Bonjour, Je viens d'avoir un virus qui m'a fait bugger les deux disques durs que j'ai sur mon portable. Au debut je ne trouvais plus un document et je pensais donc que tout mes hard drives avaient été nettoyés comme le suggère les propriétés des disques durs. En voulant faire un recovery disk j'ai découvert que tous mes documents étaient visibles via la barre de recherche dans start et je n'ai pas de problème pour les ouvrir. Conclusion, mes documents ( musiques, textes, vidéos, images) sont invisibles mais toujours sur mon ordinateurs mais j'ai des messages "hard drives fatals error" toutes les 5 minutes et la bécanne est super lente ( elle l'était avant aussi mais la c'est abusé). Jai aussi un programme qui a fait apparition dans mon processus 26468128.exe Et, j'ai un message d'erreur qui me dit que mes "clusters" sont endommagés et que mes informations ne sont plus protégés. Je suis a la veille de mes examens et mon taux de réussite et fortement lié à la santé de mon ordinateur. A tel point que je serai ptet meme obligé d'en acheter un nouveau en vitesse. Est ce que quelqu'un à une idée pour me sauver dans cette situation? Merci d'avance Charly Configuration: Mac OS X / Safari 533.21.1

salut &#9654 Télécharge sur le bureau RogueKiller (par tigzy) &#9654 &#9654 Sous Windows XP, double clic gauche &#9654 &#9654 Sous Vista/Seven, clique droit, lancer en tant qu'administrateur &#9654 Quitte tous tes programmes en cours &#9654 Lance RogueKiller.exe. &#9654 Un scan se lance, puis tu verra d'indiqué dans la fenêtre &#9654 &#9654 1. Scan (écrit en vert) &#9654 &#9654 2. Delete (écrit en rouge) &#9654 &#9654 3. Hosts RAZ (écrit en rouge) &#9654 &#9654 4. Proxy RAZ (écrit en rouge) &#9654 &#9654 5. DNS RAZ (écrit en rouge) &#9654 &#9654 6. Raccourcis RAZ (écrit en rouge) &#9654 A ce moment tape 2 et valide Note: s'il te demande de supprimer le proxy, tape 4 &#9654 Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse &#9654 Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe ========== relance le option 6 et poste également son rapport

ooooh clickpotatoe et tdss :o) jolie collection sur ton ordi ^^ on vérifie quand même ;) &#9654 Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau &#9654 Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) &#9654 Clique sur Start Scan &#9654 Si l'outil a trouvé des éléments, choisi Cure, puis sur Reboot Now &#9654 Le PC va redémarrer, et un rapport va s'ouvrir &#9654 Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer N° de version_Date_Heure_log.txt) ========================================== &#9654 Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) OU https://www.androidworld.fr/ ( Miroir ) /!\ Ferme toutes applications en cours /!\ &#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. &#9654 Sur la page, clique sur le bouton « Scanner » &#9654 Confirme lancement du scan &#9654 Laisse travailler l'outil. &#9654 Poste le rapport qui apparaît à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt) (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

il me manque extras :) avec filtrage : tout ce qui est processus windows c'est effacé pour y voir plus clair évaluation tout y est tu me feras parvenir extras plus tard pour l'instant: &#9654 Télécharge UsbFix (TeamXScript) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement. &#9654 Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir &#9654 Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu'administrateur, l'installation se fera automatiquement XP : double clic sur UsbFix &#9654 Clique sur "Recherche" &#9654 Laisse travailler l'outil &#9654 A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur) ============================================= redémarre en mode sans échec &#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE &#9654 Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : KillAll:: Domains:: &#9654 Enregistre ce fichier sous le nom CFScript &#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif &#9654 Combofix se lance, laisse toi guider.. &#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. &#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis &#9654 Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ======================== en attente de : -USBFix Recherche -Combofix -extras.txt de OTL

Virus, tous les documents invisibles

Réponse 1 / 13

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
15 avril 2011 à 22:59

salut

▶ Télécharge sur le bureau RogueKiller (par tigzy)

▶ ▶ Sous Windows XP, double clic gauche

▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu'administrateur

▶ Quitte tous tes programmes en cours
▶ Lance RogueKiller.exe.
▶ Un scan se lance, puis tu verra d'indiqué dans la fenêtre
▶ ▶ 1. Scan (écrit en vert)
▶ ▶ 2. Delete (écrit en rouge)
▶ ▶ 3. Hosts RAZ (écrit en rouge)
▶ ▶ 4. Proxy RAZ (écrit en rouge)
▶ ▶ 5. DNS RAZ (écrit en rouge)
▶ ▶ 6. Raccourcis RAZ (écrit en rouge)
▶ A ce moment tape 2 et valide
Note: s'il te demande de supprimer le proxy, tape 4
▶ Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe

==========

relance le option 6 et poste également son rapport

charlydethibault
15 avril 2011 à 23:21

Voila, c'est fait, par contre impossible de retrouver le programme sur mon drive, j'ai du l'ouvrir directeement de ma page web:

Option2:

RogueKiller V4.3.8 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: admin [Droits d'admin]
Mode: Suppression -- Date : 15/04/2011 23:15:04

Processus malicieux: 3
[APPDT/TMP/DESKTOP] cacaoweb.exe -- c:\users\admin\appdata\roaming\cacaoweb\cacaoweb.exe -> KILLED
[APPDT/TMP/DESKTOP] kptxnrv.exe -- c:\users\admin\appdata\local\kptxnrv.exe -> KILLED
[APPDT/TMP/DESKTOP] XjFfFSETuJNIM.exe -- c:\programdata\xjfffsetujnim.exe -> KILLED

Entrees de registre: 5
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : cacaoweb ("C:\Users\admin\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : kptxnrv ("c:\users\admin\appdata\local\kptxnrv.exe" kptxnrv) -> DELETED
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : XjFfFSETuJNIM (C:\ProgramData\XjFfFSETuJNIM.exe) -> DELETED
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{4B85EEE5-9625-49A6-9336-65FFB15DE49E} : NameServer (188.165.58.207,88.191.224.203) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{4B85EEE5-9625-49A6-9336-65FFB15DE49E} : NameServer (188.165.58.207,88.191.224.203) -> NOT REMOVED, USE DNSFIX

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Option 6:

RogueKiller V4.3.8 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: admin [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 15/04/2011 23:19:08

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 217 / Fail 0
Lancement rapide: Success 11 / Fail 0
Programmes: Success 1 / Fail 0
Menu demarrer: Success 78 / Fail 0
Dossier utilisateur: Success 2814 / Fail 0
Mes documents: Success 1541 / Fail 0
Mes favoris: Success 26 / Fail 0
Mes images: Success 1244 / Fail 0
Ma musique: Success 4285 / Fail 1
Mes videos: Success 0 / Fail 0
Disques locaux: Success 35399 / Fail 3

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Merci beaucoup pour ton aide en tout cas!

Charly

charlydethibault
15 avril 2011 à 23:26

Incroyables tous mes fichiers sont réapparu et plus de messages d'erreurs! mille fois merci.

Par contre j'ai un programme "Windows Recovery" qui s'est installé en meme temps que le virus. Il a un logo de pièce de puzzle. Je peux lui faire confiance?

Il y a un truc que je dois encore checker pour etre sur que tt est ok?

Tu m'as vraiment sauvé la mise sur ce coup la, je me demandais deja ou j'allais trouver l'argent pour en acheter un noueau.

mille fois merci

Charly

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
15 avril 2011 à 23:26

non non non lance pas windows recovery c est le rogue

https://forums.commentcamarche.net/forum/affich-21836581-virus-tous-les-documents-invisibles#5

Réponse 2 / 13

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
15 avril 2011 à 23:25

réponds par le bouton vert

voilà tu as retrouvé tes doc et le rogue est inactif mais toujours présent, on l'éradique

▶ Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau.

▶ ▶ Miroir 1 si inaccessible

▶ ▶ Miroir 2 si inaccessible

▶ ▶ /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
▶ Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour
▶ si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte
▶ Une fois la mise à jour terminée
▶ rends-toi dans l'onglet Recherche
▶ Sélectionne Exécuter un examen complet
▶ Clique sur Rechercher
▶ ▶ Le scan démarre.
▶ A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique sur Ok pour poursuivre.
▶ Si des malwares ont été détectés, cliques sur Afficher les résultats
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
▶ Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

▶ ▶ Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
▶ Une fois le PC redémarré, rends toi dans l'onglet rapport/log
▶ Tu clique dessus pour l'afficher, une fois affiché
▶ Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

▶ ▶ Si tu n'arrive pas à le mettre à jour, télécharge ce fichier

===============================

réparation des services endommagés :

Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique.

Télécharge Pre_scan (de gen-hackman)

♦ Enregistre le sur ton bureau

▶ Exécute Pre_scan. Si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

♦ Colle le contenu du rapport "Pre_Scan.txt" qui apparaîtra; à terme, sur ton bureau.

===============================

j'attends donc MBAM + Pre_Scan
A+

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 01:47

PRE SCAN

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.0.30 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤ XP | Vista | Seven - 32/64 ¤

Mis à jour le 15/04/2011 | 16.00 par g3n-h@ckm@n
Utilisateur : admin (Administrateurs)
Ordinateur : PC-DE-ADMIN

Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Internet Explorer : 7.0.6000.17037
Mozilla Firefox : 3.0.19 (fr)

Scan : 01:39:06 | 16/04/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\Windows\system32\userinit.exe, -> C:\Windows\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[.exe] : exefile
[exefile | command] : "%1" %*
[.com] : comfile
[comfile | command] : "%1" %*
[.scr] : scrfile
[scrfile | command] : "%1" /S
[.bat] : batfile
[batfile | command] : "%1" %*
[.cmd] : cmdfile
[cmdfile | command] : "%1" %*
[.pif] : piffile
[piffile | command] : "%1" %*

¤

[Firefox | Command] | @ -> Modification apportée : C:\Program Files\Mozilla Firefox\firefox.exe -> "C:\Program Files\Mozilla Firefox\Firefox.exe"
[Firefox - Safemode | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode -> "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode
[IE | Command] | @ -> Modification apportée : C:\Program Files\Internet Explorer\iexplore.exe -> "C:\Program Files\Internet Explorer\iexplore.exe"
[Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" %1 -> "C:\Program Files\Internet Explorer\iexplore.exe" %1
[Chrome | Command] | @ -> Modification apportée : "C:\Users\admin\AppData\Local\Google\Chrome\Application\chrome.exe" -> "C:\Program Files\Google\Chrome\Application\chrome.exe"

¤

¤

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[Ndisuio] | Start -> Aucune modification : 3 -> 3
[lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
[LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
[agp440] | Start -> Modification apportée : 3 -> 2 : Service Redemarré
[Bits] | Start -> Aucune modification : 2 -> 2 : Service Actif
[CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[EapHost] | Start -> Modification apportée : 3 -> 2 : Service Actif
[Wlansvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[SharedAccess] | Start -> Modification apportée : 4 -> 2 : Service Redemarré
[windefend] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Actif
[WerSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
[wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKCU | Main] | Start Page -> Modification apportée : about:blank -> https://www.google.com/?gws_rd=ssl
[HKCU | Main] | Local Page -> Aucune Modification : C:\Windows\system32\blank.htm -> C:\Windows\system32\blank.htm
[HKCU | Main] | Search Page -> Modification apportée : https://www.google.com/?gws_rd=ssl -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

[HKLM | Main] | Start Page -> Modification apportée : https://www.msn.com/nl-be?cobrand=hp.msn.com&ocid=HPDHP&pc=HPDTDF&checklang=1 -> https://www.msn.com/fr-fr/?ocid=iehp
[HKLM | Main] | Local Page -> Modification apportée : %SystemRoot%\system32\blank.htm -> C:\Windows\system32\blank.htm
[HKLM | Main] | Default_Search_URL -> Aucune Modification : https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
[HKLM | Main] | Default_Page_URL -> Modification apportée : https://www.msn.com/nl-be?cobrand=hp.msn.com&ocid=HPDHP&pc=HPDTDF&checklang=1 -> https://www.msn.com/fr-fr/?ocid=iehp
[HKLM | Main] | Search Page -> Aucune Modification : https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

C:\Windows\explorer.exe -> Processus stoppé
C:\Windows\RtHDVCpl.exe -> Processus stoppé

¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤

Supprimé : [HKCU\..\..\Mountpoints2\{283abfa5-c112-11dd-abbb-001b24b8b745}] -> command : vytjhfsr.exe
Supprimé : [HKCU\..\..\Mountpoints2\{427f8314-0e37-11de-80ed-001b24b8b745}] -> command : C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
Supprimé : [HKCU\..\..\Mountpoints2\{7297e8e0-604e-11df-9119-001b24b8b745}] -> command : G:\LaunchU3.exe -a
Supprimé : [HKCU\..\..\Mountpoints2\{85e53f8c-f018-11df-a1e4-001b24b8b745}] -> command : ZERAVICA\\\\\\\\\\LONDON.exe
Supprimé : [HKCU\..\..\Mountpoints2\{8dde1122-b1a6-11de-afab-001b24b8b745}] -> command : C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
Supprimé : [HKCU\..\..\Mountpoints2\{969e8fc2-4ac1-11df-a794-001b24b8b745}] -> command : ludasambila\\\stosamkrila.exe
Supprimé : [HKCU\..\..\Mountpoints2\{c9f606bb-38cc-11de-91dd-001b24b8b745}] -> command : G:\LaunchU3.exe -a
Supprimé : [HKCU\..\..\Mountpoints2\{e30ec8ca-bcd8-11dd-8b8c-001b24b8b745}] -> command : G:\load.exe /CDROM
Supprimé : [HKCU\..\..\Mountpoints2\{e30ec8dd-bcd8-11dd-8b8c-001b24b8b745}] -> command : G:\xih9.cmd

¤¤¤¤¤¤¤¤¤¤ MBR ¤¤¤¤¤¤¤¤¤¤

MBRCheck, version 1.2.3

(c) 2010, AD

Command-line: -za C:\MBR\MBR.bin

Windows Version: Windows Vista Home Premium Edition

Windows Information: (build 6000), 32-bit

Base Board Manufacturer: Quanta

BIOS Manufacturer: Hewlett-Packard

System Manufacturer: Hewlett-Packard

System Product Name: HP Pavilion dv6500 Notebook PC

Logical Drives Mask: 0x0000001c

Analysis of file "C:\MBR\MBR.bin":

Unknown MBR code

Done!
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Fin : 01:39:35

¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 01:48

en fait j'avais bien plus qu'un malware sur mon ordi. Il va meme plus vite qu'avant. Merci!

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 01:49

ah non j ai eu deux fois pre scan ^^

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 01:53

ouais pardon je viens de le voir ausi

MBAM

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6370

Windows 6.0.6000
Internet Explorer 7.0.6000.17037

16/04/2011 1:23:39
mbam-log-2011-04-16 (01-23-39).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 325724
Temps écoulé: 1 heure(s), 44 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 33
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 11
Fichier(s) infecté(s): 31

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{1602F07D-8BF3-4c08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{C55CA95C-324B-451C-B2D2-6E895AA75FEC} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{30B15818-E110-4527-9C05-46ACE5A3460D} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ClickPotatoLiteAX.info.1 (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ClickPotatoLiteAX.info (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1602F07D-8BF3-4C08-BDD6-DDDB1C48AEDC} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7A3D6D17-9DD5-4C60-8076-D1784DABAF8C} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{814BAA91-DC22-4350-87D6-0C86E93F7F08} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{419EDA30-6DFF-432C-B534-E15D899ABEE4} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MenuButtonIE.ButtonIE.1 (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MenuButtonIE.ButtonIE (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{AC6D819E-AA8F-4418-A3BB-D165C1B18BB5} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ClickPotatoLiteAX.UserProfiles.1 (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ClickPotatoLiteAX.UserProfiles (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AC6D819E-AA8F-4418-A3BB-D165C1B18BB5} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{69725738-CD68-4f36-8D02-8C43722EE5DA} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ClickPotatoLiteSA (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\VAC.Video (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\MenuButtonIE.DLL (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\32 Vegas Casino (Adware.21Nova) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Casino Tropez (Adware.Casino) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\clickpotatolitesa (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\32 Vegas Casino (Adware.21Nova) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Casino Tropez (Adware.Casino) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ClickPotatoLite (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MediaRoverCodec (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions\ClickPotatoLite@ClickPotatoLite.com (Adware.ClickPotato) -> Value: ClickPotatoLite@ClickPotatoLite.com -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\programdata\2aca5cc3-0f83-453d-a079-1076fe1a8b65 (Adware.Seekmo) -> Quarantined and deleted successfully.
c:\programdata\clickpotatolitesa (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\Users\admin\AppData\Roaming\clickpotatolite (Adware.ClickPotato) -> Delete on reboot.
c:\program files\clickpotatolite (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.646.0 (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.646.0\firefox (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.646.0\firefox\extensions (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.646.0\firefox\extensions\plugins (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\mediarovercodec (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\programdata\microsoft\Windows\start menu\Programs\clickpotato (Adware.ClickPotato) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\program files\clickpotatolite\bin\10.0.646.0\clickpotatolitesaax.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.646.0\clickpotatolitesabho.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\plugins\npclntax_clickpotatolitesa.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\live-player\live-player.exe (Adware.Dropper) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.646.0\clickpotatolitesahook.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.646.0\clickpotatoliteuninstaller.exe (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.646.0\launchhelp.dll (Adware.Seekmo) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.646.0\firefox\extensions\plugins\npclntax_clickpotatolitesa.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programdata\26468128.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\programdata\xjfffsetujnim.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\admin\AppData\Local\Temp\setup2512377536.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\admin\AppData\Local\Temp\setup2572339776.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\admin\AppData\Local\Temp\tmp2FD6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\admin\AppData\Local\Temp\err.log1004802 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\admin\AppData\Local\Temp\4A5A.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\admin\downloads\vlcsetup(2).exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\Users\admin\downloads\VLCSetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\Users\admin\downloads\xvidsetup(2).exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\Users\admin\downloads\xvidsetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\Windows\System32\rk_quarantine\xjfffsetujnim.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programdata\clickpotatolitesa\clickpotatolitesa.dat (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programdata\clickpotatolitesa\clickpotatolitesaabout.mht (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programdata\clickpotatolitesa\clickpotatolitesaau.dat (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programdata\clickpotatolitesa\clickpotatolitesaeula.mht (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programdata\clickpotatolitesa\clickpotatolitesa_kyf.dat (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\clickpotatolite\bin\10.0.646.0\firefox\extensions\install.rdf (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\program files\mediarovercodec\install.ico (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\program files\mediarovercodec\uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\programdata\microsoft\Windows\start menu\Programs\clickpotato\About Us.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programdata\microsoft\Windows\start menu\Programs\clickpotato\clickpotato customer support.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.
c:\programdata\microsoft\Windows\start menu\Programs\clickpotato\clickpotato uninstall instructions.lnk (Adware.ClickPotato) -> Quarantined and deleted successfully.

Réponse 3 / 13

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 01:57

ooooh clickpotatoe et tdss :o)

jolie collection sur ton ordi ^^

on vérifie quand même ;)

▶ Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau
▶ Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
dessus, et sur exécuter en tant qu'administrateur)
▶ Clique sur Start Scan
▶ Si l'outil a trouvé des éléments, choisi Cure,
puis sur Reboot Now
▶ Le PC va redémarrer, et un rapport va s'ouvrir
▶ Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
N° de version_Date_Heure_log.txt)

==========================================

▶ Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )

/!\ Ferme toutes applications en cours /!\

▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Scanner »
▶ Confirme lancement du scan
▶ Laisse travailler l'outil.
▶ Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 02:19

jai voulu mettre deux le texte mais il disparait a chaque fois...

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 02:22

mangés par les robots ...

envoie les sur cijoint et poste moi les liens ;)

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 02:27

http://www.cijoint.fr/cjlink.php?file=cj201104/cijUKjwFOs.txt

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 02:30

pour TDSS le programme ne se lance pas

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 02:31

me manque tdss killer
oooh navipromo ^^

relance ad-remover en Nettoyage
accepte le redémarrage
poste le rapport c:\ad-report[clean]1

Réponse 4 / 13

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 03:05

bizarre ça ...

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

▶ Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\
tutoriel combofix

▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

▶ /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\

▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

▶ ▶ SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

▶ Mets-le en langue française F

▶ Tape sur la touche 1 (Yes) pour démarrer le scan.

▶ Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

▶En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

▶ Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

▶ Note : Le rapport se trouve également là : C:\ComboFix.txt

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 10:56

voila c est finalement fait. Par contre jai eu un peu peur juste apres le nettoyage car je recevais un message 'erreur qui disait que tous mes fichiers étaient en "tentative de suppression", j'ai redémarré puis ct bon...

ComboFix 11-04-15.01 - admin 16/04/2011 3:29.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.0.1252.32.1036.18.2038.1207 [GMT 2:00]
Lancé depuis: c:\users\admin\Desktop\charly.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
c:\programdata\Microsoft\Network\Downloader\qmgr1.dat
c:\users\admin\AppData\Roaming\Adobe\plugs
c:\users\admin\AppData\Roaming\Adobe\shed
c:\users\admin\AppData\Roaming\cacaoweb
c:\users\admin\AppData\Roaming\cacaoweb\adstorage.db
c:\users\admin\AppData\Roaming\cacaoweb\cacaoweb.exe
c:\users\admin\AppData\Roaming\cacaoweb\storage.db
c:\windows\system32\Ijl11.dll
.
----- BITS: Il y a peut-être des sites infectés -----
.
hxxp://au.download.windowsupdate.comj+|Cv+@J:NGD_DQ{zZOmOJu<fHwcy.'Java Update
Une copie infectée de c:\windows\system32\drivers\volsnap.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_Boonty Games
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-03-16 au 2011-04-16 ))))))))))))))))))))))))))))))))))))
.
.
2011-04-16 01:38 . 2011-04-16 01:44 -------- d-----w- c:\users\admin\AppData\Local\temp
2011-04-16 01:38 . 2011-04-16 01:38 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-04-16 00:05 . 2011-04-16 00:05 -------- d-----w- c:\program files\Ad-Remover
2011-04-15 23:39 . 2011-04-15 23:39 -------- d-----w- C:\Kill'em
2011-04-15 21:28 . 2011-04-15 21:28 -------- d-----w- c:\users\admin\AppData\Roaming\Malwarebytes
2011-04-15 21:28 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-15 21:28 . 2011-04-15 21:28 -------- d-----w- c:\programdata\Malwarebytes
2011-04-15 21:28 . 2011-04-15 21:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-04-15 21:15 . 2011-04-15 23:23 -------- d-----w- c:\windows\system32\RK_Quarantine
2011-04-15 19:59 . 2011-03-15 04:05 6792528 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{E3163DFE-B2BE-41BC-9F05-E1DDCD5EBA85}\mpengine.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-29 20:26 . 2011-01-29 09:21 89 ---ha-w- c:\users\admin\AppData\Local\yrcwpa.bat
2011-02-02 17:11 . 2009-10-03 10:19 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-01-28 20:29 . 2010-11-29 01:05 89 ---ha-w- c:\users\admin\AppData\Local\ykvhzlhr.bat
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-10 1232896]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-09 26100520]
"CollaborationHost"="c:\windows\system32\p2phost.exe" [2006-11-02 191488]
"Google Update"="c:\users\admin\AppData\Local\Google\Update\GoogleUpdate.exe" [2011-01-02 136176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-10-09 729088]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-13 827392]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-09 4390912]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-04-23 176128]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-03-12 50696]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-13 148888]
"CognizanceTS"="c:\progra~1\BIOSCR~1\VeriSoft\Bin\ASTSVCC.dll" [2003-12-22 17920]
"Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 517768]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-01-02 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-01-02 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-01-02 133656]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-12 281768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
.
c:\users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]
Samsung Auto Backup Guage.lnk - c:\program files\Clarus\Samsung Auto Backup\ISFGuage.exe [2010-8-18 888832]
Samsung Auto Backup Real-Time Daemon.lnk - c:\program files\Clarus\Samsung Auto Backup\ISFRealTimeD.exe [2010-8-18 77824]
Samsung Auto Backup Scheduler.lnk - c:\program files\Clarus\Samsung Auto Backup\ISFTimerD.exe [2010-8-18 102400]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
McAfee Security Scan.lnk - c:\program files\McAfee Security Scan\1.0.150\SSScheduler.exe [2009-7-28 199184]
Palo Alto Software Update Manager 9.0.lnk - c:\program files\Common Files\Palo Alto Software\9.0\PAS9_Update.exe [2006-9-5 122880]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\Avira\AntiVir Desktop\avmailc.exe [2010-11-12 339624]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\Avira\AntiVir Desktop\AVWEBGRD.EXE [2010-11-12 403624]
R3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-12 36608]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-12-20 38224]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-03-19 717296]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-12 135336]
S2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe [2006-11-02 22016]
S2 ASChannel;Local Communication Channel;c:\windows\System32\svchost.exe [2006-11-02 22016]
S2 Ast Service;Ast Service;c:\windows\system32\\AstSrv.exe [2008-01-07 57344]
S2 MSR Service;Virtual Disk Service Manager;c:\program files\Clarus\Samsung SecretZone\MSSvc.exe [2010-03-12 114688]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-16 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2010-10-25 19:55]
.
2011-04-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2026435096-2264274691-3204308196-1000Core.job
- c:\users\admin\AppData\Local\Google\Update\GoogleUpdate.exe [2011-01-02 22:51]
.
2011-04-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2026435096-2264274691-3204308196-1000UA.job
- c:\users\admin\AppData\Local\Google\Update\GoogleUpdate.exe [2011-01-02 22:51]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
TCP: {4B85EEE5-9625-49A6-9336-65FFB15DE49E} = 188.165.58.207,88.191.224.203
FF - ProfilePath - c:\users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\fnzyj1qa.default\
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: browser.startup.homepage - www.google.com
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-QlbCtrl - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
HKLM-Run-hpWirelessAssistant - %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
HKLM-Run-WAWifiMessage - %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
AddRemove-Convert Image To PDF_is1 - c:\program files\Softinterface
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-16 03:44
Windows 6.0.6000 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(3092)
c:\windows\system32\APSHook.dll
c:\program files\Bioscrypt\VeriSoft\Bin\ItClient.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Bioscrypt\VeriSoft\Bin\AsGHost.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\system32\AstSrv.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\HP\QuickPlay\Kernel\TV\CLSched.exe
c:\windows\system32\conime.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Heure de fin: 2011-04-16 03:49:47 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-04-16 01:49
.
Avant-CF: 41.392.406.528 octets libres
Après-CF: 40.816.685.056 octets libres
.
- - End Of File - - 75673C19B0214ABCA3774529FB2C3E13

Réponse 5 / 13

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
15 avril 2011 à 22:59

A oui aussi, il est impossible de faire une restauration car les fichiers sont "introuvables"

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
15 avril 2011 à 23:00

https://forums.commentcamarche.net/forum/affich-21836581-virus-tous-les-documents-invisibles#1

Réponse 6 / 13

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 12:04

salut

▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

▶ Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

KillAll::

File::
c:\users\admin\AppData\Local\yrcwpa.bat 
c:\users\admin\AppData\Local\ykvhzlhr.bat

▶ Enregistre ce fichier sous le nom CFScript

▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

▶ Combofix se lance, laisse toi guider..

▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 12:21

ComboFix se lance, je vois la barre d'avancée qui se complete, puis elle se ferme et puis plus rien...

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 12:22

c'est ballot ! ^^

2 sec stp on va bouger ça autrement je te prépare un truc

Réponse 7 / 13

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 12:23

▶ Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

▶ Double-clique sur OTM.exe pour le lancer.

▶ Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.

 
:processes
explorer.exe
:files
c:\users\admin\AppData\Local\yrcwpa.bat 
c:\users\admin\AppData\Local\ykvhzlhr.bat 
:commands
[emptytemp]
[emptyflash]
[start explorer]

▶ Clique sur MoveIt! puis ferme OTM.

▶ Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

▶ Accepte en cliquant sur YES.

▶ Poste le rapport situé dans C:\_OTM\MovedFiles.

▶ Le nom du rapport correspond au moment de sa création : date_heure.log

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 12:32

voila, mes fichiers cachés sont devenus visibles, c'est normal?

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
c:\users\admin\AppData\Local\yrcwpa.bat moved successfully.
c:\users\admin\AppData\Local\ykvhzlhr.bat moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: admin
->Temp folder emptied: 937581 bytes
->Temporary Internet Files folder emptied: 1661663 bytes
->Java cache emptied: 2365819 bytes
->FireFox cache emptied: 75430421 bytes
->Google Chrome cache emptied: 358800668 bytes
->Flash cache emptied: 123282 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Dominique HUGO
->Temp folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 37683 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 419,00 mb

OTM by OldTimer - Version 3.1.17.2 log created on 04162011_122537

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 12:33

et je ne connais pas de dominique HUGO? Cest un user sur mon ordi?

Réponse 8 / 13

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 12:34

oui c'est normal pour tes fichiers cachés on a tout restaurer car les tiens étaient cachés par le rogue

▶ Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

▶ Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

▶ Lance OTL
▶ Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c

▶ Clique sur le bouton Analyse.
▶ Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 13:10

document : https://pjjoint.malekal.com/files.php?read=8e8756f4b5121212

evaluation rapport avec filtrage légitime : https://pjjoint.malekal.com/files.php?read=8e8756f4b5121212&html=on&filtre=legitime

evaluation rapport: https://pjjoint.malekal.com/files.php?read=8e8756f4b5121212&html=on

C'est quoi la difference entre les deux derniers?

Réponse 9 / 13

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 13:15

il me manque extras :)

avec filtrage : tout ce qui est processus windows c'est effacé pour y voir plus clair
évaluation tout y est

tu me feras parvenir extras plus tard pour l'instant:

▶ Télécharge UsbFix (TeamXScript) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.

▶ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

▶ Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu'administrateur, l'installation se fera automatiquement
XP : double clic sur UsbFix

▶ Clique sur "Recherche"

▶ Laisse travailler l'outil

▶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

=============================================

redémarre en mode sans échec

▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

▶ Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

KillAll::

Domains::

▶ Enregistre ce fichier sous le nom CFScript

▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

▶ Combofix se lance, laisse toi guider..

▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

========================

en attente de :
-USBFix Recherche
-Combofix
-extras.txt de OTL

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 13:23

voila pour USD fix, je continue la procédure...

############################## | UsbFix 7.043 | [Recherche]

Utilisateur: admin (Administrateur) # PC-DE-ADMIN [Hewlett-Packard HP Pavilion dv6500 Notebook PC]
Mis à jour le 12/04/2011 par TeamXscript
Lancé à 13:21:28 | 16/04/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-Bit) #
Internet Explorer 7.0.6000.17037

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.56 [(!) Disabled | (!) Outdated]
RAM -> 2038 Mo
C:\ (%systemdrive%) -> Disque fixe # 143 Go (33 Go libre(s) - 23%) [] # NTFS
D:\ -> Disque fixe # 6 Go (22 Mo libre(s) - 0%) [HP_RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> Disque fixe # 466 Go (331 Go libre(s) - 71%) [SAMSUNG] # FAT32

################## | Éléments infectieux |

Présent! F:\Autorun.inf

################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |

################## | Vaccin |

F:\Autorun.inf -> Vaccin créé par Panda USB Vaccine

################## | E.O.F |

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 13:24

extra OTL

OTL Extras logfile created on: 16/04/2011 12:41:43 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Users\admin\Desktop
Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.17037)
Locale: 0000080C | Country: Belgique | Language: FRB | Date Format: d/MM/yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 47,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 71,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 143,01 Gb Total Space | 38,27 Gb Free Space | 26,76% Space Free | Partition Type: NTFS
Drive D: | 6,04 Gb Total Space | 0,02 Gb Free Space | 0,35% Space Free | Partition Type: NTFS

Computer Name: PC-DE-ADMIN | User Name: admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]

[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.bat [@ = batfile] -- Reg Error: Key error. File not found
.cmd [@ = cmdfile] -- Reg Error: Key error. File not found
.com [@ = comfile] -- Reg Error: Key error. File not found
.exe [@ = exefile] -- Reg Error: Key error. File not found
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[color=#E56717]========== Firewall Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\BitTorrent\bittorrent.exe" = C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent

[color=#E56717]========== Vista Active Open Ports Exception List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{05FF44D9-1C60-4EAB-9B54-149706407354}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{16B483CF-AF32-4192-A71B-32B733A06209}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{1ACBA9D4-4646-4BF2-BC46-49644130F046}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{22DF24BD-32A0-4985-81D9-7F2CF37C8C31}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{25885551-7120-4A20-8757-CDADAF7370B0}" = lport=2869 | protocol=6 | dir=in | app=system |
"{2BF20C69-57DB-435C-9CCB-0D9D808C825E}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{313EE8FF-8A0E-44E2-BA45-859077597CB1}" = rport=445 | protocol=6 | dir=out | app=system |
"{32274FC0-086D-4394-A043-4A33E2C7EEA5}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{375D0AB7-616A-43E5-9E61-2DFAAAC4CB6F}" = rport=137 | protocol=17 | dir=out | app=system |
"{377C837C-2EAB-4B83-8713-487F204AA475}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{3A5456F0-851B-40F3-BF1B-246E1E038A0B}" = rport=139 | protocol=6 | dir=out | app=system |
"{568CDB73-765E-47B7-A934-3C67BFAABE56}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{63ED6C70-65D8-462E-87C8-58EB2654FFBF}" = lport=445 | protocol=6 | dir=in | app=system |
"{6419AAFA-887E-44A5-BF20-253B77267D5F}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{6EEFEFC7-9354-474A-B32E-82D7D924A656}" = lport=139 | protocol=6 | dir=in | app=system |
"{6F8DF6CF-94C6-483C-8885-F3574039C236}" = lport=138 | protocol=17 | dir=in | app=system |
"{72567BC0-4896-4A67-B12B-72037A837DBC}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{79A13DCF-2053-4727-9E88-28BE206887D0}" = rport=10243 | protocol=6 | dir=out | app=system |
"{7BA95E88-B580-446F-91C2-AB833BEB8AA9}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{7BE2D710-F06D-4A24-A317-C076203983A5}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{7F8280EB-2BBC-4753-94EF-C6A4E30070A5}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{9C6D3103-44D4-4B34-96AF-581177C4EC6F}" = lport=137 | protocol=17 | dir=in | app=system |
"{ADFEE8E4-D6E4-4C43-9618-8B8202CFCEE8}" = rport=138 | protocol=17 | dir=out | app=system |
"{B58FBB12-B149-4DD4-AF92-9DE62A58B5F9}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{B9ED951A-BCCD-43AE-B62D-3727BA78B18E}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{B9EDF08C-A1AC-4D0B-9C91-162867F47EBE}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe |
"{C0C93A7E-45F1-4CAD-9A86-7E9BF74ECEF4}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{C52265D9-3D80-4BB4-A0D4-EB05E453D150}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{C62345CE-0312-4350-913A-B287549CCAA3}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{CE39146A-8954-48D6-B36D-3E850167B497}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=svchost.exe |
"{D8805939-DE8C-437F-AD56-9D3E9732273F}" = lport=2869 | protocol=6 | dir=in | app=system |
"{DC4EDEAC-65CD-411D-998B-01350BFFC40B}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe |
"{DD487964-C370-4E8C-89A6-85F9818F2F2A}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe |
"{DF5EF952-6BFA-436B-A9EA-769FF982733B}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{F0E0F70C-3DD0-43FB-8016-D0E7B234B935}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe |
"{F637A267-5544-4EDE-A9AB-99E1EDFA4BDE}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe |
"{FECFF895-9C94-4841-8F02-5ACDE3CAA826}" = lport=10243 | protocol=6 | dir=in | app=system |

[color=#E56717]========== Vista Active Application Exception List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{027F4C46-9FEE-4FE9-9F8A-2902F4AC10A1}" = protocol=6 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsvsvr.exe |
"{1173D919-C99A-450F-80EC-CC19637CB8C7}" = protocol=17 | dir=in | app=c:\program files\veoh networks\veohwebplayer\veohwebplayer.exe |
"{1489BD41-9C42-401E-908A-797C98A67C07}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{14BC8723-4D6D-4E5D-983F-2073D25F5F41}" = protocol=6 | dir=in | app=c:\program files\itunes\itunes.exe |
"{1EBE072D-14D5-4FCE-AE7D-3D90ABC1F731}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{20AF167A-B6A9-4625-BA64-C79AC258FE1B}" = dir=in | app=c:\program files\hp\quickplay\qpservice.exe |
"{2A4065AA-1F95-492A-B6E7-368B190E1679}" = protocol=6 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsasvr.exe |
"{2B5764DE-4AEC-412A-993C-5B092767588F}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe |
"{2F106D9C-B43F-48AD-A96D-F53412CC00AE}" = dir=in | app=c:\program files\hp\quickplay\qp.exe |
"{2F476AC4-E824-4CEC-B03C-505B6333A031}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{31304829-69BA-458B-969F-F3DDE676B6CB}" = protocol=6 | dir=in | app=c:\program files\voipwise.com\voipwise\voipwise.exe |
"{376017F1-F7C2-4ADA-B23A-DB55025D074D}" = protocol=6 | dir=in | app=c:\program files\limewire\limewire.exe |
"{376BD301-601B-47DE-8A5A-8CFA7DBAC1E8}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"{469553FC-9B41-48D7-B1B8-7F0873354370}" = protocol=6 | dir=in | app=c:\program files\voipstunt.com\voipstunt\voipstunt.exe |
"{472347EC-1C2F-4D9F-958A-E5F281A80485}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{4AB51392-ACE6-44D3-803C-DBE826141B78}" = protocol=17 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsasvr.exe |
"{4BAE161C-6521-45D3-90F9-888557C26DDB}" = protocol=6 | dir=out | app=system |
"{54221FBC-6682-4E79-97A9-6FF8873F6312}" = protocol=17 | dir=in | app=c:\program files\skype\phone\skype.exe |
"{57E6D12E-63EC-4A8C-9210-168FB7392098}" = protocol=17 | dir=in | app=c:\program files\bittorrent\bittorrent.exe |
"{5B4C87E7-C324-40F1-AAE8-EF392A9DE15E}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe |
"{5E01F031-01B6-42E2-A1DF-C7FE52A6852A}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{628FDBB1-1318-4974-BAF4-DC2BEB943423}" = protocol=17 | dir=in | app=c:\program files\dna\btdna.exe |
"{6AE831CF-E274-4897-B4B0-352928510B1C}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{6B8FF5A0-B9DA-43BA-9C6E-A59E2A3BAA0D}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{6C2194B2-BEAC-4C50-BB6C-76593436337E}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe |
"{6C713AC8-B6EF-4D5D-8798-B94437ADF61F}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{6EF13126-CEDC-4627-AA46-6F6DA7EDFCDA}" = protocol=6 | dir=in | app=c:\program files\bittorrent\bittorrent.exe |
"{7437BD95-95EB-422C-AC47-610003A5CBCC}" = protocol=17 | dir=in | app=c:\program files\samsung\samsung new pc studio\npsvsvr.exe |
"{810E09EC-EDDA-4074-83D5-F77A946A4933}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{89A8F904-E2E9-4399-BF69-DF22F396E189}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{89D7A8C7-BD32-4AE5-9BB6-5ADB97E64DC4}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{8CA2762D-9397-4E09-AE0A-DA533AD42B72}" = protocol=6 | dir=in | app=c:\program files\veoh networks\veohwebplayer\veohwebplayer.exe |
"{93084CCB-9C66-4050-9347-5A0A0CD2A2FE}" = protocol=6 | dir=in | app=c:\program files\utorrent\utorrent.exe |
"{97532881-C0D3-4C19-B97C-6DB80CADC59B}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{9A60CB11-7889-4427-831E-8E8F83D6A618}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe |
"{9A6DA25A-873A-49C9-95DA-6653D2189560}" = protocol=17 | dir=in | app=c:\program files\itunes\itunes.exe |
"{9CE231EF-3EB9-4FE6-8973-2D25D79A378C}" = protocol=17 | dir=in | app=c:\program files\voipwise.com\voipwise\voipwise.exe |
"{A626E58C-F96B-422E-9B0C-C871F4849966}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe |
"{B0479A56-E2BA-4C08-B2A3-BADA836244FB}" = protocol=17 | dir=in | app=c:\program files\limewire\limewire.exe |
"{B050D7C3-D8A7-4A08-A603-E9B2188FFFC4}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{C8DBE44A-036B-4834-AFA8-47DD36A8984E}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe |
"{D2DCAB0B-28E9-489E-A6ED-A6FF99CB2466}" = dir=in | app=c:\program files\windows live\messenger\livecall.exe |
"{E0B2801A-0963-49B6-8623-2972FC53AB12}" = protocol=6 | dir=in | app=c:\program files\dna\btdna.exe |
"{E1336171-BBA8-43D7-B155-828CAEACA39B}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe |
"{E2B0853D-2646-4279-869B-743E90959D74}" = protocol=17 | dir=in | app=c:\program files\voipstunt.com\voipstunt\voipstunt.exe |
"{E7C269AB-6579-4CB1-98A9-E83477EBC966}" = protocol=17 | dir=in | app=c:\program files\utorrent\utorrent.exe |
"{F9D80565-BD33-4836-9F86-1D259BC5636D}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{FE3DF0EA-1E55-46F0-BC14-D7083073799A}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe |
"TCP Query User{55DD56D5-8EB0-4BAB-BE85-9626D873DFA2}C:\users\admin\program files\dna\btdna.exe" = protocol=6 | dir=in | app=c:\users\admin\program files\dna\btdna.exe |
"TCP Query User{6E9976E4-C790-43DD-8933-90384E0C6E91}C:\program files\utorrent\utorrent.exe" = protocol=6 | dir=in | app=c:\program files\utorrent\utorrent.exe |
"TCP Query User{798AABC2-DB50-48C0-AE5E-EE9DC84D4091}C:\program files\risk ii\riskii.rwg" = protocol=6 | dir=in | app=c:\program files\risk ii\riskii.rwg |
"TCP Query User{9D615A46-D414-4DB7-BD3B-876EAE3B9B21}C:\users\admin\programmes installation\age of empires ii\age2_x1.exe" = protocol=6 | dir=in | app=c:\users\admin\programmes installation\age of empires ii\age2_x1.exe |
"TCP Query User{A621A76A-4A08-43B9-A62A-88A305BA3245}C:\program files\java\jre6\bin\java.exe" = protocol=6 | dir=in | app=c:\program files\java\jre6\bin\java.exe |
"TCP Query User{A8C91BA4-CA0E-4ED8-BAA4-2633D3ADBD96}C:\program files\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files\mozilla firefox\firefox.exe |
"TCP Query User{B91A5E6D-3EDB-402F-8A31-BF7B071A407B}C:\users\admin\program files\bittorrent\bittorrent.exe" = protocol=6 | dir=in | app=c:\users\admin\program files\bittorrent\bittorrent.exe |
"TCP Query User{DA6C03E7-EEC4-4502-9AEF-EAF357164815}C:\users\admin\appdata\roaming\cacaoweb\cacaoweb.exe" = protocol=6 | dir=in | app=c:\users\admin\appdata\roaming\cacaoweb\cacaoweb.exe |
"UDP Query User{0054E47A-C6F0-4442-AB22-3350A3BDD27A}C:\program files\utorrent\utorrent.exe" = protocol=17 | dir=in | app=c:\program files\utorrent\utorrent.exe |
"UDP Query User{3358B1D1-041A-4B32-9579-27E458435AE9}C:\program files\risk ii\riskii.rwg" = protocol=17 | dir=in | app=c:\program files\risk ii\riskii.rwg |
"UDP Query User{3E7D5274-55E4-4D38-ADEC-158D852A6880}C:\users\admin\program files\bittorrent\bittorrent.exe" = protocol=17 | dir=in | app=c:\users\admin\program files\bittorrent\bittorrent.exe |
"UDP Query User{4FEBB323-C0F0-4EBF-8901-36E6F6706444}C:\program files\java\jre6\bin\java.exe" = protocol=17 | dir=in | app=c:\program files\java\jre6\bin\java.exe |
"UDP Query User{72C350BE-870A-427B-853E-305A09A5EB03}C:\users\admin\program files\dna\btdna.exe" = protocol=17 | dir=in | app=c:\users\admin\program files\dna\btdna.exe |
"UDP Query User{91A38C56-08F2-4620-A549-D206220C36BB}C:\users\admin\programmes installation\age of empires ii\age2_x1.exe" = protocol=17 | dir=in | app=c:\users\admin\programmes installation\age of empires ii\age2_x1.exe |
"UDP Query User{9963E3F5-252B-4367-B0B2-5BFACD0838AE}C:\users\admin\appdata\roaming\cacaoweb\cacaoweb.exe" = protocol=17 | dir=in | app=c:\users\admin\appdata\roaming\cacaoweb\cacaoweb.exe |
"UDP Query User{EAEB4FAA-A3E9-4AE9-B46B-423863F07260}C:\program files\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files\mozilla firefox\firefox.exe |

[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0289B35E-DC07-4c7a-9710-BBD686EA4B7D}" = Status
"{0394CDC8-FABD-4ed8-B104-03393876DFDF}" = Roxio Creator Tools
"{082702D5-5DD8-4600-BCE5-48B15174687F}" = HP Doc Viewer
"{0ABA40AF-288D-41F1-B735-C5155692CD7D}" = VeriSoft Access Manager
"{0CFD3BAF-9F4D-4D70-BD0B-638EA2504C25}" = PSSWCORE
"{0D2E9DCB-9938-475E-B4DD-8851738852FF}" = AIO_Scan
"{0D397393-9B50-4c52-84D5-77E344289F87}" = Roxio Creator Data
"{11F93B4B-48F0-4A4E-AE77-DFA96A99664B}" = Roxio Creator EasyArchive
"{1746EA69-DCB6-4408-B5A5-E75F55439CDF}" = Scan
"{179C56A4-F57F-4561-8BBF-F911D26EB435}" = WebReg
"{1AE3E621-E0C0-4aa1-B10B-B3E353A8D110}" = c3100_Help
"{1E0FF527-971B-4BBF-83D1-987E8DEE437D}" = OpenOffice.org 2.4
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20585CDC-114E-4372-986A-0686B1A37A30}" = Business Plan Pro 2007
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{254C37AA-6B72-4300-84F6-98A82419187E}" = ActiveCheck component for HP Active Support Library
"{2614F54E-A828-49FA-93BA-45A3F756BFAA}" = 32 Bit HP CIO Components Installer
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 13
"{282E5AB2-8E47-4571-B6FA-6B512555B557}" = HP Photosmart.All-In-One Driver Software 8.0 .A
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{290B83AA-093A-45BF-A917-D1C4A1E8D917}" = HP Active Support Library
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java(TM) SE Runtime Environment 6
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java(TM) 6 Update 4
"{336A609A-6ECC-4E05-B320-CCC085BF7EA7}" = MSCU for Microsoft Vista
"{33C65B6A-5D73-4E3E-A1F9-127C27BD3F72}" = Roxio MyDVD Basic v9
"{34D2AB40-150D-475D-AE32-BD23FB5EE355}" = HP Quick Launch Buttons 6.20 B1
"{35E1EC43-D4FC-4E4A-AAB3-20DDA27E8BB0}" = Roxio Activation Module
"{36FDBE6E-6684-462B-AE98-9A39A1B200CC}" = HP Product Assistant
"{39CB30DB-27F8-4dd4-A294-CB4AE3B584FD}" = Copy
"{40F7AED3-0C7D-4582-99F6-484A515C73F2}" = HP Easy Setup - Frontend
"{44F5A980-8A6B-4aca-8D85-EFCE5D67D379}" = AIO_CDA_ProductContext
"{45D707E9-F3C4-11D9-A373-0050BAE317E1}" = HP QuickPlay 3.2
"{494367EC-82A9-4C0D-A788-74A967998E8C}" = FXCM Trading Station
"{49F2B650-2D7B-4F59-B33D-346F63776BD3}" = DocProc
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{5ECB3A3C-980B-4D12-9724-25DCB07A1F47}" = iTunes
"{619CDD8A-14B6-43a1-AB6C-0F4EE48CE048}" = Roxio Creator Copy
"{66491E5A-7899-4863-A2E9-057E10BCB578}" = Samsung SecretZone
"{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}" = Roxio Express Labeler 3
"{669D4A35-146B-4314-89F1-1AC3D7B88367}" = HPAsset component for HP Active Support Library
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{67D3F1A0-A1F2-49b7-B9EE-011277B170CD}" = HPProductAssistant
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6B1CB38D-E2E4-4a30-933D-EFDEBA76AD9C}" = Microsoft Works
"{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder
"{7E84FAC8-C518-40F9-9807-7455301D6D25}" = SamsungConnectivityCableDriver
"{821D6F49-1B20-4809-8C73-286CFC52B1B1}" = Samsung Auto Backup
"{83FFCFC7-88C6-41c6-8752-958A45325C82}" = Roxio Creator Audio
"{87E2B986-07E8-477a-93DC-AF0B6758B192}" = DocProcQFolder
"{8A253629-0511-4854-8B4E-46E57E66005C}" = Bonjour
"{8CEA85DE-955B-4BF4-87F2-0BAA62821633}" = HP Photosmart Essential2.5
"{90120000-0020-040C-0000-0000000FF1CE}" = Module de compatibilité pour Microsoft Office System 2007
"{9061CEF2-51F5-42C9-8A70-9ED351C6597A}" = HP Help and Support
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel Matrix Storage Manager
"{9085040C-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003
"{95D08F4E-DFC2-4ce3-ACB7-8C8E206217E9}" = MarketResearch
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9C2D4047-0E40-499a-AC7A-C4B9BB12FE03}" = TrayApp
"{9DE1BE03-AFE2-4CDB-BFEB-D06D736CD01A}" = Apple Mobile Device Support
"{A36CD345-625C-4d6c-B3E2-76E1248CB451}" = SolutionCenter
"{A87B11AC-4344-4E5D-8B12-8F471A87DAD9}" = LightScribe 1.4.136.1
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AB5E289E-76BF-4251-9F3F-9B763F681AE0}" = HP Customer Experience Enhancements
"{AB61E316-F10B-43eb-B47F-42095835F9CC}" = C3100
"{AC599724-5755-48C1-ABE7-ABB857652930}" = PC Connectivity Solution
"{AC76BA86-7AD7-1036-7B44-A81200000003}" = Adobe Reader 8.1.2 - Français
"{AF1C9345-B53D-4110-BFBF-A0DD83AEAB83}" = AIO_CDA_Software
"{B61B6668-A674-4A06-8405-51944D5CCDDD}" = AuthenTec Fingerprint Sensor Minimum Install
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{BE77A81F-B315-4666-9BF3-AE70C0ADB057}" = BufferChm
"{C716522C-3731-4667-8579-40B098294500}" = Toolbox
"{C8B0680B-CDAE-4809-9F91-387B6DE00F7C}" = Roxio Creator Basic v9
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D050D7362D214723AD585B541FFB6C11}" = DivX Content Uploader
"{D0E39A1D-0CEE-4D85-B4A2-E3BE990D075E}" = Destination Component
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype(TM) 4.2
"{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}" = Assistant de connexion Windows Live
"{D32067CD-7409-4792-BFA0-1469BCD8F0C8}" = HP Wireless Assistant
"{DB3AE42A-AAED-49CC-9B87-55A181BCC868}" = ESU for Microsoft Vista
"{DBA4DB9D-EE51-4944-A419-98AB1F1249C8}" = LiveUpdate Notice (Symantec Corporation)
"{DBEA1034-5882-4A88-8033-81C4EF0CFA29}" = Google Toolbar for Internet Explorer
"{DDFD9BA2-8E26-4E49-92AE-882424DAB1BC}" = HP User Guides 0057
"{E06F04B9-45E6-4AC0-8083-85F7515F40F7}" = UnloadSupport
"{E56B8E1D-8E90-46DC-AE55-EBA87ED69A5F}" = WHS ProStation
"{EB21A812-671B-4D08-B974-2A347F0D8F70}" = HP Photosmart Essential
"{EB75DE50-5754-4F6F-875D-126EDF8E4CB3}" = HPSSupply
"{EEEB604C-C1A7-4f8c-B03F-56F9C1C9C45F}" = Fax
"{EF1ADA5A-0B1A-4662-8C55-7475A61D8B65}" = DeviceDiscovery
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FAB0C302-CB18-4A7A-BA03-C3DC23101A68}" = HP Active Support Library 32 bit components
"{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}" = Windows Live installer
"{FE0646A7-19D0-41B4-A2BB-2C35D644270D}" = Windows Live OneCare safety scanner
"{FE57DE70-95DE-4B64-9266-84DA811053DB}" = HP Update
"3A5DEFA413DDE699DBA6EBE0A63534ACA524D30F" = Package de pilotes Windows - Nokia pccsmcfd (10/12/2007 6.85.4.0)
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Ad-Remover" = Ad-Remover par C_XX
"Avira AntiVir Desktop" = Avira AntiVir Premium
"CCleaner" = CCleaner
"Comptes Personnels 4.00" = Comptes Personnels 4.00
"EPSON Scanner" = EPSON Scan
"Express" = Express Dictate
"ExpressRip" = Express Rip
"Free Sound Recorder" = Free Sound Recorder
"FXCM Trading Station" = FXCM Trading Station
"Glary Utilities_is1" = Glary Utilities 2.29.0.1032
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HijackThis" = HijackThis 1.99.1
"HP Imaging Device Functions" = HP Imaging Device Functions 8.0
"HP Photosmart Essential" = HP Photosmart Essential 2.0
"HP Solution Center & Imaging Support Tools" = HP Solution Center 8.0
"HPExtendedCapabilities" = HP Customer Participation Program 8.0
"HPOCR" = HP OCR Software 8.0
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"McAfee Security Scan" = McAfee Security Scan
"MetaStock Professional 11.0" = MetaStock Professional 11.0
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Movies2iPhone" = Movies2iPhone .74b
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"Picasa 3" = Picasa 3
"Prism" = Prism Video Converter
"R for Windows 2.12.1_is1" = R for Windows 2.12.1
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"Satsuki Decoder Pack" = Satsuki Decoder Pack
"SMSERIAL" = Motorola SM56 Data Fax Modem
"SoundTap" = SoundTap Streaming Audio Recorder
"Switch" = Switch Sound File Converter
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Voipwise_is1" = Voipwise
"WavePad" = WavePad Sound Editor
"WinRAR archiver" = WinRAR archiver
"Xvid_is1" = Xvid 1.2.1 final uninstall

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Capturino V2.12" = Capturino V2.12
"CodeBlocks" = CodeBlocks
"Digital Image Tool 1.4" = Digital Image Tool 1.4
"Google Chrome" = Google Chrome
"InstallShield_{E56B8E1D-8E90-46DC-AE55-EBA87ED69A5F}" = WHS ProStation
"Muziic Player & Encoder" = Muziic Player & Encoder
"uTorrent" = µTorrent

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 22/05/2010 12:41:50 | Computer Name = PC-de-admin | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 64631

Error - 22/05/2010 12:41:52 | Computer Name = PC-de-admin | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second

Error - 22/05/2010 12:41:52 | Computer Name = PC-de-admin | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 66363

Error - 22/05/2010 12:41:52 | Computer Name = PC-de-admin | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 66363

Error - 22/05/2010 12:41:54 | Computer Name = PC-de-admin | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second

Error - 22/05/2010 12:41:54 | Computer Name = PC-de-admin | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 67938

Error - 22/05/2010 12:41:54 | Computer Name = PC-de-admin | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 67938

Error - 22/05/2010 12:41:55 | Computer Name = PC-de-admin | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second

Error - 22/05/2010 12:41:55 | Computer Name = PC-de-admin | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 69529

Error - 22/05/2010 12:41:55 | Computer Name = PC-de-admin | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 69529

[ Media Center Events ]
Error - 16/04/2008 10:37:57 | Computer Name = PC-de-admin | Source = MCUpdate | ID = 0
Description = DownloadPackgeTask.SubTasksComplete : échec du téléchargement du package
MCESpotlight.

[ System Events ]
Error - 16/04/2011 4:49:37 | Computer Name = PC-de-admin | Source = Service Control Manager | ID = 7022
Description =

Error - 16/04/2011 4:49:37 | Computer Name = PC-de-admin | Source = Service Control Manager | ID = 7022
Description =

Error - 16/04/2011 4:50:07 | Computer Name = PC-de-admin | Source = Service Control Manager | ID = 7022
Description =

Error - 16/04/2011 4:50:07 | Computer Name = PC-de-admin | Source = Service Control Manager | ID = 7001
Description =

Error - 16/04/2011 4:53:35 | Computer Name = PC-de-admin | Source = Service Control Manager | ID = 7000
Description =

Error - 16/04/2011 4:53:35 | Computer Name = PC-de-admin | Source = Service Control Manager | ID = 7000
Description =

Error - 16/04/2011 4:53:35 | Computer Name = PC-de-admin | Source = Service Control Manager | ID = 7001
Description =

Error - 16/04/2011 4:53:35 | Computer Name = PC-de-admin | Source = Service Control Manager | ID = 7001
Description =

Error - 16/04/2011 4:54:31 | Computer Name = PC-de-admin | Source = Service Control Manager | ID = 7022
Description =

Error - 16/04/2011 6:25:38 | Computer Name = PC-de-admin | Source = Service Control Manager | ID = 7034
Description =

[ VeriSoft Events ]
Error - 8/07/2010 0:49:16 | Computer Name = PC-de-admin | Source = AuthWiz | ID = 100796068
Description = The submitted credentials were rejected. User: admin@PC-DE-ADMIN Credentials:
Fingerprints Error: (0xC5161001) The fingerprints provided do not match.

Error - 8/07/2010 0:49:22 | Computer Name = PC-de-admin | Source = AuthWiz | ID = 100796068
Description = The submitted credentials were rejected. User: admin@PC-DE-ADMIN Credentials:
Fingerprints Error: (0xC5161001) The fingerprints provided do not match.

Error - 18/07/2010 20:18:40 | Computer Name = PC-de-admin | Source = AuthWiz | ID = 100796068
Description = The submitted credentials were rejected. User: admin@PC-DE-ADMIN Credentials:
Fingerprints Error: (0xC5161001) The fingerprints provided do not match.

Error - 18/07/2010 20:18:44 | Computer Name = PC-de-admin | Source = AuthWiz | ID = 100796068
Description = The submitted credentials were rejected. User: admin@PC-DE-ADMIN Credentials:
Fingerprints Error: (0xC5161001) The fingerprints provided do not match.

Error - 18/07/2010 20:18:49 | Computer Name = PC-de-admin | Source = AuthWiz | ID = 100796068
Description = The submitted credentials were rejected. User: admin@PC-DE-ADMIN Credentials:
Fingerprints Error: (0xC5161001) The fingerprints provided do not match.

Error - 11/08/2010 13:04:30 | Computer Name = PC-de-admin | Source = AuthWiz | ID = 100796068
Description = The submitted credentials were rejected. User: admin@PC-DE-ADMIN Credentials:
Fingerprints Error: (0xC5161001) The fingerprints provided do not match.

Error - 9/10/2010 18:31:23 | Computer Name = PC-de-admin | Source = AuthWiz | ID = 100796068
Description = The submitted credentials were rejected. User: admin@PC-DE-ADMIN Credentials:
Fingerprints Error: (0xC5161001) The fingerprints provided do not match.

Error - 9/10/2010 18:31:28 | Computer Name = PC-de-admin | Source = AuthWiz | ID = 100796068
Description = The submitted credentials were rejected. User: admin@PC-DE-ADMIN Credentials:
Fingerprints Error: (0xC5161001) The fingerprints provided do not match.

Error - 20/10/2010 2:27:54 | Computer Name = PC-de-admin | Source = AuthWiz | ID = 100796068
Description = The submitted credentials were rejected. User: admin@PC-DE-ADMIN Credentials:
Fingerprints Error: (0xC5161001) The fingerprints provided do not match.

Error - 12/12/2010 6:06:31 | Computer Name = PC-de-admin | Source = AuthWiz | ID = 100796068
Description = The submitted credentials were rejected. User: admin@PC-DE-ADMIN Credentials:
Fingerprints Error: (0xC5161001) The fingerprints provided do not match.

< End of report >

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 13:51

en attente du combofix ?

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 14:41

l'ordi ne redémare ni normalement ni en mode sans echec... J'ai une page noire avec la souris.

Je fais quoi?

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 14:48

est-ce que tu sais booter sur la console de récupération ?

Réponse 10 / 13

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 17:14

voilà on continue ici :)

en fait, combofix a planté, et a supprimé certainement un truc qu'il ne fallait pas.

là on a restauré tout ce qu'il a supprimé.

je suis vraiment désolé pour ce contretemps qui n'aurait pas du arriver...

bref, on continue :

relance usbfix, clique cette fois sur suppression
ton bureau va disparaître, c est normal.
quand il aura fini poste moi son rapport, et redémarre ton ordinateur

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 17:20

aucun programme ne veut s'ouvrir, .txt., .doc, firefox, Internet Explorer et il a l'air de reflechir beaucoup. Le signale de recherche apprarait à coté de la souris ( anciennement sablier) mais rien ne s'ouvre

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 17:21

redémarre le pc .. ?

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 17:32

up ?

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 17:33

oui il est reparti:

############################## | UsbFix 7.043 | [Suppression]

Utilisateur: admin (Administrateur) # PC-DE-ADMIN [Hewlett-Packard HP Pavilion dv6500 Notebook PC]
Mis à jour le 12/04/2011 par TeamXscript
Lancé à 17:28:10 | 16/04/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-Bit) #
Internet Explorer 7.0.6000.17037

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.56 [(!) Disabled | (!) Outdated]
RAM -> 2038 Mo
C:\ (%systemdrive%) -> Disque fixe # 143 Go (33 Go libre(s) - 23%) [] # NTFS
D:\ -> Disque fixe # 6 Go (22 Mo libre(s) - 0%) [HP_RECOVERY] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2026435096-2264274691-3204308196-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-2026435096-2264274691-3204308196-1000

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |

################## | Listing |

[16/04/2011 - 17:30:00 | D ] C:\$RECYCLE.BIN
[16/04/2011 - 08:35:52 | D ] C:\32788R22FWJFW
[16/04/2011 - 02:36:05 | N | 6627] C:\Ad-Report-CLEAN[1].txt
[16/04/2011 - 02:26:32 | N | 6756] C:\Ad-Report-SCAN[1].txt
[23/03/2009 - 13:00:35 | D ] C:\AHCache
[28/12/2007 - 18:07:41 | D ] C:\backup
[01/01/2008 - 16:06:48 | D ] C:\Boonty
[19/05/2007 - 00:57:19 | D ] C:\boot
[02/11/2006 - 11:53:57 | N | 438840] C:\bootmgr
[16/04/2011 - 03:49:48 | N | 11311] C:\ComboFix.txt
[12/01/2011 - 02:30:10 | N | 80384] C:\Cotations20100111.xls
[01/01/2008 - 16:13:13 | D ] C:\DNData
[02/11/2006 - 15:02:03 | D ] C:\Documents and Settings
[18/05/2007 - 14:52:56 | D ] C:\HP
[02/03/2008 - 04:11:03 | D ] C:\Intel
[16/04/2011 - 01:39:06 | D ] C:\Kill'em
[18/08/2010 - 21:06:12 | D ] C:\Log
[30/03/2007 - 16:31:52 | D ] C:\MCPP
[15/11/2010 - 13:26:58 | D ] C:\MetaStock Data
[05/01/2002 - 03:40:20 | N | 487424] C:\msvcp70.dll
[05/01/2002 - 03:37:28 | N | 344064] C:\msvcr70.dll
[16/04/2011 - 17:23:34 | ASH | 2451374080] C:\pagefile.sys
[16/04/2011 - 02:35:24 | D ] C:\Program Files
[16/04/2011 - 02:35:24 | D ] C:\ProgramData
[16/04/2011 - 03:49:52 | D ] C:\Qoobox
[28/12/2007 - 16:34:32 | D ] C:\SwSetup
[16/04/2011 - 12:43:52 | SHD ] C:\System Volume Information
[15/04/2011 - 21:42:25 | D ] C:\System.sav
[04/12/2010 - 16:07:37 | D ] C:\tempocapt
[11/07/2009 - 13:09:10 | N | 594] C:\updatedatfix.log
[16/04/2011 - 17:30:00 | D ] C:\UsbFix
[16/04/2011 - 17:28:23 | A | 2933] C:\UsbFix.txt
[23/10/2010 - 23:31:29 | D ] C:\Users
[16/04/2011 - 16:43:45 | D ] C:\Windows
[16/04/2011 - 12:25:37 | D ] C:\_OTM
[16/04/2011 - 17:30:00 | D ] D:\$RECYCLE.BIN
[11/09/2005 - 17:18:54 | N | 340] D:\AUTOMODE
[28/12/2007 - 16:31:30 | N | 13] D:\BLOCK.RIN
[28/12/2007 - 22:59:39 | D ] D:\boot
[04/10/2006 - 01:02:44 | N | 438328] D:\bootmgr
[03/11/2006 - 21:43:28 | SH | 117] D:\Desktop.ini
[10/09/2002 - 18:14:28 | N | 8134] D:\Folder.htt
[28/12/2007 - 22:59:39 | D ] D:\HP
[29/12/2007 - 07:22:51 | N | 698] D:\MASTER.LOG
[02/01/2008 - 19:18:01 | N | 528] D:\MediaID.bin
[02/01/2008 - 19:22:18 | D ] D:\PC-DE-ADMIN
[28/12/2007 - 22:59:39 | D ] D:\preload
[03/11/2005 - 17:19:52 | N | 181736] D:\protect.ed
[28/12/2007 - 22:59:39 | RD ] D:\RECOVERY
[28/12/2007 - 22:59:39 | D ] D:\SOURCES
[28/12/2007 - 22:59:39 | SHD ] D:\System Volume Information
[28/12/2007 - 22:59:40 | D ] D:\Tools
[29/12/2007 - 07:23:07 | N | 0] D:\USER
[28/12/2007 - 22:59:39 | D ] D:\WINDOWS

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-ADMIN.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

Réponse 11 / 13

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 17:34

je t'avoue avoir eu peur !!! :o(

je suis soulagé c est très bien pour usbfix !

repasse OTL, suite à ce contretemps avec combo

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 17:42

au moins tu auras ressenti ce que j'ai ressenti et j'aurais appris pas mal de choses! :o).

OTL lancé...

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 17:43

c est quand même étrange que combofix ait passé 2 fois sans soucis, puis au troisième coup qu'il débloque !

en attente de OTL

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 18:02

OTL

Acceder au document : https://pjjoint.malekal.com/files.php?read=6b71525c8e91515
Evaluer son rapport de scan OTL, HijackThis, ZHPDiag etc avec filtrage des lignes légitimes : https://pjjoint.malekal.com/files.php?read=6b71525c8e91515&html=on&filtre=legitime
Evaluer son rapport de scan OTL, HijackThis, ZHPDiag etc : https://pjjoint.malekal.com/files.php?read=6b71525c8e91515&html=on

EXTRA
Acceder au document : https://pjjoint.malekal.com/files.php?read=c956fd83ef61315
Evaluer son rapport de scan OTL, HijackThis, ZHPDiag etc avec filtrage des lignes légitimes : https://pjjoint.malekal.com/files.php?read=c956fd83ef61315&html=on&filtre=legitime
Evaluer son rapport de scan OTL, HijackThis, ZHPDiag etc : https://pjjoint.malekal.com/files.php?read=c956fd83ef61315&html=on

Réponse 12 / 13

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 18:10

parfait :)

finalisation :

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL

FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.param.yahoo-fr: "megaup"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "megaup"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.search.useDBForOrder: true
[2011/04/15 21:42:39 | 000,000,000 | -H-D | M] (cacaoweb) -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\fnzyj1qa.default\extensions\cacaoweb@cacaoweb.org
[2009/12/23 19:53:54 | 000,002,384 | -H-- | M] () -- C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\fnzyj1qa.default\searchplugins\Search Solver.xml
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {1660B308-BECB-4062-890D-396B2FBBC8CA} - No CLSID value found.
[2011/04/15 20:55:22 | 000,000,344 | ---- | M] () -- C:\ProgramData\26468128
[2011/04/15 20:55:51 | 000,000,120 | -H-- | M] () -- C:\ProgramData\~26468128

:commands
[emptytemp]
[start explorer]
[reboot]

▶ Clique sur « Correction » et laisse l'outil travailler. L'ordinateur redémarre.

▶ Copie/colle la totalité du rapport dans ta prochaine réponse.

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 18:36

je suis reparti du stade initiale. La souris et l'écran noir. je vais redemarrer et refaire ce qu'on avait fait avant. Mais je pense qu'il va falloir oulbier OTL :)

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 18:37

je n'ai pourtant rien viré de légitime, des traces de ask, cacaoweb, et un reste du rogue, c est tout :s

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 18:43

je suis reparti dans les commandes et s'était effectivement de nouveau X:/ la il est relancé, je ne suis pas encore dans Windows mais j'attends comme la dernière fois ca avait pris du temps

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 avril 2011 à 18:44

oui attends, puis redémarre le pc ...

c est étrange, tu avais lancé OTL en mode admin ?

charlydethibault Messages postés 57 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 17 septembre 2011
16 avril 2011 à 18:45

ben voila il est reparti et refonctionne. J' espère maintenant que je devrai pas chaque le relancer avec la commande :)

Réponse 13 / 13

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 avril 2011 à 13:50

oui mais c'est bizarre ça quand même :-\
y'a rien dans mon script qui justifie ça !

refais un scan personnalisé avec OTL stp (on a déjà fait)

Virus, tous les documents invisibles

13 réponses

Discussions similaires