Virus résistant

Résolu
suzanne -  
 gen-hackman -
Bonjour,
j'ai besoin d 'un conseil informatique :
j'ai comme antivirus avast, comme pare feu zone alarm et pour les logiciels espions, j'utilise spybot. je ne vais pas sur des sites douteux et j'ai cependant chopé un virus qui atteint windows (au fait je suis sur windows XP). Il se signale entre 10 et 15 fois par jour, à chaque fois soit je le supprime soit je le mets en quarantaine, mais il reste toujours là, bien tranquille et peu de temps après, avast me ré informe de ce virus ! et je vois que c'est toujours que c'est toujours le même.
Comment faire pour m'en débarrasser une fois pour toutes ? Devrais-je changer d'antivirus ?
merci à tous !

24 réponses

  • 1
  • 2
Résumé de la discussion

Le souci porte sur un virus persistant sur Windows XP, malgré Avast, ZoneAlarm et Spybot, qui se signale régulièrement et réapparaît après chaque tentative de suppression. Des solutions préconisées incluent d’initier un diagnostic en mode sans échec avec prise en charge réseau et d’exécuter une analyse complète avec Malwarebytes Anti-Malware. D’autres étapes utiles mentionnent l’utilisation d’outils tels que USBFix pour nettoyer les périphériques externes et Kill’em pour générer un rapport de suppression à partir du bureau. À noter, Windows XP et les anciennes suites de sécurité peuvent limiter les mises à jour des signatures; envisager une migration vers un système plus récent et une solution de sécurité moderne peut être nécessaire.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut un nom/chemin de fichier infecté ?
    0
    1. Suzanne
       
      bonjour !
      alors voilà toutes les info que me donne le scan :
      nom du fichier : C:\WINDOWS\TEMP\syuj.tmp\svchost.exe
      nom du logiciel malveillant : Win32:malware-gen
      type de logiciel malveillant :Virus/Ver
      Version VPS : 100522-0,22/05/2010

      on me propose donc de le supprimer ou de le mettre en quarantaine, et j'ai déjà fait les 2 actions plein de fois ...
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      C'est parce que tu as TDSS TLD 3, c'est lui qui télécharge ces fichiers.
      Mais ton AV le voit pas :)
      0
    3. Suzanne
       
      ahaha on dirait qu'on parle pas la même lanque :) c'est quoi ce bidule dont tu me parles ? je veux dire TDSS TDL 3...
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Le malware a l'origine du téléchargement des fichiers TEMP\syuj.tmp\svchost.exe que ton antivirus détecte.
      Mais ton antivirus (les autres aussi) n'est pas capable de détecter ce malware.... Donc les téléchargements et les alertes sur ces fichiers TEMP\syuj.tmp\svchost.exe se multiplient et tu mets en quarantaine sans savoir quoi faire.
      Faut supprimer le malware (ce TDSS TLD 3) qui est a l'origine de ces téléchargements.

      Théoriquement, il effectue des redirections lors des recherches Google.
      Quand tu fais une recherche Google et que tu clics sur le lien donné en résultat, bha ça te redirige sur n'importe quoi (souvent des sites de pubs ou des alertes antispywares).
      0
  2. gen-hackman
     
    ▶ Télécharge UsbFix

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    ▶ Double clic sur le raccourci UsbFix présent sur ton bureau .

    ▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    ▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    ▶ Laisse travailler l'outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
    1. Suzanne
       
      ah bon ? ben je te remercie beaucoup ! je fais ce que tu me dis tout de suite et je t'envoie un message après pour te dire si ça va mieux :)
      0
    2. Suzanne
       
      ok... ben ça fait un certain temps que je suis bloquée à 60% du truc... y a marqué "registry scan, veuillez patienter..." ; c'est normal que ça n'avance pas pendant un certain temps ?
      0
  3. gen-hackman
     
    ce n'est qu'une recherche , j attends le rapport , tu es infectée

    tant que je te dis pas que c'est bon , continue stp sinon ca sert à rien
    0
    1. Suzanne
       
      ############################## | UsbFix V6.114 |

      User : Utilisateur (Administrateurs) # CRC_97129919K
      Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
      Start at: 12:28:46 | 22/05/2010
      Website : http://pagesperso-orange.fr/NosTools/index.html
      Contact : FindyKill.Contact@gmail.com

      Genuine Intel(R) CPU T2080 @ 1.73GHz
      Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Disabled
      AV : Norton Internet Security 2007 [ Enabled | Updated ]
      AV : avast! antivirus 4.8.1368 [VPS 100522-0] 4.8.1368 [ Enabled | Updated ]
      FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000
      FW : Norton Internet Security[ (!) Disabled ]2007

      C:\ -> Disque fixe local # 32,01 Go (17,41 Go free) [WinXP] # NTFS
      D:\ -> Disque fixe local # 101,73 Mo (99,31 Mo free) [BOOT] # FAT
      E:\ -> Disque fixe local # 31,98 Go (5,94 Go free) [DONNEES] # FAT32
      F:\ -> Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
      H:\ -> Disque amovible # 941,92 Mo (868,93 Mo free) # FAT32

      ################## | Elements infectieux |

      C:\WINDOWS\startup.vbs
      H:\autorun.inf
      H:\msvcr71.dll
      H:\U3ROM\desktop.ini
      H:\U3ROM\flyhigh.exe
      H:\U3ROM

      ################## | Registre |

      [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "startup"

      ################## | Mountpoints2 |

      HKCU\..\..\Explorer\MountPoints2\{1c9c9601-e145-11dd-86a9-001b38435391}
      Shell\AutoRun\command =H:\U3ROM/flyhigh.exe
      Shell\Explore\Command =H:\U3ROM/flyhigh.exe
      Shell\opeN\commanD =H:\U3ROM/flyhigh.exe

      ################## | Vaccin |


      ################## | ! Fin du rapport # UsbFix V6.114 ! |
      0
    2. Suzanne
       
      tu vois ce que c'est ?
      0
  4. gen-hackman
     
    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    ▶ Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

    ▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    ▶ Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

    ▶ Ton bureau disparaitra et le pc redémarrera .

    ▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
    1. Suzanne
       
      j"ai fait ce que tu m'as dit de faire mais je ne vois pas de rapport UsbFix.txt. ce que je vois c'est une fenêtre qui dit :
      Vous avez utilisé un de ces outils, ou on vous a demandé d'utiliser un de ces outils.
      Pendant son nettoyage, l'outil a récolté certains fichiers infectieux.
      Nous vous demandons de nous les faire parvenir pour des futures mises à jour, ainsi que pour un meilleur traitement des infections.
      Nous vous remercions pour votre contribution.
      qu'est-ce que ça veut dire ?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    envoie le fichier demandé au concepteur
    0
    1. Suzanne
       
      mais quel fichier ? je ne sais pas où est le fichier infecté ni où il est.
      0
  7. gen-hackman
     
    ok donne le contenu de C:\USBFix.txt
    0
    1. Suzanne
       
      mais je ne comprends pas ce que tu me demandes...usbfix me demande d'envoyer le fichier usbfix_upload_me_CRC_97129919K.zip mais je ne sais pas où il est.
      0
  8. gen-hackman
     
    sur ton bureau ou dans c:\
    0
    1. Suzanne
       
      écoute je suis coincée...
      le truc me marque "envoyez le ficher ...et veuillez appuyer sur une touche pour continuer."
      J'ai appuyé sur une touche mais ça n'a rien changé donc je ne vois pas comment envoyer le fichier.
      le fichier usbfix est dans mes documents / téléchargements. Il y a usbfix et usbfix2 ; lequel envoyer et comment ?
      0
    2. Suzanne
       
      ça y est, la fenêtre s'est ouverte... j'ai pu envoyer le truc et y marqué maintenant :
      L'upload a réussi !

      Nous vous remercions pour votre contribution !

      mais je ne vois toujours pas de rapport
      0
  9. gen-hackman
     
    tu es sure de ne pas avoir C:\USBFix.txt ?
    0
    1. Suzanne
       
      ah ben il serait surement à côté de Usbfix et Usbfix2, non ? et je ne le vois nulle part, ni sur mon bureau ni dans mes téléchargements...
      0
  10. gen-hackman
     
    Usbfix2 c'est une document texte non ?
    0
    1. Suzanne
       
      Extraction de Fich\Kill.cmd
      Extraction de Fich\K_Proc
      Extraction de Fich\MD5.cmd
      Extraction de Fich\Recycle
      Extraction de Fich\Root.cmd
      Extraction de Fich\Sniff.cmd
      Extraction de Fich\Usb
      Extraction de Fich\Usb2
      Extraction de Fich\Vaccin
      Extraction de Reg\Bho
      Extraction de Reg\Clsid
      Extraction de Reg\Hkcu_Po
      Extraction de Reg\Hkcu_Run
      Extraction de Reg\Hklm_Ifeo
      Extraction de Reg\Hklm_Logon
      Extraction de Reg\Hklm_Po
      Extraction de Reg\Hklm_Run
      Extraction de Reg\Hklm_Serv
      Extraction de Reg\Rkt
      Extraction de Reg\ShellExecuteHooks
      Extraction de Reg\Software
      Extraction de Reg\Startup
      Extraction de Reg\UsbFix.reg
      Extraction de Reg\UsbReg.vbs
      Extraction de Tools\DevP.exe
      Extraction de Tools\EchoX.exe
      Extraction de Tools\EgwReg.com
      Extraction de Tools\Erunt\ERDNT.E_E
      Extraction de Tools\Erunt\ERDNTDOS.LOC
      Extraction de Tools\Erunt\ERDNTWIN.LOC
      Extraction de Tools\Erunt\ERUNT.com
      Extraction de Tools\Erunt\ERUNT.LOC
      Extraction de Tools\fsum.exe
      Extraction de Tools\gsar.exe
      Extraction de Tools\Kill.exe
      Extraction de Tools\KProcess.exe
      Extraction de Tools\Langue.cmd
      Extraction de Tools\sed.exe
      Extraction de Tools\setpath.exe
      Extraction de Tools\Strtaz.ref
      Extraction de Tools\swreg.exe
      Extraction de Tools\swxcacls.com
      Impossible de créer Tools\swxcacls.com
      Extraction de Tools\UsbFix.vbs
      Extraction de Tools\zip.exe
      Extraction de Go.exe
      Extraction de UsbFix.cmd
      Extraction de Tools\Erunt
      Extraction de Fich
      Extraction de Reg
      Extraction de Tools


      serait-ce ça ?
      0
  11. gen-hackman
     
    non :(
    0
    1. Suzanne
       
      ben c'est tout ce que ça me sort, je ne vois aucun document texte usbfix...
      0
  12. gen-hackman
     
    bon refais une recherche
    0
    1. Suzanne
       
      j'ai refais 2 recherches sans voir aucun C:\USBFix.txt ni dans mes téléchargements ni sur mon bureau.où pourrais je trouver les dossiers C:\ ?
      0
  13. gen-hackman
     
    lol tu n'as pas compris

    dans ton disque dur (d'accès par le poste de travail) principal C:\ tu as des documents textes du nom d'usbfix.txt (le ".txt" peut ne pas apparaitre)
    0
    1. Suzanne
       
      :'( waouh !
      serait-ce ça ?


      ############################## | UsbFix V6.114 |

      User : Utilisateur (Administrateurs) # CRC_97129919K
      Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
      Start at: 16:26:56 | 22/05/2010
      Website : http://pagesperso-orange.fr/NosTools/index.html
      Contact : FindyKill.Contact@gmail.com

      Genuine Intel(R) CPU T2080 @ 1.73GHz
      Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Enabled
      AV : Norton Internet Security 2007 [ Enabled | Updated ]
      AV : avast! antivirus 4.8.1368 [VPS 100522-0] 4.8.1368 [ Enabled | Updated ]
      FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000
      FW : Norton Internet Security[ (!) Disabled ]2007

      C:\ -> Disque fixe local # 32,01 Go (17,78 Go free) [WinXP] # NTFS
      D:\ -> Disque fixe local # 101,73 Mo (99,31 Mo free) [BOOT] # FAT
      E:\ -> Disque fixe local # 31,98 Go (5,94 Go free) [DONNEES] # FAT32
      F:\ -> Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
      H:\ -> Disque amovible # 941,92 Mo (870,77 Mo free) # FAT32

      ################## | Elements infectieux |

      Supprimé ! C:\Recycler\S-1-5-21-3568718806-3098808365-2456558613-1008

      ################## | Registre |


      ################## | Mountpoints2 |


      ################## | Listing des fichiers présent |

      [24/07/2007 09:36|--a------|0] C:\AUTOEXEC.BAT
      [11/05/2009 21:24|-rahs----|212] C:\boot.ini
      [05/08/2004 12:00|-rahs----|4952] C:\Bootfont.bin
      [24/07/2007 09:36|--a------|0] C:\CONFIG.SYS
      [?|?|?] C:\hiberfil.sys
      [24/07/2007 09:36|-rahs----|0] C:\IO.SYS
      [24/07/2007 09:36|-rahs----|0] C:\MSDOS.SYS
      [05/08/2004 12:00|-rahs----|47564] C:\NTDETECT.COM
      [17/01/2009 10:45|-rahs----|252240] C:\ntldr
      [?|?|?] C:\pagefile.sys
      [27/07/2007 17:17|--ah-----|176] C:\SWSTAMP.TXT
      [22/05/2010 16:41|--a------|1784] C:\UsbFix.txt
      [22/05/2010 15:05|--a------|1132306] C:\UsbFix_Upload_Me_CRC_97129919K.zip
      [15/05/1998 20:01|--a------|222390] D:\IO.SYS
      [04/09/2005 19:44|--a------|64] D:\MSDOS.SYS
      [15/05/1998 20:01|--a------|95864] D:\COMMAND.COM
      [15/05/1998 20:01|--a------|69127] D:\DRVSPACE.BIN
      [23/02/2008 18:18|--ah-----|301] D:\BOOTLOG.PRV
      [05/08/2004 12:00|-rahs----|4952] D:\Bootfont.bin
      [05/08/2004 12:00|-rahs----|251712] D:\ntldr
      [05/08/2004 12:00|-rahs----|47564] D:\NTDETECT.COM
      [03/08/2007 14:11|---hs----|512] D:\bootsect.dos
      [03/08/2007 14:26|---hs----|239] D:\boot.ini
      [17/01/2008 15:52|--a------|558] D:\CONFIG.SYS
      [20/08/2007 15:02|--a------|573] D:\AUTOEXEC.BAT
      [04/08/2007 15:29|--a------|330] D:\GHOSTERR.TXT
      [09/01/2009 17:31|--ah-----|301] D:\BOOTLOG.TXT
      [01/08/2006 14:18|--a------|1394964] D:\ghost.exe
      [13/01/2009 08:38|--a------|33280] E:\Normal.dot
      [01/01/1995 02:00|-r-------|44] F:\Track01.cda
      [01/01/1995 02:05|-r-------|44] F:\Track02.cda
      [01/01/1995 02:12|-r-------|44] F:\Track03.cda
      [01/01/1995 02:23|-r-------|44] F:\Track04.cda
      [01/01/1995 02:32|-r-------|44] F:\Track05.cda
      [01/01/1995 02:41|-r-------|44] F:\Track06.cda
      [01/01/1995 02:52|-r-------|44] F:\Track07.cda
      [11/01/2010 16:57|--a------|33036] H:\ronsard litt atlande debut.odt
      [08/01/2010 20:18|--a------|93337] H:\indicatif
      [27/12/2002 18:44|--ah-----|4194304] H:\STDBSTR.DAT
      [08/01/2010 20:20|--a------|25600] H:\relev' des subjontifs ds Erec et Enide
      [21/02/2010 15:09|--a------|74240] H:\COMMENTAIRE STYLISTIQUE.doc
      [27/12/2002 18:44|--ah-----|0] H:\STDBSTR.IDX
      [21/02/2010 15:10|--a------|30208] H:\_M'thode
      [27/12/2002 18:44|--ah-----|1931264] H:\STDBDATA.DAT
      [27/12/2002 18:44|--ah-----|0] H:\STDBDATA.IDX
      [02/02/2010 18:03|--a------|89088] H:\po'sie 'pique synthSse atlande
      [11/01/2010 16:35|--a------|80384] H:\Lectures de Ronsard.doc
      [28/04/2010 09:18|--a------|38400] H:\EugSne IONESCO Le Roi se meurt version wordl.doc
      [05/05/2010 11:43|--a------|1375231] H:\socle commun.pdf
      [05/05/2010 12:13|--a------|127966] H:\programme_francais_general_collSge.pdf
      [27/12/2002 18:44|--ah-----|1192065] H:\RAMLIST.DAT
      [27/12/2002 18:44|--ah-----|708] H:\SETTINGS.DAT

      ################## | Vaccination |

      # H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

      ################## | Upload |

      Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_CRC_97129919K.zip : https://www.ionos.fr/?affiliate_id=77097
      Merci pour votre contribution .
      0
  14. gen-hackman
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :
    ________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
    1. Suzanne
       
      j'ai besoin d'une précision : comment désactiver mon antivirus et mon antispiware ?je ne les désinstalle pas ?
      parce que si je fais avast arrêter le service on me demande quel service :courrier etc et si veux tous les arrêter on me demande une clé que je n'ai pas...alors y a t-il un autre moyen? et pour spybot ?
      merci
      0
  15. gen-hackman
     
    redemarre ton pc en mode sans echec avec prise en charge reseau
    0
    1. Suzanne
       
      euh...moi j'ai jamais fait d'informatique,ça veut rien dire pour moi charge réseau et mode sans échec... :( et quand je fais "arrêter la protection résidente" on me demande un mot de passe...
      0
  16. gen-hackman
     
    Comment aller en Mode sans échec :

    ▶ Redémarres ton ordi
    ▶ Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    ▶ Tu verras un écran avec options de démarrage apparaître
    ▶ Choisis la deuxieme option : Sans Échec avec prise en charge reseau, et valide avec "Entrée"
    ▶ Choisis ton compte habituel, et non Administrateur (si besoin ... )

    l'ecran est noir avec de gros icones ? c'est normal
    0
    1. Suzanne
       
      ComboFix 10-05-21.06 - Utilisateur 22/05/2010 17:56:56.1.2 - x86
      Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.502.258 [GMT 2:00]
      Lancé depuis: e:\mes documents\Téléchargements\ComboFix.exe
      AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
      FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      Une copie infectée de c:\windows\system32\drivers\i8042prt.sys a été trouvée et désinfectée
      Copie restaurée à partir de - Kitty had a snack :p
      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-22 au 2010-05-22 ))))))))))))))))))))))))))))))))))))
      .

      2010-05-22 11:44 . 2010-05-22 14:41 1132306 ----a-w- C:\UsbFix_Upload_Me_CRC_97129919K.zip
      2010-05-22 10:17 . 2010-05-22 14:41 -------- d-----w- C:\UsbFix
      2010-05-18 18:06 . 2010-05-18 18:06 -------- d-----w- c:\documents and settings\All Users\Application Data\MailFrontier
      2010-05-18 18:05 . 2010-05-18 18:17 4212 ---h--w- c:\windows\system32\zllictbl.dat
      2010-05-18 18:05 . 2004-04-27 02:40 11264 ----a-w- c:\windows\system32\SpOrder.dll
      2010-05-18 17:58 . 2010-05-22 15:24 -------- d-----w- c:\windows\Internet Logs
      2010-05-06 11:16 . 2010-05-06 11:16 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\Apple Computer

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-05-22 15:54 . 2009-01-10 10:42 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\DNA
      2010-05-22 15:26 . 2009-09-25 17:11 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\skypePM
      2010-05-22 15:25 . 2009-01-10 10:42 -------- d-----w- c:\program files\DNA
      2010-05-22 15:21 . 2009-11-21 12:24 -------- d-----w- c:\program files\Spybot - Search & Destroy
      2010-05-22 15:21 . 2009-01-09 16:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2010-05-17 11:26 . 2009-02-19 02:07 -------- d-----w- c:\program files\eMule
      2010-05-12 18:01 . 2010-03-19 19:39 443912 ----a-w- c:\documents and settings\Utilisateur\Application Data\Real\Update\setup3.10\setup.exe
      2010-05-01 10:17 . 2009-01-10 10:42 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\BitTorrent
      2010-04-14 05:01 . 2007-07-24 08:09 -------- d-----w- c:\program files\Java
      2010-04-14 04:54 . 2010-04-14 04:54 152576 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
      2010-04-14 04:54 . 2010-04-14 04:54 79488 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
      2010-03-10 06:16 . 2007-07-24 07:24 420352 ----a-w- c:\windows\system32\vbscript.dll
      2010-02-25 06:17 . 2007-07-24 07:24 916480 ----a-w- c:\windows\system32\wininet.dll
      2010-02-24 13:11 . 2007-07-24 07:24 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2007-01-09 191552]
      "TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 65536]
      "BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2009-11-13 323392]



      c'est bien ça ?
      0
    2. Suzanne
       
      et maintenant je peux remettre avast et spybot ?
      0
    3. Suzanne
       
      ComboFix 10-05-21.06 - Utilisateur 22/05/2010 17:56:56.1.2 - x86
      Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.502.258 [GMT 2:00]
      Lancé depuis: e:\mes documents\Téléchargements\ComboFix.exe
      AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
      FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      Une copie infectée de c:\windows\system32\drivers\i8042prt.sys a été trouvée et désinfectée
      Copie restaurée à partir de - Kitty had a snack :p
      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-22 au 2010-05-22 ))))))))))))))))))))))))))))))))))))
      .

      2010-05-22 11:44 . 2010-05-22 14:41 1132306 ----a-w- C:\UsbFix_Upload_Me_CRC_97129919K.zip
      2010-05-22 10:17 . 2010-05-22 14:41 -------- d-----w- C:\UsbFix
      2010-05-18 18:06 . 2010-05-18 18:06 -------- d-----w- c:\documents and settings\All Users\Application Data\MailFrontier
      2010-05-18 18:05 . 2010-05-18 18:17 4212 ---h--w- c:\windows\system32\zllictbl.dat
      2010-05-18 18:05 . 2004-04-27 02:40 11264 ----a-w- c:\windows\system32\SpOrder.dll
      2010-05-18 17:58 . 2010-05-22 15:24 -------- d-----w- c:\windows\Internet Logs
      2010-05-06 11:16 . 2010-05-06 11:16 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\Apple Computer

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-05-22 15:54 . 2009-01-10 10:42 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\DNA
      2010-05-22 15:26 . 2009-09-25 17:11 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\skypePM
      2010-05-22 15:25 . 2009-01-10 10:42 -------- d-----w- c:\program files\DNA
      2010-05-22 15:21 . 2009-11-21 12:24 -------- d-----w- c:\program files\Spybot - Search & Destroy
      2010-05-22 15:21 . 2009-01-09 16:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2010-05-17 11:26 . 2009-02-19 02:07 -------- d-----w- c:\program files\eMule
      2010-05-12 18:01 . 2010-03-19 19:39 443912 ----a-w- c:\documents and settings\Utilisateur\Application Data\Real\Update\setup3.10\setup.exe
      2010-05-01 10:17 . 2009-01-10 10:42 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\BitTorrent
      2010-04-14 05:01 . 2007-07-24 08:09 -------- d-----w- c:\program files\Java
      2010-04-14 04:54 . 2010-04-14 04:54 152576 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
      2010-04-14 04:54 . 2010-04-14 04:54 79488 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
      2010-03-10 06:16 . 2007-07-24 07:24 420352 ----a-w- c:\windows\system32\vbscript.dll
      2010-02-25 06:17 . 2007-07-24 07:24 916480 ----a-w- c:\windows\system32\wininet.dll
      2010-02-24 13:11 . 2007-07-24 07:24 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2007-01-09 191552]
      "TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 65536]
      "BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2009-11-13 323392]
      "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
      "Veoh"="c:\program files\Veoh Networks\Veoh\VeohClient.exe" [2008-03-24 3587120]
      "Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-09-02 25623336]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CFSServ.exe"="CFSServ.exe -NoClient" [X]
      "igfxtray"="c:\windows\system32\igfxtray.exe" [2006-02-07 94208]
      "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-02-07 77824]
      "igfxpers"="c:\windows\system32\igfxpers.exe" [2006-02-07 118784]
      "RTHDCPL"="RTHDCPL.EXE" [2007-06-13 16377344]
      "CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2006-04-12 638976]
      "HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
      "SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2006-05-25 65536]
      "TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2007-06-01 53248]
      "TCtryIOHook"="TCtrlIOHook.exe" [2007-06-30 28672]
      "TDispVol"="TDispVol.exe" [2005-12-27 73728]
      "TPSMain"="TPSMain.exe" [2005-08-12 266240]
      "Zooming"="ZoomingHook.exe" [2005-06-06 24576]
      "SmoothView"="c:\program files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2007-05-11 143360]
      "NDSTray.exe"="NDSTray.exe" [BU]
      "DDWMon"="c:\program files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2007-04-26 495616]
      "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 196608]
      "Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-05-22 413696]
      "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-08-05 185896]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
      "NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
      "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-04-27 282624]
      "Lexmark X1100 Series"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
      "HonorAutoRunSetting"= 0 (0x0)

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "HonorAutoRunSetting"= 0 (0x0)

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Messenger\\msmsgs.exe"=
      "c:\\Program Files\\DNA\\btdna.exe"=
      "c:\\Program Files\\BitTorrent\\bittorrent.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\Program Files\\eMule\\emule.exe"=
      "c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=
      "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
      "c:\\Program Files\\aMSN\\bin\\wish.exe"=
      "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

      R2 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [26/03/2007 12:22 105856]
      R2 trudf;TOSHIBA DVD-RAM UDF File System Driver;c:\windows\system32\drivers\trudf.sys [19/02/2007 12:15 134016]
      S2 Sukoku Service;Sukoku Service;c:\documents and settings\All Users\Application Data\Sukoku\sukoku119.exe [29/09/2009 11:56 54760]
      S3 TpChoice;Touch Pad Detection Filter driver;c:\windows\system32\DRIVERS\TpChoice.sys --> c:\windows\system32\DRIVERS\TpChoice.sys [?]
      .
      Contenu du dossier 'Tâches planifiées'

      2010-05-22 c:\windows\Tasks\OGALogon.job
      - c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]

      2007-08-03 c:\windows\Tasks\Rappel d'enregistrement 1.job
      - c:\windows\system32\OOBE\oobebaln.exe [2007-07-24 02:34]

      2007-08-17 c:\windows\Tasks\Rappel d'enregistrement 2.job
      - c:\windows\system32\OOBE\oobebaln.exe [2007-07-24 02:34]

      2007-08-03 c:\windows\Tasks\Rappel d'enregistrement 3.job
      - c:\windows\system32\OOBE\oobebaln.exe [2007-07-24 02:34]

      2010-05-22 c:\windows\Tasks\User_Feed_Synchronization-{521789C9-E846-4481-82D2-BED60DC05BB1}.job
      - c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
      .
      .
      ------- Examen supplémentaire -------
      .
      uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
      uInternet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
      IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      IE: Ouvrir dans un nouvel onglet d'arrière-plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?10d3be3e675f42919084ce8f451b6224
      IE: Ouvrir dans un nouvel onglet de premier plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?10d3be3e675f42919084ce8f451b6224
      FF - ProfilePath - c:\documents and settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\73eieb4s.default\
      FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
      FF - prefs.js: browser.search.selectedEngine - Google
      FF - prefs.js: browser.startup.homepage - hxxp://www.theprizeday.com/today.php|https://www.msn.com/fr-fr/?ocid=iehp|https://www.msn.com/fr-fr/?ocid=iehp
      FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
      FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll
      FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
      FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

      ---- PARAMETRES FIREFOX ----
      FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      HKCU-Run-MsnMsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe
      MSConfigStartUp-TFncKy - TFncKy.exe
      AddRemove-eMule - c:\program files\eMule\Uninstall.exe



      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-05-22 18:02
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      Heure de fin: 2010-05-22 18:05:11
      ComboFix-quarantined-files.txt 2010-05-22 16:05

      Avant-CF: 19 348 480 000 octets libres
      Après-CF: 19 429 318 656 octets libres

      WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

      - - End Of File - - 0420D3CB2C71862B654E766CA60D3C74



      on est bon cette fois?
      0
  17. gen-hackman
     
    il manque un gros morceau du rapport
    0
  18. gen-hackman
     
    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    ▶ Télécharge List_Kill'em

    et enregistre le sur ton bureau

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Executer Shortcut
    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis l'option Search

    ▶ laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
    0
    1. Suzanne
       
      ¤¤¤¤¤¤¤¤¤¤ List'em by g3n-h@ckm@n 2.0.0.4 ¤¤¤¤¤¤¤¤¤¤

      User : Utilisateur (Administrateurs)
      Update on 22/05/2010 by g3n-h@ckm@n ::::: 10.50
      Start at: 18:22:35 | 22/05/2010

      Genuine Intel(R) CPU T2080 @ 1.73GHz
      Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Enabled
      AV : Norton Internet Security 2007 [ Enabled | Updated ]
      FW : Norton Internet Security[ (!) Disabled ]2007

      C:\ -> Disque fixe local | 32,01 Go (18,1 Go free) [WinXP] | NTFS
      D:\ -> Disque fixe local | 101,73 Mo (99,31 Mo free) [BOOT] | FAT
      E:\ -> Disque fixe local | 31,98 Go (9,03 Go free) [DONNEES] | FAT32
      F:\ -> Disque CD-ROM | 0 Mo (0 Mo free) [Audio CD] | CDFS
      H:\ -> Disque amovible | 941,92 Mo (870,77 Mo free) | FAT32

      Boot: Normal
      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\LEXBCES.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\agrsmsvc.exe
      C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\TODDSrv.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\notepad.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\aMSN\bin\wish.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\List_Kill'em\List_Kill'em.exe
      C:\WINDOWS\system32\cmd.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\List_Kill'em\pv.exe

      ======================
      Keys "Run"
      ======================

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      LtMoh REG_SZ C:\Program Files\ltmoh\Ltmoh.exe
      TOSCDSPD REG_SZ C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
      BitTorrent DNA REG_SZ "C:\Program Files\DNA\btdna.exe"
      BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
      Veoh REG_SZ "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
      Skype REG_SZ "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      igfxtray REG_SZ C:\WINDOWS\system32\igfxtray.exe
      igfxhkcmd REG_SZ C:\WINDOWS\system32\hkcmd.exe
      igfxpers REG_SZ C:\WINDOWS\system32\igfxpers.exe
      RTHDCPL REG_SZ RTHDCPL.EXE
      CeEKEY REG_SZ C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
      HWSetup REG_SZ C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
      SVPWUTIL REG_SZ C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
      TPNF REG_SZ C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
      TCtryIOHook REG_SZ TCtrlIOHook.exe
      TDispVol REG_SZ TDispVol.exe
      TPSMain REG_SZ TPSMain.exe
      Zooming REG_SZ ZoomingHook.exe
      SmoothView REG_SZ C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
      NDSTray.exe REG_SZ NDSTray.exe
      DDWMon REG_SZ C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
      Apoint REG_SZ C:\Program Files\Apoint2K\Apoint.exe
      Camera Assistant Software REG_SZ "C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe"
      TkBellExe REG_SZ "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
      QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime
      Lexmark X1100 Series REG_SZ "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
      CFSServ.exe REG_SZ CFSServ.exe -NoClient
      SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

      =====================
      Other Keys
      =====================

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
      dontdisplaylastusername REG_DWORD 0 (0x0)
      legalnoticecaption REG_SZ
      legalnoticetext REG_SZ
      shutdownwithoutlogon REG_DWORD 1 (0x1)
      undockwithoutlogon REG_DWORD 1 (0x1)
      DisableRegistryTools REG_DWORD 0 (0x0)

      ===============

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
      NoDriveTypeAutoRun REG_DWORD 323 (0x143)
      NoDriveAutoRun REG_DWORD 67108863 (0x3ffffff)
      HonorAutoRunSetting REG_DWORD 0 (0x0)
      NoDrives REG_DWORD 0 (0x0)

      ===============

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
      HonorAutoRunSetting REG_DWORD 0 (0x0)
      NoDriveAutoRun REG_DWORD 67108863 (0x3ffffff)
      NoDriveTypeAutoRun REG_DWORD 323 (0x143)
      NoDrives REG_DWORD 0 (0x0)

      ===============

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

      ===============

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      AutoRestartShell REG_DWORD 1 (0x1)
      DefaultUserName REG_SZ Utilisateur
      LegalNoticeCaption REG_SZ
      LegalNoticeText REG_SZ
      PowerdownAfterShutdown REG_SZ 0
      ReportBootOk REG_SZ 1
      Shell REG_SZ Explorer.exe
      ShutdownWithoutLogon REG_SZ 0
      System REG_SZ
      Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
      VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
      SfcQuota REG_DWORD -1 (0xffffffff)
      allocatecdroms REG_SZ 0
      allocatedasd REG_SZ 0
      allocatefloppies REG_SZ 0
      cachedlogonscount REG_SZ 10
      forceunlocklogon REG_DWORD 0 (0x0)
      passwordexpirywarning REG_DWORD 14 (0xe)
      scremoveoption REG_SZ 0
      AllowMultipleTSSessions REG_DWORD 1 (0x1)
      UIHost REG_EXPAND_SZ logonui.exe
      LogonType REG_DWORD 1 (0x1)
      Background REG_SZ 0 0 0
      DebugServerCommand REG_SZ no
      SFCDisable REG_DWORD 0 (0x0)
      WinStationsDisabled REG_SZ 0
      HibernationPreviouslyEnabled REG_DWORD 1 (0x1)
      ShowLogonOptions REG_DWORD 0 (0x0)
      AltDefaultUserName REG_SZ Utilisateur
      AltDefaultDomainName REG_SZ CRC_97129919K
      DefaultDomainName REG_SZ CRC_97129919K
      ChangePasswordUseKerberos REG_DWORD 1 (0x1)

      ===============

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\igfxcui]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WgaLogon]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]

      ===============

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      {AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ

      ===============

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
      %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
      C:\Program Files\Messenger\msmsgs.exe REG_SZ C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger
      C:\Program Files\DNA\btdna.exe REG_SZ C:\Program Files\DNA\btdna.exe:*:Enabled:DNA
      C:\Program Files\BitTorrent\bittorrent.exe REG_SZ C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent
      %windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
      C:\Program Files\eMule\emule.exe REG_SZ C:\Program Files\eMule\emule.exe:*:Enabled:eMule
      C:\Program Files\Veoh Networks\Veoh\VeohClient.exe REG_SZ C:\Program Files\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client
      C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe REG_SZ C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare
      C:\Program Files\aMSN\bin\wish.exe REG_SZ C:\Program Files\aMSN\bin\wish.exe:*:Enabled:Wish Application
      C:\Program Files\Skype\Phone\Skype.exe REG_SZ C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
      %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
      %windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
      C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe REG_SZ C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
      C:\Program Files\Windows Live\Messenger\livecall.exe REG_SZ C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)

      ===============
      ActivX controls
      ===============

      [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
      [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}]
      [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}]
      [HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]

      ===============
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{233C1507-6A77-46A4-9443-F871F945D258}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2A202491-F00D-11cf-87CC-0020AFEECF20}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73fa19d0-2d75-11d2-995d-00c04f98bbc9}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9A394342-4A68-4EBA-85A6-55B559F4E700}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-9DB8-56FBECED082D}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]

      ==============
      BHO :
      ======

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

      ===
      DNS
      ===

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{D75DED1A-1A3E-4A33-8B9B-167CBE23E114}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{D75DED1A-1A3E-4A33-8B9B-167CBE23E114}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{D75DED1A-1A3E-4A33-8B9B-167CBE23E114}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

      ================
      Internet Explorer :
      ================

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ https://www.msn.com/fr-fr
      Local Page REG_SZ C:\WINDOWS\system32\blank.htm
      Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
      Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Local Page REG_SZ C:\WINDOWS\system32\blank.htm
      Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

      ========
      Services
      ========

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

      Ndisuio : 0x3 ( OK = 3 )
      EapHost : 0x3 ( OK = 2 )
      SharedAccess : 0x2 ( OK = 2 )
      wuauserv : 0x2 ( OK = 2 )

      ========
      Safemode
      ========

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot : OK !!
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal : OK !!
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network : OK !!

      =========
      Atapi.sys
      =========

      C:\WINDOWS\$NtServicePackUninstall$\atapi.sys :
      MD5 :: [cdfe4411a69c224bd1d11b2da92dac51]
      SHA256 :: [0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d]

      C:\WINDOWS\ERDNT\cache\atapi.sys :
      MD5 :: [9f3a2f5aa6875c72bf062c712cfa2674]
      SHA256 :: [b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9]

      C:\WINDOWS\ServicePackFiles\i386\atapi.sys :
      MD5 :: [9f3a2f5aa6875c72bf062c712cfa2674]
      SHA256 :: [b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9]

      C:\WINDOWS\system32\drivers\atapi.sys :
      MD5 :: [9f3a2f5aa6875c72bf062c712cfa2674]
      SHA256 :: [b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9]

      C:\WINDOWS\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys :
      MD5 :: [cdfe4411a69c224bd1d11b2da92dac51]
      SHA256 :: [0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d]

      Référence :
      ==========

      Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
      Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867
      Win XP_32b : a64013e98426e1877cb653685c5c0009
      Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
      Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
      Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
      Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
      Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
      Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
      Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
      Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
      Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e

      =======
      Drive :
      =======

      Défragmenteur de disque Windows
      Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

      Rapport d'analyse
      32,01 Go total, 18,10 Go libre (56%), 9% fragmenté (fragmentation du fichier 18%)

      Il ne vous est pas nécessaire de défragmenter ce volume.

      ¤¤¤¤¤¤¤¤¤¤ Files/folders :

      Present !! : C:\Program Files\Sukoku
      Present !! : C:\Program Files\WindowsUpdate
      Present !! : C:\WINDOWS\002755_.tmp
      Present !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
      Present !! : C:\WINDOWS\System32\SET4C6.tmp
      Present !! : C:\WINDOWS\System32\SET4C8.tmp
      Present !! : C:\WINDOWS\System32\SET4CD.tmp
      Present !! : C:\WINDOWS\System32\SET4D4.tmp
      Present !! : C:\WINDOWS\System32\SET4DD.tmp
      Present !! : C:\WINDOWS\System32\SET4DF.tmp
      Present !! : C:\WINDOWS\System32\SET4E2.tmp
      Present !! : C:\Documents and Settings\Utilisateur\Local Settings\Application Data\segsmqw.exe
      Present !! : C:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\SuggestedSites.dat

      ¤¤¤¤¤¤¤¤¤¤ Keys :

      Present !! : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}
      Present !! : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {5617eca9-488d-4ba2-8562-9710b9ab78d2}
      Present !! : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
      Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
      Present !! : HKEY_USERS\S-1-5-21-3568718806-3098808365-2456558613-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
      Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
      Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
      Present !! : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5617eca9-488d-4ba2-8562-9710b9ab78d2}

      ============

      catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-05-22 18:30:39
      Windows 5.1.2600 Service Pack 3 FAT NTAPI

      scanning hidden processes ...

      scanning hidden services ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden processes: 0
      hidden services: 0
      hidden files: 0


      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
      kernel: MBR read successfully
      user & kernel MBR OK

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
      FirstRunDisabled REG_DWORD 1 (0x1)
      AntiVirusDisableNotify REG_DWORD 0 (0x0)
      FirewallDisableNotify REG_DWORD 0 (0x0)
      UpdatesDisableNotify REG_DWORD 0 (0x0)
      AntiVirusOverride REG_DWORD 0 (0x0)
      FirewallOverride REG_DWORD 0 (0x0)

      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

      End of scan : 18:30:40,09
      0
    2. Suzanne
       
      est-ce que je peux remettre en fonction mes antivirus et spywares ?
      0
  19. gen-hackman
     
    non

    ▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    ▶ choisis l'Option Clean

    ton PC va redemarrer,

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ▶ colle le contenu dans ta reponse
    0
    1. Suzanne
       
      c'est ça ? :


      ¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.0.4 ¤¤¤¤¤¤¤¤¤¤

      User : Utilisateur (Administrateurs)
      Update on 22/05/2010 by g3n-h@ckm@n ::::: 10.50
      Start at: 18:57:52 | 22/05/2010

      Genuine Intel(R) CPU T2080 @ 1.73GHz
      Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Enabled
      AV : Norton Internet Security 2007 [ Enabled | Updated ]
      FW : Norton Internet Security[ (!) Disabled ]2007

      C:\ -> Disque fixe local | 32,01 Go (18,07 Go free) [WinXP] | NTFS
      D:\ -> Disque fixe local | 101,73 Mo (99,31 Mo free) [BOOT] | FAT
      E:\ -> Disque fixe local | 31,98 Go (9,01 Go free) [DONNEES] | FAT32
      F:\ -> Disque CD-ROM | 0 Mo (0 Mo free) [Audio CD] | CDFS


      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\logonui.exe
      C:\WINDOWS\system32\LEXBCES.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\WINDOWS\system32\WgaTray.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\cmd.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\agrsmsvc.exe
      C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\TODDSrv.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\List_Kill'em\ERUNT.EXE
      C:\Program Files\List_Kill'em\pv.exe

      ¤¤¤¤¤¤¤¤¤¤ Files/folders :

      Quarantined & Deleted !! : C:\Program Files\Sukoku
      Quarantined & Deleted !! : C:\Program Files\WindowsUpdate
      Quarantined & Deleted !! : C:\WINDOWS\002755_.tmp

      Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
      Quarantined & Deleted !! : C:\WINDOWS\System32\SET4C6.tmp
      Quarantined & Deleted !! : C:\WINDOWS\System32\SET4C8.tmp
      Quarantined & Deleted !! : C:\WINDOWS\System32\SET4CD.tmp
      Quarantined & Deleted !! : C:\WINDOWS\System32\SET4D4.tmp
      Quarantined & Deleted !! : C:\WINDOWS\System32\SET4DD.tmp
      Quarantined & Deleted !! : C:\WINDOWS\System32\SET4DF.tmp
      Quarantined & Deleted !! : C:\WINDOWS\System32\SET4E2.tmp
      Quarantined & Deleted !! : C:\Documents and Settings\Utilisateur\Local Settings\Application Data\segsmqw.exe
      Quarantined & Deleted !! : C:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\SuggestedSites.dat

      =======
      Hosts :
      =======

      127.0.0.1 localhost

      ========
      Registry
      ========

      Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}
      Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {5617eca9-488d-4ba2-8562-9710b9ab78d2}
      Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
      Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
      Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
      Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
      Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5617eca9-488d-4ba2-8562-9710b9ab78d2}
      =================
      Internet Explorer
      =================

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
      Local Page REG_SZ C:\WINDOWS\system32\blank.htm
      Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
      Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ https://www.google.com/?gws_rd=ssl
      Local Page REG_SZ C:\WINDOWS\system32\blank.htm
      Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

      ===============
      Security Center
      ===============

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
      FirstRunDisabled REG_DWORD 1 (0x1)
      AntiVirusDisableNotify REG_DWORD 0 (0x0)
      FirewallDisableNotify REG_DWORD 0 (0x0)
      UpdatesDisableNotify REG_DWORD 0 (0x0)
      AntiVirusOverride REG_DWORD 1 (0x1)
      FirewallOverride REG_DWORD 1 (0x1)

      ========
      Services
      =========

      Ndisuio : Start = 3
      EapHost : Start = 2
      Ip6Fw : Start = 2
      SharedAccess : Start = 2
      wuauserv : Start = 2
      wscsvc : Start = 2

      ============
      Disk Cleaned
      anti-ver blaster : OK
      Prefetch cleaned
      ================

      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
      kernel: MBR read successfully
      user & kernel MBR OK




      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
      0
  20. gen-hackman
     
    Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge :

    Malwarebytes

    ou :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

    ▶ Potasses le Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d'utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
    1. Suzanne
       
      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4131

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 8.0.6001.18702

      22/05/2010 20:05:16
      mbam-log-2010-05-22 (20-05-16).txt

      Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
      Elément(s) analysé(s): 195891
      Temps écoulé: 33 minute(s), 21 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 2
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 1
      Fichier(s) infecté(s): 3

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{cdbfb47b-58a8-4111-bf95-06178dce326d} (Adware.DoubleD) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{5617eca9-488d-4ba2-8562-9710b9ab78d2} (Adware.DoubleD) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      C:\Documents and Settings\All Users\Application Data\Sukoku (Adware.Zwangi) -> Quarantined and deleted successfully.

      Fichier(s) infecté(s):
      C:\Documents and Settings\All Users\Application Data\Sukoku\sukoku119.exe (Adware.Ziniky) -> Quarantined and deleted successfully.
      C:\Kill'em\Quarantine\Sukoku.Kill'em\sukoku.exe (Adware.Ziniky) -> Quarantined and deleted successfully.
      C:\Kill'em\Quarantine\Sukoku.Kill'em\uninstall.exe (Adware.Agent) -> Quarantined and deleted successfully.
      0
    2. Suzanne
       
      est-ce que c'est bon ?
      0
    3. Suzanne
       
      ça n'a pas dû suffire parce que je viens de lancer un scan qui n'est pas achevé et qui a déjà détecté 2 virus...
      0
  21. gen-hackman
     
    un scan avec quoi ?
    0
    1. Suzanne
       
      bonjour ! un scan avec avast, il a trouvé 2 virus du même nom, windows 32... je les ai mis en quarantaine et j'ai relancé un scan et cette fois ils n'ont pas été à nouveau détecté...penses tu que ce soit fini pour de bon, qu'ils soient partis ?
      0
    2. Suzanne
       
      il s'appelle Win32:alureon-FZ et il a infecté 2 fichiers.
      0
  • 1
  • 2