Sujet Précédent Sujet Suivant

[RESOLU]PC qui plante/fige apres le démarrage

Fermé
Tyrion35 - Modifié par Tyrion35 le 19/04/2010 à 16:33
 Utilisateur anonyme - 19 avril 2010 à 16:51
J'ai posté ce problème sur le forum hardware, mais personne ne sait me repondre, alors je fais appel a vous, peut être aurais je plus de chance !


http://forum.hardware.fr/hfr/WindowsSoftwa...et_316766_1.htm

Bonjour,

J'ai un gros souci avec mon ordinateur. Dès que je le démarre, il rame, puis se fige après quelques secondes. Je peux lancer presque aucun programme. L'antivirus lui ne se charge pas (bit defender reste gris)
Ce problème a commencé après avoir rencontré des difficultés sur Battlefield BC2.j'avais des bug graphiques important . J'ai tenté de reboot.
Au redémarrage, le pc a planté/figé au bout de quelques secondes.
Il s'éteint parfois tout seul. J'ai des messages du style : « echec option de sécurité ». J'ai eu aussi « mom.exe fatal error ».
Le seul truc que j'arrive a faire, c'est de fois de réussir a allumer le gestionnaire des taches de windows, si je ctrl alt sup rapidement (1 a 2 sec apres « bienvenue de vista « )
Hier apres avoir eu le pc figé, j'ai cliqué comme un malade pour voir, et le pc a commencé a émettre des bip sonores a chaque cliques de souris.
Le processeur est très souvent a 100%. Avce des processus qui reste bloqué a 50% du style CCC.exe ou svchost.exe(network service), vsserv.exe
Je n'ai pas réussi à le démarrer en mode sans échec car, mon clavier ne s'active que dès qu'il est sur le bureau de l'ordinateur pas au boot....

A quoi cela peut il etre du ?
Virus ?Processeur HS ? carte graphique ?

Merci.

Config : (dec 2008)
EP 45 DS3R
E 7300
Hd 4850
HDD CAVIAR BLUE 640 GO
VISTA
4 GO CORSAIR
BITDEFENDER
VISTA

edit :

Après nettoyage de la poussière dans mon ordi, le pb persiste en mode normal. Donc pour moi, cela serait plutot donc un pb de virus.

j'ai reussi a lancer en mode sans echec grâce a un vieux clavier trouvé par chance dans mon grenier. Le PC ne freeze plus, je peux utiliser des logiciels.

Mon antivirus en mode sans echec ne marche pas, il est desactivé. Il ne marche pas d'apres bitdefender à cause de :"vsserv.exe"
J'ai passé un coup de ccleaner et spybot.

Resultat Spybot :

Win32.Autorun.tmp Trojan C-05, valeur du registre
Hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\taslman

Win32.Bredolab.B , Trojan, fichier
C:Windows\System32\drivers\str.sys

j'ai "corriger le probleme" avec spybot mais quand j'ai redemarrer le pc (en mode normal), le pc a de nouveau freezer, la virus a donc du se recreer...
Comment le supprimer pour de bon?

Est ce que je peux supprimer manuellement le truc "taskman" directement dan la base de registre ? C'est un virus ou c'est un fichier qui a été contaminé dont l'ordinateur a besoin pour fonctionner ?

--------------------------------------------------------------------

Je n'arrive plus a acceder a l'ordinateur outre que de passer en en mode sans echec maintenant. A noter que quand j arrive sur le bureau, il y a des messages me disant :


16 bit MS DOS subsystem
The NTVDM CPU has encountered an illegal instruction CS: [...plein de chiffres et lettres] Choose close to terminate the application



J'ai reussi en mode sans echec a faire des scan avec plein de truc, et j'en ai trouvé d'autres :

Trendmicro :

- BKDR_RUSTOK.DW (Backdoor) Trojan
- Cryp Palevo6 (Generic) topimse.exe ou 475.exe

Malwaresbytes

- Trojan.Agent\file\c:\users\hollywood\csrss.exe

USBFix


############################## | UsbFix V6.104 |

User : Hollywood (Administrateurs) # S3B
Update on 14/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:37:13 | 17/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel® Core(TM)2 Duo CPU E7300 @ 2.66GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Disabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 596,17 Go (295,61 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 253,72 Mo (253,63 Mo free) [SEB] # FAT
G:\ -> Disque amovible # 7,52 Go (7,52 Go free) [CORSAIR] # FAT32

################## | Elements infectieux |

C:\Users\HOLLYW~1\AppData\Local\Temp\152.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\212.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\223.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\475.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\564.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\674.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\706.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\805.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\143929.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\152.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\212.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\223.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\26813.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\3315163.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\369115.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\4326.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\475.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\4840372.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\564.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\674.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\706.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\72738.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\7465505.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\74986.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\805.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\805065.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\852073.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\89404.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\96706.exe
C:\Users\HOLLYW~1\AppData\Local\Temp\9926442.exe
E:\autorun.inf
E:\driver
G:\autorun.inf
G:\driver

################## | Registre |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\E
shell\AutoRun\command =E:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{c6b7b989-cd5d-11dd-934d-806e6f6e6963}
shell\AutoRun\command =D:\Autorun.exe

HKCU\..\..\Explorer\MountPoints2\{e2fe5352-5340-11de-86a9-8c0ebb29b4f8}
shell\AutoRun\command =G:\GLEDAJU//topimse.exe
shell\open\command =G:\GLEDAJU//topimse.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.104 ! |


J'ai l'impression d'avoir des virus sur mes 2 clefs, autoronu.inf + drivers1.exe (repéré en utilisant une archive winrar et remonté de dossier parent). Pourtant je viens de les formater apres les avoir vider dans un dossier sur mon bureau...
A voir également:

33 réponses

  • 1
  • 2
Réponse 1 / 33
Utilisateur anonyme
17 avril 2010 à 19:47
salut :

1/ attention aux cles usb et mp3 des amis !!!

ca infecte de plus en plus les pc

2/

tu t'es trompé sur un point :

Hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\taslman

c'est taskman et non taslman ^^

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir


▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

▶ choisi l option 2 ( Suppression )

▶ Ton bureau disparaitra et le pc redémarrera .

▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

######### | Désinstallation | #########


▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

▶ Choisi l option Désinstaller ....
0
Utilisateur anonyme
17 avril 2010 à 19:52
il est possible qu'on vienne me seconder pour te faire gagner du temps , je dois m'absenter un bout de la soirée ....
0
Tyrion35
17 avril 2010 à 20:06
J'ai lancé l'option 2, on va bien voir si celamarche...

ps : entre temps, j'ai analyser l'ordi avec bitdefender, il ma trouvé 9 rootkit dans le dossier TEMP.
Je les ai virer a la main...
0
Tyrion35
17 avril 2010 à 20:12
le rapport usbfix :


############################## | UsbFix V6.105 |

User : Hollywood (Administrateurs) # S3B
Update on 17/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:05:00 | 17/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU E7300 @ 2.66GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Disabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 596,17 Go (292,88 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 253,72 Mo (253,63 Mo free) [SEB] # FAT
G:\ -> Disque amovible # 7,52 Go (7,52 Go free) # FAT32

################## | Elements infectieux |

Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\023.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\135.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\152.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\212.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\223.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\267.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\564.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\674.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\706.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\805.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\04041.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\143929.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\1765874.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\20605.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\26813.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\3315163.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\369115.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\4326.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\4840372.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\5658988.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\72738.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\7465505.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\74986.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\805065.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\852073.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\882898.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\8928489.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\89404.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\96706.exe
Supprimé ! C:\Users\HOLLYW~1\AppData\Local\Temp\9926442.exe
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3234372987-2414098042-3541134449-1000
E:\autorun.inf -> fichier appelé : "E:\Driver\Drivers1.exe" ( Présent ! )
Supprimé ! E:\Driver\Drivers1.exe
Supprimé ! E:\autorun.inf
Supprimé ! E:\driver
G:\autorun.inf -> fichier appelé : "G:\Driver\Drivers1.exe" ( Présent ! )
Supprimé ! G:\Driver\Drivers1.exe
Supprimé ! G:\autorun.inf
Supprimé ! G:\driver

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{c6b7b989-cd5d-11dd-934d-806e6f6e6963}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e2fe5352-5340-11de-86a9-8c0ebb29b4f8}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[18/09/2006 23:43|--a------|24] C:\autoexec.bat
[15/04/2010 11:26|--a------|15295] C:\bdlog.txt
[21/01/2008 04:24|-rahs----|333203] C:\bootmgr
[19/12/2008 01:43|-ra-s----|8192] C:\BOOTSECT.BAK
[18/09/2006 23:43|--a------|10] C:\config.sys
[25/07/2009 15:11|--a------|10] C:\csb.log
[?|?|?] C:\hiberfil.sys
[08/03/2009 18:37|-rahs----|0] C:\IO.SYS
[01/07/2009 00:24|--a------|4194322] C:\memory_map.tga
[08/03/2009 18:37|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[01/09/2009 13:23|--a------|55190] C:\test.log
[17/04/2010 20:08|--a------|3945] C:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_S3B.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.105 ! |
0
Tyrion35
17 avril 2010 à 20:16
je retrouve a nouveau mon pc en mode normal !
j'ai désinstallé le logiciel USBfix.

que dois je faire maintenant ?
0
Réponse 2 / 33
Utilisateur anonyme
17 avril 2010 à 20:16
▶ Télécharge ZHPDiag (de Nicolas Coolman)

ou :ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,

▶ lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

▶ Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

▶ clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
0
Réponse 3 / 33
Tyrion35
17 avril 2010 à 21:03
Le lien pour le rapport ZHP.

http://www.cijoint.fr/cjlink.php?file=cj201004/cij2boKgZr.txt

NB: j'ai enlevé les 2 clefs USB lors de l'analyse. Elles sont saines maintenant non ?
0
Réponse 4 / 33
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
Modifié par moment de grace le 17/04/2010 à 21:38
bonsoir

à la demande de Gen et pour avancer

j'ai enlevé les 2 clefs USB lors de l'analyse. Elles sont saines maintenant non ?


oui mais pas vaccinées apparemment

faire Option 3 = Vaccination clés branchées au pc

sinon le rapport se présente bien

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

Télécharge et installe List&Kill'em et enregistre le sur ton bureau

http://sd-1.archive-host.com/...



double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancer seul

choisis la langue puis choisis l'option SEARCH

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.





Je cherche beaucoup...et maintenant je trouve !
(sourire)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 33
Tyrion35
17 avril 2010 à 21:57
voivi le rapport List kill them :



List'em by g3n-h@ckm@n 1.7.1.1

User : Hollywood (Administrateurs)
Update on 17/04/2010 by g3n-h@ckm@n ::::: 17.10
Start at: 21:45:38 | 17/04/2010

Intel(R) Core(TM)2 Duo CPU E7300 @ 2.66GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Disabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 596,17 Go (290,92 Go free) | NTFS
D:\ -> Disque CD-ROM

Boot: Normal

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\conime.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\PnkBstrB.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe
C:\Windows\explorer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Steam\Steam.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\pv.exe

======================
Keys "Run"
======================

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe
WMPNSCFG REG_SZ C:\Program Files\Windows Media Player\WMPNSCFG.exe
PMCRemote REG_SZ C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows Defender REG_EXPAND_SZ %ProgramFiles%\Windows Defender\MSASCui.exe -hide
RtHDVCpl REG_SZ RtHDVCpl.exe
Copperhead REG_SZ C:\Program Files\Razer\Copperhead\razerhid.exe
ANIWZCS2Service REG_SZ C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
D-Link D-Link Wireless G DWA-510 REG_SZ C:\Program Files\D-Link\D-Link Wireless G DWA-510\AirGCFG.exe
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
StartCCC REG_SZ "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
ORAHSSSessionManager REG_SZ C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Adobe ARM REG_SZ "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
BDAgent REG_SZ "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"
BitDefender Antiphishing Helper REG_SZ "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"
Malwarebytes Anti-Malware (reboot) REG_SZ "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 2 (0x2)
ConsentPromptBehaviorUser REG_DWORD 1 (0x1)
EnableInstallerDetection REG_DWORD 1 (0x1)
EnableLUA REG_DWORD 0 (0x0)
EnableSecureUIAPaths REG_DWORD 1 (0x1)
EnableVirtualization REG_DWORD 1 (0x1)
PromptOnSecureDesktop REG_DWORD 1 (0x1)
ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
FilterAdministratorToken REG_DWORD 0 (0x0)
EnableUIADesktopToggle REG_DWORD 0 (0x0)

===============

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 255 (0xff)
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 255 (0xff)
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
ReportBootOk REG_SZ 1
Shell REG_SZ explorer.exe
Userinit REG_SZ C:\Windows\system32\userinit.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
AutoRestartShell REG_DWORD 1 (0x1)
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 0
ShutdownWithoutLogon REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0 (0x0)
passwordexpirywarning REG_DWORD 14 (0xe)
Background REG_SZ 0 0 0
DebugServerCommand REG_SZ no
WinStationsDisabled REG_SZ 0
DisableCAD REG_DWORD 1 (0x1)
scremoveoption REG_SZ 0
ShutdownFlags REG_DWORD 5 (0x5)
Taskman REG_SZ C:\Users\Hollywood\AppData\Roaming\fxembk.exe

===============


===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

===============

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe REG_SZ C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

===============
ActivX controls
===============

[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}]

===============
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-9DB8-56FBECED082D}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]

==============
BHO :
======

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

===
DNS
===

HKLM\SYSTEM\CS1\Services\Tcpip\..\{67CF20E4-39AE-4BB1-8AC0-3F6D1221EA0B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{317E5105-2F88-4CB0-9072-B2E1376BA8EE}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{67CF20E4-39AE-4BB1-8AC0-3F6D1221EA0B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

================
Internet Explorer :
================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr
Local Page REG_EXPAND_SZ %SystemRoot%\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Local Page REG_SZ C:\Windows\system32\blank.htm
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

========
Services
========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
Wlansvc : 0x2 ( OK = 2 )
SharedAccess : 0x3 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )

========
Safemode
========

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot : OK !!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal : OK !!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network : OK !!

=========
Atapi.sys
=========

C:\Windows\SoftwareDistribution\Download\cde11068f5b77b180111333ef9781925\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys :
MD5 :: [1f05b78ab91c9075565a9d8a4b880bc4]
SHA256 :: [737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd]

C:\Windows\System32\drivers\atapi.sys :
MD5 :: [2d9c903dc76a66813d350a562de40ed9]
SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys :
MD5 :: [4f4fcb8b6ea06784fb6d475b7ec7300f]
SHA256 :: [6202d85c9a75e3f01f5f94f069c4cd8a2b9295a182301eae5940ec3bc2c1d896]

C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys :
MD5 :: [2d9c903dc76a66813d350a562de40ed9]
SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys :
MD5 :: [2d9c903dc76a66813d350a562de40ed9]
SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

Référence :
==========

Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867
Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e

=======
Drive :
=======

D'fragmenteur de disque Windows
Copyright (c) 2006 Microsoft Corp.

Rapport d'analyse pour le volume C:

Taille du volume = 596 Go
Espace libre = 291 Go
tendue d'espace libre la plus grande = 244 Go
Pourcentage de fragmentation des fichiers = 1 %

Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.

Il n'est pas n'cessaire de d'fragmenter ce volume.

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\ProgramData\hpzinstall.log
Present !! : C:\ProgramData\hpzinstall.log
Present !! : C:\ProgramData\hpzinstall.log
Present !! : C:\Windows\System32\drivers\etc\hosts.msn
Present !! : C:\Windows\System32\pc_*.dat
Present !! : C:\Users\Hollywood\AppData\Local\d3d8caps.dat
Present !! : C:\Users\Hollywood\AppData\Local\d3d9caps.dat
Present !! : C:\Users\Hollywood\AppData\Local\fusioncache.dat
Present !! : C:\Users\Hollywood\AppData\Local\GDIPFONTCACHEV1.DAT

¤¤¤¤¤¤¤¤¤¤ Keys :

Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\Arrakis3.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdagent.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdreinit.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdsubwiz.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdwizreg.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\livesrv.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\seccenter.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\uiscan.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\upgrepl.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\vsserv.exe"
Present !! : HKLM\SYSTEM\ControlSet001\Services\USBAAPL
Present !! : HKLM\SYSTEM\ControlSet002\Services\USBAAPL
Present !! : HKLM\SYSTEM\CurrentControlSet\Services\USBAAPL

============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-17 21:53:56
Windows 6.0.6001 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll sfsync02.sys ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
kernel: MBR read successfully
user & kernel MBR OK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval REG_DWORD 1 (0x1)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 21:53:57,99
0
Réponse 6 / 33
Tyrion35
17 avril 2010 à 21:57
voivi le rapport List kill them :



List'em by g3n-h@ckm@n 1.7.1.1

User : Hollywood (Administrateurs)
Update on 17/04/2010 by g3n-h@ckm@n ::::: 17.10
Start at: 21:45:38 | 17/04/2010

Intel(R) Core(TM)2 Duo CPU E7300 @ 2.66GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Disabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 596,17 Go (290,92 Go free) | NTFS
D:\ -> Disque CD-ROM

Boot: Normal

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\conime.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\PnkBstrB.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe
C:\Windows\explorer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Steam\Steam.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\pv.exe

======================
Keys "Run"
======================

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe
WMPNSCFG REG_SZ C:\Program Files\Windows Media Player\WMPNSCFG.exe
PMCRemote REG_SZ C:\Program Files\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows Defender REG_EXPAND_SZ %ProgramFiles%\Windows Defender\MSASCui.exe -hide
RtHDVCpl REG_SZ RtHDVCpl.exe
Copperhead REG_SZ C:\Program Files\Razer\Copperhead\razerhid.exe
ANIWZCS2Service REG_SZ C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
D-Link D-Link Wireless G DWA-510 REG_SZ C:\Program Files\D-Link\D-Link Wireless G DWA-510\AirGCFG.exe
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
StartCCC REG_SZ "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
ORAHSSSessionManager REG_SZ C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Adobe ARM REG_SZ "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
BDAgent REG_SZ "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"
BitDefender Antiphishing Helper REG_SZ "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"
Malwarebytes Anti-Malware (reboot) REG_SZ "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 2 (0x2)
ConsentPromptBehaviorUser REG_DWORD 1 (0x1)
EnableInstallerDetection REG_DWORD 1 (0x1)
EnableLUA REG_DWORD 0 (0x0)
EnableSecureUIAPaths REG_DWORD 1 (0x1)
EnableVirtualization REG_DWORD 1 (0x1)
PromptOnSecureDesktop REG_DWORD 1 (0x1)
ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
FilterAdministratorToken REG_DWORD 0 (0x0)
EnableUIADesktopToggle REG_DWORD 0 (0x0)

===============

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 255 (0xff)
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 255 (0xff)
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
ReportBootOk REG_SZ 1
Shell REG_SZ explorer.exe
Userinit REG_SZ C:\Windows\system32\userinit.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
AutoRestartShell REG_DWORD 1 (0x1)
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 0
ShutdownWithoutLogon REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0 (0x0)
passwordexpirywarning REG_DWORD 14 (0xe)
Background REG_SZ 0 0 0
DebugServerCommand REG_SZ no
WinStationsDisabled REG_SZ 0
DisableCAD REG_DWORD 1 (0x1)
scremoveoption REG_SZ 0
ShutdownFlags REG_DWORD 5 (0x5)
Taskman REG_SZ C:\Users\Hollywood\AppData\Roaming\fxembk.exe

===============


===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

===============

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe REG_SZ C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

===============
ActivX controls
===============

[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}]

===============
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-9DB8-56FBECED082D}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]

==============
BHO :
======

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

===
DNS
===

HKLM\SYSTEM\CS1\Services\Tcpip\..\{67CF20E4-39AE-4BB1-8AC0-3F6D1221EA0B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{317E5105-2F88-4CB0-9072-B2E1376BA8EE}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{67CF20E4-39AE-4BB1-8AC0-3F6D1221EA0B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

================
Internet Explorer :
================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr
Local Page REG_EXPAND_SZ %SystemRoot%\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Local Page REG_SZ C:\Windows\system32\blank.htm
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

========
Services
========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
Wlansvc : 0x2 ( OK = 2 )
SharedAccess : 0x3 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )

========
Safemode
========

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot : OK !!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal : OK !!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network : OK !!

=========
Atapi.sys
=========

C:\Windows\SoftwareDistribution\Download\cde11068f5b77b180111333ef9781925\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys :
MD5 :: [1f05b78ab91c9075565a9d8a4b880bc4]
SHA256 :: [737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd]

C:\Windows\System32\drivers\atapi.sys :
MD5 :: [2d9c903dc76a66813d350a562de40ed9]
SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys :
MD5 :: [4f4fcb8b6ea06784fb6d475b7ec7300f]
SHA256 :: [6202d85c9a75e3f01f5f94f069c4cd8a2b9295a182301eae5940ec3bc2c1d896]

C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys :
MD5 :: [2d9c903dc76a66813d350a562de40ed9]
SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys :
MD5 :: [2d9c903dc76a66813d350a562de40ed9]
SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]

Référence :
==========

Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867
Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e

=======
Drive :
=======

D'fragmenteur de disque Windows
Copyright (c) 2006 Microsoft Corp.

Rapport d'analyse pour le volume C:

Taille du volume = 596 Go
Espace libre = 291 Go
tendue d'espace libre la plus grande = 244 Go
Pourcentage de fragmentation des fichiers = 1 %

Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.

Il n'est pas n'cessaire de d'fragmenter ce volume.

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\ProgramData\hpzinstall.log
Present !! : C:\ProgramData\hpzinstall.log
Present !! : C:\ProgramData\hpzinstall.log
Present !! : C:\Windows\System32\drivers\etc\hosts.msn
Present !! : C:\Windows\System32\pc_*.dat
Present !! : C:\Users\Hollywood\AppData\Local\d3d8caps.dat
Present !! : C:\Users\Hollywood\AppData\Local\d3d9caps.dat
Present !! : C:\Users\Hollywood\AppData\Local\fusioncache.dat
Present !! : C:\Users\Hollywood\AppData\Local\GDIPFONTCACHEV1.DAT

¤¤¤¤¤¤¤¤¤¤ Keys :

Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\Arrakis3.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdagent.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdreinit.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdsubwiz.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\bdwizreg.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\livesrv.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\seccenter.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\uiscan.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\upgrepl.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File execution Options\vsserv.exe"
Present !! : HKLM\SYSTEM\ControlSet001\Services\USBAAPL
Present !! : HKLM\SYSTEM\ControlSet002\Services\USBAAPL
Present !! : HKLM\SYSTEM\CurrentControlSet\Services\USBAAPL

============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-17 21:53:56
Windows 6.0.6001 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll sfsync02.sys ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
kernel: MBR read successfully
user & kernel MBR OK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval REG_DWORD 1 (0x1)

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 21:53:57,99
0
Réponse 7 / 33
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
17 avril 2010 à 22:02
vu

1)

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

choisis l'option CLEAN
ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

colle le contenu dans ta reponse

Tu peux le désinstaller ensuite

...............................

2)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

0
Réponse 8 / 33
Tyrion35
17 avril 2010 à 22:27
1)

Kill'em by g3n-h@ckm@n 1.7.1.1

User : Hollywood (Administrateurs)
Update on 17/04/2010 by g3n-h@ckm@n ::::: 17.10
Start at: 22:08:06 | 17/04/2010

Intel(R) Core(TM)2 Duo CPU E7300 @ 2.66GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Disabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 596,17 Go (291,02 Go free) | NTFS
D:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\cmd.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\conime.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\PnkBstrB.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\ProgramData\hpzinstall.log

Quarantined & Deleted !! : C:\Windows\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\Windows\System32\pc_drugs.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_gambling.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_games.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_hate.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_illegal.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_im.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_news.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_onlinedating.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_onlinepay.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_onlineshop.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_pornography.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_regionaltlds.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_searchengines.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_socialnetworks.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_tabloids.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_video.dat
Quarantined & Deleted !! : C:\Windows\System32\pc_webproxy.dat
Quarantined & Deleted !! : C:\Users\Hollywood\AppData\Local\d3d8caps.dat
Quarantined & Deleted !! : C:\Users\Hollywood\AppData\Local\d3d9caps.dat
Quarantined & Deleted !! : C:\Users\Hollywood\AppData\Local\fusioncache.dat
Quarantined & Deleted !! : C:\Users\Hollywood\AppData\Local\GDIPFONTCACHEV1.DAT

==============
host file OK !
==============

========
Registry
========

Deleted : HKLM\SYSTEM\ControlSet001\Services\USBAAPL
Deleted : HKLM\SYSTEM\ControlSet002\Services\USBAAPL
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval REG_DWORD 1 (0x1)
FirstRunDisabled REG_DWORD 1 (0x1)
AntiVirusDisableNotify REG_DWORD 0 (0x0)
FirewallDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
============

=================
anti-ver blaster : OK !!
=================

================
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 9 / 33
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
17 avril 2010 à 22:28
vu

=> MBAM

@+
0
Tyrion35
17 avril 2010 à 22:36
je suis en train de MBAM.

la source de l'infection serait du aux clef USB ?
je les ai utilisé sur d'autres ordinateurs de la maison, ils sont donc tous forcement viruser aussi ?
Cela se fait automatiquement ? Faudra ils les vérifier ?
0
Réponse 10 / 33
Tyrion35
18 avril 2010 à 00:00
Ce fut long !

pendant l'analyse MBAM, mon bitdefender a bloqué 3 virus :

nom du virus:; trojan.Small.NDV
Mmbam.exe
Destination : C\users\hollywood\appData\roaming\Mirc\logs\AEQAD.Quakenet.log
le fichier a été supprimé

nom du virus : trojan.generic.KD.6871
Mmbam.exe
Destination : C\users\hollywood\appData\local\temp\housecall\log\[plein de chiffre...]\backup\14
le fichier a été supprimé

nom du virus : GEN:variant.rimecud.1
Mmbam.exe
Destination : C\users\hollywood\appData\local\temp\housecall\log\[plein de chiffre...]\backup\17
le fichier a été supprimé



le rapport :

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4002

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

17/04/2010 23:58:25
mbam-log-2010-04-17 (23-58-25).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 341842
Temps écoulé: 1 heure(s), 27 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


J'ai l'impression que ya encore des truc louche...
0
Réponse 11 / 33
Utilisateur anonyme
18 avril 2010 à 01:22
bonsoir retour , merci à moment de grace qui a permis de faire avancer le schmilblik

bitdefender aurait apparement arrêté une infection qui aurait pu te venir de msn ou facebook ou ..............

je voudrais verifier quelques points essentiels un peu plus profondement :

Télécharge OTL de OLDTimer

enregistre le sur ton Bureau.

▶ Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0
Réponse 12 / 33
Tyrion35
18 avril 2010 à 10:37
Rebonjour,

Merci à vous 2 hier soir déjà pour m'avoir aider.

Voila les 2 rapports :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijuNt1UU6.txt

http://www.cijoint.fr/cjlink.php?file=cj201004/cijn5q3Z5p.txt
0
Réponse 13 / 33
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 272
18 avril 2010 à 11:04
bonjour

en attendant le retour du héros

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\Users\Hollywood\Documents\autorun.inf



Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK
0
Réponse 14 / 33
Tyrion35
Modifié par Tyrion35 le 18/04/2010 à 11:14
Fichier autorun.inf reçu le 2010.04.18 09:06:37 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.18 -
AhnLab-V3 5.0.0.2 2010.04.18 -
AntiVir 7.10.6.115 2010.04.16 -
Antiy-AVL 2.0.3.7 2010.04.16 -
Authentium 5.2.0.5 2010.04.16 -
Avast 4.8.1351.0 2010.04.17 -
Avast5 5.0.332.0 2010.04.17 -
AVG 9.0.0.787 2010.04.17 -
BitDefender 7.2 2010.04.18 -
CAT-QuickHeal 10.00 2010.04.17 -
ClamAV 0.96.0.3-git 2010.04.18 -
Comodo 4635 2010.04.18 -
DrWeb 5.0.2.03300 2010.04.18 -
eSafe 7.0.17.0 2010.04.15 -
eTrust-Vet 35.2.7431 2010.04.17 -
F-Prot 4.5.1.85 2010.04.17 -
F-Secure 9.0.15370.0 2010.04.16 -
Fortinet 4.0.14.0 2010.04.17 -
GData 19 2010.04.18 -
Ikarus T3.1.1.80.0 2010.04.18 -
Jiangmin 13.0.900 2010.04.18 -
Kaspersky 7.0.0.125 2010.04.18 -
McAfee 5.400.0.1158 2010.04.18 -
McAfee-GW-Edition 6.8.5 2010.04.18 -
Microsoft 1.5605 2010.04.18 -
NOD32 5037 2010.04.18 -
Norman 6.04.11 2010.04.16 -
nProtect 2010-04-18.01 2010.04.18 -
Panda 10.0.2.7 2010.04.17 -
PCTools 7.0.3.5 2010.04.18 -
Prevx 3.0 2010.04.18 -
Rising 22.43.06.02 2010.04.18 -
Sophos 4.52.0 2010.04.18 -
Sunbelt 6188 2010.04.17 -
Symantec 20091.2.0.41 2010.04.18 -
TheHacker 6.5.2.0.264 2010.04.18 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.17.2282 2010.04.17 -
VirusBuster 5.0.27.0 2010.04.17 -
Information additionnelle
File size: 9 bytes
MD5...: 5e8559cbb61eb8f2ab21a2f667c02673
SHA1..: b6ba7e9ed475281a6c5826878910ed5b9a789866
SHA256: 87eb7dd6d9c9409a7f550e704f53f90fcd524583759e1c13bf2182b5392a4e66
ssdeep: 3:EmXm:tXm
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned






http://www.virustotal.com/fr/analisis/87eb7dd6d9c9409a7f550e704f53f90fcd524583759e1c13bf2182b5392a4e66-1271581597
0
Réponse 15 / 33
Tyrion35
Modifié par Tyrion35 le 18/04/2010 à 11:45
Je fais un scan spybot en attendant. Il me trouve :

MicrosoftWindows SecurityCenter. Firewall0verride, 1 element security, modification du registre

MicrosoftWindows SecurityCenter. Antivirus0verride, 1 element security, modification du registre

Win32.autorun.tmp !!!! trojan C05

c'est quoi tout çà ?
0
Réponse 16 / 33
laurence973
18 avril 2010 à 11:36
bonjour,
je suis Laurence, j'ai eu ce même problème l'année dernière, le virus était le ver sasser...j'ai dû changer d'ordi......mais les symptômes étaient les mêmes, si ce n'est pas ce virus, ça doit être son frère...bon courage.
0
Réponse 17 / 33
Tyrion35
18 avril 2010 à 11:43
Je pense pas que cela soit Sasser, je n'ai pas eu de message d'erreur ni de compte a rebours quand le pc plantait.

Par contre j'en ai plein d'autre, avec plein de noms plus sympa les uns que les autres...

Et jamais je changerais de pc a cause d'un virus !!!
Au pire je formate...
0
Réponse 18 / 33
Utilisateur anonyme
18 avril 2010 à 12:24
hello accepte les modification detectées par spybot

▶ clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous Customs Scans/Fixes :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
DRV - File not found [Kernel | Auto | Stopped] -- -- (svftlyhrqnl)
DRV - File not found [Kernel | Auto | Stopped] -- -- (owtqrvtcprcvt)
DRV - File not found [Kernel | Boot | Stopped] -- -- (nwgc)
DRV - File not found [Kernel | Auto | Stopped] -- -- (kzzyk)
DRV - File not found [Kernel | Auto | Stopped] -- -- (kyiicxery)
DRV - File not found [Kernel | Auto | Stopped] -- -- (jmcbmruepnikpd)
DRV - File not found [Kernel | Auto | Stopped] -- -- (idfgspqdnplqbh)
DRV - File not found [Kernel | Auto | Stopped] -- -- (ewwtnbwkqwjxa)
DRV - File not found [Kernel | Auto | Stopped] -- -- (cnrclbfgfob)
DRV - File not found [Kernel | Auto | Stopped] -- -- (azflmjd)
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"HP Software Update"=-
"QuickTime Task"=-
"iTunesHelper"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"HonorAutoRunSetting"=1

:Files
C:\Windows\System32\wsbl.dat
C:\Windows\System32\phar_unmip.dat
C:\Windows\System32\phar_histprot.dat
C:\Windows\System32\ph_white.dat
C:\Windows\System32\ph_summ.dat
C:\Windows\System32\ph_spoof.sig
C:\Windows\System32\ph_sign.slf
C:\Windows\System32\ph_fuzzy.sig
C:\Windows\System32\ph_black.dat
C:\Windows\System32\pcwords2.dat
C:\Windows\System32\pcwords.dat
C:\Windows\System32\pc_sign.slf
C:\Users\Hollywood\Documents\autorun.inf

:commands
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
0
Réponse 19 / 33
Tyrion35
18 avril 2010 à 12:33
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
Process msnmsgr.exe killed successfully!
No active process named Teatimer.exe was found!
========== OTL ==========
Service svftlyhrqnl stopped successfully!
Service svftlyhrqnl deleted successfully!
Service owtqrvtcprcvt stopped successfully!
Service owtqrvtcprcvt deleted successfully!
Service nwgc stopped successfully!
Service nwgc deleted successfully!
Service kzzyk stopped successfully!
Service kzzyk deleted successfully!
Service kyiicxery stopped successfully!
Service kyiicxery deleted successfully!
Service jmcbmruepnikpd stopped successfully!
Service jmcbmruepnikpd deleted successfully!
Service idfgspqdnplqbh stopped successfully!
Service idfgspqdnplqbh deleted successfully!
Service ewwtnbwkqwjxa stopped successfully!
Service ewwtnbwkqwjxa deleted successfully!
Service cnrclbfgfob stopped successfully!
Service cnrclbfgfob deleted successfully!
Service azflmjd stopped successfully!
Service azflmjd deleted successfully!
Prefs.js: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11 removed from extensions.enabledItems
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
C:\Windows\Downloaded Program Files\erma.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\HP Software Update deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\iTunesHelper deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\"HonorAutoRunSetting"|1 /E : value set successfully!
========== FILES ==========
C:\Windows\System32\wsbl.dat moved successfully.
C:\Windows\System32\phar_unmip.dat moved successfully.
C:\Windows\System32\phar_histprot.dat moved successfully.
C:\Windows\System32\ph_white.dat moved successfully.
C:\Windows\System32\ph_summ.dat moved successfully.
C:\Windows\System32\ph_spoof.sig moved successfully.
C:\Windows\System32\ph_sign.slf moved successfully.
C:\Windows\System32\ph_fuzzy.sig moved successfully.
C:\Windows\System32\ph_black.dat moved successfully.
C:\Windows\System32\pcwords2.dat moved successfully.
C:\Windows\System32\pcwords.dat moved successfully.
C:\Windows\System32\pc_sign.slf moved successfully.
C:\Users\Hollywood\Documents\autorun.inf moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Hollywood
->Temp folder emptied: 20 bytes
->Temporary Internet Files folder emptied: 2708112 bytes
->Java cache emptied: 68949388 bytes
->FireFox cache emptied: 85684098 bytes
->Flash cache emptied: 1499 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 270900 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 150,00 mb


OTL by OldTimer - Version 3.2.1.2 log created on 04182010_122915

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
0
Réponse 20 / 33
Utilisateur anonyme
18 avril 2010 à 13:10
relance List_Kill'em (clic droit "executer en tant que....." pour vista / 7 )

option remove key

un bloc-notes va s'ouvrir , colle ceci dedans :

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Taskman"

ensuite , onglet fichier , choisis enregistrer , puis ferme

un autre bloc notes va s'ouvrir,poste son contenu
==============================
ensuite option manual delete

un bloc-notes va s'ouvrir , colle ceci dedans :

C:\Users\Hollywood\AppData\Roaming\fxembk.exe

ensuite , onglet fichier , choisis enregistrer , puis ferme

un autre bloc notes va s'ouvrir,poste son contenu
================================

Ferme List_Kill'em.
0