Help! Grosse attaque de virusFermé

Question

Bonjour,

Lors d'un surf sur le net, j'ai eu une ouverture d'Acrobat Reader intempestive un peu étrange, à laquelle je n'ai d'abord pas prêté attention, sauf qu'une minute plus tard, j'ai été attaqué par un virus qui a coupé mon firewall windows et mon antivirus (Antivir). J'ai eu un message d'erreur (façon Centre de Sécurité Windows) pour m'alerter de la présence d'un virus sur mon ordi. Une sorte de scan rapide de mon système s'est lancé ainsi qu'un certain nombre de fenêtres de commandes DOS. J'ai essayé de les fermer manuellement, puis par le gestionnaire de tâches, sans succès. Mon ordi s'est rapidement coupé et ne se relance plus, redémarrant juste avant la fin à chaque fois.
En mode sans échec, j'ai lancé un scan de Spybot, de Malwarebytes et de CC Clean, qui m'ont tous repéré pas mal de problèmes, mais qui ne me permettent toujours pas de redémarrer normalement.
Quant à Antivir, impossible de le lancer. J'ai essayer de le réinstaller: Impossible également! Le message d'erreur suivant apparait:
"Le fichier C:\DOCUME~1\Zed\LOCALS~1\Temp\RSFX0\basic\setup.exe a été modifié. Impossible de poursuivre le setup"
J'ai essayé d'installer une ancienne version. Là, c'est le message suivant qui apparait: 
"La somme CRC de C:\DOCUME~1\Zed\LOCALS~1\Temp\RSFX0\basic\setup.exe a été modifié." et quelque chose comme (de mémoire) "Cela pourrait avoir été provoqué par un virus.

De plus aucune restauration système n'est dispo (alors que je croyais bien l'avoir activée).

Que me conseillez vous?

Ayant une partition système séparée de mes partitions de fichiers, pensez vous que je devrais essayer direct une réparation de XP? Ou le réinstaller?
Comment faire pour ne pas perdre mes fichiers persos?

Merci d'avance pour votre aide.

roxypoupette · Answer

Concernante tes fichiers perso, créé toi un DVD de données ou sauvegardes les sue une clef USB ou un disque dur externe. Ensuite, réinstalle xp en supprimant toutes tes partitions de sorte à n'avoir plus qu'un disque dur (si tu en possède qu'un) Une fois ces actions réalisées, créé toi des partitions si besoin

Zed · Answer

Le problème c'est que c'est un très gros Disque Dur (1To), et je ne pourrais pas sauvegarder l'intégralité de mes fichiers. 
Je n'envisage un reformatage complet qu'en ultime solution.

roxypoupette · Answer

Sur tes 1TO, est ce que tous tes fichiers sont indispensables et "insupprimmable" pour toi ?

Zed · Answer

Pas l'intégralité, mais beaucoup, oui. Notamment un gros paquet de vidéos familiales, ou des gros fichiers son (je suis musicien). Cà fait une sacré masse de données. 
Et racheter un nouveau disque dur pour stocker tout çà ne me serait pas possible financièrement dans l'immédiat.
Mais je pensais que les partitions servaient à çà justement: pouvoir réinstaller le système sans toucher aux fichiers. Cà n'est pas vraiment le cas?

roxypoupette · Answer

Si si tu peux faire ca je n'y est pas pensé escuse ! Tu peu faire ca bien sur. Je l'ai meme deja fait moi même. Mais n'oublie pas de faire un scan de virus sur cette nouvelle partition une fois que tu aura réinstaller windows. Actuellement, as-tu des partitions sur ton Disque dur de 1TO ?

jlpjlp · Answer

slt

passe un coups de ccleaner pour virer les fichiers temporaires , cookies ...

https://www.malekal.com/tutoriel-ccleaner/
______________________

scan avec malwarebyte , fais un scan minutieux et colle le rapport obtenu et vire ce qui est trouvé:


https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

______________________

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

Zed · Answer

Oui, j'ai le système sur une partition, mes vidéos sur une autre, ma musique sur une troisième, etc...
Je m'étais justement créé ces partitions pour éviter d'avoir à me lancer dans des sauvegardes de 500Go de données, mais techniquement je ne sais pas trop comment on fait pour réparer sons système, et j'ai un peu peur de faire une fausse manip.

jlpjlp · Answer

fais le messsage 8

Zed · Answer

OK, jlpjlp, mais je poste actuellement sur un autre ordi. 
On peut faire tout ce que tu m'indiques depuis le mode sans échec?

jlpjlp · Answer

oui mais en mode normal c'est mieux pour RSIT surtout 




et si tu as le temps car demain un peu moins dispo: fais aussi ceci: en normal ou sans echec




 colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne :  (arreter le scan si VIRUT est trouvé  et faire un des deux autres)
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

kaspersky en ligne
https://www.informatruc.com

roxypoupette · Answer

Je te propose de :

-Créer une nouvelle partition
-D'y copier toutes tes données nécessaires
-Réinstaller windows en supprimant toutes tes partitions actuelles sauf celle ou tu auras copier toutes tes données néessaire
-Une fois windows réinstaller, recopies y toutes tes données de la partitions sur de nouvelles partiton bien organisées

Bien sur, il faudrait avoir du temps  vu que je ne connais pas la longueur de ton temps libre

Je pense que touts cela est confus pour toi mais si tu as une quelquonque question, demande moi et je ferai de mon mieu pour te répondre.

Zed · Answer

Merci Jlpjlp. 

Je vais essayer de faire tout çà depuis le mode sans échec puisque je ne peux pas démarrer en mode normal. 
A vrai dire je ne sais même pas si mon accès à internet a été touché également.

Je poste les rapports dès que possible.

Zed · Answer

Roxypoupette,

J'ai du temps, pas de problème.

Mais pourquoi créer une nouvelle partition, je ne comprends pas?

Zed · Answer

Bon. Alors voilà le rapport du scan de Malwarebyte's Antimalware:

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2358
Windows 5.1.2600 Service Pack 3

16/07/2009 00:31:30
mbam-log-2009-07-16 (00-31-30).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Eléments examinés: 185281
Temps écoulé: 40 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.

Zed · Answer

Pour RSIT, j'ai dû le télécharger sur mon vieil ordi (celui d'où je poste maintenant), et le transférer par clé USB, parce que je n'ai plus d'accès internet sur mon PC infecté (je ne peux démarrer ni en mode normal, ni en mode sans échec avec prise en charge réseau).

Voilà le contenu du log.txt


Logfile of random's system information tool 1.06 (written by random/random)
Run by Zed at 2009-07-16 01:10:52
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 19 GB (63%) free of 30 GB
Total RAM: 3036 MB (90% free)

HijackThis download failed

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-06-27 16896000]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2008-06-18 98304]
"AlcWzrd"=C:\WINDOWS\ALCWZRD.EXE [2008-06-19 2830848]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2008-06-19 77824]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2008-06-17 150040]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2008-06-17 170520]
"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2008-06-17 141848]
"GEST"== []
"PAC7311_Monitor"=C:\WINDOWS\PixArt\PAC7311\Monitor.exe [2006-11-03 339968]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-05-24 148888]
"NeroFilterCheck"=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe [2007-03-09 153136]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"COMODO Internet Security"=C:\Program Files\COMODO\COMODO Internet Security\cfp.exe [2009-07-15 1797880]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Spybot - Search & Destroy"=C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe [2009-01-26 5365592]
"SpybotDeletingA5968"=command.com /c del C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys []
"SpybotDeletingC6719"=cmd.exe /c del C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys []
"SpybotDeletingA1888"=command.com /c del C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old []
"SpybotDeletingC4090"=cmd.exe /c del C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old []
"SpybotDeletingA668"=command.com /c del C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old []
"SpybotDeletingC13"=cmd.exe /c del C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old []
"SpybotDeletingA4886"=command.com /c del C:\WINDOWS\system32\uacinit.dll_old []
"SpybotDeletingC2023"=cmd.exe /c del C:\WINDOWS\system32\uacinit.dll_old []
"SpybotDeletingA4286"=command.com /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old []
"SpybotDeletingC9533"=cmd.exe /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old []
"SpybotDeletingA2242"=command.com /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll []
"SpybotDeletingC3327"=cmd.exe /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll []
"SpybotDeletingA9138"=command.com /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old []
"SpybotDeletingC4895"=cmd.exe /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old []
"SpybotDeletingA7153"=command.com /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll []
"SpybotDeletingC2248"=cmd.exe /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll []
"SpybotDeletingA9335"=command.com /c del C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old []
"SpybotDeletingC507"=cmd.exe /c del C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old []
"SpybotDeletingA9603"=command.com /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old []
"SpybotDeletingC7990"=cmd.exe /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old []
"SpybotDeletingA2596"=command.com /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat []
"SpybotDeletingC1415"=cmd.exe /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat []
"Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2009-06-17 1287440]
"COMODO Internet Security"=C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2009-07-15 1011960]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe [2007-03-12 153136]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-13 35328]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-13 1715200]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB136"=command.com /c del C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys []
"SpybotDeletingD7969"=cmd.exe /c del C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys []
"SpybotDeletingB700"=command.com /c del C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old []
"SpybotDeletingD1296"=cmd.exe /c del C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old []
"SpybotDeletingB4827"=command.com /c del C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old []
"SpybotDeletingD8157"=cmd.exe /c del C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old []
"SpybotDeletingB8042"=command.com /c del C:\WINDOWS\system32\uacinit.dll_old []
"SpybotDeletingD9365"=cmd.exe /c del C:\WINDOWS\system32\uacinit.dll_old []
"SpybotDeletingB6989"=command.com /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old []
"SpybotDeletingD5922"=cmd.exe /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old []
"SpybotDeletingB1296"=command.com /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll []
"SpybotDeletingD9362"=cmd.exe /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll []
"SpybotDeletingB8901"=command.com /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old []
"SpybotDeletingD4514"=cmd.exe /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old []
"SpybotDeletingB3067"=command.com /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll []
"SpybotDeletingD9249"=cmd.exe /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll []
"SpybotDeletingB3552"=command.com /c del C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old []
"SpybotDeletingD9564"=cmd.exe /c del C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old []
"SpybotDeletingB5625"=command.com /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old []
"SpybotDeletingD9746"=cmd.exe /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old []
"SpybotDeletingB2428"=command.com /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat []
"SpybotDeletingD75"=cmd.exe /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
C:\Program Files\DNA\btdna.exe [2009-06-28 318272]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe [2008-04-13 35328]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Phase28Panel]
C:\Program Files\TerraTec\PHASE 22 & 28 ControlPanel\Protecmixer.exe [2003-08-29 245760]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Zed^Menu Démarrer^Programmes^Démarrage^OneNote 2007 - Capture d'écran et lancement.lnk]
C:\PROGRA~1\MICROS~2\Office12\ONENOTEM.EXE [2006-10-26 98632]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3
"odserv"=3
"Microsoft Office Groove Audit Service"=3

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=" C:\WINDOWS\system32\guard32.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2008-06-11 212992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimalbadma.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etworkbadma.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Program Files\Microsoft Office\Office12\GROOVE.EXE"="C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"="C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Program Files\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\Java\jre6\bin\javaw.exe"="C:\Program Files\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\Java\jre6\bin\java.exe"="C:\Program Files\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\DNA\btdna.exe"="C:\Program Files\DNA\btdna.exe:*:Enabled:DNA"
"C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
""="\??\C:\WINDOWS\system32\winlogon.exe:*:Enabled:rundll32"
"C:\WINDOWS\fonts\services.exe"="C:\WINDOWS\fonts\services.exe:*:Enabled:services.exe"
"\??\C:\WINDOWS\system32\winlogon.exe"="\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

======List of files/folders created in the last 1 months======

2009-07-16 01:10:52 ----D---- C:sit
2009-07-16 01:10:08 ----A---- C:\RSIT.exe
2009-07-16 01:08:31 ----D---- C:\Program Files\Trend Micro
2009-07-16 00:34:55 ----A---- C:\WINDOWS\system32\erbg.txt
2009-07-15 23:43:18 ----A---- C:\WINDOWS
tbtlog.txt
2009-07-15 20:56:38 ----D---- C:\Documents and Settings\All Users\Application Data\comodo
2009-07-15 20:56:38 ----A---- C:\WINDOWS\system32\guard32.dll
2009-07-15 20:56:32 ----D---- C:\Program Files\COMODO
2009-07-15 20:40:58 ----D---- C:\Avenger
2009-07-15 20:40:58 ----A---- C:\avenger.txt
2009-07-15 20:13:00 ----A---- C:\WINDOWS\wininit.ini
2009-07-15 00:51:17 ----A---- C:\WINDOWS\system32\81.tmp
2009-07-15 00:51:12 ----A---- C:\WINDOWS\system32\7D.tmp
2009-07-15 00:51:11 ----A---- C:\WINDOWS\system32\7C.tmp
2009-07-15 00:50:45 ----D---- C:\Documents and Settings\All Users\Application Data\10022654
2009-07-14 12:56:53 ----D---- C:\Program Files\Nero
2009-07-14 12:56:53 ----D---- C:\Program Files\Fichiers communs\Ahead
2009-07-14 12:56:53 ----D---- C:\Documents and Settings\All Users\Application Data\Nero
2009-07-02 21:50:26 ----D---- C:\WINDOWS\system32\appmgmt
2009-07-02 15:53:44 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2009-07-02 15:53:41 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2009-07-02 15:53:38 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-07-02 15:53:35 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2009-07-02 15:53:32 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$
2009-07-02 15:53:29 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2009-07-02 15:53:21 ----HDC---- C:\WINDOWS\$NtUninstallKB955839$
2009-07-02 15:52:30 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2009-07-02 15:52:27 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2009-07-02 15:52:24 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$
2009-07-02 15:52:17 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-07-02 15:52:14 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2009-07-02 15:52:08 ----HDC---- C:\WINDOWS\$NtUninstallKB969897$
2009-07-02 15:52:05 ----HDC---- C:\WINDOWS\$NtUninstallKB938464-v2$
2009-07-02 15:52:01 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-07-02 15:51:59 ----HDC---- C:\WINDOWS\$NtUninstallKB969898$
2009-07-02 15:51:50 ----HDC---- C:\WINDOWS\$NtUninstallKB941569$
2009-07-02 15:51:41 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2009-07-02 15:51:38 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-07-02 15:51:35 ----HDC---- C:\WINDOWS\$NtUninstallKB923689$
2009-07-02 15:51:24 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-07-02 15:51:12 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2009-07-02 15:51:08 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2009-07-02 15:51:05 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2009-07-02 15:51:02 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2009-07-02 15:50:59 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$
2009-07-02 15:50:55 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2009-07-02 15:50:52 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2009-07-02 15:50:50 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$
2009-07-02 15:50:47 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-07-02 15:50:44 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-07-02 15:50:41 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-07-02 15:50:38 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2009-07-02 15:50:37 ----D---- C:\Program Files\MSXML 4.0
2009-07-02 15:50:29 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2009-07-02 15:16:10 ----D---- C:\Program Files\CDBurnerXP
2009-07-02 15:00:55 ----D---- C:\Documents and Settings\Zed\Application Data\DeepBurner
2009-07-02 14:57:28 ----D---- C:\Program Files\Astonsoft
2009-07-02 10:46:44 ----HDC---- C:\WINDOWS\$NtUninstallKB950760$
2009-07-02 10:46:33 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-07-02 01:13:59 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-07-02 01:13:59 ----D---- C:\WINDOWS\system32\PreInstall
2009-07-02 01:13:59 ----A---- C:\WINDOWS\system32\spupdsvc.exe
2009-07-02 01:13:58 ----HDC---- C:\WINDOWS\$NtUninstallKB898461$
2009-07-02 01:13:58 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-01 12:22:21 ----A---- C:\WINDOWS\system32\muweb.dll
2009-07-01 12:22:21 ----A---- C:\WINDOWS\system32\mucltui.dll.mui
2009-07-01 12:22:20 ----A---- C:\WINDOWS\system32\mucltui.dll
2009-07-01 11:55:25 ----D---- C:\Documents and Settings\Zed\Application Data\Malwarebytes
2009-07-01 11:55:21 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-07-01 11:55:21 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2009-06-30 17:21:54 ----D---- C:\Program Files\Avira
2009-06-30 17:21:54 ----D---- C:\Documents and Settings\All Users\Application Data\Avira
2009-06-30 17:15:20 ----D---- C:\Program Files\VS Revo Group
2009-06-29 18:41:25 ----D---- C:\Temp
2009-06-29 14:17:20 ----D---- C:\Documents and Settings\Zed\Application Data\Canneverbe_Limited
2009-06-28 11:32:18 ----D---- C:\Documents and Settings\Zed\Application Data\BitTorrent
2009-06-28 11:32:09 ----D---- C:\Program Files\DNA
2009-06-28 11:32:09 ----D---- C:\Documents and Settings\Zed\Application Data\DNA
2009-06-28 11:32:08 ----D---- C:\Program Files\BitTorrent

======List of files/folders modified in the last 1 months======

2009-07-16 01:08:31 ----RD---- C:\Program Files
2009-07-16 00:35:01 ----D---- C:\WINDOWS
2009-07-16 00:34:55 ----D---- C:\WINDOWS\system32
2009-07-15 23:43:47 ----D---- C:\Program Files\Mozilla Firefox
2009-07-15 23:42:57 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-15 21:16:20 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-15 21:16:16 ----D---- C:\WINDOWS\Minidump
2009-07-15 20:41:53 ----A---- C:\WINDOWS\DUMP48ef.tmp
2009-07-15 20:12:58 ----SD---- C:\WINDOWS\Tasks
2009-07-15 20:01:36 ----D---- C:\WINDOWS\Temp
2009-07-15 01:18:06 ----D---- C:\WINDOWS\system32\drivers
2009-07-15 01:14:49 ----RSD---- C:\WINDOWS\Fonts
2009-07-15 00:50:51 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-15 00:50:30 ----D---- C:\Documents and Settings\Zed\Application Data\foobar2000
2009-07-14 20:05:17 ----D---- C:\WINDOWS\Prefetch
2009-07-14 13:02:21 ----SHD---- C:\WINDOWS\Installer
2009-07-14 12:56:53 ----D---- C:\Program Files\Fichiers communs
2009-07-14 12:50:25 ----D---- C:\Program Files\Nero 7 Ultra edition
2009-07-11 17:06:51 ----HD---- C:\WINDOWS\inf
2009-07-08 22:23:46 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-02 20:04:02 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-02 19:59:42 ----D---- C:\WINDOWS\system32\wbem
2009-07-02 19:59:41 ----D---- C:\WINDOWS\AppPatch
2009-07-02 15:53:36 ----D---- C:\Program Files\Messenger
2009-07-02 15:53:27 ----D---- C:\Program Files\Microsoft Works
2009-07-02 15:53:12 ----SD---- C:\Documents and Settings\All Users\Application Data\Microsoft
2009-07-02 15:53:12 ----D---- C:\Program Files\Fichiers communs\Microsoft Shared
2009-07-02 15:52:05 ----D---- C:\WINDOWS\WinSxS
2009-07-02 15:51:56 ----D---- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2009-07-01 19:19:53 ----D---- C:\WINDOWS\security
2009-06-30 18:54:30 ----D---- C:\Program Files\Spybot - Search & Destroy
2009-06-30 17:26:56 ----D---- C:\WINDOWS\Debug
2009-06-30 00:05:43 ----D---- C:\Documents and Settings\Zed\Application Data\Vso
2009-06-29 12:27:52 ----D---- C:\WINDOWS\Help
2009-06-22 14:09:42 ----D---- C:\Documents and Settings\Zed\Application Data\dvdcss

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-13 14720]
R1 zcqqsfncc7;zcqqsfncc7.sys; C:\WINDOWS\system32\DRIVERS\zcqqsfncc7.sys [2009-07-15 40192]
R3 HDAudBus;Pilote de bus Microsoft UAA pour High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-03 12288]
R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys []
S1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
S1 cmdGuard;COMODO Internet Security Sandbox Driver; C:\WINDOWS\System32\DRIVERS\cmdguard.sys [2009-07-15 99856]
S1 cmdHlp;COMODO Internet Security Helper Driver; C:\WINDOWS\System32\DRIVERS\cmdhlp.sys [2009-07-15 31504]
S1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-13 40576]
S1 rbadma;RAMDAC GPU Controller; C:\WINDOWS\system32badma.sys []
S1 sptd;sptd; C:\WINDOWS\System32\Drivers\sptd.sys []
S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-07-13 28520]
S2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
S2 terd;terd; C:\WINDOWS\system32\drivers\lubj.sys [2009-07-16 61440]
S2 zwxxbyp;zwxxbyp; C:\WINDOWS\system32\drivers\vezyvpb.sys []
S3 61883;Pilote d'unité 61883; C:\WINDOWS\system32\DRIVERS\61883.sys [2008-04-13 48128]
S3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 Avc;Périphérique AVC; C:\WINDOWS\system32\DRIVERS\avc.sys [2008-04-13 38912]
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
S3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2008-06-11 6021184]
S3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-06-27 4742656]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service; C:\WINDOWS\system32\drivers\IntcHdmi.sys [2008-04-29 108032]
S3 MSDV;Microsoft DV Camera and VCR; C:\WINDOWS\system32\DRIVERS\msdv.sys [2008-04-13 51200]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 NIC1394;Pilote réseau 1394; C:\WINDOWS\system32\DRIVERS
ic1394.sys [2008-04-13 61824]
S3 PAC7311;Trust Webcam Live; C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2007-03-14 449024]
S3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2009-01-28 47360]
S3 Protec;PHASE WDM Audio; C:\WINDOWS\system32\drivers\Protec.sys [2007-04-13 69664]
S3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-06-16 109184]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usb_rndis;Broadcom USB Remote NDIS Device Driver; C:\WINDOWS\system32\DRIVERS\usb8023.sys [2008-04-13 12800]
S3 usbaudio;Pilote USB audio (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

S2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe []
S2 cmdAgent;COMODO Internet Security Helper Service; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe [2009-07-15 634616]
S2 GEST Service;GEST Service for program management.; C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe [2008-07-11 80392]
S2 NMSAccessU;NMSAccessU; C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
S2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 58880]
S3 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe []
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 NBService;NBService; C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-03-14 779824]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe [2007-03-12 271920]
S3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 286208]
S4 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S4 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S4 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]

-----------------EOF-----------------

Zed · Answer

Voilà le contenu du fichier info.txt de RSIT:

info.txt logfile of random's system information tool 1.06 2009-07-16 01:10:55

======Uninstall list======

-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {926CC8AE-8414-43DF-8EB4-CF26D9C3C663}
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{28B97CAB-828F-49D8-A30A-675476F9BA92}\setup.exe" -l0x40c /cont -removeonly
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3D173DC5-4AE5-4B3F-9819-3977DD11B1D0}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{4E7DC12A-3597-4A94-9429-F6C6987361B1}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6813C983-427E-4511-8456-E98FCAA1A125}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7DADB304-AF20-48C3-A780-4B4133A08817}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9C423CF6-2DAA-4A37-94B8-59D7ECC7DB13}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B34B6E67-FCDD-4E03-8742-B5701427FAFB}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C9EFF51A-C925-4F1A-9DEB-DB5F970DE983}\setup.exe" -l0x40c  -removeonly
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FA6CC4B4-7741-4F8D-8E81-15C4BAB9869B}\setup.exe" -l0x40c  -removeonly
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.49 beta-->"C:\Program Files\7-Zip\Uninstall.exe"
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 6.0.1-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A00000000001}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}
AviSynth 2.5-->"C:\Program Files\AviSynth 2.5\Uninstall.exe"
Browser Configuration Utility-->"C:\Program Files\InstallShield Installation Information\{E8AEA11B-E60A-455E-B008-E4E763604612}\setup.exe" -runfromtemp -l0x0009 -removeonly
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CDBurnerXP-->"C:\Program Files\CDBurnerXP\unins000.exe"
CDex extraction audio-->"C:\Program Files\CDex_150\uninstall.exe"
CDisplay 1.8-->"C:\Program Files\CDisplay\unins000.exe"
COMODO Internet Security-->C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe -u
ConvertXtoDVD 3.1.0.24-->"C:\Program Files\VSO\ConvertX\3\unins000.exe"
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Direct Show Ogg Vorbis Filter (remove only)-->"C:\WINDOWS\system32\OggDSuninst.exe"
DirectVobSub (remove only)-->"C:\Program Files\DirectVobSub\uninstall.exe"
DVD Decrypter (Remove Only)-->"C:\Program Files\DVD Decrypter\uninstall.exe"
DVD Shrink 3.2-->"C:\Program Files\DVD Shrink\unins000.exe"
Energy Saver Advance B8.0711.1-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7ED169D4-5053-4166-93DF-53B12AE6C539}\setup.exe" -l0x9  -removeonly
Europa Universalis III-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{59C80C5E-8C92-40FF-B910-2BB5C7281F61}\setup.exe" -l0x40c 
Exact Audio Copy 0.99pb4-->C:\Program Files\Exact Audio Copy\uninst.exe
Face_Wizard B08.0617.01-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E76FCE6B-9999-4250-8C75-B2DA4AD41268}\setup.exe" -l0x9  -removeonly
Faire un film v1.0-->C:\WINDOWS\unin040c.exe -f"c:\program files\Faire Un Film Avec Steven Spielberg\DeIsL1.isu"
foobar2000 v0.9.5.6-->"C:\Program Files\foobar2000\uninstall.exe"
GIF Movie Gear 4.2-->"C:\Program Files\GIF Movie Gear\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
K-Lite Codec Pack 4.5.3 (Full)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
m4ng Codec Pack-->C:\Program Files\m4ng codec pack\Cp_Uninstal.exe
m4ng-->C:\Program Files\m4ng\m4ng_Uninstal.exe
Macromedia Flash Player 8-->C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft GIF Animator-->C:\Program Files\Microsoft GIF Animator\setup\GifACME.exe
Microsoft Office Access MUI (English) 2007-->MsiExec.exe /X{90120000-0015-0409-0000-0000000FF1CE}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Access Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0117-0409-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (English) 2007-->MsiExec.exe /X{90120000-0016-0409-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office Groove MUI (English) 2007-->MsiExec.exe /X{90120000-00BA-0409-0000-0000000FF1CE}
Microsoft Office Groove MUI (French) 2007-->MsiExec.exe /X{90120000-00BA-040C-0000-0000000FF1CE}
Microsoft Office Groove Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0114-0409-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (English) 2007-->MsiExec.exe /X{90120000-0044-0409-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Language Pack 2007 - French/Français-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall OMUI.FR-FR /dll OSETUP.DLL
Microsoft Office O MUI (French) 2007-->MsiExec.exe /X{90120000-0100-040C-0000-0000000FF1CE}
Microsoft Office OneNote MUI (English) 2007-->MsiExec.exe /X{90120000-00A1-0409-0000-0000000FF1CE}
Microsoft Office OneNote MUI (French) 2007-->MsiExec.exe /X{90120000-00A1-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (English) 2007-->MsiExec.exe /X{90120000-001A-0409-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (English) 2007-->MsiExec.exe /X{90120000-0018-0409-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (English) 2007-->MsiExec.exe /X{90120000-002C-0409-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (English) 2007-->MsiExec.exe /X{90120000-0019-0409-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (English) 2007-->MsiExec.exe /X{90120000-006E-0409-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Shared Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0115-0409-0000-0000000FF1CE}
Microsoft Office SharePoint Designer MUI (French) 2007-->MsiExec.exe /X{90120000-0017-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (English) 2007-->MsiExec.exe /X{90120000-001B-0409-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Office X MUI (French) 2007-->MsiExec.exe /X{90120000-0101-040C-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{3B160861-7250-451E-B5EE-8B92BF30A710}
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969897)-->"C:\WINDOWS\$NtUninstallKB969897$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
Monkey's Audio-->"C:\Program Files\Monkey's Audio\unins000.exe"
Morpheus Photo Animation Suite v3.10-->"C:\Program Files\Morpheus Photo Animation Suite\unins000.exe"
Mozilla Firefox (3.0.11)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 7 Ultra Edition-->MsiExec.exe /I{43FFE159-3199-4188-A1CD-629166AD1033}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
PHASE 22 & 28 ControlPanel-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FEF82C79-A738-4EE2-9600-39895B21506F}\Setup.exe" -l0x9 
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.EXE" -l0x40c  -removeonly
SFR - Kit de connexion-->C:\Program Files\SFR\Kit\uninstall.exe
SIW version 2008-10-28-->"C:\Program Files\SIW\unins000.exe"
Sony Picture Utility-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D5068583-D569-468B-9755-5FBF5848F46F}\setup.exe" -l0x40c  /removeonly uninstall -removeonly
Sony USB Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5C29CB8B-AC1E-4114-8D68-9CD080140D4A}\Setup.exe" UNINSTALL
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
SubSync-->C:\WINDOWS\st6unst.exe -n "C:\Program Files\SubSync\ST6UNST.LOG"  
Subtitle Workshop 2.51-->"C:\Program Files\URUSoft\Subtitle Workshop\uninstall.exe"
SUPER © Version 2008.bld.33 (Sep 2, 2008)-->C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0
Trust Webcam Live-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{937DD47C-BFAC-4E41-9B1F-E1051F0779AE} /l1036 
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Outlook 2007 Junk Email Filter (kb970012)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {DC4A962B-9EC2-469C-BC9C-87312ADAEE81}
VLC media player 0.9.4-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live installer-->MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Xvid 1.2.1 VAQ final uninstall-->"C:\Program Files\Xvid\unins000.exe"

======Hosts File======

127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
127.0.0.1	032439.com

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: HOME-1FBFA2B8F0
Event Code: 7036
Message: Le service Explorateur d'ordinateur est entré dans l'état : arrêté.

Record Number: 6332
Source Name: Service Control Manager
Time Written: 20090613103113.000000+120
Event Type: Informations
User: 

Computer Name: HOME-1FBFA2B8F0
Event Code: 7036
Message: Le service Service de la passerelle de la couche Application est entré dans l'état : en cours d'exécution.

Record Number: 6331
Source Name: Service Control Manager
Time Written: 20090613103111.000000+120
Event Type: Informations
User: 

Computer Name: HOME-1FBFA2B8F0
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Service de la passerelle de la couche Application.

Record Number: 6330
Source Name: Service Control Manager
Time Written: 20090613103111.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: HOME-1FBFA2B8F0
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service gdrv.

Record Number: 6329
Source Name: Service Control Manager
Time Written: 20090613103111.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: HOME-1FBFA2B8F0
Event Code: 7036
Message: Le service NLA (Network Location Awareness) est entré dans l'état : en cours d'exécution.

Record Number: 6328
Source Name: Service Control Manager
Time Written: 20090613103111.000000+120
Event Type: Informations
User: 

=====Application event log=====

Computer Name: HOME-1FBFA2B8F0
Event Code: 4096
Message: 
Record Number: 922
Source Name: Avira AntiVir
Time Written: 20090312093336.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: HOME-1FBFA2B8F0
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 921
Source Name: SecurityCenter
Time Written: 20090312093332.000000+060
Event Type: Informations
User: 

Computer Name: HOME-1FBFA2B8F0
Event Code: 1517
Message: Windows a sauvegardé le Registre utilisateur HOME-1FBFA2B8F0\Zed alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé. 


Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.

Record Number: 920
Source Name: Userenv
Time Written: 20090312025038.000000+060
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: HOME-1FBFA2B8F0
Event Code: 866
Message: L'accès à C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe a été restreint par votre administrateur par l'emplacement avec une règle de stratégie {ba3262f6-5dbd-47d0-a3b1-af28891cba37} placée sur le chemin d'accès C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe

Record Number: 919
Source Name: Software Restriction Policies
Time Written: 20090311204421.000000+060
Event Type: Avertissement
User: 

Computer Name: HOME-1FBFA2B8F0
Event Code: 1002
Message: L'environnement s'est arrêté de façon inattendue et Explorer.exe a redémarré.

Record Number: 918
Source Name: Winlogon
Time Written: 20090311195718.000000+060
Event Type: Informations
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=1706
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"SAFEBOOT_OPTION"=MINIMAL

-----------------EOF-----------------

Zed · Answer

Et enfin, le rapport de HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:18:16, on 16/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\Hijack T h i s.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [PAC7311_Monitor] C:\WINDOWS\PixArt\PAC7311\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA5968] command.com /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6719] cmd.exe /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1888] command.com /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4090] cmd.exe /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA668] command.com /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC13] cmd.exe /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4886] command.com /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2023] cmd.exe /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4286] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9533] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2242] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3327] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9138] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4895] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7153] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2248] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9335] command.com /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC507] cmd.exe /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9603] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7990] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2596] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1415] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe" -z -o
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [SpybotDeletingB136] command.com /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7969] cmd.exe /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingB700] command.com /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1296] cmd.exe /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4827] command.com /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8157] cmd.exe /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8042] command.com /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9365] cmd.exe /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6989] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5922] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1296] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9362] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8901] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4514] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3067] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9249] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3552] command.com /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9564] cmd.exe /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5625] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9746] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2428] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD75] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\sched.exe (file missing)
O23 - Service: Avira AntiVir Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (file missing)
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

Zed · Answer

Pour les scans en ligne, impossible, faute d'accès à internet.

jlpjlp · Answer

ok beaucoup sont en quarantaine dans spybot mais encore actifs . Alors vire ce qui est en quarantaine dans spybot. Puis desinstalle complètement spybot . Puis télécharge le logiciel combofix . Pour le trouver tape combofix dans google et colle un rapport avec. Puis colle un rapport avec antivir que tu as . Puis remets un rapport rsit et explique tes soucis

Zed · Answer

Bon. J'ai supprimé les fichiers en quarantaine dans Spybot, que j'ai lui-même ensuite désinstallé (pourquoi, au fait?).
J'avais une version de Combofix (ancienne de quelques mois, je crois) déjà sur mon disque dur infecté que j'ai lancée, sans succès. Après l'apparition de quelques fenêtres et commandes DOS. Un message m'a annoncé que ma version n'était pas à jour et que l'opération était annulée. (de mémoire, parce que je n'ai pas pensé à noter)
Je suis donc revenu sur ce PC pour télécharger une nouvelle version. J'ai trouvé un lien récent sur ce forum vers www.bleepingcomputer.com.
Quand j'ai lancé cette nouvelle version, un message d'erreur est apparu également:
Error.
!! Alert !! It's NOT SAFE to continue!
The contents of the ComboFix package has been compromised.
Please download a fresh copy from:
https://www.bleepingcomputer.com/combofix/how-to-use-combofix
Note: You may be infected with a file patching virus "Virut"

Je viens de télécharger la version correspondant au nouveau lien et posterai le rapport dès que possible.
Quant à Antivir, je n'avais pas réussi à le réinstaller, comme je l'expliquais dans mon premier message, mais je réessayerai après ComboFix.

Zed · Answer

Même message d'erreur avec cette nouvelle version de ComboFix.

Qu'est-ce que je peux faire, maintenant?

Et est-ce que je ne risque pas de contaminer mon PC sain via ma clé USB avec tous ces transferts?

jlpjlp · Answer

1/ pour voir si le pc sur lequel tu télécharge est sain ou pas et pour l'immuniser contre les infection circulant par les clés usb:


&#9654; Télécharge FindyKill sur ton bureau :

http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe

! Déconnecte toi et ferme toutes applications en cours !

• Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

• Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

&#9654; Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

jlpjlp · Answer

pour combofix télécharge le depuis l'ordi non infecté
puis renomme le en killfix.exe

puis tranfere le sur ton ordi infecté via la clé et colle un rapport avec

jlpjlp · Answer

sinon combofix déja renommé ici:

http://sd-1.archive-host.com/membres/up/193094576412487685/KIllfix.exe

Zed · Answer

Merci de ton aide, jlpjlp.

Voici le rapport de Findykill sur mon PC "sain". 

(Sauf que ma clé USB semble avoir été grillée par son passage sur l'autre système. Mon "Lecteur MP3" n'apparait plus dans l'explorateur Windows. (Il ne s'allume même pas quand je l'insère dans la prise USB).
Est-ce qu'il y a un moyen de la sauver, ou elle est définitivement foutue?
Je suis bon pour copier les logiciels nécéssaires sur un CD-RW.


############################## | FindyKill V6.006 |

# User : ZED (Administrateurs) # HOME-N63VOVBCN9
# Update on 14/07/09 by Chiquitine29 & C_XX
# Start at: 00:30:24 | 17/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

#               Intel(R) Pentium(R) 4 CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # 
# Internet Explorer 6.0.2600.0000
# Windows Firewall Status : Enabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 127,99 Go (19,21 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible
# F:\ # Disque fixe local # 9,76 Go (3,17 Go free) [DISK AUDIO] # FAT32
# G:\ # Disque fixe local # 1,47 Go (1003,09 Mo free) [SWAP XP] # FAT32
# H:\ # Disque fixe local # 19,52 Go (3,9 Go free) [AUDIO1] # FAT32
# I:\ # Disque fixe local # 19,52 Go (2,84 Go free) [AUDIO2] # FAT32
# J:\ # Disque fixe local # 14,64 Go (1,41 Go free) [AUDIO3] # FAT32
# K:\ # Disque fixe local # 11,36 Go (2,33 Go free) [BACKUPS] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe

################## | Registre Startup |

R1 - HKCU\..\Main: "Local Page"="C:\windows\system32\blank.htm" 
R1 - HKCU\..\Main: "Search Page"="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2fbr%2faccess%2fallinone.asp%3f" 
R1 - HKCU\..\Main: "Start Page"="https://www.sfr.fr/" 
F2 - HKLM\..\logon:"Userinit"="C:\WINDOWS\system32\userinit.exe," 
F2 - HKLM\..\logon:"DefaultUserName"="Zed" 
F2 - HKLM\..\logon:"AltDefaultUserName"="Zed" 
F2 - HKLM\..\logon:"LegalNoticeCaption"="" 
F2 - HKLM\..\logon:"LegalNoticeText"="" 
04 - HKLM\..\Run:  QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime 
04 - HKLM\..\Run:  avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min 
04 - HKLM\..\Run:  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
04 - HKCU\..\Run:  WindowBlinds#C:\Documents and Settings\All Users\Documents\Stardock\WindowBlinds\WBInstall32.exe#  

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\ZED\Temporary Internet Files |


################## | All Drives ... |


################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )  
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )  
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )  

################## | Registre # Mountpoints2 |


################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.006 ! |

Zed · Answer

Pardon, j'ai essayé de rebrancher ma clé USB. En fait, elle fonctionne; j'avais simplement du mal l'insérer.
C'est que ces histoires me stressent pas mal. Désolé. Voilà le nouveau rapport.


############################## | FindyKill V6.006 |

# User : ZED (Administrateurs) # HOME-N63VOVBCN9
# Update on 14/07/09 by Chiquitine29 & C_XX
# Start at: 00:43:48 | 17/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

#               Intel(R) Pentium(R) 4 CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # 
# Internet Explorer 6.0.2600.0000
# Windows Firewall Status : Enabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 127,99 Go (19,21 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 991,97 Mo (247,16 Mo free) [LECTEUR MP3] # FAT
# F:\ # Disque fixe local # 9,76 Go (3,17 Go free) [DISK AUDIO] # FAT32
# G:\ # Disque fixe local # 1,47 Go (1003,09 Mo free) [SWAP XP] # FAT32
# H:\ # Disque fixe local # 19,52 Go (3,9 Go free) [AUDIO1] # FAT32
# I:\ # Disque fixe local # 19,52 Go (2,84 Go free) [AUDIO2] # FAT32
# J:\ # Disque fixe local # 14,64 Go (1,41 Go free) [AUDIO3] # FAT32
# K:\ # Disque fixe local # 11,36 Go (2,33 Go free) [BACKUPS] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe

################## | Registre Startup |

R1 - HKCU\..\Main: "Local Page"="C:\windows\system32\blank.htm" 
R1 - HKCU\..\Main: "Search Page"="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2fbr%2faccess%2fallinone.asp%3f" 
R1 - HKCU\..\Main: "Start Page"="https://www.sfr.fr/" 
F2 - HKLM\..\logon:"Userinit"="C:\WINDOWS\system32\userinit.exe," 
F2 - HKLM\..\logon:"DefaultUserName"="Zed" 
F2 - HKLM\..\logon:"AltDefaultUserName"="Zed" 
F2 - HKLM\..\logon:"LegalNoticeCaption"="" 
F2 - HKLM\..\logon:"LegalNoticeText"="" 
04 - HKLM\..\Run:  QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime 
04 - HKLM\..\Run:  avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min 
04 - HKLM\..\Run:  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
04 - HKCU\..\Run:  WindowBlinds#C:\Documents and Settings\All Users\Documents\Stardock\WindowBlinds\WBInstall32.exe#  

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\ZED\Temporary Internet Files |


################## | All Drives ... |


################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )  
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )  
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )  

################## | Registre # Mountpoints2 |


################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.006 ! |

Zed · Answer

Bon. J'ai essayer de renommer ComboFix, mais çà m'a donné le même message d'erreur, comme quoi "It's NOT SAFE to continue" et que je suis peut-être infecté par "Virut". Idem avec le fichier déjà renommé. Et pareil en lui donnant encore un autre petit nom au hasard.

D'après ce que j'ai lu, Virut a l'air d'être une sacrée sal*perie. Je commence vraiment à flipper.

Zed · Answer

Et comme je ne sais plus trop quoi faire pour le moment, je me suis dit qu'un nouveau log d'HijackThis pourrait peut-être être utile pour voir ou on en est.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:18:16, on 16/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\Hijack T h i s.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [PAC7311_Monitor] C:\WINDOWS\PixArt\PAC7311\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA5968] command.com /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6719] cmd.exe /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1888] command.com /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4090] cmd.exe /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA668] command.com /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC13] cmd.exe /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4886] command.com /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2023] cmd.exe /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4286] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9533] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2242] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3327] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9138] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4895] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7153] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2248] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9335] command.com /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC507] cmd.exe /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9603] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7990] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2596] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1415] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe" -z -o
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [SpybotDeletingB136] command.com /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7969] cmd.exe /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingB700] command.com /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1296] cmd.exe /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4827] command.com /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8157] cmd.exe /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8042] command.com /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9365] cmd.exe /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6989] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5922] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1296] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9362] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8901] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4514] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3067] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9249] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3552] command.com /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9564] cmd.exe /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5625] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9746] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2428] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD75] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\sched.exe (file missing)
O23 - Service: Avira AntiVir Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (file missing)
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

jlpjlp · Answer

ok . Fais findykill option 2 . Tu n'as pas viré ce qui est dans la sauvegarde(quarantaine ) de spybot alors fais le ou même vire le dossier spybot en allant dans poste de travail puis c puis prog files (cela correspond aux lignes dans hijackthis contenant spybotdéleting et qui montrent des rootkits actifs dans la sauvegarde de spybot et non du virut). Puis mets un rapport rsit car plus complet que hijackthis

Zed · Answer

J'ai bien installé FindyKill et lancé l'option 2 (suppression). Le PC n'a pas pu redémarrer autrement qu'en mode sans échec, donc je ne sais pas si il a pu finir son boulot, et je n'ai pas de rapport à poster.

Il me restait bien un dossier Spybot, mais vide, en dehors d'un sous-dossier d'aide avec 2 fichiers dedans. Je les ai quand même tous virés, mais les "spybotdeleting" paraissent toujours actifs.

Voilà mon rapport RSIT (il n'a pas créé de fichier info.txt, cette fois, c'est normal?)


Logfile of random's system information tool 1.06 (written by random/random)
Run by Zed at 2009-07-17 10:51:12
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 19 GB (63%) free of 30 GB
Total RAM: 3036 MB (91% free)

HijackThis download failed

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-06-27 16896000]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2008-06-18 98304]
"AlcWzrd"=C:\WINDOWS\ALCWZRD.EXE [2008-06-19 2830848]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2008-06-19 77824]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2008-06-17 150040]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2008-06-17 170520]
"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2008-06-17 141848]
"GEST"== []
"PAC7311_Monitor"=C:\WINDOWS\PixArt\PAC7311\Monitor.exe [2006-11-03 339968]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-05-24 148888]
"NeroFilterCheck"=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe [2007-03-09 153136]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []
"COMODO Internet Security"=C:\Program Files\COMODO\COMODO Internet Security\cfp.exe [2009-07-15 1797880]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FindyKill"=C:\FindyKill\FindyKill.cmd [2009-07-14 80153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe [2007-03-12 153136]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-13 35328]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-13 1715200]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB136"=command.com /c del C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys []
"SpybotDeletingD7969"=cmd.exe /c del C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys []
"SpybotDeletingB700"=command.com /c del C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old []
"SpybotDeletingD1296"=cmd.exe /c del C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old []
"SpybotDeletingB4827"=command.com /c del C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old []
"SpybotDeletingD8157"=cmd.exe /c del C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old []
"SpybotDeletingB8042"=command.com /c del C:\WINDOWS\system32\uacinit.dll_old []
"SpybotDeletingD9365"=cmd.exe /c del C:\WINDOWS\system32\uacinit.dll_old []
"SpybotDeletingB6989"=command.com /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old []
"SpybotDeletingD5922"=cmd.exe /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old []
"SpybotDeletingB1296"=command.com /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll []
"SpybotDeletingD9362"=cmd.exe /c del C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll []
"SpybotDeletingB8901"=command.com /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old []
"SpybotDeletingD4514"=cmd.exe /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old []
"SpybotDeletingB3067"=command.com /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll []
"SpybotDeletingD9249"=cmd.exe /c del C:\WINDOWS\system32\UACnutalkodftrppfexp.dll []
"SpybotDeletingB3552"=command.com /c del C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old []
"SpybotDeletingD9564"=cmd.exe /c del C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old []
"SpybotDeletingB5625"=command.com /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old []
"SpybotDeletingD9746"=cmd.exe /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old []
"SpybotDeletingB2428"=command.com /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat []
"SpybotDeletingD75"=cmd.exe /c del C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
C:\Program Files\DNA\btdna.exe [2009-06-28 318272]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe [2008-04-13 35328]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Phase28Panel]
C:\Program Files\TerraTec\PHASE 22 & 28 ControlPanel\Protecmixer.exe [2003-08-29 245760]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Zed^Menu Démarrer^Programmes^Démarrage^OneNote 2007 - Capture d'écran et lancement.lnk]
C:\PROGRA~1\MICROS~2\Office12\ONENOTEM.EXE [2006-10-26 98632]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3
"odserv"=3
"Microsoft Office Groove Audit Service"=3

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2008-06-11 212992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimalbadma.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\PEVSystemStart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etworkbadma.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Program Files\Microsoft Office\Office12\GROOVE.EXE"="C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"="C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Program Files\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\Java\jre6\bin\javaw.exe"="C:\Program Files\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\Java\jre6\bin\java.exe"="C:\Program Files\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Program Files\DNA\btdna.exe"="C:\Program Files\DNA\btdna.exe:*:Enabled:DNA"
"C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
""="\??\C:\WINDOWS\system32\winlogon.exe:*:Enabled:rundll32"
"C:\WINDOWS\fonts\services.exe"="C:\WINDOWS\fonts\services.exe:*:Enabled:services.exe"
"\??\C:\WINDOWS\system32\winlogon.exe"="\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

======List of files/folders created in the last 1 months======

2009-07-17 10:42:38 ----D---- C:\FindyKill
2009-07-17 00:52:21 ----D---- C:\Avenger
2009-07-17 00:52:21 ----A---- C:\avenger.txt
2009-07-16 17:16:06 ----D---- C:\Qoobox
2009-07-16 17:01:09 ----A---- C:\WINDOWS\system32\CF12366.exe
2009-07-16 17:01:06 ----A---- C:\Bug.txt
2009-07-16 01:10:52 ----D---- C:sit
2009-07-16 01:10:08 ----A---- C:\RSIT.exe
2009-07-16 01:08:31 ----D---- C:\Program Files\Trend Micro
2009-07-15 23:43:18 ----A---- C:\WINDOWS
tbtlog.txt
2009-07-15 20:56:38 ----D---- C:\Documents and Settings\All Users\Application Data\comodo
2009-07-15 20:56:38 ----A---- C:\WINDOWS\system32\guard32.dll
2009-07-15 20:56:32 ----D---- C:\Program Files\COMODO
2009-07-15 20:13:00 ----A---- C:\WINDOWS\wininit.ini
2009-07-15 00:51:17 ----A---- C:\WINDOWS\system32\81.tmp
2009-07-15 00:51:12 ----A---- C:\WINDOWS\system32\7D.tmp
2009-07-15 00:51:11 ----A---- C:\WINDOWS\system32\7C.tmp
2009-07-15 00:50:45 ----D---- C:\Documents and Settings\All Users\Application Data\10022654
2009-07-14 12:56:53 ----D---- C:\Program Files\Nero
2009-07-14 12:56:53 ----D---- C:\Program Files\Fichiers communs\Ahead
2009-07-14 12:56:53 ----D---- C:\Documents and Settings\All Users\Application Data\Nero
2009-07-02 21:50:26 ----D---- C:\WINDOWS\system32\appmgmt
2009-07-02 15:53:44 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2009-07-02 15:53:41 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2009-07-02 15:53:38 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2009-07-02 15:53:35 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2009-07-02 15:53:32 ----HDC---- C:\WINDOWS\$NtUninstallKB961373$
2009-07-02 15:53:29 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2009-07-02 15:53:21 ----HDC---- C:\WINDOWS\$NtUninstallKB955839$
2009-07-02 15:52:30 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2009-07-02 15:52:27 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2009-07-02 15:52:24 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$
2009-07-02 15:52:17 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2009-07-02 15:52:14 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2009-07-02 15:52:08 ----HDC---- C:\WINDOWS\$NtUninstallKB969897$
2009-07-02 15:52:05 ----HDC---- C:\WINDOWS\$NtUninstallKB938464-v2$
2009-07-02 15:52:01 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2009-07-02 15:51:59 ----HDC---- C:\WINDOWS\$NtUninstallKB969898$
2009-07-02 15:51:50 ----HDC---- C:\WINDOWS\$NtUninstallKB941569$
2009-07-02 15:51:41 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2009-07-02 15:51:38 ----HDC---- C:\WINDOWS\$NtUninstallKB957097$
2009-07-02 15:51:35 ----HDC---- C:\WINDOWS\$NtUninstallKB923689$
2009-07-02 15:51:24 ----HDC---- C:\WINDOWS\$NtUninstallKB958687$
2009-07-02 15:51:12 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2009-07-02 15:51:08 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2009-07-02 15:51:05 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2009-07-02 15:51:02 ----HDC---- C:\WINDOWS\$NtUninstallKB954459$
2009-07-02 15:50:59 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$
2009-07-02 15:50:55 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2009-07-02 15:50:52 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2009-07-02 15:50:50 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$
2009-07-02 15:50:47 ----HDC---- C:\WINDOWS\$NtUninstallKB954600$
2009-07-02 15:50:44 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-07-02 15:50:41 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2009-07-02 15:50:38 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2009-07-02 15:50:37 ----D---- C:\Program Files\MSXML 4.0
2009-07-02 15:50:29 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2009-07-02 15:16:10 ----D---- C:\Program Files\CDBurnerXP
2009-07-02 15:00:55 ----D---- C:\Documents and Settings\Zed\Application Data\DeepBurner
2009-07-02 14:57:28 ----D---- C:\Program Files\Astonsoft
2009-07-02 10:46:44 ----HDC---- C:\WINDOWS\$NtUninstallKB950760$
2009-07-02 10:46:33 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2009-07-02 01:13:59 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-07-02 01:13:59 ----D---- C:\WINDOWS\system32\PreInstall
2009-07-02 01:13:59 ----A---- C:\WINDOWS\system32\spupdsvc.exe
2009-07-02 01:13:58 ----HDC---- C:\WINDOWS\$NtUninstallKB898461$
2009-07-02 01:13:58 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-01 12:22:21 ----A---- C:\WINDOWS\system32\muweb.dll
2009-07-01 12:22:21 ----A---- C:\WINDOWS\system32\mucltui.dll.mui
2009-07-01 12:22:20 ----A---- C:\WINDOWS\system32\mucltui.dll
2009-07-01 11:55:25 ----D---- C:\Documents and Settings\Zed\Application Data\Malwarebytes
2009-07-01 11:55:21 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-07-01 11:55:21 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2009-06-30 17:21:54 ----D---- C:\Program Files\Avira
2009-06-30 17:21:54 ----D---- C:\Documents and Settings\All Users\Application Data\Avira
2009-06-30 17:15:20 ----D---- C:\Program Files\VS Revo Group
2009-06-29 18:41:25 ----D---- C:\Temp
2009-06-29 14:17:20 ----D---- C:\Documents and Settings\Zed\Application Data\Canneverbe_Limited
2009-06-28 11:32:18 ----D---- C:\Documents and Settings\Zed\Application Data\BitTorrent
2009-06-28 11:32:09 ----D---- C:\Program Files\DNA
2009-06-28 11:32:09 ----D---- C:\Documents and Settings\Zed\Application Data\DNA
2009-06-28 11:32:08 ----D---- C:\Program Files\BitTorrent

======List of files/folders modified in the last 1 months======

2009-07-17 10:49:12 ----RD---- C:\Program Files
2009-07-17 10:46:37 ----D---- C:\WINDOWS
2009-07-17 01:09:42 ----D---- C:\WINDOWS\system32
2009-07-16 17:00:36 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-15 23:43:47 ----D---- C:\Program Files\Mozilla Firefox
2009-07-15 23:42:57 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-15 21:16:16 ----D---- C:\WINDOWS\Minidump
2009-07-15 20:41:53 ----A---- C:\WINDOWS\DUMP48ef.tmp
2009-07-15 20:12:58 ----SD---- C:\WINDOWS\Tasks
2009-07-15 20:01:36 ----D---- C:\WINDOWS\Temp
2009-07-15 01:18:06 ----D---- C:\WINDOWS\system32\drivers
2009-07-15 01:14:49 ----RSD---- C:\WINDOWS\Fonts
2009-07-15 00:50:51 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-07-15 00:50:30 ----D---- C:\Documents and Settings\Zed\Application Data\foobar2000
2009-07-14 20:05:17 ----D---- C:\WINDOWS\Prefetch
2009-07-14 13:02:21 ----SHD---- C:\WINDOWS\Installer
2009-07-14 12:56:53 ----D---- C:\Program Files\Fichiers communs
2009-07-14 12:50:25 ----D---- C:\Program Files\Nero 7 Ultra edition
2009-07-11 17:06:51 ----HD---- C:\WINDOWS\inf
2009-07-08 22:23:46 ----A---- C:\WINDOWS\NeroDigital.ini
2009-07-02 20:04:02 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-07-02 19:59:42 ----D---- C:\WINDOWS\system32\wbem
2009-07-02 19:59:41 ----D---- C:\WINDOWS\AppPatch
2009-07-02 15:53:36 ----D---- C:\Program Files\Messenger
2009-07-02 15:53:27 ----D---- C:\Program Files\Microsoft Works
2009-07-02 15:53:12 ----SD---- C:\Documents and Settings\All Users\Application Data\Microsoft
2009-07-02 15:53:12 ----D---- C:\Program Files\Fichiers communs\Microsoft Shared
2009-07-02 15:52:05 ----D---- C:\WINDOWS\WinSxS
2009-07-02 15:51:56 ----D---- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2009-07-01 19:19:53 ----D---- C:\WINDOWS\security
2009-06-30 17:26:56 ----D---- C:\WINDOWS\Debug
2009-06-30 00:05:43 ----D---- C:\Documents and Settings\Zed\Application Data\Vso
2009-06-29 12:27:52 ----D---- C:\WINDOWS\Help
2009-06-22 14:09:42 ----D---- C:\Documents and Settings\Zed\Application Data\dvdcss

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-13 14720]
R1 zcqqsfncc7;zcqqsfncc7.sys; C:\WINDOWS\system32\DRIVERS\zcqqsfncc7.sys [2009-07-15 40192]
R3 HDAudBus;Pilote de bus Microsoft UAA pour High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-03 12288]
R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys []
S1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
S1 cmdGuard;COMODO Internet Security Sandbox Driver; C:\WINDOWS\System32\DRIVERS\cmdguard.sys [2009-07-15 99856]
S1 cmdHlp;COMODO Internet Security Helper Driver; C:\WINDOWS\System32\DRIVERS\cmdhlp.sys [2009-07-15 31504]
S1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-13 40576]
S1 rbadma;RAMDAC GPU Controller; C:\WINDOWS\system32badma.sys []
S1 sptd;sptd; C:\WINDOWS\System32\Drivers\sptd.sys []
S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-07-13 28520]
S2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
S2 terd;terd; C:\WINDOWS\system32\drivers\lubj.sys []
S2 zwxxbyp;zwxxbyp; C:\WINDOWS\system32\drivers\vezyvpb.sys []
S3 61883;Pilote d'unité 61883; C:\WINDOWS\system32\DRIVERS\61883.sys [2008-04-13 48128]
S3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 Avc;Périphérique AVC; C:\WINDOWS\system32\DRIVERS\avc.sys [2008-04-13 38912]
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
S3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2008-06-11 6021184]
S3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-06-27 4742656]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service; C:\WINDOWS\system32\drivers\IntcHdmi.sys [2008-04-29 108032]
S3 MSDV;Microsoft DV Camera and VCR; C:\WINDOWS\system32\DRIVERS\msdv.sys [2008-04-13 51200]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 NIC1394;Pilote réseau 1394; C:\WINDOWS\system32\DRIVERS
ic1394.sys [2008-04-13 61824]
S3 PAC7311;Trust Webcam Live; C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2007-03-14 449024]
S3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2009-01-28 47360]
S3 Protec;PHASE WDM Audio; C:\WINDOWS\system32\drivers\Protec.sys [2007-04-13 69664]
S3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-06-16 109184]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usb_rndis;Broadcom USB Remote NDIS Device Driver; C:\WINDOWS\system32\DRIVERS\usb8023.sys [2008-04-13 12800]
S3 usbaudio;Pilote USB audio (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

S2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe []
S2 cmdAgent;COMODO Internet Security Helper Service; C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe [2009-07-15 634616]
S2 GEST Service;GEST Service for program management.; C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe [2008-07-11 80392]
S2 NMSAccessU;NMSAccessU; C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
S2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 58880]
S3 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe []
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 NBService;NBService; C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-03-14 779824]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe [2007-03-12 271920]
S3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 286208]
S4 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S4 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S4 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]

-----------------EOF-----------------

Zed · Answer

Et revoilà un rapport HijackThis, puisque RSIT ne le fait pas direct:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:53:23, on 17/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\Hijack T h i s.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [PAC7311_Monitor] C:\WINDOWS\PixArt\PAC7311\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\RunOnce: [FindyKill] C:\FindyKill\FindyKill.cmd /2ndpassFR
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [SpybotDeletingB136] command.com /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7969] cmd.exe /c del "C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys"
O4 - HKCU\..\RunOnce: [SpybotDeletingB700] command.com /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1296] cmd.exe /c del "C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4827] command.com /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8157] cmd.exe /c del "C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8042] command.com /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9365] cmd.exe /c del "C:\WINDOWS\system32\uacinit.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6989] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5922] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1296] command.com /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9362] cmd.exe /c del "C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8901] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4514] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3067] command.com /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9249] cmd.exe /c del "C:\WINDOWS\system32\UACnutalkodftrppfexp.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3552] command.com /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9564] cmd.exe /c del "C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5625] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9746] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2428] command.com /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD75] cmd.exe /c del "C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\sched.exe (file missing)
O23 - Service: Avira AntiVir Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (file missing)
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

jlpjlp · Answer

télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.
(attention bien mettre :files)

:processes
explorer.exe
:services
zcqqsfncc7
zwxxbyp
terd
UACmmujnmsqlhyenxtlt
:files
C:\WINDOWS\system32\DRIVERS\zcqqsfncc7.sys
C:\WINDOWS\system32badma.sys
C:\WINDOWS\system32\drivers\lubj.sys
C:\WINDOWS\system32\drivers\vezyvpb.sys
C:\WINDOWS\system32\drivers\UACmmujnmsqlhyenxtlt.sys 
C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old
C:\WINDOWS\system32\UACdooaccbsuufvaivdw.dll_old
C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old
C:\WINDOWS\system32\UACeqddenlxjoffdxldd.dll_old
C:\WINDOWS\system32\uacinit.dll_old
C:\WINDOWS\system32\uacinit.dll_old
C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old
C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll
C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll
C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old
C:\WINDOWS\system32\UACnutalkodftrppfexp.dll_old
C:\WINDOWS\system32\UACnutalkodftrppfexp.dll 
C:\WINDOWS\system32\UACnutalkodftrppfexp.dll
C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old 
C:\WINDOWS\system32\UACodxcntanyqcmdtjti.dll_old 
C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old
C:\WINDOWS\system32\UACkjcnnmirunrntpawy.dll_old
C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat
C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat_old
C:\WINDOWS\system32\UACrdkckmxxvordnltqf.dat
C:\WINDOWS\system32\81.tmp
C:\WINDOWS\system32\7D.tmp
C:\WINDOWS\system32\7C.tmp
C:\Qoobox
C:\WINDOWS\system32\CF12366.exe
C:\Bug.txt 
C:\Documents and Settings\All Users\Application Data\10022654
:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB136"=- 
"SpybotDeletingD7969"=-
"SpybotDeletingB700"=-
"SpybotDeletingD1296"=- 
"SpybotDeletingB4827"=- 
"SpybotDeletingD8157"=- 
"SpybotDeletingB8042"=-
"SpybotDeletingD9365"=-
"SpybotDeletingB6989"=-
"SpybotDeletingD5922"=-
"SpybotDeletingB1296"=-
"SpybotDeletingD9362"=-
"SpybotDeletingB8901"=-
"SpybotDeletingD4514"=- 
"SpybotDeletingB3067"=-
"SpybotDeletingD9249"=- 
"SpybotDeletingB3552"=-
"SpybotDeletingD9564"=-
"SpybotDeletingB5625"=-
"SpybotDeletingD9746"=-
"SpybotDeletingB2428"=-
"SpybotDeletingD75"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimalbadma.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\PEVSystemStart]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\procexp90.Sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etworkbadma.sys]
:commands
[purity]
[emptytemp]
[start explorer]

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

____________________________

repare windows:
http://www.informatruc.com/reparer-windows-xp/

___________________________

dis nous comment se comporte ton pc
et remets un rapport hijakhcits/RSIT


a plus

Zed · Answer

Bonsoir,

J'en suis à la réparation de Windows mais j'ai un GROS problème. Je récapitule :

J'ai lancé OTM qui a l'air d'avoir fait son travail. Au premier redémarrage, FINDYKILL a automatiquement éffectué un nouveau scan qui n'a apparemment détecté aucun problème.
Je me suis donc lancé dans la réparation de Windows XP. Sauf que je me retrouve complètement bloqué à l'étape  "installation de périphériques", le message suivant étant apparu : 

"Le logiciel que vous êtes en train d'installer pour ce matériel :
Realtek High Definition Audio (la carte son intégrée à la carte mère)
n'a pas été validé lors du test permettant d'obtenir le logo Windows et vérifiant sa compatibilité avec Windows XP.
Continuer l'installation de ce logiciel peut mettre en péril ou déstabiliser le bon fonctionnement de votre système, etc...
Voulez vous continuer l'installation du logiciel pour ce matériel?"

Et là, je dois choisir oui ou non, mais mon clavier et ma souris n'étant pas disponibles à ce stade de l'installation, je ne peux pas faire ma sélection et l'installation reste donc bloquée (à 34 minutes de la fin).
Une précision : je n'avais pas reçu ce message lors de la première installation il y'a quelques mois.

Que puis-je faire ? 
Couper le PC et abandonner la réparation (mon système Windows sera-t-il encore valide dans ce cas, et dans le cas contraire, perdrai-je mes données sur les autres partitions du PC ?) ? 
Et si je relançais la réparation à zéro en branchant un ancien clavier, non pas USB mais à l'ancienne connectique, celà résoudrait-il mon problème?

Ce genre de problème est rageant, à une demi-heure de récupérer un PC stable.

jlpjlp · Answer

2 choix:

sinon redemarre en mode normal puis

lance le verificateur de fichier windows
http://www.commentcamarche.net/faq/sujet 3713 fichier corrompu ou manquant#verificateur de fichiers systeme


____________________

Et si je relançais la réparation à zéro en branchant un ancien clavier, non pas USB mais à l'ancienne connectique, celà résoudrait-il mon problème? 
oui cela pourrait

sinon il faudra abandonner










si tu as  mets le rapport otmovit
puis un nouveau rapport rsit et  dis si tu as le net et si oui



 colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

kaspersky en ligne
https://www.informatruc.com

Zed · Answer

Tu me confirmes que je peux interrompre la réparation en cours sans compromettre mon système et mes fichiers ?

jlpjlp · Answer

normalement oui mais pas sur a 100%

si tu branche une souris autre cela fonctionne ?

Zed · Answer

J'ai essayé de brancher un clavier ps2 en cours de réparation, ça n'a rien donné.
Je vais maintenant essayer de couper,  de connecter ce clavier et de relancer la réparation à zéro, en priant pour que tout se passe bien pour mon système.
Je posterais les rapports dès que j'aurai fini la réparation (si je peux).

PS : jusqu'à quelle heure penses tu être dispo ce soir au cas où j'aurais encore besoin de ton aide (dont je te suis très reconnaissant) ?

Zed · Answer

Bon.

Lors de cette nouvelle réparation avant laquelle j'avais connecté mes deux claviers, cette fois, ma souris fonctionnait et m'a permis de sélectionner OUI pour trois installations soi-disant problèmatiques: ma carte son intégrée, ma carte son additionnelle et ma webcam.

Puis tout s'est déroulé normalement jusqu'à un double message final:

" Installation logicielle
"Dessin de Croix Blanche sur fond Rouge" n'a pas été validé lors du test permettant d'obtenir le logo Windows et vérifiant sa compatibilité avec Windows XP.
Ce logiciel ne sera pas installé. Contactez votre administrateur système."

Après çà, le PC a redémarré. Passé l' écran Windows, je ne suis pas arrivé au message de bienvenue sur fond bleu, mais à un écran complètement noir, où je ne peux absolument rien faire.
Idem après avoir demandé au PC de booter sur le Disque Dur.
En Mode sans Echec, c'est beaucoup plus joli puisque j'ai droit à un tiret qui clignote en haut à gauche de mon écran.

En résumé, il semblerait que Windows ait été effacé. (par un virus? ou par Microsoft?)

Après cet échec total, je ne sais pas ce que sont devenus mes fichiers, et je suis dans un état qui balance entre la colère, la tristesse et le dégoût. 
Merci quand même pour ton aide, jlpjlp, mais là je suis vraiment déprimé.
On dit que la nuit porte conseil... On verra...

jlpjlp · Answer

Pour réparer tu peux tenter


1/ de réparer à partir d'un cd de Windows
http://www.vista-xp.fr/forum/topic428.html


2/ utiliser Antivir Rescue System pour scanner ton ordi à partir d'un cd et éradiquer les infections (il faut démarrer l'ordi à partir du cd en modifiant dans le bios l'ordre de démarrage)

https://www.malekal.com/tutoriels-logiciels/


3/ utiliser le cd ULTIMATE BOOT CD (pour réparer Windows, ou désinfecter l'ordi, ou rechercher un problème matériel ou....)

http://www.kachouri.com/tuto/tuto-288-ultimate-boot-cd-34.ht­­­ml

http://ubcd.sourceforge.net//




4/ utiliser un cd de boot linux pour récupérer tes données et tenter de réparer
https://ubuntu.com/
http://knoppix-fr.org/
https://www.commentcamarche.net/list 4883 knoppix utiliser knoppix comme cd de secours
https://www.commentcamarche.net/list 15947 sauver vos documents d un windows mort avec un cd live linux


5/
sinon pour récupérer tes données on tenter de désinfecter:

tu peux brancher ton disque dur sur un autre ordi en disque esclave ou en disque externe : et ainsi aller chercher tes données

ou alors tu rajoute un nouveau disque dans ton ordi sur lequel tu installe windows ou linux pour démarrer dessus et tu récupères tes données sur ton ancien disque que tu auras bien sûr au préalable mis en disque esclave

tu peux ensuite formater le disque infecté ou le remettre si il a été désinfecté

6/ malheureusement si rien ne marche il faudra formater et réinstaller xp

puis remettre les antivirus et pare-feu et seulement ensuite (après avoir été protégé) aller sur Internet pour réinstaller Windows update (dans démarrer puis Windows update)

http://www.depannetonpc.net/­­­er-windows.html

http://www.ybet.be/depanner/install_windows.php

jlpjlp · Answer

si tu es obligé de formater ..


Essaie pour récupérer tes données effacées:

en gratuit:
restoration:

https://www.01net.com/actualites/



et pc inspector file recovry:

https://www.01net.com/



ou recuva:

http://www.ccleaner.com/go/recuva.com

ou free undelete:

http://www.officerecovery.com/freeundelete/



ou en payant
recuperez vos fichiers
http://www.microapp.com/logiciel_recuperez_vos_fichiers_edit­ion_2007_9114.html

ou smart data recovry
https://www.01net.com/

Zed · Answer

Bonjour,

Je me permet de remonter ce topic. Après ma déconvenue, je me suis éloigné de mon PC un certain temps histoire de décompresser et d'y revenir avec les idées claires.

J'ai téléchargé un DVD Kaella live et me suis fait prêter un disque dur externe, malheureusement trop petit pour tout sauver, mais j'essaierai d'y caser l'essentiel. Je verrai plus tard si j'installe définitivement Linux, mais de toutes façons, je préfèrerais un dual boot et vais donc devoir réinstaller XP quand même (à faire avant Linux, d'après ce que j'ai lu).

Ma question:
A l'époque de la première installation d'XP, j'avais partitionné mon disque dur, avec une partition dédiée au système.
Si je lance une réinstallation complète de WIndows (en sélectionnant la bonne partition pour l'accueillir), est-ce que cela ne va formater que cette partition sans toucher aux autres?
Et est-ce que j'aurai bien accès à mes fichiers (situés sur les autres partitions) sans problème sous l'environnement nouvellement installé?

Merci d'avance.

jlpjlp · Answer

Si je lance une réinstallation complète de WIndows (en sélectionnant la bonne partition pour l'accueillir), est-ce que cela ne va formater que cette partition sans toucher aux autres?

oui cela ne formatera que la partition où tu mettra windows sans toucher aux autres


Et est-ce que j'aurai bien accès à mes fichiers (situés sur les autres partitions) sans problème sous l'environnement nouvellement installé? 

oui tu pourra y acceder et recuperer les données , d'où l'interêt d'avoir plusieurs partitions en cas de plantage

Zed · Answer

Bonsoir,

Décidement, rien ne se passe jamais normalement...

Après avoir booté sur le DVD Kaella (entre parenthèses LINUX, çà m'a l'air quand même bien complexe à aborder), les partitions de mon second disque dur n'apparaissent pas (où se trouvent une grande partie de mes documents les plus importants, photos et fichiers de ma musique perso, notamment). 
Est-ce parce qu'il s'agit d'un disque IDE (alors que l'autre est SATA) esclave?  

Par ailleurs, tous les dossiers et fichiers n'apparaissent pas non plus sur l'autre disque dur. Par exemple, ma partition "FILMS DE FAMILLE" apparait comme vide: 59.5ko sur 150Go. Pourtant, en bas de l'écran propriétés, je vois 13.8Go libres sur 150Go, ce qui correspond aux 135Go occupés par mes films.

De plus, j'ai l'impression que certains dossiers n'apparaissent pas non plus sur les partitions "lisibles" (notamment un dossier "Sécurité", dans lequel je stockais des copies de mes logiciels antivirus, etc).

Est-ce que cela est normal, ou cela indique-t-il un problème?

En l'état, je ne peux pas accéder à beaucoup de fichiers essentiels pour les sauvegarder. J'ai vraiment peur de me lancer dans la réinstallation de Windows dans ces conditions. Que puis-je faire?

Merci.

jlpjlp · Answer

pour réparer tu peux tenter 


0/ Essaye de débrancher ton ordi puis tu appuie 2 minutes sur le bouton marche de la facade de ton ordi pour vider les condensateurs et initialiser 

rebranche et redemarre pour voir 


1/ de réparer à partir d'un cd de Windows XP PRO ... 

https://www.pcastuces.com/pratique/windows/xp/default.htm 

http://www.informatruc.com/reparer-windows-xp/ 


2/ à partir d'une disquette de démarrage XP pro du coup à créer (regarde le lien suivant) 

http://www.trucs-et-astuces-windows.com/disquette_boot/disqu­ette_boot.html 
http://www.trucs-et-astuces-windows.com/disquette_boot/disquette_boot.html


si tu ne trouve pas de cd xp pro utilise une disquette de démarrage. il faut démarrer l'ordi a partir de la disquette (si besoin configurer le bios pour qu'il démarre à partir de la disquette comme indiqué dans le lien 1 et mettre floppy ou disquette et non cd). 

attention il se peut que le clavier soit provisoirement configuré pour les langes anglaises. pour vérifier appuyer sur la touche a . si un q s'affiche c'est le cas. Efface cette lettre test avec la touche retour arrière. 


TAPEZ chkdsk/f C:/ (attention il y a un espace entre f et C:/) (C en majuscule) 

puis appuyer sur ENTREE 

si le clavier lors du test est en anglais il faut pour avoir le bon affichage TAPEZ chkdsk!f CM* ( espace entre le f et C) 


https://www.commentcamarche.net/contents/1014-disquette-boot 



3/ utiliser Antivir Rescue System pour scanner ton ordi à partir d'un cd et éradiquer les infections (il faut démarrer l'ordi à partir du cd en modifiant dans le bios l'ordre de démarrage) 

https://www.malekal.com/tutoriels-logiciels/ 

ou DR WEB live cd (même principe que Antivir rescue system)

https://free.drweb.com/aid_admin/


4/ utiliser le cd ULTIMATE BOOT CD (pour réparer Windows, ou désinfecter l'ordi, ou rechercher un problème matériel ou....) 

http://www.kachouri.com/tuto/tuto-288-ultimate-boot-cd-34.ht­ml 

http://ubcd.sourceforge.net// 




5/ utiliser un cd de boot linux pour récupérer tes données et tenter de réparer 
https://ubuntu.com/
http://knoppix-fr.org/ 
https://www.commentcamarche.net/faq/4883-knoppix-utiliser-knoppix-comme-cd-de-secours
https://www.commentcamarche.net/faq/15947-sauver-vos-documents-d-un-windows-mort-avec-le-live-cd-linuxmint


6/ 
sinon pour récupérer tes données on tenter de désinfecter: 

tu peux brancher ton disque dur sur un autre ordi en disque esclave ou en disque externe : et ainsi aller chercher tes données 

ou alors tu rajoute un nouveau disque dans ton ordi sur lequel tu installe windows ou linux pour démarrer dessus et tu récupères tes données sur ton ancien disque que tu auras bien sûr au préalable mis en disque esclave 

tu peux ensuite formater le disque infecté ou le remettre si il a été désinfecté 

7/ malheureusement si rien ne marche il faudra formater et réinstaller xp 

puis remettre les antivirus et pare-feu et seulement ensuite (après avoir été protégé) aller sur Internet pour réinstaller Windows update (dans démarrer puis Windows update) 

http://www.depannetonpc.net/...

http://www.ybet.be/depanner/install_windows.php

Zed · Answer

Merci, mais soit je ne comprend rien, soit cela ne répond pas exactement à ma question. Je précise:

La réparation ayant échoué, je suis parti pour l'option réinstallation complète de Windows XP sur la partition système.
Par sécurité, je veux sauvegarder mes fichiers les plus importants, en bootant sur un CD Linux, puis en  basculant mes fichiers sur un DD externe.

Le problème, c'est que sous Linux, un de mes deux disques n'apparait pas, et que certains fichiers ou dossiers situés sur l'autre non plus. Je ne peux donc pas les sauvegarder.

Comment se fait-il que Linux ne reconnaisse pas tous mes fichiers? Est-ce que cela peut être le signe que certaines partitions ont été endommagés je ne sais comment? 
Et dans ce cas, est-il sûr pour mes fichiers de tenter la réinstallation de XP?

Désolé de vous obliger à reformuler, mais tout çà est bien compliqué et stressant pour moi.

jlpjlp · Answer

Comment se fait-il que Linux ne reconnaisse pas tous mes fichiers? Est-ce que cela peut être le signe que certaines partitions ont été endommagés je ne sais comment?


il se peut que des fichiers soient endommagés , sinon tente avec une autre version de linux bootable pour voir tel ubuntu

____________________

Et dans ce cas, est-il sûr pour mes fichiers de tenter la réinstallation de XP? 

oui cela formatera la partition souhaitée mais ne touchera pas aux autres  partitions , tu pourra y recuperer ce qui n'a pas été endommagé par l'infection

___________________


sinon si tu as un autre pc tu peux mettre ton disque dur dans un boitier externe ou en sesclave pour voir les données depuis un pc sous windows



___________________

rq: sinon même formaté tu peux récupérer des données de ton pc 

Essaie pour récupérer tes données effacées:

en gratuit:
restoration:

https://www.01net.com/actualites/



et pc inspector file recovry:

https://www.01net.com/



ou recuva:

http://www.ccleaner.com/go/recuva.com

ou free undelete:

http://www.officerecovery.com/freeundelete/



ou en payant
recuperez vos fichiers
http://www.microapp.com/logiciel_recuperez_vos_fichiers_edit­ion_2007_9114.html

ou smart data recovry
https://www.01net.com/

Help! Grosse attaque de virus

46 réponses

Discussions similaires

Newsletters