[RESOLU]PC qui plante/fige apres le démarrage

Tyrion35 -  
 gen-hackman -
J'ai posté ce problème sur le forum hardware, mais personne ne sait me repondre, alors je fais appel a vous, peut être aurais je plus de chance !

http://forum.hardware.fr/hfr/WindowsSoftwa...et_316766_1.htm

Bonjour,

J'ai un gros souci avec mon ordinateur. Dès que je le démarre, il rame, puis se fige après quelques secondes. Je peux lancer presque aucun programme. L'antivirus lui ne se charge pas (bit defender reste gris)
Ce problème a commencé après avoir rencontré des difficultés sur Battlefield BC2.j'avais des bug graphiques important . J'ai tenté de reboot.
Au redémarrage, le pc a planté/figé au bout de quelques secondes.
Il s'éteint parfois tout seul. J'ai des messages du style : « echec option de sécurité ». J'ai eu aussi « mom.exe fatal error ».
Le seul truc que j'arrive a faire, c'est de fois de réussir a allumer le gestionnaire des taches de windows, si je ctrl alt sup rapidement (1 a 2 sec apres « bienvenue de vista « )
Hier apres avoir eu le pc figé, j'ai cliqué comme un malade pour voir, et le pc a commencé a émettre des bip sonores a chaque cliques de souris.
Le processeur est très souvent a 100%. Avce des processus qui reste bloqué a 50% du style CCC.exe ou svchost.exe(network service), vsserv.exe
Je n'ai pas réussi à le démarrer en mode sans échec car, mon clavier ne s'active que dès qu'il est sur le bureau de l'ordinateur pas au boot....

A quoi cela peut il etre du ?
Virus ?Processeur HS ? carte graphique ?

Merci.

Config : (dec 2008)
EP 45 DS3R
E 7300
Hd 4850
HDD CAVIAR BLUE 640 GO
VISTA
4 GO CORSAIR
BITDEFENDER
VISTA

edit :

Après nettoyage de la poussière dans mon ordi, le pb persiste en mode normal. Donc pour moi, cela serait plutot donc un pb de virus.

j'ai reussi a lancer en mode sans echec grâce a un vieux clavier trouvé par chance dans mon grenier. Le PC ne freeze plus, je peux utiliser des logiciels.

Mon antivirus en mode sans echec ne marche pas, il est desactivé. Il ne marche pas d'apres bitdefender à cause de :"vsserv.exe"
J'ai passé un coup de ccleaner et spybot.

Resultat Spybot :

Win32.Autorun.tmp Trojan C-05, valeur du registre
Hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\taslman

Win32.Bredolab.B , Trojan, fichier
C:Windows\System32\drivers\str.sys

j'ai "corriger le probleme" avec spybot mais quand j'ai redemarrer le pc (en mode normal), le pc a de nouveau freezer, la virus a donc du se recreer...
Comment le supprimer pour de bon?

Est ce que je peux supprimer manuellement le truc "taskman" directement dan la base de registre ? C'est un virus ou c'est un fichier qui a été contaminé dont l'ordinateur a besoin pour fonctionner ?

--------------------------------------------------------------------

Je n'arrive plus a acceder a l'ordinateur outre que de passer en en mode sans echec maintenant. A noter que quand j arrive sur le bureau, il y a des messages me disant :

16 bit MS DOS subsystem
The NTVDM CPU has encountered an illegal instruction CS: [...plein de chiffres et lettres] Choose close to terminate the application

J'ai reussi en mode sans echec a faire des scan avec plein de truc, et j'en ai trouvé d'autres :

Trendmicro :

- BKDR_RUSTOK.DW (Backdoor) Trojan
- Cryp Palevo6 (Generic) topimse.exe ou 475.exe

Malwaresbytes

- Trojan.Agent\file\c:\users\hollywood\csrss.exe

USBFix

############################## | UsbFix V6.104 |

User : Hollywood (Administrateurs) # S3B
Update on 14/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:37:13 | 17/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel® Core(TM)2 Duo CPU E7300 @ 2.66GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Disabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 596,17 Go (295,61 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 253,72 Mo (253,63 Mo free) [SEB] # FAT
G:\ -> Disque amovible # 7,52 Go (7,52 Go free) [CORSAIR] # FAT32

################## | Elements infectieux |

C:\Users\HOLLYW~1\AppData\Local\Temp\152.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\212.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\223.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\475.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\564.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\674.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\706.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\805.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\143929.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\152.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\212.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\223.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\26813.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\3315163.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\369115.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\4326.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\475.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\4840372.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\564.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\674.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\706.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\72738.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\7465505.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\74986.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\805.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\805065.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\852073.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\89404.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\96706.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\9926442.exe
E:\autorun.inf
E:\driver
G:\autorun.inf
G:\driver

################## | Registre |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\E
shell\AutoRun\command =E:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{c6b7b989-cd5d-11dd-934d-806e6f6e6963}
shell\AutoRun\command =D:\Autorun.exe

HKCU\..\..\Explorer\MountPoints2\{e2fe5352-5340-11de-86a9-8c0ebb29b4f8}
shell\AutoRun\command =G:\GLEDAJU//topimse.exe
shell\open\command =G:\GLEDAJU//topimse.exe

################## | Vaccin |

################## | ! Fin du rapport # UsbFix V6.104 ! |

J'ai l'impression d'avoir des virus sur mes 2 clefs, autoronu.inf + drivers1.exe (repéré en utilisant une archive winrar et remonté de dossier parent). Pourtant je viens de les formater apres les avoir vider dans un dossier sur mon bureau...

33 réponses

  • 1
  • 2
Résumé de la discussion

Dès le démarrage sous Windows Vista, l’ordinateur rame et se fige vite; l’antivirus ne se lance pas et les symptômes de virus suspects apparaissent après des soucis graphiques sur un jeu, avec CPU à 100%.
Plusieurs éléments et solutions ont été tentés, dont dépoussiérage matériel, scans avec Spybot, CCleaner, TrendMicro et Malwarebytes, et des indications de malwares tels que Win32.Bredolab et backdoors.
Des symptômes persistants incluent des messages système, des erreurs 16 bit NTVDM, des processus bloqués et des tentatives d’accès en mode sans échec, avec des rapports sur autoruns et systèmes infectés.
En cas de détection, les outils bloquent ou suppriment certains éléments malveillants, mais des traces demeurent et des questions subsistent sur l’origine et les mesures préventives.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut :

    1/ attention aux cles usb et mp3 des amis !!!

    ca infecte de plus en plus les pc

    2/

    tu t'es trompé sur un point :

    Hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\taslman

    c'est taskman et non taslman ^^

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

    ▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

    ▶ choisi l option 2 ( Suppression )

    ▶ Ton bureau disparaitra et le pc redémarrera .

    ▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    ######### | Désinstallation | #########

    ▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

    ▶ Choisi l option Désinstaller ....
    0
    1. gen-hackman
       
      il est possible qu'on vienne me seconder pour te faire gagner du temps , je dois m'absenter un bout de la soirée ....
      0
    2. Tyrion35
       
      J'ai lancé l'option 2, on va bien voir si celamarche...

      ps : entre temps, j'ai analyser l'ordi avec bitdefender, il ma trouvé 9 rootkit dans le dossier TEMP.
      Je les ai virer a la main...
      0
    3. Tyrion35
       
      le rapport usbfix :


      ############################## | UsbFix V6.105 |

      User : Hollywood (Administrateurs) # S3B
      Update on 17/04/2010 by El Desaparecido , C_XX & Chimay8
      Start at: 20:05:00 | 17/04/2010
      Website : http://pagesperso-orange.fr/NosTools/index.html
      Contact : FindyKill.Contact@gmail.com

      Intel(R) Core(TM)2 Duo CPU E7300 @ 2.66GHz
      Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
      Internet Explorer 7.0.6001.18000
      Windows Firewall Status : Disabled

      A:\ -> Lecteur de disquettes 3 ½ pouces
      C:\ -> Disque fixe local # 596,17 Go (292,88 Go free) # NTFS
      D:\ -> Disque CD-ROM
      E:\ -> Disque amovible # 253,72 Mo (253,63 Mo free) [SEB] # FAT
      G:\ -> Disque amovible # 7,52 Go (7,52 Go free) # FAT32

      ################## | Elements infectieux |

      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\023.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\135.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\152.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\212.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\223.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\267.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\564.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\674.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\706.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\805.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\04041.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\143929.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\1765874.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\20605.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\26813.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\3315163.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\369115.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\4326.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\4840372.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\5658988.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\72738.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\7465505.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\74986.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\805065.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\852073.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\882898.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\8928489.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\89404.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\96706.exe
      Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\9926442.exe
      Supprimé ! C:\$Recycle.Bin\S-1-5-21-3234372987-2414098042-3541134449-1000
      E:\autorun.inf -> fichier appelé : "E:\Driver\Drivers1.exe" ( Présent ! )
      Supprimé ! E:\Driver\Drivers1.exe
      Supprimé ! E:\autorun.inf
      Supprimé ! E:\driver
      G:\autorun.inf -> fichier appelé : "G:\Driver\Drivers1.exe" ( Présent ! )
      Supprimé ! G:\Driver\Drivers1.exe
      Supprimé ! G:\autorun.inf
      Supprimé ! G:\driver

      ################## | Registre |


      ################## | Mountpoints2 |

      Supprimé ! HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{c6b7b989-cd5d-11dd-934d-806e6f6e6963}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{e2fe5352-5340-11de-86a9-8c0ebb29b4f8}\Shell\AutoRun\Command

      ################## | Listing des fichiers présent |

      [18/09/2006 23:43|--a------|24] C:\autoexec.bat
      [15/04/2010 11:26|--a------|15295] C:\bdlog.txt
      [21/01/2008 04:24|-rahs----|333203] C:\bootmgr
      [19/12/2008 01:43|-ra-s----|8192] C:\BOOTSECT.BAK
      [18/09/2006 23:43|--a------|10] C:\config.sys
      [25/07/2009 15:11|--a------|10] C:\csb.log
      [?|?|?] C:\hiberfil.sys
      [08/03/2009 18:37|-rahs----|0] C:\IO.SYS
      [01/07/2009 00:24|--a------|4194322] C:\memory_map.tga
      [08/03/2009 18:37|-rahs----|0] C:\MSDOS.SYS
      [?|?|?] C:\pagefile.sys
      [01/09/2009 13:23|--a------|55190] C:\test.log
      [17/04/2010 20:08|--a------|3945] C:\UsbFix.txt

      ################## | Vaccination |

      # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

      ################## | Upload |

      Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_S3B.zip : https://www.ionos.fr/?affiliate_id=77097
      Merci pour votre contribution .

      ################## | ! Fin du rapport # UsbFix V6.105 ! |
      0
    4. Tyrion35
       
      je retrouve a nouveau mon pc en mode normal !
      j'ai désinstallé le logiciel USBfix.

      que dois je faire maintenant ?
      0
  2. gen-hackman
     
    ▶ Télécharge ZHPDiag (de Nicolas Coolman)

    ou :ZHPDiag

    Enregistre le sur ton Bureau.

    Une fois le téléchargement achevé,

    ▶ lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

    ▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

    ▶ Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse,

    ▶ clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Pour me le transmettre clique sur ce lien :

    http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
  3. Tyrion35
     
    Le lien pour le rapport ZHP.

    http://www.cijoint.fr/cjlink.php?file=cj201004/cij2boKgZr.txt

    NB: j'ai enlevé les 2 clefs USB lors de l'analyse. Elles sont saines maintenant non ?
    0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonsoir

    à la demande de Gen et pour avancer

    j'ai enlevé les 2 clefs USB lors de l'analyse. Elles sont saines maintenant non ?

    oui mais pas vaccinées apparemment

    faire Option 3 = Vaccination clés branchées au pc

    sinon le rapport se présente bien

    Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

    Télécharge et installe List&Kill'em et enregistre le sur ton bureau

    http://sd-1.archive-host.com/...

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    coche la case "creer une icone sur le bureau"

    une fois terminée , clic sur "terminer" et le programme se lancer seul

    choisis la langue puis choisis l'option SEARCH

    laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    tu peux supprimer le rapport catchme.log de ton bureau maintenant.


    Je cherche beaucoup...et maintenant je trouve !
    (sourire)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Tyrion35
     
    voivi le rapport List kill them :

    List'em by g3n-h@ckm@n 1.7.1.1

    User : Hollywood (Administrateurs)
    Update on 17/04/2010 by g3n-h@ckm@n ::::: 17.10
    Start at: 21:45:38 | 17/04/2010

    Intel(R) Core(TM)2 Duo CPU E7300 @ 2.66GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000
    Windows Firewall Status : Disabled

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local | 596,17 Go (290,92 Go free) | NTFS
    D:\ -> Disque CD-ROM

    Boot: Normal

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
    C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\PnkBstrA.exe
    C:\Windows\system32\PnkBstrB.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
    C:\Windows\system32\SearchIndexer.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
    C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe
    C:\Windows\explorer.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
    C:\Windows\system32\wuauclt.exe
    C:\Windows\system32\wbem\unsecapp.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Steam\Steam.exe
    C:\Windows\servicing\TrustedInstaller.exe
    C:\Windows\system32\SearchProtocolHost.exe
    C:\Program Files\List_Kill'em\List_Kill'em.exe
    C:\Windows\system32\cmd.exe
    C:\Windows\system32\DllHost.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Program Files\List_Kill'em\pv.exe

    ======================
    Keys "Run"
    ======================

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe
    WMPNSCFG REG_SZ C:\Program Files\Windows Media Player\WMPNSCFG.exe
    PMCRemote REG_SZ C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Windows Defender REG_EXPAND_SZ %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    RtHDVCpl REG_SZ RtHDVCpl.exe
    Copperhead REG_SZ C:\Program Files\Razer\Copperhead\razerhid.exe
    ANIWZCS2Service REG_SZ C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    D-Link D-Link Wireless G DWA-510 REG_SZ C:\Program Files\D-Link\D-Link Wireless G DWA-510\AirGCFG.exe
    SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
    StartCCC REG_SZ "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    ORAHSSSessionManager REG_SZ C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
    Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    Adobe ARM REG_SZ "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
    HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    BDAgent REG_SZ "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"
    BitDefender Antiphishing Helper REG_SZ "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"
    Malwarebytes Anti-Malware (reboot) REG_SZ "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

    =====================
    Other Keys
    =====================

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    ConsentPromptBehaviorAdmin REG_DWORD 2 (0x2)
    ConsentPromptBehaviorUser REG_DWORD 1 (0x1)
    EnableInstallerDetection REG_DWORD 1 (0x1)
    EnableLUA REG_DWORD 0 (0x0)
    EnableSecureUIAPaths REG_DWORD 1 (0x1)
    EnableVirtualization REG_DWORD 1 (0x1)
    PromptOnSecureDesktop REG_DWORD 1 (0x1)
    ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
    dontdisplaylastusername REG_DWORD 0 (0x0)
    legalnoticecaption REG_SZ
    legalnoticetext REG_SZ
    scforceoption REG_DWORD 0 (0x0)
    shutdownwithoutlogon REG_DWORD 1 (0x1)
    undockwithoutlogon REG_DWORD 1 (0x1)
    FilterAdministratorToken REG_DWORD 0 (0x0)
    EnableUIADesktopToggle REG_DWORD 0 (0x0)

    ===============

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoDriveAutoRun REG_DWORD 255 (0xff)
    NoDriveTypeAutoRun REG_DWORD 255 (0xff)
    HonorAutoRunSetting REG_DWORD 0 (0x0)

    ===============

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoDriveAutoRun REG_DWORD 255 (0xff)
    NoDriveTypeAutoRun REG_DWORD 255 (0xff)
    HonorAutoRunSetting REG_DWORD 0 (0x0)

    ===============

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    AppInit_DLLS REG_SZ

    ===============

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    ReportBootOk REG_SZ 1
    Shell REG_SZ explorer.exe
    Userinit REG_SZ C:\Windows\system32\userinit.exe,
    VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
    AutoRestartShell REG_DWORD 1 (0x1)
    LegalNoticeCaption REG_SZ
    LegalNoticeText REG_SZ
    PowerdownAfterShutdown REG_SZ 0
    ShutdownWithoutLogon REG_SZ 0
    cachedlogonscount REG_SZ 10
    forceunlocklogon REG_DWORD 0 (0x0)
    passwordexpirywarning REG_DWORD 14 (0xe)
    Background REG_SZ 0 0 0
    DebugServerCommand REG_SZ no
    WinStationsDisabled REG_SZ 0
    DisableCAD REG_DWORD 1 (0x1)
    scremoveoption REG_SZ 0
    ShutdownFlags REG_DWORD 5 (0x5)
    Taskman REG_SZ C:\Users\Hollywood\AppData\Roaming\fxembk.exe

    ===============

    ===============

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

    ===============

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe REG_SZ C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    ===============
    ActivX controls
    ===============

    [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}]

    ===============
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-9DB8-56FBECED082D}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]

    ==============
    BHO :
    ======

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

    ===
    DNS
    ===

    HKLM\SYSTEM\CS1\Services\Tcpip\..\{67CF20E4-39AE-4BB1-8AC0-3F6D1221EA0B}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{317E5105-2F88-4CB0-9072-B2E1376BA8EE}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{67CF20E4-39AE-4BB1-8AC0-3F6D1221EA0B}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    ================
    Internet Explorer :
    ================

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ https://www.msn.com/fr-fr
    Local Page REG_EXPAND_SZ %SystemRoot%\system32\blank.htm
    Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
    Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Local Page REG_SZ C:\Windows\system32\blank.htm
    Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    ========
    Services
    ========

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

    Ndisuio : 0x3 ( OK = 3 )
    EapHost : 0x3 ( OK = 2 )
    Wlansvc : 0x2 ( OK = 2 )
    SharedAccess : 0x3 ( OK = 2 )
    windefend : 0x2 ( OK = 2 )
    wuauserv : 0x2 ( OK = 2 )
    wscsvc : 0x2 ( OK = 2 )

    ========
    Safemode
    ========

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot : OK !!
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal : OK !!
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network : OK !!

    =========
    Atapi.sys
    =========

    C:\Windows\SoftwareDistribution\Download\cde11068f5b77b180111333ef9781925\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys :
    MD5 :: [1f05b78ab91c9075565a9d8a4b880bc4]
    SHA256 :: [737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd]

    C:\Windows\System32\drivers\atapi.sys :
    MD5 :: [2d9c903dc76a66813d350a562de40ed9]
    SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

    C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys :
    MD5 :: [4f4fcb8b6ea06784fb6d475b7ec7300f]
    SHA256 :: [6202d85c9a75e3f01f5f94f069c4cd8a2b9295a182301eae5940ec3bc2c1d896]

    C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys :
    MD5 :: [2d9c903dc76a66813d350a562de40ed9]
    SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

    C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys :
    MD5 :: [2d9c903dc76a66813d350a562de40ed9]
    SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

    Référence :
    ==========

    Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
    Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867
    Win XP_32b : a64013e98426e1877cb653685c5c0009
    Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
    Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
    Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
    Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
    Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
    Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
    Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
    Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
    Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e

    =======
    Drive :
    =======

    D'fragmenteur de disque Windows
    Copyright (c) 2006 Microsoft Corp.

    Rapport d'analyse pour le volume C:

    Taille du volume = 596 Go
    Espace libre = 291 Go
    tendue d'espace libre la plus grande = 244 Go
    Pourcentage de fragmentation des fichiers = 1 %

    Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.

    Il n'est pas n'cessaire de d'fragmenter ce volume.

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Present !! : C:\ProgramData\hpzinstall.log
    Present !! : C:\ProgramData\hpzinstall.log
    Present !! : C:\ProgramData\hpzinstall.log
    Present !! : C:\Windows\System32\drivers\etc\hosts.msn
    Present !! : C:\Windows\System32\pc_*.dat
    Present !! : C:\Users\Hollywood\AppData\Local\d3d8caps.dat
    Present !! : C:\Users\Hollywood\AppData\Local\d3d9caps.dat
    Present !! : C:\Users\Hollywood\AppData\Local\fusioncache.dat
    Present !! : C:\Users\Hollywood\AppData\Local\GDIPFONTCACHEV1.DAT

    ¤¤¤¤¤¤¤¤¤¤ Keys :

    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\Arrakis3.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdagent.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdreinit.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdsubwiz.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdwizreg.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\livesrv.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\seccenter.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\uiscan.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\upgrepl.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\vsserv.exe"
    Present !! : HKLM\SYSTEM\ControlSet001\Services\USBAAPL
    Present !! : HKLM\SYSTEM\ControlSet002\Services\USBAAPL
    Present !! : HKLM\SYSTEM\CurrentControlSet\Services\USBAAPL

    ============

    catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-04-17 21:53:56
    Windows 6.0.6001 Service Pack 1 FAT NTAPI

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll sfsync02.sys ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
    kernel: MBR read successfully
    user & kernel MBR OK

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    cval REG_DWORD 1 (0x1)

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    End of scan : 21:53:57,99
    0
  7. Tyrion35
     
    voivi le rapport List kill them :

    List'em by g3n-h@ckm@n 1.7.1.1

    User : Hollywood (Administrateurs)
    Update on 17/04/2010 by g3n-h@ckm@n ::::: 17.10
    Start at: 21:45:38 | 17/04/2010

    Intel(R) Core(TM)2 Duo CPU E7300 @ 2.66GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000
    Windows Firewall Status : Disabled

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local | 596,17 Go (290,92 Go free) | NTFS
    D:\ -> Disque CD-ROM

    Boot: Normal

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
    C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\PnkBstrA.exe
    C:\Windows\system32\PnkBstrB.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
    C:\Windows\system32\SearchIndexer.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
    C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe
    C:\Windows\explorer.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
    C:\Windows\system32\wuauclt.exe
    C:\Windows\system32\wbem\unsecapp.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Steam\Steam.exe
    C:\Windows\servicing\TrustedInstaller.exe
    C:\Windows\system32\SearchProtocolHost.exe
    C:\Program Files\List_Kill'em\List_Kill'em.exe
    C:\Windows\system32\cmd.exe
    C:\Windows\system32\DllHost.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Program Files\List_Kill'em\pv.exe

    ======================
    Keys "Run"
    ======================

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe
    WMPNSCFG REG_SZ C:\Program Files\Windows Media Player\WMPNSCFG.exe
    PMCRemote REG_SZ C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Windows Defender REG_EXPAND_SZ %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    RtHDVCpl REG_SZ RtHDVCpl.exe
    Copperhead REG_SZ C:\Program Files\Razer\Copperhead\razerhid.exe
    ANIWZCS2Service REG_SZ C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    D-Link D-Link Wireless G DWA-510 REG_SZ C:\Program Files\D-Link\D-Link Wireless G DWA-510\AirGCFG.exe
    SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
    StartCCC REG_SZ "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    ORAHSSSessionManager REG_SZ C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
    Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    Adobe ARM REG_SZ "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
    HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    BDAgent REG_SZ "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"
    BitDefender Antiphishing Helper REG_SZ "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"
    Malwarebytes Anti-Malware (reboot) REG_SZ "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

    =====================
    Other Keys
    =====================

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    ConsentPromptBehaviorAdmin REG_DWORD 2 (0x2)
    ConsentPromptBehaviorUser REG_DWORD 1 (0x1)
    EnableInstallerDetection REG_DWORD 1 (0x1)
    EnableLUA REG_DWORD 0 (0x0)
    EnableSecureUIAPaths REG_DWORD 1 (0x1)
    EnableVirtualization REG_DWORD 1 (0x1)
    PromptOnSecureDesktop REG_DWORD 1 (0x1)
    ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
    dontdisplaylastusername REG_DWORD 0 (0x0)
    legalnoticecaption REG_SZ
    legalnoticetext REG_SZ
    scforceoption REG_DWORD 0 (0x0)
    shutdownwithoutlogon REG_DWORD 1 (0x1)
    undockwithoutlogon REG_DWORD 1 (0x1)
    FilterAdministratorToken REG_DWORD 0 (0x0)
    EnableUIADesktopToggle REG_DWORD 0 (0x0)

    ===============

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoDriveAutoRun REG_DWORD 255 (0xff)
    NoDriveTypeAutoRun REG_DWORD 255 (0xff)
    HonorAutoRunSetting REG_DWORD 0 (0x0)

    ===============

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoDriveAutoRun REG_DWORD 255 (0xff)
    NoDriveTypeAutoRun REG_DWORD 255 (0xff)
    HonorAutoRunSetting REG_DWORD 0 (0x0)

    ===============

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    AppInit_DLLS REG_SZ

    ===============

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    ReportBootOk REG_SZ 1
    Shell REG_SZ explorer.exe
    Userinit REG_SZ C:\Windows\system32\userinit.exe,
    VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
    AutoRestartShell REG_DWORD 1 (0x1)
    LegalNoticeCaption REG_SZ
    LegalNoticeText REG_SZ
    PowerdownAfterShutdown REG_SZ 0
    ShutdownWithoutLogon REG_SZ 0
    cachedlogonscount REG_SZ 10
    forceunlocklogon REG_DWORD 0 (0x0)
    passwordexpirywarning REG_DWORD 14 (0xe)
    Background REG_SZ 0 0 0
    DebugServerCommand REG_SZ no
    WinStationsDisabled REG_SZ 0
    DisableCAD REG_DWORD 1 (0x1)
    scremoveoption REG_SZ 0
    ShutdownFlags REG_DWORD 5 (0x5)
    Taskman REG_SZ C:\Users\Hollywood\AppData\Roaming\fxembk.exe

    ===============

    ===============

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

    ===============

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe REG_SZ C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    ===============
    ActivX controls
    ===============

    [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}]

    ===============
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-9DB8-56FBECED082D}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]

    ==============
    BHO :
    ======

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

    ===
    DNS
    ===

    HKLM\SYSTEM\CS1\Services\Tcpip\..\{67CF20E4-39AE-4BB1-8AC0-3F6D1221EA0B}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{317E5105-2F88-4CB0-9072-B2E1376BA8EE}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{67CF20E4-39AE-4BB1-8AC0-3F6D1221EA0B}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    ================
    Internet Explorer :
    ================

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ https://www.msn.com/fr-fr
    Local Page REG_EXPAND_SZ %SystemRoot%\system32\blank.htm
    Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
    Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Local Page REG_SZ C:\Windows\system32\blank.htm
    Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    ========
    Services
    ========

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

    Ndisuio : 0x3 ( OK = 3 )
    EapHost : 0x3 ( OK = 2 )
    Wlansvc : 0x2 ( OK = 2 )
    SharedAccess : 0x3 ( OK = 2 )
    windefend : 0x2 ( OK = 2 )
    wuauserv : 0x2 ( OK = 2 )
    wscsvc : 0x2 ( OK = 2 )

    ========
    Safemode
    ========

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot : OK !!
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal : OK !!
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network : OK !!

    =========
    Atapi.sys
    =========

    C:\Windows\SoftwareDistribution\Download\cde11068f5b77b180111333ef9781925\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys :
    MD5 :: [1f05b78ab91c9075565a9d8a4b880bc4]
    SHA256 :: [737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd]

    C:\Windows\System32\drivers\atapi.sys :
    MD5 :: [2d9c903dc76a66813d350a562de40ed9]
    SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

    C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys :
    MD5 :: [4f4fcb8b6ea06784fb6d475b7ec7300f]
    SHA256 :: [6202d85c9a75e3f01f5f94f069c4cd8a2b9295a182301eae5940ec3bc2c1d896]

    C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys :
    MD5 :: [2d9c903dc76a66813d350a562de40ed9]
    SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

    C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys :
    MD5 :: [2d9c903dc76a66813d350a562de40ed9]
    SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

    Référence :
    ==========

    Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
    Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867
    Win XP_32b : a64013e98426e1877cb653685c5c0009
    Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
    Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
    Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
    Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
    Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
    Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
    Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
    Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
    Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e

    =======
    Drive :
    =======

    D'fragmenteur de disque Windows
    Copyright (c) 2006 Microsoft Corp.

    Rapport d'analyse pour le volume C:

    Taille du volume = 596 Go
    Espace libre = 291 Go
    tendue d'espace libre la plus grande = 244 Go
    Pourcentage de fragmentation des fichiers = 1 %

    Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.

    Il n'est pas n'cessaire de d'fragmenter ce volume.

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Present !! : C:\ProgramData\hpzinstall.log
    Present !! : C:\ProgramData\hpzinstall.log
    Present !! : C:\ProgramData\hpzinstall.log
    Present !! : C:\Windows\System32\drivers\etc\hosts.msn
    Present !! : C:\Windows\System32\pc_*.dat
    Present !! : C:\Users\Hollywood\AppData\Local\d3d8caps.dat
    Present !! : C:\Users\Hollywood\AppData\Local\d3d9caps.dat
    Present !! : C:\Users\Hollywood\AppData\Local\fusioncache.dat
    Present !! : C:\Users\Hollywood\AppData\Local\GDIPFONTCACHEV1.DAT

    ¤¤¤¤¤¤¤¤¤¤ Keys :

    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\Arrakis3.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdagent.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdreinit.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdsubwiz.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdwizreg.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\livesrv.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\seccenter.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\uiscan.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\upgrepl.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\vsserv.exe"
    Present !! : HKLM\SYSTEM\ControlSet001\Services\USBAAPL
    Present !! : HKLM\SYSTEM\ControlSet002\Services\USBAAPL
    Present !! : HKLM\SYSTEM\CurrentControlSet\Services\USBAAPL

    ============

    catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-04-17 21:53:56
    Windows 6.0.6001 Service Pack 1 FAT NTAPI

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll sfsync02.sys ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
    kernel: MBR read successfully
    user & kernel MBR OK

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    cval REG_DWORD 1 (0x1)

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    End of scan : 21:53:57,99
    0
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    vu

    1)

    Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    choisis l'option CLEAN
    ton PC va redemarrer,

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    colle le contenu dans ta reponse

    Tu peux le désinstaller ensuite

    ...............................

    2)

    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet (examen assez long)
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

    0
  9. Tyrion35
     
    1)

    Kill'em by g3n-h@ckm@n 1.7.1.1

    User : Hollywood (Administrateurs)
    Update on 17/04/2010 by g3n-h@ckm@n ::::: 17.10
    Start at: 22:08:06 | 17/04/2010

    Intel(R) Core(TM)2 Duo CPU E7300 @ 2.66GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000
    Windows Firewall Status : Disabled

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local | 596,17 Go (291,02 Go free) | NTFS
    D:\ -> Disque CD-ROM

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
    C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\system32\LogonUI.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\userinit.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\Windows\system32\runonce.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\cmd.exe
    C:\Program Files\Google\Update\GoogleUpdate.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\Google\Update\GoogleUpdate.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Program Files\Google\Update\GoogleUpdate.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\PnkBstrA.exe
    C:\Windows\system32\PnkBstrB.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
    C:\Windows\system32\SearchIndexer.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Program Files\List_Kill'em\ERUNT.EXE
    C:\Program Files\List_Kill'em\pv.exe

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Quarantined & Deleted !! : C:\ProgramData\hpzinstall.log

    Quarantined & Deleted !! : C:\Windows\System32\drivers\etc\hosts.msn
    Quarantined & Deleted !! : C:\Windows\System32\pc_drugs.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_gambling.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_games.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_hate.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_illegal.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_im.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_news.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_onlinedating.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_onlinepay.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_onlineshop.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_pornography.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_regionaltlds.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_searchengines.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_socialnetworks.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_tabloids.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_video.dat
    Quarantined & Deleted !! : C:\Windows\System32\pc_webproxy.dat
    Quarantined & Deleted !! : C:\Users\Hollywood\AppData\Local\d3d8caps.dat
    Quarantined & Deleted !! : C:\Users\Hollywood\AppData\Local\d3d9caps.dat
    Quarantined & Deleted !! : C:\Users\Hollywood\AppData\Local\fusioncache.dat
    Quarantined & Deleted !! : C:\Users\Hollywood\AppData\Local\GDIPFONTCACHEV1.DAT

    ==============
    host file OK !
    ==============

    ========
    Registry
    ========

    Deleted : HKLM\SYSTEM\ControlSet001\Services\USBAAPL
    Deleted : HKLM\SYSTEM\ControlSet002\Services\USBAAPL
    =================
    Internet Explorer
    =================

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
    Local Page REG_SZ C:\WINDOWS\system32\blank.htm
    Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
    Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ https://www.google.com/?gws_rd=ssl
    Local Page REG_SZ C:\WINDOWS\system32\blank.htm
    Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    ===============
    Security Center
    ===============

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    cval REG_DWORD 1 (0x1)
    FirstRunDisabled REG_DWORD 1 (0x1)
    AntiVirusDisableNotify REG_DWORD 0 (0x0)
    FirewallDisableNotify REG_DWORD 0 (0x0)
    UpdatesDisableNotify REG_DWORD 0 (0x0)
    AntiVirusOverride REG_DWORD 1 (0x1)
    FirewallOverride REG_DWORD 1 (0x1)

    ========
    Services
    =========

    Ndisuio : Start = 3
    EapHost : Start = 2
    Wlansvc : Start = 2
    SharedAccess : Start = 2
    windefend : Start = 2
    wuauserv : Start = 2
    wscsvc : Start = 2

    ============
    Disk Cleaned
    ============

    =================
    anti-ver blaster : OK !!
    =================

    ================
    Prefetch cleaned
    ================

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  10. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    vu

    => MBAM

    @+
    0
    1. Tyrion35
       
      je suis en train de MBAM.

      la source de l'infection serait du aux clef USB ?
      je les ai utilisé sur d'autres ordinateurs de la maison, ils sont donc tous forcement viruser aussi ?
      Cela se fait automatiquement ? Faudra ils les vérifier ?
      0
  11. Tyrion35
     
    Ce fut long !

    pendant l'analyse MBAM, mon bitdefender a bloqué 3 virus :

    nom du virus:; trojan.Small.NDV
    Mmbam.exe
    Destination : C\users\hollywood\appData\roaming\Mirc\logs\AEQAD.Quakenet.log
    le fichier a été supprimé

    nom du virus : trojan.generic.KD.6871
    Mmbam.exe
    Destination : C\users\hollywood\appData\local\temp\housecall\log\[plein de chiffre...]\backup\14
    le fichier a été supprimé

    nom du virus : GEN:variant.rimecud.1
    Mmbam.exe
    Destination : C\users\hollywood\appData\local\temp\housecall\log\[plein de chiffre...]\backup\17
    le fichier a été supprimé

    le rapport :

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 4002

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    17/04/2010 23:58:25
    mbam-log-2010-04-17 (23-58-25).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 341842
    Temps écoulé: 1 heure(s), 27 minute(s), 55 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    J'ai l'impression que ya encore des truc louche...
    0
  12. gen-hackman
     
    bonsoir retour , merci à moment de grace qui a permis de faire avancer le schmilblik

    bitdefender aurait apparement arrêté une infection qui aurait pu te venir de msn ou facebook ou ..............

    je voudrais verifier quelques points essentiels un peu plus profondement :

    Télécharge OTL de OLDTimer

    enregistre le sur ton Bureau.

    ▶ Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant tous les utilisateurs

    ▶ règle age du fichier sur "60 jours"

    ▶ dans la moitié gauche , mets tout sur "tous"

    ne modifie pas ceci :

    "fichiers créés" et "fichiers Modifiés"


    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  13. Tyrion35
     
    Rebonjour,

    Merci à vous 2 hier soir déjà pour m'avoir aider.

    Voila les 2 rapports :

    http://www.cijoint.fr/cjlink.php?file=cj201004/cijuNt1UU6.txt

    http://www.cijoint.fr/cjlink.php?file=cj201004/cijn5q3Z5p.txt
    0
  14. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    en attendant le retour du héros

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :

    C:\Users\Hollywood\Documents\autorun.inf

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si tu ne trouves pas le fichier alors

    Affiche tous les fichiers et dossiers :

    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cachés

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    Et OK
    0
  15. Tyrion35
     
    Fichier autorun.inf reçu le 2010.04.18 09:06:37 (UTC)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
    Résultat: 0/40 (0%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: ___.
    L'heure estimée de démarrage est entre ___ et ___ .
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Formaté
    Impression des résultats Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.50 2010.04.18 -
    AhnLab-V3 5.0.0.2 2010.04.18 -
    AntiVir 7.10.6.115 2010.04.16 -
    Antiy-AVL 2.0.3.7 2010.04.16 -
    Authentium 5.2.0.5 2010.04.16 -
    Avast 4.8.1351.0 2010.04.17 -
    Avast5 5.0.332.0 2010.04.17 -
    AVG 9.0.0.787 2010.04.17 -
    BitDefender 7.2 2010.04.18 -
    CAT-QuickHeal 10.00 2010.04.17 -
    ClamAV 0.96.0.3-git 2010.04.18 -
    Comodo 4635 2010.04.18 -
    DrWeb 5.0.2.03300 2010.04.18 -
    eSafe 7.0.17.0 2010.04.15 -
    eTrust-Vet 35.2.7431 2010.04.17 -
    F-Prot 4.5.1.85 2010.04.17 -
    F-Secure 9.0.15370.0 2010.04.16 -
    Fortinet 4.0.14.0 2010.04.17 -
    GData 19 2010.04.18 -
    Ikarus T3.1.1.80.0 2010.04.18 -
    Jiangmin 13.0.900 2010.04.18 -
    Kaspersky 7.0.0.125 2010.04.18 -
    McAfee 5.400.0.1158 2010.04.18 -
    McAfee-GW-Edition 6.8.5 2010.04.18 -
    Microsoft 1.5605 2010.04.18 -
    NOD32 5037 2010.04.18 -
    Norman 6.04.11 2010.04.16 -
    nProtect 2010-04-18.01 2010.04.18 -
    Panda 10.0.2.7 2010.04.17 -
    PCTools 7.0.3.5 2010.04.18 -
    Prevx 3.0 2010.04.18 -
    Rising 22.43.06.02 2010.04.18 -
    Sophos 4.52.0 2010.04.18 -
    Sunbelt 6188 2010.04.17 -
    Symantec 20091.2.0.41 2010.04.18 -
    TheHacker 6.5.2.0.264 2010.04.18 -
    TrendMicro 9.120.0.1004 2010.04.15 -
    VBA32 3.12.12.4 2010.04.15 -
    ViRobot 2010.4.17.2282 2010.04.17 -
    VirusBuster 5.0.27.0 2010.04.17 -
    Information additionnelle
    File size: 9 bytes
    MD5...: 5e8559cbb61eb8f2ab21a2f667c02673
    SHA1..: b6ba7e9ed475281a6c5826878910ed5b9a789866
    SHA256: 87eb7dd6d9c9409a7f550e704f53f90fcd524583759e1c13bf2182b5392a4e66
    ssdeep: 3:EmXm:tXm
    PEiD..: -
    PEInfo: -
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: Unknown!
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    http://www.virustotal.com/fr/analisis/87eb7dd6d9c9409a7f550e704f53f90fcd524583759e1c13bf2182b5392a4e66-1271581597
    0
  16. Tyrion35
     
    Je fais un scan spybot en attendant. Il me trouve :

    MicrosoftWindows SecurityCenter. Firewall0verride, 1 element security, modification du registre

    MicrosoftWindows SecurityCenter. Antivirus0verride, 1 element security, modification du registre

    Win32.autorun.tmp !!!! trojan C05

    c'est quoi tout çà ?
    0
  17. laurence973
     
    bonjour,
    je suis Laurence, j'ai eu ce même problème l'année dernière, le virus était le ver sasser...j'ai dû changer d'ordi......mais les symptômes étaient les mêmes, si ce n'est pas ce virus, ça doit être son frère...bon courage.
    0
  18. Tyrion35
     
    Je pense pas que cela soit Sasser, je n'ai pas eu de message d'erreur ni de compte a rebours quand le pc plantait.

    Par contre j'en ai plein d'autre, avec plein de noms plus sympa les uns que les autres...

    Et jamais je changerais de pc a cause d'un virus !!!
    Au pire je formate...
    0
  19. gen-hackman
     
    hello accepte les modification detectées par spybot

    ▶ clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous Customs Scans/Fixes :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :OTL
    DRV - File not found [Kernel | Auto | Stopped] -- -- (svftlyhrqnl)
    DRV - File not found [Kernel | Auto | Stopped] -- -- (owtqrvtcprcvt)
    DRV - File not found [Kernel | Boot | Stopped] -- -- (nwgc)
    DRV - File not found [Kernel | Auto | Stopped] -- -- (kzzyk)
    DRV - File not found [Kernel | Auto | Stopped] -- -- (kyiicxery)
    DRV - File not found [Kernel | Auto | Stopped] -- -- (jmcbmruepnikpd)
    DRV - File not found [Kernel | Auto | Stopped] -- -- (idfgspqdnplqbh)
    DRV - File not found [Kernel | Auto | Stopped] -- -- (ewwtnbwkqwjxa)
    DRV - File not found [Kernel | Auto | Stopped] -- -- (cnrclbfgfob)
    DRV - File not found [Kernel | Auto | Stopped] -- -- (azflmjd)
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)

    :reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader Speed Launcher"=-
    "HP Software Update"=-
    "QuickTime Task"=-
    "iTunesHelper"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "HonorAutoRunSetting"=1

    :Files
    C:\Windows\System32\wsbl.dat
    C:\Windows\System32\phar_unmip.dat
    C:\Windows\System32\phar_histprot.dat
    C:\Windows\System32\ph_white.dat
    C:\Windows\System32\ph_summ.dat
    C:\Windows\System32\ph_spoof.sig
    C:\Windows\System32\ph_sign.slf
    C:\Windows\System32\ph_fuzzy.sig
    C:\Windows\System32\ph_black.dat
    C:\Windows\System32\pcwords2.dat
    C:\Windows\System32\pcwords.dat
    C:\Windows\System32\pc_sign.slf
    C:\Users\Hollywood\Documents\autorun.inf

    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
    0
  20. Tyrion35
     
    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    No active process named iexplore.exe was found!
    No active process named firefox.exe was found!
    Process msnmsgr.exe killed successfully!
    No active process named Teatimer.exe was found!
    ========== OTL ==========
    Service svftlyhrqnl stopped successfully!
    Service svftlyhrqnl deleted successfully!
    Service owtqrvtcprcvt stopped successfully!
    Service owtqrvtcprcvt deleted successfully!
    Service nwgc stopped successfully!
    Service nwgc deleted successfully!
    Service kzzyk stopped successfully!
    Service kzzyk deleted successfully!
    Service kyiicxery stopped successfully!
    Service kyiicxery deleted successfully!
    Service jmcbmruepnikpd stopped successfully!
    Service jmcbmruepnikpd deleted successfully!
    Service idfgspqdnplqbh stopped successfully!
    Service idfgspqdnplqbh deleted successfully!
    Service ewwtnbwkqwjxa stopped successfully!
    Service ewwtnbwkqwjxa deleted successfully!
    Service cnrclbfgfob stopped successfully!
    Service cnrclbfgfob deleted successfully!
    Service azflmjd stopped successfully!
    Service azflmjd deleted successfully!
    Prefs.js: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11 removed from extensions.enabledItems
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
    Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
    C:\Windows\Downloaded Program Files\erma.inf moved successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\HP Software Update deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\iTunesHelper deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\"HonorAutoRunSetting"|1 /E : value set successfully!
    ========== FILES ==========
    C:\Windows\System32\wsbl.dat moved successfully.
    C:\Windows\System32\phar_unmip.dat moved successfully.
    C:\Windows\System32\phar_histprot.dat moved successfully.
    C:\Windows\System32\ph_white.dat moved successfully.
    C:\Windows\System32\ph_summ.dat moved successfully.
    C:\Windows\System32\ph_spoof.sig moved successfully.
    C:\Windows\System32\ph_sign.slf moved successfully.
    C:\Windows\System32\ph_fuzzy.sig moved successfully.
    C:\Windows\System32\ph_black.dat moved successfully.
    C:\Windows\System32\pcwords2.dat moved successfully.
    C:\Windows\System32\pcwords.dat moved successfully.
    C:\Windows\System32\pc_sign.slf moved successfully.
    C:\Users\Hollywood\Documents\autorun.inf moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 41 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Hollywood
    ->Temp folder emptied: 20 bytes
    ->Temporary Internet Files folder emptied: 2708112 bytes
    ->Java cache emptied: 68949388 bytes
    ->FireFox cache emptied: 85684098 bytes
    ->Flash cache emptied: 1499 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 270900 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 150,00 mb

    OTL by OldTimer - Version 3.2.1.2 log created on 04182010_122915

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...
    0
  21. gen-hackman
     
    relance List_Kill'em (clic droit "executer en tant que....." pour vista / 7 )

    option remove key

    un bloc-notes va s'ouvrir , colle ceci dedans :

    "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Taskman"

    ensuite , onglet fichier , choisis enregistrer , puis ferme

    un autre bloc notes va s'ouvrir,poste son contenu
    ==============================
    ensuite option manual delete

    un bloc-notes va s'ouvrir , colle ceci dedans :

    C:\Users\Hollywood\AppData\Roaming\fxembk.exe

    ensuite , onglet fichier , choisis enregistrer , puis ferme

    un autre bloc notes va s'ouvrir,poste son contenu
    ================================

    Ferme List_Kill'em.
    0
  • 1
  • 2