envoi de mails à l'insu de mon plein gréRésolu/Fermé

Question

Bonjour, 

Je riais bien des "imbéciles" qui sont infectés et dont je reçois des spams chaque jour, je crois qu'aujourd'hui je suis devenu moi aussi un "imbecile"!

J'ai 3 comptes dans windows live mail, 2 hotmail + 1 professionnel.

J'ai laissé tourner mon pc cet après-midi et en revenant, surprise, le pc bloqué. Reboot, je me rends compte que j'avais envoyé un mail spammé à tout mon carnet d'adresses via 1 compte hotmail,un lien d'un site proposant du viagra...
J'ai analysé via mon antivirus bitdefender total security, qui n'a retrouvé que quelques cookies.... 

Que faire?
Merci!


Configuration: Windows 7 / Internet Explorer 9.0

juju666 · Accepted Answer

Bonjour,

1/ Change tes mots de passe 
2/ 

Nous allons effectuer un diagnostic de ton PC: 
&#9654 Télécharge ZHPDiag 

&#9654 Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

&#9654 Clique sur l''icône représentant une loupe (« Lancer le diagnostic ») 

&#9654 Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau :

Voici comment procéder

&#9654 Rends toi sur pjjoint.malekal.com 
&#9654 Clique sur le bouton Parcourir 
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir 
&#9654 Clique sur le bouton Envoyer 
&#9654 Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse. 

A bientôt.

greglomba · Answer

Merci Juju!

Voici le lien: 
http://pjjoint.malekal.com/files.php?id=9453a75d35y6m12h13v9u9s6z12b13p12p15r15m11d12p15j11e9u15z13r5b15

Bonne journée

juju666 · Answer

Bonjour,

C'est toi qui a fait ça ? : 

[HKCU\Software\Test A]
O43 - CFD: 4/30/2011 - 9:22:44 AM - [75049318] ----D- C:\Users\Grégory\AppData\Roaming\Test-A


&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


[MD5.92D3F0A86BC22548A0BCB7C802675E8F] [SPRF][4/4/2011] (.iMesh Inc. - iMesh.) -- C:\Users\Grégory\AppData\Local\Temp\iMesh_setup.exe   [2346552]   
[MD5.690028094EF21CD702D871205B5446D0] [SPRF][7/15/2010] (...) -- C:\Users\Grégory\AppData\Local\Temp\Install.exe   [2805803]  
[HKLM\Software\Classes\Applications\iMeshV10.exe] 



&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur

________________________

&#9654 Télécharge UsbFix (TeamXScript) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement. 

&#9654  Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...)  sans les ouvrir  

&#9654 Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu''administrateur, l''installation se fera automatiquement 
              XP : double clic sur UsbFix

&#9654 Clique sur "Recherche" 

&#9654 Laisse travailler l''outil 

&#9654 A la fin, le rapport va s''afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur) 

&#9654 Aide en images : Tutoriel "Recherche"

greglomba · Answer

Voici les 2 rapports:
Rapport de ZHPFix 1.12.3345 par Nicolas Coolman, Update du 29/07/2011
Fichier d'export Registre : 
Run by Grégory at 8/5/2011 10:04:22 AM
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\Classes\Applications\iMeshV10.exe

========== Fichier(s) ==========
SUPPRIME File: c:\users\grégory\appdata\local	emp\imesh_setup.exe
SUPPRIME File: c:\users\grégory\appdata\local	emp\install.exe


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\ZHP\ZHPFixReport.txt

et pour usb fix:
############################## | UsbFix 7.054 | [Recherche]

Utilisateur: Grégory (Administrateur) # GRÉGORY-PC [Acer Aspire Z5610]
Mis à jour le 04/08/2011 par El Desaparecido
Lancé à 10:16:17 | 05/08/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) # Service Pack 1
Internet Explorer 9.0.8112.16421

Pare-feu Windows: Activé
RAM -> 4093 Mo 
C:\ (%systemdrive%) -> Disque fixe # 458 Go (345 Go libre(s) - 75%) [Acer] # NTFS
D:\ -> Disque fixe # 458 Go (442 Go libre(s) - 97%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque fixe # 233 Go (224 Go libre(s) - 96%) [HDD Intenso] # NTFS

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\H
Shell\AutoRun\Command = H:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{6a0e0aec-2aae-11e0-85ee-000df08073f2}
Shell\AutoRun\Command = G:\SETUP.EXE
Shell\configure\Command = G:\SETUP.EXE
Shell\install\Command = G:\SETUP.EXE

HKCU\.\.\.\.\Explorer\MountPoints2\{819dfd95-711d-11e0-acf2-000df08073f2}
Shell\AutoRun\Command = F:\SETUP.EXE
Shell\configure\Command = F:\SETUP.EXE
Shell\install\Command = F:\SETUP.EXE

HKCU\.\.\.\.\Explorer\MountPoints2\{bd8ff25c-6f0d-11e0-a60e-000df08073f2}
Shell\AutoRun\Command = F:\SETUP.EXE
Shell\configure\Command = F:\SETUP.EXE
Shell\install\Command = F:\SETUP.EXE


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |



Merci!



End of the scan in 00mn AMs

juju666 · Answer

Relance USBFix, mode [ Suppression ] cette fois.

Poste le rapport ainsi obtenu ;)

greglomba · Answer

Merci Juju,

Je suis quelques jours à l'étranger, je fais ca et te réponds en revenant!

Fish66 · Answer

Re,

Juju m'a demandé de continuer avec toi  :)

Bonne vacance...

Dès ton retour on va poursuivre la désinfection!

@+

greglomba · Answer

Salut Fish,

J'ai lancé usb fix en mode suppression, arrivé à 100% il se bloque :s

Que dois-je faire?

Fish66 · Answer

Salut,  

Supprime USBFix (n'est pas à jour ) puis fais ceci stp :  

* Telecharge et install UsbFix par El Desaparecido , C_XX & Chimay8   

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir   

- Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris   

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera   

automatiquement   

-Clique sur "Suppression"   

- Laisse travailler l'outil   

- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi   

sauvegardé a la racine du disque dur)  



_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _   
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

greglomba · Answer

Salut Fish,

il se bloque tjs à 100 % mais il a enregistré le rapport dans c:

############################## | UsbFix 7.055 | [Suppression]

Utilisateur: Grégory (Administrateur) # GRÉGORY-PC [Acer Aspire Z5610]
Mis à jour le 06/08/2011 par El Desaparecido
Lancé à 14:21:15 | 15/08/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) # Service Pack 1
Internet Explorer 8.0.7601.17514

Pare-feu Windows: Activé
RAM -> 4093 Mo 
C:\ (%systemdrive%) -> Disque fixe # 458 Go (346 Go libre(s) - 76%) [Acer] # NTFS
D:\ -> Disque fixe # 458 Go (443 Go libre(s) - 97%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque fixe # 233 Go (224 Go libre(s) - 96%) [HDD Intenso] # NTFS

################## | Éléments infectieux |

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1953531139-846034833-1675672394-1001
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1953531139-846034833-1675672394-1001
Supprimé! G:\$RECYCLE.BIN\S-1-5-21-1953531139-846034833-1675672394-1001

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[15/08/2011 - 14:23:19 | SHD ] 	C:\$Recycle.Bin
[28/01/2011 - 09:23:55 | D ] 	C:\AcerSW
[09/02/2011 - 00:46:21 | D ] 	C:\adix
[15/08/2011 - 12:09:07 | RASHD ] 	C:\Autorun.inf
[15/08/2011 - 12:21:29 | N | 183998] 	C:\bdlog.txt
[28/01/2011 - 09:23:49 | D ] 	C:\book
[19/11/2009 - 05:56:44 | N | 8192] 	C:\BOOTSECT.BAK
[05/08/2011 - 09:28:42 | D ] 	C:\Config.Msi
[14/07/2009 - 07:08:56 | SHD ] 	C:\Documents and Settings
[03/02/2011 - 10:23:50 | D ] 	C:\drivers
[15/08/2011 - 12:21:57 | ASH | 3219197952] 	C:\hiberfil.sys
[19/11/2009 - 06:07:08 | D ] 	C:\Intel
[01/02/2011 - 21:50:03 | D ] 	C:\logs
[06/06/2011 - 15:06:28 | D ] 	C:\Macromedia
[02/12/2006 - 09:37:14 | N | 904704] 	C:\msdia80.dll
[05/08/2011 - 10:16:14 | RHD ] 	C:\MSOCache
[28/01/2011 - 16:07:35 | D ] 	C:\MyWinLockerData
[05/04/2011 - 07:26:39 | D ] 	C:\OEM
[15/08/2011 - 12:22:00 | ASH | 4292263936] 	C:\pagefile.sys
[14/07/2009 - 05:20:08 | D ] 	C:\PerfLogs
[05/08/2011 - 09:09:48 | N | 512] 	C:\PhysicalDisk0_MBR.bin
[05/08/2011 - 10:16:21 | D ] 	C:\Program Files
[05/08/2011 - 09:07:19 | D ] 	C:\Program Files (x86)
[15/08/2011 - 11:27:58 | HD ] 	C:\ProgramData
[28/01/2011 - 09:01:04 | SHD ] 	C:\Recovery
[05/03/2010 - 21:10:07 | N | 2053] 	C:\RHDSetup.log
[15/08/2011 - 12:18:35 | SHD ] 	C:\System Volume Information
[15/08/2011 - 14:23:20 | D ] 	C:\UsbFix
[15/08/2011 - 14:21:20 | A | 2615] 	C:\UsbFix.txt
[15/08/2011 - 09:41:13 | D ] 	C:\UsbFix_Upload_Me
[07/03/2011 - 16:12:18 | D ] 	C:\Users
[05/08/2011 - 10:16:59 | D ] 	C:\Windows
[05/08/2011 - 10:04:22 | D ] 	C:\ZHP
[15/08/2011 - 14:23:20 | SHD ] 	D:\$RECYCLE.BIN
[15/08/2011 - 12:09:07 | RASHD ] 	D:\Autorun.inf
[04/08/2011 - 14:22:11 | D ] 	D:\docs
[05/03/2010 - 21:05:48 | SHD ] 	D:\System Volume Information
[15/08/2011 - 14:23:20 | SHD ] 	G:\$RECYCLE.BIN
[15/08/2011 - 12:09:07 | RASHD ] 	G:\Autorun.inf
[11/01/2011 - 17:59:44 | D ] 	G:\Docs divers
[03/08/2011 - 10:47:44 | D ] 	G:\HELMo
[15/08/2011 - 09:38:48 | SHD ] 	G:\RECYCLER
[11/01/2011 - 17:46:30 | SHD ] 	G:\System Volume Information
[03/08/2011 - 11:20:53 | D ] 	G:\UCM
[03/08/2011 - 11:22:17 | D ] 	G:\ULg
[03/08/2011 - 11:22:35 | D ] 	G:\z

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
G:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

Fish66 · Answer

Re, 

C'est à cause de l'infection qu'il se bloque!

 *Télécharges Malwarebytes' (mbam)   

ICI >> Malwarebytes' (mbam)   
  

* installes + mise a jour  
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir  
* Lances--> Malwarebytes (MBAM)  
* Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet  
* puis "Rechercher"  
* Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"  
* A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport  
*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection  
* S'il t' es demandé de redémarrer, clique sur "oui "  
* aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici  
!!! Ne pas vider la quarantaine de MBAM sans avis !!!  


_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

greglomba · Answer

Et voilà le travail:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7469

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

15/08/2011 15:14:33
mbam-log-2011-08-15 (15-14-33).txt

Type d'examen: Examen complet (C:\|D:\|G:\|)
Elément(s) analysé(s): 380014
Temps écoulé: 29 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> 1244 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\Users\Grégory\Desktop\programmes\kaspersky 2011 crack.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

Fish66 · Answer

Re,

Lance ZHPDiag depuis ton bureau, clique sur l'onglet vert (flèche bas) pour faire la mise à jour ensuite tu prépares un nouveau rapport ZHPDiag
 (à l'héberger)

@+

greglomba · Answer

Et voilà:

https://pjjoint.malekal.com/files.php?id=e5m14b15x10j15s15v9l15g15c7y10v7n14i12s7c12n14e11t8w11

Merci!

Fish66 · Answer

Re,

De rien  :)

Avant d'utiliser ComboFix : 

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : 

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix 

. Télécharge Defogger (de jpshortstuff) sur ton Bureau 

. Lance le 

Une fenêtre apparait : clique sur "Disable" 

. Fais redémarrer l'ordinateur si l'outil te le demande 

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

Attention, avant de commencer, lit attentivement la procédure 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\ 

? Fais un clic droit sur ce lien, enregistre le dans ton bureau 

Voici Aide combofix 


? /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\ 
 

? Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven) 

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

? ? SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets internet) 

? Mets-le en langue française F 

? Tape sur la touche 1 (Yes) pour démarrer le scan. 


? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

?En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

? Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

? ? /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

? Note : Le rapport se trouve également là : C:\ComboFix.txt

greglomba · Answer

Voici:

ComboFix 11-08-15.07 - Grégory 15/08/2011  17:08:21.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.32.1036.18.4093.2233 [GMT 2:00]
Lancé depuis: c:\users\GrÚgory\Desktop\ComboFix.exe
AV: BitDefender Antivirus *Disabled/Updated* {50909708-FF80-02AF-F814-B28405891E92}
FW: BitDefender Pare-feu *Enabled* {68AB162D-B5EF-03F7-D34B-1BB1FB5A59E9}
SP: BitDefender Antispyware *Disabled/Updated* {EBF176EC-D9BA-0D21-C2A4-89F67E0E542F}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\SPL138F.tmp
c:\programdata\SPL957B.tmp
c:\programdata\SPLACB2.tmp
c:\programdata\SPLC503.tmp
c:\programdata\SPLD817.tmp
c:\windows\security\Database	mp.edb
c:\windows\SysWow64
o
c:\windows\SysWow64
o\Lagoon.resources.dll
c:\windows\SysWow64\SV
c:\windows\SysWow64\SV\Lagoon.resources.dll
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-07-15 au 2011-08-15  ))))))))))))))))))))))))))))))))))))
.
.
2011-08-15 15:14 . 2011-08-15 15:14	--------	d-----w-	c:\users\NeroMediaHomeUser.4\AppData\Local	emp
2011-08-15 15:14 . 2011-08-15 15:14	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-08-15 13:17 . 2011-08-15 13:18	--------	d-----w-	c:\users\Grégory\AppData\Local\{73759FF1-5BBB-4353-9FB4-623D99637ABB}
2011-08-15 13:17 . 2011-08-15 13:17	--------	d-----w-	c:\users\Grégory\AppData\Local\{E754CC59-3CEA-4767-94A4-75EC67165206}
2011-08-15 12:38 . 2011-08-15 12:38	--------	d-----w-	c:\users\Grégory\AppData\Roaming\Malwarebytes
2011-08-15 12:38 . 2011-08-15 12:38	--------	d-----w-	c:\programdata\Malwarebytes
2011-08-15 12:38 . 2011-07-06 17:52	41272	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-08-15 12:38 . 2011-08-15 12:39	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2011-08-15 12:38 . 2011-07-06 17:52	25912	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-08-15 12:26 . 2011-08-15 12:26	--------	d-----w-	c:\users\Grégory\AppData\Local\{62634793-67DC-4977-AB5B-D2A6A9F7C6BC}
2011-08-15 12:26 . 2011-08-15 12:26	--------	d-----w-	c:\users\Grégory\AppData\Local\{A2E9E489-D4E1-4DDB-962C-10BB29B88E89}
2011-08-15 12:21 . 2011-08-15 12:28	--------	d-----w-	C:\UsbFix
2011-08-15 10:55 . 2011-08-15 10:55	--------	d-----w-	c:\users\Grégory\AppData\Local\{FCDCA8C3-C7D1-423B-934E-7FDB31BE9562}
2011-08-15 10:55 . 2011-08-15 10:55	--------	d-----w-	c:\users\Grégory\AppData\Local\{F7C5A4AE-0CE4-420A-B427-7FDDDBF1E7C0}
2011-08-15 10:12 . 2011-08-15 10:12	--------	d-----w-	c:\users\Grégory\AppData\Local\{0354CCC6-3761-4E82-A4B7-C6B10AB3DCB4}
2011-08-15 10:12 . 2011-08-15 10:12	--------	d-----w-	c:\users\Grégory\AppData\Local\{5F48FE44-C45C-4AD9-BCE7-892626D5D1A8}
2011-08-15 09:26 . 2011-08-15 09:27	--------	d-----w-	c:\users\Grégory\AppData\Local\{C65AE4B3-1F6F-410D-A318-B605C00694AB}
2011-08-15 09:26 . 2011-08-15 09:26	--------	d-----w-	c:\users\Grégory\AppData\Local\{135CBAE7-F8D8-437E-9B19-7800F82E4B27}
2011-08-15 08:58 . 2011-08-15 08:58	--------	d-----w-	c:\users\Grégory\AppData\Local\{AC24C659-0FD5-4161-8386-0B9CA4399157}
2011-08-15 08:58 . 2011-08-15 08:58	--------	d-----w-	c:\users\Grégory\AppData\Local\{09F50B04-FE70-43F1-8A5B-F5AB9F738846}
2011-08-15 07:25 . 2011-08-15 07:25	--------	d-----w-	c:\users\Grégory\AppData\Local\{5D5A53C6-700F-4636-A09F-468A3F218AF6}
2011-08-15 07:25 . 2011-08-15 07:25	--------	d-----w-	c:\users\Grégory\AppData\Local\{CC39987F-F566-4BB4-AFD7-AD814B5C587C}
2011-08-05 08:11 . 2011-08-05 08:11	--------	d-----w-	c:\users\Grégory\AppData\Local\{3EF58C71-7205-4CB3-B1F8-B8BF76A76E5E}
2011-08-05 08:11 . 2011-08-05 08:11	--------	d-----w-	c:\users\Grégory\AppData\Local\{BBB55DC5-B85A-4619-A78F-76E6C269016B}
2011-08-05 07:09 . 2011-08-15 13:42	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-08-05 07:07 . 2011-08-15 13:42	--------	d-----w-	C:\ZHP
2011-08-05 07:07 . 2011-08-15 13:42	--------	d-----w-	c:\program files (x86)\ZHPDiag
2011-08-05 07:01 . 2011-08-05 07:01	--------	d-----w-	c:\users\Grégory\AppData\Local\{924DB648-9E02-4FDD-ABAE-F6719317A8DF}
2011-08-04 20:41 . 2011-08-04 20:41	--------	d-----w-	c:\users\Grégory\AppData\Local\{A090CEA9-4C59-46A7-B1C1-AD3D3EFF6CCD}
2011-08-04 08:38 . 2011-08-04 08:39	--------	d-----w-	c:\users\Grégory\AppData\Local\{21FD21B9-2096-4C8B-9464-DEF0D894F423}
2011-08-03 20:38 . 2011-08-03 20:38	--------	d-----w-	c:\users\Grégory\AppData\Local\{CD653783-0CF7-4264-971F-5CA993F118DB}
2011-08-03 09:42 . 2011-08-04 20:56	--------	d-----w-	c:\users\Grégory\AppData\Roaming\Skype
2011-08-03 09:42 . 2011-08-04 20:56	--------	d-----r-	c:\program files (x86)\Skype
2011-08-03 09:42 . 2011-08-04 20:56	--------	d-----w-	c:\programdata\Skype
2011-08-03 07:42 . 2011-08-03 07:42	--------	d-----w-	c:\users\Grégory\AppData\Local\{96CC25EE-9F76-4F97-8AA5-F6E3AF9D5AF5}
2011-08-02 19:41 . 2011-08-02 19:41	--------	d-----w-	c:\users\Grégory\AppData\Local\{07C015AC-B246-4825-ADBA-33F5BAD7B8DB}
2011-08-02 11:52 . 2011-08-02 11:52	--------	d-----w-	c:\programdata\Western Digital
2011-08-02 11:52 . 2011-08-04 08:05	--------	d-----w-	c:\users\Grégory\AppData\Local\Western Digital
2011-08-02 07:16 . 2011-08-02 07:17	--------	d-----w-	c:\users\Grégory\AppData\Local\{3E76447F-004A-4DEF-A6CB-5D887D127E30}
2011-08-01 16:30 . 2011-08-01 16:30	--------	d-----w-	c:\users\Grégory\AppData\Local\{32F3CFAE-BF73-4466-AFC8-7AFCB1681C23}
2011-07-31 21:51 . 2011-07-31 21:52	--------	d-----w-	c:\users\Grégory\AppData\Local\{A8C08339-E9C9-444A-ACE3-7454D33A2E96}
2011-07-17 09:21 . 2011-07-17 09:22	--------	d-----w-	c:\users\Grégory\AppData\Local\{2B4393B6-EDFA-4843-9BE0-FFB0A8349280}
2011-07-16 21:21 . 2011-07-16 21:21	--------	d-----w-	c:\users\Grégory\AppData\Local\{FD331084-82E2-4264-A6F4-66924FA4B662}
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-01 13:45 . 2011-07-01 13:45	431176	----a-w-	c:\windows\system32\drivers\bdfsfltr.sys
2011-06-20 06:46 . 2011-05-14 14:08	404640	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-06-11 03:07 . 2011-07-13 06:16	3137536	----a-w-	c:\windows\system32\win32k.sys
2011-06-03 06:57 . 2011-07-13 06:16	362496	----a-w-	c:\windows\system32\wow64win.dll
2011-06-03 06:57 . 2011-07-13 06:16	243200	----a-w-	c:\windows\system32\wow64.dll
2011-06-03 06:57 . 2011-07-13 06:16	13312	----a-w-	c:\windows\system32\wow64cpu.dll
2011-06-03 06:57 . 2011-07-13 06:16	214528	----a-w-	c:\windows\system32\winsrv.dll
2011-06-03 06:57 . 2011-07-13 06:16	16384	----a-w-	c:\windows\system32
tvdm64.dll
2011-06-03 06:56 . 2011-07-13 06:16	421888	----a-w-	c:\windows\system32\KernelBase.dll
2011-06-03 06:53 . 2011-07-13 06:16	338944	----a-w-	c:\windows\system32\conhost.exe
2011-06-03 06:44 . 2011-07-13 06:16	6144	---ha-w-	c:\windows\system32\api-ms-win-security-base-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	4608	---ha-w-	c:\windows\system32\api-ms-win-core-processthreads-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\system32\api-ms-win-core-rtlsupport-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\system32\api-ms-win-core-processenvironment-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	4608	---ha-w-	c:\windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	4096	---ha-w-	c:\windows\system32\api-ms-win-core-sysinfo-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	4096	---ha-w-	c:\windows\system32\api-ms-win-core-synch-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\system32\api-ms-win-core-util-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\system32\api-ms-win-core-string-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\system32\api-ms-win-core-profile-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	5120	---ha-w-	c:\windows\system32\api-ms-win-core-file-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	4096	---ha-w-	c:\windows\system32\api-ms-win-core-localregistry-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\system32\api-ms-win-core-namedpipe-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\system32\api-ms-win-core-misc-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\system32\api-ms-win-core-memory-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\system32\api-ms-win-core-libraryloader-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\system32\api-ms-win-core-heap-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	4096	---ha-w-	c:\windows\system32\api-ms-win-core-localization-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\system32\api-ms-win-core-io-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\system32\api-ms-win-core-interlocked-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\system32\api-ms-win-core-handle-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\system32\api-ms-win-core-fibers-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\system32\api-ms-win-core-errorhandling-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\system32\api-ms-win-core-delayload-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\system32\api-ms-win-core-debug-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\system32\api-ms-win-core-datetime-l1-1-0.dll
2011-06-03 06:44 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\system32\api-ms-win-core-console-l1-1-0.dll
2011-06-03 06:00 . 2011-07-13 06:16	14336	----a-w-	c:\windows\SysWow64
tvdm64.dll
2011-06-03 05:57 . 2011-07-13 06:16	44032	----a-w-	c:\windows\apppatch\acwow64.dll
2011-06-03 05:57 . 2011-07-13 06:16	25600	----a-w-	c:\windows\SysWow64\setup16.exe
2011-06-03 05:56 . 2011-07-13 06:16	5120	----a-w-	c:\windows\SysWow64\wow32.dll
2011-06-03 05:56 . 2011-07-13 06:16	272384	----a-w-	c:\windows\SysWow64\KernelBase.dll
2011-06-03 05:47 . 2011-07-13 06:16	4608	---ha-w-	c:\windows\SysWow64\api-ms-win-core-processthreads-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-sysinfo-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-synch-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-string-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-rtlsupport-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-profile-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	5120	---ha-w-	c:\windows\SysWow64\api-ms-win-core-file-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-misc-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-libraryloader-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-interlocked-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-localregistry-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-core-localization-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-processenvironment-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-namedpipe-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-memory-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-heap-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-io-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-handle-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-fibers-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-errorhandling-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-delayload-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-debug-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-datetime-l1-1-0.dll
2011-06-03 05:47 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-console-l1-1-0.dll
2011-06-03 03:53 . 2011-07-13 06:16	7680	----a-w-	c:\windows\SysWow64\instnm.exe
2011-06-03 03:53 . 2011-07-13 06:16	2048	----a-w-	c:\windows\SysWow64\user.exe
2011-06-03 03:48 . 2011-07-13 06:16	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-core-xstate-l1-1-0.dll
2011-06-03 03:48 . 2011-07-13 06:16	4608	---ha-w-	c:\windows\SysWow64\api-ms-win-core-threadpool-l1-1-0.dll
2011-06-03 03:48 . 2011-07-13 06:16	6144	---ha-w-	c:\windows\SysWow64\api-ms-win-security-base-l1-1-0.dll
2011-06-03 03:48 . 2011-07-13 06:16	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-core-util-l1-1-0.dll
2011-05-28 03:30 . 2011-06-28 06:36	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2011-05-28 02:53 . 2011-06-28 06:36	1638912	----a-w-	c:\windows\SysWow64\mshtml.tlb
2011-05-24 11:42 . 2011-06-28 19:43	404480	----a-w-	c:\windows\system32\umpnpmgr.dll
2011-05-24 10:40 . 2011-06-28 19:43	64512	----a-w-	c:\windows\SysWow64\devobj.dll
2011-05-24 10:40 . 2011-06-28 19:43	44544	----a-w-	c:\windows\SysWow64\devrtl.dll
2011-05-24 10:39 . 2011-06-28 19:43	145920	----a-w-	c:\windows\SysWow64\cfgmgr32.dll
2011-05-24 10:37 . 2011-06-28 19:43	252928	----a-w-	c:\windows\SysWow64\drvinst.exe
2011-05-19 21:46 . 2009-07-14 02:36	152576	----a-w-	c:\windows\SysWow64\msclmd.dll
2011-05-19 21:46 . 2009-07-14 02:36	175616	----a-w-	c:\windows\system32\msclmd.dll
2010-07-08 08:37 . 2010-07-08 08:37	101544	----a-w-	c:\program files\Common Files\LinkInstaller.exe
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2009-09-10 13:41	120104	----a-w-	c:\program files (x86)\EgisTec\MyWinLocker 3\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PhotoGadgetFirstRun_Portal"="0 (0x0)" [X]
"PhotoGadgetFirstRun"="0 (0x0)" [X]
"MusicGadget"="0 (0x0)" [X]
"PhotoGadget"="0 (0x0)" [X]
"TouchMemo"="0 (0x0)" [X]
"swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-11-19 39408]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2009-08-12 261888]
"Hotkey Utility"="c:\program files (x86)\Acer\Hotkey Utility\HotkeyUtility.exe" [2009-08-18 629280]
"EgisTecLiveUpdate"="c:\program files (x86)\EgisTec Egis Software Update\EgisUpdate.exe" [2009-08-04 199464]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-06-26 98304]
"BDRegion"="c:\program files (x86)\Cyberlink\Shared Files\brs.exe" [2009-09-29 74984]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"BCSSync"="c:\program files (x86)\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2011\Antispam32\ieshow.exe" [2011-07-01 92352]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
.
c:\users\Gr'gory\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files (x86)\LimeWire\LimeWire.exe [2010-11-7 503808]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-2 1079584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-01-28 135664]
R2 lxdrCATSCustConnectService;lxdrCATSCustConnectService;c:\windows\system32\spool\DRIVERS\x64\3\lxdrserv.exe [2009-10-16 29184]
R3 avc3;avc3;c:\windows\system32\DRIVERS\avc3.sys [x]
R3 avckf;avckf;c:\windows\system32\DRIVERS\avckf.sys [x]
R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-01-28 135664]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files (x86)\Microsoft Office\Office14\GROOVE.EXE [2010-03-25 30969208]
R3 netr28x;Ralink 802.11n Extensible Wireless Driver;c:\windows\system32\DRIVERS
etr28x.sys [x]
R3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERStl8192se.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [x]
R3 Update Server;BitDefender Update Server v2;c:\program files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [2010-11-30 467248]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S1 Bdfndisf;BitDefender Firewall NDIS 6 Filter Driver;c:\program files\common files\bitdefender\bitdefender firewall\bdfndisf6.sys [2010-08-20 88144]
S1 bdfwfpf;bdfwfpf;c:\program files\Common Files\BitDefender\BitDefender Firewall\bdfwfpf.sys [2010-08-20 99408]
S1 Bdvedisk;Bdvedisk;c:\windows\system32\DRIVERS\bdvedisk.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 mwlPSDFilter;mwlPSDFilter;c:\windows\system32\DRIVERS\mwlPSDFilter.sys [x]
S1 mwlPSDNServ;mwlPSDNServ;c:\windows\system32\DRIVERS\mwlPSDNServ.sys [x]
S1 mwlPSDVDisk;mwlPSDVDisk;c:\windows\system32\DRIVERS\mwlPSDVDisk.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 {60DB6561-0A84-4c94-AF33-288405CFD56D};Power Control [2010/03/05 11:29];c:\program files (x86)\CyberLink\PowerCinema Movie\000.fcl [2009-09-29 20:15 146928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 Greg_Service;GRegService;c:\program files (x86)\Acer\Registration\GregHSRW.exe [2009-08-28 1150496]
S2 lxdr_device;lxdr_device;c:\windows\system32\lxdrcoms.exe [2009-10-16 1039360]
S2 MWLService;MyWinLocker Service;c:\program files (x86)\EgisTec\MyWinLocker 3\x86\MWLService.exe [2009-09-10 305448]
S2 NAUpdate;Nero Update;c:\program files (x86)\Nero\Update\NASvc.exe [2010-03-25 490280]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [2009-08-12 62208]
S2 Updater Service;Updater Service;c:\program files\Acer\Acer Updater\UpdaterService.exe [2009-07-04 240160]
S2 Updatesrv;BitDefender Desktop Update Service;c:\program files\BitDefender\BitDefender 2011\updatesrv.exe [2011-07-01 53224]
S3 AVerPola;AVerMedia USB Polaris Series Capture Service;c:\windows\system32\DRIVERS\AVerPola.sys [x]
S3 BDFM;BDFM;c:\windows\system32\DRIVERS\bdfm.sys [x]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [x]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [x]
S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{2D46B6DC-2207-486B-B523-A557E6D54B47}]
2010-11-20 12:17	302592	----a-w-	c:\windows\System32\cmd.exe
.
Contenu du dossier 'Tâches planifiées'
.
2011-08-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-01-28 07:32]
.
2011-08-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-01-28 07:32]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2009-09-10 13:44	137512	----a-w-	c:\program files (x86)\EgisTec\MyWinLocker 3\x64\PSDProtect.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TouchORB"="c:\program files (x86)\TouchSettings\TouchPortalOBR.exe" [2009-10-23 151368]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-23 7981600]
"PLD_FrameworkRun"="c:\windows\system32\oem\_NowIntoDT.vbs" [2009-10-11 490]
"lxdrmon.exe"="c:\program files (x86)\Lexmark 4900 Series\lxdrmon.exe" [2010-02-04 676520]
"lxdramon"="c:\program files (x86)\Lexmark 4900 Series\lxdramon.exe" [2010-02-04 16040]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2011\ieshow.exe" [2011-07-01 109344]
"BDAgent"="c:\program files\BitDefender\BitDefender 2011\bdagent.exe" [2011-07-01 2026680]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdcBase.exe" [2007-05-31 660360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: &Envoyer à OneNote - c:\progra~2\MICROS~3\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~3\Office14\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Grégory\AppData\Roaming\Mozilla\Firefox\Profiles\38hmfdau.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
SafeBoot-MCODS
Toolbar-Locked - (no file)
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\{60DB6561-0A84-4c94-AF33-288405CFD56D}]
"ImagePath"="\??\c:\program files (x86)\CyberLink\PowerCinema Movie\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\.Default\Software\SetId\Internal]
@Denied: (A 2) (LocalSystem)
"DEVICE2"="vaaur8rPygA="
"DATA2"="<settings accountStatus=\"4\" oldDevice=\"\" timeDiff=\"1106312873\" expireTime=\"1309830893\" productStatus=\"1\" obSize=\"2\" InstallTS=\"1289332796\" isSubsc=\"0\" authStat_ts=\"0\" version=\"14.1\" keyType=\"194\" prodId=\"1\" moduleId1=\"7\" moduleId2=\"10\" relType=\"1\" />"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil10t_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil10t_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10t.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10t.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10t.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash10t.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\Program Files (x86)\Common Files\Microsoft Shared\VSTO\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Windows CE Services]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2011-08-15  17:16:30
ComboFix-quarantined-files.txt  2011-08-15 15:16
.
Avant-CF: 393.189.261.312 octets libres
Après-CF: 393.856.995.328 octets libres
.
- - End Of File - - 3078C5807D2C43132BC6FFF4D0F992EB

Merci!

Fish66 · Answer

1/ 
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  


 
SS - | Auto 12/30/1899 0 |  (KMService) . (...) - C:\Windows\system32\srvany.exe    => Infection Diverse (Trojan.Keygen) 
O23 - Service: KMService (KMService) . (...) - C:\Windows\system32\srvany.exe (.not file.)      
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified      
O4 - HKCU\..\Run: [PhotoGadgetFirstRun_Portal] Clé orpheline  
O4 - HKCU\..\Run: [PhotoGadgetFirstRun] Clé orpheline  
O4 - HKCU\..\Run: [MusicGadget] Clé orpheline  
O4 - HKCU\..\Run: [PhotoGadget] Clé orpheline  
O4 - HKCU\..\Run: [TouchMemo] Clé orpheline  
O4 - HKUS\S-1-5-21-1953531139-846034833-1675672394-1001\..\Run: [PhotoGadgetFirstRun_Portal] Clé orpheline  
O4 - HKUS\S-1-5-21-1953531139-846034833-1675672394-1001\..\Run: [PhotoGadgetFirstRun] Clé orpheline  
O4 - HKUS\S-1-5-21-1953531139-846034833-1675672394-1001\..\Run: [MusicGadget] Clé orpheline  
O4 - HKUS\S-1-5-21-1953531139-846034833-1675672394-1001\..\Run: [PhotoGadget] Clé orpheline  
O4 - HKUS\S-1-5-21-1953531139-846034833-1675672394-1001\..\Run: [TouchMemo] Clé orpheline  
O4 - Global Startup: C:\Users\Grégory\Desktop\Ordinateur.lnk - Clé orpheline  
O4 - Global Startup: C:\Users\Grégory\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ADIX.lnk . (...)  -- C:\adix\adix.exe (.not file.)  
O23 - Service:  (bdfsfltr) - Clé orpheline  
[MD5.00000000000000000000000000000000] [APT] [{5E318059-FF59-4973-995F-31690DDB8671}] (...) -- c:\adix\WDUNINST.exe (.not file.)  
[HKLM\Software\BrowserChoice]      
O87 - FAEL: "TCP Query User{EE76CD10-5E41-417B-A2CF-1349C43A0CEE}C:\users\grégory\desktop\dreamset.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\grégory\desktop\dreamset.exe (.not file.)  
O87 - FAEL: "UDP Query User{EA2893F2-8083-4CE5-BBE1-3FB151419C6D}C:\users\grégory\desktop\dreamset.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\grégory\desktop\dreamset.exe (.not file.)  
O87 - FAEL: "TCP Query User{C5B90961-C4FF-4FDB-AF05-7C47A30D55B2}C:\users\grégory\desktop\programmes\dreamset.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\grégory\desktop\programmes\dreamset.exe (.not file.)  
O87 - FAEL: "UDP Query User{846C9614-88CB-4A89-9AB3-AA87C1BB9923}C:\users\grégory\desktop\programmes\dreamset.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\grégory\desktop\programmes\dreamset.exe (.not file.)  
O87 - FAEL: "TCP Query User{D6BC0CDF-58C5-4EEF-8D07-3E43EE4DBEE9}C:\users\grégory\desktop\dreamset234x64 (1)\dreamset.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\grégory\desktop\dreamset234x64 (1)\dreamset.exe (.not file.)  
O87 - FAEL: "UDP Query User{37DF9249-C2D2-454D-91C0-68FD5F335E61}C:\users\grégory\desktop\dreamset234x64 (1)\dreamset.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\grégory\desktop\dreamset234x64 (1)\dreamset.exe (.not file.)  
  
FirewallRAZ 
EmptyTemp 
EmptyFlash 
 


Puis Lance ZHPFix depuis le raccourci du bureau .  

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

Clique sur le bouton  GO 

Copie/Colle le rapport à l'écran dans ton prochain message. 

2/ 
* Télécharge OTM (OldTimer) sur ton Bureau  

ICI >> OTM (OldTimer)  
* Double clic "OTMoveIt3.exe"  
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.  

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :  



:Reg  
[-HKLM\Software\Classes\Applications\iMeshV10.exe]  

:services 
KMService 

:commands  
[emptytemp]  
[Reboot] 

- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.  
- Clique maintenant sur le bouton MoveIt!  
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\  
Le nom du rapport correspond au moment de sa création : date_heure.log 


_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

greglomba · Answer

Salut Fish,

Voici le rapport zhpfix:

Rapport de ZHPFix 1.12.3345 par Nicolas Coolman, Update du 29/07/2011
Fichier d'export Registre : 
Run by Grégory at 8/15/2011 6:30:51 PM
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: Service: KMService
ABSENT Key: Service: bdfsfltr
ABSENT Key: HKLM\Software\BrowserChoice

========== Valeur(s) du Registre ==========
ABSENT Value Key: NoActiveDesktopChanges
SUPPRIME RunValue: PhotoGadgetFirstRun_Portal
SUPPRIME RunValue: PhotoGadgetFirstRun
SUPPRIME RunValue: MusicGadget
SUPPRIME RunValue: PhotoGadget
SUPPRIME RunValue: TouchMemo
ABSENT RunValue: PhotoGadgetFirstRun_Portal
ABSENT RunValue: PhotoGadgetFirstRun
ABSENT RunValue: MusicGadget
ABSENT RunValue: PhotoGadget
ABSENT RunValue: TouchMemo
ABSENT TCP Query User{EE76CD10-5E41-417B-A2CF-1349C43A0CEE}C:/users/grégory/desktop/dreamset.exe
ABSENT UDP Query User{EA2893F2-8083-4CE5-BBE1-3FB151419C6D}C:/users/grégory/desktop/dreamset.exe
ABSENT TCP Query User{C5B90961-C4FF-4FDB-AF05-7C47A30D55B2}C:/users/grégory/desktop/programmes/dreamset.exe
ABSENT UDP Query User{846C9614-88CB-4A89-9AB3-AA87C1BB9923}C:/users/grégory/desktop/programmes/dreamset.exe
ABSENT TCP Query User{D6BC0CDF-58C5-4EEF-8D07-3E43EE4DBEE9}C:/users/grégory/desktop/dreamset234x64 (1)/dreamset.exe
ABSENT UDP Query User{37DF9249-C2D2-454D-91C0-68FD5F335E61}C:/users/grégory/desktop/dreamset234x64 (1)/dreamset.exe
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 69
SUPPRIME Flash Cookies: 0

========== Fichier(s) ==========
ABSENT File: c:\windows\system32\srvany.exe
SUPPRIME c:\users\grégory\desktop\ordinateur.lnk
SUPPRIME c:\users\grégory\appdata\roaming\microsoft\internet explorer\quick launch\adix.lnk
ABSENT File: c:\adix\adix.exe
SUPPRIME Temporaires Windows: : 8
SUPPRIME Flash Cookies: 0

========== Tache planifiée ==========
SUPPRIME Task: {5E318059-FF59-4973-995F-31690DDB8671}


========== Récapitulatif ==========
3 : Clé(s) du Registre
20 : Valeur(s) du Registre
2 : Dossier(s)
6 : Fichier(s)
1 : Tache planifiée


========== Chemin du fichier rapport ==========
C:\ZHP\ZHPFixReport.txt



End of the scan in 02mn AMs

Par contre pour oldTimer, dans results il indique "all processes killed", mais il se bloque (ne répond pas) et il n'y a pas de rapport dans le dossier oldtimer...

Fish66 · Answer

Tu relances OTM mais sans reboot, c'est à dire : 


* Double clic "OTMoveIt3.exe" 
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer. 

- Copie (Ctrl+C) le texte suivant en gras ci-dessous : 




:Reg 
[-HKLM\Software\Classes\Applications\iMeshV10.exe] 

:services 
KMService 

:commands 
[emptytemp] 

 



- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved. 
- Clique maintenant sur le bouton MoveIt! 
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log  


_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

greglomba · Answer

J'ai fait comme demandé, dans results il met all processes killed mais le logiciel est bloqué (ne répond pas), et j'ai eu droit à un redémarrage (erreur critique windows...).

Fish66 · Answer

Prépare stp un nouveau rapport ZHPDiag pour voir ce qui nous reste!

greglomba · Answer

Et voilà!

http://pjjoint.malekal.com/files.php?id=90493c51a3u5s10h12w5p9i5k6s9d9q8v7o10y9r13o6n13w11c9b14k10

Fish66 · Answer

Re,

Télécharge ZHPFixScript.txt sur ton bureau depuis ce lien :
http://www.cijoint.fr/cjlink.php?file=cj201108/cijNRoLKFd.txt
Lance ZHPFix et clique sur le H (coller les lignes helpers) 
Fait un glisser/déposer de ZHPFixScript.txt dans ZHPFix 
Clique sur le bouton GO 
Héberge le rapport et donne le lien

greglomba · Answer

Re,

Voici le rapport:

http://pjjoint.malekal.com/files.php?id=c13d935db3p15z8d15f13r9y6z10e6c10w8x13w12n14z15g9e12h6t8x10b11

Fish66 · Answer

Bonjour,

Avant de finaliser redémarre ton PC stp et prépare un dernier rapport ZHPDiag

greglomba · Answer

Bonjour!

Voici:
http://pjjoint.malekal.com/files.php?id=339c08b36en9l1513y15k11z12z11s7r10e8s8m5k11j6v5b14o8w12h14y6

Fish66 · Answer

Il nous reste des lignes à virer :

* Démarre en Mode sans échec avec prise en charge réseau 
fais ainsi 

Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter 
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer enMode sans échec avec prise en charge réseau 
puis tape entrée. 
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal ! 
(Si F8 ne marche pas utilise la touche F5) 


Dans ce mode stp fais ceci :

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 



O23 - Service: KMService (KMService) . (...) - C:\Windows\system32\srvany.exe (.not file.)    => Infection Diverse (Trojan.Keygen)
SS - | Auto 12/30/1899 0 |  (KMService) . (...) - C:\Windows\system32\srvany.exe    => Infection Diverse (Trojan.Keygen)
O4 - HKCU\..\Run: [PhotoGadgetFirstRun] Clé orpheline
O4 - HKCU\..\Run: [PhotoGadget] Clé orpheline
O4 - HKCU\..\Run: [MusicGadget] Clé orpheline
O4 - HKCU\..\Run: [TouchMemo] Clé orpheline
O4 - HKUS\S-1-5-21-1953531139-846034833-1675672394-1001\..\Run: [PhotoGadgetFirstRun] Clé orpheline
O4 - HKUS\S-1-5-21-1953531139-846034833-1675672394-1001\..\Run: [PhotoGadget] Clé orpheline
O4 - HKUS\S-1-5-21-1953531139-846034833-1675672394-1001\..\Run: [MusicGadget] Clé orpheline
O4 - HKUS\S-1-5-21-1953531139-846034833-1675672394-1001\..\Run: [TouchMemo] Clé orpheline
O23 - Service:  (bdfsfltr) - Clé orpheline
O23 - Service:  (Updatesrv) - Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [{5E318059-FF59-4973-995F-31690DDB8671}] (...) -- c:\adix\WDUNINST.exe (.not file.)
O43 - CFD: 2/19/2011 - 9:03:52 AM - [1715] ----D- C:\ProgramData\Partner    => Game
O43 - CFD: 8/16/2011 - 12:20:12 AM - [0] ----D- C:\Users\Grégory\AppData\Local\{37EDA2E7-6CF5-42D1-A0F7-3C7D35C5C0A5}
O43 - CFD: 8/16/2011 - 12:20:22 AM - [0] ----D- C:\Users\Grégory\AppData\Local\{D131429E-6AB4-4EA2-A9CC-76F353EBDD2B}
O43 - CFD: 8/16/2011 - 8:40:08 AM - [0] ----D- C:\Users\Grégory\AppData\Local\{D57697D5-BB3F-4101-80D0-F133A150A06E}
O43 - CFD: 8/16/2011 - 8:40:20 AM - [0] ----D- C:\Users\Grégory\AppData\Local\{F7089DF0-9963-4E20-B188-03A1AAA10CAB}
O87 - FAEL: "TCP Query User{EE76CD10-5E41-417B-A2CF-1349C43A0CEE}C:\users\grégory\desktop\dreamset.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\grégory\desktop\dreamset.exe (.not file.)
O87 - FAEL: "UDP Query User{EA2893F2-8083-4CE5-BBE1-3FB151419C6D}C:\users\grégory\desktop\dreamset.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\grégory\desktop\dreamset.exe (.not file.)
O87 - FAEL: "TCP Query User{C5B90961-C4FF-4FDB-AF05-7C47A30D55B2}C:\users\grégory\desktop\programmes\dreamset.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\grégory\desktop\programmes\dreamset.exe (.not file.)
O87 - FAEL: "UDP Query User{846C9614-88CB-4A89-9AB3-AA87C1BB9923}C:\users\grégory\desktop\programmes\dreamset.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\grégory\desktop\programmes\dreamset.exe (.not file.)
O87 - FAEL: "TCP Query User{D6BC0CDF-58C5-4EEF-8D07-3E43EE4DBEE9}C:\users\grégory\desktop\dreamset234x64 (1)\dreamset.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\grégory\desktop\dreamset234x64 (1)\dreamset.exe (.not file.)
O87 - FAEL: "UDP Query User{37DF9249-C2D2-454D-91C0-68FD5F335E61}C:\users\grégory\desktop\dreamset234x64 (1)\dreamset.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\grégory\desktop\dreamset234x64 (1)\dreamset.exe (.not file.)

FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

greglomba · Answer

Et voici:
Rapport de ZHPFix 1.12.3345 par Nicolas Coolman, Update du 29/07/2011
Fichier d'export Registre : 
Run by Grégory at 16/08/2011 17:53:15
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: Service: KMService
ABSENT Key: Service: KMService
SUPPRIME Key: Service: bdfsfltr
SUPPRIME Key: Service: Updatesrv

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: PhotoGadgetFirstRun
SUPPRIME RunValue: PhotoGadget
SUPPRIME RunValue: MusicGadget
SUPPRIME RunValue: TouchMemo
ABSENT RunValue: PhotoGadgetFirstRun
ABSENT RunValue: PhotoGadget
ABSENT RunValue: MusicGadget
ABSENT RunValue: TouchMemo
SUPPRIME TCP Query User{EE76CD10-5E41-417B-A2CF-1349C43A0CEE}C:/users/grégory/desktop/dreamset.exe
SUPPRIME UDP Query User{EA2893F2-8083-4CE5-BBE1-3FB151419C6D}C:/users/grégory/desktop/dreamset.exe
SUPPRIME TCP Query User{C5B90961-C4FF-4FDB-AF05-7C47A30D55B2}C:/users/grégory/desktop/programmes/dreamset.exe
SUPPRIME UDP Query User{846C9614-88CB-4A89-9AB3-AA87C1BB9923}C:/users/grégory/desktop/programmes/dreamset.exe
SUPPRIME TCP Query User{D6BC0CDF-58C5-4EEF-8D07-3E43EE4DBEE9}C:/users/grégory/desktop/dreamset234x64 (1)/dreamset.exe
SUPPRIME UDP Query User{37DF9249-C2D2-454D-91C0-68FD5F335E61}C:/users/grégory/desktop/dreamset234x64 (1)/dreamset.exe
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIME FirewallRaz (Public) : {6F0C8A2E-1088-476F-8827-2CFDC0CBF57F}
SUPPRIME FirewallRaz (Public) : {ACC93995-E3F3-429B-B20A-2F5F8177B3FB}
SUPPRIME FirewallRaz (Domain) : {5A535615-B85C-4CF9-9012-019D2724E491}
SUPPRIME FirewallRaz (None) : {9236A5C0-5D40-4CED-8036-4E5BA540322C}
SUPPRIME FirewallRaz (None) : {46A0EE16-2485-439C-83C8-FE264445A378}
SUPPRIME FirewallRaz (None) : {19B4A6B7-70CB-4CC1-BC75-B795EFE92E08}
SUPPRIME FirewallRaz (None) : {DE1CA845-67BF-48A2-8473-428AE40DADE3}
SUPPRIME FirewallRaz (None) : {A2FBD6C6-8A53-40FD-930D-F9E15E05293C}
SUPPRIME FirewallRaz (None) : {0B07DB06-2C86-458D-8161-8DED57985B31}
SUPPRIME FirewallRaz (None) : {7D884762-48B0-472E-9C93-E091492CFFE7}

========== Dossier(s) ==========
SUPPRIME Folder: C:\ProgramData\Partner
SUPPRIME Folder: C:\Users\Grégory\AppData\Local\{37EDA2E7-6CF5-42D1-A0F7-3C7D35C5C0A5}
SUPPRIME Folder: C:\Users\Grégory\AppData\Local\{D131429E-6AB4-4EA2-A9CC-76F353EBDD2B}
SUPPRIME Folder: C:\Users\Grégory\AppData\Local\{D57697D5-BB3F-4101-80D0-F133A150A06E}
SUPPRIME Folder: C:\Users\Grégory\AppData\Local\{F7089DF0-9963-4E20-B188-03A1AAA10CAB}
SUPPRIME Temporaires Windows: : 15
SUPPRIME Flash Cookies: 1

========== Fichier(s) ==========
ABSENT File: c:\windows\system32\srvany.exe
SUPPRIME Temporaires Windows: : 20
SUPPRIME Flash Cookies: 0

========== Tache planifiée ==========
ABSENT Task: {5E318059-FF59-4973-995F-31690DDB8671}


========== Récapitulatif ==========
4 : Clé(s) du Registre
32 : Valeur(s) du Registre
7 : Dossier(s)
3 : Fichier(s)
1 : Tache planifiée


========== Chemin du fichier rapport ==========
C:\ZHP\ZHPFixReport.txt



End of the scan in 00mn 01s

Fish66 · Answer

Re,

Je crois que c'est bon mais on doit vérifier, pour cela redémarre ton PC et prépare un nouveau rapport ZHPDiag

@+

greglomba · Answer

voici:

http://pjjoint.malekal.com/files.php?id=78187c7072m7p6o14l13t14r11x6v10m15f11l13s7k11c7h6k14s13w5m13m10

Fish66 · Answer

Re, 

Pour finir : 

1/    

IMPORTANT    

Purger les points de restauration système:    

Télécharge OneClick2RestorePoint    

http://www.multifa7.be/Laddy/OneClick2RP.exe    

Mirroirs si non accessible :    
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe    
https://app.box.com/s/cqcsz5m0oz    

* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)    
* Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir    
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...    
* Rends toi dans l'onglet "Autres options"    
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.    
* Les points de restauration système seront purgés sauf le dernier créé.    


Ensuite avec le même outil    
Créer un nouveau point de restauration reconnaissable    

Aide ICI 
2/    

Télécharge DelFix  sur  ton  bureau.     
* Lance le, tape suppression puis valide    

Patiente pendant le scan jusqu'à l'ouverture du rapport.    

* Copie/Colle le contenu du rapport dans ta prochaine réponse.    

Note : Le rapport se trouve également sous C:\DelFix.txt    

tu peux le desinstaller    

3/    
Mise à jour Java 
* Tu peux vérifier ta Console Java  :  

Installer la nouvelle version si besoin (dans ce cas désinstalle avant l'ancienne version).  

voici pour desinstaller :  

JavaRa  

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).  
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.  
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).  
* Choisis Français puis clique sur Select.  
* Clique sur Recherche de mises à jour.  
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.  
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.  
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.  
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.  
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.  
* Ferme l'application.  

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.  
4/ 
Télécharge et installe :    

CCleaner version Slim    

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis    

Avancé et décoche la case Effacer uniquement les fichiers etc....    

* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.    

* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare    

toutes les erreurs tant de fois qu il en trouve a l analyse .    

**************** Aide ICI ******************    

Tu peux utiliser Ccleaner une fois par semaine    

5/    

Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour    

Fais la mise à jour surtout d'adobe reader  



6/    

Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.    

7/    

Je te conseille d'utiliser le navigateur Firefox et d'installer les modules    

complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...   
 8/  
Un peu de lecture :  
* Les dangers du Peer-To-Peer, Emule etc..   
* Comment Sécuriser son ordinateur...  


J'attend les rapports ...   


_  _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

greglomba · Answer

Salut Fish,

Je n'ai pas avast mais bitdefender, il vaut mieux que je prenne avast?
Voici le rapport delfix:
# DelFix v8.3 - Rapport créé le 16/08/2011 à 20:19
# Mis à jour le 04/08/11 à 11h par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7601] 
# Nom d'utilisateur : Grégory - GRÉGORY-PC (Administrateur)
# Exécuté depuis : C:\Users\Grégory\Desktop\delfix0.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTM
Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\UsbFix.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\Grégory\defogger_reenable
Supprimé : C:\Users\Grégory\Desktop\ComboFix.exe
Supprimé : C:\Users\Grégory\Desktop\Defogger.exe
Supprimé : C:\Users\Grégory\Desktop\defogger_disable.log
Supprimé : C:\Users\Grégory\Desktop\OneClick2RP.exe
Supprimé : C:\Users\Grégory\Desktop\OTM.exe
Supprimé : C:\Users\Grégory\Desktop\UsbFix.exe
Supprimé : C:\Users\Grégory\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Grégory\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2226 octets] ##########

Fish66 · Answer

Re,

Non, Bit Defender est un bon antivirus, désolé je me suis trompé  :)

Tu peux continuer la suite des procédures  :)

@+

greglomba · Answer

J'ai tout fait!

Ca y est je suis tout propre?

Fish66 · Answer

Ou est le rapport JavaRa ?

As tu fait la mise à jour de Java et Adobe reader ?

Bon surf et si tu n'as pas de souci pense à mettre ton sujet comme résolu

@+

greglomba · Answer

Java était à jour, par contre j'ai fait toutes les autres mises à jour, dont adobe reader!

Merci Fish! Je peux encore te demander 2 choses en mp?

Envoi de mails à l'insu de mon plein gré

36 réponses

Discussions similaires

Newsletters