French) 2007 12.0.4518.1014
Microsoft Office Professional Plus 2007 12.0.4518.1014
Microsoft Office Professional Plus 2007 12.0.4518.1014
Microsoft Office Proof (Arabic) 2007 12.0.4518.1014
Microsoft Office Proof (Dutch) 2007 12.0.4518.1014
Microsoft Office Proof (English) 2007 12.0.4518.1014
Microsoft Office Proof (French) 2007 12.0.4518.1014
Microsoft Office Proof (German) 2007 12.0.4518.1014
Microsoft Office Proof (Spanish) 2007 12.0.4518.1014
Microsoft Office Proofing (French) 2007 12.0.4518.1014
Microsoft Office Publisher MUI (French) 2007 12.0.4518.1014
Microsoft Office Shared MUI (French) 2007 12.0.4518.1014
Microsoft Office Word MUI (French) 2007 12.0.4518.1014
Microsoft SQL Server 2005 Compact Edition [ENU] 3.1.0000
Microsoft Search Enhancement Pack 1.2.123.0
Microsoft Silverlight 3.0.40624.0
Microsoft Software Update for Web Folders  (French) 12 12.0.4518.1014
Microsoft Sync Framework Runtime Native v1.0 (x86) 1.0.1215.0
Microsoft Sync Framework Services Native v1.0 (x86) 1.0.1215.0
Microsoft Visual C++ 2005 Redistributable 8.0.56336
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 9.0.30729
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB911565)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)
Mise à jour de sécurité pour Step by Step Interactive Training (KB898458) 20050502.101010
Mise à jour de sécurité pour Step by Step Interactive Training (KB923723) 20050502.101010
Mise à jour de sécurité pour Windows XP (KB890046) 1
Mise à jour de sécurité pour Windows XP (KB893756) 1
Mise à jour de sécurité pour Windows XP (KB896358) 1
Mise à jour de sécurité pour Windows XP (KB896422) 1
Mise à jour de sécurité pour Windows XP (KB896423) 1
Mise à jour de sécurité pour Windows XP (KB896424) 1
Mise à jour de sécurité pour Windows XP (KB896428) 1
Mise à jour de sécurité pour Windows XP (KB896688) 1
Mise à jour de sécurité pour Windows XP (KB899587) 1
Mise à jour de sécurité pour Windows XP (KB899588) 1
Mise à jour de sécurité pour Windows XP (KB899589) 1
Mise à jour de sécurité pour Windows XP (KB899591) 1
Mise à jour de sécurité pour Windows XP (KB900725) 1
Mise à jour de sécurité pour Windows XP (KB901017) 1
Mise à jour de sécurité pour Windows XP (KB901214) 1
Mise à jour de sécurité pour Windows XP (KB902400) 1
Mise à jour de sécurité pour Windows XP (KB904706) 1
Mise à jour de sécurité pour Windows XP (KB905414) 1
Mise à jour de sécurité pour Windows XP (KB905749) 1
Mise à jour de sécurité pour Windows XP (KB905915) 1
Mise à jour de sécurité pour Windows XP (KB908519) 1
Mise à jour de sécurité pour Windows XP (KB908531) 1
Mise à jour de sécurité pour Windows XP (KB911562) 1
Mise à jour de sécurité pour Windows XP (KB911567) 1
Mise à jour de sécurité pour Windows XP (KB911927) 1
Mise à jour de sécurité pour Windows XP (KB912812) 1
Mise à jour de sécurité pour Windows XP (KB912919) 1
Mise à jour de sécurité pour Windows XP (KB913446) 1
Mise à jour de sécurité pour Windows XP (KB913580) 1
Mise à jour de sécurité pour Windows XP (KB914388) 1
Mise à jour de sécurité pour Windows XP (KB914389) 1
Mise à jour de sécurité pour Windows XP (KB916281) 1
Mise à jour de sécurité pour Windows XP (KB917159) 1
Mise à jour de sécurité pour Windows XP (KB917344) 1
Mise à jour de sécurité pour Windows XP (KB917422) 1
Mise à jour de sécurité pour Windows XP (KB917953) 1
Mise à jour de sécurité pour Windows XP (KB918118) 1
Mise à jour de sécurité pour Windows XP (KB918439) 1
Mise à jour de sécurité pour Windows XP (KB918899) 1
Mise à jour de sécurité pour Windows XP (KB919007) 1
Mise à jour de sécurité pour Windows XP (KB920213) 1
Mise à jour de sécurité pour Windows XP (KB920214) 1
Mise à jour de sécurité pour Windows XP (KB920670) 1
Mise à jour de sécurité pour Windows XP (KB920683) 1
Mise à jour de sécurité pour Windows XP (KB920685) 1
Mise à jour de sécurité pour Windows XP (KB921398) 1
Mise à jour de sécurité pour Windows XP (KB921883) 1
Mise à jour de sécurité pour Windows XP (KB922616) 1
Mise à jour de sécurité pour Windows XP (KB922760) 1
Mise à jour de sécurité pour Windows XP (KB922819) 1
Mise à jour de sécurité pour Windows XP (KB923191) 1
Mise à jour de sécurité pour Windows XP (KB923414) 1
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923694) 1
Mise à jour de sécurité pour Windows XP (KB923980) 1
Mise à jour de sécurité pour Windows XP (KB924191) 1
Mise à jour de sécurité pour Windows XP (KB924270) 1
Mise à jour de sécurité pour Windows XP (KB924496) 1
Mise à jour de sécurité pour Windows XP (KB924667) 1
Mise à jour de sécurité pour Windows XP (KB925454) 1
Mise à jour de sécurité pour Windows XP (KB925486) 1
Mise à jour de sécurité pour Windows XP (KB925902) 1
Mise à jour de sécurité pour Windows XP (KB926255) 1
Mise à jour de sécurité pour Windows XP (KB926436) 1
Mise à jour de sécurité pour Windows XP (KB927779) 1
Mise à jour de sécurité pour Windows XP (KB927802) 1
Mise à jour de sécurité pour Windows XP (KB928090) 1
Mise à jour de sécurité pour Windows XP (KB928255) 1
Mise à jour de sécurité pour Windows XP (KB928843) 1
Mise à jour de sécurité pour Windows XP (KB929123) 1
Mise à jour de sécurité pour Windows XP (KB929969) 1
Mise à jour de sécurité pour Windows XP (KB930178) 1
Mise à jour de sécurité pour Windows XP (KB931261) 1
Mise à jour de sécurité pour Windows XP (KB931768) 1
Mise à jour de sécurité pour Windows XP (KB931784) 1
Mise à jour de sécurité pour Windows XP (KB932168) 1
Mise à jour de sécurité pour Windows XP (KB933566) 1
Mise à jour de sécurité pour Windows XP (KB935839) 1
Mise à jour de sécurité pour Windows XP (KB935840) 1
Mise à jour pour Windows XP (KB894391) 1
Mise à jour pour Windows XP (KB898461) 1
Mise à jour pour Windows XP (KB900485) 2
Mise à jour pour Windows XP (KB910437) 1
Mise à jour pour Windows XP (KB911280) 2
Mise à jour pour Windows XP (KB916595) 1
Mise à jour pour Windows XP (KB920872) 1
Mise à jour pour Windows XP (KB922582) 1
Mise à jour pour Windows XP (KB927891) 3
Mise à jour pour Windows XP (KB929338) 1
Mise à jour pour Windows XP (KB930916) 1
Mise à jour pour Windows XP (KB931836) 1
Mise à jour pour Windows XP (KB936357) 1
Modem Helper 2.41
Movex Explorer ver 11.3ThisGen Workstation Configuration 11.3ThisGen
MyWay Search Assistant 1.0.1
NetWaiting 2.5.16
Numara Remote Control Guest 9.00.7058
Outil de téléchargement Windows Live 14.0.8014.1029
PC Updater
PhotoFiltre
PowerArchiver
PowerDVD
Print to Fax 1.00
Programme de gestion Camera de Logitech®
QuickSet 5.8.0
QuickTime 7.55.90.70
SUPERAntiSpyware Free Edition 4.34.0.1000
Satsuki Decoder Pack
Security Update pour Microsoft .NET Framework 2.0 (KB928365) 2
Segoe UI 14.0.4327.805
Service Pack 3 for StreamServe 3.0.1 3.0.1
StreamServe Communication Server 3.0
StreamServe Communication Server 4.1.2 4.1.2
StreamServe Design 3.0
StreamServe Tools 3.0
StreamServe Tools 4.1.2 4.1.2
Trust WB-3100P Portable Webcam 4.10.0.1
VideoLAN VLC media player 0.8.5 0.8.5
WebFldrs XP 9.50.7523
Windows Genuine Advantage Notifications (KB905474) 1.5.0540.0
Windows Imaging Component 3.0.0.0
Windows Installer 3.1 (KB893803)
Windows Live Call 14.0.8064.0206
Windows Live Communications Platform 14.0.8064.206
Windows Live Contrôle parental 14.0.8093.805
Windows Live FolderShare 14.0.8089.726
Windows Live Mail 14.0.8089.0726
Windows Live Messenger 14.0.8089.0726
Windows Live Toolbar 14.0.8064.206
Windows Live Writer 14.0.8089.0726
ZebraNet Utilities 
iTunes 8.0.2.20
mCore 1.19.0000
mDrWiFi 1.19.0000
mHlpDell 1.19.0000
mIWA 1.19.0000
mIWCA 1.19.0000
mLogView 1.19.0000
mMHouse 1.19.0000
mPfMgr 1.19.0000
mPfWiz 1.19.0000
mProSafe 9.00.0000
mSSO 1.19.0000
mToolkit 1.19.0000
mWlsSafe 9.00.0000
mXML 1.19.0000
mZConfig 1.19.0000

gen-hackman · Answer

explique un peu exactement les symptomes qui restent ?

tournemine · Answer

bonjour,
en fait je n'ai plus tous les messages du depart, tout semble normal.

 la seule chose est que le scan du kill plante le pc c'est tout , et que tu aurait signalé un rootkit .

pimprenelle27 · Answer

Bonjour,

Oui tout à fait, je confirme, c'est que l'option clean de Killem ne peut pas s'éxécter et que List&killem avait détecté un rootkit patché, donc à savoir si ce rootkit est toujours présent où pas.

gen-hackman · Answer

ok on va controler un fichier :

&#9654 Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche    Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

&#9654 clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\WINDOWS\system32\drivers\disk.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

tournemine · Answer

oui ok je fais faire les manips demain j ai pas le portable aujourd'hui

gen-hackman · Answer

ok à demain ;)

tournemine · Answer

salut,


j ai bien fais la manip puis j ai copié le fichier disk.sys sur une cle USB 
ensuite je suis allé sur un autre pc sur le lien  virustotal et jai telechargé le fichier 
de la cle ?
voivi le rapport :
Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.50 2010.04.04 - 
AhnLab-V3 5.0.0.2 2010.04.03 - 
AntiVir 7.10.6.24 2010.04.03 - 
Antiy-AVL 2.0.3.7 2010.04.02 - 
Authentium 5.2.0.5 2010.04.04 - 
Avast 4.8.1351.0 2010.04.04 - 
Avast5 5.0.332.0 2010.04.03 - 
AVG 9.0.0.787 2010.04.04 - 
BitDefender 7.2 2010.04.04 - 
CAT-QuickHeal 10.00 2010.04.03 - 
ClamAV 0.96.0.0-git 2010.04.03 - 
Comodo 4497 2010.04.04 - 
DrWeb 5.0.2.03300 2010.04.04 - 
eSafe 7.0.17.0 2010.04.01 - 
eTrust-Vet None 2010.04.02 - 
F-Prot 4.5.1.85 2010.04.04 - 
F-Secure 9.0.15370.0 2010.04.03 - 
Fortinet 4.0.14.0 2010.04.04 - 
GData 19 2010.04.04 - 
Ikarus T3.1.1.80.0 2010.04.04 - 
Jiangmin 13.0.900 2010.04.04 - 
K7AntiVirus 7.10.1004 2010.03.22 - 
Kaspersky 7.0.0.125 2010.04.04 - 
McAfee 5937 2010.03.31 - 
McAfee+Artemis 5937 2010.03.31 - 
McAfee-GW-Edition 6.8.5 2010.04.03 - 
Microsoft 1.5605 2010.04.04 - 
NOD32 4998 2010.04.04 - 
Norman 6.04.10 2010.04.03 - 
nProtect 2009.1.8.0 2010.04.04 - 
Panda 10.0.2.2 2010.04.04 - 
PCTools 7.0.3.5 2010.04.04 - 
Prevx 3.0 2010.04.04 - 
Rising 22.41.04.05 2010.04.02 - 
Sophos 4.52.0 2010.04.04 - 
Sunbelt 6136 2010.04.04 - 
Symantec 20091.2.0.41 2010.04.04 - 
TheHacker 6.5.2.0.252 2010.04.04 - 
TrendMicro 9.120.0.1004 2010.04.04 - 
VBA32 3.12.12.4 2010.04.02 - 
ViRobot 2010.4.3.2259 2010.04.04 - 
VirusBuster 5.0.27.0 2010.04.04 - 
Information additionnelle 
File size: 4096 bytes 
MD5...: e2386119c45c8cd93da2718dbd3dc596 
SHA1..: 67240191386b69157446cb9dc2685fa9b4d5933b 
SHA256: 18e7c89f4d2af218559b2f3fd3d57ce7f8e7b062c360f1b72a4d57e920f0c9a2 
ssdeep: 3:znegdFFFHneb2Qcx4llTqGXfTl7lnGxXWMZUXLay0Zeb:zegfeb2Jq/TqGXfp7
dGNy0gb
 
PEiD..: - 
PEInfo: - 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Unknown! 
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

tournemine · Answer

salut,
voici le log.

jai fais comme sur le mail pour l avoir ;
j ai juste mis le fichier sur cle USB puis sur un autre pc ou jai été uploade le fichier.
j etais pas sur le portable pour lupload
Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.50 2010.04.04 - 
AhnLab-V3 5.0.0.2 2010.04.03 - 
AntiVir 7.10.6.24 2010.04.03 - 
Antiy-AVL 2.0.3.7 2010.04.02 - 
Authentium 5.2.0.5 2010.04.04 - 
Avast 4.8.1351.0 2010.04.04 - 
Avast5 5.0.332.0 2010.04.03 - 
AVG 9.0.0.787 2010.04.04 - 
BitDefender 7.2 2010.04.04 - 
CAT-QuickHeal 10.00 2010.04.03 - 
ClamAV 0.96.0.0-git 2010.04.03 - 
Comodo 4497 2010.04.04 - 
DrWeb 5.0.2.03300 2010.04.04 - 
eSafe 7.0.17.0 2010.04.01 - 
eTrust-Vet None 2010.04.02 - 
F-Prot 4.5.1.85 2010.04.04 - 
F-Secure 9.0.15370.0 2010.04.03 - 
Fortinet 4.0.14.0 2010.04.04 - 
GData 19 2010.04.04 - 
Ikarus T3.1.1.80.0 2010.04.04 - 
Jiangmin 13.0.900 2010.04.04 - 
K7AntiVirus 7.10.1004 2010.03.22 - 
Kaspersky 7.0.0.125 2010.04.04 - 
McAfee 5937 2010.03.31 - 
McAfee+Artemis 5937 2010.03.31 - 
McAfee-GW-Edition 6.8.5 2010.04.03 - 
Microsoft 1.5605 2010.04.04 - 
NOD32 4998 2010.04.04 - 
Norman 6.04.10 2010.04.03 - 
nProtect 2009.1.8.0 2010.04.04 - 
Panda 10.0.2.2 2010.04.04 - 
PCTools 7.0.3.5 2010.04.04 - 
Prevx 3.0 2010.04.04 - 
Rising 22.41.04.05 2010.04.02 - 
Sophos 4.52.0 2010.04.04 - 
Sunbelt 6136 2010.04.04 - 
Symantec 20091.2.0.41 2010.04.04 - 
TheHacker 6.5.2.0.252 2010.04.04 - 
TrendMicro 9.120.0.1004 2010.04.04 - 
VBA32 3.12.12.4 2010.04.02 - 
ViRobot 2010.4.3.2259 2010.04.04 - 
VirusBuster 5.0.27.0 2010.04.04 - 
Information additionnelle 
File size: 4096 bytes 
MD5...: e2386119c45c8cd93da2718dbd3dc596 
SHA1..: 67240191386b69157446cb9dc2685fa9b4d5933b 
SHA256: 18e7c89f4d2af218559b2f3fd3d57ce7f8e7b062c360f1b72a4d57e920f0c9a2 
ssdeep: 3:znegdFFFHneb2Qcx4llTqGXfTl7lnGxXWMZUXLay0Zeb:zegfeb2Jq/TqGXfp7
dGNy0gb
 
PEiD..: - 
PEInfo: - 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Unknown! 
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

gen-hackman · Answer

salut met windows à jour vers le service pack 3
et internet explorer 8

tournemine · Answer

bonjour,

ok c es tfait le sp3 et internet explorer 8.

gen-hackman · Answer

ok repasse le fichier disk.sys sur virus total stp

tournemine · Answer

bonjour, voici le log: Fichier disk.sys reçu le 2010.04.07 07:03:25 (UTC)Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.04.07 - AhnLab-V3 5.0.0.2 2010.04.06 - AntiVir 7.10.6.31 2010.04.06 - Antiy-AVL 2.0.3.7 2010.04.07 - Authentium 5.2.0.5 2010.04.07 - Avast 4.8.1351.0 2010.04.06 - Avast5 5.0.332.0 2010.04.06 - AVG 9.0.0.787 2010.04.07 - BitDefender 7.2 2010.04.07 - CAT-QuickHeal 10.00 2010.04.07 - ClamAV 0.96.0.3-git 2010.04.07 - Comodo 4525 2010.04.07 - DrWeb 5.0.2.03300 2010.04.07 - eSafe 7.0.17.0 2010.04.06 - eTrust-Vet 35.2.7412 2010.04.07 - F-Prot 4.5.1.85 2010.04.06 - F-Secure 9.0.15370.0 2010.04.07 - Fortinet 4.0.14.0 2010.04.06 - GData 19 2010.04.07 - Ikarus T3.1.1.80.0 2010.04.07 - Jiangmin 13.0.900 2010.04.07 - Kaspersky 7.0.0.125 2010.04.07 - McAfee-GW-Edition 6.8.5 2010.04.06 - Microsoft 1.5605 2010.04.07 - NOD32 5005 2010.04.06 - Norman 6.04.11 2010.04.06 - nProtect 2009.1.8.0 2010.04.06 - Panda 10.0.2.2 2010.04.06 - PCTools 7.0.3.5 2010.04.07 - Prevx 3.0 2010.04.07 - Rising 22.42.02.02 2010.04.07 - Sophos 4.52.0 2010.04.07 - Sunbelt 6146 2010.04.07 - Symantec 20091.2.0.41 2010.04.07 - TheHacker 6.5.2.0.256 2010.04.07 - TrendMicro 9.120.0.1004 2010.04.07 - VBA32 3.12.12.4 2010.04.05 - ViRobot 2010.4.7.2264 2010.04.07 - VirusBuster 5.0.27.0 2010.04.06 - Information additionnelle File size: 36352 bytes MD5...: 044452051f3e02e7963599fc8f4f3e25 SHA1..: a19652b689c06a116cf889823979669327de109f SHA256: 584bddb074618be76454cf90e74829cff588b5b5faeb793e2f7aad26352dd689 ssdeep: 768:0geJpBApQnLs/oGMjZYEY/kETW/VbwTCJFgQgkV/p:0geJpBAinQAGMjZYpk
tu+JFgQgkV/p
PEiD..: - PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x78ad
timedatestamp.....: 0x480253ae (Sun Apr 13 18:40:46 2008)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x202a 0x2080 6.30 4658ae57e106314e04866a3b281b5cd2
.rdata 0x2380 0x4c9 0x500 4.27 0cea6ed228086d02c0e011a5a8259950
.data 0x2880 0x108 0x180 2.87 12a95a395606d307c2fadbcd88715b36
PAGE 0x2a00 0x44a5 0x4500 6.50 07e80ff4e8114ed146fa42285774305e
PAGE 0x6f00 0x150 0x180 2.35 99b0ea69b39e7288164916a1b22848ef
INIT 0x7080 0x141c 0x1480 6.01 b4c908e30b3ab6da8f4e5cfdf9576da1
.rsrc 0x8500 0x3e0 0x400 3.33 ee43648b7c9abd51b9d19bb51fa2abd1
.reloc 0x8900 0x4ec 0x500 6.13 7449d155384ccd3bf438f5ad13f048c2

( 2 imports )
> ntoskrnl.exe: IoFreeIrp, IoFreeMdl, IoWMIRegistrationControl, ExfInterlockedPopEntryList, KeInitializeSpinLock, ExQueueWorkItem, ExfInterlockedPushEntryList, MmBuildMdlForNonPagedPool, IoAllocateMdl, ZwQueryValueKey, RtlUnicodeStringToInteger, IoReadDiskSignature, ZwOpenKey, IoReadPartitionTable, DbgPrint, IoReadPartitionTableEx, IoWritePartitionTableEx, IoSetPartitionInformationEx, IoSetPartitionInformation, IoRegisterBootDriverReinitialization, IoGetConfigurationInformation, RtlQueryRegistryValues, IoOpenDeviceRegistryKey, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, RtlAnsiStringToUnicodeString, RtlInitAnsiString, sprintf, IoCreateSymbolicLink, IoDeleteSymbolicLink, RtlFreeUnicodeString, IoSetDeviceInterfaceState, KeInitializeMutex, InitSafeBootMode, IoRegisterDeviceInterface, HalExamineMBR, KeTickCount, KeBugCheckEx, _allmul, _allrem, IoAllocateWorkItem, IoQueueWorkItem, IoReportTargetDeviceChangeAsynchronous, IoBuildDeviceIoControlRequest, IoBuildSynchronousFsdRequest, IoInvalidateDeviceRelations, memmove, IoCreateDisk, IoAllocateErrorLogEntry, IoWriteErrorLogEntry, IoAllocateIrp, IofCallDriver, _allshr, IoFreeWorkItem, KeWaitForSingleObject, KeReleaseMutex, ExAllocatePoolWithTag, KeSetEvent, strncmp, IoSetHardErrorOrVerifyDevice, swprintf, RtlInitUnicodeString, ZwCreateDirectoryObject, IoGetAttachedDeviceReference, ZwMakeTemporaryObject, ZwClose, ExFreePoolWithTag, IoAttachDeviceToDeviceStack, IoDeleteDevice, KeInitializeEvent, IoVerifyPartitionTable, ObfDereferenceObject
> CLASSPNP.SYS: ClassQueryTimeOutRegistryValue, ClassUpdateInformationInRegistry, ClassInitializeMediaChangeDetection, ClassGetDeviceParameter, ClassDeleteSrbLookasideList, ClassReadDriveCapacity, ClassSignalCompletion, ClassMarkChildMissing, ClassInitializeSrbLookasideList, ClassNotifyFailurePredicted, ClassSetFailurePredictionPoll, ClassWmiCompleteRequest, ClassInterpretSenseInfo, ClassSpinDownPowerHandler, ClassInitialize, ClassInitializeEx, ClassSendDeviceIoControlSynchronous, ClassAcquireChildLock, ClassReleaseChildLock, ClassDeviceControl, ClassInvalidateBusRelations, ClassSetDeviceParameter, ClassModeSense, ClassFindModePage, ClassAcquireRemoveLockEx, ClassAsynchronousCompletion, ClassSendSrbSynchronous, ClassIoComplete, ClassReleaseRemoveLock, ClassCompleteRequest, ClassClaimDevice, ClassCreateDeviceObject, ClassScanForSpecial

( 0 exports )
RDS...: NSRL Reference Data Set
- pdfid.: - trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) packers (Kaspersky): PE_Patch sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: PnP Disk Driver
original name: scsidisk.sys
internal name: scsidisk.sys
file version.: 5.1.2600.5512 (xpsp.080413-2108)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.04.07 - AhnLab-V3 5.0.0.2 2010.04.06 - AntiVir 7.10.6.31 2010.04.06 - Antiy-AVL 2.0.3.7 2010.04.07 - Authentium 5.2.0.5 2010.04.07 - Avast 4.8.1351.0 2010.04.06 - Avast5 5.0.332.0 2010.04.06 - AVG 9.0.0.787 2010.04.07 - BitDefender 7.2 2010.04.07 - CAT-QuickHeal 10.00 2010.04.07 - ClamAV 0.96.0.3-git 2010.04.07 - Comodo 4525 2010.04.07 - DrWeb 5.0.2.03300 2010.04.07 - eSafe 7.0.17.0 2010.04.06 - eTrust-Vet 35.2.7412 2010.04.07 - F-Prot 4.5.1.85 2010.04.06 - F-Secure 9.0.15370.0 2010.04.07 - Fortinet 4.0.14.0 2010.04.06 - GData 19 2010.04.07 - Ikarus T3.1.1.80.0 2010.04.07 - Jiangmin 13.0.900 2010.04.07 - Kaspersky 7.0.0.125 2010.04.07 - McAfee-GW-Edition 6.8.5 2010.04.06 - Microsoft 1.5605 2010.04.07 - NOD32 5005 2010.04.06 - Norman 6.04.11 2010.04.06 - nProtect 2009.1.8.0 2010.04.06 - Panda 10.0.2.2 2010.04.06 - PCTools 7.0.3.5 2010.04.07 - Prevx 3.0 2010.04.07 - Rising 22.42.02.02 2010.04.07 - Sophos 4.52.0 2010.04.07 - Sunbelt 6146 2010.04.07 - Symantec 20091.2.0.41 2010.04.07 - TheHacker 6.5.2.0.256 2010.04.07 - TrendMicro 9.120.0.1004 2010.04.07 - VBA32 3.12.12.4 2010.04.05 - ViRobot 2010.4.7.2264 2010.04.07 - VirusBuster 5.0.27.0 2010.04.06 - Information additionnelle File size: 36352 bytes MD5...: 044452051f3e02e7963599fc8f4f3e25 SHA1..: a19652b689c06a116cf889823979669327de109f SHA256: 584bddb074618be76454cf90e74829cff588b5b5faeb793e2f7aad26352dd689 ssdeep: 768:0geJpBApQnLs/oGMjZYEY/kETW/VbwTCJFgQgkV/p:0geJpBAinQAGMjZYpk
tu+JFgQgkV/p
PEiD..: - PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x78ad
timedatestamp.....: 0x480253ae (Sun Apr 13 18:40:46 2008)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x202a 0x2080 6.30 4658ae57e106314e04866a3b281b5cd2
.rdata 0x2380 0x4c9 0x500 4.27 0cea6ed228086d02c0e011a5a8259950
.data 0x2880 0x108 0x180 2.87 12a95a395606d307c2fadbcd88715b36
PAGE 0x2a00 0x44a5 0x4500 6.50 07e80ff4e8114ed146fa42285774305e
PAGE 0x6f00 0x150 0x180 2.35 99b0ea69b39e7288164916a1b22848ef
INIT 0x7080 0x141c 0x1480 6.01 b4c908e30b3ab6da8f4e5cfdf9576da1
.rsrc 0x8500 0x3e0 0x400 3.33 ee43648b7c9abd51b9d19bb51fa2abd1
.reloc 0x8900 0x4ec 0x500 6.13 7449d155384ccd3bf438f5ad13f048c2

( 2 imports )
> ntoskrnl.exe: IoFreeIrp, IoFreeMdl, IoWMIRegistrationControl, ExfInterlockedPopEntryList, KeInitializeSpinLock, ExQueueWorkItem, ExfInterlockedPushEntryList, MmBuildMdlForNonPagedPool, IoAllocateMdl, ZwQueryValueKey, RtlUnicodeStringToInteger, IoReadDiskSignature, ZwOpenKey, IoReadPartitionTable, DbgPrint, IoReadPartitionTableEx, IoWritePartitionTableEx, IoSetPartitionInformationEx, IoSetPartitionInformation, IoRegisterBootDriverReinitialization, IoGetConfigurationInformation, RtlQueryRegistryValues, IoOpenDeviceRegistryKey, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, RtlAnsiStringToUnicodeString, RtlInitAnsiString, sprintf, IoCreateSymbolicLink, IoDeleteSymbolicLink, RtlFreeUnicodeString, IoSetDeviceInterfaceState, KeInitializeMutex, InitSafeBootMode, IoRegisterDeviceInterface, HalExamineMBR, KeTickCount, KeBugCheckEx, _allmul, _allrem, IoAllocateWorkItem, IoQueueWorkItem, IoReportTargetDeviceChangeAsynchronous, IoBuildDeviceIoControlRequest, IoBuildSynchronousFsdRequest, IoInvalidateDeviceRelations, memmove, IoCreateDisk, IoAllocateErrorLogEntry, IoWriteErrorLogEntry, IoAllocateIrp, IofCallDriver, _allshr, IoFreeWorkItem, KeWaitForSingleObject, KeReleaseMutex, ExAllocatePoolWithTag, KeSetEvent, strncmp, IoSetHardErrorOrVerifyDevice, swprintf, RtlInitUnicodeString, ZwCreateDirectoryObject, IoGetAttachedDeviceReference, ZwMakeTemporaryObject, ZwClose, ExFreePoolWithTag, IoAttachDeviceToDeviceStack, IoDeleteDevice, KeInitializeEvent, IoVerifyPartitionTable, ObfDereferenceObject
> CLASSPNP.SYS: ClassQueryTimeOutRegistryValue, ClassUpdateInformationInRegistry, ClassInitializeMediaChangeDetection, ClassGetDeviceParameter, ClassDeleteSrbLookasideList, ClassReadDriveCapacity, ClassSignalCompletion, ClassMarkChildMissing, ClassInitializeSrbLookasideList, ClassNotifyFailurePredicted, ClassSetFailurePredictionPoll, ClassWmiCompleteRequest, ClassInterpretSenseInfo, ClassSpinDownPowerHandler, ClassInitialize, ClassInitializeEx, ClassSendDeviceIoControlSynchronous, ClassAcquireChildLock, ClassReleaseChildLock, ClassDeviceControl, ClassInvalidateBusRelations, ClassSetDeviceParameter, ClassModeSense, ClassFindModePage, ClassAcquireRemoveLockEx, ClassAsynchronousCompletion, ClassSendSrbSynchronous, ClassIoComplete, ClassReleaseRemoveLock, ClassCompleteRequest, ClassClaimDevice, ClassCreateDeviceObject, ClassScanForSpecial

( 0 exports )
RDS...: NSRL Reference Data Set
- pdfid.: - trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) packers (Kaspersky): PE_Patch sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: PnP Disk Driver
original name: scsidisk.sys
internal name: scsidisk.sys
file version.: 5.1.2600.5512 (xpsp.080413-2108)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

gen-hackman · Answer

hello ok c'est bon il a recupéré sa signature microsoft ;)

tournemine · Answer

ok merci pour le coup de main.
Je vous remercie tous les deux pour le temps passé a me depanner.
ai je autre chose a faire ?

gen-hackman · Answer

je vous laisse finir ^^

pimprenelle27 · Answer

Bonsoir à vous 2 il n'y a donc plus de rootkit GenHackman? 
Si vous voyer que je ne répond pas à votre sujet, n'hésitez pas à me MP. 
Parfois je ne vois pas l'alerte d'un nouveau message.

gen-hackman · Answer

apparement la mise a jour vers le SP3 a supprimé le fichier patché pour reinstaller un fichier sain signé Microsoft donc.....reste plus que le menage ^^

pimprenelle27 · Answer

ok merci beaucoup.

Peux tu me faire ceci stp tournemine : 

==> Télécharge ZHPDiag (de Nicolas Coolman)

ou :ZHPDiag

==> Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,

==> Lance ZHPDiag.exe et clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.

==> Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.

==> Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

==> Clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

==> Clique sur Parcourir et cherche le fichier ZHPDiag.txt

==> Clique sur Ouvrir.

==> Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

==> Copie ce lien dans ta réponse.

tournemine · Answer

salut,
voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201004/cijFwIpw56.txt

pimprenelle27 · Answer

Bonsoir,

Il te reste une infection Infection BT (MyWebSearch.Spy)


&#x25B6; Désactiver vos logiciels de sécurité tel qu'antivirus...

&#x25B6; Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : 

https://www.androidworld.fr/

&#x25B6; Ou là :

https://www.androidworld.fr/

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

&#x25B6;  Double-clique sur l'icône Ad-remover située sur ton Bureau.

&#x25B6;  Sur la page, clique sur le bouton « Scanner »

&#x25B6;  Confirme lancement du scan

&#x25B6;  Laisse travailler l'outil.

&#x25B6;  Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report.)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

tournemine · Answer

salut,
désolé pour le delai .
voici le rapport :
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 23/03/10 à 14:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:43:00 le 15/04/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM)  Service Pack 3 - X86
Nom du PC: PT102060 | Utilisateur actuel: YDerrien (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
.
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\DOCUME~1\YDerrien\LOCALS~1\Temp: 86 Fichier(s), 9 Dossier(s)
C:\WINDOWS	emp: 6 Fichier(s), 0 Dossier(s)
Temporary Internet Files: 622 Fichier(s), 22 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 0 Fichier(s)
.
C:\Ad-Report-SCAN[2].txt - 1785 Octet(s)
.
Fin à: 11:52:30, 15/04/2010
.
============== E.O.F - SCAN[2] ==============

gen-hackman · Answer

salut un fichier me fait me poser des questions


? Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage 
* - Coche    Afficher les fichiers et dossiers cachés 
* - Décoche Masquer les extensions des fichiers dont le type est connu 
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé) 

? clique sur Appliquer, puis OK. 

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important 

Fais analyser le(s) fichier(s) suivants sur Virustotal : 

Virus Total 

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers : 

C:\WINDOWS\SYSTEM32\DWRCS.EXE  
 
    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. 
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. 
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté 
    * Une nouvelle fenêtre de ton navigateur va apparaître 
    * Clique alors sur les deux fleches 
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier 
    * Enfin colle le résultat dans ta prochaine réponse. 

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier. 
?G3?-?@¢??@?(TM)©®?

tournemine · Answer

voici le log Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.01.29 - AhnLab-V3 5.0.0.2 2010.01.29 - AntiVir 7.9.1.154 2010.01.29 - Antiy-AVL 2.0.3.7 2010.01.28 - Authentium 5.2.0.5 2010.01.30 - Avast 4.8.1351.0 2010.01.30 - AVG 9.0.0.730 2010.01.29 - BitDefender 7.2 2010.01.30 - CAT-QuickHeal 10.00 2010.01.29 - ClamAV 0.96.0.0-git 2010.01.30 - Comodo 3757 2010.01.30 - DrWeb 5.0.1.12222 2010.01.30 - eSafe 7.0.17.0 2010.01.28 - eTrust-Vet 35.2.7271 2010.01.29 - F-Prot 4.5.1.85 2010.01.29 - F-Secure 9.0.15370.0 2010.01.29 - Fortinet 4.0.14.0 2010.01.30 - GData 19 2010.01.30 - Ikarus T3.1.1.80.0 2010.01.29 - Jiangmin 13.0.900 2010.01.28 - K7AntiVirus 7.10.960 2010.01.29 - Kaspersky 7.0.0.125 2010.01.30 - McAfee 5876 2010.01.29 potentially unwanted program RemAdm-DWRC McAfee+Artemis 5876 2010.01.29 potentially unwanted program RemAdm-DWRC McAfee-GW-Edition 6.8.5 2010.01.30 Heuristic.BehavesLike.Win32.Downloader.H Microsoft 1.5406 2010.01.30 - NOD32 4819 2010.01.30 - Norman 6.04.03 2010.01.29 - nProtect 2009.1.8.0 2010.01.29 - Panda 10.0.2.2 2010.01.29 Suspicious file PCTools 7.0.3.5 2010.01.30 - Prevx 3.0 2010.01.30 - Rising 22.32.05.01 2010.01.30 - Sophos 4.50.0 2010.01.30 - Sunbelt 3.2.1858.2 2010.01.30 - Symantec 20091.2.0.41 2010.01.30 Supicious.Insight TheHacker 6.5.1.0.171 2010.01.30 - TrendMicro 9.120.0.1004 2010.01.30 - VBA32 3.12.12.1 2010.01.29 - ViRobot 2010.1.30.2163 2010.01.30 - VirusBuster 5.0.21.0 2010.01.29 - Information additionnelle File size: 241664 bytes MD5 : 3d3cecdd903954f7c5859bac109c2d36 SHA1 : 779a9256473d4935670136f88260f162093283e5 SHA256: 6f86fd77a5c553a6afef652111d19832a34d78145f1f8368407d7e02275be828 PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1E1D3
timedatestamp.....: 0x3F007ABD (Mon Jun 30 20:00:29 2003)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x256F5 0x26000 6.48 88a5d1607150163b4187f52bbfb71a71
.rdata 0x27000 0x3C78 0x4000 5.63 2275d0b2328ff3a644d8b82abc5a57bd
.data 0x2B000 0xC5C4 0x9000 4.78 51d81beacbcb602154483e4b1a76e99f
.rsrc 0x38000 0x6710 0x7000 3.48 320294101e3f34ecf8c436fd63171705

( 8 imports )

> advapi32.dll: InitializeAcl, CreateProcessAsUserA, RegDeleteKeyA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, SetServiceStatus, OpenServiceA, ControlService, QueryServiceStatus, DeleteService, RegDeleteValueA, OpenSCManagerA, CreateServiceA, CloseServiceHandle, RegCreateKeyA, RegSetValueExA, RegisterServiceCtrlHandlerA, StartServiceCtrlDispatcherA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, SetThreadToken, OpenThreadToken, FreeSid, PrivilegedServiceAuditAlarmA, AccessCheck, IsValidSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, SetSecurityDescriptorDacl, AddAccessAllowedAce, RegQueryValueExA, GetLengthSid, InitializeSecurityDescriptor, AllocateAndInitializeSid, GetUserNameW, RegCloseKey, RegOpenKeyA
> gdi32.dll: DeleteDC, CreateSolidBrush, SetBkMode, SetBkColor, GetStockObject, CreateCompatibleDC, GetSystemPaletteEntries, CreateHalftonePalette, GetPaletteEntries, DeleteObject, CreatePalette, SelectPalette, RealizePalette, GdiFlush, CreateDIBSection, SelectObject, BitBlt, GetBitmapBits, GetObjectA, GetDeviceCaps
> kernel32.dll: GlobalUnlock, GlobalLock, GlobalAlloc, GetCurrentThreadId, WritePrivateProfileStringA, CreateProcessA, ResumeThread, SetThreadPriority, GetExitCodeThread, GetModuleFileNameA, SetProcessShutdownParameters, CreateFileMappingA, GetCurrentThread, LocalFree, LocalAlloc, HeapFree, HeapAlloc, lstrlenW, lstrcmpiW, lstrcatW, lstrcpyW, MultiByteToWideChar, lstrcmpA, WaitForSingleObject, GetTickCount, CreateEventA, SetEvent, TerminateThread, ResetEvent, GetPrivateProfileStringA, GetComputerNameA, SetFilePointer, WideCharToMultiByte, GetCurrentProcessId, lstrcpynA, UnhandledExceptionFilter, TerminateProcess, IsBadWritePtr, HeapReAlloc, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, TlsGetValue, TlsAlloc, GetVersion, GetCommandLineA, GetStartupInfoA, GetModuleHandleA, InterlockedIncrement, InterlockedDecrement, ExitThread, TlsSetValue, CreateThread, GetSystemTime, GetTimeZoneInformation, GetLocalTime, RtlUnwind, GetVersionExA, GetSystemDirectoryA, CopyFileA, MoveFileExA, GetCurrentProcess, DuplicateHandle, FreeLibrary, LoadLibraryA, GetProcAddress, SetLastError, WriteFile, SetFileTime, SetFileAttributesA, RemoveDirectoryA, DeleteFileA, CreateDirectoryA, lstrlenA, MoveFileA, GetLastError, CreateFileA, ReadFile, FindFirstFileA, FindNextFileA, FindClose, GetLogicalDrives, GetDriveTypeA, lstrcmpiA, lstrcatA, lstrcpyA, CloseHandle, Sleep, DeleteCriticalSection, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, LCMapStringA, LCMapStringW, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, GetStringTypeA, GetStringTypeW, GetCPInfo, GetACP, GetOEMCP, SetStdHandle, FlushFileBuffers, CompareStringA, CompareStringW, ExitProcess, SetEnvironmentVariableA
> ole32.dll: StringFromIID, CoGetMalloc
> shell32.dll: ShellExecuteA, Shell_NotifyIconA, DragAcceptFiles, DragQueryFileA
> user32.dll: GetDlgItem, MessageBeep, GetWindowLongA, KillTimer, PostQuitMessage, SetTimer, IsClipboardFormatAvailable, LoadMenuA, GetSubMenu, SetMenuDefaultItem, EnableMenuItem, DeleteMenu, SetForegroundWindow, TrackPopupMenu, GetMenuItemID, DestroyMenu, CreateDialogParamA, SetDlgItemTextA, UpdateWindow, GetWindowRect, GetDesktopWindow, SetWindowPos, GetClipboardOwner, GetClipboardData, RegisterClipboardFormatA, DefWindowProcA, GetUserObjectInformationA, OpenInputDesktop, SetWindowTextA, OpenDesktopA, EnumDisplaySettingsA, ChangeClipboardChain, LoadIconA, RegisterClassExA, CreateWindowExA, SetWindowLongA, SetClipboardViewer, SystemParametersInfoA, GetWindowDC, PostThreadMessageA, DestroyWindow, GetWindowThreadProcessId, LoadCursorA, AttachThreadInput, GetCaretPos, ClientToScreen, GetClassNameA, GetCursor, GetIconInfo, VkKeyScanA, CharUpperBuffA, GetMessageA, IsWindow, IsDialogMessageA, TranslateMessage, DispatchMessageA, PeekMessageA, EndDialog, FlashWindow, GetDlgItemTextA, SetThreadDesktop, ReleaseDC, GetDC, GetSystemMetrics, CloseDesktop, MessageBoxA, ExitWindowsEx, GetThreadDesktop, SendMessageA, PostMessageA, GetKeyboardState, MapVirtualKeyA, OpenClipboard, EmptyClipboard, SetClipboardData, CloseClipboard, GetCursorPos, WindowFromPoint, GetForegroundWindow, mouse_event, GetAsyncKeyState, keybd_event, DialogBoxParamA, GetKeyboardLayoutNameA, wsprintfA, LoadStringA, CopyRect, EnumWindows
> version.dll: VerQueryValueA, GetFileVersionInfoA, GetFileVersionInfoSizeA
> wsock32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 0 exports )
TrID : File type identification
Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%) ssdeep: 6144:RnB0f76xN7QAMDulk5R4e8Ab685NGYq0F6OznCbjt:RnBI76sDEk5R+MdrG9qVnC PEiD : - RDS : NSRL Reference Data Set
-

gen-hackman · Answer

supprime-le

tournemine · Answer

je dois supprimer quoi ?
le DWRCS.EXE ?

gen-hackman · Answer

oui

tournemine · Answer

bonjour,

le fichier doit etre utilisé par windows car il refuse la suppression du dwrcs.exe
,et ses propriétés ne sont pas cohées , (cachée et lecture seule).

tournemine · Answer

bonjour, 
impossible de supprimer un fichier systeme

gen-hackman · Answer

hello,
coupe tes protections, relance List_Kill'em , option "Manuel delete"

un fichier texte vide va s'ouvrir , colle ca dedans :

C:\WINDOWS\SYSTEM32\DWRCS.EXE 

ensuite , clic sur l'onglet fichier puis enregistrer , puis ferme la fenetre , une autre va s ouvrir , avec quelque chose d'ecrit , communique-le

touenemine · Answer

salut,

voici le log , apparemment il a supprimé avec succes.
¤¤¤¤¤¤¤¤¤¤ File | Folder  
 
¤¤¤¤¤¤¤¤¤¤ File | Folder  
 
¤¤¤¤¤¤¤¤¤¤ File | Folder  
 
¤¤¤¤¤¤¤¤¤¤ File | Folder  
 
¤¤¤¤¤¤¤¤¤¤ File | Folder  
 
Quarantined & Deleted !! : c:\windows\system32\DWRCS.EXE

tournemine22 · Answer

salut, 

voici le log , apparemment il a supprimé avec succes. 
¤¤¤¤¤¤¤¤¤¤ File | Folder 

¤¤¤¤¤¤¤¤¤¤ File | Folder 

¤¤¤¤¤¤¤¤¤¤ File | Folder 

¤¤¤¤¤¤¤¤¤¤ File | Folder 

¤¤¤¤¤¤¤¤¤¤ File | Folder 

Quarantined & Deleted !! : c:\windows\system32\DWRCS.EXE

Malware virus xp pro

112 réponses

Votre réponse

Discussions similaires

Newsletters