Redirection

Résolu/Fermé
mat - 27 sept. 2010 à 09:39
 mat - 4 oct. 2010 à 16:17
Bonjour,

Je suis sans cesse redirigé vers des sites pas rapport. J'ai supprimer les merdes que Malewarebytes m'a trouvé, mais ça revient toujours au redémarrage. De plus, spyboot ne veut plus démarrer et j'ai du changer la commande EXE de maleware pour qu'il démarre.

Avira m'a trouvé un TR/Zlob, mais maintenant il semble avoir disparu. Aussi, j'ai remarqué que mon fichier hosts était modifié au démarrage alors je dois le remmettre à sa forme initial chaque fois.

Si quelqu'un peut me donner un coup de main j'apprécierais.

37 réponses

H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
29 sept. 2010 à 20:42
En effet, le détournement de DNS est à nouveau en place.
On va passer ComcoFix comme ceci :

● Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
Fais un clic droit sur ce lien

● Choisis "enregistrer la cible sous ... " et dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.

Ferme tous tes logiciels de protection et les programmes en cours

▲ ComboFix peut être amené à accéder à internet, il faut dans ce cas l'autoriser

● Sous XP : Double clique sur CBFix.exe
● Sous Vista/7 : Fais un clic droit sur CBFix.exe et sélectionne "Exécuter en tant qu'administrateur"

● Clique sur le bouton Oui dans la fenêtre d'avertissement

● Si tu es sous XP et que la console de récupération n'est pas installée, ComboFix va te proposer de l'installer, accepte en cliquant sur Oui.

● Laisse travailler l'outil et si il te demande de redémarrer le PC, accepte.

● Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse
Le rapport est sauvegardé dans C:\ComboFix.txt

Tutorial officiel de ComboFix
1
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
27 sept. 2010 à 10:07
Salut,

Peux-tu copier/coller le dernier rapport de Malwarebytes présent dans l'onglet "Rapports/Logs".
0
Bonjour

Bonne continuation H3RV3


Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
0
Voila!

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4420

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2010-09-27 17:09:45
mbam-log-2010-09-27 (17-09-45).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 146991
Temps écoulé: 12 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Et puis le rapport de Zébulon!

http://www.cijoint.fr/cjlink.php?file=cj201009/cijp46hxvA.txt
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
28 sept. 2010 à 10:06
OK, on va déjà faire un peu de ménage :

● Sous XP : Double clique sur ZHPFix présent sur ton bureau
● Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"

● Clique sur l'icône représentant un H vert

● Copie puis colle le texte suivant dans le cadre jaune de ZHPFix :




O4 - HKCU\..\Run: [3FWHZQA3LT] C:\DOCUME~1\Mathieu\LOCALS~1\Temp\Osq.exe (.not file.)
O4 - HKCU\..\Run: [raote] C:\Documents and Settings\Mathieu\raote.exe (.not file.)
O17 - HKLM\System\CS1\Services\Tcpip\..\{477A8621-7B36-4EDD-8570-CE45B68C161E}: NameServer = 93.188.163.72,93.188.166.107
O17 - HKLM\System\CS2\Services\Tcpip\..\{477A8621-7B36-4EDD-8570-CE45B68C161E}: NameServer = 93.188.163.72,93.188.166.107
[HKCU\Software\3FWHZQA3LT]
[HKCU\Software\SMH2B46TDP]
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Mathieu\Local Settings\Temp\pyl1A.tmp\pyrun.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Documents and Settings\Mathieu\Local Settings\Temp\pyl1A.tmp\pyrun.exe
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107
O60 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107
O64 - Services: CurCS - (.not file.) - 4554d02c (4554d02c)  .(.Pas de propriétaire - Pas de description.) - LEGACY_4554D02C
O64 - Services: CurCS - (.not file.) - 500a681d (500a681d)  .(.Pas de propriétaire - Pas de description.) - LEGACY_500A681D
O64 - Services: CurCS - (.not file.) - 8068ec35 (8068ec35)  .(.Pas de propriétaire - Pas de description.) - LEGACY_8068EC35
O64 - Services: CurCS - (.not file.) - 9c3020b1 (9c3020b1)  .(.Pas de propriétaire - Pas de description.) - LEGACY_9C3020B1
O64 - Services: CurCS - (.not file.) - acab5021 (acab5021)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ACAB5021
O64 - Services: CurCS - (.not file.) - e46acbc2 (e46acbc2)  .(.Pas de propriétaire - Pas de description.) - LEGACY_E46ACBC2




● Clique sur le bouton Tous puis sur Nettoyer

● Copie/colle le rapport qui apparaîtra à la fin

Aide en images
0
Hé hop!

Rapport de ZHPFix 1.12.3202 par Nicolas Coolman, Update du 26/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-2010-09-28-07-02-27.txt
Run by Mathieu at 2010-09-28 07:02:26
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\3FWHZQA3LT => Clé supprimée avec succès
HKCU\Software\SMH2B46TDP => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 4554d02c (4554d02c) .(.Pas de propriétaire - Pas de description.) - LEGACY_4554D02C => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 500a681d (500a681d) .(.Pas de propriétaire - Pas de description.) - LEGACY_500A681D => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 8068ec35 (8068ec35) .(.Pas de propriétaire - Pas de description.) - LEGACY_8068EC35 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 9c3020b1 (9c3020b1) .(.Pas de propriétaire - Pas de description.) - LEGACY_9C3020B1 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - acab5021 (acab5021) .(.Pas de propriétaire - Pas de description.) - LEGACY_ACAB5021 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - e46acbc2 (e46acbc2) .(.Pas de propriétaire - Pas de description.) - LEGACY_E46ACBC2 => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [3FWHZQA3LT] C:\DOCUME~1\Mathieu\LOCALS~1\Temp\Osq.exe (.not file.) => Valeur supprimée avec succès
O4 - HKCU\..\Run: [raote] C:\Documents and Settings\Mathieu\raote.exe (.not file.) => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Mathieu\Local Settings\Temp\pyl1A.tmp\pyrun.exe" [Enabled] .(.) (.not file.) -- C:\Documents and Settings\Mathieu\Local Settings\Temp\pyl1A.tmp\pyrun.exe => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CS1\Services\Tcpip\..\{477A8621-7B36-4EDD-8570-CE45B68C161E}: NameServer = 93.188.163.72,93.188.166.107 => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{477A8621-7B36-4EDD-8570-CE45B68C161E}: NameServer = 93.188.163.72,93.188.166.107 => Donnée supprimée avec succès
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107 => Donnée supprimée avec succès
O60 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107 => Donnée supprimée avec succès

========== Fichier(s) ==========
c:\docume~1\mathieu\locals~1\temp\osq.exe () => Fichier absent
c:\documents and settings\mathieu\raote.exe () => Fichier absent


========== Récapitulatif ==========
8 : Clé(s) du Registre
3 : Valeur(s) du Registre
4 : Elément(s) de donnée du Registre
2 : Fichier(s)


End of the scan
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
28 sept. 2010 à 13:19
Bien, maintenant, refais un examen complet avec Malwarebytes, après l'avoir mis à jour (onglet mise à jour puis rechercher les mises à jour).
0
Toujours rien!

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4420

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2010-09-28 21:45:44
mbam-log-2010-09-28 (21-45-44).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 147391
Temps écoulé: 13 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
29 sept. 2010 à 08:55
Le problème, c'est que tu n'as pas mis Malwarebytes à jour (tu as la version 4420 et on est à la 4715).
De plus fais plutôt un examen complet que rapide.
0
Oui je m'en suis bien rendu compte alors après j'ai fait la mise à jour et voyant qu'il n'avait toujours rien j'ai fait l'examen complet.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4713

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2010-09-28 22:07:45
mbam-log-2010-09-28 (22-07-45).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 153291
Temps écoulé: 10 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


et le complet:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4713

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2010-09-29 02:38:08
mbam-log-2010-09-29 (02-38-08).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 349270
Temps écoulé: 3 heure(s), 56 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
La seule chose que j'ai trouvé c'est avec Avira:

Le fichier 'C:\System Volume Information\_restore{E8D731F8-FBCF-48E9-A2F9-E5021A9F7949}\RP4\A0000300.exe'
contenait un virus ou un programme indésirable 'SPR/Tool.Reboot.F' [riskware].
Action(s) exécutée(s) :
Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004.
Impossible de trouver le fichier source.
Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
Erreur dans la bibliothèque ARK.
Le fichier a été repéré pour une suppression après un redémarrage.

Et il semble que je ne puisse pas le supprimer...
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
29 sept. 2010 à 15:29
Bon, il n'a rien trouvé..
Tu as toujours les problèmes de redirection ?

Refais un rapport ZHPDiag comme çà :

● Double clique sur ZHPDiag présent sur ton bureau

● Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan

● Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau

● Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse
0
Oui tjrs des problèmes de redirection.

Voici mon scan:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijr1WQb47.txt
0
Ouep! Il a trouvé un redbook! Et il ne semble plus avoir de redirection.
Je te dis un gros merci!

Et puis aurais-tu des conseils pour bien m'armer afin de ne pas avoir ce genre d'infection à l'avenir?

Ce virus à été trouvé à l'association étudiante de mon université et je crois l'avoir ramené chez moi avec ma clé USB, alors si je peux installer de bonnes protections pour éviter ce genre de truc puisqu'on ne peut pas contrôler les gens sur les ordinateurs communs.

ComboFix 10-09-29.01 - Mathieu 2010-09-29 22:33:50.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.2.1036.18.2039.1569 [GMT -4:00]
Lancé depuis: c:\documents and settings\Mathieu\Bureau\CBFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Mathieu\Application Data\inst.exe
C:\InfoSat.txt
c:\windows\system32\lsprst7.dll
c:\windows\system32\msssc.dll
c:\windows\system32\prsgrc.dll

Une copie infectée de c:\windows\system32\DRIVERS\redbook.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-28 au 2010-09-30 ))))))))))))))))))))))))))))))))))))
.

2010-09-30 02:29 . 2008-04-14 01:57 58752 -c--a-w- c:\windows\system32\dllcache\redbook.sys
2010-09-30 02:29 . 2008-04-14 01:57 58752 ----a-w- c:\windows\system32\drivers\redbook.sys
2010-09-29 07:01 . 2010-09-29 07:01 -------- d-sh--w- c:\documents and settings\Default User\IETldCache
2010-09-27 21:18 . 2010-09-29 17:18 -------- d-----w- c:\program files\ZHPDiag
2010-09-26 07:23 . 2010-09-30 02:06 81984 ----a-w- c:\windows\system32\bdod.bin
2010-09-26 06:42 . 2010-09-30 02:07 -------- d-----w- c:\program files\Fichiers communs\BitDefender
2010-09-26 05:35 . 2010-09-26 05:35 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-09-25 23:53 . 2010-09-25 23:53 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-09-25 15:54 . 2010-09-27 08:07 -------- d-----w- c:\program files\love
2010-09-24 14:25 . 2010-09-24 14:25 -------- d-----w- c:\documents and settings\Mathieu\Local Settings\Application Data\Ashampoo
2010-09-24 11:56 . 2010-09-24 11:56 -------- d-----w- c:\program files\Ashampoo
2010-09-24 11:16 . 2010-09-24 11:16 0 ----a-w- c:\windows\nsreg.dat
2010-09-24 11:15 . 2010-09-24 11:15 -------- d-----w- c:\documents and settings\Mathieu\Local Settings\Application Data\Mozilla
2010-09-24 09:20 . 2010-09-24 10:15 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-09-24 02:35 . 2010-09-24 02:35 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-09-23 17:03 . 2010-09-23 17:03 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-09-23 16:22 . 2010-09-23 16:22 -------- d-----w- c:\documents and settings\Mathieu\Local Settings\Application Data\Sunbelt Software
2010-09-23 16:20 . 2010-09-30 02:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-09-23 06:19 . 2010-09-23 06:19 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-09-23 05:56 . 2010-09-23 05:56 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2010-09-19 04:33 . 2009-08-06 23:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2010-09-19 04:33 . 2009-08-06 23:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-09-18 21:08 . 2010-09-24 09:07 -------- d-----w- c:\program files\LEC
2010-09-18 21:05 . 2010-09-18 21:05 -------- d-----w- c:\program files\MagicDisc
2010-09-18 21:05 . 2009-02-24 22:42 116736 ----a-w- c:\windows\system32\drivers\mcdbus.sys
2010-09-18 21:02 . 2010-09-18 21:02 -------- d-----w- c:\program files\MagicISO
2010-09-18 20:05 . 2010-09-21 13:00 -------- d-----w- c:\windows\Lhsp
2010-09-18 14:30 . 2010-09-23 04:00 -------- d-----w- c:\program files\BitTorrent Ultra Accelerator
2010-09-13 01:54 . 2010-09-13 01:54 -------- d-----w- c:\documents and settings\Mathieu\Application Data\vlc
2010-09-09 04:02 . 2010-09-25 16:12 -------- d-----w- c:\windows\system32\rserver30
2010-09-09 02:46 . 2010-09-09 02:46 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Radmin
2010-09-08 02:32 . 2010-09-08 02:40 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Audacity
2010-09-03 06:04 . 2010-09-03 06:04 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Adobe
2010-09-03 06:04 . 2010-09-03 06:04 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2010-09-03 06:02 . 2008-04-14 02:33 26624 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-09-02 13:28 . 2010-09-02 13:28 -------- d-----w- c:\windows\system32\LogFiles
2010-09-02 13:11 . 2010-09-02 13:34 -------- d-----w- c:\program files\BootVis
2010-09-02 05:27 . 2010-09-02 05:27 -------- d-----w- c:\documents and settings\Mathieu\Application Data\GlarySoft
2010-09-02 05:24 . 2010-09-02 05:25 -------- d-----w- c:\program files\Glary Utilities
2010-09-02 05:20 . 2010-09-27 07:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-09-02 02:51 . 2010-09-21 13:20 -------- d-----w- c:\documents and settings\Mathieu\.Universalis
2010-09-01 21:55 . 2010-09-02 20:02 448920 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-09-01 19:32 . 2010-09-01 19:32 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Quark
2010-09-01 15:54 . 2010-09-02 02:50 -------- d-----w- c:\documents and settings\All Users\Application Data\UniversalisV15
2010-09-01 15:41 . 2010-09-01 15:58 -------- d-----w- c:\program files\Encyclopaedia Universalis 2010
2010-09-01 15:41 . 2010-09-01 15:55 -------- d--h--w- c:\program files\Zero G Registry
2010-09-01 15:40 . 2010-09-01 15:40 -------- d--h--w- c:\documents and settings\Mathieu\InstallAnywhere

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-30 02:43 . 2010-08-11 20:15 -------- d-----w- c:\documents and settings\Mathieu\Application Data\uTorrent
2010-09-30 01:55 . 2010-08-11 10:22 65784 ----a-w- c:\documents and settings\Mathieu\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-29 12:59 . 2010-08-11 20:37 -------- d-----w- c:\program files\Microsoft Silverlight
2010-09-23 15:10 . 2010-08-11 17:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-22 20:46 . 2010-08-11 17:08 -------- d-----w- c:\program files\CCleaner
2010-09-18 08:38 . 2010-08-30 03:18 -------- d-----w- c:\program files\ABBYY FineReader 10
2010-09-08 03:56 . 2010-08-18 18:04 -------- d-----w- c:\documents and settings\Mathieu\Application Data\NCH Swift Sound
2010-09-08 02:46 . 2010-08-18 18:04 -------- d-----w- c:\documents and settings\All Users\Application Data\NCH Swift Sound
2010-09-03 04:46 . 2001-08-28 12:00 598786 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-03 04:46 . 2001-08-28 12:00 113642 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-03 00:18 . 2010-08-24 11:07 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Winamp
2010-09-02 01:33 . 2010-08-11 20:16 -------- d-----w- c:\program files\uTorrent
2010-09-01 20:34 . 2010-08-12 02:24 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-08-30 14:34 . 2010-08-16 00:34 -------- d-----w- c:\documents and settings\All Users\Application Data\ABBYY
2010-08-30 13:29 . 2010-08-30 13:29 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Quite
2010-08-30 04:47 . 2010-08-30 04:47 -------- d-----w- c:\program files\Fichiers communs\ABBYY
2010-08-29 00:24 . 2010-08-24 12:29 -------- d-----w- c:\program files\FileHippo.com
2010-08-29 00:22 . 2010-08-24 11:29 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Uniblue
2010-08-29 00:22 . 2010-08-24 11:29 -------- d-----w- c:\documents and settings\All Users\Application Data\DriverScanner
2010-08-29 00:22 . 2010-08-24 11:29 -------- d-----w- c:\program files\Uniblue
2010-08-27 23:32 . 2010-08-11 09:10 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-08-27 23:29 . 2010-08-11 09:10 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2010-08-27 23:18 . 2010-08-27 22:57 -------- d-----w- c:\program files\Fichiers communs\SPSS
2010-08-27 23:16 . 2010-08-27 23:16 1024 ----a-w- c:\windows\system32\grcauth2.dll
2010-08-27 23:16 . 2010-08-27 23:16 1024 ----a-w- c:\windows\system32\grcauth1.dll
2010-08-27 22:57 . 2010-08-27 22:57 -------- d-----w- c:\documents and settings\All Users\Application Data\SPSS
2010-08-27 22:56 . 2010-08-27 22:56 1025 ----a-w- c:\windows\system32\sysprs7.dll
2010-08-27 22:46 . 2010-08-27 22:46 -------- d-----w- c:\documents and settings\All Users\Application Data\ALM
2010-08-27 21:30 . 2010-08-27 21:30 -------- d-----w- c:\program files\Adobe Media Player
2010-08-27 21:15 . 2010-08-27 21:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Quark
2010-08-27 21:10 . 2010-08-27 21:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-08-25 22:08 . 2010-08-17 03:09 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-08-24 13:00 . 2010-08-24 13:00 -------- d-----w- c:\documents and settings\NetworkService\Application Data\TuneUp Software
2010-08-24 12:35 . 2010-08-24 12:35 -------- d-----w- c:\program files\Microsoft IntelliPoint
2010-08-24 12:21 . 2010-08-24 12:21 -------- d-----w- c:\program files\Driver-Soft
2010-08-24 11:09 . 2010-08-24 11:07 -------- d-----w- c:\program files\Winamp
2010-08-24 11:09 . 2010-08-24 11:09 -------- d-----w- c:\program files\Winamp Detect
2010-08-24 11:06 . 2010-08-24 11:06 -------- d-----w- c:\program files\MSECache
2010-08-23 22:22 . 2010-08-23 22:21 -------- d-----w- c:\documents and settings\All Users\Application Data\QuickTime
2010-08-23 05:52 . 2010-08-23 05:52 -------- d-----w- c:\program files\AGEIA Technologies
2010-08-23 04:40 . 2010-08-23 04:40 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2010-08-23 00:42 . 2010-08-23 00:42 -------- d-----w- c:\program files\Alcohol Soft
2010-08-23 00:19 . 2010-08-16 01:58 697328 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-08-22 16:09 . 2010-08-22 16:09 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Windows Search
2010-08-22 15:32 . 2010-08-16 01:59 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-08-22 02:51 . 2010-08-22 02:51 -------- d-----w- c:\documents and settings\Mathieu\Application Data\org.gapminder.desktop.434684C0EEE0B6011903D7CB9F42374B4E5823E7.1
2010-08-22 02:51 . 2010-08-22 02:51 -------- d-----w- c:\program files\Gapminder Desktop
2010-08-22 02:47 . 2010-08-22 02:47 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2010-08-22 02:46 . 2010-09-23 05:55 53632 ----a-w- c:\documents and settings\Administrateur\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-08-22 02:46 . 2010-08-22 02:47 53632 ----a-w- c:\documents and settings\Mathieu\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-08-19 05:59 . 2010-08-18 17:42 -------- d-----w- c:\documents and settings\Mathieu\Application Data\dvdcss
2010-08-18 22:28 . 2010-08-18 22:28 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Recordpad
2010-08-18 18:04 . 2010-08-18 18:04 -------- d-----w- c:\program files\NCH Software
2010-08-18 17:06 . 2010-08-18 17:06 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Nuance
2010-08-17 13:17 . 2001-08-28 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-17 03:09 . 2010-08-17 03:09 -------- d-----w- c:\documents and settings\All Users\Application Data\InstallShield
2010-08-16 12:33 . 2010-08-16 12:33 -------- d-----w- c:\program files\EureSoft
2010-08-16 02:29 . 2010-08-13 06:24 -------- d-----w- c:\program files\Microsoft.NET
2010-08-16 02:27 . 2010-08-16 01:58 -------- d-----w- c:\documents and settings\Mathieu\Application Data\DAEMON Tools Lite
2010-08-16 01:59 . 2010-08-16 01:58 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-08-16 01:58 . 2010-08-16 01:58 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-08-16 01:32 . 2010-08-16 01:32 -------- d-----w- c:\documents and settings\Mathieu\Application Data\ABBYY
2010-08-16 01:25 . 2010-08-16 01:24 -------- d-----w- c:\program files\PokerStars
2010-08-16 00:22 . 2010-08-16 00:21 -------- d-----w- c:\program files\Universal Extractor
2010-08-15 23:42 . 2010-08-15 23:40 -------- d-----w- c:\program files\Texas Holdem Poker 3D Deluxe Edition DeLEGiON
2010-08-15 02:46 . 2010-08-15 02:46 130 ----a-w- c:\documents and settings\Mathieu\Local Settings\Application Data\fusioncache.dat
2010-08-14 07:28 . 2010-08-13 06:14 -------- d-----w- c:\program files\Windows Desktop Search
2010-08-13 06:18 . 2010-08-13 06:18 -------- d-----w- c:\program files\MSBuild
2010-08-13 06:18 . 2010-08-13 06:18 -------- d-----w- c:\program files\Reference Assemblies
2010-08-13 06:15 . 2010-08-13 06:15 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Windows Desktop Search
2010-08-13 06:00 . 2010-08-13 06:00 -------- d-----w- c:\documents and settings\LocalService\Application Data\TuneUp Software
2010-08-12 21:37 . 2010-08-12 18:40 -------- d-----w- c:\program files\VSO
2010-08-12 21:36 . 2010-08-12 18:40 47360 ----a-w- c:\documents and settings\Mathieu\Application Data\pcouffin.sys
2010-08-12 21:36 . 2010-08-12 18:40 47360 ----a-w- c:\documents and settings\Mathieu\Application Data\pcouffin.sys
2010-08-12 21:36 . 2010-08-12 18:40 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Vso
2010-08-12 19:52 . 2010-08-12 19:51 -------- d-----w- c:\program files\Fichiers communs\Ahead
2010-08-12 19:51 . 2010-08-12 19:51 -------- d-----w- c:\program files\Ahead
2010-08-12 18:40 . 2010-08-12 18:40 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
2010-08-12 18:06 . 2010-08-11 20:56 -------- d-----w- c:\documents and settings\Mathieu\Application Data\InfraRecorder
2010-08-12 02:34 . 2010-08-12 02:34 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2010-08-12 02:33 . 2010-08-12 02:33 -------- d-----w- c:\program files\LMMS 0.4.7
2010-08-12 02:31 . 2010-08-12 02:31 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared
2010-08-12 00:01 . 2010-08-12 00:01 -------- d-----w- c:\program files\VideoLAN
2010-08-11 22:49 . 2010-08-11 08:48 86327 ----a-w- c:\windows\pchealth\HELPCTR\OfflineCache\index.dat
2010-08-11 21:14 . 2010-08-11 21:14 -------- d-----w- c:\program files\Selingua
2010-08-11 21:13 . 2010-08-11 21:13 -------- d-----w- c:\program files\LSI
2010-08-11 20:46 . 2010-08-11 20:46 -------- d-----w- c:\program files\Seterra
2010-08-11 20:28 . 2010-08-11 20:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2010-08-11 20:28 . 2010-08-11 20:27 -------- d-----w- c:\program files\Google
2010-08-11 20:22 . 2010-08-11 20:22 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Druide
2010-08-11 20:20 . 2010-08-11 20:18 -------- d-----w- c:\program files\Druide
2010-08-11 20:18 . 2010-08-11 20:18 97280 ----a-r- c:\documents and settings\Mathieu\Application Data\Microsoft\Installer\{A474EA56-5DBD-4181-8230-806A4762EA7F}\IconA474EA561.exe
2010-08-11 20:09 . 2010-08-11 20:09 -------- d-----w- c:\documents and settings\Mathieu\Application Data\TuneUp Software
2010-08-11 20:08 . 2010-08-11 20:08 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software
2010-08-11 17:47 . 2010-08-11 17:47 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Malwarebytes
2010-08-11 17:47 . 2010-08-11 17:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-08-11 17:43 . 2010-08-11 17:43 -------- d-----w- c:\program files\Tap'Touche 5
2010-08-11 17:09 . 2010-08-11 17:09 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-08-11 17:06 . 2010-08-11 17:06 -------- d-----w- c:\program files\Avira
2010-08-11 17:06 . 2010-08-11 17:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gestionnaire Antidote.exe"="c:\program files\Druide\Antidote\Gestionnaire Antidote.exe" [2008-12-03 542136]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-08-30 328568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2009-11-11 1468256]
"Bonus.SSR.FR10"="c:\program files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" [2010-01-18 941320]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2010-09-17 126976]
"QuickTime Task"="d:\autres\Program Files\qttask.exe" [2010-08-27 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Mathieu\Menu D'marrer\Programmes\D'marrage\
Agenda.lnk - c:\program files\LSI\Agenda\Agenda.exe [2010-8-11 310272]
MagicDisc.lnk - c:\program files\MagicDisc\MagicDisc.exe [2010-9-18 576000]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-25 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\acaptuser32.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Suitcase Startup.lnk]
backup=c:\windows\pss\Suitcase Startup.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06 976832 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
2008-08-14 11:58 611712 ----a-w- c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gestionnaire Antidote.exe]
2008-12-03 03:13 542136 ----a-w- c:\program files\Druide\Antidote\Gestionnaire Antidote.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 15:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-01-26 19:31 2144088 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2010-08-30 02:09 328568 ----a-w- c:\program files\uTorrent\uTorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-07-12 16:32 74752 ----a-w- c:\program files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"QuickTime Task"="d:\autres\Program Files\qttask.exe" -atboottime
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
"Smapp"=c:\program files\Analog Devices\SoundMAX\SMTray.exe
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"d:\\Autres\\Program Files\\SPSSInc\\Statistics17\\SPSSWinWrapIDE.exe"=
"d:\\Autres\\Program Files\\SPSSInc\\Statistics17\\statistics.com"=
"d:\\Autres\\Program Files\\SPSSInc\\Statistics17\\statistics.exe"=
"c:\\Program Files\\Encyclopaedia Universalis 2010\\Encyclopaedia Universalis 2010\\universalis2010.exe"=
"c:\\Program Files\\Alcohol Soft\\Alcohol 120\\StarWind\\StarWindServiceAE.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"5985:TCP"= 5985:TCP:*:Disabled:Gestion à distance de Windows

R2 ABBYY.Licensing.FineReader.Corporate.10.0;ABBYY FineReader 10 CE Licensing Service;c:\program files\Fichiers communs\ABBYY\FineReader\10.00\Licensing\CE\NetworkLicenseServer.exe [2009-12-19 814344]
R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;c:\program files\Fichiers communs\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe [2007-12-06 660768]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-11 108289]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-11 135664]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [2001-08-28 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2010-08-15 697328]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
.
Contenu du dossier 'Tâches planifiées'

2010-09-30 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2010-09-02 15:21]

2010-09-30 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-08-11 20:27]

2010-09-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-11 20:28]

2010-09-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-11 20:28]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\Mathieu\Application Data\Mozilla\Firefox\Profiles\cr06115m.default\
FF - plugin: c:\program files\Google\Google Updater\2.4.1970.7372\npCIDetect14.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\autres\Program Files\Plugins\npqtplugin.dll
FF - plugin: d:\autres\Program Files\Plugins\npqtplugin2.dll
FF - plugin: d:\autres\Program Files\Plugins\npqtplugin3.dll
FF - plugin: d:\autres\Program Files\Plugins\npqtplugin4.dll
FF - plugin: d:\autres\Program Files\Plugins\npqtplugin5.dll
FF - plugin: d:\autres\Program Files\Plugins\npqtplugin6.dll
FF - plugin: d:\autres\Program Files\Plugins\npqtplugin7.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-29 22:44
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(804)
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(3564)
c:\program files\Windows Desktop Search\deskbar.dll
c:\program files\Windows Desktop Search\fr-fr\dbres.dll.mui
c:\program files\Windows Desktop Search\dbres.dll
c:\program files\Windows Desktop Search\wordwheel.dll
c:\program files\Windows Desktop Search\fr-fr\msnlExtRes.dll.mui
c:\program files\Windows Desktop Search\msnlExtRes.dll
c:\program files\Google\Quick Search Box\bin\1.2.1151.245\qsb.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\netdde.exe
c:\program files\Microsoft IntelliPoint\dpupdchk.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\LEC\LogoMedia TranslateDotNet Server.exe
c:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
c:\windows\system32\sessmgr.exe
c:\windows\System32\locator.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2010-09-29 22:50:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-30 02:50

Avant-CF: 8 940 269 568 octets libres
Après-CF: 10 039 959 552 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn
multi(0)disk(0)rdisk(1)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect
C:\wubildr.mbr = "Ubuntu"

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - FF2F723A3D8B2B7904D84A3320A3DC17
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
30 sept. 2010 à 09:05
OK, c'est une bonne chose. On va continuer la désinfection.

On va analyser un fichier :

● Va sur le site VirusTotal

● Clique sur le bouton "parcourir"

● Recherche le fichier présent ici ==> c:\windows\system32\grcauth1.dll

● Clique sur le bouton "Send file"

● Patiente pendant le transfert du fichier

● Si un message apparaît, clique sur Reanalyse

● Copie/colle l'adresse présente dans la barre d'adresse dans ta réponse

Aide en images
0
Ça l'air ok.

http://www.virustotal.com/file-scan/report.html?id=7c3c046cf057cdbac24588a9166b87bdc9e18a6aaceffe076046935d5fa9d457-1285850091
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
30 sept. 2010 à 15:41
Bien, on va vérifier ta clé USB :

● Télécharge USBFix (de El Desaparecido et C_XX) sur ton Bureau

● Double clique sur UsbFix.exe

● Clique sur le bouton "Recherche"

Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK

● Patiente pendant que l'outil travaille

● A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse

Le rapport est sauvegardé dans C:\UsbFix.txt

Note :
UsbFix.exe peut être détecté à tort par certains antivirus, ignore l'alerte.
0
Voilà.

############################## | UsbFix 7.027 | [Recherche]

Utilisateur: Mathieu (Administrateur) # MAT [ ]
Mis à jour le 28/09/10 par El Desaparecido / C_XX
Lancé à 11:19:57 | 30/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
RAM -> 2039 Mo
C:\ (%systemdrive%) -> Disque fixe # 37 Go (9 Go libre(s) - 25%) [] # NTFS
D:\ -> Disque fixe # 34 Go (14 Go libre(s) - 41%) [] # NTFS
E:\ -> Disque fixe # 53 Go (22 Go libre(s) - 41%) [] # NTFS
F:\ -> CD-ROM
G:\ -> Disque amovible # 7 Go (7 Go libre(s) - 100%) [KINGSTON] # FAT32
H:\ -> CD-ROM
I:\ -> Disque amovible # 2 Go (153 Mo libre(s) - 8%) [KINGSTON] # FAT
J:\ -> Disque amovible # 953 Mo (953 Mo libre(s) - 100%) [KINGSTON] # FAT

################## | Éléments infectieux |


Présent! H:\Autorun.inf

################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
30 sept. 2010 à 18:00
Apparemment pas d'infection, on passe quand même le nettoyage, çà permettra de vacciner tes disques :

● Relance UsbFix.exe

● Clique sur le bouton "Suppression"

Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK

● Patiente pendant que l'outil travaille

● A la fin de la suppression un rapport va s'ouvrir, copie/colle le dans ta réponse

Le rapport est sauvegardé dans C:\UsbFix.txt
0