Sujet Précédent Sujet Suivant

Aide contre trojan ou virus

Résolu/Fermé
funksobrother Messages postés 29 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 février 2012 - 16 janv. 2012 à 21:55
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 - 2 févr. 2012 à 20:21
Bonjour,
Ce week-end mon antivirus Symantec Endpoint Protection 11 s'est réveillé en bloquant des emails que mon ordinateur semblait envoyer vers des destinations internationales, avec des objets pas très glorieux... Il les bloquait car il détectait des spams ou des adresses douteuses.
Mais Symantec n'a pas éliminé grand chose de mon ordi. J'ai alors téléchargé Malwarebytes qui a fait du nettoyage, mais il semble que je traine toujours des choses douteuses. Dans les éléments supprimés, il y avait trojan.maljava.
J'ai maintenant des messages d'erreur windows et surtout, j'ai repéré dans le gestionnaire des tâches que plusieurs processus ieplore.exe sont lancés, alors que je n'utilise pas Internet explorer. J'ai des fenêtres publicitaires qui peuvent s'ouvrir sur Firefox
Que faire, comment procéder ?
Merci d'avance pour votre aide


A voir également:

29 réponses

  • 1
  • 2
Réponse 1 / 29
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
16 janv. 2012 à 22:28
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

- Télécharge ZHPDiag (de Nicolas Coolman)
- Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
- Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
- Il se lancera automatiquement à la fin de l'installation
- Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
- Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

0
Réponse 2 / 29
funksobrother Messages postés 29 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 février 2012
16 janv. 2012 à 23:04
Merci infiniment pour ta réponse rapide. J'ai suivi la procédure mais je n'arrive pas à uploader le rapport sur le site avec le message "la connexion a été réinitialisée". Y a-t-il un autre moyen ?
Merci
0
Réponse 3 / 29
funksobrother Messages postés 29 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 février 2012
16 janv. 2012 à 23:46
j'ai finalement lancé l'analyse en ligne sur le site indiqué. En voici le rapport :
https://pjjoint.malekal.com/files.php?read=ZHPDiag_20120116_u99o10x8f15
Merci de m'aider pour la suite
0
Réponse 4 / 29
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
Modifié par anthony5151 le 17/01/2012 à 01:09
Il y a une infection de disques amovibles :

¶ Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
¶ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
¶ Double clique sur le programme USBFix sur ton Bureau.
¶ Au menu principal, clique sur "Suppression"
¶ Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
¶ Laisse travailler l'outil jusqu'au bout
¶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse.


Utilise également cet outil pour vérifier quelque chose :

¶ Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
¶ Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
¶ Clique sur Start Scan pour démarrer l'analyse.
¶ Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
¶ Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
¶ Un rapport s'ouvrira au redémarrage de l'ordinateur.
¶ Copie/colle son contenu dans ta prochaine réponse (il se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt)


Je voudrais également que tu fasses analyser un fichier particulier :

¶ Rends toi sur VirusTotal.com
¶ Clique sur "Choose file", navigue jusqu'au fichier suivant et valide : C:\WINDOWS\OA001Mon.exe
¶ Clique sur "Scan it". Si le site t'indique que le fichier a déjà été analysé (File already analysed), choisis "Reanalyse".
¶ Lorsque l'analyse sera terminée, tu verras apparaitre le taux de détection (Detection Ratio). A ce moment là, copie le lien de la page (dans la barre d'adresse) et colle le dans ta prochaine réponse sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
¶ Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
¶ Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
¶ Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.


Il me faudrait aussi le rapport du scan que tu as fait avec MalwareBytes. Pour le retrouver, lance le et va dans "rapports/logs".


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
funksobrother Messages postés 29 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 février 2012
17 janv. 2012 à 19:35
encore un grand merci,
J'ai dû m'y prendre à plusieurs reprises pour faire tourner usbfix qui se bloquait à 48%. Mais en voici le rapport final lorsque cela a fonctionné :

############################## | UsbFix V 7.078 | [Suppression]

Utilisateur: herbrete (Administrateur) # HERBRET_VI-D803
Mis à jour le 06/01/2012 par El Desaparecido
Lancé à 18:57:21 | 17/01/2012

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Dell Inc. (Latitude E6500 ) (X86-based PC) # Notebook
CPU: Processeur Intel Pentium III Xeon (2394)
RAM -> [ Total : 3044 | Free : 2330 ]
BIOS: Phoenix ROM BIOS PLUS Version 1.10 A12
BOOT: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [ (!) Disabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 49 Go (16 Go libre(s) - 32%) [systeme] # NTFS
D:\ -> Disque fixe # 417 Go (45 Go libre(s) - 11%) [donnees] # NTFS
E:\ -> CD-ROM
F:\ -> Disque fixe # 931 Go (7 Go libre(s) - 1%) [Verbatim] # FAT32

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (896)
C:\WINDOWS\system32\winlogon.exe (1004)
C:\WINDOWS\system32\services.exe (1056)
C:\WINDOWS\system32\lsass.exe (1068)
C:\WINDOWS\system32\svchost.exe (1232)
C:\WINDOWS\System32\svchost.exe (1348)
C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe (1608)
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (1872)
C:\WINDOWS\system32\spoolsv.exe (276)
c:\dell\l\e64\aud\wdm\stacsv.exe (364)
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (100)
C:\Program Files\Bonjour\mDNSResponder.exe (1260)
C:\Program Files\LANDesk\Shared Files\residentagent.exe (1280)
C:\Program Files\LANDesk\LDClient\LocalSch.EXE (1508)
C:\PROGRA~1\LANDesk\LDCLient\issuser.exe (1852)
C:\PROGRA~1\LANDesk\LDClient\collector.exe (1880)
C:\Program Files\Java\jre6\bin\jqs.exe (352)
C:\Program Files\LANDesk\LDClient\policy.client.invoker.exe (600)
C:\Program Files\LANDesk\LDClient\tmcsvc.exe (620)
C:\Program Files\LANDesk\LDClient\amtmon.exe (984)
C:\WINDOWS\system32\nvsvc32.exe (1820)
C:\Program Files\LANDesk\LDClient\softmon.exe (1964)
C:\WINDOWS\system32\svchost.exe (2084)
C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe (2120)
C:\WINDOWS\system32\wuauclt.exe (2340)
C:\WINDOWS\system32\wbem\wmiapsrv.exe (2556)
C:\PROGRA~1\LANDesk\LDCLient\rcgui.exe (3064)
C:\WINDOWS\Explorer.EXE (812)
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe (1060)
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (2800)
C:\Program Files\DellTPad\Apoint.exe (1288)
C:\Program Files\IDT\WDM\sttray.exe (512)
C:\WINDOWS\system32\AESTFltr.exe (3388)
C:\Program Files\DellTPad\ApMsgFwd.exe (3436)
C:\Program Files\DellTPad\HidFind.exe (3452)
C:\Program Files\DellTPad\Apntex.exe (3464)
C:\WINDOWS\system32\rundll32.exe (3520)
C:\WINDOWS\system32\RUNDLL32.EXE (3528)
C:\Program Files\Logitech\SetPointP\SetPoint.exe (3548)
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe (3588)
C:\Program Files\iTunes\iTunesHelper.exe (3708)
C:\WINDOWS\OA001Mon.exe (3716)
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe (3736)
C:\Program Files\Labtec\WebCam10\WebCam10.exe (3760)
C:\WINDOWS\system32\ctfmon.exe (2824)
C:\Program Files\Messenger\msmsgs.exe (3844)
C:\Program Files\DesktopEarth\DesktopEarth.exe (3988)
C:\Program Files\iPod\bin\iPodService.exe (4012)
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe (500)
C:\Program Files\Fichiers communs\LogiShrd\KHAL3\KHALMNPR.EXE (1748)
C:\UsbFix\Go.exe (860)

################## | Processus Stoppés |

Stoppé! C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe (1608)
Stoppé! C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (1872)
Stoppé! C:\WINDOWS\system32\spoolsv.exe (276)
Stoppé! c:\dell\l\e64\aud\wdm\stacsv.exe (364)
Stoppé! C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (100)
Stoppé! C:\Program Files\Bonjour\mDNSResponder.exe (1260)
Stoppé! C:\Program Files\LANDesk\Shared Files\residentagent.exe (1280)
Stoppé! C:\Program Files\LANDesk\LDClient\LocalSch.EXE (1508)
Stoppé! C:\PROGRA~1\LANDesk\LDCLient\issuser.exe (1852)
Stoppé! C:\PROGRA~1\LANDesk\LDClient\collector.exe (1880)
Stoppé! C:\Program Files\Java\jre6\bin\jqs.exe (352)
Stoppé! C:\Program Files\LANDesk\LDClient\policy.client.invoker.exe (600)
Stoppé! C:\Program Files\LANDesk\LDClient\tmcsvc.exe (620)
Stoppé! C:\Program Files\LANDesk\LDClient\amtmon.exe (984)
Stoppé! C:\WINDOWS\system32\nvsvc32.exe (1820)
Stoppé! C:\Program Files\LANDesk\LDClient\softmon.exe (1964)
Stoppé! C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe (2120)
Stoppé! C:\WINDOWS\system32\wuauclt.exe (2340)
Stoppé! C:\WINDOWS\system32\wbem\wmiapsrv.exe (2556)
Stoppé! C:\PROGRA~1\LANDesk\LDCLient\rcgui.exe (3064)
Stoppé! C:\WINDOWS\Explorer.EXE (812)
Stoppé! C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe (1060)
Stoppé! C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (2800)
Stoppé! C:\Program Files\DellTPad\Apoint.exe (1288)
Stoppé! C:\Program Files\IDT\WDM\sttray.exe (512)
Stoppé! C:\WINDOWS\system32\AESTFltr.exe (3388)
Stoppé! C:\Program Files\DellTPad\ApMsgFwd.exe (3436)
Stoppé! C:\Program Files\DellTPad\HidFind.exe (3452)
Stoppé! C:\Program Files\DellTPad\Apntex.exe (3464)
Stoppé! C:\WINDOWS\system32\rundll32.exe (3520)
Stoppé! C:\WINDOWS\system32\RUNDLL32.EXE (3528)
Stoppé! C:\Program Files\Logitech\SetPointP\SetPoint.exe (3548)
Stoppé! C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe (3588)
Stoppé! C:\Program Files\iTunes\iTunesHelper.exe (3708)
Stoppé! C:\WINDOWS\OA001Mon.exe (3716)
Stoppé! C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe (3736)
Stoppé! C:\Program Files\Labtec\WebCam10\WebCam10.exe (3760)
Stoppé! C:\WINDOWS\system32\ctfmon.exe (2824)
Stoppé! C:\Program Files\Messenger\msmsgs.exe (3844)
Stoppé! C:\Program Files\DesktopEarth\DesktopEarth.exe (3988)
Stoppé! C:\Program Files\iPod\bin\iPodService.exe (4012)
Stoppé! C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe (500)
Stoppé! C:\Program Files\Fichiers communs\LogiShrd\KHAL3\KHALMNPR.EXE (1748)

################## | Éléments infectieux |

Supprimé! C:\Recycler\S-1-5-21-1845010707-2387731409-2327566850-5330
Supprimé! D:\Recycler\S-1-5-21-1845010707-2387731409-2327566850-4114
Supprimé! D:\Recycler\S-1-5-21-1845010707-2387731409-2327566850-5330

(!) Fichiers temporaires supprimés.

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableTaskMgr
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoClose
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFind
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoTrayContextMenu

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{07149e41-dd8a-11dd-853a-545543445207}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0f74e96f-3c7c-11de-b82e-0022fb25128c}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{5aa307d8-2f0e-11de-b803-0022fb25128c}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{66624567-25df-11e1-bb8e-0022fb25128c}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8ab1ef94-3240-11de-b80e-0022fb25128c}

################## | Listing |

[16/01/2012 - 22:23:38 | N | 4534] C:\Ad-Report-CLEAN[1].txt
[16/01/2012 - 22:18:18 | N | 4287] C:\Ad-Report-SCAN[1].txt
[16/01/2012 - 21:59:25 | N | 2227] C:\AdwCleaner[R1].txt
[16/01/2012 - 22:00:24 | N | 2397] C:\AdwCleaner[S1].txt
[12/08/2009 - 14:22:42 | N | 0] C:\AUTOEXEC.BAT
[10/10/2011 - 08:19:10 | N | 212] C:\boot.ini
[14/04/2008 - 04:00:00 | N | 4952] C:\Bootfont.bin
[12/08/2009 - 14:22:42 | N | 0] C:\CONFIG.SYS
[28/04/2010 - 11:17:16 | D ] C:\dell
[14/10/2011 - 08:20:20 | D ] C:\Documents and Settings
[20/07/2011 - 16:36:58 | D ] C:\Intel
[12/08/2009 - 14:22:42 | N | 0] C:\IO.SYS
[12/08/2009 - 14:22:42 | N | 0] C:\MSDOS.SYS
[07/09/2009 - 15:16:10 | RHD ] C:\MSOCache
[05/11/2010 - 12:50:39 | D ] C:\NDPS
[14/04/2008 - 04:00:00 | N | 47564] C:\NTDETECT.COM
[14/04/2008 - 04:00:00 | N | 252240] C:\ntldr
[17/01/2012 - 18:51:09 | ASH | 2145386496] C:\pagefile.sys
[17/01/2012 - 00:50:24 | D ] C:\Program Files
[10/10/2011 - 13:21:48 | D ] C:\Python26
[17/01/2012 - 19:13:05 | SHD ] C:\RECYCLER
[15/01/2012 - 10:54:22 | SHD ] C:\System Volume Information
[17/01/2012 - 19:13:05 | D ] C:\UsbFix
[17/01/2012 - 19:13:05 | A | 6726] C:\UsbFix.txt
[17/01/2012 - 13:51:16 | D ] C:\WINDOWS
[16/01/2012 - 23:44:23 | D ] C:\ZHP
[19/10/2011 - 14:01:39 | D ] D:\Ancien bureau
[10/03/2010 - 11:56:30 | D ] D:\Ancien Disque
[17/01/2012 - 10:13:21 | D ] D:\Backup
[16/12/2011 - 16:49:24 | D ] D:\condor
[17/10/2011 - 22:58:34 | D ] D:\Emails
[17/10/2011 - 22:58:20 | D ] D:\Mes donnees
[21/03/2011 - 22:16:58 | RHD ] D:\MSOCache
[17/01/2012 - 19:13:05 | SHD ] D:\RECYCLER
[28/03/2011 - 10:10:55 | D ] D:\SavGIS
[24/11/2010 - 16:43:34 | D ] D:\SDMCache
[12/01/2012 - 15:16:21 | D ] D:\Spatial
[10/10/2011 - 08:21:25 | SHD ] D:\System Volume Information
[06/05/2011 - 11:12:38 | D ] F:\Films
[26/10/2011 - 08:55:44 | N | 23552] F:\Backup_plan.xls
[27/05/2010 - 13:19:52 | SHD ] F:\System Volume Information
[26/09/2011 - 00:59:06 | N | 1087] F:\Annonces_immo.txt
[29/05/2011 - 11:27:50 | N | 165] F:\~$LPM.xlsx
[08/01/2012 - 19:32:18 | N | 9261] F:\Elliptique.xlsx
[26/09/2011 - 16:21:14 | N | 165] F:\~$Appart.xlsx
[29/05/2011 - 13:01:02 | N | 9393] F:\LPM.xlsx
[21/09/2010 - 23:03:24 | SHD ] F:\Recycled
[02/06/2011 - 21:22:02 | N | 21] F:\Achats.txt
[21/09/2010 - 23:03:56 | D ] F:\Backup
[19/12/2011 - 09:23:58 | N | 14945] F:\Appart.xlsx
[21/09/2010 - 23:15:50 | D ] F:\Files
[15/10/2011 - 22:13:14 | N | 4096] F:\._.Trashes
[22/09/2010 - 09:52:38 | D ] F:\Verbatim
[15/10/2011 - 22:13:14 | D ] F:\.Trashes
[22/09/2010 - 09:52:52 | D ] F:\Research
[30/10/2011 - 22:10:00 | D ] F:\Music
[15/10/2011 - 22:13:16 | D ] F:\.Spotlight-V100
[22/09/2010 - 13:11:46 | D ] F:\Research-suppl
[22/09/2010 - 14:41:30 | D ] F:\Programs_bis
[24/10/2011 - 00:05:56 | N | 1109] F:\Bangkok.txt
[23/09/2010 - 09:19:32 | D ] F:\Photos
[09/10/2010 - 21:36:46 | SHD ] F:\$RECYCLE.BIN
[19/09/2011 - 22:50:10 | N | 954] F:\Reporters.txt
[18/10/2011 - 23:29:22 | N | 522] F:\INSTALL.LOG
[26/11/2010 - 13:08:24 | N | 26] F:\UpdaterforApp.ini
[29/11/2010 - 07:34:12 | D ] F:\Bureau20101110

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_HERBRET_VI-D803.zip
http://eldesaparecido.com/upload.html
Merci de votre contribution.

################## | E.O.F |









TDSSKiller n'a rien trouvé. En voici le rapport :




19:22:15.0375 2744 TDSS rootkit removing tool 2.7.3.0 Jan 16 2012 18:53:41
19:22:15.0500 2744 ============================================================
19:22:15.0500 2744 Current date / time: 2012/01/17 19:22:15.0500
19:22:15.0500 2744 SystemInfo:
19:22:15.0500 2744
19:22:15.0500 2744 OS Version: 5.1.2600 ServicePack: 3.0
19:22:15.0500 2744 Product type: Workstation
19:22:15.0500 2744 ComputerName: HERBRET_VI-D803
19:22:15.0500 2744 UserName: herbrete
19:22:15.0500 2744 Windows directory: C:\WINDOWS
19:22:15.0500 2744 System windows directory: C:\WINDOWS
19:22:15.0500 2744 Processor architecture: Intel x86
19:22:15.0500 2744 Number of processors: 2
19:22:15.0500 2744 Page size: 0x1000
19:22:15.0500 2744 Boot type: Normal boot
19:22:15.0500 2744 ============================================================
19:22:19.0812 2744 Drive \Device\Harddisk0\DR0 - Size: 0x7470C06000 (465.76 Gb), SectorSize: 0x200, Cylinders: 0xED81, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
19:22:19.0828 2744 Drive \Device\Harddisk1\DR3 - Size: 0xE8E0DB6000 (931.51 Gb), SectorSize: 0x200, Cylinders: 0x1DB01, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
19:22:20.0312 2744 Initialize success
19:22:22.0468 4920 ============================================================
19:22:22.0468 4920 Scan started
19:22:22.0468 4920 Mode: Manual;
19:22:22.0468 4920 ============================================================
19:22:24.0703 4920 Abiosdsk - ok
19:22:24.0765 4920 abp480n5 (6abb91494fe6c59089b9336452ab2ea3) C:\WINDOWS\system32\DRIVERS\ABP480N5.SYS
19:22:24.0781 4920 abp480n5 - ok
19:22:25.0078 4920 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
19:22:25.0093 4920 ACPI - ok
19:22:25.0109 4920 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
19:22:25.0265 4920 ACPIEC - ok
19:22:25.0500 4920 ADIHdAudAddService (0bcb5bd6ea1cbf1750d881e0c4e923ff) C:\WINDOWS\system32\drivers\ADIHdAud.sys
19:22:25.0500 4920 ADIHdAudAddService - ok
19:22:25.0515 4920 adpu160m (9a11864873da202c996558b2106b0bbc) C:\WINDOWS\system32\DRIVERS\adpu160m.sys
19:22:25.0515 4920 adpu160m - ok
19:22:25.0546 4920 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
19:22:25.0546 4920 aec - ok
19:22:25.0578 4920 AESTAud (f21d5e93a94514be9f5b6ebf74a696b2) C:\WINDOWS\system32\drivers\AESTAud.sys
19:22:25.0578 4920 AESTAud - ok
19:22:25.0593 4920 AFD (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
19:22:25.0609 4920 AFD - ok
19:22:25.0609 4920 agp440 (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys
19:22:25.0625 4920 agp440 - ok
19:22:25.0625 4920 agpCPQ (03a7e0922acfe1b07d5db2eeb0773063) C:\WINDOWS\system32\DRIVERS\agpCPQ.sys
19:22:25.0640 4920 agpCPQ - ok
19:22:25.0640 4920 Aha154x (c23ea9b5f46c7f7910db3eab648ff013) C:\WINDOWS\system32\DRIVERS\aha154x.sys
19:22:25.0640 4920 Aha154x - ok
19:22:25.0656 4920 aic78u2 (19dd0fb48b0c18892f70e2e7d61a1529) C:\WINDOWS\system32\DRIVERS\aic78u2.sys
19:22:25.0656 4920 aic78u2 - ok
19:22:25.0671 4920 aic78xx (b7fe594a7468aa0132deb03fb8e34326) C:\WINDOWS\system32\DRIVERS\aic78xx.sys
19:22:25.0671 4920 aic78xx - ok
19:22:25.0687 4920 AliIde (1140ab9938809700b46bb88e46d72a96) C:\WINDOWS\system32\DRIVERS\aliide.sys
19:22:25.0687 4920 AliIde - ok
19:22:25.0703 4920 alim1541 (cb08aed0de2dd889a8a820cd8082d83c) C:\WINDOWS\system32\DRIVERS\alim1541.sys
19:22:25.0718 4920 alim1541 - ok
19:22:25.0734 4920 amdagp (95b4fb835e28aa1336ceeb07fd5b9398) C:\WINDOWS\system32\DRIVERS\amdagp.sys
19:22:25.0734 4920 amdagp - ok
19:22:25.0750 4920 amsint (79f5add8d24bd6893f2903a3e2f3fad6) C:\WINDOWS\system32\DRIVERS\amsint.sys
19:22:25.0750 4920 amsint - ok
19:22:25.0781 4920 ApfiltrService (b83f9da84f7079451c1c6a4a2f140920) C:\WINDOWS\system32\DRIVERS\Apfiltr.sys
19:22:25.0796 4920 ApfiltrService - ok
19:22:25.0843 4920 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
19:22:25.0843 4920 Arp1394 - ok
19:22:25.0875 4920 asc (62d318e9a0c8fc9b780008e724283707) C:\WINDOWS\system32\DRIVERS\asc.sys
19:22:25.0875 4920 asc - ok
19:22:25.0875 4920 asc3350p (69eb0cc7714b32896ccbfd5edcbea447) C:\WINDOWS\system32\DRIVERS\asc3350p.sys
19:22:25.0890 4920 asc3350p - ok
19:22:25.0890 4920 asc3550 (5d8de112aa0254b907861e9e9c31d597) C:\WINDOWS\system32\DRIVERS\asc3550.sys
19:22:25.0906 4920 asc3550 - ok
19:22:25.0937 4920 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
19:22:25.0937 4920 AsyncMac - ok
19:22:25.0968 4920 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
19:22:25.0968 4920 atapi - ok
19:22:25.0968 4920 Atdisk - ok
19:22:25.0984 4920 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
19:22:26.0000 4920 Atmarpc - ok
19:22:26.0015 4920 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
19:22:26.0031 4920 audstub - ok
19:22:26.0046 4920 avshws (e51d2992b48c21ea0fa9333a0ccdec0c) C:\WINDOWS\system32\DRIVERS\youup.sys
19:22:26.0062 4920 avshws - ok
19:22:26.0093 4920 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
19:22:26.0093 4920 Beep - ok
19:22:26.0125 4920 cbidf (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\DRIVERS\cbidf2k.sys
19:22:26.0125 4920 cbidf - ok
19:22:26.0140 4920 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
19:22:26.0140 4920 cbidf2k - ok
19:22:26.0171 4920 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
19:22:26.0187 4920 CCDECODE - ok
19:22:26.0187 4920 cd20xrnt (f3ec03299634490e97bbce94cd2954c7) C:\WINDOWS\system32\DRIVERS\cd20xrnt.sys
19:22:26.0203 4920 cd20xrnt - ok
19:22:26.0234 4920 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
19:22:26.0234 4920 Cdaudio - ok
19:22:26.0281 4920 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
19:22:26.0281 4920 Cdfs - ok
19:22:26.0296 4920 cdrbsdrv (e0042bd5bef17a6a3ef1df576bde24d1) C:\WINDOWS\system32\drivers\cdrbsdrv.sys
19:22:26.0312 4920 cdrbsdrv - ok
19:22:26.0328 4920 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
19:22:26.0343 4920 Cdrom - ok
19:22:26.0343 4920 Changer - ok
19:22:26.0375 4920 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
19:22:26.0390 4920 CmBatt - ok
19:22:26.0421 4920 CmdIde (e3726ad522d0bdae090671048c991ab3) C:\WINDOWS\system32\DRIVERS\cmdide.sys
19:22:26.0421 4920 CmdIde - ok
19:22:26.0437 4920 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
19:22:26.0453 4920 Compbatt - ok
19:22:26.0468 4920 Cpqarray (3ee529119eed34cd212a215e8c40d4b6) C:\WINDOWS\system32\DRIVERS\cpqarray.sys
19:22:26.0468 4920 Cpqarray - ok
19:22:26.0500 4920 cvusbdrv (a95d9b8d882adf93ef40d7dc9b9bb508) C:\WINDOWS\system32\Drivers\cvusbdrv.sys
19:22:26.0500 4920 cvusbdrv - ok
19:22:26.0515 4920 dac2w2k (e550e7418984b65a78299d248f0a7f36) C:\WINDOWS\system32\DRIVERS\dac2w2k.sys
19:22:26.0531 4920 dac2w2k - ok
19:22:26.0531 4920 dac960nt (683789caa3864eb46125ae86ff677d34) C:\WINDOWS\system32\DRIVERS\dac960nt.sys
19:22:26.0546 4920 dac960nt - ok
19:22:26.0578 4920 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
19:22:26.0593 4920 Disk - ok
19:22:26.0640 4920 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
19:22:26.0671 4920 dmboot - ok
19:22:26.0687 4920 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
19:22:26.0687 4920 dmio - ok
19:22:26.0703 4920 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
19:22:26.0703 4920 dmload - ok
19:22:26.0718 4920 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
19:22:26.0734 4920 DMusic - ok
19:22:26.0765 4920 dpti2o (40f3b93b4e5b0126f2f5c0a7a5e22660) C:\WINDOWS\system32\DRIVERS\dpti2o.sys
19:22:26.0765 4920 dpti2o - ok
19:22:26.0781 4920 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
19:22:26.0796 4920 drmkaud - ok
19:22:26.0828 4920 e1express (34aaa3b298a852b3663e6e0d94d12945) C:\WINDOWS\system32\DRIVERS\e1e5132.sys
19:22:26.0843 4920 e1express - ok
19:22:26.0875 4920 e1kexpress (c08a912bc3257859516d2b71f5e29802) C:\WINDOWS\system32\DRIVERS\e1k5132.sys
19:22:26.0875 4920 e1kexpress - ok
19:22:26.0906 4920 e1yexpress (10cbd2b278ce365b41de378632cb5ddb) C:\WINDOWS\system32\DRIVERS\e1y5132.sys
19:22:26.0921 4920 e1yexpress - ok
19:22:27.0046 4920 eeCtrl (75e8b69f28c813675b16db357f20720f) C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys
19:22:27.0046 4920 eeCtrl - ok
19:22:27.0078 4920 EraserUtilRebootDrv (720b18d76de9e603b626dfcd6f1fca7c) C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
19:22:27.0078 4920 EraserUtilRebootDrv - ok
19:22:27.0218 4920 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
19:22:27.0218 4920 Fastfat - ok
19:22:27.0265 4920 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
19:22:27.0265 4920 Fdc - ok
19:22:27.0296 4920 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
19:22:27.0296 4920 Fips - ok
19:22:27.0296 4920 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
19:22:27.0312 4920 Flpydisk - ok
19:22:27.0312 4920 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
19:22:27.0328 4920 FltMgr - ok
19:22:27.0343 4920 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
19:22:27.0343 4920 Fs_Rec - ok
19:22:27.0375 4920 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
19:22:27.0375 4920 Ftdisk - ok
19:22:27.0421 4920 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
19:22:27.0421 4920 GEARAspiWDM - ok
19:22:27.0468 4920 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
19:22:27.0468 4920 Gpc - ok
19:22:27.0515 4920 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
19:22:27.0515 4920 HDAudBus - ok
19:22:27.0546 4920 HECI (2df64415a28ce036ac6acec7645a996f) C:\WINDOWS\system32\DRIVERS\HECI.sys
19:22:27.0562 4920 HECI - ok
19:22:27.0593 4920 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
19:22:27.0593 4920 hidusb - ok
19:22:27.0625 4920 hpn (b028377dea0546a5fcfba928a8aefae0) C:\WINDOWS\system32\DRIVERS\hpn.sys
19:22:27.0625 4920 hpn - ok
19:22:27.0671 4920 HSFHWAZL (7290fb97535c317a237d4c73149c7e2c) C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys
19:22:27.0687 4920 HSFHWAZL - ok
19:22:27.0703 4920 HSF_DPV (f362c0b442337da8ab0608dfaa4ca076) C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys
19:22:27.0718 4920 HSF_DPV - ok
19:22:27.0765 4920 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
19:22:27.0781 4920 HTTP - ok
19:22:27.0796 4920 i2omgmt (9368670bd426ebea5e8b18a62416ec28) C:\WINDOWS\system32\drivers\i2omgmt.sys
19:22:27.0796 4920 i2omgmt - ok
19:22:27.0812 4920 i2omp (f10863bf1ccc290babd1a09188ae49e0) C:\WINDOWS\system32\DRIVERS\i2omp.sys
19:22:27.0828 4920 i2omp - ok
19:22:27.0843 4920 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
19:22:27.0859 4920 i8042prt - ok
19:22:27.0984 4920 ialm (bffa387180121df1e4646c4ced3e16ca) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
19:22:28.0140 4920 ialm - ok
19:22:28.0281 4920 iaStor (bdc361489a7f22e568060fa6fb3c960e) C:\WINDOWS\system32\DRIVERS\iaStor.sys
19:22:28.0296 4920 iaStor - ok
19:22:28.0328 4920 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
19:22:28.0343 4920 Imapi - ok
19:22:28.0375 4920 ini910u (4a40e045faee58631fd8d91afc620719) C:\WINDOWS\system32\DRIVERS\ini910u.sys
19:22:28.0375 4920 ini910u - ok
19:22:28.0421 4920 IntelIde (4b6da2f0a4095857a9e3f3697399d575) C:\WINDOWS\system32\DRIVERS\intelide.sys
19:22:28.0437 4920 IntelIde - ok
19:22:28.0562 4920 intelppm (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
19:22:28.0578 4920 intelppm - ok
19:22:28.0703 4920 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
19:22:28.0718 4920 Ip6Fw - ok
19:22:28.0734 4920 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
19:22:28.0734 4920 IpFilterDriver - ok
19:22:28.0750 4920 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
19:22:28.0765 4920 IpInIp - ok
19:22:28.0781 4920 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
19:22:28.0796 4920 IpNat - ok
19:22:28.0812 4920 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
19:22:28.0812 4920 IPSec - ok
19:22:28.0828 4920 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
19:22:28.0843 4920 IRENUM - ok
19:22:28.0875 4920 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
19:22:28.0875 4920 isapnp - ok
19:22:28.0906 4920 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
19:22:28.0906 4920 Kbdclass - ok
19:22:28.0937 4920 kbdhid (94c59cb884ba010c063687c3a50dce8e) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
19:22:28.0953 4920 kbdhid - ok
19:22:28.0984 4920 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
19:22:28.0984 4920 kmixer - ok
19:22:29.0093 4920 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
19:22:29.0093 4920 KSecDD - ok
19:22:29.0140 4920 LBeepKE (5644acfa1b281ce2212353552147d1a0) C:\WINDOWS\system32\Drivers\LBeepKE.sys
19:22:29.0140 4920 LBeepKE - ok
19:22:29.0140 4920 lbrtfdc - ok
19:22:29.0187 4920 ldblank (b42d0d37f8c76ed9a462404afe520edb) C:\WINDOWS\system32\DRIVERS\ldblank.sys
19:22:29.0203 4920 ldblank - ok
19:22:29.0203 4920 ldmirror (a3b89beb5fb3ad3bef5e58a5885aea63) C:\WINDOWS\system32\DRIVERS\ldmirror.sys
19:22:29.0218 4920 ldmirror - ok
19:22:29.0250 4920 LHidFilt (05d6b85ecc3204931923ab7940b9596e) C:\WINDOWS\system32\DRIVERS\LHidFilt.Sys
19:22:29.0265 4920 LHidFilt - ok
19:22:29.0296 4920 LMouFilt (053dbcc1082fdf74ab145a71917a6556) C:\WINDOWS\system32\DRIVERS\LMouFilt.Sys
19:22:29.0312 4920 LMouFilt - ok
19:22:29.0343 4920 LUsbFilt (95dab70d56bbac7ddb7e6d0017d71369) C:\WINDOWS\system32\Drivers\LUsbFilt.Sys
19:22:29.0343 4920 LUsbFilt - ok
19:22:29.0484 4920 LVcKap (b72e763eb92b8dbe45c455ba6e4babd0) C:\WINDOWS\system32\DRIVERS\LVcKap.sys
19:22:29.0531 4920 LVcKap - ok
19:22:29.0703 4920 LVMVDrv (e8a376abc340c35318a79b766c2406bb) C:\WINDOWS\system32\DRIVERS\LVMVDrv.sys
19:22:29.0890 4920 LVMVDrv - ok
19:22:30.0062 4920 mdmxsdk (0cea2d0d3fa284b85ed5b68365114f76) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
19:22:30.0062 4920 mdmxsdk - ok
19:22:30.0187 4920 mirrorflt (aadae4ec10f7075217e87c5cfc0580c9) C:\WINDOWS\system32\DRIVERS\mirrorflt.sys
19:22:30.0234 4920 mirrorflt - ok
19:22:30.0281 4920 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
19:22:30.0312 4920 mnmdd - ok
19:22:30.0421 4920 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
19:22:30.0453 4920 Modem - ok
19:22:30.0500 4920 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
19:22:30.0546 4920 Mouclass - ok
19:22:30.0578 4920 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
19:22:30.0578 4920 mouhid - ok
19:22:30.0593 4920 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
19:22:30.0609 4920 MountMgr - ok
19:22:30.0625 4920 mraid35x (3f4bb95e5a44f3be34824e8e7caf0737) C:\WINDOWS\system32\DRIVERS\mraid35x.sys
19:22:30.0625 4920 mraid35x - ok
19:22:30.0640 4920 MRxDAV (e3f17e1ea5256709d4e97ef0da04b3c9) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
19:22:30.0640 4920 MRxDAV - ok
19:22:30.0671 4920 MRxSmb (45dbe2d13284ca3ca90acde8cfe66038) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
19:22:30.0687 4920 MRxSmb - ok
19:22:30.0703 4920 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
19:22:30.0703 4920 Msfs - ok
19:22:30.0750 4920 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
19:22:30.0750 4920 MSKSSRV - ok
19:22:30.0765 4920 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
19:22:30.0765 4920 MSPCLOCK - ok
19:22:30.0781 4920 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
19:22:30.0781 4920 MSPQM - ok
19:22:30.0828 4920 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
19:22:30.0828 4920 mssmbios - ok
19:22:30.0859 4920 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
19:22:30.0859 4920 MSTEE - ok
19:22:30.0906 4920 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
19:22:30.0906 4920 Mup - ok
19:22:30.0937 4920 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
19:22:30.0953 4920 NABTSFEC - ok
19:22:31.0078 4920 NAVENG (862f55824ac81295837b0ab63f91071f) C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20120116.009\NAVENG.SYS
19:22:31.0078 4920 NAVENG - ok
19:22:31.0125 4920 NAVEX15 (529d571b551cb9da44237389b936f1ae) C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20120116.009\NAVEX15.SYS
19:22:31.0156 4920 NAVEX15 - ok
19:22:31.0312 4920 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
19:22:31.0343 4920 NDIS - ok
19:22:31.0390 4920 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
19:22:31.0406 4920 NdisIP - ok
19:22:31.0453 4920 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
19:22:31.0453 4920 NdisTapi - ok
19:22:31.0546 4920 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
19:22:31.0546 4920 Ndisuio - ok
19:22:31.0656 4920 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
19:22:31.0671 4920 NdisWan - ok
19:22:31.0703 4920 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
19:22:31.0703 4920 NDProxy - ok
19:22:31.0718 4920 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
19:22:31.0718 4920 NetBIOS - ok
19:22:31.0734 4920 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
19:22:31.0750 4920 NetBT - ok
19:22:31.0859 4920 NETw5x32 (90f7fad201e62732cbe6625b07e4c8f1) C:\WINDOWS\system32\DRIVERS\NETw5x32.sys
19:22:31.0937 4920 NETw5x32 - ok
19:22:31.0968 4920 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
19:22:31.0968 4920 NIC1394 - ok
19:22:32.0015 4920 nm (1e421a6bcf2203cc61b821ada9de878b) C:\WINDOWS\system32\DRIVERS\NMnt.sys
19:22:32.0015 4920 nm - ok
19:22:32.0062 4920 NPF (b9730495e0cf674680121e34bd95a73b) C:\WINDOWS\system32\drivers\NPF.sys
19:22:32.0062 4920 NPF - ok
19:22:32.0078 4920 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
19:22:32.0093 4920 Npfs - ok
19:22:32.0109 4920 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
19:22:32.0125 4920 Ntfs - ok
19:22:32.0156 4920 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
19:22:32.0156 4920 Null - ok
19:22:32.0484 4920 nv (25167771f5afad71808b0080fe4f2312) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
19:22:33.0203 4920 nv - ok
19:22:33.0796 4920 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
19:22:33.0843 4920 NwlnkFlt - ok
19:22:33.0875 4920 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
19:22:33.0890 4920 NwlnkFwd - ok
19:22:34.0015 4920 OA001Ufd (a015dd2ba6009c8bdd00a6c431302d06) C:\WINDOWS\system32\DRIVERS\OA001Ufd.sys
19:22:34.0046 4920 OA001Ufd - ok
19:22:34.0078 4920 OA001Vid (d8713c79ed64012863b3344ffc2d406e) C:\WINDOWS\system32\DRIVERS\OA001Vid.sys
19:22:34.0078 4920 OA001Vid - ok
19:22:34.0125 4920 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
19:22:34.0125 4920 ohci1394 - ok
19:22:34.0171 4920 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
19:22:34.0187 4920 Parport - ok
19:22:34.0234 4920 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
19:22:34.0250 4920 PartMgr - ok
19:22:34.0265 4920 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
19:22:34.0265 4920 ParVdm - ok
19:22:34.0281 4920 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
19:22:34.0296 4920 PCI - ok
19:22:34.0296 4920 PCIDump - ok
19:22:34.0312 4920 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
19:22:34.0312 4920 PCIIde - ok
19:22:34.0328 4920 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
19:22:34.0343 4920 Pcmcia - ok
19:22:34.0343 4920 PDCOMP - ok
19:22:34.0343 4920 PDFRAME - ok
19:22:34.0359 4920 PDRELI - ok
19:22:34.0359 4920 PDRFRAME - ok
19:22:34.0390 4920 perc2 (6c14b9c19ba84f73d3a86dba11133101) C:\WINDOWS\system32\DRIVERS\perc2.sys
19:22:34.0390 4920 perc2 - ok
19:22:34.0406 4920 perc2hib (f50f7c27f131afe7beba13e14a3b9416) C:\WINDOWS\system32\DRIVERS\perc2hib.sys
19:22:34.0406 4920 perc2hib - ok
19:22:34.0453 4920 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
19:22:34.0453 4920 PptpMiniport - ok
19:22:34.0484 4920 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
19:22:34.0484 4920 PSched - ok
19:22:34.0500 4920 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
19:22:34.0500 4920 Ptilink - ok
19:22:34.0531 4920 PxHelp20 (153d02480a0a2f45785522e814c634b6) C:\WINDOWS\system32\Drivers\PxHelp20.sys
19:22:34.0531 4920 PxHelp20 - ok
19:22:34.0562 4920 ql1080 (0a63fb54039eb5662433caba3b26dba7) C:\WINDOWS\system32\DRIVERS\ql1080.sys
19:22:34.0578 4920 ql1080 - ok
19:22:34.0578 4920 Ql10wnt (6503449e1d43a0ff0201ad5cb1b8c706) C:\WINDOWS\system32\DRIVERS\ql10wnt.sys
19:22:34.0593 4920 Ql10wnt - ok
19:22:34.0593 4920 ql12160 (156ed0ef20c15114ca097a34a30d8a01) C:\WINDOWS\system32\DRIVERS\ql12160.sys
19:22:34.0609 4920 ql12160 - ok
19:22:34.0609 4920 ql1240 (70f016bebde6d29e864c1230a07cc5e6) C:\WINDOWS\system32\DRIVERS\ql1240.sys
19:22:34.0625 4920 ql1240 - ok
19:22:34.0625 4920 ql1280 (907f0aeea6bc451011611e732bd31fcf) C:\WINDOWS\system32\DRIVERS\ql1280.sys
19:22:34.0640 4920 ql1280 - ok
19:22:34.0671 4920 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
19:22:34.0671 4920 RasAcd - ok
19:22:34.0687 4920 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
19:22:34.0703 4920 Rasl2tp - ok
19:22:34.0703 4920 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
19:22:34.0718 4920 RasPppoe - ok
19:22:34.0734 4920 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
19:22:34.0734 4920 Raspti - ok
19:22:34.0765 4920 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
19:22:34.0765 4920 Rdbss - ok
19:22:34.0765 4920 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
19:22:34.0781 4920 RDPCDD - ok
19:22:34.0796 4920 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
19:22:34.0812 4920 rdpdr - ok
19:22:34.0828 4920 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
19:22:34.0843 4920 RDPWD - ok
19:22:34.0875 4920 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
19:22:34.0890 4920 redbook - ok
19:22:34.0921 4920 rimmptsk (355aac141b214bef1dbc1483afd9bd50) C:\WINDOWS\system32\DRIVERS\rimmptsk.sys
19:22:34.0937 4920 rimmptsk - ok
19:22:34.0968 4920 sdbus (8d04819a3ce51b9eb47e5689b44d43c4) C:\WINDOWS\system32\DRIVERS\sdbus.sys
19:22:34.0968 4920 sdbus - ok
19:22:34.0984 4920 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
19:22:35.0000 4920 Secdrv - ok
19:22:35.0015 4920 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
19:22:35.0015 4920 serenum - ok
19:22:35.0046 4920 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
19:22:35.0046 4920 Serial - ok
19:22:35.0078 4920 sffdisk (0fa803c64df0914b41f807ea276bf2a6) C:\WINDOWS\system32\DRIVERS\sffdisk.sys
19:22:35.0093 4920 sffdisk - ok
19:22:35.0109 4920 sffp_sd (c17c331e435ed8737525c86a7557b3ac) C:\WINDOWS\system32\DRIVERS\sffp_sd.sys
19:22:35.0109 4920 sffp_sd - ok
19:22:35.0125 4920 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
19:22:35.0125 4920 Sfloppy - ok
19:22:35.0140 4920 Simbad - ok
19:22:35.0187 4920 sisagp (6b33d0ebd30db32e27d1d78fe946a754) C:\WINDOWS\system32\DRIVERS\sisagp.sys
19:22:35.0187 4920 sisagp - ok
19:22:35.0218 4920 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
19:22:35.0234 4920 SLIP - ok
19:22:35.0250 4920 Sparrow (83c0f71f86d3bdaf915685f3d568b20e) C:\WINDOWS\system32\DRIVERS\sparrow.sys
19:22:35.0250 4920 Sparrow - ok
19:22:35.0390 4920 SPBBCDrv (e87cf104f12c92401c4d33c50a3d5dc8) C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCDrv.sys
19:22:35.0406 4920 SPBBCDrv - ok
19:22:35.0515 4920 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
19:22:35.0515 4920 splitter - ok
19:22:35.0546 4920 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
19:22:35.0546 4920 sr - ok
19:22:35.0578 4920 SRTSP (5a293729e1f9fce3a2106d1f5dc5e98a) C:\WINDOWS\system32\Drivers\SRTSP.SYS
19:22:35.0593 4920 SRTSP - ok
19:22:35.0640 4920 SRTSPL (0ddb7fba32be09d8057063c0cee24137) C:\WINDOWS\system32\Drivers\SRTSPL.SYS
19:22:35.0656 4920 SRTSPL - ok
19:22:35.0703 4920 SRTSPX (a99719dfb61b61aa5026341bbb733c0a) C:\WINDOWS\system32\Drivers\SRTSPX.SYS
19:22:35.0703 4920 SRTSPX - ok
19:22:35.0750 4920 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
19:22:35.0750 4920 Srv - ok
19:22:35.0828 4920 STHDA (1b76479b80ff0f6e245ba590a64102be) C:\WINDOWS\system32\drivers\sthda.sys
19:22:35.0859 4920 STHDA - ok
19:22:35.0890 4920 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
19:22:35.0906 4920 streamip - ok
19:22:35.0937 4920 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
19:22:35.0937 4920 swenum - ok
19:22:35.0968 4920 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
19:22:35.0984 4920 swmidi - ok
19:22:36.0000 4920 symc810 (1ff3217614018630d0a6758630fc698c) C:\WINDOWS\system32\DRIVERS\symc810.sys
19:22:36.0000 4920 symc810 - ok
19:22:36.0015 4920 symc8xx (070e001d95cf725186ef8b20335f933c) C:\WINDOWS\system32\DRIVERS\symc8xx.sys
19:22:36.0015 4920 symc8xx - ok
19:22:36.0078 4920 SymEvent (a54ff04bd6e75dc4d8cb6f3e352635e0) C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
19:22:36.0078 4920 SymEvent - ok
19:22:36.0109 4920 SYMREDRV (394b2368212114d538316812af60fddd) C:\WINDOWS\System32\Drivers\SYMREDRV.SYS
19:22:36.0109 4920 SYMREDRV - ok
19:22:36.0156 4920 SYMTDI (d46676bb414c7531bdffe637a33f5033) C:\WINDOWS\System32\Drivers\SYMTDI.SYS
19:22:36.0171 4920 SYMTDI - ok
19:22:36.0296 4920 sym_hi (80ac1c4abbe2df3b738bf15517a51f2c) C:\WINDOWS\system32\DRIVERS\sym_hi.sys
19:22:36.0296 4920 sym_hi - ok
19:22:36.0312 4920 sym_u3 (bf4fab949a382a8e105f46ebb4937058) C:\WINDOWS\system32\DRIVERS\sym_u3.sys
19:22:36.0312 4920 sym_u3 - ok
19:22:36.0343 4920 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
19:22:36.0343 4920 sysaudio - ok
19:22:36.0390 4920 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
19:22:36.0390 4920 Tcpip - ok
19:22:36.0421 4920 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
19:22:36.0421 4920 TDPIPE - ok
19:22:36.0437 4920 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
19:22:36.0437 4920 TDTCP - ok
19:22:36.0484 4920 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
19:22:36.0484 4920 TermDD - ok
19:22:36.0500 4920 TosIde (b411668322c3bf4e690888706b999679) C:\WINDOWS\system32\DRIVERS\toside.sys
19:22:36.0515 4920 TosIde - ok
19:22:36.0531 4920 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
19:22:36.0531 4920 Udfs - ok
19:22:36.0546 4920 ultra (1b698a51cd528d8da4ffaed66dfc51b9) C:\WINDOWS\system32\DRIVERS\ultra.sys
19:22:36.0546 4920 ultra - ok
19:22:36.0562 4920 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
19:22:36.0578 4920 Update - ok
19:22:36.0625 4920 USBAAPL (83cafcb53201bbac04d822f32438e244) C:\WINDOWS\system32\Drivers\usbaapl.sys
19:22:36.0625 4920 USBAAPL - ok
19:22:36.0671 4920 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
19:22:36.0671 4920 usbaudio - ok
19:22:36.0703 4920 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
19:22:36.0703 4920 usbccgp - ok
19:22:36.0718 4920 USBCCID (6b5e4d5e6e5ecd6acd14aed59768ce5c) C:\WINDOWS\system32\DRIVERS\usbccid.sys
19:22:36.0734 4920 USBCCID - ok
19:22:36.0765 4920 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
19:22:36.0765 4920 usbehci - ok
19:22:36.0781 4920 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
19:22:36.0796 4920 usbhub - ok
19:22:36.0828 4920 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
19:22:36.0828 4920 usbprint - ok
19:22:36.0859 4920 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
19:22:36.0859 4920 usbscan - ok
19:22:36.0890 4920 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
19:22:36.0890 4920 USBSTOR - ok
19:22:36.0921 4920 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
19:22:36.0937 4920 usbuhci - ok
19:22:36.0953 4920 usbvideo (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
19:22:36.0968 4920 usbvideo - ok
19:22:36.0984 4920 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
19:22:36.0984 4920 VgaSave - ok
19:22:37.0031 4920 viaagp (754292ce5848b3738281b4f3607eaef4) C:\WINDOWS\system32\DRIVERS\viaagp.sys
19:22:37.0031 4920 viaagp - ok
19:22:37.0046 4920 ViaIde (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys
19:22:37.0046 4920 ViaIde - ok
19:22:37.0078 4920 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
19:22:37.0078 4920 VolSnap - ok
19:22:37.0093 4920 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
19:22:37.0093 4920 Wanarp - ok
19:22:37.0140 4920 Wdf01000 (fd47474bd21794508af449d9d91af6e6) C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
19:22:37.0156 4920 Wdf01000 - ok
19:22:37.0171 4920 WDICA - ok
19:22:37.0187 4920 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
19:22:37.0203 4920 wdmaud - ok
19:22:37.0234 4920 winachsf (92ce6497076eac3083185c44157b3a46) C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys
19:22:37.0265 4920 winachsf - ok
19:22:37.0312 4920 WmiAcpi (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
19:22:37.0312 4920 WmiAcpi - ok
19:22:37.0343 4920 WS2IFSL (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys
19:22:37.0343 4920 WS2IFSL - ok
19:22:37.0375 4920 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
19:22:37.0375 4920 WSTCODEC - ok
19:22:37.0406 4920 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
19:22:37.0406 4920 WudfPf - ok
19:22:37.0421 4920 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
19:22:37.0421 4920 WudfRd - ok
19:22:37.0468 4920 MBR (0x1B8) (5c616939100b85e558da92b899a0fc36) \Device\Harddisk0\DR0
19:22:37.0531 4920 \Device\Harddisk0\DR0 - ok
19:22:37.0531 4920 MBR (0x1B8) (5fb38429d5d77768867c76dcbdb35194) \Device\Harddisk1\DR3
19:22:37.0593 4920 \Device\Harddisk1\DR3 - ok
19:22:37.0593 4920 Boot (0x1200) (74d0d8729c42a8fca6689da824a4546f) \Device\Harddisk0\DR0\Partition0
19:22:37.0609 4920 \Device\Harddisk0\DR0\Partition0 - ok
19:22:37.0625 4920 Boot (0x1200) (3d67c66dd5f93d6f02f1f9251d410b2e) \Device\Harddisk0\DR0\Partition1
19:22:37.0625 4920 \Device\Harddisk0\DR0\Partition1 - ok
19:22:37.0625 4920 Boot (0x1200) (7ddd581b27520e0f87a9c3454e49be74) \Device\Harddisk1\DR3\Partition0
19:22:37.0625 4920 \Device\Harddisk1\DR3\Partition0 - ok
19:22:37.0625 4920 ============================================================
19:22:37.0625 4920 Scan finished
19:22:37.0625 4920 ============================================================
19:22:37.0625 0452 Detected object count: 0
19:22:37.0625 0452 Actual detected object count: 0
19:23:02.0937 5860 Deinitialize success





et voici le lien pour VirusTotal :


https://www.virustotal.com/gui/file/ee1bd43929f784a2d4ae599bc2cc0c59d4a77650dc03f572f150b64de924e2ef




Voici le premier rapport de Malwarebytes que j'ai fait avant de te contacter via se forum



Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.15.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
herbrete :: HERBRET_VI-D803 [administrateur]

15/01/2012 15:20:44
mbam-log-2012-01-15 (15-20-44).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 223377
Temps écoulé: 20 minute(s), 31 seconde(s)

Processus mémoire détecté(s): 2
C:\WINDOWS\Temp\_ex-68.exe (Spyware.Passwords.XGen) -> 816 -> Suppression au redémarrage.
C:\Documents and Settings\herbrete\Application Data\WMPRWISE.EXE (Trojan.Zbot.CBCGen) -> 820 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MozillaAgent (Spyware.Passwords.XGen) -> Données: C:\WINDOWS\Temp\_ex-68.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Firewall 2.9 (Trojan.Zbot.CBCGen) -> Données: C:\Documents and Settings\herbrete\Application Data\WMPRWISE.EXE -> Mis en quarantaine et supprimé avec succès.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Windows Update Server (Heuristics.Shuriken) -> Données: C:\Documents and Settings\NetworkService\9e42fba6-5689.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Mauvais: (0) Bon: (1) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 7
C:\WINDOWS\Temp\_ex-68.exe (Spyware.Passwords.XGen) -> Suppression au redémarrage.
C:\Documents and Settings\herbrete\Application Data\WMPRWISE.EXE (Trojan.Zbot.CBCGen) -> Suppression au redémarrage.
C:\Documents and Settings\NetworkService\9e42fba6-5689.exe (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\herbrete\Local Settings\Temp\oiu0.6761926631370456.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\Temp\5689.sys (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\Temp\7a17f64a-5689.tmp (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\Temp\igefsh\setup.exe (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.

(fin)




Je vais relancer un scan complet ordi + periph avec Malwarebytes


Mais que penses-tu des rapports ci-dessus ?
Un grand merci pour ton aide précieuse !
0
Réponse 6 / 29
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
17 janv. 2012 à 21:41
D'accord. Poste le rapport de MalwareBytes s'il détecte quelque chose (pense à le mettre à jour avant l'analyse).

Ensuite, fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag (pense à l'héberger sur pjjoint, comme le précédent).

0
Réponse 7 / 29
funksobrother Messages postés 29 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 février 2012
18 janv. 2012 à 07:41
Merci, voici le rapport Malwarebytes (presque complet, il a tourné 12 heures et j'ai dû l'arrêter) :

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.15.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
herbrete :: HERBRET_VI-D803 [administrateur]

17/01/2012 19:36:15
mbam-log-2012-01-17 (19-36-15).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 878430
Temps écoulé: 11 heure(s), 50 minute(s), 32 seconde(s) [abandonné]

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 7
C:\Documents and Settings\herbrete\Application Data\Sun\Java\Deployment\cache\6.0\19\7c5374d3-20efaad1 (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\NetworkService\Application Data\Sun\Java\Deployment\cache\6.0\24\f6a5fd8-7e981505 (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\NetworkService\Application Data\Sun\Java\Deployment\cache\6.0\39\bec09e7-333654b8 (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\NetworkService\Application Data\Sun\Java\Deployment\cache\6.0\62\6207b03e-3cea55ba (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\config\systemprofile\Application Data\Sun\Java\Deployment\cache\6.0\14\86ec98e-4bb22543 (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\config\systemprofile\Application Data\Sun\Java\Deployment\cache\6.0\50\52519b2-3d3f9c5b (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\Temp\0.8569346970908901.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
18 janv. 2012 à 20:25
" Ensuite, fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag (pense à l'héberger sur pjjoint, comme le précédent). "

;)
0
funksobrother Messages postés 29 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 février 2012
18 janv. 2012 à 21:48
Grosses difficultés aujourd'hui. Ce matin, un écran frauduleux soi-disant de la "police" et réclamant 100 euros. J'ai eu le temps de voir qu'il est apparu via des fenêtres iexplore. Le gestionnaire des tâches s'est retrouvé bloqué. Mais un redémarrage en mode échec + malwarebytes a permis de respirer un peu.
Puis l'ordi s'est planté alors que Malwarebytes était en train de tourner. Depuis Windows ne démarre plus (mode normal ou sans échec) avec un message d'erreur sur fond bleu. J'ai dû changer d'ordi pour pouvoir travailler...
0
Réponse 8 / 29
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
Modifié par anthony5151 le 19/01/2012 à 00:19
Cette infection se propage via des publicités malveillantes, surtout sur des sites de streaming. Pour éviter cela, il faut combler les failles de sécurité présentes sur l'ordinateur en maintenant tous ses programmes à jour (on le fera à la fin de la désinfection et il faudra que tu continues à le faire régulièrement par la suite)
Je ne sais pas quelle variante de cette infection avait infecté ton ordinateur, mais MalwareBytes a dû supprimer quelque chose qu'il ne fallait pas (peut-être un fichier système puisque cette infection peut les modifier)

¶ Suis ce tutoriel illustré pour démarrer sur le liveCD OTLPE.
¶ Une fois sur le Bureau, lance OTL et copie/colle ceci dans le cadre personnalisation en bas de la fenêtre :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs


¶ Puis clique sur le bouton Analyse.
¶ Quand l'analyse sera terminée, rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de OTL et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0
Réponse 9 / 29
funksobrother Messages postés 29 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 février 2012
19 janv. 2012 à 00:40
Merci pour le suivi et ton aide très précieuse. Je vais être absent quelques jours et vais abandonner mon ordi dans l'état. Je reprendrai la semaine prochaine. Tout me paraît clair dans la procédure
0
Réponse 10 / 29
funksobrother Messages postés 29 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 février 2012
19 janv. 2012 à 02:37
Finalement, j'ai réussi à faire la procédure et voici le lien :
https://pjjoint.malekal.com/files.php?id=20120119_u5r9g11v13g15

Encore merci pour la suite
0
Réponse 11 / 29
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
19 janv. 2012 à 18:30
Les fichiers systèmes explorer.exe et winlogon.exe sont apparemment infectés, nous allons les remplacer. D'abord, peux-tu m'envoyer les fichiers infectés pour que je puisse les analyser :

- Depuis OTLPE, déplace les fichiers suivants sur le Bureau : C:\WINDOWS\explorer.exe et C:\WINDOWS\system32\winlogon.exe
- Sélectionne les deux --> fais un clic-droit dessus --> envoyer vers --> dossier compressé.
- Héberge le dossier que tu viens de créer sur pjjoint et poste le lien dans ta prochaine réponse.
- TU peux ensuite les supprimer.


Puis, pour effectuer le remplacement :

- Télécharge ce dossier
- Fais un clic-droit dessus --> extraire tout --> place ces fichiers extraits sur le Bureau.
- Copie/colle explorer.exe dans ce dossier : C:\WINDOWS
- Copie/colle winlogon.exe dans ce dossier : C:\WINDOWS\system32


Enfin, utilise ce script OTL pour supprimer certains éléments néfastes :

- Lance OTL
- Clique sur ce lien et copie le script qu'il contient.
- Colle le script dans le cadre « Custom scan » et clique sur Run Fix.
- Poste le rapport dans ta prochaine réponse.


Puis fais redémarrer l'ordinateur et dis moi si ça fonctionne à nouveau.

0
Réponse 12 / 29
funksobrother Messages postés 29 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 février 2012
20 janv. 2012 à 02:06
Merci à nouveau !
J'ai fait les premières étapes et voici le zip avec les deux fichiers infectés à analyser

https://pjjoint.malekal.com/files.php?id=20120120_v15z11x14s14t7

Ensuite j'ai copié le script dans OTL mais OTL semble se bloquer ou bien cela prend beaucoup de temps. Je vais laisser passer la nuit pour voir.

Je te tiens au courant pour la suite
0
Réponse 13 / 29
funksobrother Messages postés 29 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 février 2012
25 janv. 2012 à 00:10
Bonjour Anthony,
j'ai été absent quelques jours et ai dû abandonner mon ordi. J'espère que tu es toujours dispo pour me dépanner !
Suite au précédent message avec l'envoi des fichiers infectés, jai retenté plusieurs fois de faire le Fix avec le script que tu m'as envoyé mais OTL se bloque (not responding) avec l'indication "processing" dans la barre du bas. Je n'obtiens donc pas de rapport OTL.
J'ai quand même tenté de redémarrer l'ordi et Windows redémarre, c'est déjà un énorme progrès, merci ! mais il y a un message d'erreur avec Window qui indique qu'il a dû stopper Winlogon. Qu'en penses-tu ?
A nouveau merci,
0
Réponse 14 / 29
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
25 janv. 2012 à 20:25
Lance ZHPDiag, mets le à jour à l'aide de la flèche verte, puis effectue une nouvelle analyse et poste le rapport. On va poursuivre la désinfection sans se servir de OTLPE si c'est possible.

0
Réponse 15 / 29
funksobrother Messages postés 29 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 février 2012
25 janv. 2012 à 22:40
Bonjour, et merci encore pour le suivi,
voici le rapport ZHPDiag
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120125_y9f12t7q8b9
Aujourd'hui, sans se connecter à internet, Malwarebytes a pu nettoyer des trojans, puis relancé n'a plus rien trouvé. Il n'y avait plus de messages d'erreurs windows.
Ce soir, reconnecté à internet, l'ordinateur s'est mis à donner des messages d'erreurs, avec des processus iexplore.exe dans le gestionnaire des tâches. Bref, ce n'est pas résolu, si ce n'est que Windows démarre.
Encore un grand merci,
0
Réponse 16 / 29
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
26 janv. 2012 à 22:49
Ce script va cibler certains éléments à supprimer :

¶ Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
¶ Lance ZHPFix à partir du raccourci sur ton Bureau
¶ Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
¶ Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
¶ Clique sur le bouton « GO » pour lancer le nettoyage,
¶ Copie/colle la totalité du rapport dans ta prochaine réponse


Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.

¶ Télécharge ComboFix (de sUBs) sur ton Bureau.
¶ Double-clique sur ComboFix.exe afin de le lancer.
¶ Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
¶ Ne touche à rien pendant le scan.
¶ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

0
Réponse 17 / 29
funksobrother Messages postés 29 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 février 2012
27 janv. 2012 à 01:57
Merci pour tes indications,
voici le rapport ZHPFix :


Rapport de ZHPFix 1.12.3379 par Nicolas Coolman, Update du 22/01/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-27-01-2012-00-56-26.txt
Run by herbrete at 27/01/2012 00:56:26
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Processus mémoire ==========
SUPPRIME Reboot Memory Process: C:\WINDOWS\system32\Winlogon.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\TENCENT
ABSENT Key: HKLM\Software\Tencent

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825}
SUPPRIME RunValue: AdobeBridge
ABSENT RunValue: AdobeBridge
SUPPRIME FirewallRaz (SP) : C:\Program Files\LANDesk\LDCLient\AdvanceAgent.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Elément(s) de donnée du Registre ==========
REMPLACE Value AntiVirusOverride : Good (0) - Bad (1)
REMPLACE Value FirewallOverride : Good (0) - Bad (1)

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 90
SUPPRIME Flash Cookies: 520

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 100
SUPPRIME Flash Cookies: 153


========== Récapitulatif ==========
1 : Processus mémoire
2 : Clé(s) du Registre
5 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
2 : Dossier(s)
2 : Fichier(s)


End of clean in 00mn 11s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 27/01/2012 00:56:26 [1503]




Combofix m'a indiqué l'infection par Rootkit.ZeroAccess! inséré dans la pile tcp/ip et désigné comme une infection particulièrement compliquée
Voici le rapport final :






ComboFix 12-01-26.03 - herbrete 27/01/2012 1:16.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3044.2437 [GMT 1:00]
Lancé depuis: c:\documents and settings\herbrete\Bureau\ComboFix.exe
AV: Symantec Endpoint Protection *Disabled/Updated* {FB06448E-52B8-493A-90F3-E43226D3305C}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\acasaaa.tmp
c:\documents and settings\All Users\Application Data\bfmsaaa.tmp
c:\documents and settings\All Users\Application Data\bqesaaa.tmp
c:\documents and settings\All Users\Application Data\cfmsaaa.tmp
c:\documents and settings\All Users\Application Data\cqesaaa.tmp
c:\documents and settings\All Users\Application Data\dqesaaa.tmp
c:\documents and settings\All Users\Application Data\eejsaaa.tmp
c:\documents and settings\All Users\Application Data\eqesaaa.tmp
c:\documents and settings\All Users\Application Data\fejsaaa.tmp
c:\documents and settings\All Users\Application Data\ldgsaaa.tmp
c:\documents and settings\All Users\Application Data\poyraaa.tmp
c:\documents and settings\All Users\Application Data\prksaaa.tmp
c:\documents and settings\All Users\Application Data\ruwsaaa.tmp
c:\documents and settings\All Users\Application Data\suwsaaa.tmp
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\All Users\Application Data\uqhsaaa.tmp
c:\documents and settings\All Users\Application Data\uuwsaaa.tmp
c:\documents and settings\All Users\Application Data\vfpsaaa.tmp
c:\documents and settings\All Users\Application Data\vqhsaaa.tmp
c:\documents and settings\All Users\Application Data\wbasaaa.tmp
c:\documents and settings\All Users\Application Data\wqhsaaa.tmp
c:\documents and settings\All Users\Application Data\xbasaaa.tmp
c:\documents and settings\All Users\Application Data\xqhsaaa.tmp
c:\documents and settings\All Users\Application Data\ybasaaa.tmp
c:\documents and settings\All Users\Application Data\yemsaaa.tmp
c:\documents and settings\All Users\Application Data\zbasaaa.tmp
c:\documents and settings\herbrete\Application Data\desktop.ini
c:\documents and settings\herbrete\Application Data\ntuser.dat
c:\documents and settings\herbrete\WINDOWS
c:\windows\$NtUninstallKB19041$
c:\windows\$NtUninstallKB19041$\2038420730
c:\windows\$NtUninstallKB19041$\493770511\@
c:\windows\$NtUninstallKB19041$\493770511\bckfg.tmp
c:\windows\$NtUninstallKB19041$\493770511\cfg.ini
c:\windows\$NtUninstallKB19041$\493770511\Desktop.ini
c:\windows\$NtUninstallKB19041$\493770511\keywords
c:\windows\$NtUninstallKB19041$\493770511\kwrd.dll
c:\windows\$NtUninstallKB19041$\493770511\L\ucuwdnus
c:\windows\$NtUninstallKB19041$\493770511\U\00000001.@
c:\windows\$NtUninstallKB19041$\493770511\U\00000002.@
c:\windows\$NtUninstallKB19041$\493770511\U\00000004.@
c:\windows\$NtUninstallKB19041$\493770511\U\80000000.@
c:\windows\$NtUninstallKB19041$\493770511\U\80000004.@
c:\windows\$NtUninstallKB19041$\493770511\U\80000032.@
c:\windows\expl.dat
c:\windows\system32\dllc.dat
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\rrt_is.wav
c:\windows\system32\rrt_tn.wav
c:\windows\system32\rrt_tv.wav
c:\windows\system32\rrt_vf.wav
c:\windows\system32\svch.dat
c:\windows\system32\winl.dat
c:\windows\system32\wpcap.dll
c:\windows\twexx32.dll
.
Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{4733DE63-F260-4FD7-89AB-3DABE7707298}\RP3\A0014980.exe
.
c:\windows\system32\svchost.exe . . . est infecté!!
.
Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\system volume information\_restore{4733DE63-F260-4FD7-89AB-3DABE7707298}\RP3\A0014979.exe
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_FILEMON
-------\Legacy_NPF
-------\Service_NPF
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-12-27 au 2012-01-27 ))))))))))))))))))))))))))))))))))))
.
.
2012-01-20 06:39 . 2012-01-20 06:39 -------- d-----w- C:\_OTL
2012-01-19 07:22 . 2012-01-19 07:22 512 ----a-w- C:\Physical0MBR.bin
2012-01-17 14:09 . 2012-01-17 14:09 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\Logitech
2012-01-17 07:18 . 2012-01-17 18:16 -------- d-----w- C:\UsbFix
2012-01-16 23:50 . 2012-01-16 23:50 -------- d-----w- c:\program files\Trend Micro
2012-01-16 21:32 . 2012-01-26 23:56 -------- d-----w- C:\ZHP
2012-01-16 21:32 . 2012-01-25 21:25 -------- d-----w- c:\program files\ZHPDiag
2012-01-16 21:15 . 2012-01-16 21:15 -------- d-----w- c:\program files\Ad-Remover
2012-01-16 20:45 . 2012-01-16 20:45 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2012-01-16 20:37 . 2012-01-25 00:40 -------- d-sh--w- c:\windows\UserData
2012-01-16 14:38 . 2012-01-16 15:25 -------- d-----w- c:\program files\Fichiers communs\PC Tools
2012-01-16 14:38 . 2012-01-16 14:38 -------- d-----w- c:\documents and settings\herbrete\Application Data\PC Tools
2012-01-16 14:37 . 2012-01-16 14:37 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
2012-01-16 10:12 . 2012-01-16 10:12 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\Apple Computer
2012-01-15 14:20 . 2012-01-15 14:20 -------- d-----w- c:\documents and settings\herbrete\Application Data\Malwarebytes
2012-01-15 14:19 . 2012-01-15 14:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2012-01-15 14:19 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-01-15 14:19 . 2012-01-15 14:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-01-15 09:56 . 2012-01-15 09:56 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE
2012-01-15 09:34 . 2012-01-15 09:34 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2012-01-15 09:32 . 2008-04-13 17:52 188672 -c--a-w- c:\windows\system32\dllcache\acpi.sys
2012-01-15 09:32 . 2008-04-13 17:52 188672 ----a-w- c:\windows\system32\drivers\acpi.sys
2012-01-15 09:30 . 2012-01-15 09:30 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2012-01-10 20:22 . 2012-01-10 20:22 548864 ----a-w- c:\program files\Mozilla Firefox\msvcp80.dll
2012-01-10 20:22 . 2012-01-10 20:22 479232 ----a-w- c:\program files\Mozilla Firefox\msvcm80.dll
2012-01-10 20:22 . 2012-01-10 20:22 43992 ----a-w- c:\program files\Mozilla Firefox\mozutils.dll
2012-01-10 20:22 . 2012-01-10 20:22 626688 ----a-w- c:\program files\Mozilla Firefox\msvcr80.dll
2012-01-10 15:18 . 2012-01-10 15:19 -------- d-----w- c:\program files\OpenOffice.org 3
2012-01-09 08:49 . 2012-01-09 08:49 -------- d-----w- c:\documents and settings\All Users\Application Data\nView_Profiles
2012-01-07 15:05 . 2012-01-07 15:05 -------- d-----w- c:\program files\Fichiers communs\Labtec
2012-01-07 15:04 . 2012-01-07 15:05 -------- d-----w- c:\program files\Labtec
2012-01-07 14:06 . 2008-04-13 18:33 54784 ----a-w- c:\windows\system32\drivers\vfwwdm32.dll
2012-01-07 13:58 . 2012-01-07 14:19 -------- d-----w- c:\program files\Foto-Mosaik-Edda
2012-01-06 22:44 . 2012-01-06 22:44 -------- d-----w- c:\program files\Intel
2012-01-03 12:17 . 2012-01-03 12:17 -------- d-----w- c:\documents and settings\herbrete\Local Settings\Application Data\Microsoft Help
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-27 00:36 . 2012-01-27 00:35 817 ----a-w- c:\documents and settings\All Users\Application Data\lauraaa.tmp
2012-01-27 00:36 . 2012-01-27 00:34 819 ----a-w- c:\documents and settings\All Users\Application Data\jauraaa.tmp
2012-01-27 00:36 . 2012-01-27 00:35 831 ----a-w- c:\documents and settings\All Users\Application Data\mauraaa.tmp
2012-01-27 00:35 . 2012-01-27 00:35 874 ----a-w- c:\documents and settings\All Users\Application Data\kauraaa.tmp
2012-01-27 00:32 . 2008-04-14 03:00 1062912 ----a-w- c:\windows\explorer.exe
2012-01-27 00:31 . 2008-04-14 03:00 549376 ----a-w- c:\windows\system32\winlogon.exe
2012-01-18 13:42 . 2011-10-10 07:08 90112 ----a-w- c:\windows\DUMPf481.tmp
2012-01-17 18:14 . 2012-01-17 18:14 8415 ----a-w- C:\UsbFix_Upload_Me_HERBRET_VI-D803.zip
2011-11-28 08:40 . 2011-10-17 22:33 16400 ----a-w- c:\windows\system32\drivers\LNonPnP.sys
2011-07-20 15:30 . 2011-07-20 15:30 300013 ----a-w- c:\program files\OSIATIS_StartMenu.exe
2011-07-20 15:30 . 2011-07-20 15:30 34976853 ----a-w- c:\program files\agent_cirad_with_status.exe
2009-07-03 08:29 . 2010-11-23 15:28 1717081 ----a-w- c:\program files\agent_expat_light.exe
2008-11-03 07:39 . 2010-11-23 15:28 223760 ----a-w- c:\program files\UninstallWinClient.exe
2012-01-10 20:22 . 2011-10-17 22:40 121816 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
.
.
[-] 2012-01-27 . AB61199E82C4D4DC22019A8483FC2FF2 . 1062912 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-11 137752]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2009-08-03 1044480]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-12-21 200704]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-02-23 483420]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2008-12-16 729088]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-01 13537280]
"nwiz"="nwiz.exe" [2008-08-01 1630208]
"NVHotkey"="nvHotkey.dll" [2008-08-01 90112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-08-01 86016]
"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2011-06-23 1386776]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-06-09 254696]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2010-10-28 115560]
"AdobeAAMUpdater-1.0"="c:\program files\Fichiers communs\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"AdobeCS5ServiceManager"="c:\program files\Fichiers communs\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"SwitchBoard"="c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-10-09 421736]
"OA001Mon"="c:\windows\OA001Mon.exe" [2009-02-24 24576]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-03-06 488984]
"LogitechQuickCamRibbon"="c:\program files\Labtec\WebCam10\WebCam10.exe" [2007-03-06 1060376]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe" [2010-11-05 233936]
.
c:\documents and settings\herbrete\Menu Démarrer\Programmes\Démarrage\
DesktopEarth.lnk - c:\program files\DesktopEarth\DesktopEarth.exe [2011-10-18 761856]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
iFinger 2.0.lnk - c:\program files\iFinger\iFinger.exe [2011-10-18 1596928]
iFinger.lnk - c:\program files\iFinger\iFinger.exe [2011-10-18 1596928]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2011-06-17 07:33 66328 ----a-w- c:\program files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PHOTOfunSTUDIO HD Edition.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\PHOTOfunSTUDIO HD Edition.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO HD Edition.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-16 15:12 3872080 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\WINDOWS\\system32\\cba\\pds.exe"=
"c:\\WINDOWS\\system32\\msgsys.exe"=
"c:\\Program Files\\LANDesk\\LDClient\\issuser.exe"=
"c:\\Program Files\\LANDesk\\LDClient\\tmcsvc.exe"=
"c:\\Program Files\\Symantec\\Symantec Endpoint Protection\\Smc.exe"=
"c:\\Program Files\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE"=
"c:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Fichiers communs\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\LANDesk\\Shared Files\\residentagent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Gestion à distance de Windows
.
R2 CBA8;LANDesk(R) Management Agent;c:\program files\LANDesk\Shared Files\residentAgent.exe [15/10/2010 06:41 147456]
R2 LANDesk Policy Invoker;LANDesk Policy Invoker;c:\program files\LANDesk\LDClient\policy.client.invoker.exe [20/07/2011 13:31 207360]
R2 LANDesk Targeted Multicast;Multicast LANDesk ciblé;c:\program files\LANDesk\LDClient\tmcsvc.exe [20/07/2011 13:31 178688]
R2 LANDesk(R) Out-of-Band Monitor Service;LANDesk(R) Out-of-Band Monitor Service;c:\program files\LANDesk\LDClient\amtmon.exe [20/07/2011 13:31 1058304]
R2 LBeepKE;Logitech Beep Suppression Driver;c:\windows\system32\drivers\LBeepKE.sys [17/10/2011 23:31 12184]
R2 Softmon;LANDesk(R) Software Monitoring Service;c:\program files\LANDesk\LDClient\SoftMon.exe [20/07/2011 13:31 385024]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [30/11/2009 13:03 112512]
R3 cvusbdrv;Broadcom USH CV;c:\windows\system32\drivers\cvusbdrv.sys [30/11/2009 13:04 32808]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [30/11/2009 13:01 244368]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [17/01/2012 19:31 106104]
R3 ldmirror;ldmirror;c:\windows\system32\drivers\ldmirror.sys [20/07/2011 13:31 5120]
R3 mirrorflt;Mirror Filter Driver for Uninstall;c:\windows\system32\drivers\mirrorflt.sys [20/07/2011 13:31 6144]
R3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\drivers\OA001Ufd.sys [30/11/2009 13:03 144672]
R3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\drivers\OA001Vid.sys [30/11/2009 13:03 277504]
S0 lobbvl;lobbvl;c:\windows\system32\drivers\akac.sys --> c:\windows\system32\drivers\akac.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [09/11/2011 12:56 136176]
S3 avshws;YouUp Simulated Hardware;c:\windows\system32\drivers\youup.sys [14/10/2009 08:54 57344]
S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\drivers\e1k5132.sys [14/08/2009 11:33 166568]
S3 EraserUtilDrvI13;EraserUtilDrvI13;\??\c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilDrvI13.sys --> c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilDrvI13.sys [?]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [09/11/2011 12:56 136176]
S3 ldblank;Screen Blanking driver for Remote Control;c:\windows\system32\drivers\ldblank.sys [20/07/2011 13:31 14336]
S3 OA001Srv;Creative OA001 RunApp Service;c:\windows\system32\OA001Srv.exe [30/11/2009 13:03 31256]
S3 SwitchBoard;SwitchBoard;c:\program files\Fichiers communs\Adobe\SwitchBoard\SwitchBoard.exe [19/02/2010 12:37 517096]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [14/04/2008 04:00 39936]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
.
Contenu du dossier 'Tâches planifiées'
.
2012-01-17 c:\windows\Tasks\CCCLEANER.job
- c:\windows\CIRAD\DIAG\programs\Tools_Nettoyage_de_Disque.vbs [2010-11-23 11:49]
.
2012-01-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-11-09 11:56]
.
2012-01-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-11-09 11:56]
.
2012-01-25 c:\windows\Tasks\Landesk.job
- c:\windows\CIRAD\DIAG\programs\Tools_Nettoyage_de_Disque.vbs [2010-11-23 11:49]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\documents and settings\herbrete\Application Data\Mozilla\Firefox\Profiles\e2mx9yf4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?rls=ig&hl=fr&source=iglk
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - prefs.js: network.proxy.type - 2
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Notify-NavLogon - (no file)
SafeBoot-Symantec Antvirus
AddRemove-HijackThis - c:\documents and settings\herbrete\Bureau\HijackThis.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-01-27 01:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,db,a5,e3,22,2d,58,b9,45,b6,49,0b,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,db,a5,e3,22,2d,58,b9,45,b6,49,0b,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(996)
c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
.
- - - - - - - > 'explorer.exe'(5528)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Symantec\Symantec Endpoint Protection\Smc.exe
c:\program files\Fichiers communs\Symantec Shared\ccSvcHst.exe
c:\dell\l\e64\aud\wdm\stacsv.exe
c:\windows\System32\SCardSvr.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\LANDesk\LDClient\LocalSch.EXE
c:\windows\system32\CBA\pds.exe
c:\progra~1\LANDesk\LDCLient\issuser.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\LANDesk\LDClient\collector.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\progra~1\LANDesk\LDCLient\rcgui.exe
c:\program files\Symantec\Symantec Endpoint Protection\SmcGui.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\HidFind.exe
c:\program files\DellTPad\Apntex.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\RUNDLL32.EXE
c:\program files\iPod\bin\iPodService.exe
c:\program files\Fichiers communs\LogiShrd\KHAL3\KHALMNPR.EXE
c:\program files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
c:\windows\Network Diagnostic\xpnetdiag.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Heure de fin: 2012-01-27 01:44:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-01-27 00:44
.
Avant-CF: 16 161 480 704 octets libres
Après-CF: 16 439 832 576 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 76717629A3F3E61C33C0E6445670F997



Si je ne suis pas connecté à internet, le fonctionnement est correct. Dès que je me connecte, des processus iexplore.exe se lancent (visibles depuis le gestionnaire des tâches).

A nouveau, merci pour le suivi !
0
Réponse 18 / 29
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
29 janv. 2012 à 13:47
C'est bien cette infection que je cherchais à supprimer depuis le début, sans succès jusqu'à maintenant. Avant de continuer, j'ai besoin d'autres infos :


* Relance ZHPDiag et clique sur l'icone représentant des jumelles, ce qui lancera ZHPSearch.
* Copie/colle ce script :

/md5start
explorer.exe
winlogon.exe
svchost.exe
/md5stop

* Clique sur la loupe pour lancer la recherche.
* Poste le rapport dans ta prochaine réponse.

0
Réponse 19 / 29
funksobrother Messages postés 29 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 février 2012
29 janv. 2012 à 22:32
Bonjour,
Merci pour ces nouvelles indications. Voici le rapport :

Rapport de ZHPSearch 1.23.19 par Nicolas Coolman, Update du 25/02/2011
Run by herbrete at 29/01/2012 22:22:51
Windows XP Professional Service Pack 3 (Build 2600)

---\\ Elément(s) de recherche
/MD5Start
explorer.exe
winlogon.exe
svchost.exe
/MD5Stop

---\\ Liste des Fichiers & Dossiers:
[MD5.ab61199e82c4d4dc22019a8483fc2ff2] - (.Microsoft Corporation.) 27/01/2012 07:38:47 | ---A- | -- C:\Windows\explorer.exe [1062912] => Fichier inconnu
[MD5.442731c69fbef77bda51f53ead4da8a4] - (.Microsoft Corporation.) 14/04/2008 04:00:00 | ---A- | -- C:\Windows\system32\svchost.exe [39936] => Fichier inconnu
[MD5.af56396996bdcecbbf6aaa3066a9048d] - (.Microsoft Corporation.) 27/01/2012 07:38:49 | ---A- | -- C:\Windows\system32\winlogon.exe [549376] => Fichier inconnu

---\\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 3
Nombre de fichiers analysés : 56160
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (02mn 17s)



Encore un énorme merci pour le suivi, en espérant qu'on arrive à nettoyer ça !
0
Réponse 20 / 29
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
Modifié par anthony5151 le 30/01/2012 à 20:43
Bon, il n'existe pas de copie saine de ces fichiers sur ton ordinateur, on va réessayer avec des copies que je prends sur un de mes ordinateurs.


/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour funksobrother, il n'est pas transposable sur un autre ordinateur !

* Télécharge ce dossier
* Fais un clic-droit dessus --> Extraire tout
* Ouvre le nouveau dossier qui vient d'être extrait et fais un couper/coller des 3 fichiers qu'il contient. Place les impérativement sur ton Bureau, directement (pas dans un dossier).
* Télécharge ce dossier CFScript_funksobrother.zip
* Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
* Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.

* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici --> C:\ComboFix.txt


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses