High-Tech Santé Médecine Droit-Finances

Réalisation

vidéo numérique

Rechercher : dans
Par :

Win32/alureon.gen!U

Dernière réponse le 16 nov 2009 à 03:54:20 amorynesles, le 15 nov 2009 à 14:41:07 
 Signaler ce message aux modérateurs

Bonjour,

Je précise être un novice en matière informatique.
Cecla dit, j'ai parcouru nombre de forums afin de régler mon problème, mais n'ayant pas réussi à régler mon problème seul (avec différents outils), je me tourne vers vous.
J'ai utilisé malwarebyte's (qui ne voit rien en mode complet) et d'autres logiciles comparables, rien n'y fait.
Mon antivirus (la suite avg, dont je suis très content au demeurant car complet et puissant) détecte un trojan ("agent r_or") dès que le windows defender se met en route.Je le met en quarantaine, puis le supprime.Dans le même temps, windows defender termine son analyse et m'indique qu'un danger grave menace mon pc (win32/alureon.gen!U).Je le supprime avec ce même windows defender, sans difficultés.
Puis, pour finir, (et c'est nouveau depuis l'install de malwarebyte's anti-malware), AVG se "réveille" à nouveau pour m'indiquer qu'un trojan s'est fixé sur l'exécutable de malwarebyte's........................que je supprime également sans problème.
Le souci étant que chaque jour, voir chaque heure, ce scénario se répéte de facon immuable !!
Je deviens fou.D'autre part, j'ai bien le symptome typique de ce trojan (redirection aléatoire que ce soit pour firefox, opera, ie ou k-méléon).
Cela m'inquiète d'autant plus que je bosse avec ce pc (manip bancaires, CB, etc...).
L'antirookit (de la suite avg) m'indique 2 anomalies qu'il ne peut pas traiter:
Rootkits
Fichier;"Infection";"Résultat"
C:\Windows\System32\Drivers\a9lv4yez.SYS;"Pilote masqué";"L'objet est masqué"
C:\Windows\System32\Drivers\amxmy2mm.SYS;"Pilote masqué";"L'objet est masqué"
J'ai dl combofix (dont je ne me suis pas servi) et GMER (qui m'a fait planté, puis relancé).
J'ai également Hijackthis dont j'ai fait analysé le rapport via ce site:
http://www.hijackthis.de/fr#anl
Rien d'anormal apparemment...
Bref, voici mon log, merci de votre future aide:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:38:07, on 15/11/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
H:\Program files\Java\bin\jusched.exe
C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
H:\Program files\AVG\avgtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
H:\Program files\Malware\Malwarebytes' Anti-Malware\mbam.exe
H:\Program files\K-méléon\k-meleon.exe
H:\Program files\Mozilla\firefox.exe
H:\Program files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - *{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - H:\Program files\AVG\avgssie.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program files\Java\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program files\Java\bin\jp2ssv.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program files\Java\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundTray] C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AVG8_TRAY] H:\PROGRA~1\AVG\avgtray.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "H:\Program files\Malware\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\OFFICE~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\OFFICE~1\Office12\REFIEBAR.DLL
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF6A10E1-4615-4649-9363-7A50A81F34A1}: NameServer = 192.168.1.1,80.10.246.2
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - H:\Program files\AVG\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - H:\PROGRA~1\AVG\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - H:\PROGRA~1\AVG\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - H:\Program files\Alcohol\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
End of file - 7611 bytes

Configuration: Windows Vista
K-Meleon 1.5.3

Posez votre question Répondre

1

amorynesles, le 15 nov 2009 à 15:11:24

Up

   
Répondre à amorynesles

2

anthony5151, le 15 nov 2009 à 16:30:07

Bonjour,


Effectivement, le rapport ne montre pas d'infection.
Par contre, les symptômes que tu indiques me font penser à une infection Virut (si c'est le cas, le formatage sera la seule solution)... On va voir si MalwareBytes le confirme ou pas :


• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis

   
Répondre à anthony5151

3

amorynesles, le 15 nov 2009 à 17:59:06

Tout d'abord, merci de t'être penché sur le problème.
Pour précision, je supprime chaque fois que je lance un navigateur, le malware en question (win32/alureon.gen!U), il n'apparait donc plus dans malwarebyte's.
Voici le log quand même:
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3174
Windows 6.0.6002 Service Pack 2

15/11/2009 17:49:23
mbam-log-2009-11-15 (17-49-23).txt

Type de recherche: Examen rapide
Eléments examinés: 96747
Temps écoulé: 7 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

D'autre part, j'ai lancé Sysprot qui repère 5 anomalies (en rouge) uniquement dans l'onglet "Kernel modules".
Je ne sais pas ce qui est normal ou infecté: (je ne te mets que les 5 lignes en rouge)

Module Name: \SystemRoot\System32\Drivers\a2mccpiw.SYS
Service Name: ---
Module Base: 8BF71000
Module End: 8BFD7000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\a74g44j9.SYS
Service Name: ---
Module Base: 8838C000
Module End: 883F4000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_dumpata.sys
Service Name: ---
Module Base: 8DDE1000
Module End: 8DDEC000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys
Service Name: ---
Module Base: 8DDEC000
Module End: 8DDF4000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_dumpfve.sys
Service Name: ---
Module Base: 8DBEE000
Module End: 8DBFF000
Hidden: Yes


Encore merci.

   
Répondre à amorynesles

4

anthony5151, le 15 nov 2009 à 18:01:56

A la prochaine détection, choisis "Ignorer". Puis analyse le fichier détecté comme ceci :

• Rends toi sur le site http://www.virustotal.com/fr/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide :
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis

   
Répondre à anthony5151

5

amorynesles, le 15 nov 2009 à 20:09:27

Le problème, c'est que seul windows defender me détecte win32/alureon.gen!U.
J'ai fait le test à l'instant, j'ai re-scanné avec malware, rien.
Dans la foulée, j'ai lancé une analyse avec windows defender, et là, comme d'habitude après l'ouverture d'un navigateur, il me signale une alerte grave avec ce malware (alureon).
Donc, je ne peux rien envoyer en matière de rapport.

   
Répondre à amorynesles

6

amorynesles, le 15 nov 2009 à 21:19:32

J'ai néanmoins réussi la démarche avec combofix (après 2 plantages).
Il a manifestement réussi à éradiquer quelques fichiers.
Le log (il est long...):

omboFix 09-11-15.01 - PEM 15/11/2009 20:54..2 - FAT32x86
Microsoft® Windows Vista™ Édition Intégrale 6.0.6002.2.1252.33.1036.18.2046.1260 [GMT 1:00]
Lancé depuis: c:\users\PEM\Desktop\Trojan\Combo---Fix.exe
AV: AVG Anti-Virus *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: AVG Anti-Virus *enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-51003140-4199384537-3980697693-500
c:\windows\system32\Data
c:\windows\system32\logs
c:\windows\system32\logs\service_log.txt
c:\windows\system32\tdlwsp.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-10-15 au 2009-11-15 ))))))))))))))))))))))))))))))))))))
.

2009-11-15 20:02 . 2009-11-15 20:03 -------- d-----w- c:\users\PEM\AppData\Local\temp
2009-11-15 20:02 . 2009-11-15 20:02 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-11-15 02:57 . 2009-11-15 02:57 -------- d-----w- c:\users\PEM\AppData\Roaming\Malware­bytes
2009-11-15 02:57 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissar­my.sys
2009-11-15 02:57 . 2009-11-15 02:57 -------- d-----w- c:\programdata\Malwarebytes
2009-11-15 02:57 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-15 02:15 . 2009-11-15 02:12 318976 ----a-w- c:\windows\system32\CF8253.exe
2009-11-13 00:02 . 2009-11-13 00:02 81920 ----a-w- c:\windows\system32\W32N50.dll
2009-11-13 00:02 . 2009-11-13 00:02 17134 ----a-w- c:\windows\system32\PCANDIS5.sys
2009-11-12 14:02 . 2009-11-12 14:02 -------- d-----w- c:\program files\NVIDIA Corporation
2009-11-12 12:15 . 2009-11-12 12:15 -------- d-----w- c:\windows\system32\RTL8187
2009-11-12 12:15 . 2007-06-25 12:42 221696 ----a-w- c:\windows\system32\drivers\rtl8187.sy­s
2009-11-12 12:15 . 2007-04-13 09:23 15360 ----a-w- c:\windows\system32\drivers\RtlProt.sys­
2009-11-12 12:15 . 2009-11-12 14:05 8192 d-----w- c:\program files\ASUS WiFi-AP Solo Install Program
2009-11-11 06:36 . 2009-08-14 13:27 2036736 ----a-w- c:\windows\system32\win32k.sys
2009-11-11 05:56 . 2009-08-10 12:35 355328 ----a-w- c:\windows\system32\WSDApi.dll
2009-11-10 17:01 . 2009-10-16 14:50 2520888 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\­Firefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetw­orks.com\plugins\npTVUAx.dll
2009-11-10 17:01 . 2008-03-04 17:52 286720 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\F­irefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetwo­rks.com\plugins\libcurl.dll
2009-11-10 17:01 . 2007-10-31 08:39 59904 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Fi­refox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetwor­ks.com\plugins\zlib1.dll
2009-11-10 17:01 . 2007-05-17 12:58 143360 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\F­irefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetwo­rks.com\plugins\libexpatw.dll
2009-11-10 17:01 . 2006-10-18 16:32 499712 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\F­irefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetwo­rks.com\plugins\msvcp71.dll
2009-11-10 17:01 . 2006-10-18 16:32 348160 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\F­irefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetwo­rks.com\plugins\msvcr71.dll
2009-11-10 17:01 . 2006-10-16 17:44 196608 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\F­irefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetwo­rks.com\plugins\ssleay32.dll
2009-11-10 17:01 . 2006-10-16 17:44 1028096 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\­Firefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetw­orks.com\plugins\libeay32.dll
2009-11-10 13:27 . 2009-11-15 01:38 4096 d-----w- c:\users\PEM\AppData\Roaming\vlc
2009-11-10 02:19 . 2009-11-12 20:23 -------- d-----w- c:\users\PEM\AppData\Roaming\gtk-2.0­
2009-11-10 01:41 . 2009-11-10 01:56 4096 d-----w- c:\users\PEM\AppData\Roaming\Inkscape
2009-11-08 16:33 . 2009-10-08 09:11 643072 ----a-w- c:\windows\system32\ykx32ncu.dll
2009-11-08 16:32 . 2009-11-08 16:32 -------- d-----w- c:\program files\Marvell
2009-11-08 15:34 . 2009-11-08 15:34 4096 d-----w- c:\users\PEM\{8f495d81-735a-40f6-9a02-2a­648681b238}
2009-11-06 07:05 . 2009-10-21 06:51 2064152 ----a-w- c:\programdata\avg8\update\backup\avg­corex.dll
2009-11-03 07:09 . 2009-10-21 06:51 2025752 ----a-w- c:\programdata\avg8\update\backup\avg­tray.exe
2009-11-02 10:50 . 2009-11-02 10:50 -------- d-----w- c:\program files\MSXML 4.0
2009-11-01 12:05 . 2009-11-01 12:05 -------- d-----w- c:\programdata\Age of Empires 3
2009-10-30 03:32 . 2009-08-07 02:24 44768 ----a-w- c:\windows\system32\wups2.dll
2009-10-30 03:32 . 2009-08-07 02:24 53472 ----a-w- c:\windows\system32\wuauclt.exe
2009-10-30 03:32 . 2009-08-07 02:23 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-10-30 03:32 . 2009-08-07 01:45 2421760 ----a-w- c:\windows\system32\wucltux.dll
2009-10-30 03:30 . 2009-08-07 02:24 35552 ----a-w- c:\windows\system32\wups.dll
2009-10-30 03:30 . 2009-08-07 02:23 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-10-30 03:30 . 2009-08-07 01:44 87552 ----a-w- c:\windows\system32\wudriver.dll
2009-10-30 03:28 . 2009-08-06 18:23 171608 ----a-w- c:\windows\system32\wuwebv.dll
2009-10-30 03:28 . 2009-08-06 17:44 33792 ----a-w- c:\windows\system32\wuapp.exe
2009-10-29 20:39 . 2009-03-16 13:18 69448 ----a-w- c:\windows\system32\XAPOFX1_3.dll
2009-10-29 20:39 . 2009-03-16 13:18 517448 ----a-w- c:\windows\system32\XAudio2_4.dll
2009-10-29 20:39 . 2009-03-09 14:27 453456 ----a-w- c:\windows\system32\d3dx10_41.dll
2009-10-29 20:39 . 2009-03-09 14:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll
2009-10-29 20:39 . 2009-03-09 14:27 1846632 ----a-w- c:\windows\system32\D3DCompiler_41.dl­l
2009-10-29 20:39 . 2009-03-16 13:18 235352 ----a-w- c:\windows\system32\xactengine3_4.dll
2009-10-29 20:39 . 2009-03-16 13:18 22360 ----a-w- c:\windows\system32\X3DAudio1_6.dll
2009-10-29 20:39 . 2008-10-15 05:22 452440 ----a-w- c:\windows\system32\d3dx10_40.dll
2009-10-29 20:39 . 2008-10-15 05:22 2036576 ----a-w- c:\windows\system32\D3DCompiler_40.dl­l
2009-10-29 20:39 . 2008-10-15 05:22 4379984 ----a-w- c:\windows\system32\D3DX9_40.dll
2009-10-29 11:55 . 2009-10-29 11:55 -------- d-----w- c:\programdata\Azureus
2009-10-29 11:55 . 2009-10-29 12:14 12288 d-----w- c:\users\PEM\AppData\Roaming\Azureus
2009-10-28 03:17 . 2009-10-28 03:17 -------- d-----w- c:\program files\Windows Portable Devices
2009-10-28 02:33 . 2009-09-10 02:00 92672 ----a-w- c:\windows\system32\UIAnimation.dll
2009-10-28 02:33 . 2009-09-10 02:01 3023360 ----a-w- c:\windows\system32\UIRibbon.dll
2009-10-28 02:33 . 2009-09-10 02:00 1164800 ----a-w- c:\windows\system32\UIRibbonRes.dll
2009-10-28 02:31 . 2009-10-08 21:08 555520 ----a-w- c:\windows\system32\UIAutomationCore.d­ll
2009-10-28 02:31 . 2009-10-08 21:08 234496 ----a-w- c:\windows\system32\oleacc.dll
2009-10-28 02:31 . 2009-10-08 21:07 4096 ----a-w- c:\windows\system32\oleaccrc.dll
2009-10-28 00:52 . 2009-11-15 11:42 4096 d-----w- c:\users\PEM\AppData\Roaming\uTorrent
2009-10-27 20:04 . 2009-09-10 14:58 310784 ----a-w- c:\windows\system32\unregmp2.exe
2009-10-27 20:04 . 2009-09-10 14:59 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2009-10-27 11:36 . 2009-10-27 11:36 99864 ----a-w- c:\users\PEM\AppData\Local\GDIPFONTCACH­EV1.DAT
2009-10-24 15:21 . 2009-10-20 11:33 545280 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\F­irefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliris­.com\libs\PicLensHelper.exe
2009-10-24 15:21 . 2009-10-20 11:33 103424 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\F­irefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliris­.com\libs\pixomatic.dll
2009-10-24 15:21 . 2009-10-20 11:33 4716544 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\­Firefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliri­s.com\components\cooliris.dll
2009-10-24 15:21 . 2009-10-20 11:33 344064 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\F­irefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliris­.com\libs\LaunchCooliris.exe
2009-10-24 15:21 . 2009-10-20 11:33 153600 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\F­irefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliris­.com\plugins\npcoolirisplugin.dll
2009-10-23 00:38 . 2009-10-23 00:38 -------- d-----w- c:\programdata\KONAMI
2009-10-20 01:30 . 2009-10-20 01:30 114688 ----a-w- c:\programdata\eMule\lang\fr_FR.dll
2009-10-20 01:25 . 2009-10-20 01:25 -------- d-----w- c:\program files\Bitcomet Ultra Accelerator
2009-10-19 00:21 . 2009-10-19 21:47 -------- d-----w- c:\users\PEM\AppData\Local\Applicati­onHistory
2009-10-18 12:22 . 2009-10-18 12:22 -------- d-----w- c:\windows\system32\URTTEMP
2009-10-17 03:12 . 2009-10-17 03:12 653560 ----a-w- c:\programdata\Microsoft\eHome\Package­s\MCESpotlight\MCESpotlight\SpotlightResources.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-15 19:35 . 2009-11-08 15:35 34705 ----a-w- c:\programdata\nvModes.dat
2009-11-15 19:35 . 2008-10-23 21:55 4096 d-----w- c:\programdata\NVIDIA
2009-11-15 03:42 . 2006-11-02 16:03 682260 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-15 03:42 . 2006-11-02 16:03 129430 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-14 14:01 . 2009-08-04 16:02 8192 d-----w- c:\users\PEM\AppData\Roaming\dvdcss
2009-11-12 12:15 . 2008-10-25 19:33 8192 d--h--w- c:\program files\InstallShield Installation Information
2009-11-11 15:18 . 2006-11-02 11:18 4096 d-----w- c:\program files\Windows Mail
2009-11-11 11:32 . 2008-10-24 08:29 12288 d-----w- c:\programdata\Microsoft Help
2009-11-10 22:06 . 2008-11-17 15:34 -------- d-----w- c:\program files\Common Files\Steam
2009-11-02 19:42 . 2009-10-03 01:51 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-11-01 12:31 . 2008-11-04 11:28 4096 d-----w- c:\program files\Common Files\Microsoft Games
2009-10-29 21:36 . 2008-11-17 16:11 4096 d-----w- c:\users\PEM\AppData\Roaming\Sports Interactive
2009-10-28 03:17 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-10-28 03:17 . 2009-10-28 03:17 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMt­pDr_01_07_00.Wdf
2009-10-28 03:17 . 2009-10-28 03:17 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs­_01_07_00.Wdf
2009-10-20 01:30 . 2008-10-23 22:21 -------- d-----w- c:\programdata\eMule
2009-10-19 12:17 . 2008-11-17 16:11 4096 d-----w- c:\programdata\Sports Interactive
2009-10-18 12:52 . 2008-10-24 10:07 -------- d-----w- c:\users\PEM\AppData\Roaming\2K Sports
2009-10-14 19:50 . 2008-10-23 22:11 -------- d-----w- c:\program files\Common Files\Adobe
2009-10-08 12:00 . 2008-10-25 23:04 4096 d-----w- c:\program files\MP3Gain
2009-10-07 22:57 . 2009-09-05 11:06 4096 d-----w- c:\program files\Youtube Downloader HD
2009-10-07 16:06 . 2008-11-28 00:36 138184 ----a-w- c:\windows\system32\drivers\PnkBstrK.s­ys
2009-10-07 16:06 . 2008-11-28 00:36 183112 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-10-06 15:14 . 2009-10-07 00:34 52224 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\Fi­refox\Profiles\dzkq2yhp.default\extensions\{2f3a94fd-c89e-41­c4-bbd6-18b11705e7f3}\components\FFExternalAlert.dll
2009-10-06 15:14 . 2009-10-07 00:34 114688 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\F­irefox\Profiles\dzkq2yhp.default\extensions\{2f3a94fd-c89e-4­1c4-bbd6-18b11705e7f3}\components\npmozax.dll
2009-10-04 21:18 . 2008-10-24 08:37 4096 d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-10-04 21:18 . 2008-10-24 08:38 12288 d-----w- c:\program files\AGEIA Technologies
2009-10-03 19:52 . 2009-06-12 15:50 4096 d-----w- c:\users\PEM\AppData\Roaming\Apple Computer
2009-10-03 19:41 . 2009-10-03 19:40 -------- d-----w- c:\programdata\{755AC846-7372-4AC8-8­550-C52491DAA8BD}
2009-10-03 19:40 . 2009-10-03 19:40 -------- d-----w- c:\program files\iPod
2009-10-03 19:40 . 2009-06-12 15:48 -------- d-----w- c:\program files\Common Files\Apple
2009-10-03 19:40 . 2008-10-25 10:52 -------- d-----w- c:\programdata\Apple Computer
2009-10-03 19:40 . 2009-10-03 19:40 -------- d-----w- c:\program files\Bonjour
2009-10-03 19:40 . 2009-06-12 15:48 -------- d-----w- c:\programdata\Apple
2009-10-03 19:39 . 2009-10-03 19:39 4096 d-----w- c:\program files\QuickTime
2009-10-01 01:02 . 2009-10-28 02:32 2537472 ----a-w- c:\windows\system32\wpdshext.dll
2009-10-01 01:02 . 2009-10-28 02:32 30208 ----a-w- c:\windows\system32\WPDShextAutoplay.ex­e
2009-10-01 01:02 . 2009-10-28 02:32 334848 ----a-w- c:\windows\system32\PortableDeviceApi.­dll
2009-10-01 01:02 . 2009-10-28 02:32 87552 ----a-w- c:\windows\system32\WPDShServiceObj.dll­
2009-10-01 01:02 . 2009-10-28 02:32 31232 ----a-w- c:\windows\system32\BthMtpContextHandle­r.dll
2009-10-01 01:01 . 2009-10-28 02:32 546816 ----a-w- c:\windows\system32\wpd_ci.dll
2009-10-01 01:01 . 2009-10-28 02:32 160256 ----a-w- c:\windows\system32\PortableDeviceType­s.dll
2009-10-01 01:01 . 2009-10-28 02:32 60928 ----a-w- c:\windows\system32\PortableDeviceConne­ctApi.dll
2009-10-01 01:01 . 2009-10-28 02:32 196608 ----a-w- c:\windows\system32\PortableDeviceWMDR­M.dll
2009-10-01 01:01 . 2009-10-28 02:32 100864 ----a-w- c:\windows\system32\PortableDeviceClas­sExtension.dll
2009-10-01 01:01 . 2009-10-28 02:32 350208 ----a-w- c:\windows\system32\WPDSp.dll
2009-10-01 01:01 . 2009-10-28 02:32 81920 ----a-w- c:\windows\system32\wpdbusenum.dll
2009-10-01 01:01 . 2009-10-28 02:32 40448 ----a-w- c:\windows\system32\drivers\WpdUsb.sys
2009-10-01 01:01 . 2009-10-28 02:32 226816 ----a-w- c:\windows\system32\WpdMtp.dll
2009-10-01 01:01 . 2009-10-28 02:32 33280 ----a-w- c:\windows\system32\WpdConns.dll
2009-10-01 01:01 . 2009-10-28 02:32 61952 ----a-w- c:\windows\system32\WpdMtpUS.dll
2009-09-28 11:14 . 2008-10-25 21:20 177024 ----a-w- c:\users\PEM\AppData\Roaming\Mozilla\F­irefox\Profiles\dzkq2yhp.default\FlashGot.exe
2009-09-28 09:22 . 2009-09-28 09:22 364544 ----a-w- c:\windows\system32\yk60x86.dll
2009-09-28 09:22 . 2009-09-28 09:22 312832 ----a-w- c:\windows\system32\drivers\yk60x86.sy­s
2009-09-27 16:47 . 2009-09-27 16:47 2505320 ----a-w- c:\windows\system32\nvcpluir.dll
2009-09-27 16:46 . 2009-09-27 16:46 4942440 ----a-w- c:\windows\system32\nvdisps.dll
2009-09-27 16:46 . 2009-09-27 16:46 13949544 ----a-w- c:\windows\system32\nvcpl.dll
2009-09-26 14:33 . 2009-09-26 14:33 -------- d-----w- c:\users\PEM\AppData\Roaming\K-Meleo­n
2009-09-25 02:10 . 2009-10-28 02:32 974848 ----a-w- c:\windows\system32\WindowsCodecs.dll
2009-09-25 02:07 . 2009-10-28 02:32 189440 ----a-w- c:\windows\system32\WindowsCodecsExt.d­ll
2009-09-25 02:04 . 2009-10-28 02:32 321024 ----a-w- c:\windows\system32\PhotoMetadataHandl­er.dll
2009-09-25 01:49 . 2009-10-28 02:32 1554432 ----a-w- c:\windows\system32\xpsservices.dll
2009-09-25 01:48 . 2009-10-28 02:32 351232 ----a-w- c:\windows\system32\XpsPrint.dll
2009-09-25 01:38 . 2009-10-28 02:32 847360 ----a-w- c:\windows\system32\OpcServices.dll
2009-09-25 01:36 . 2009-10-28 02:32 280064 ----a-w- c:\windows\system32\XpsGdiConverter.dl­l
2009-09-25 01:35 . 2009-10-28 02:32 135680 ----a-w- c:\windows\system32\XpsRasterService.d­ll
2009-09-25 01:33 . 2009-10-28 02:32 195584 ----a-w- c:\windows\system32\dxdiagn.dll
2009-09-25 01:33 . 2009-10-28 02:32 829440 ----a-w- c:\windows\system32\d3d10warp.dll
2009-09-25 01:33 . 2009-10-28 02:32 369664 ----a-w- c:\windows\system32\WMPhoto.dll
2009-09-25 01:32 . 2009-10-28 02:32 252928 ----a-w- c:\windows\system32\dxdiag.exe
2009-09-25 01:31 . 2009-10-28 02:32 519680 ----a-w- c:\windows\system32\d3d11.dll
2009-09-25 01:31 . 2009-10-28 02:32 486912 ----a-w- c:\windows\system32\d3d10level9.dll
2009-09-25 01:31 . 2009-10-28 02:32 161280 ----a-w- c:\windows\system32\d3d10_1.dll
2009-09-25 01:31 . 2009-10-28 02:32 218112 ----a-w- c:\windows\system32\d3d10_1core.dll
2009-09-25 01:31 . 2009-10-28 02:32 1030144 ----a-w- c:\windows\system32\d3d10.dll
2009-09-25 01:31 . 2009-10-28 02:32 828928 ----a-w- c:\windows\system32\d2d1.dll
2009-09-25 01:30 . 2009-10-28 02:32 481792 ----a-w- c:\windows\system32\dxgi.dll
2009-09-25 01:30 . 2009-10-28 02:32 190464 ----a-w- c:\windows\system32\d3d10core.dll
2009-09-25 01:27 . 2009-10-28 02:32 634880 ----a-w- c:\windows\system32\drivers\dxgkrnl.sy­s
2009-09-25 01:27 . 2009-10-28 02:32 37888 ----a-w- c:\windows\system32\cdd.dll
2009-09-25 01:27 . 2009-10-28 02:32 793088 ----a-w- c:\windows\system32\FntCache.dll
2009-09-25 01:27 . 2009-10-28 02:32 1064448 ----a-w- c:\windows\system32\DWrite.dll
2009-09-24 22:54 . 2009-10-28 02:32 258048 ----a-w- c:\windows\system32\winspool.drv
2009-09-24 22:54 . 2009-10-28 02:32 667648 ----a-w- c:\windows\system32\printfilterpipelin­esvc.exe
2009-09-24 22:54 . 2009-10-28 02:32 26112 ----a-w- c:\windows\system32\printfilterpipeline­prxy.dll
2009-09-22 09:10 . 2009-09-22 09:10 61952 ----a-w- c:\windows\system32\drivers\yk60x86l.sy­s
2009-09-22 09:10 . 2009-09-22 09:10 45056 ----a-w- c:\windows\system32\yk60x86l.dll
2009-09-21 15:09 . 2009-09-21 15:09 79144 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.0.1.8\SetupAdmin.exe
2009-09-18 16:52 . 2009-09-18 16:52 279712 ----a-w- c:\windows\system32\drivers\atksgt.sys­
2009-09-18 16:52 . 2009-09-18 16:52 25888 ----a-w- c:\windows\system32\drivers\lirsgt.sys
2009-09-16 16:37 . 2008-10-25 19:41 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-09-14 09:29 . 2009-10-13 21:21 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2009-09-10 16:48 . 2009-10-13 21:22 218624 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 11:41 . 2009-10-13 21:21 60928 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 00:27 . 2009-09-01 23:46 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.­dll
2009-08-29 00:14 . 2009-09-01 23:46 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2009-08-28 17:42 . 2009-08-28 17:42 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys­
2009-08-28 17:42 . 2009-08-28 17:42 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-08-27 09:10 . 2009-08-27 09:10 61440 ----a-w- c:\windows\system32\yk60x86v.dll
2009-08-27 09:10 . 2009-08-27 09:10 20992 ----a-w- c:\windows\system32\drivers\yk60x86v.sy­s
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"SunJavaUpdateSched"="h:\program files\Java\bin\jusched.exe" [2008-10-26 136600]
"SoundTray"="c:\program files\Analog Devices\SoundMAX\SoundTray.exe" [2007-08-02 53248]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-08-28 1282048]
"AVG8_TRAY"="h:\progra~1\AVG\avgtray.exe" [2009-11-03 2028312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^Users^PEM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Bitcomet Ultra Accelerator.lnk]
path=c:\users\PEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bitcomet Ultra Accelerator.lnk
backup=c:\windows\pss\Bitcomet Ultra Accelerator.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):77,00,69,81,d2,df,c9,01

R0 AvgRkx86;avgrkx86.sys;c:\windows\System32\drivers\avgrkx86.sys [16/01/2009 23:38 12552]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\System32\drivers\avgldx86.sys [16/01/2009 23:38 335240]
R1 AvgTdiX;AVG8 Network Redirector;c:\windows\System32\drivers\avgtdix.sys [16/01/2009 23:38 108552]
R1 RtlProt;Realtke RtlProt WLAN Utility Protocol Driver;c:\windows\System32\drivers\RtlProt.sys [12/11/2009 13:15 15360]
R2 avg8emc;AVG8 E-mail Scanner;h:\progra~1\AVG\avgemc.exe [16/01/2009 23:46 908056]
R2 avg8wd;AVG8 WatchDog;h:\progra~1\AVG\avgwdsvc.exe [16/01/2009 23:46 297752]
R2 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [23/12/2008 16:48 55264]
R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 18:08 533360]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [27/09/2009 16:48 240232]
R2 wlidsvc;Windows Live ID Sign-in Assistant;c:\program files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE [30/03/2009 15:28 1533808]
R2 yksvc;Marvell Yukon Service;c:\windows\System32\svchost.exe -k yksvcs [25/10/2008 16:40 21504]
R3 DsAudioDevice_282;DsAudioDevice_282;c:\windows\System32\drivers\DsAudioDevice_282.sys [12/06/2009 16:41 16640]
R3 RTL8187;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\System32\drivers\rtl8187.sys [12/11/2009 13:15 221696]
R3 RTL8187B;TG123g USB Wireless Adapter;c:\windows\System32\drivers\RTL8187B.sys [18/06/2009 15:28 281088]
S0 OemBiosDevice;Royalty OEM Bios Extension;c:\windows\System32\drivers\royal.sys [25/10/2008 20:50 240128]
S3 camfilt2;camfilt2;c:\windows\System32\drivers\camfilt2.sys [06/11/2008 23:19 98432]
S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [25/10/2008 16:40 21504]
S3 PAC7302;Hercules Classic Link;c:\windows\System32\drivers\PAC7302.SYS [06/11/2008 23:19 457984]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [18/06/2009 15:23 28224]
S3 SkLaggProtocol;Marvell Link Aggregation Protocol;c:\windows\System32\drivers\yk60x86l.sys [22/09/2009 10:10 61952]
S3 SkVlanProtocol;Marvell VLAN Protocol;c:\windows\System32\drivers\yk60x86v.sys [27/08/2009 10:10 20992]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - MBR
*Deregistered* - kwlcrpob
*Deregistered* - mbr
*Deregistered* - PROCEXP113

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
yksvcs REG_MULTI_SZ yksvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
%SystemRoot%\system32\soundschemes.exe /AddRegistration

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B3688A53-AB2A-4b1d-8CEF-8F93D8C51C24}]
%SystemRoot%\system32\soundschemes2.exe /AddRegistration
.
Contenu du dossier 'Tâches planifiées'

2009-11-15 c:\windows\Tasks\RtlVistaStart.job
- c:\program files\ASUS WiFi-AP Solo Install Program\RtWLan.exe [2009-11-12 18:12]

2009-11-15 c:\windows\Tasks\User_Feed_Synchronization-{DA5D596A-2E17-45F2-8562-37185A975B53}.job
- c:\windows\system32\msfeedssync.exe [2009-10-13 03:41]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mWindow Title =
uInternet Settings,ProxyOverride = local
IE: E&xporter vers Microsoft Excel - h:\progra~1\OFFICE~1\Office12\EXCEL.EXE/3000
TCP: {FF6A10E1-4615-4649-9363-7A50A81F34A1} = 192.168.1.1,80.10.246.2
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
FF - ProfilePath - c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - component: c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliris.com\components\cooliris.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\users\PEM\AppData\Roaming\Mozilla\Firefox\Profiles\dzkq2yhp.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
FF - plugin: c:\users\PEM\AppData\Roaming\Mozilla\plugins\npcoolirisplugin.dll
FF - plugin: h:\program files\Adobe\Reader\browser\nppdf32.dll
FF - plugin: h:\program files\ITunes\Mozilla Plugins\npitunes.dll
FF - plugin: h:\program files\Java\bin\new_plugin\npdeploytk.dll
FF - plugin: h:\program files\Java\bin\new_plugin\npjp2.dll
FF - plugin: h:\program files\Mozilla\plugins\np-mswmp.dll
FF - plugin: h:\program files\Veetle\Player\npvlc.dll
FF - plugin: h:\program files\Veetle\plugins\npVeetle.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - h:\program files\AVG\Toolbar\IEToolbar.dll
AddRemove-7-Zip - h:\jeux\Empire\7z\7-Zip\Uninstall.exe
AddRemove-lxuae - c:\users\pem\appdata\local\qcoyk.bat
AddRemove-SoundTap - c:\program files\NCH Swift Sound\SoundTap\uninst.exe
AddRemove-Steam App 7870 - h:\jeux\Left 4 dead\Steam\steam.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-15 21:03
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll atapi.sys >>UNKNOWN [0x864FEF61]<<
kernel: MBR read successfully
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-963264865-3765100229-4133840889-1000\Software\SecuROM\License information*]
"datasecu"=hex:00,97,60,59,e9,cb,6b,7e,2d,d0,57,d4,65,9c,09,95,1c,a8,4f,95,3e,
9b,00,58,86,eb,43,ce,3e,d0,00,5e,69,b9,51,c3,20,7e,86,88,46,9b,66,39,af,8f,\
"rkeysecu"=hex:1b,b5,52,6d,b9,b0,2c,c1,55,51,23,8c,25,8e,a7,8c
.
Heure de fin: 2009-11-15 21:06
ComboFix-quarantined-files.txt 2009-11-15 20:06

Avant-CF: 20 667 633 664 octets libres
Après-CF: 21 008 642 048 octets libres

- - End Of File - - 327FD1C120355DF135D01E2A3BD98C4B

   
Répondre à amorynesles

7

anthony5151, le 15 nov 2009 à 22:27:10

Pourquoi as-tu utilisé Combofix ? Je ne te l'avais pas demandé

Peux-tu m'indiquer le nom et la localisation du fichier détecté par Windows Defender ? Parce que je ne vois rien d'anormal dans tes rapports...

L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis

   
Répondre à anthony5151

8

amorynesles, le 15 nov 2009 à 22:56:50

La localisation: c:\Windows\system32\tdlwsp.dll
Le nom: win32/alureon.gen!U

Et chaque fois après avoir surfer......sauf depuis combofix (je touche du bois); je n'ai plus le problème....
Jusqu'à quand ?

   
Répondre à amorynesles

10

amorynesles, le 15 nov 2009 à 23:11:12

....jusqu'à maintenant !
Le bouclier AVG l'a détecté à nouveau: (c:\Windows\system32\tdlwsp.dll).
Combofix n'a rien changé.

   
Répondre à amorynesles

12

amorynesles, le 16 nov 2009 à 00:42:15

Le problème s'est manifesté à nouveau......j'en peux plus....
Alureon est revenu de plus belle.Que faire ?

   
Répondre à amorynesles

9

anthony5151, le 15 nov 2009 à 23:08:39

C:\Windows\system32\tdlwsp.dll

==> Ce fichier a été supprimé par Combofix (il est indiqué dans la partie "Autres suppressions")


C:\Qoobox\Quarantine\C\Windows\system32\tdlwsp.dll.vir

==> Il est maintenant ici (dans la quarantaine de Combofix).
Envoie moi ce fichier à l'adresse suivante stp : anthony5151@trashmail.net (c'est une adresse jetable)



Continue d'utiliser ton ordinateur normalement et dis moi si tu as de nouvelles alertes de tes logiciels de protection. Dans tous les cas, reviens ici pour me dire ce qu'il en est, je dois encore te donner des conseils pour sécuriser ton ordinateur ;)

L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis

   
Répondre à anthony5151

11

anthony5151, le 15 nov 2009 à 23:29:27

Voir message 9 : envoie moi ce fichier stp

L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis

   
Répondre à anthony5151

13

amorynesles, le 16 nov 2009 à 01:01:13

Impossible.J'ai effacé ce fichier de suite après le scan de combofix.
Le problème est survenu à nouveau quelques heures plus tard...
Et le comble, c'est que je ne peux plus re-scanner avec combo-fix dorénavant...4 crashs d'affilée (écran bleu).
J'ai viré AVG pour installer la suite complète d'AVAST.
J'aurai AVG 2010 demain.

   
Répondre à amorynesles

14

anthony5151, le 16 nov 2009 à 01:33:22

Mais le fichier est encore dans la quarantaine de Combofix normalement, envoie le moi stp...
Sinon, puisqu'il réapparait tout le temps, ignore l'alerte de l'antivirus la prochaine fois pour pouvoir m'envoyer le fichier

AVG 2010 ça n'existe pas, la dernière version d'AVG est AVG 9 (et Avast est une passoire)

L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis

   
Répondre à anthony5151

15

amorynesles, le 16 nov 2009 à 02:50:48

Comme je te l'ai dit, j'ai supprimé combofix, et tous les fichiers qui vont avec.
Cela dit, je l'ai de nouveau en quarantaine dans AVAST.
J'essaie de me débrouiller pour l'en extraire.

   
Répondre à amorynesles

16

 amorynesles, le 16 nov 2009 à 03:54:20

Derniere chose, j'ai désinstallé avast pour avira, et mon malware n'est plus win32/alureon.gen!U, mais TR/Vundo.Gen
Le fichier tdlwsp.dll demeure le "coupable".
Je rame.

   
Répondre à amorynesles
Posez votre question Répondre
Ils ont besoin de votre aide
Collection CommentÇaMarche.net