Redirection

Résolu
mat -  
 mat -
Bonjour,

Je suis sans cesse redirigé vers des sites pas rapport. J'ai supprimer les merdes que Malewarebytes m'a trouvé, mais ça revient toujours au redémarrage. De plus, spyboot ne veut plus démarrer et j'ai du changer la commande EXE de maleware pour qu'il démarre.

Avira m'a trouvé un TR/Zlob, mais maintenant il semble avoir disparu. Aussi, j'ai remarqué que mon fichier hosts était modifié au démarrage alors je dois le remmettre à sa forme initial chaque fois.

Si quelqu'un peut me donner un coup de main j'apprécierais.

37 réponses

  • 1
  • 2
  1. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    En effet, le détournement de DNS est à nouveau en place.
    On va passer ComcoFix comme ceci :

    ● Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
    Fais un clic droit sur ce lien

    ● Choisis "enregistrer la cible sous ... " et dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.

    Ferme tous tes logiciels de protection et les programmes en cours

    ▲ ComboFix peut être amené à accéder à internet, il faut dans ce cas l'autoriser

    ● Sous XP : Double clique sur CBFix.exe
    ● Sous Vista/7 : Fais un clic droit sur CBFix.exe et sélectionne "Exécuter en tant qu'administrateur"

    ● Clique sur le bouton Oui dans la fenêtre d'avertissement

    ● Si tu es sous XP et que la console de récupération n'est pas installée, ComboFix va te proposer de l'installer, accepte en cliquant sur Oui.

    ● Laisse travailler l'outil et si il te demande de redémarrer le PC, accepte.

    ● Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse
    Le rapport est sauvegardé dans C:\ComboFix.txt

    Tutorial officiel de ComboFix
    1
  2. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Salut,

    Peux-tu copier/coller le dernier rapport de Malwarebytes présent dans l'onglet "Rapports/Logs".
    0
  3. Utilisateur anonyme
     
    Bonjour

    Bonne continuation H3RV3

    Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
    0
  4. mat
     
    Voila!

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4420

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    2010-09-27 17:09:45
    mbam-log-2010-09-27 (17-09-45).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 146991
    Temps écoulé: 12 minute(s), 37 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. mat
     
    Et puis le rapport de Zébulon!

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijp46hxvA.txt
    0
  7. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    OK, on va déjà faire un peu de ménage :

    ● Sous XP : Double clique sur ZHPFix présent sur ton bureau
    ● Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"

    ● Clique sur l'icône représentant un H vert

    ● Copie puis colle le texte suivant dans le cadre jaune de ZHPFix :

    O4 - HKCU\..\Run: [3FWHZQA3LT] C:\DOCUME~1\Mathieu\LOCALS~1\Temp\Osq.exe (.not file.)
    O4 - HKCU\..\Run: [raote] C:\Documents and Settings\Mathieu\raote.exe (.not file.)
    O17 - HKLM\System\CS1\Services\Tcpip\..\{477A8621-7B36-4EDD-8570-CE45B68C161E}: NameServer = 93.188.163.72,93.188.166.107
    O17 - HKLM\System\CS2\Services\Tcpip\..\{477A8621-7B36-4EDD-8570-CE45B68C161E}: NameServer = 93.188.163.72,93.188.166.107
    [HKCU\Software\3FWHZQA3LT]
    [HKCU\Software\SMH2B46TDP]
    O47 - AAKE:Key Export SP - "C:\Documents and Settings\Mathieu\Local Settings\Temp\pyl1A.tmp\pyrun.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Documents and Settings\Mathieu\Local Settings\Temp\pyl1A.tmp\pyrun.exe
    O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107
    O60 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107
    O64 - Services: CurCS - (.not file.) - 4554d02c (4554d02c)  .(.Pas de propriétaire - Pas de description.) - LEGACY_4554D02C
    O64 - Services: CurCS - (.not file.) - 500a681d (500a681d)  .(.Pas de propriétaire - Pas de description.) - LEGACY_500A681D
    O64 - Services: CurCS - (.not file.) - 8068ec35 (8068ec35)  .(.Pas de propriétaire - Pas de description.) - LEGACY_8068EC35
    O64 - Services: CurCS - (.not file.) - 9c3020b1 (9c3020b1)  .(.Pas de propriétaire - Pas de description.) - LEGACY_9C3020B1
    O64 - Services: CurCS - (.not file.) - acab5021 (acab5021)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ACAB5021
    O64 - Services: CurCS - (.not file.) - e46acbc2 (e46acbc2)  .(.Pas de propriétaire - Pas de description.) - LEGACY_E46ACBC2
    


    ● Clique sur le bouton Tous puis sur Nettoyer

    ● Copie/colle le rapport qui apparaîtra à la fin

    Aide en images
    0
  8. mat
     
    Hé hop!

    Rapport de ZHPFix 1.12.3202 par Nicolas Coolman, Update du 26/09/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-2010-09-28-07-02-27.txt
    Run by Mathieu at 2010-09-28 07:02:26
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    HKCU\Software\3FWHZQA3LT => Clé supprimée avec succès
    HKCU\Software\SMH2B46TDP => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - 4554d02c (4554d02c) .(.Pas de propriétaire - Pas de description.) - LEGACY_4554D02C => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - 500a681d (500a681d) .(.Pas de propriétaire - Pas de description.) - LEGACY_500A681D => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - 8068ec35 (8068ec35) .(.Pas de propriétaire - Pas de description.) - LEGACY_8068EC35 => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - 9c3020b1 (9c3020b1) .(.Pas de propriétaire - Pas de description.) - LEGACY_9C3020B1 => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - acab5021 (acab5021) .(.Pas de propriétaire - Pas de description.) - LEGACY_ACAB5021 => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - e46acbc2 (e46acbc2) .(.Pas de propriétaire - Pas de description.) - LEGACY_E46ACBC2 => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O4 - HKCU\..\Run: [3FWHZQA3LT] C:\DOCUME~1\Mathieu\LOCALS~1\Temp\Osq.exe (.not file.) => Valeur supprimée avec succès
    O4 - HKCU\..\Run: [raote] C:\Documents and Settings\Mathieu\raote.exe (.not file.) => Valeur supprimée avec succès
    O47 - AAKE:Key Export SP - "C:\Documents and Settings\Mathieu\Local Settings\Temp\pyl1A.tmp\pyrun.exe" [Enabled] .(.) (.not file.) -- C:\Documents and Settings\Mathieu\Local Settings\Temp\pyl1A.tmp\pyrun.exe => Valeur supprimée avec succès

    ========== Elément(s) de donnée du Registre ==========
    O17 - HKLM\System\CS1\Services\Tcpip\..\{477A8621-7B36-4EDD-8570-CE45B68C161E}: NameServer = 93.188.163.72,93.188.166.107 => Donnée supprimée avec succès
    O17 - HKLM\System\CS2\Services\Tcpip\..\{477A8621-7B36-4EDD-8570-CE45B68C161E}: NameServer = 93.188.163.72,93.188.166.107 => Donnée supprimée avec succès
    O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107 => Donnée supprimée avec succès
    O60 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107 => Donnée supprimée avec succès

    ========== Fichier(s) ==========
    c:\docume~1\mathieu\locals~1\temp\osq.exe () => Fichier absent
    c:\documents and settings\mathieu\raote.exe () => Fichier absent

    ========== Récapitulatif ==========
    8 : Clé(s) du Registre
    3 : Valeur(s) du Registre
    4 : Elément(s) de donnée du Registre
    2 : Fichier(s)

    End of the scan
    0
  9. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Bien, maintenant, refais un examen complet avec Malwarebytes, après l'avoir mis à jour (onglet mise à jour puis rechercher les mises à jour).
    0
  10. mat
     
    Toujours rien!

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4420

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    2010-09-28 21:45:44
    mbam-log-2010-09-28 (21-45-44).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 147391
    Temps écoulé: 13 minute(s), 3 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  11. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Le problème, c'est que tu n'as pas mis Malwarebytes à jour (tu as la version 4420 et on est à la 4715).
    De plus fais plutôt un examen complet que rapide.
    0
  12. mat
     
    Oui je m'en suis bien rendu compte alors après j'ai fait la mise à jour et voyant qu'il n'avait toujours rien j'ai fait l'examen complet.

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4713

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    2010-09-28 22:07:45
    mbam-log-2010-09-28 (22-07-45).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 153291
    Temps écoulé: 10 minute(s), 36 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    et le complet:

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4713

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    2010-09-29 02:38:08
    mbam-log-2010-09-29 (02-38-08).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Elément(s) analysé(s): 349270
    Temps écoulé: 3 heure(s), 56 minute(s), 50 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  13. mat
     
    La seule chose que j'ai trouvé c'est avec Avira:

    Le fichier 'C:\System Volume Information\_restore{E8D731F8-FBCF-48E9-A2F9-E5021A9F7949}\RP4\A0000300.exe'
    contenait un virus ou un programme indésirable 'SPR/Tool.Reboot.F' [riskware].
    Action(s) exécutée(s) :
    Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004.
    Impossible de trouver le fichier source.
    Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    Erreur dans la bibliothèque ARK.
    Le fichier a été repéré pour une suppression après un redémarrage.

    Et il semble que je ne puisse pas le supprimer...
    0
  14. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Bon, il n'a rien trouvé..
    Tu as toujours les problèmes de redirection ?

    Refais un rapport ZHPDiag comme çà :

    ● Double clique sur ZHPDiag présent sur ton bureau

    ● Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan

    ● Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau

    ● Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse
    0
  15. mat
     
    Oui tjrs des problèmes de redirection.

    Voici mon scan:

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijr1WQb47.txt
    0
  16. mat
     
    Ouep! Il a trouvé un redbook! Et il ne semble plus avoir de redirection.
    Je te dis un gros merci!

    Et puis aurais-tu des conseils pour bien m'armer afin de ne pas avoir ce genre d'infection à l'avenir?

    Ce virus à été trouvé à l'association étudiante de mon université et je crois l'avoir ramené chez moi avec ma clé USB, alors si je peux installer de bonnes protections pour éviter ce genre de truc puisqu'on ne peut pas contrôler les gens sur les ordinateurs communs.

    ComboFix 10-09-29.01 - Mathieu 2010-09-29 22:33:50.1.1 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.2.1036.18.2039.1569 [GMT -4:00]
    Lancé depuis: c:\documents and settings\Mathieu\Bureau\CBFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Mathieu\Application Data\inst.exe
    C:\InfoSat.txt
    c:\windows\system32\lsprst7.dll
    c:\windows\system32\msssc.dll
    c:\windows\system32\prsgrc.dll

    Une copie infectée de c:\windows\system32\DRIVERS\redbook.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-28 au 2010-09-30 ))))))))))))))))))))))))))))))))))))
    .

    2010-09-30 02:29 . 2008-04-14 01:57 58752 -c--a-w- c:\windows\system32\dllcache\redbook.sys
    2010-09-30 02:29 . 2008-04-14 01:57 58752 ----a-w- c:\windows\system32\drivers\redbook.sys
    2010-09-29 07:01 . 2010-09-29 07:01 -------- d-sh--w- c:\documents and settings\Default User\IETldCache
    2010-09-27 21:18 . 2010-09-29 17:18 -------- d-----w- c:\program files\ZHPDiag
    2010-09-26 07:23 . 2010-09-30 02:06 81984 ----a-w- c:\windows\system32\bdod.bin
    2010-09-26 06:42 . 2010-09-30 02:07 -------- d-----w- c:\program files\Fichiers communs\BitDefender
    2010-09-26 05:35 . 2010-09-26 05:35 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
    2010-09-25 23:53 . 2010-09-25 23:53 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
    2010-09-25 15:54 . 2010-09-27 08:07 -------- d-----w- c:\program files\love
    2010-09-24 14:25 . 2010-09-24 14:25 -------- d-----w- c:\documents and settings\Mathieu\Local Settings\Application Data\Ashampoo
    2010-09-24 11:56 . 2010-09-24 11:56 -------- d-----w- c:\program files\Ashampoo
    2010-09-24 11:16 . 2010-09-24 11:16 0 ----a-w- c:\windows\nsreg.dat
    2010-09-24 11:15 . 2010-09-24 11:15 -------- d-----w- c:\documents and settings\Mathieu\Local Settings\Application Data\Mozilla
    2010-09-24 09:20 . 2010-09-24 10:15 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-09-24 02:35 . 2010-09-24 02:35 664 ----a-w- c:\windows\system32\d3d9caps.dat
    2010-09-23 17:03 . 2010-09-23 17:03 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
    2010-09-23 16:22 . 2010-09-23 16:22 -------- d-----w- c:\documents and settings\Mathieu\Local Settings\Application Data\Sunbelt Software
    2010-09-23 16:20 . 2010-09-30 02:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
    2010-09-23 06:19 . 2010-09-23 06:19 -------- d-----r- c:\documents and settings\LocalService\Favoris
    2010-09-23 05:56 . 2010-09-23 05:56 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
    2010-09-19 04:33 . 2009-08-06 23:23 274288 ----a-w- c:\windows\system32\mucltui.dll
    2010-09-19 04:33 . 2009-08-06 23:23 215920 ----a-w- c:\windows\system32\muweb.dll
    2010-09-18 21:08 . 2010-09-24 09:07 -------- d-----w- c:\program files\LEC
    2010-09-18 21:05 . 2010-09-18 21:05 -------- d-----w- c:\program files\MagicDisc
    2010-09-18 21:05 . 2009-02-24 22:42 116736 ----a-w- c:\windows\system32\drivers\mcdbus.sys
    2010-09-18 21:02 . 2010-09-18 21:02 -------- d-----w- c:\program files\MagicISO
    2010-09-18 20:05 . 2010-09-21 13:00 -------- d-----w- c:\windows\Lhsp
    2010-09-18 14:30 . 2010-09-23 04:00 -------- d-----w- c:\program files\BitTorrent Ultra Accelerator
    2010-09-13 01:54 . 2010-09-13 01:54 -------- d-----w- c:\documents and settings\Mathieu\Application Data\vlc
    2010-09-09 04:02 . 2010-09-25 16:12 -------- d-----w- c:\windows\system32\rserver30
    2010-09-09 02:46 . 2010-09-09 02:46 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Radmin
    2010-09-08 02:32 . 2010-09-08 02:40 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Audacity
    2010-09-03 06:04 . 2010-09-03 06:04 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Adobe
    2010-09-03 06:04 . 2010-09-03 06:04 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
    2010-09-03 06:02 . 2008-04-14 02:33 26624 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
    2010-09-02 13:28 . 2010-09-02 13:28 -------- d-----w- c:\windows\system32\LogFiles
    2010-09-02 13:11 . 2010-09-02 13:34 -------- d-----w- c:\program files\BootVis
    2010-09-02 05:27 . 2010-09-02 05:27 -------- d-----w- c:\documents and settings\Mathieu\Application Data\GlarySoft
    2010-09-02 05:24 . 2010-09-02 05:25 -------- d-----w- c:\program files\Glary Utilities
    2010-09-02 05:20 . 2010-09-27 07:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-09-02 02:51 . 2010-09-21 13:20 -------- d-----w- c:\documents and settings\Mathieu\.Universalis
    2010-09-01 21:55 . 2010-09-02 20:02 448920 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
    2010-09-01 19:32 . 2010-09-01 19:32 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Quark
    2010-09-01 15:54 . 2010-09-02 02:50 -------- d-----w- c:\documents and settings\All Users\Application Data\UniversalisV15
    2010-09-01 15:41 . 2010-09-01 15:58 -------- d-----w- c:\program files\Encyclopaedia Universalis 2010
    2010-09-01 15:41 . 2010-09-01 15:55 -------- d--h--w- c:\program files\Zero G Registry
    2010-09-01 15:40 . 2010-09-01 15:40 -------- d--h--w- c:\documents and settings\Mathieu\InstallAnywhere

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-30 02:43 . 2010-08-11 20:15 -------- d-----w- c:\documents and settings\Mathieu\Application Data\uTorrent
    2010-09-30 01:55 . 2010-08-11 10:22 65784 ----a-w- c:\documents and settings\Mathieu\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-09-29 12:59 . 2010-08-11 20:37 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-09-23 15:10 . 2010-08-11 17:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-09-22 20:46 . 2010-08-11 17:08 -------- d-----w- c:\program files\CCleaner
    2010-09-18 08:38 . 2010-08-30 03:18 -------- d-----w- c:\program files\ABBYY FineReader 10
    2010-09-08 03:56 . 2010-08-18 18:04 -------- d-----w- c:\documents and settings\Mathieu\Application Data\NCH Swift Sound
    2010-09-08 02:46 . 2010-08-18 18:04 -------- d-----w- c:\documents and settings\All Users\Application Data\NCH Swift Sound
    2010-09-03 04:46 . 2001-08-28 12:00 598786 ----a-w- c:\windows\system32\perfh00C.dat
    2010-09-03 04:46 . 2001-08-28 12:00 113642 ----a-w- c:\windows\system32\perfc00C.dat
    2010-09-03 00:18 . 2010-08-24 11:07 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Winamp
    2010-09-02 01:33 . 2010-08-11 20:16 -------- d-----w- c:\program files\uTorrent
    2010-09-01 20:34 . 2010-08-12 02:24 -------- d-----w- c:\program files\Fichiers communs\Adobe
    2010-08-30 14:34 . 2010-08-16 00:34 -------- d-----w- c:\documents and settings\All Users\Application Data\ABBYY
    2010-08-30 13:29 . 2010-08-30 13:29 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Quite
    2010-08-30 04:47 . 2010-08-30 04:47 -------- d-----w- c:\program files\Fichiers communs\ABBYY
    2010-08-29 00:24 . 2010-08-24 12:29 -------- d-----w- c:\program files\FileHippo.com
    2010-08-29 00:22 . 2010-08-24 11:29 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Uniblue
    2010-08-29 00:22 . 2010-08-24 11:29 -------- d-----w- c:\documents and settings\All Users\Application Data\DriverScanner
    2010-08-29 00:22 . 2010-08-24 11:29 -------- d-----w- c:\program files\Uniblue
    2010-08-27 23:32 . 2010-08-11 09:10 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-08-27 23:29 . 2010-08-11 09:10 -------- d-----w- c:\program files\Fichiers communs\InstallShield
    2010-08-27 23:18 . 2010-08-27 22:57 -------- d-----w- c:\program files\Fichiers communs\SPSS
    2010-08-27 23:16 . 2010-08-27 23:16 1024 ----a-w- c:\windows\system32\grcauth2.dll
    2010-08-27 23:16 . 2010-08-27 23:16 1024 ----a-w- c:\windows\system32\grcauth1.dll
    2010-08-27 22:57 . 2010-08-27 22:57 -------- d-----w- c:\documents and settings\All Users\Application Data\SPSS
    2010-08-27 22:56 . 2010-08-27 22:56 1025 ----a-w- c:\windows\system32\sysprs7.dll
    2010-08-27 22:46 . 2010-08-27 22:46 -------- d-----w- c:\documents and settings\All Users\Application Data\ALM
    2010-08-27 21:30 . 2010-08-27 21:30 -------- d-----w- c:\program files\Adobe Media Player
    2010-08-27 21:15 . 2010-08-27 21:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Quark
    2010-08-27 21:10 . 2010-08-27 21:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
    2010-08-25 22:08 . 2010-08-17 03:09 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
    2010-08-24 13:00 . 2010-08-24 13:00 -------- d-----w- c:\documents and settings\NetworkService\Application Data\TuneUp Software
    2010-08-24 12:35 . 2010-08-24 12:35 -------- d-----w- c:\program files\Microsoft IntelliPoint
    2010-08-24 12:21 . 2010-08-24 12:21 -------- d-----w- c:\program files\Driver-Soft
    2010-08-24 11:09 . 2010-08-24 11:07 -------- d-----w- c:\program files\Winamp
    2010-08-24 11:09 . 2010-08-24 11:09 -------- d-----w- c:\program files\Winamp Detect
    2010-08-24 11:06 . 2010-08-24 11:06 -------- d-----w- c:\program files\MSECache
    2010-08-23 22:22 . 2010-08-23 22:21 -------- d-----w- c:\documents and settings\All Users\Application Data\QuickTime
    2010-08-23 05:52 . 2010-08-23 05:52 -------- d-----w- c:\program files\AGEIA Technologies
    2010-08-23 04:40 . 2010-08-23 04:40 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
    2010-08-23 00:42 . 2010-08-23 00:42 -------- d-----w- c:\program files\Alcohol Soft
    2010-08-23 00:19 . 2010-08-16 01:58 697328 ----a-w- c:\windows\system32\drivers\sptd.sys
    2010-08-22 16:09 . 2010-08-22 16:09 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Windows Search
    2010-08-22 15:32 . 2010-08-16 01:59 -------- d-----w- c:\program files\DAEMON Tools Toolbar
    2010-08-22 02:51 . 2010-08-22 02:51 -------- d-----w- c:\documents and settings\Mathieu\Application Data\org.gapminder.desktop.434684C0EEE0B6011903D7CB9F42374B4E5823E7.1
    2010-08-22 02:51 . 2010-08-22 02:51 -------- d-----w- c:\program files\Gapminder Desktop
    2010-08-22 02:47 . 2010-08-22 02:47 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
    2010-08-22 02:46 . 2010-09-23 05:55 53632 ----a-w- c:\documents and settings\Administrateur\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
    2010-08-22 02:46 . 2010-08-22 02:47 53632 ----a-w- c:\documents and settings\Mathieu\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
    2010-08-19 05:59 . 2010-08-18 17:42 -------- d-----w- c:\documents and settings\Mathieu\Application Data\dvdcss
    2010-08-18 22:28 . 2010-08-18 22:28 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Recordpad
    2010-08-18 18:04 . 2010-08-18 18:04 -------- d-----w- c:\program files\NCH Software
    2010-08-18 17:06 . 2010-08-18 17:06 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Nuance
    2010-08-17 13:17 . 2001-08-28 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
    2010-08-17 03:09 . 2010-08-17 03:09 -------- d-----w- c:\documents and settings\All Users\Application Data\InstallShield
    2010-08-16 12:33 . 2010-08-16 12:33 -------- d-----w- c:\program files\EureSoft
    2010-08-16 02:29 . 2010-08-13 06:24 -------- d-----w- c:\program files\Microsoft.NET
    2010-08-16 02:27 . 2010-08-16 01:58 -------- d-----w- c:\documents and settings\Mathieu\Application Data\DAEMON Tools Lite
    2010-08-16 01:59 . 2010-08-16 01:58 -------- d-----w- c:\program files\DAEMON Tools Lite
    2010-08-16 01:58 . 2010-08-16 01:58 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
    2010-08-16 01:32 . 2010-08-16 01:32 -------- d-----w- c:\documents and settings\Mathieu\Application Data\ABBYY
    2010-08-16 01:25 . 2010-08-16 01:24 -------- d-----w- c:\program files\PokerStars
    2010-08-16 00:22 . 2010-08-16 00:21 -------- d-----w- c:\program files\Universal Extractor
    2010-08-15 23:42 . 2010-08-15 23:40 -------- d-----w- c:\program files\Texas Holdem Poker 3D Deluxe Edition DeLEGiON
    2010-08-15 02:46 . 2010-08-15 02:46 130 ----a-w- c:\documents and settings\Mathieu\Local Settings\Application Data\fusioncache.dat
    2010-08-14 07:28 . 2010-08-13 06:14 -------- d-----w- c:\program files\Windows Desktop Search
    2010-08-13 06:18 . 2010-08-13 06:18 -------- d-----w- c:\program files\MSBuild
    2010-08-13 06:18 . 2010-08-13 06:18 -------- d-----w- c:\program files\Reference Assemblies
    2010-08-13 06:15 . 2010-08-13 06:15 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Windows Desktop Search
    2010-08-13 06:00 . 2010-08-13 06:00 -------- d-----w- c:\documents and settings\LocalService\Application Data\TuneUp Software
    2010-08-12 21:37 . 2010-08-12 18:40 -------- d-----w- c:\program files\VSO
    2010-08-12 21:36 . 2010-08-12 18:40 47360 ----a-w- c:\documents and settings\Mathieu\Application Data\pcouffin.sys
    2010-08-12 21:36 . 2010-08-12 18:40 47360 ----a-w- c:\documents and settings\Mathieu\Application Data\pcouffin.sys
    2010-08-12 21:36 . 2010-08-12 18:40 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Vso
    2010-08-12 19:52 . 2010-08-12 19:51 -------- d-----w- c:\program files\Fichiers communs\Ahead
    2010-08-12 19:51 . 2010-08-12 19:51 -------- d-----w- c:\program files\Ahead
    2010-08-12 18:40 . 2010-08-12 18:40 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
    2010-08-12 18:06 . 2010-08-11 20:56 -------- d-----w- c:\documents and settings\Mathieu\Application Data\InfraRecorder
    2010-08-12 02:34 . 2010-08-12 02:34 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
    2010-08-12 02:33 . 2010-08-12 02:33 -------- d-----w- c:\program files\LMMS 0.4.7
    2010-08-12 02:31 . 2010-08-12 02:31 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared
    2010-08-12 00:01 . 2010-08-12 00:01 -------- d-----w- c:\program files\VideoLAN
    2010-08-11 22:49 . 2010-08-11 08:48 86327 ----a-w- c:\windows\pchealth\HELPCTR\OfflineCache\index.dat
    2010-08-11 21:14 . 2010-08-11 21:14 -------- d-----w- c:\program files\Selingua
    2010-08-11 21:13 . 2010-08-11 21:13 -------- d-----w- c:\program files\LSI
    2010-08-11 20:46 . 2010-08-11 20:46 -------- d-----w- c:\program files\Seterra
    2010-08-11 20:28 . 2010-08-11 20:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
    2010-08-11 20:28 . 2010-08-11 20:27 -------- d-----w- c:\program files\Google
    2010-08-11 20:22 . 2010-08-11 20:22 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Druide
    2010-08-11 20:20 . 2010-08-11 20:18 -------- d-----w- c:\program files\Druide
    2010-08-11 20:18 . 2010-08-11 20:18 97280 ----a-r- c:\documents and settings\Mathieu\Application Data\Microsoft\Installer\{A474EA56-5DBD-4181-8230-806A4762EA7F}\IconA474EA561.exe
    2010-08-11 20:09 . 2010-08-11 20:09 -------- d-----w- c:\documents and settings\Mathieu\Application Data\TuneUp Software
    2010-08-11 20:08 . 2010-08-11 20:08 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software
    2010-08-11 17:47 . 2010-08-11 17:47 -------- d-----w- c:\documents and settings\Mathieu\Application Data\Malwarebytes
    2010-08-11 17:47 . 2010-08-11 17:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-08-11 17:43 . 2010-08-11 17:43 -------- d-----w- c:\program files\Tap'Touche 5
    2010-08-11 17:09 . 2010-08-11 17:09 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
    2010-08-11 17:06 . 2010-08-11 17:06 -------- d-----w- c:\program files\Avira
    2010-08-11 17:06 . 2010-08-11 17:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Gestionnaire Antidote.exe"="c:\program files\Druide\Antidote\Gestionnaire Antidote.exe" [2008-12-03 542136]
    "uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-08-30 328568]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
    "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
    "IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2009-11-11 1468256]
    "Bonus.SSR.FR10"="c:\program files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" [2010-01-18 941320]
    "Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2010-09-17 126976]
    "QuickTime Task"="d:\autres\Program Files\qttask.exe" [2010-08-27 155648]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\Mathieu\Menu D'marrer\Programmes\D'marrage\
    Agenda.lnk - c:\program files\LSI\Agenda\Agenda.exe [2010-8-11 310272]
    MagicDisc.lnk - c:\program files\MagicDisc\MagicDisc.exe [2010-9-18 576000]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-25 304128]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\system32\acaptuser32.dll

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Suitcase Startup.lnk]
    backup=c:\windows\pss\Suitcase Startup.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2010-06-09 08:06 976832 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
    2008-08-14 11:58 611712 ----a-w- c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
    2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gestionnaire Antidote.exe]
    2008-12-03 03:13 542136 ----a-w- c:\program files\Druide\Antidote\Gestionnaire Antidote.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    2001-07-09 15:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
    2009-01-26 19:31 2144088 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
    2010-08-30 02:09 328568 ----a-w- c:\program files\uTorrent\uTorrent.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
    2010-07-12 16:32 74752 ----a-w- c:\program files\Winamp\winampa.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
    "QuickTime Task"="d:\autres\Program Files\qttask.exe" -atboottime
    "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
    "Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
    "Smapp"=c:\program files\Analog Devices\SoundMAX\SMTray.exe
    "Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
    "c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
    "d:\\Autres\\Program Files\\SPSSInc\\Statistics17\\SPSSWinWrapIDE.exe"=
    "d:\\Autres\\Program Files\\SPSSInc\\Statistics17\\statistics.com"=
    "d:\\Autres\\Program Files\\SPSSInc\\Statistics17\\statistics.exe"=
    "c:\\Program Files\\Encyclopaedia Universalis 2010\\Encyclopaedia Universalis 2010\\universalis2010.exe"=
    "c:\\Program Files\\Alcohol Soft\\Alcohol 120\\StarWind\\StarWindServiceAE.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "5353:TCP"= 5353:TCP:Adobe CSI CS4
    "5985:TCP"= 5985:TCP:*:Disabled:Gestion à distance de Windows

    R2 ABBYY.Licensing.FineReader.Corporate.10.0;ABBYY FineReader 10 CE Licensing Service;c:\program files\Fichiers communs\ABBYY\FineReader\10.00\Licensing\CE\NetworkLicenseServer.exe [2009-12-19 814344]
    R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;c:\program files\Fichiers communs\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe [2007-12-06 660768]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-11 108289]
    S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-11 135664]
    S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]
    S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [2001-08-28 14336]
    S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
    S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2010-08-15 697328]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    WINRM REG_MULTI_SZ WINRM
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-30 c:\windows\Tasks\GlaryInitialize.job
    - c:\program files\Glary Utilities\initialize.exe [2010-09-02 15:21]

    2010-09-30 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-08-11 20:27]

    2010-09-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-08-11 20:28]

    2010-09-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-08-11 20:28]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.com/
    IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
    FF - ProfilePath - c:\documents and settings\Mathieu\Application Data\Mozilla\Firefox\Profiles\cr06115m.default\
    FF - plugin: c:\program files\Google\Google Updater\2.4.1970.7372\npCIDetect14.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
    FF - plugin: d:\autres\Program Files\Plugins\npqtplugin.dll
    FF - plugin: d:\autres\Program Files\Plugins\npqtplugin2.dll
    FF - plugin: d:\autres\Program Files\Plugins\npqtplugin3.dll
    FF - plugin: d:\autres\Program Files\Plugins\npqtplugin4.dll
    FF - plugin: d:\autres\Program Files\Plugins\npqtplugin5.dll
    FF - plugin: d:\autres\Program Files\Plugins\npqtplugin6.dll
    FF - plugin: d:\autres\Program Files\Plugins\npqtplugin7.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-09-29 22:44
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
    "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(804)
    c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

    - - - - - - - > 'explorer.exe'(3564)
    c:\program files\Windows Desktop Search\deskbar.dll
    c:\program files\Windows Desktop Search\fr-fr\dbres.dll.mui
    c:\program files\Windows Desktop Search\dbres.dll
    c:\program files\Windows Desktop Search\wordwheel.dll
    c:\program files\Windows Desktop Search\fr-fr\msnlExtRes.dll.mui
    c:\program files\Windows Desktop Search\msnlExtRes.dll
    c:\program files\Google\Quick Search Box\bin\1.2.1151.245\qsb.dll
    c:\windows\system32\msi.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\eappprxy.dll
    c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\windows\system32\netdde.exe
    c:\program files\Microsoft IntelliPoint\dpupdchk.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\LEC\LogoMedia TranslateDotNet Server.exe
    c:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
    c:\windows\system32\sessmgr.exe
    c:\windows\System32\locator.exe
    c:\program files\Analog Devices\SoundMAX\SMAgent.exe
    c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    c:\windows\system32\wdfmgr.exe
    c:\windows\system32\SearchIndexer.exe
    c:\windows\System32\wbem\wmiapsrv.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\rundll32.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-09-29 22:50:03 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-09-30 02:50

    Avant-CF: 8 940 269 568 octets libres
    Après-CF: 10 039 959 552 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn
    multi(0)disk(0)rdisk(1)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect
    C:\wubildr.mbr = "Ubuntu"

    Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
    - - End Of File - - FF2F723A3D8B2B7904D84A3320A3DC17
    0
  17. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    OK, c'est une bonne chose. On va continuer la désinfection.

    On va analyser un fichier :

    ● Va sur le site VirusTotal

    ● Clique sur le bouton "parcourir"

    ● Recherche le fichier présent ici ==> c:\windows\system32\grcauth1.dll

    ● Clique sur le bouton "Send file"

    ● Patiente pendant le transfert du fichier

    ● Si un message apparaît, clique sur Reanalyse

    ● Copie/colle l'adresse présente dans la barre d'adresse dans ta réponse

    Aide en images
    0
  18. mat
     
    Ça l'air ok.

    http://www.virustotal.com/file-scan/report.html?id=7c3c046cf057cdbac24588a9166b87bdc9e18a6aaceffe076046935d5fa9d457-1285850091
    0
  19. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Bien, on va vérifier ta clé USB :

    ● Télécharge USBFix (de El Desaparecido et C_XX) sur ton Bureau

    ● Double clique sur UsbFix.exe

    ● Clique sur le bouton "Recherche"

    Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK

    ● Patiente pendant que l'outil travaille

    ● A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse

    Le rapport est sauvegardé dans C:\UsbFix.txt

    Note :
    UsbFix.exe peut être détecté à tort par certains antivirus, ignore l'alerte.
    0
  20. mat
     
    Voilà.

    ############################## | UsbFix 7.027 | [Recherche]

    Utilisateur: Mathieu (Administrateur) # MAT [ ]
    Mis à jour le 28/09/10 par El Desaparecido / C_XX
    Lancé à 11:19:57 | 30/09/2010
    Site Web: http://www.teamxscript.org
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702

    Pare-feu Windows: Activé
    Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
    RAM -> 2039 Mo
    C:\ (%systemdrive%) -> Disque fixe # 37 Go (9 Go libre(s) - 25%) [] # NTFS
    D:\ -> Disque fixe # 34 Go (14 Go libre(s) - 41%) [] # NTFS
    E:\ -> Disque fixe # 53 Go (22 Go libre(s) - 41%) [] # NTFS
    F:\ -> CD-ROM
    G:\ -> Disque amovible # 7 Go (7 Go libre(s) - 100%) [KINGSTON] # FAT32
    H:\ -> CD-ROM
    I:\ -> Disque amovible # 2 Go (153 Mo libre(s) - 8%) [KINGSTON] # FAT
    J:\ -> Disque amovible # 953 Mo (953 Mo libre(s) - 100%) [KINGSTON] # FAT

    ################## | Éléments infectieux |

    Présent! H:\Autorun.inf

    ################## | Registre |

    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

    ################## | Mountpoints2 |

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    0
  21. H3RV3 Messages postés 3661 Statut Contributeur sécurité 280
     
    Apparemment pas d'infection, on passe quand même le nettoyage, çà permettra de vacciner tes disques :

    ● Relance UsbFix.exe

    ● Clique sur le bouton "Suppression"

    Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK

    ● Patiente pendant que l'outil travaille

    ● A la fin de la suppression un rapport va s'ouvrir, copie/colle le dans ta réponse

    Le rapport est sauvegardé dans C:\UsbFix.txt
    0
  • 1
  • 2