Infection base de registre

breton fb Messages postés 7 Statut Membre -  
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
Bonjour, ci-joint rapport zhphelp,quand pensz vous s'il vous plait,merçi

Zeb Help Process v2.35.02 by Nicolas Coolman - Rapport Général du 02/07/2010 18:53:22

Rapport de ZHPSearch v1.20.1 par Nicolas Coolman
Enregistré le 02/07/2010 18:53:17
Platform : Windows 7 Home Premium

---\\ ZHPSearch, Recherche particulière de Clé, valeur ou donnée de BDR (RPR) (O70)
*** None ***

---\\ ZHPSearch, Outil de recherche d'infection de Base de Registres (O71)
O71 - BDRI:[hklm\system\controlset002\services\partner service]
O71 - BDRI:[hklm\system\controlset001\services\partner service]
O71 - BDRI:[hklm\system\currentcontrolset\services\partner service]
O71 - BDRI:[hkcr\clsid\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
O71 - BDRI:[hkcr\typelib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]
O71 - BDRI:[hkcr\kt_bho.kettlebho]
O71 - BDRI:[hkcr\kt_bho.kettlebho.1]
O71 - BDRI:[hkcu\software\microsoft\windows\currentversion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]

Ligne traitée : 9/9

2 réponses

  1. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut breton fb

    Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.
    http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

    - Quitte les applications en cours afin de ne pas interrompre le scan.
    - Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
    - Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport minimal". Fais de même avec "Tous les utilisateurs".
    - Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

    Ne modifie pas les autres paramètres!

    - Clique sur le bouton Analyse.
    - Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

    Utilise cjoint.com pour poster en lien tes rapports :
    https://www.cjoint.com/

    - Clique sur Parcourir pour aller chercher le rapport
    - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

    - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

    @++ :)
    0
    1. breton fb Messages postés 7 Statut Membre
       
      OTL Extras logfile created on: 05/07/2010 16:12:53 - Run 1
      OTL by OldTimer - Version 3.2.7.1 Folder = C:\Users\fab\Downloads
      64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
      Internet Explorer (Version = 8.0.7600.16385)
      Locale: 0000040c | Country: France | Language: FRA | Date Format: dd/MM/yyyy

      4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 73,00% Memory free
      8,00 Gb Paging File | 7,00 Gb Available in Paging File | 85,00% Paging File free
      Paging file location(s): ?:\pagefile.sys [binary data]

      %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
      Drive C: | 457,95 Gb Total Space | 417,57 Gb Free Space | 91,18% Space Free | Partition Type: NTFS
      Drive D: | 458,46 Gb Total Space | 458,31 Gb Free Space | 99,97% Space Free | Partition Type: NTFS
      E: Drive not present or media not loaded
      F: Drive not present or media not loaded
      G: Drive not present or media not loaded
      H: Drive not present or media not loaded
      I: Drive not present or media not loaded
      Drive K: | 1,92 Gb Total Space | 1,60 Gb Free Space | 83,32% Space Free | Partition Type: FAT

      Computer Name: FAB-PC
      Current User Name: fab
      Logged in as Administrator.

      Current Boot Mode: Normal
      Scan Mode: All users
      Include 64bit Scans
      Company Name Whitelist: Off
      Skip Microsoft Files: Off
      File Age = 30 Days
      Output = Minimal

      [color=#E56717]========== Extra Registry (SafeList) ==========[/color]


      [color=#E56717]========== File Associations ==========[/color]

      [b]64bit:[/b] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
      .cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)

      [color=#E56717]========== Shell Spawning ==========[/color]

      [b]64bit:[/b] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
      batfile [open] -- "%1" %* File not found
      cmdfile [open] -- "%1" %* File not found
      comfile [open] -- "%1" %* File not found
      exefile [open] -- "%1" %* File not found
      helpfile [open] -- Reg Error: Key error.
      htmlfile [edit] -- Reg Error: Key error.
      htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" File not found
      inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
      InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
      piffile [open] -- "%1" %* File not found
      regfile [merge] -- Reg Error: Key error.
      scrfile [config] -- "%1" File not found
      scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
      scrfile [open] -- "%1" /S File not found
      txtfile [edit] -- Reg Error: Key error.
      Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
      Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
      Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
      Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
      Folder [explore] -- Reg Error: Value error.
      Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
      batfile [open] -- "%1" %*
      cmdfile [open] -- "%1" %*
      comfile [open] -- "%1" %*
      cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
      exefile [open] -- "%1" %*
      helpfile [open] -- Reg Error: Key error.
      htmlfile [edit] -- Reg Error: Key error.
      htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
      inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
      InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
      piffile [open] -- "%1" %*
      regfile [merge] -- Reg Error: Key error.
      scrfile [config] -- "%1"
      scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
      scrfile [open] -- "%1" /S
      txtfile [edit] -- Reg Error: Key error.
      Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
      Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
      Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
      Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
      Folder [explore] -- Reg Error: Value error.
      Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

      [color=#E56717]========== Security Center Settings ==========[/color]

      [b]64bit:[/b] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
      "cval" = 1

      [b]64bit:[/b] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

      [b]64bit:[/b] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
      "VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data]
      "AntiVirusOverride" = 0
      "AntiSpywareOverride" = 0
      "FirewallOverride" = 0

      [b]64bit:[/b] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
      "DisableNotifications" = 0
      "EnableFirewall" = 0

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
      "DisableNotifications" = 0
      "EnableFirewall" = 0

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
      "DisableNotifications" = 0
      "EnableFirewall" = 0

      [color=#E56717]========== Authorized Applications List ==========[/color]


      [color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

      64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
      "{0DFF6117-CBBC-4F5C-9C57-6936644F10D4}" = BitDefender Internet Security 2010
      "{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java(TM) 6 Update 20 (64-bit)
      "{350AA351-21FA-3270-8B7A-835434E766AD}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.21022
      "{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
      "{4B5F58F7-C7D1-3CE3-9B37-B657F0852643}" = Microsoft .NET Framework 4 Client Profile FRA Language Pack
      "{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
      "{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
      "{95120000-00B9-0409-1000-0000000FF1CE}" = Microsoft Application Error Reporting
      "{EE936C7A-EA40-31D5-9B65-8E3E089C3828}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148
      "{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
      "Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
      "Microsoft .NET Framework 4 Client Profile FRA Language Pack" = Module linguistique Microsoft .NET Framework 4 Client Profile FRA
      "NVIDIA Display Control Panel" = NVIDIA Display Control Panel
      "NVIDIA Drivers" = NVIDIA Drivers

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
      "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
      "{133742BA-6F46-4D3E-85AF-78631D9AD8B8}" = Installation Windows Live
      "{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
      "{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Outil de téléchargement Windows Live
      "{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
      "{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
      "{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = Acer Arcade Deluxe
      "{266517E6-D866-439D-919C-B8B1A52E6080}" = OpenOffice.org 3.2
      "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
      "{30075A70-B5D2-440B-AFA3-FB2021740121}" = Backup Manager Advance
      "{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
      "{445B183D-F4F1-45C8-B9DB-F11355CA657B}" = Windows Live Messenger
      "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
      "{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
      "{5DD76286-9BE7-4894-A990-E905E91AC818}" = Windows Live Mail
      "{7F811A54-5A09-4579-90E1-C93498E230D9}" = Acer eRecovery Management
      "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
      "{8E5233E1-7495-44FB-8DEB-4BE906D59619}" = Junk Mail filter update
      "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
      "{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
      "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
      "{AC76BA86-7AD7-1036-7B44-A93000000001}" = Adobe Reader 9.3.3 - Français
      "{B3B487E7-6171-4376-9074-B28082CEB504}" = Windows Live Call
      "{B83FC356-B7C0-441F-8A4D-D71E088E7974}" = NVIDIA PhysX
      "{BEB3AD23-250E-4BD2-BBC9-27D4BB42DE07}" = COMODO System - Cleaner
      "{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}" = Assistant de connexion Windows Live
      "{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
      "{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
      "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
      "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
      "CCleaner" = CCleaner
      "Glary Utilities_is1" = Glary Utilities 2.26.0.956
      "InstallShield_{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = Acer Arcade Deluxe
      "InstallShield_{30075A70-B5D2-440B-AFA3-FB2021740121}" = Acer Backup Manager
      "WinLiveSuite_Wave3" = Installation Windows Live
      "Zeb Help Process_is1" = ZebHelpProcess 2.35

      [color=#E56717]========== Last 10 Event Log Errors ==========[/color]

      [ Application Events ]
      Error - 03/07/2010 19:12:54 | Computer Name = fab-PC | Source = SideBySide | ID = 16842785
      Description = La création du contexte d'activation a échoué pour « C:\Program Files
      (x86)\Nero\Nero 9\Nero StartSmart\NeroStartSmart.exe.Manifest ». Assembly dépendant
      Microsoft.VC80.MFC,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50727.762"
      introuvable. Utilisez sxstrace.exe pour un diagnostic détaillé.

      Error - 03/07/2010 19:13:19 | Computer Name = fab-PC | Source = SideBySide | ID = 16842785
      Description = La création du contexte d'activation a échoué pour « C:\Program Files
      (x86)\Nero\Nero 9\Nero StartSmart\NeroStartSmart.exe.Manifest ». Assembly dépendant
      Microsoft.VC80.MFC,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50727.762"
      introuvable. Utilisez sxstrace.exe pour un diagnostic détaillé.

      Error - 03/07/2010 19:13:52 | Computer Name = fab-PC | Source = Microsoft-Windows-RestartManager | ID = 10006
      Description = Impossible de fermer l'application ou le service « IPC logging process ».

      Error - 03/07/2010 19:40:16 | Computer Name = fab-PC | Source = MsiInstaller | ID = 11722
      Description =

      Error - 03/07/2010 19:42:46 | Computer Name = fab-PC | Source = MsiInstaller | ID = 11722
      Description =

      Error - 03/07/2010 19:55:12 | Computer Name = fab-PC | Source = MsiInstaller | ID = 11935
      Description =

      Error - 03/07/2010 19:57:38 | Computer Name = fab-PC | Source = MsiInstaller | ID = 11935
      Description =

      Error - 03/07/2010 20:03:11 | Computer Name = fab-PC | Source = MsiInstaller | ID = 11935
      Description =

      Error - 03/07/2010 20:05:21 | Computer Name = fab-PC | Source = MsiInstaller | ID = 11935
      Description =

      Error - 03/07/2010 20:21:26 | Computer Name = fab-PC | Source = Arrakis3 | ID = 131073
      Description = An error has occurred (StartServiceCtrlDispatcher failed with 0).

      [ System Events ]
      Error - 04/07/2010 14:35:51 | Computer Name = fab-PC | Source = Service Control Manager | ID = 7001
      Description = Le service Mini-redirecteur SMB 1.x dépend du service Wrapper et moteur
      de mini-redirecteur SMB qui n'a pas pu démarrer en raison de l'erreur : %%1068

      Error - 04/07/2010 14:35:51 | Computer Name = fab-PC | Source = Service Control Manager | ID = 7001
      Description = Le service Mini-redirecteur SMB 2.0 dépend du service Wrapper et moteur
      de mini-redirecteur SMB qui n'a pas pu démarrer en raison de l'erreur : %%1068

      Error - 04/07/2010 14:35:51 | Computer Name = fab-PC | Source = Service Control Manager | ID = 7001
      Description = Le service Connaissance des emplacements réseau dépend du service
      Pilote du protocole TCP/IP qui n'a pas pu démarrer en raison de l'erreur : %%31

      Error - 04/07/2010 14:35:51 | Computer Name = fab-PC | Source = Service Control Manager | ID = 7001
      Description = Le service TCP/IP Registry Compatibility dépend du service Pilote
      du protocole TCP/IP qui n'a pas pu démarrer en raison de l'erreur : %%31

      Error - 04/07/2010 14:35:51 | Computer Name = fab-PC | Source = Service Control Manager | ID = 7026
      Description = Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se
      charger : AFD BdfNdisf bdfsfltr bdfwfpf CFRMD DfsC discache NetBIOS NetBT nsiproxy Psched
      rdbss
      spldr
      Tcpip
      0
  2. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut breton fb

    Le rapport n'est pas complet, voir avec Cjoint.com

    @++ :)
    0