Portable vérolé de chez vérolé !

Résolu
mathos33 Messages postés 125 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Challenge !

HP portable sous XP bien attaqué. les virus présents :

- worm.win32.RJump.b
- virus.Python.RJump.a
- Worm.win32.RJump.a
- Worm.win32.Perlovga.a
...

J'en oublie certainement. Pouvez-vous me guider dans le processus de nettoyage.

Un grand merci par avance

37 réponses

  • 1
  • 2
Résumé de la discussion

Un ordinateur portable HP sous XP est infecté par plusieurs malwares (RJump et autres worms/virus), et le processus de nettoyage est compliqué par des échecs répétés d’outils antivirus et des erreurs d’accès.
Plusieurs solutions ont été proposées, notamment l’utilisation de ZHPDiag et OTLPENet pour l’analyse, puis OTL et Rkill pour nettoyer, et enfin ComboFix avec des procédures en mode sans échec.
Des difficultés techniques et des plantages d’outils empêchent l’avancement, avec des messages d’accès refusé, des analyses qui se bloquent et des retours du système nécessitant une réparation du disque.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Salut

    * Bienvenue sur CCM !
    * N'ouvre pas d'autres sujets pour le même problème >> sur ce forum ou sur un autre
    * Ensemble nous allons essayer de régler ton problème .

    1) /!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

    * Double-clique sur l'icône Ad-remover située sur ton Bureau.
    * Sur la page, clique sur le bouton « Nettoyer »
    * Confirme l'opération
    * Poste le rapport qui apparaît à la fin.
    * (Le rapport est sauvegardé aussi sous C:\Ad-report.)
    * (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    ensuite

    2) * Télécharge ZHPDiag (de Nicolas coolman)

    * ZHPDiag est un outil de diagnostic (Réalisé par Nicolas Coolman) .
    Le logiciel permet d'effectuer un diagnostic rapide et complet de son système d'exploitation plus complet qu un rapport d'HijackThis
    Il scrute ta Base de Registre et énumère les zones sensibles qui sont susceptibles d'être infectées.


    ICI >> ZHPDiag (de Nicolas coolman)

    * Une fois le téléchargement achevé,
    * double clique sur ZHPDiag.exe et suis les instructions.
    * /!\Utilisateurs de Windows Vista et Windows 7
    * >> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
    * Laisse toi guider lors de l'installation,
    * coche >> créer une icône sur le bureau
    * il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport sur ce site,
    >> Cijoint.fr
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * Pour t aider ,pour heberger le rapport
    * rends toi sur Cijoint.fr
    * clic sur Parcourir
    * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster ici pour que je puisse voir le rapport


    Membre Contributeur sécurité CCM
    Windows Vista // Windows XP
    0
  2. mathos33 Messages postés 125 Statut Membre
     
    Voici le rapport Ad-remover :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 16/09/10 à 13:30
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:57:31 le 28/09/2010, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    hp@YOUR-A49586DCF7 ( )

    ============== ACTION(S) ==============

    Service: "Application Updater" Stoppé et supprimé

    0,Fichier supprimé: C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
    0,Dossier supprimé: C:\Program Files\Application Updater
    0,Dossier supprimé: C:\Documents and Settings\hp\Local Settings\Application Data\Conduit
    0,Dossier supprimé: C:\Program Files\Conduit
    0,Dossier supprimé: C:\Documents and Settings\hp\Application Data\EoRezo
    0,Dossier supprimé: C:\Documents and Settings\hp\Application Data\Search Settings
    0,Dossier supprimé: C:\Program Files\Search Settings
    3,Fichier supprimé: C:\WINDOWS\Installer\145a8.msi

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Documents and Settings\hp\Application Data\Mozilla\FireFox\Profiles\e63fmlea.default\Prefs.js --
    -- Fichier Fermé --

    1,Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
    0,Clé supprimée: HKLM\Software\Classes\SearchSettings.BHO
    0,Clé supprimée: HKLM\Software\Classes\SearchSettings.BHO.1
    0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2102473
    0,Clé supprimée: HKLM\Software\Application Updater
    0,Clé supprimée: HKLM\Software\AskBarDis
    0,Clé supprimée: HKLM\Software\Conduit
    0,Clé supprimée: HKLM\Software\Search Settings
    0,Clé supprimée: HKCU\Software\Conduit
    0,Clé supprimée: HKCU\Software\EoRezo
    0,Clé supprimée: HKCU\Software\Search Settings
    3,Clé supprimée: HKLM\Software\Classes\Installer\Products\D82C50F59AED6DA47AA360145789E8BA
    3,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\D82C50F59AED6DA47AA360145789E8BA
    3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

    0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine
    0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.10 (fr)] **

    -- C:\Documents and Settings\hp\Application Data\Mozilla\FireFox\Profiles\e63fmlea.default\Prefs.js --
    browser.search.defaultenginename, Yahoo
    browser.search.defaulturl, hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
    browser.search.selectedEngine, Yahoo
    browser.startup.homepage, hxxp://m.fr.yahoo.com/
    browser.startup.homepage_override.mstone, rv:1.9.2.10
    keyword.URL, hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=

    ========================================

    ** Internet Explorer Version [8.0.6001.18702] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 53 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 28/09/2010 (2966 Octet(s))

    Fin à: 20:03:29, 28/09/2010

    ============== E.O.F ==============

    Concernant ZHPDiag : Impossible de l'installer en tant qu'admin. Je l'installe donc par défaut, pendant l'exécution il se ferme tout seul au bout de 33% d'analyse. J'ai essayé en mode sans echec, pas mieux ?!

    En tout cas merci pour la rapidité de la réponse
    0
  3. Utilisateur anonyme
     
    Re

    ZHPDiag tu n as pas à l installer en tant qu admin

    j ai marqué >>
    * /!\Utilisateurs de Windows Vista et Windows 7
    * >> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »


    tu n es dons pas dans ce cas !!!!!! tu as Windows XP pourquoi tu compliques !!!!

    tu fais uniquement

    * double clique sur ZHPDiag.exe pour le lancer et suis les instructions.

    * Laisse toi guider lors de l'installation,
    * coche >> créer une icône sur le bureau
    * il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport sur ce site,
    >> Cijoint.fr
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * Pour t aider ,pour heberger le rapport
    * rends toi sur Cijoint.fr
    * clic sur Parcourir
    * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster ici pour que je puisse voir le rapport

    * ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag


    Membre Contributeur sécurité CCM
    Windows Vista // Windows XP
    0
  4. mathos33 Messages postés 125 Statut Membre
     
    Désolé pour le retard dans ma réponse. Je suis à mon bureau jusqu'à ce soir 21h/21h30, je serai donc plus prompt à répondre.

    J'ai installé normalement ZHPDiag, je le lance, je clique sur la loupe et arrivé à 33% il disparaît ! L'icône sur le bureau perd son image et lorsque je double clique à nouveau dessus j'ai un message me disant :
    "Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément."

    Bref je suis coincé.

    SOS
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Salut

    1) * Desactive ton antivirus le temps de la manip

    * Telecharge et install UsbFix (de El Desaparecido et C_XX )

    * UsbFix est un programme spécifique , son rôle est la suppression d'infection se propageant via les supports amovibles
    * Il rétablit certaines fonctions de sécurité endommagées, comme l'accès au registre, au gestionnaire des tâches, à l'affichage des fichiers cachés etc
    .

    >> UsbFix (de El Desaparecido et C_XX )

    * Déconnectes toi et fermes toutes applications en cours
    * Au message ==> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir
    * Double clic sur le raccourci UsbFix présent sur ton bureau .
    * Choisi >> l option >> Suppression
    * Laisse travailler l outil.
    * Ensuite poste le rapport UsbFix.txt qui apparaitra.
    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    * Réactive ton antivirus

    ensuite

    2) essayes à nouveau ZHPDiag

    en dernier

    3) Télécharge OTL (de OldTimer) sur ton Bureau.

    >> OTL (de OldTimer)

    * Utilisateurs Windows XP => double clique >>sur OTL.exe
    * Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur OTL.exe pour le lancer.

    coches les cases lop & purity check ainsi que en haut Tous les Utilisateurs et minimal output

    Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous >> Personalisation :


    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT


    * Cliques sur l'icône "Analyse" (en haut à gauche) .
    * Laisse le scan aller à son terme sans te servir du PC
    * A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
    * Copie et colle le contenu de OTL.Txt dans ta prochaine réponse

    * Héberge le rapport >> OTL.Txt sur ce site,
    >> Cijoint.fr
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * Pour t aider ,pour heberger le rapport
    * rends toi sur Cijoint.fr
    * clic sur Parcourir
    * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster ici pour que je puisse voir le rapport

    fais aprés de même avec le rapport >> Extras.Txt


    Membre Contributeur sécurité CCM
    Windows Vista // Windows XP
    0
  7. mathos33 Messages postés 125 Statut Membre
     
    Voici le rapport USBFIX :

    ############################## | UsbFix 7.027 | [Suppression]

    Utilisateur: hp (Administrateur) # YOUR-A49586DCF7 [ ]
    Mis à jour le 28/09/10 par El Desaparecido / C_XX
    Lancé à 16:22:20 | 29/09/2010
    Site Web: http://www.teamxscript.org
    Contact: FindyKill.Contact@gmail.com

    CPU: AMD Turion(tm) 64 X2 Mobile Technology TL-50
    CPU 2: AMD Turion(tm) 64 X2 Mobile Technology TL-50
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702

    Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | (!) Outdated]
    Firewall: Norton Internet Worm Protection 2006 [(!) Disabled]
    RAM -> 1023 Mo
    C:\ (%systemdrive%) -> Disque fixe # 105 Go (32 Go libre(s) - 31%) [] # NTFS
    D:\ -> Disque fixe # 7 Go (1 Go libre(s) - 20%) [HP_RECOVERY] # FAT32
    E:\ -> CD-ROM
    F:\ -> CD-ROM
    J:\ -> Disque amovible # 956 Mo (847 Mo libre(s) - 89%) [INTUIX KEY] # FAT32

    ################## | Éléments infectieux |

    Non supprimé ! F:\Autorun.inf

    ################## | Registre |

    ################## | Mountpoints2 |

    ################## | Listing |

    [28/09/2010 - 20:03:34 | A | 4905] C:\Ad-Report-CLEAN[1].txt
    [29/09/2010 - 14:41:14 | A | 2615] C:\Ad-Report-CLEAN[2].txt
    [29/09/2010 - 16:21:28 | RASHD ] C:\Autorun.inf
    [15/09/2008 - 16:46:30 | A | 86] C:\bcmwl5.log
    [28/09/2010 - 20:23:12 | RASH | 350] C:\boot.ini
    [17/05/2009 - 19:42:22 | A | 228] C:\boot.ini.bak
    [06/08/2004 - 06:00:00 | RASH | 4952] C:\Bootfont.bin
    [16/05/2009 - 00:37:34 | D ] C:\c11e83df687f30738ff7
    [15/09/2010 - 23:00:23 | HD ] C:\Config.Msi
    [22/08/2009 - 21:27:14 | D ] C:\d685fbac96865f9c3f25bb31bad976
    [16/05/2009 - 17:07:55 | A | 16595] C:\debug.log
    [28/09/2010 - 20:18:45 | D ] C:\Documents and Settings
    [02/08/2010 - 15:31:08 | D ] C:\Downloads
    [26/11/2008 - 13:27:31 | D ] C:\DVDVideoSoft
    [28/09/2010 - 20:24:01 | ASH | 1072279552] C:\hiberfil.sys
    [13/09/2008 - 00:27:03 | D ] C:\hp
    [28/09/2010 - 20:26:12 | A | 2003] C:\hpqp.ini
    [13/09/2008 - 08:04:42 | D ] C:\I386
    [04/07/2010 - 21:52:05 | A | 127] C:\mbam-error.txt
    [21/09/2008 - 00:51:47 | RHD ] C:\MSOCache
    [06/08/2004 - 06:00:00 | RASH | 47564] C:\ntdetect.com
    [20/09/2008 - 18:01:59 | RASH | 252240] C:\ntldr
    [04/03/2009 - 18:54:57 | D ] C:\NVIDIA
    [28/09/2010 - 20:23:58 | ASH | 1610612736] C:\pagefile.sys
    [12/06/2006 - 18:15:46 | A | 688] C:\pcanet.ini
    [29/09/2010 - 14:54:48 | RD ] C:\Program Files
    [18/09/2008 - 16:54:44 | SHD ] C:\RECYCLER
    [09/10/2008 - 17:02:00 | D ] C:\SWSetup
    [13/09/2008 - 00:25:10 | SHD ] C:\System Volume Information
    [13/09/2008 - 00:29:26 | HD ] C:\System.sav
    [05/10/2009 - 14:10:36 | A | 839] C:\updatedatfix.log
    [24/01/2009 - 18:58:28 | A | 26] C:\UpdaterforApp.ini
    [29/09/2010 - 16:22:59 | D ] C:\UsbFix
    [29/09/2010 - 16:23:05 | A | 2278] C:\UsbFix.txt
    [29/09/2010 - 16:21:29 | A | 2889] C:\UsbFix_Upload_Me_YOUR-A49586DCF7.zip
    [19/09/2010 - 11:01:09 | D ] C:\WINDOWS
    [28/09/2010 - 20:25:10 | A | 44] C:\XP_TV.ini
    [27/07/2001 - 14:07:38 | SH | 0] D:\AUTOEXEC.BAT
    [29/09/2010 - 16:21:30 | RASHD ] D:\Autorun.inf
    [28/09/2005 - 23:50:44 | SHD ] D:\cmdcons
    [25/03/2005 - 06:00:00 | SH | 298096] D:\CMLDR
    [28/07/2001 - 05:07:38 | SH | 0] D:\CONFIG.SYS
    [25/05/2005 - 02:48:26 | SH | 102] D:\Desktop.ini
    [10/09/2002 - 08:21:08 | SH | 7850] D:\Folder.htt
    [17/06/2001 - 15:31:08 | SH | 0] D:\GRAPH
    [25/01/2002 - 08:21:24 | SH | 0] D:\GRAPH16
    [30/11/2004 - 03:01:50 | SH | 73728] D:\Info.exe
    [28/07/2001 - 05:07:38 | SH | 0] D:\IO.SYS
    [31/12/2005 - 19:52:24 | SHD ] D:\MiniNT
    [28/07/2001 - 05:07:38 | SH | 0] D:\MSDOS.SYS
    [25/07/2001 - 21:00:00 | SH | 45124] D:\NTDETECT.COM
    [17/08/2001 - 06:32:24 | SH | 0] D:\NTFS
    [25/03/2005 - 06:00:00 | SH | 298096] D:\NTLDR
    [03/11/2005 - 07:19:52 | SH | 181736] D:\protect.ed
    [01/01/2006 - 04:09:52 | SH | 36] D:\SAVEFILE.DIR
    [08/02/2002 - 07:44:24 | SH | 88038] D:\Warning.bmp
    [01/01/2006 - 04:10:46 | SHD ] D:\I386
    [25/03/2005 - 06:00:00 | SH | 10] D:\WIN51
    [25/03/2005 - 06:00:00 | SH | 10] D:\WIN51IA
    [25/03/2005 - 06:00:00 | SH | 10] D:\WIN51IA.SP1
    [25/03/2005 - 06:00:00 | SH | 167] D:\WINBOM.INI
    [23/05/2001 - 19:19:06 | SH | 0] D:\XGA
    [01/01/2006 - 04:10:46 | SH | 34] D:\BLOCK.RIN
    [01/01/2006 - 04:23:16 | SH | 894] D:\MASTER.LOG
    [01/01/2006 - 04:10:56 | SH | 0] D:\USER
    [01/01/2006 - 04:10:56 | SHD ] D:\Réinstallation système
    [01/01/2006 - 04:12:12 | SHD ] D:\PRELOAD
    [01/01/2006 - 04:23:16 | RD ] D:\RECOVERY
    [01/01/2006 - 04:28:44 | SHD ] D:\System Volume Information
    [12/09/2008 - 22:49:30 | A | 0] D:\CLEAN
    [17/05/2009 - 17:42:24 | A | 228] D:\boot.ini
    [18/09/2008 - 19:59:34 | SHD ] D:\Recycled
    [13/02/2006 - 21:08:58 | R | 145] F:\autorun.inf
    [21/02/2006 - 13:34:40 | R | 2998778] F:\LaunchPad.zip
    [13/02/2006 - 21:09:04 | R | 921600] F:\LaunchU3.exe
    [29/09/2010 - 16:18:00 | A | 1206657] J:\UsbFix.exe
    [09/02/2009 - 00:59:16 | HD ] J:\System
    [09/02/2009 - 00:59:16 | D ] J:\Ghislain
    [13/02/2006 - 20:09:04 | RA | 921600] J:\LaunchU3.exe
    [13/04/2009 - 11:29:26 | D ] J:\Photos Jardin et Snoopy
    [30/03/2009 - 14:36:08 | D ] J:\CAMPUS
    [08/09/2009 - 15:40:24 | D ] J:\Documents

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_YOUR-A49586DCF7.zip
    https://www.ionos.fr/?affiliate_id=77097
    Merci de votre contribution.

    ################## | E.O.F |

    Pour les deux autres applications, impossible de les faire tourner. ZHPDiag se coupe toujours à 33%, par la suite il est impossible de la relancer, idem pour OTL.exe. Je le lance, puis la fenêtre disparaît, je tente de la rouvrir et j'obtiens le même message que ZHPDiag :

    "Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément."

    J'ai très peur !
    0
  8. Utilisateur anonyme
     
    Salut

    ok !!!

    fais et lis bien

    1) Télécharge Winsockxpfix
    ICI Winsockxpfix
    sur ton bureau sans l executer au cas tu en aurai besoin aprés tu le télécharges mais ne l éxécute pas sauf si besoin aprés Combofix)

    ensuite

    2) 1) Démarre en Mode sans échec avec prise en charge réseau
    fais ainsi

    Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter
    Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau
    puis tape entrée.
    Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !
    (Si F8 ne marche pas utilise la touche F5)

    >> Mode sans échec avec prise en charge réseau

    3) * Télécharge Rkill de Grinler sur le bureau,
    >sur ton Bureau >> et pas ailleurs et renomme le avant qu'il vienne sur ton bureau.
    exemple le premier Rkill;exe tu le renommes en VIRUS.exe
    * si cela ne fonctionne tu passe au second que tu renommeras en VIRUS.com ,etc

    * fait double clic pour le lancer.
    * Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
    * Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

    *Rkill exe:
    >> Rkill EXE

    * Rkill com:
    >> Rkill COM

    * Rkill scr:
    >> Rkill SCR

    NOTA : sa marche quand tu as une fentre noir qui s'ouvre rapidement et ce ferme ensuite poste le rapport crée par Rkill, tu peux le retrouver ici C:\rkill.log
    * Ps :>> Si vous redémarrez votre ordinateur, Rkill aura perdu son utilité et il vous faudra recommencer cette étape.

    ensuite

    4) * Télécharge ComboFix (de sUBs) .
    * ICI >> ComboFix (de sUBs)
    * Ferme toutes les fenêtres ouvertes

    * sur ton bureau et pas ailleurs
    >> et pas ailleurs et renomme le avant qu'il vienne sur ton bureau.
    pour ce faire fait un clic droit sur Combofix.exe ,choisis "enregistrer la cible du lien sous..." et renomme le en==>VIRUS.exe
    >> et pour l'emplacement choisis ton bureau et cliques sur "enregistrer"
    Fermez toutes les fenêtres ouvertes

    * ComboFix est un programme, créé par sUBs, qui recherche sur votre ordinateur certains nuisibles,
    et qui, s'il les trouve, essaie de nettoyer ces infections automatiquement.


    * ICI >> ComboFix (de sUBs)
    * Ferme toutes les fenêtres ouvertes

    * Double clique >> sur VIRUS.exe afin de le lancer

    * sous Windows7/ Vista --> Ne pas oublier l'élévation des privilèges
    * (Clic droit sur VIRUS.exe, puis sur Exécuter en tant qu'administrateur dans le menu déroulant.)
    * Tapes sur la touche1 pour démarrer le scan et suis les instructions indiquées par combofix.

    ** Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.

    * /!\ Déconnecte-toi du net aprés l installation /!\

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. /!\
    /!\ (ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)/!\


    * Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.


    Membre Contributeur sécurité CCM
    Windows Vista // Windows XP
    0
  9. mathos33 Messages postés 125 Statut Membre
     
    Alors j'ai tout fait comme tu m'as dit. Par contre je n'ai pas Internet sur le portable infecté, j'ai malgrés tout tenté de me connecter mais en mode sans echec je n'y suis pas arrivé. J'ai donc lancé ComboFix en mode sans échec sans installer la console de récupération. Est-ce grave ?

    En tout cas voici les rapports :

    Rkill :

    This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.
    Ran as hp on 29/09/2010 at 18:10:45.

    Services Stopped:

    Processes terminated by Rkill or while it was running:

    C:\Documents and Settings\hp\Bureau\Virus.exe

    Rkill completed on 29/09/2010 at 18:10:51.

    ComboFix :

    ComboFix 10-09-28.03 - hp 29/09/2010 19:34:02.1.2 - x86 NETWORK
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.786 [GMT 2:00]
    Lancé depuis: c:\documents and settings\hp\Bureau\CoVirus.exe
    AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\All Users\Application Data\.wtav
    c:\documents and settings\hp\Mes documents\Sauvegarde Registre.reg
    c:\windows\jestertb.dll

    Une copie infectée de c:\windows\system32\drivers\pcmcia.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-28 au 2010-09-29 ))))))))))))))))))))))))))))))))))))
    .

    2010-09-29 15:13 . 2010-09-29 15:13 -------- d-----w- c:\program files\ZHPDiag
    2010-09-29 14:21 . 2010-09-29 14:23 3734 ----a-w- C:\UsbFix_Upload_Me_YOUR-A49586DCF7.zip
    2010-09-29 14:19 . 2010-09-29 14:23 -------- d-----w- C:\UsbFix
    2010-09-28 17:57 . 2010-09-29 12:39 -------- d-----w- c:\program files\Ad-Remover
    2010-09-25 11:51 . 2010-09-25 11:52 510324 ----a-w- c:\windows\system32\perfh040.dat
    2010-09-25 11:51 . 2010-09-25 11:52 84526 ----a-w- c:\windows\system32\perfc040.dat
    2010-09-21 09:25 . 2010-09-06 13:16 52224 ----a-w- c:\documents and settings\hp\Application Data\Mozilla\Firefox\Profiles\e63fmlea.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\FFExternalAlert.dll
    2010-09-21 09:25 . 2010-09-06 13:16 101376 ----a-w- c:\documents and settings\hp\Application Data\Mozilla\Firefox\Profiles\e63fmlea.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\RadioWMPCore.dll
    2010-09-20 09:49 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-09-20 09:49 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-09-19 02:46 . 2010-09-19 02:46 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE
    2010-09-19 02:45 . 2010-09-19 02:45 -------- d-sh--w- c:\documents and settings\LocalService\IECompatCache
    2010-09-19 02:45 . 2010-09-19 02:45 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Conduit
    2010-09-19 02:45 . 2010-09-19 02:45 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\PHPNukeFR
    2010-09-19 02:44 . 2010-09-19 02:45 -------- d-----r- c:\documents and settings\LocalService\Favoris
    2010-09-16 11:53 . 2010-09-16 12:01 -------- d-----w- c:\program files\Autoplay Repair
    2010-09-15 21:00 . 2010-09-15 21:00 61440 ----a-w- c:\documents and settings\hp\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-6c2a1efe-n\decora-sse.dll
    2010-09-15 21:00 . 2010-09-15 21:00 12800 ----a-w- c:\documents and settings\hp\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-6c2a1efe-n\decora-d3d.dll
    2010-09-15 21:00 . 2010-09-15 21:00 503808 ----a-w- c:\documents and settings\hp\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-22cadcc6-n\msvcp71.dll
    2010-09-15 21:00 . 2010-09-15 21:00 499712 ----a-w- c:\documents and settings\hp\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-22cadcc6-n\jmc.dll
    2010-09-15 21:00 . 2010-09-15 21:00 348160 ----a-w- c:\documents and settings\hp\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-22cadcc6-n\msvcr71.dll
    2010-09-15 21:00 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll
    2010-09-01 09:04 . 2010-09-01 09:18 -------- d-----w- c:\program files\VirtualDJ
    2010-08-31 12:10 . 2010-08-31 12:11 -------- d-----w- c:\program files\Apple Software Update
    2010-08-31 12:08 . 2010-08-31 12:08 -------- d-----w- c:\program files\Bonjour

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-29 16:26 . 2010-09-29 16:26 552 ----a-w- c:\windows\system32\d3d8caps.dat
    2010-09-29 14:19 . 2008-09-18 22:50 -------- d-----w- c:\documents and settings\hp\Application Data\U3
    2010-09-26 14:08 . 2010-08-02 16:05 -------- d-----w- c:\program files\PeerGuardian2
    2010-09-21 10:23 . 2008-09-18 16:23 -------- d-----w- c:\documents and settings\hp\Application Data\OpenOffice.org2
    2010-09-21 09:22 . 2009-11-19 11:29 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-09-20 11:26 . 2009-11-19 12:43 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-09-20 09:27 . 2009-11-15 11:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-09-19 12:21 . 2010-08-02 10:37 -------- d-----w- c:\documents and settings\hp\Application Data\utorrent
    2010-09-15 21:00 . 2006-01-01 10:56 -------- d-----w- c:\program files\Fichiers communs\Java
    2010-09-15 21:00 . 2006-01-01 10:56 -------- d-----w- c:\program files\Java
    2010-08-31 15:51 . 2009-01-27 12:08 -------- d-----w- c:\program files\iTunes
    2010-08-31 12:15 . 2009-01-27 12:08 -------- d-----w- c:\program files\iPod
    2010-08-31 12:15 . 2008-09-18 15:51 -------- d-----w- c:\program files\Fichiers communs\Apple
    2010-08-31 12:12 . 2010-04-11 19:37 -------- d-----w- c:\program files\QuickTime
    2010-08-14 17:04 . 2008-09-20 22:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-08-14 17:02 . 2006-05-10 11:35 84526 ----a-w- c:\windows\system32\perfc00C.dat
    2010-08-14 17:02 . 2006-05-10 11:35 510324 ----a-w- c:\windows\system32\perfh00C.dat
    2010-08-09 12:18 . 2008-09-23 19:36 -------- d-----w- c:\documents and settings\hp\Application Data\dvdcss
    2010-08-05 13:11 . 2010-08-02 17:10 -------- d-----w- c:\program files\BitComet
    2010-08-02 20:43 . 2010-08-02 20:43 -------- d-----w- c:\program files\Utorrent
    2010-08-02 20:40 . 2009-06-19 10:12 -------- d-----w- c:\program files\WindSolutions
    2010-08-02 20:31 . 2010-08-02 20:31 -------- d-----w- c:\program files\locale
    2010-08-02 20:19 . 2010-03-07 11:48 -------- d-----w- c:\program files\PC Health Optimizer Free Edition
    2010-08-02 20:12 . 2009-10-04 12:25 -------- d-----w- c:\program files\TubeMaster++
    2010-08-02 20:09 . 2009-05-15 22:27 -------- d-----w- c:\program files\FreeRIP3
    2010-08-02 20:07 . 2009-05-16 16:44 -------- d-----w- c:\program files\Freecorder
    2010-08-02 17:11 . 2010-07-29 09:26 -------- d-----w- c:\program files\CCleaner
    2010-07-21 14:30 . 2010-07-21 14:30 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
    2010-01-12 15:48 . 2010-08-02 20:30 134548 ----a-w- c:\program files\Locale.bkp
    2009-10-30 00:16 . 2009-10-30 00:16 3309944 ----a-w- c:\program files\Fichiers communs\YouSendItExpressSetup2_4_0.exe
    2009-05-14 14:55 . 2009-05-14 14:55 2131315 ----a-w- c:\program files\installer_dbpoweramp_mp4_&_aac_decoder_Français_French.exe
    2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\tbPHP1.dll" [2010-08-31 2734688]

    [HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1c491116-c175-45e1-a570-6fb14fea8b7b}]
    2010-08-31 12:00 2734688 ----a-w- c:\program files\PHPNukeFR\tbPHP1.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{1c491116-c175-45e1-a570-6fb14fea8b7b}"= "c:\program files\PHPNukeFR\tbPHP1.dll" [2010-08-31 2734688]

    [HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{1C491116-C175-45E1-A570-6FB14FEA8B7B}"= "c:\program files\PHPNukeFR\tbPHP1.dll" [2010-08-31 2734688]

    [HKEY_CLASSES_ROOT\clsid\{1c491116-c175-45e1-a570-6fb14fea8b7b}]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-19 39408]
    "YouSendIt.exe"="c:\program files\YouSendIt\Express\YouSendIt.exe" [2009-10-02 82432]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-10-18 204288]
    "PeerGuardian"="c:\program files\PeerGuardian2\pg2.exe" [2005-04-23 1175552]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-03 36352]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 761946]
    "Reminder"="c:\windows\CREATOR\Remind_XP.exe" [2006-02-09 643072]
    "RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
    "QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-04-11 102400]
    "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-07 131072]
    "nwiz"="nwiz.exe" [2009-01-30 1657376]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-30 86016]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-30 13594624]
    "NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
    "Logitech Utility"="Logi_MwX.Exe" [2003-12-11 20992]
    "hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-04 458752]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
    "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-18 61952]
    "Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-02 40960]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
    "AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-03-16 47392]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
    "c:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
    "c:\\Downloads\\freezer.exe"=
    "c:\\Program Files\\adslTV\\adsltv.exe"=
    "c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\BitComet\\BitComet.exe"=
    "c:\\Program Files\\Utorrent\\utorrent.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26788:TCP"= 26788:TCP:BitComet 26788 TCP
    "26788:UDP"= 26788:UDP:BitComet 26788 UDP
    "8080:TCP"= 8080:TCP:freeplayer TCP
    "1234:UDP"= 1234:UDP:freeplayer UDP
    "8120:TCP"= 8120:TCP:BitComet 8120 TCP
    "8120:UDP"= 8120:UDP:BitComet 8120 UDP

    R3 mvb35316;mvb35316;c:\windows\system32\drivers\mvb35316.sys [06/08/2004 06:00 12800]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [01/05/2009 12:33 108289]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [25/10/2009 17:05 133104]
    S3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;c:\windows\system32\drivers\5U870CAP.sys [10/05/2006 08:02 61952]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [24/01/2009 15:46 216232]
    S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06/11/2007 22:22 34064]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-24 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

    2010-09-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-25 15:05]

    2010-09-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-25 15:05]

    2010-09-28 c:\windows\Tasks\User_Feed_Synchronization-{95F8CB41-279A-4F57-A2DD-37219BB06283}.job
    - c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    uInternet Settings,ProxyServer = localhost:8800
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\hp\Application Data\Mozilla\Firefox\Profiles\e63fmlea.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
    FF - prefs.js: browser.search.selectedEngine - Yahoo
    FF - prefs.js: browser.startup.homepage - hxxp://m.fr.yahoo.com/
    FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
    FF - prefs.js: network.proxy.ftp - localhost
    FF - prefs.js: network.proxy.ftp_port - 8800
    FF - prefs.js: network.proxy.gopher - localhost
    FF - prefs.js: network.proxy.gopher_port - 8800
    FF - prefs.js: network.proxy.http - localhost
    FF - prefs.js: network.proxy.http_port - 8800
    FF - prefs.js: network.proxy.socks - localhost
    FF - prefs.js: network.proxy.socks_port - 8800
    FF - prefs.js: network.proxy.ssl - localhost
    FF - prefs.js: network.proxy.ssl_port - 8800
    FF - prefs.js: network.proxy.type - 0
    FF - component: c:\documents and settings\hp\Application Data\Mozilla\Firefox\Profiles\e63fmlea.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
    FF - component: c:\documents and settings\hp\Application Data\Mozilla\Firefox\Profiles\e63fmlea.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
    FF - component: c:\documents and settings\hp\Application Data\Mozilla\Firefox\Profiles\e63fmlea.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\FFExternalAlert.dll
    FF - component: c:\documents and settings\hp\Application Data\Mozilla\Firefox\Profiles\e63fmlea.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\RadioWMPCore.dll
    FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
    FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-RegistryBooster - c:\program files\Uniblue\RegistryBooster\launcher.exe
    AddRemove-HijackThis - c:\program files\Trend Micro\HijackThis\HijackThis.exe
    AddRemove-µTorrent 1.6 (Build 474) - c:\program files\Uninstal.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-09-29 19:39
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????????,?@? ??? \??????R?@?????,?@

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\BattC]
    "MofImagePath"="System32\Drivers\battc.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\BCM43XX]
    "ImagePath"="system32\DRIVERS\bcmwl5.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Beep]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\BITS]
    "ServiceDll"="%systemroot%\system32\qmgr.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Bonjour Service]
    "ImagePath"="\"c:\program files\Bonjour\mDNSResponder.exe\""

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Browser]
    "ServiceDll"="%SystemRoot%\System32\browser.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme]
    "ImagePath"="\??\c:\docume~1\hp\LOCALS~1\Temp\catchme.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cbidf]
    "ImagePath"="\SystemRoot\system32\DRIVERS\cbidf2k.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cbidf2k]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CCDECODE]
    "ImagePath"="system32\DRIVERS\CCDECODE.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cd20xrnt]
    "ImagePath"="\SystemRoot\system32\DRIVERS\cd20xrnt.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdaudio]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdfs]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cdrom]
    "ImagePath"="system32\DRIVERS\cdrom.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Changer]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CiSvc]
    "ImagePath"="%SystemRoot%\system32\cisvc.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ClipSrv]
    "ImagePath"="%SystemRoot%\system32\clipsrv.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\clr_optimization_v2.0.50727_32]
    "ImagePath"="c:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CmBatt]
    "ImagePath"="system32\DRIVERS\CmBatt.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CmdIde]
    "ImagePath"="\SystemRoot\system32\DRIVERS\cmdide.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Compbatt]
    "ImagePath"="system32\DRIVERS\compbatt.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\COMSysApp]
    "ImagePath"="c:\windows\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ContentFilter]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ContentIndex]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Cpqarray]
    "ImagePath"="\SystemRoot\system32\DRIVERS\cpqarray.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CryptSvc]
    "ServiceDll"="%SystemRoot%\System32\cryptsvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dac2w2k]
    "ImagePath"="\SystemRoot\system32\DRIVERS\dac2w2k.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dac960nt]
    "ImagePath"="\SystemRoot\system32\DRIVERS\dac960nt.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DcomLaunch]
    "ServiceDll"="%SystemRoot%\system32\rpcss.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dhcp]
    "ServiceDll"="%SystemRoot%\System32\dhcpcsvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Disk]
    "ImagePath"="system32\DRIVERS\disk.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmadmin]
    "ImagePath"="%SystemRoot%\System32\dmadmin.exe /com"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmboot]
    "ImagePath"="System32\drivers\dmboot.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmio]
    "ImagePath"="System32\drivers\dmio.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmload]
    "ImagePath"="System32\drivers\dmload.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmserver]
    "ServiceDll"="%SystemRoot%\System32\dmserver.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DMusic]
    "ImagePath"="system32\drivers\DMusic.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dnscache]
    "ServiceDll"="%SystemRoot%\System32\dnsrslvr.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dot3svc]
    "ServiceDll"="%SystemRoot%\System32\dot3svc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dpti2o]
    "ImagePath"="\SystemRoot\system32\DRIVERS\dpti2o.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\driverhardwarev2]
    "ImagePath"="\??\c:\program files\ma-config.com\Drivers\driverhardwarev2.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\drmkaud]
    "ImagePath"="system32\drivers\drmkaud.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\eabfiltr]
    "ImagePath"="system32\DRIVERS\eabfiltr.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\eabusb]
    "ImagePath"="system32\DRIVERS\eabusb.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EapHost]
    "ServiceDll"="%SystemRoot%\System32\eapsvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ERSvc]
    "ServiceDll"="%SystemRoot%\System32\ersvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Eventlog]
    "ImagePath"="%SystemRoot%\system32\services.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EventSystem]
    "ServiceDll"="c:\windows\system32\es.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Fastfat]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FastUserSwitchingCompatibility]
    "ServiceDll"="%SystemRoot%\System32\shsvcs.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Fdc]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Fips]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Flpydisk]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FltMgr]
    "ImagePath"="system32\drivers\fltmgr.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FontCache3.0.0.0]
    "ImagePath"="c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Fs_Rec]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ftdisk]
    "ImagePath"="system32\DRIVERS\ftdisk.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GEARAspiWDM]
    "ImagePath"="system32\DRIVERS\GEARAspiWDM.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Gpc]
    "ImagePath"="system32\DRIVERS\msgpc.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gupdate]
    "ImagePath"="\"c:\program files\Google\Update\GoogleUpdate.exe\" /svc"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gusvc]
    "ImagePath"="\"c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe\""

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HBtnKey]
    "ImagePath"="system32\DRIVERS\cpqbttn.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HdAudAddService]
    "ImagePath"="system32\drivers\CHDAud.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HDAudBus]
    "ImagePath"="system32\DRIVERS\HDAudBus.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\helpsvc]
    "ServiceDll"="%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HidServ]
    "ServiceDll"=" %SystemRoot%\System32\hidserv.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HidUsb]
    "ImagePath"="system32\DRIVERS\hidusb.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hkmsvc]
    "ServiceDll"="%SystemRoot%\System32\kmsvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hpn]
    "ImagePath"="\SystemRoot\system32\DRIVERS\hpn.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hpqwmiex]
    "ImagePath"="c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HPZid412]
    "ImagePath"="system32\DRIVERS\HPZid412.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HPZipr12]
    "ImagePath"="system32\DRIVERS\HPZipr12.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HPZius12]
    "ImagePath"="system32\DRIVERS\HPZius12.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HSFHWAZL]
    "ImagePath"="system32\DRIVERS\HSFHWAZL.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HSF_DPV]
    "ImagePath"="system32\DRIVERS\HSF_DPV.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HTTP]
    "ImagePath"="System32\Drivers\HTTP.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HTTPFilter]
    "ServiceDll"="%SystemRoot%\System32\w3ssl.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\i2omgmt]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\i2omp]
    "ImagePath"="\SystemRoot\system32\DRIVERS\i2omp.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\i8042prt]
    "ImagePath"="system32\DRIVERS\i8042prt.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iaStor]
    "ImagePath"="\SystemRoot\system32\DRIVERS\iaStor.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ICSharing]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IDriverT]
    "ImagePath"="\"c:\program files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe\""

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\idsvc]
    "ImagePath"="\"c:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe\""

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Imapi]
    "ImagePath"="system32\DRIVERS\imapi.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ImapiService]
    "ImagePath"="%systemroot%\system32\imapi.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\inetaccs]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ini910u]
    "ImagePath"="\SystemRoot\system32\DRIVERS\ini910u.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Inport]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IntelIde]
    "ImagePath"="system32\DRIVERS\intelide.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ip6Fw]
    "ImagePath"="system32\drivers\ip6fw.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IpFilterDriver]
    "ImagePath"="system32\DRIVERS\ipfltdrv.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IpInIp]
    "ImagePath"="system32\DRIVERS\ipinip.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IpNat]
    "ImagePath"="system32\DRIVERS\ipnat.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iPod Service]
    "ImagePath"="\"c:\program files\iPod\bin\iPodService.exe\""

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IPSec]
    "ImagePath"="system32\DRIVERS\ipsec.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IRENUM]
    "ImagePath"="system32\DRIVERS\irenum.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ISAPISearch]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\isapnp]
    "ImagePath"="system32\DRIVERS\isapnp.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\JavaQuickStarterService]
    "ImagePath"="\"c:\program files\Java\jre6\bin\jqs.exe\" -service -config \"c:\program files\Java\jre6\lib\deploy\jqs\jqs.conf\""

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Kbdclass]
    "ImagePath"="system32\DRIVERS\kbdclass.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kbdhid]
    "ImagePath"="system32\DRIVERS\kbdhid.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kmixer]
    "ImagePath"="system32\drivers\kmixer.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\KSecDD]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lanmanserver]
    "ServiceDll"="%SystemRoot%\System32\srvsvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lanmanworkstation]
    "ServiceDll"="%SystemRoot%\System32\wkssvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lbrtfdc]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ldap]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LHidFlt2]
    "ImagePath"="system32\DRIVERS\LHidFlt2.Sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LicenseService]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LightScribeService]
    "ImagePath"="\"c:\program files\Fichiers communs\LightScribe\LSSrvc.exe\""

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LmHosts]
    "ServiceDll"="%SystemRoot%\System32\lmhsvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LMouFlt2]
    "ImagePath"="system32\DRIVERS\LMouFlt2.Sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\maconfservice]
    "ImagePath"="\"c:\program files\ma-config.com\maconfservice.exe\""

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mdmxsdk]
    "ImagePath"="system32\DRIVERS\mdmxsdk.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Messenger]
    "ServiceDll"="%SystemRoot%\System32\msgsvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mnmdd]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mnmsrvc]
    "ImagePath"="c:\windows\system32\mnmsrvc.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Modem]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Mouclass]
    "ImagePath"="system32\DRIVERS\mouclass.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mouhid]
    "ImagePath"="system32\DRIVERS\mouhid.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MountMgr]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mraid35x]
    "ImagePath"="\SystemRoot\system32\DRIVERS\mraid35x.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MRxDAV]
    "ImagePath"="system32\DRIVERS\mrxdav.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MRxSmb]
    "ImagePath"="system32\DRIVERS\mrxsmb.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSDTC]
    "ImagePath"="c:\windows\system32\msdtc.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSDTC Bridge 3.0.0.0]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Msfs]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSIServer]
    "ImagePath"="%systemroot%\system32\msiexec.exe /V"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSKSSRV]
    "ImagePath"="system32\drivers\MSKSSRV.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSPCLOCK]
    "ImagePath"="system32\drivers\MSPCLOCK.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSPQM]
    "ImagePath"="system32\drivers\MSPQM.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mssmbios]
    "ImagePath"="system32\DRIVERS\mssmbios.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MSTEE]
    "ImagePath"="system32\drivers\MSTEE.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Mup]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mvb35316]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NABTSFEC]
    "ImagePath"="system32\DRIVERS\NABTSFEC.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\napagent]
    "ServiceDll"="%SystemRoot%\System32\qagentrt.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NBService]
    "ImagePath"="c:\program files\Nero\Nero 7\Nero BackItUp\NBService.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NDIS]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NdisIP]
    "ImagePath"="system32\DRIVERS\NdisIP.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NdisTapi]
    "ImagePath"="system32\DRIVERS\ndistapi.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ndisuio]
    "ImagePath"="system32\DRIVERS\ndisuio.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NdisWan]
    "ImagePath"="system32\DRIVERS\ndiswan.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NDProxy]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetBIOS]
    "ImagePath"="system32\DRIVERS\netbios.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetBT]
    "ImagePath"="system32\DRIVERS\netbt.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDE]
    "ImagePath"="%SystemRoot%\system32\netdde.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDEdsdm]
    "ImagePath"="%SystemRoot%\system32\netdde.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Netlogon]
    "ImagePath"="%SystemRoot%\system32\lsass.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Netman]
    "ServiceDll"="%SystemRoot%\System32\netman.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetTcpPortSharing]
    "ImagePath"="\"c:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe\""

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NIC1394]
    "ImagePath"="system32\DRIVERS\nic1394.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Nla]
    "ServiceDll"="%SystemRoot%\System32\mswsock.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nm]
    "ImagePath"="system32\DRIVERS\NMnt.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NMIndexingService]
    "ImagePath"="\"c:\program files\Fichiers communs\Ahead\Lib\NMIndexingService.exe\""

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NPF]
    "ImagePath"="system32\drivers\npf.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Npfs]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ntfs]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtLmSsp]
    "ImagePath"="%SystemRoot%\system32\lsass.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc]
    "ServiceDll"="%SystemRoot%\system32\ntmssvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Null]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nv]
    "ImagePath"="system32\DRIVERS\nv4_mini.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nvata]
    "ImagePath"="system32\DRIVERS\nvata.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NVENETFD]
    "ImagePath"="system32\DRIVERS\NVENETFD.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nvnetbus]
    "ImagePath"="system32\DRIVERS\nvnetbus.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nvsmu]
    "ImagePath"="system32\DRIVERS\nvsmu.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NVSvc]
    "ImagePath"="%SystemRoot%\system32\nvsvc32.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NwlnkFlt]
    "ImagePath"="system32\DRIVERS\nwlnkflt.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NwlnkFwd]
    "ImagePath"="system32\DRIVERS\nwlnkfwd.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\odserv]
    "ImagePath"="\"c:\program files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE\""

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ohci1394]
    "ImagePath"="system32\DRIVERS\ohci1394.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ose]
    "ImagePath"="\"c:\program files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE\""

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Parport]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PartMgr]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ParVdm]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCI]
    "ImagePath"="system32\DRIVERS\pci.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCIDump]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCIIde]
    "ImagePath"="system32\DRIVERS\pciide.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Pcmcia]
    "ImagePath"="system32\DRIVERS\pcmcia.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PDCOMP]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PDFRAME]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PDRELI]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PDRFRAME]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\perc2]
    "ImagePath"="\SystemRoot\system32\DRIVERS\perc2.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\perc2hib]
    "ImagePath"="\SystemRoot\system32\DRIVERS\perc2hib.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PerfDisk]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PerfNet]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PerfOS]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PerfProc]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pgfilter]
    "ImagePath"="\??\c:\program files\PeerGuardian2\pgfilter.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PlugPlay]
    "ImagePath"="%SystemRoot%\system32\services.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Pml Driver HPZ12]
    "ImagePath"="c:\windows\system32\HPZipm12.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PolicyAgent]
    "ImagePath"="%SystemRoot%\system32\lsass.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PptpMiniport]
    "ImagePath"="system32\DRIVERS\raspptp.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Processor]
    "ImagePath"="system32\DRIVERS\processr.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ProtectedStorage]
    "ImagePath"="%SystemRoot%\system32\lsass.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PSched]
    "ImagePath"="system32\DRIVERS\psched.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ptilink]
    "ImagePath"="system32\DRIVERS\ptilink.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PxHelp20]
    "ImagePath"="System32\Drivers\PxHelp20.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ql1080]
    "ImagePath"="\SystemRoot\system32\DRIVERS\ql1080.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Ql10wnt]
    "ImagePath"="\SystemRoot\system32\DRIVERS\ql10wnt.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ql12160]
    "ImagePath"="\SystemRoot\system32\DRIVERS\ql12160.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ql1240]
    "ImagePath"="\SystemRoot\system32\DRIVERS\ql1240.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ql1280]
    "ImagePath"="\SystemRoot\system32\DRIVERS\ql1280.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasAcd]
    "ImagePath"="system32\DRIVERS\rasacd.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasAuto]
    "ServiceDll"="%SystemRoot%\System32\rasauto.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Rasl2tp]
    "ImagePath"="system32\DRIVERS\rasl2tp.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasMan]
    "ServiceDll"="%SystemRoot%\System32\rasmans.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasPppoe]
    "ImagePath"="system32\DRIVERS\raspppoe.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Raspti]
    "ImagePath"="system32\DRIVERS\raspti.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Rdbss]
    "ImagePath"="system32\DRIVERS\rdbss.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDPCDD]
    "ImagePath"="System32\DRIVERS\RDPCDD.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDPDD]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rdpdr]
    "ImagePath"="system32\DRIVERS\rdpdr.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDPNP]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDPWD]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RDSessMgr]
    "ImagePath"="c:\windows\system32\sessmgr.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\redbook]
    "ImagePath"="system32\DRIVERS\redbook.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RemoteAccess]
    "ServiceDll"="%SystemRoot%\System32\mprdim.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rimmptsk]
    "ImagePath"="system32\DRIVERS\rimmptsk.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rimsptsk]
    "ImagePath"="system32\DRIVERS\rimsptsk.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rismxdp]
    "ImagePath"="system32\DRIVERS\rixdptsk.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rpcapd]
    "ImagePath"="\"%ProgramFiles%\WinPcap\rpcapd.exe\" -d -f \"%ProgramFiles%\WinPcap\rpcapd.ini\""

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RpcLocator]
    "ImagePath"="%SystemRoot%\system32\locator.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RpcSs]
    "ServiceDll"="%SystemRoot%\System32\rpcss.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RSVP]
    "ImagePath"="%SystemRoot%\system32\rsvp.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rtl8139]
    "ImagePath"="system32\DRIVERS\RTL8139.SYS"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SamSs]
    "ImagePath"="%SystemRoot%\system32\lsass.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SCardSvr]
    "ImagePath"="%SystemRoot%\System32\SCardSvr.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Schedule]
    "ServiceDll"="%SystemRoot%\system32\schedsvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ScsiPort]
    "ImagePath"="%SystemRoot%\system32\drivers\scsiport.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sdbus]
    "ImagePath"="system32\DRIVERS\sdbus.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Secdrv]
    "ImagePath"="system32\DRIVERS\secdrv.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\seclogon]
    "ServiceDll"="%SystemRoot%\System32\seclogon.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SENS]
    "ServiceDll"="%SystemRoot%\system32\sens.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Serial]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ServiceModelEndpoint 3.0.0.0]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ServiceModelOperation 3.0.0.0]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ServiceModelService 3.0.0.0]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Sfloppy]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess]
    "ServiceDll"="%SystemRoot%\System32\ipnathlp.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ShellHWDetection]
    "ServiceDll"="%SystemRoot%\System32\shsvcs.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Simbad]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sisagp]
    "ImagePath"="\SystemRoot\system32\DRIVERS\sisagp.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SLIP]
    "ImagePath"="system32\DRIVERS\SLIP.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SMSvcHost 3.0.0.0]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Sparrow]
    "ImagePath"="\SystemRoot\system32\DRIVERS\sparrow.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\splitter]
    "ImagePath"="system32\drivers\splitter.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Spooler]
    "ImagePath"="%SystemRoot%\system32\spoolsv.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sr]
    "ImagePath"="system32\DRIVERS\sr.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\srservice]
    "ServiceDll"="%SystemRoot%\system32\srsvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Srv]
    "ImagePath"="system32\DRIVERS\srv.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SSDPSRV]
    "ServiceDll"="%SystemRoot%\System32\ssdpsrv.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ssmdrv]
    "ImagePath"="system32\DRIVERS\ssmdrv.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\stisvc]
    "ServiceDll"="%SystemRoot%\system32\wiaservc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\streamip]
    "ImagePath"="system32\DRIVERS\StreamIP.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\swenum]
    "ImagePath"="system32\DRIVERS\swenum.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\swmidi]
    "ImagePath"="system32\drivers\swmidi.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SwPrv]
    "ImagePath"="c:\windows\system32\dllhost.exe /Processid:{9C42FB78-F72E-4689-9BA6-50B159AD6B38}"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\swwd]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\symc810]
    "ImagePath"="\SystemRoot\system32\DRIVERS\symc810.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\symc8xx]
    "ImagePath"="\SystemRoot\system32\DRIVERS\symc8xx.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sym_hi]
    "ImagePath"="\SystemRoot\system32\DRIVERS\sym_hi.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sym_u3]
    "ImagePath"="\SystemRoot\system32\DRIVERS\sym_u3.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SynTP]
    "ImagePath"="system32\DRIVERS\SynTP.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sysaudio]
    "ImagePath"="system32\drivers\sysaudio.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SysmonLog]
    "ImagePath"="%SystemRoot%\system32\smlogsvc.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TapiSrv]
    "ServiceDll"="%SystemRoot%\System32\tapisrv.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip]
    "ImagePath"="system32\DRIVERS\tcpip.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDPIPE]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDTCP]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TermDD]
    "ImagePath"="system32\DRIVERS\termdd.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TermService]
    "ServiceDll"="%SystemRoot%\System32\termsrv.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Themes]
    "ServiceDll"="%SystemRoot%\System32\shsvcs.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TlntSvr]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TosIde]
    "ImagePath"="\SystemRoot\system32\DRIVERS\toside.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TrkWks]
    "ServiceDll"="%SystemRoot%\system32\trkwks.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TSDDD]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Udfs]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UIUSys]
    "ImagePath"="system32\DRIVERS\UIUSYS.SYS"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ultra]
    "ImagePath"="\SystemRoot\system32\DRIVERS\ultra.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Update]
    "ImagePath"="system32\DRIVERS\update.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\upnphost]
    "ServiceDll"="%SystemRoot%\System32\upnphost.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UPS]
    "ImagePath"="%SystemRoot%\System32\ups.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\USBAAPL]
    "ImagePath"="System32\Drivers\usbaapl.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbaudio]
    "ImagePath"="system32\drivers\usbaudio.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbccgp]
    "ImagePath"="system32\DRIVERS\usbccgp.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbehci]
    "ImagePath"="system32\DRIVERS\usbehci.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbhub]
    "ImagePath"="system32\DRIVERS\usbhub.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbohci]
    "ImagePath"="system32\DRIVERS\usbohci.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbprint]
    "ImagePath"="system32\DRIVERS\usbprint.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbscan]
    "ImagePath"="system32\DRIVERS\usbscan.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\USBSTOR]
    "ImagePath"="system32\DRIVERS\USBSTOR.SYS"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbuhci]
    "ImagePath"="system32\DRIVERS\usbuhci.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\usbvideo]
    "ImagePath"="System32\Drivers\usbvideo.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VgaSave]
    "ImagePath"="\SystemRoot\System32\drivers\vga.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\viaagp]
    "ImagePath"="\SystemRoot\system32\DRIVERS\viaagp.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ViaIde]
    "ImagePath"="system32\DRIVERS\viaide.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vncmirror]
    "ImagePath"="system32\DRIVERS\vncmirror.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VolSnap]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VSS]
    "ImagePath"="%SystemRoot%\System32\vssvc.exe"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\W32Time]
    "ServiceDll"="%systemroot%\system32\w32time.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\W3SVC]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Wanarp]
    "ImagePath"="system32\DRIVERS\wanarp.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WDICA]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wdmaud]
    "ImagePath"="system32\drivers\wdmaud.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WebClient]
    "ServiceDll"="%SystemRoot%\System32\webclnt.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\winachsf]
    "ImagePath"="system32\DRIVERS\HSF_CNXT.sys"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Windows Workflow Foundation 3.0.0.0]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\winmgmt]
    "ServiceDll"="%SystemRoot%\system32\wbem\WMIsvc.dll"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Winsock]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WinSock2]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WinTrust]

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WmdmPmSN]
    "ServiceDll"="c:\windows\system32\mspmsnsv.dll"
    0
  10. Utilisateur anonyme
     
    Re

    ton log ComboFix est incomplet ,mais il y a eu du nettoyage de fait

    poste le à nouveau

    * Héberge le rapport sur ce site,
    >> Cijoint.fr
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * Pour t aider ,pour heberger le rapport
    * rends toi sur Cijoint.fr
    * clic sur Parcourir
    * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster ici pour que je puisse voir le rapport
    -

    ensuite pour voir

    2) Télécharge Revo Uninstaller
    >> revo-uninstaller

    * désinstalles ZHPDiag

    Tutoriel Revo Uninstaller

    >> Tutoriel Revo Uninstaller

    aprés

    3)* Télécharge ZHPDiag (de Nicolas coolman)

    * ZHPDiag est un outil de diagnostic (Réalisé par Nicolas Coolman) .
    Le logiciel permet d'effectuer un diagnostic rapide et complet de son système d'exploitation plus complet qu un rapport d'HijackThis
    Il scrute ta Base de Registre et énumère les zones sensibles qui sont susceptibles d'être infectées.


    ICI >> ZHPDiag (de Nicolas coolman)

    * Une fois le téléchargement achevé,
    * double clique sur ZHPDiag.exe et suis les instructions.
    * /!\Utilisateurs de Windows Vista et Windows 7
    >> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
    * Laisse toi guider lors de l'installation,
    * coche >> créer une icône sur le bureau
    * il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport sur ce site,
    >> Cijoint.fr
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * Pour t aider ,pour heberger le rapport
    * rends toi sur Cijoint.fr
    * clic sur Parcourir
    * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster ici pour que je puisse voir le rapport

    * ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag

    en dernier

    4) *Télécharges Malwarebytes' (mbam)

    * Logiciel de désinfection généraliste , il peut détecter et supprimer les logiciels malveillants .

    ICI >> Malwarebytes' (mbam)

    * installes + mise a jour
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir
    * Lances--> Malwarebytes (MBAM)
    * Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet
    * puis "Rechercher"
    * Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
    *Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
    * S'il t' es demandé de redémarrer, clique sur "oui "
    * aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici
    !!! Ne pas vider la quarantaine de MBAM sans avis !!!
    * Un tutoriel est à ta disposition sur ce site
    Tutoriel MalwareBytes

    Membre Contributeur sécurité CCM
    Windows Vista // Windows XP
    0
  11. mathos33 Messages postés 125 Statut Membre
     
    Pour combofix :
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijK9ijwiC.txt

    Je viens de retenter ZHPDiag, toujours rien à faire à 33% la fenêtre disparaît !

    Que faire ? Est-ce que je passe à malwarebytes ?
    0
  12. Utilisateur anonyme
     
    Re

    fais Malwarebytes comme décris



    Membre Contributeur sécurité CCM
    Windows Vista // Windows XP
    0
    1. mathos33 Messages postés 125 Statut Membre
       
      Bon je viens de lancer malwarebytes idem que ZHPDiag, la fenêtre se ferme au bout de 3 secondes après le lancement du scan !! Depuis malwarebytes est inouvrable !
      0
  13. mathos33 Messages postés 125 Statut Membre
     
    OK je fais tout ça. Je dois partir de mon bureau, je serai de retour demain à partir de 13h. Je continuerai donc à te poster les rapports à ce moment-là.

    Encore merci à toi

    A demain
    0
    1. Utilisateur anonyme
       
      Re

      Ok !!A demain

      @+
      0
  14. mathos33 Messages postés 125 Statut Membre
     
    I'm back !

    Bon comme indiqué sur le précédent message, malwarebytes idem que ZHPDiag. Disparition de la fenêtre après le lancement du scan. Je suis obligé de le désinstaller puis de le réinstaller pour pouvoir à nouveau l'ouvrir. C'est de la folie ces virus !

    Que dois-je faire ?

    Merci à toi
    0
  15. Utilisateur anonyme
     
    Salut

    1) désinstalle MBAM avec cet outil :

    1) Télécharge et installe l'outil mbam-clean.exe :
    ICI >> Mbam-clean
    * Il te sera demandé de redémarrer, laisse faire et approuve.
    * donc Redémarres ton PC

    * Après le redémarrage de l'ordinateur

    3)*Télécharges Malwarebytes' (mbam)

    * Logiciel de désinfection généraliste , il peut détecter et supprimer les logiciels malveillants .

    ICI >> Malwarebytes' (mbam)

    * installes + mise a jour
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir
    * Lances--> Malwarebytes (MBAM)
    * Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet
    * puis "Rechercher"
    * Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
    *Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
    * S'il t' es demandé de redémarrer, clique sur "oui "
    * aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici
    !!! Ne pas vider la quarantaine de MBAM sans avis !!!
    * Un tutoriel est à ta disposition sur ce site
    Tutoriel MalwareBytes

    ensuite

    3)Télécharge OTL (de OldTimer) sur ton Bureau.

    >> OTL (de OldTimer)

    * Utilisateurs Windows XP => double clique >>sur OTL.exe
    * Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur OTL.exe pour le lancer.

    coches les cases lop & purity check ainsi que en haut Tous les Utilisateurs et minimal output

    Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous >> Personalisation :


    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT


    * Cliques sur l'icône "Analyse" (en haut à gauche) .
    * Laisse le scan aller à son terme sans te servir du PC
    * A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
    * Copie et colle le contenu de OTL.Txt dans ta prochaine réponse

    * Héberge le rapport >> OTL.Txt sur ce site,
    >> Cijoint.fr
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * Pour t aider ,pour heberger le rapport
    * rends toi sur Cijoint.fr
    * clic sur Parcourir
    * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster ici pour que je puisse voir le rapport

    fais aprés de même avec le rapport >> Extras.Txt

    Membre Contributeur sécurité CCM
    Windows Vista // Windows XP
    0
  16. mathos33 Messages postés 125 Statut Membre
     
    Comme je te l'ai dit, MalwareBytes, OTL, ZHPDiag ne fonctionnent pas. J'ai beau désinstaller, réinstaller 15 fois de sutie à chaque fois que je lance un scan, la fenêtre de l'application (malwarebytes, OTL, ZHPDiag) disparaît et le logiciel n'est plus utilisable. Il n'y a rien à faire. Je peux les ouvrir mais si je lance un scan, disparition de la fenêtre et le logiciel ne peut plus être ouvert. Si je double clique sur l'icone de malwarebytes, OTL ou ZHPDiag après ce plantage, j'obtiens toujours le même message :
    "Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément."

    En résumé l'appli s'ouvre une seule fois après installation, une fois que la fenêtre se ferme automatiquement au lancement d'un scan, impossible de rouvrir l'appli.

    En espérant que tu arrives à capter ce que je tente de t'expliquer avec mes 2 mots de vocabulaire !

    dans l'attente
    0
    1. mathos33 Messages postés 125 Statut Membre
       
      Je suis totalement bloqué !

      SOS
      0
  17. Utilisateur anonyme
     
    Salut

    Regarde dans Firewall Norton ,si les applications ne sont pas bloquées ??

    ou

    Essasyes de faire ZHPDiag ,Malwarebytes ,OTL avec Norton désactivé

    Sinon

    Comme j ai bien l impression que le probléme viens de >> Norton

    tu le désinstalles

    Télécharge et exécute l'outil de désinstallation Norton

    * ICI >> outil de désinstallation Norton

    * Choisis >> * J'utilise Windows Vista/XP/2000.
    * Cliques sur >> TÉLÉCHARGER sur la même ligne

    tu conserves pour l instant la protection d Avira

    Redémarres ton PC

    et essayes de Faire ZHPDiag ,Malwarebytes ,OTL comme d écris

    0
  18. mathos33 Messages postés 125 Statut Membre
     
    C'est la galère ! J'ai désinstallé Norton à l'aide de l'outil. Rien y fait. J'ai lancé ZHPDiag et comme d'hab à 33% d'analyse la fenêtre se ferme et l'appli ne veut s'ouvrir ! Bon sang mais c'est quoi ce bordel !!!!! Sauve-moi !!!!
    0
  19. mathos33 Messages postés 125 Statut Membre
     
    Keudal ! J'ai renommé et j'ai toujours le même messsage. Impossible d'ouvrir Malwarebytes.
    0
    1. Utilisateur anonyme
       
      Re

      1) essayes comme sur le message modifié çi -dessus

      2) as-tu ton CD Windows XP
      0
  20. mathos33 Messages postés 125 Statut Membre
     
    Miracle j'ai au moins pu lancer OTL.exe depuis une clé USB.
    Tu trouveras les deux rapports ici :

    Otl.txt : http://www.cijoint.fr/cjlink.php?file=cj201009/cijbaHbXXa.txt
    Extras.txt : http://www.cijoint.fr/cjlink.php?file=cj201009/cijBpOKwv0.txt

    C'est un début !

    Merci de ta patience.
    0
  21. Utilisateur anonyme
     
    Re

    en attendant

    essayes pour voir

    Désintalles Malwarebytes

    redémarres ton PC

    1) * Télécharge Rkill de Grinler sur le bureau,
    * fait double clic pour le lancer.
    * Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
    * Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
    * si cela ne fonctionne tu passe au second Rkill COM ,ETC...

    *Rkill EXE:
    >> Rkill EXE

    * Rkill COM:
    >> Rkill COM

    * Rkill SCR:
    >> Rkill SCR

    NOTA : sa marche quand tu as une fenêtre noire qui s'ouvre rapidement et ce ferme ensuite poste le rapport crée par Rkill, tu peux le retrouver ici C:\rkill.log
    * Ps :>> Si vous redémarrez votre ordinateur, Rkill aura perdu son utilité et il vous faudra recommencer cette étape.

    2)*Télécharges Malwarebytes' (mbam)

    ICI >> Malwarebytes' (mbam)

    * sur ton bureau et pas ailleurs
    >> renomme le avant qu'il vienne sur ton bureau.
    pour ce faire fait un clic droit sur mbam.exe ,choisis "enregistrer la cible du lien sous..." et renomme le en==>VIRUS.com
    >> et pour l'emplacement choisis ton bureau et cliques sur "enregistrer"
    Fermez toutes les fenêtres ouvertes

    * Double clique >> sur VIRUS.com afin de le lancer

    * sous Windows7/ Vista --> Ne pas oublier l'élévation des privilèges
    * (Clic droit sur VIRUS.com, puis sur Exécuter en tant qu'administrateur dans le menu déroulant.)

    * installes + mise a jour
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir
    * Lances--> Malwarebytes (MBAM)
    * Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet
    * puis "Rechercher"
    * Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
    *Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
    * S'il t' es demandé de redémarrer, clique sur "oui "
    * aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici
    !!! Ne pas vider la quarantaine de MBAM sans avis !!!
    0
  • 1
  • 2