Rootkit.Agent? c'est quoi [Résolu]

Bonsoir

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

@+

1er rapport

Logfile of random's system information tool 1.06 (written by random/random)
Run by Olivier at 2010-01-10 02:51:01
Microsoft® Windows Vista™ Édition Intégrale Service Pack 2
System drive C: has 42 GB (27%) free of 154 GB
Total RAM: 3326 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:51:36, on 10/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Users\Olivier\Desktop\RSIT.exe
C:\Program Files\trend micro\Olivier.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [CurseClient] C:\Program Files\Curse\CurseClient.exe -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O15 - Trusted Zone: *.chat-land.org
O17 - HKLM\System\CCS\Services\Tcpip\..\{6AD45200-7902-4351-B6B1-E589A1C1D812}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

2nd rapport


info.txt logfile of random's system information tool 1.06 2010-01-10 02:51:37

======Uninstall list======

-->C:\Program Files\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->MsiExec /X{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}
3DMark Vantage-->C:\Program Files\InstallShield Installation Information\{C40C3C3D-97CF-44B5-836C-766E374464B3}\setup.exe -runfromtemp -l0x0009 -removeonly
Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe BridgeTalk Plugin CS3-->MsiExec.exe /I{B73CFB12-C814-4638-AFFD-7E3AAFAF0B4E}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings-->C:\Program Files\Common Files\Adobe\Installers\6c8e2cb4fd241c55406016127a6ab2e\Setup.exe
Adobe Color Common Settings-->MsiExec.exe /I{6D4AC5A4-4CF9-4F90-8111-B9B53CE257BF}
Adobe Color EU Recommended Settings-->MsiExec.exe /I{73B5D990-04EA-4751-B10F-5534770B91F2}
Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
Adobe Color NA Extra Settings-->MsiExec.exe /I{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}
Adobe Creative Suite 3 Design Premium-->MsiExec.exe /I{B1EF7B00-8FCC-4209-BFB6-37C50B354B2A}
Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe Dreamweaver CS3-->MsiExec.exe /I{4BDB76C6-902E-41D5-9064-68768E02886B}
Adobe ExtendScript Toolkit 2-->C:\Program Files\Common Files\Adobe\Installers\3e054d2218e7aa282c2369d939e58ff\Setup.exe
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{24D7346D-D4B4-45E8-98EA-75EC14B42DD8}
Adobe Extension Manager CS3-->MsiExec.exe /I{BE5F3842-8309-4754-92D5-83E02E6077A3}
Adobe Flash CS3-->MsiExec.exe /I{80FD3971-8482-49C8-BA8C-B6464A15882F}
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player 9 ActiveX-->MsiExec.exe /X{BC4F8E84-5E29-49EC-B4E7-E6F9CB50986C}
Adobe Flash Video Encoder-->MsiExec.exe /I{1B0BCA28-1F11-4D60-8A2F-DEBE04B5341E}
Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe Illustrator CS3-->MsiExec.exe /I{6E08CE13-C2AB-4749-9335-5900B958929E}
Adobe InDesign CS3 Icon Handler-->MsiExec.exe /I{EA7B3CC4-366D-4CF6-8350-FD7A7034116E}
Adobe InDesign CS3-->MsiExec.exe /I{FE8327F9-3AC1-4586-8C7E-3DEE2BC92441}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe MotionPicture Color Files-->MsiExec.exe /I{6B708481-748A-4EB4-97C1-CD386244FF77}
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS3-->MsiExec.exe /I{C1FA4B3B-1625-4922-9C9D-780E8FCE161A}
Adobe Reader 9.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A92000000001}
Adobe Setup-->MsiExec.exe /I{64C1FA9A-FA94-4B6E-B3E4-8573738E4AD1}
Adobe Setup-->MsiExec.exe /I{9D3F3D5A-BE6D-48C4-B51E-E2D6753ABCDE}
Adobe Setup-->MsiExec.exe /I{B3C02EC1-A7B0-4987-9A43-8789426AAA7D}
Adobe SING CS3-->MsiExec.exe /I{B671CBFD-4109-4D35-9252-3062D3CCB7B2}
Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe Version Cue CS3 Server {ko_KR} -->MsiExec.exe /I{1D58229F-C505-45CA-8223-F35F3A34B963}
Adobe WAS CS3-->MsiExec.exe /I{C5BD220A-EFE8-48A5-B70E-9503D535FACE}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP Panels CS3-->MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}
AHV content for Acrobat and Flash-->MsiExec.exe /I{6BBAA81D-6A7E-43AD-8889-2F002DCAAFDD}
Ajouter ou supprimer Adobe Creative Suite 3 Design Premium-->C:\Program Files\Common Files\Adobe\Installers\e79070e1ef25043cbd93191267ecaf0\Setup.exe
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Complément Office 2007 - Microsoft Enregistrer en tant que PDF ou XPS (Beta)-->MsiExec.exe /X{30120000-00B2-040C-0000-0000000FF1CE}
Curse Client-->C:\Program Files\Curse\uninstall.exe
CyberLink PowerDVD 8-->"C:\Program Files\InstallShield Installation Information\{2BF2E31F-B8BB-40A7-B650-98D28E0F7D47}\setup.exe" /z-uninstall
eMule-->"E:\eMule\Uninstall.exe"
EVEREST Ultimate Edition v4.60-->"C:\Program Files\Lavalys\EVEREST Ultimate Edition\unins000.exe"
Express Gate-->MsiExec.exe /I{685C7EBA-82F4-44F8-9514-911A69850DA3}
Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly
ffdshow [rev 2144] [2008-09-24]-->"C:\Program Files\ffdshow\unins000.exe"
Futuremark SystemInfo-->C:\Program Files\InstallShield Installation Information\{BEE64C14-BEF1-4610-8A68-A16EAA47B882}\setup.exe -runfromtemp -l0x0009 -removeonly
Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0015-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0019-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0044-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {B165D3C2-40AE-4D39-86F7-E5C87C4264C0}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {14809F99-C601-4D4A-9391-F1E8FAA964C5}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {187308AB-5FA7-4F14-9AB9-D290383A10D9}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Photo Pro Suite 10-->"C:\Program Files\Common Files\Microsoft Shared\Picture It!\RmvSuite.exe" ADDREMOVE=1 SKU=SUITE
Microsoft Silverlight-->MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mise à jour Microsoft Office Excel 2007 Help (KB963678)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {B761869A-B85C-40E2-994C-A1CE78AC8F2C}
Mise à jour Microsoft Office Outlook 2007 Help (KB963677)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {51EFB347-1F3D-4BAC-8B79-F056B904FE21}
Mise à jour Microsoft Office Powerpoint 2007 Help (KB963669)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {C3DCA38E-005E-41BA-A52A-7C3429F351C3}
Mise à jour Microsoft Office Word 2007 Help (KB963665)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {81536A04-DBFB-4DB3-978F-0F284590C223}
Modèles de sons Windows-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\UltSound.inf,Uninstall
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Mumble and Murmur-->C:\Program Files\Mumble\Uninstall.exe
MyDSC2-->C:\Program Files\InstallShield Installation Information\{83D96ED0-98AA-4515-8DDC-816F3EFDD104}\setup.exe -runfromtemp -l0x040c -removeonly
Nero 8-->MsiExec.exe /X{D6C9AF27-9414-46C8-B9D8-D878BA041036}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Display Control Panel-->C:\Program Files\NVIDIA Corporation\Uninstall\nvuninst.exe DisplayControlPanel
NVIDIA Drivers-->C:\Program Files\NVIDIA Corporation\Uninstall\nvuninst.exe UninstallGUI
NVIDIA PhysX-->MsiExec.exe /X{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}
NVIDIA Stereoscopic 3D Driver-->"C:\Program Files\NVIDIA Corporation\3D Vision\nvStInst.exe" /uninstall /ask
OEM Logo and Information-->C:\Windows\System32\oobe\oem_uninst.exe
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
PowerISO-->"C:\Program Files\PowerISO\uninstall.exe"
PunkBuster Services-->C:\Windows\system32\pbsvc.exe -u
Quicksys RegDefrag 2.0-->"C:\Program Files\Quicksys\RegDefrag\unins000.exe"
Realtek 8169 8168 8101E 8102E Ethernet Driver-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\Setup.exe -runfromtemp -l0x040c -removeonly
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB973704)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {E626DC89-A787-4553-9BB3-DC2EC7E1593F}
Security Update for Microsoft Office Excel 2007 (KB973593)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7D6255E3-3423-4D8B-A328-F6F8D28DD5FE}
Security Update for Microsoft Office Outlook 2007 (KB972363)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {120BE9A0-9B09-4855-9E0C-7DEE45CB03C0}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office Publisher 2007 (KB969693)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7BE67088-1EB3-4569-8E75-DDAFBF61BC4E}
Security Update for Microsoft Office system 2007 (972581)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office system 2007 (KB974234)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
TeraCopy 2.0 beta 3-->"C:\Program Files\TeraCopy\unins000.exe"
Ultimate Extras sounds from Microsoft® Tinker™-->RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\UltSound2.inf,Uninstall
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update for Microsoft Office InfoPath 2007 (KB976416)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {432C5EE4-8096-4FF1-95E1-65219365DFF7}
Update for Microsoft Office Word 2007 (KB974561)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {0CDDBAA2-2111-4A0E-A1B0-76C40C635331}
Update for Outlook 2007 Junk Email Filter (kb976884)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {FB60F280-C70F-4174-BADB-471412AA42F0}
VIA Gestionnaire de périphériques de plate-forme-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
VLC media player 0.9.2-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Warcraft III-->C:\Windows\War3Unin.exe C:\Windows\War3Unin.dat
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}
Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Live Movie Maker-->MsiExec.exe /X{53B20C18-D8D4-4588-8737-9BBFE303C354}
Windows Live Writer-->MsiExec.exe /X{4634B21A-CC07-4396-890C-2B8168661FEA}
World of Warcraft-->C:\Program Files\Common Files\Blizzard Entertainment\World of Warcraft\Uninstall.exe
Wow Cartographe 1.09-->C:\Program Files\WowCartographe\uninst.exe

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======Security center information======

AV: avast! antivirus 4.8.1229 [VPS 081122-0]
AS: Spybot - Search and Destroy (disabled) (outdated)
AS: Windows Defender
AS: avast! antivirus 4.8.1229 [VPS 081122-0]

======System event log======

Computer Name: PC-de-Olivier
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948609(Update) à l’état Installation demandée(Install Requested)
Record Number: 81482
Source Name: Microsoft-Windows-Servicing
Time Written: 20090816084257.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Olivier
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948609(Update) à l’état Installation demandée(Install Requested)
Record Number: 81382
Source Name: Microsoft-Windows-Servicing
Time Written: 20090816084257.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Olivier
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948609(Update) à l’état Installation demandée(Install Requested)
Record Number: 81377
Source Name: Microsoft-Windows-Servicing
Time Written: 20090816084257.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Olivier
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948609(Update) à l’état Installation demandée(Install Requested)
Record Number: 81374
Source Name: Microsoft-Windows-Servicing
Time Written: 20090816084257.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Olivier
Event Code: 4376
Message: Servicing a requis un redémarrage pour terminer la définition du package KB948609(Update) à l’état Installation demandée(Install Requested)
Record Number: 81370
Source Name: Microsoft-Windows-Servicing
Time Written: 20090816084257.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Application event log=====

Computer Name: PC-de-Olivier
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 83
Source Name: Microsoft-Windows-WMI
Time Written: 20080927143554.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Olivier
Event Code: 63
Message: Le fournisseur WmiPerfClass a été inscrit dans l’espace de noms Windows Management Instrumentation root\cimv2, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 82
Source Name: Microsoft-Windows-WMI
Time Written: 20080927143554.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Olivier
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

DÉTAIL -
1 user registry handles leaked from \Registry\User\S-1-5-21-3175088090-2153518696-1447629641-1000:
Process 544 (\Device\HarddiskVolume1\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-3175088090-2153518696-1447629641-1000

Record Number: 60
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20080927142208.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-Olivier
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue.

Record Number: 25
Source Name: Microsoft-Windows-Search
Time Written: 20080927141830.000000-000
Event Type: Avertissement
User:

Computer Name: 26L2233A1-06
Event Code: 1036
Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
Record Number: 15
Source Name: Microsoft-Windows-SpoolerSpoolss
Time Written: 20080927141600.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Security event log=====

Computer Name: PC-de-Olivier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-OLIVIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x280
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 23324
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090602161940.865097-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Olivier
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-OLIVIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x280
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 23323
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090602161940.865097-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Olivier
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7

Privilèges : SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 23322
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090602161940.833897-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Olivier
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-OLIVIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Type d’ouverture de session : 5

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x280
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Nom de la station de travail :
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : Advapi
Package d’authentification : Negotiate
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 23321
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090602161940.833897-000
Event Type: Succès de l'audit
User:

Computer Name: PC-de-Olivier
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : PC-DE-OLIVIER$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
Nom du compte : SYSTEM
Domaine du compte : AUTORITE NT
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Serveur cible :
Nom du serveur cible : localhost
Informations supplémentaires : localhost

Informations sur le processus :
ID du processus : 0x280
Nom du processus : C:\Windows\System32\services.exe

Informations sur le réseau :
Adresse du réseau : -
Port : -

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 23320
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090602161940.833897-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=16
"PROCESSOR_IDENTIFIER"=x86 Family 16 Model 2 Stepping 3, AuthenticAMD
"PROCESSOR_REVISION"=0203
"NUMBER_OF_PROCESSORS"=4

-----------------EOF-----------------

Salut
Après plusieurs tentatives avec le premiers logiciel Ad-R, j'ai lancé 2 fois le nettoyage et 2 fois il me demande de redémarrer l'ordi et après 30 mn et 60 mn les deux tentatives n'ont rien donné.
Aucune fenetre ne s'ouvre après redémarrage comme vu sur un tuto.....au passage les liens donnés ds le post ne fonctionne pas
J'ai tt de meme réussi a faire un scan qui lui a fonctionné.
Je post donc les 2 rappports


.
======= RAPPORT D'AD-REMOVER 1.1.4.5_Y | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 11.10.2009 à 13:06
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 14:21:37, 10/01/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ Ultimate Service Pack 2 v6.0.6002
Nom du PC: PC-DE-OLIVIER | Utilisateur actuel: Olivier
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.

.
C:\Program Files\Everest Poker
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.7 [fr] *
.
Nom du profil: 1dmpp589.default (Olivier)
.
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://www.aliceadsl.fr/");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.7");
.
.
* Internet Explorer Version 7.0.6002.18005 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://www.google.com
Default_Search_URL: hxxp://www.google.com
Search Bar: hxxp://www.google.com
Search Page: hxxp://www.google.com
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials ... ) ==============
.
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-2.4.2.8278-to-2.4.3.8606-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.2.9056-to-3.0.3.9183-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.3.9183-to-3.0.8.9464-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.8.9464-to-3.0.8.9506-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.0.8.9506-to-3.0.9.9551-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.1.0.9767-to-3.1.1.9806-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.1.1.9806-to-3.1.1.9835-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.1.1.9835-to-3.1.2.9901-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.1.2.9901-to-3.1.3.9947-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-frFR-patch.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\Patches\WoW-3.0.9-to-3.1.0-frFR-Win-patch\Blizzard Updater.exe
C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\Patches\WoW-3.1.3-to-3.2.0-frFR-Win-patch\Blizzard Updater.exe
C:\Users\Public\Games\World of Warcraft\WoW-1.12.0-frFR-patch.exe
C:\Users\Public\Games\World of Warcraft\WoW-2.4.2-frFR-patch.exe
C:\Users\Public\Games\World of Warcraft\WoW-3.3.0.10958-to-3.3.0.11159-frFR-patch.exe
C:\Users\Public\Games\World of Warcraft\Updates\wow-3.2.2-to-3.3.0-frFR-Win-patch\Blizzard Updater.exe
.
===================================
.
3576 Octet(s) - C:\Ad-Report-SCAN[1].log
.
7 Fichier(s) - C:\Users\Olivier\AppData\Local\Temp
4 Fichier(s) - C:\Windows\Temp
.
0 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 14:33:48 | 10/01/2010 - SCAN[1]
.
============== E.O.F ==============
.




2nd rapport




############################## | UsbFix V6.073 |

User : Olivier (Administrateurs) # PC-DE-OLIVIER
Update on 09/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:40:41 | 10/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Phenom(tm) 9550 Quad-Core Processor
Microsoft® Windows Vista™ Édition Intégrale (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1229 [VPS 081122-0] 4.8.1229 [ Enabled | Updated ]

C:\ -> Disque fixe local # 150 Go (40,39 Go free) [SYSTEME] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 315,76 Go (307,03 Go free) [DATA] # NTFS
F:\ -> Disque amovible # 3,74 Go (1,02 Go free) [CORSAIR] # FAT32
G:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe 472
C:\Windows\system32\csrss.exe 540
C:\Windows\system32\wininit.exe 600
C:\Windows\system32\csrss.exe 612
C:\Windows\system32\services.exe 648
C:\Windows\system32\lsass.exe 660
C:\Windows\system32\lsm.exe 676
C:\Windows\system32\winlogon.exe 776
C:\Windows\system32\svchost.exe 860
C:\Windows\system32\nvvsvc.exe 916
C:\Windows\system32\svchost.exe 944
C:\Windows\System32\svchost.exe 1008
C:\Windows\System32\svchost.exe 1072
C:\Windows\System32\svchost.exe 1120
C:\Windows\system32\svchost.exe 1140
C:\Windows\system32\AUDIODG.EXE 1268
C:\Windows\system32\SLsvc.exe 1304
C:\Windows\system32\svchost.exe 1364
C:\Windows\system32\svchost.exe 1508
C:\Windows\system32\nvvsvc.exe 1564
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1624
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1644
C:\Windows\system32\Dwm.exe 1864
C:\Windows\Explorer.EXE 1900
C:\Windows\System32\spoolsv.exe 868
C:\Windows\system32\taskeng.exe 1016
C:\Windows\system32\svchost.exe 1136
C:\Program Files\Bonjour\mDNSResponder.exe 2172
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe 2212
C:\Windows\system32\IoctlSvc.exe 2356
C:\Windows\system32\PnkBstrA.exe 2376
C:\Windows\system32\PnkBstrB.exe 2416
C:\Windows\system32\svchost.exe 2440
C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe 2456
C:\Windows\system32\svchost.exe 2492
C:\Program Files\Windows Defender\MSASCui.exe 2520
C:\Program Files\Alwil Software\Avast4\ashDisp.exe 2536
C:\Windows\System32\svchost.exe 2628
C:\Windows\system32\SearchIndexer.exe 2688
C:\Program Files\Windows Sidebar\sidebar.exe 2724
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 2768
C:\Windows\ehome\ehtray.exe 2824
C:\Windows\ehome\ehmsas.exe 2896
C:\Program Files\Curse\CurseClient.exe 2932
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 2996
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 3152
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 3208
C:\Program Files\Windows Sidebar\sidebar.exe 3576
C:\Windows\system32\wbem\unsecapp.exe 1892
C:\Windows\system32\wbem\wmiprvse.exe 1208
C:\Windows\system32\conime.exe 2716
C:\Program Files\Mozilla Firefox\firefox.exe 3296
C:\Windows\system32\notepad.exe 2312
C:\Windows\system32\WUDFHost.exe 1092
C:\Windows\system32\wbem\wmiprvse.exe 3128

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\G
shell\AutoRun\command =G:\Autoplay.exe -auto

################## | Cracks > Keygens > Serials |


################## | ! Fin du rapport # UsbFix V6.073 ! |

re et dsl mais toujours coincé a cette étape :

1)• Relance Ad-remover,
• Au menu principal choisis l'option "L" et tape sur [entrée] .

• Laisse travailler l'outil et ne touche à rien ...


.......;donc je tape "L", je valide et là, il m'est demandé de redemarrer l'ordi....je redemarre et là il ne se passe plus rien, je ne touche a rien (pendant plus d'une heure!) mais rien ne se passe
il devrait au moins s'ouvrir une fenetre (comme ds le tuto) mais rien de chez rien

encore mille excuse mais je ne comprends plus trop

re

oui
bouton droit.....executer en tant qu'admin.....redemarrage ordi et il ne se passe tjrs rien

re

1er rapport



############################## | UsbFix V6.073 |

User : Olivier (Administrateurs) # PC-DE-OLIVIER
Update on 09/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 18:20:40 | 10/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Phenom(tm) 9550 Quad-Core Processor
Microsoft® Windows Vista™ Édition Intégrale (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1229 [VPS 081122-0] 4.8.1229 [ Enabled | Updated ]

C:\ -> Disque fixe local # 150 Go (42,76 Go free) [SYSTEME] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 315,76 Go (307,03 Go free) [DATA] # NTFS
G:\ -> Disque amovible # 3,74 Go (1,02 Go free) [CORSAIR] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe 472
C:\Windows\system32\csrss.exe 540
C:\Windows\system32\wininit.exe 600
C:\Windows\system32\csrss.exe 612
C:\Windows\system32\services.exe 648
C:\Windows\system32\lsass.exe 660
C:\Windows\system32\lsm.exe 672
C:\Windows\system32\winlogon.exe 772
C:\Windows\system32\svchost.exe 868
C:\Windows\system32\nvvsvc.exe 924
C:\Windows\system32\svchost.exe 952
C:\Windows\System32\svchost.exe 1012
C:\Windows\system32\LogonUI.exe 1036
C:\Windows\System32\svchost.exe 1092
C:\Windows\System32\svchost.exe 1140
C:\Windows\system32\svchost.exe 1160
C:\Windows\system32\AUDIODG.EXE 1280
C:\Windows\system32\SLsvc.exe 1316
C:\Windows\system32\svchost.exe 1404
C:\Windows\system32\nvvsvc.exe 1436
C:\Windows\system32\svchost.exe 1544
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1652
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1700
C:\Windows\system32\Dwm.exe 1852
C:\Windows\Explorer.EXE 1888
C:\Windows\system32\runonce.exe 1968
C:\Windows\System32\spoolsv.exe 1492
C:\Windows\system32\taskeng.exe 2032
C:\Windows\system32\svchost.exe 852
C:\Windows\system32\taskeng.exe 2428
C:\Program Files\Bonjour\mDNSResponder.exe 2552
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe 2584
C:\Windows\system32\IoctlSvc.exe 2732
C:\Windows\system32\PnkBstrA.exe 2744
C:\Windows\system32\PnkBstrB.exe 2756
C:\Windows\system32\svchost.exe 2780
C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe 2820
C:\Windows\system32\svchost.exe 2852
C:\Windows\System32\svchost.exe 2880
C:\Windows\system32\SearchIndexer.exe 2924
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 3076
C:\Windows\system32\WUDFHost.exe 3112
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 3248
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 3288
C:\Windows\system32\wbem\wmiprvse.exe 3524

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-3175088090-2153518696-1447629641-1000
Supprimé ! C:\$Recycle.Bin\S-1-5-21-51003140-4199384537-3980697693-500
Supprimé ! E:\$Recycle.Bin\S-1-5-21-3175088090-2153518696-1447629641-1000

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[10/01/2010 14:33|--a------|3904] C:\Ad-Report-SCAN[1].log
[18/09/2006 22:43|--a------|24] C:\autoexec.bat
[11/04/2009 07:36|-rahs----|333257] C:\bootmgr
[27/09/2008 16:11|-ra-s----|8192] C:\BOOTSECT.BAK
[18/09/2006 22:43|--a------|10] C:\config.sys
[17/04/2008 01:36|-rahs----|171136] C:\grldr
[07/07/2009 15:32|-rahs----|0] C:\IO.SYS
[07/07/2009 15:32|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[27/09/2008 16:36|--ah-----|46] C:\splash.idx
[10/01/2010 18:22|--a------|3648] C:\UsbFix.txt
[05/06/2008 13:59|--ah-----|5312] C:\version
[23/06/2009 11:48|--a------|360165376] G:\Hellsing.(Ultimate.OVA).01.FR.DVDRip-batosai45._K-p2p-T_LiBre.[tvu.org.ru].avi
[24/06/2009 14:22|--a------|942964736] G:\Hellsing.(Ultimate.OVA).02.FR.DVDRip-batosai45._K-p2p-T_LiBre.[tvu.org.ru].avi
[25/08/2009 12:17|--a------|942946304] G:\Hellsing.(Ultimate.OVA).03.FR.DVDRip-batosai45._K-p2p-T_LiBre.[tvu.org.ru].avi
[18/11/2009 15:06|--a------|681379840] G:\Hellsing.(Ultimate.OVA).04.FR.DVDRip-squalos.[tvu.org.ru].avi

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# E:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.

################## | Crack > Keygen > Serial |


################## | ! Fin du rapport # UsbFix V6.073 ! |




2nd rapport avec meme pb

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3527
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

10/01/2010 19:26:58
mbam-log-2010-01-10 (19-26-58).txt

Type de recherche: Examen complet (C:\|D:\|E:\|G:\|)
Eléments examinés: 292114
Temps écoulé: 38 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\drivers\neuzrby.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Salut


Donc avast correctement et totalement desinstallé
Antivir correctement configuré
Je transmets le rapport pour le premier scan mais toujours le meme probleme avec le meme fichier qu'il ne peut réparer ou detruire....




Avira AntiVir Personal
Date de création du fichier de rapport : lundi 11 janvier 2010 12:35

La recherche porte sur 1517813 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : Olivier
Nom de l'ordinateur : PC-DE-OLIVIER

Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 11:24:11
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 11:24:11
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 11:24:11
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 11:24:11
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 11:24:11
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 11:24:11
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 11:24:12
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 11:24:12
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 11:24:12
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 11:24:12
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 11:24:12
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 11:24:12
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 11:24:12
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 11:24:13
VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 11:24:13
VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 11:24:13
VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 11:24:14
VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 11:24:14
VBASE019.VDF : 7.10.2.63 187392 Bytes 24/12/2009 11:24:15
VBASE020.VDF : 7.10.2.93 195072 Bytes 29/12/2009 11:24:15
VBASE021.VDF : 7.10.2.131 201216 Bytes 07/01/2010 11:24:15
VBASE022.VDF : 7.10.2.132 2048 Bytes 07/01/2010 11:24:15
VBASE023.VDF : 7.10.2.133 2048 Bytes 07/01/2010 11:24:15
VBASE024.VDF : 7.10.2.134 2048 Bytes 07/01/2010 11:24:16
VBASE025.VDF : 7.10.2.135 2048 Bytes 07/01/2010 11:24:16
VBASE026.VDF : 7.10.2.136 2048 Bytes 07/01/2010 11:24:16
VBASE027.VDF : 7.10.2.137 2048 Bytes 07/01/2010 11:24:16
VBASE028.VDF : 7.10.2.138 2048 Bytes 07/01/2010 11:24:16
VBASE029.VDF : 7.10.2.139 2048 Bytes 07/01/2010 11:24:16
VBASE030.VDF : 7.10.2.140 2048 Bytes 07/01/2010 11:24:16
VBASE031.VDF : 7.10.2.156 222720 Bytes 11/01/2010 11:25:37
Version du moteur : 8.2.1.134
AEVDF.DLL : 8.1.1.2 106867 Bytes 08/11/2009 06:38:52
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 11/01/2010 11:24:21
AESCN.DLL : 8.1.3.0 127348 Bytes 11/01/2010 11:24:20
AESBX.DLL : 8.1.1.1 246132 Bytes 08/11/2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 11/01/2010 11:24:20
AEPACK.DLL : 8.2.0.4 422263 Bytes 11/01/2010 11:24:20
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08/11/2009 06:38:38
AEHEUR.DLL : 8.1.0.194 2228599 Bytes 11/01/2010 11:24:19
AEHELP.DLL : 8.1.9.0 237943 Bytes 11/01/2010 11:24:18
AEGEN.DLL : 8.1.1.83 369014 Bytes 11/01/2010 11:24:17
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 11/01/2010 11:24:17
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Sélection manuelle
Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\folder.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:, F:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: marche
Recherche optimisée...........................: marche
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: élevé

Début de la recherche : lundi 11 janvier 2010 12:35

Début du contrôle des fichiers système :
Signé -> 'C:\Windows\system32\svchost.exe'
Signé -> 'C:\Windows\system32\winlogon.exe'
Signé -> 'C:\Windows\explorer.exe'
Signé -> 'C:\Windows\system32\smss.exe'
Signé -> 'C:\Windows\system32\wininet.DLL'
Signé -> 'C:\Windows\system32\wsock32.DLL'
Signé -> 'C:\Windows\system32\ws2_32.DLL'
Signé -> 'C:\Windows\system32\services.exe'
Signé -> 'C:\Windows\system32\lsass.exe'
Signé -> 'C:\Windows\system32\csrss.exe'
Signé -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signé -> 'C:\Windows\system32\spoolsv.exe'
Signé -> 'C:\Windows\system32\alg.exe'
Signé -> 'C:\Windows\system32\wuauclt.exe'
Signé -> 'C:\Windows\system32\advapi32.DLL'
Signé -> 'C:\Windows\system32\user32.DLL'
Signé -> 'C:\Windows\system32\gdi32.DLL'
Signé -> 'C:\Windows\system32\kernel32.DLL'
Signé -> 'C:\Windows\system32\ntdll.DLL'
Signé -> 'C:\Windows\system32\ntoskrnl.exe'
Signé -> 'C:\Windows\system32\ctfmon.exe'
Les fichiers système ont été contrôlés ('21' fichiers)

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\q5epip3
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\rq7oius6
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\m3nom3p1
[INFO] L'entrée d'enregistrement n'est pas visible.
'103138' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SDWinSec.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvSCPAPISvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrB.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IoctlSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CurseClient.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'53' processus ont été contrôlés avec '53' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '42' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <SYSTEME>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Program Files\Ubisoft\Far Cry 2\bin\FC2.dll
[RESULTAT] Contient le code suspect : HEUR/Malware
C:\UsbFix\Quarantine\C\$Recycle.Bin\S-1-5-21-3175088090-2153518696-1447629641-1000.UsbFix\$RKJQ8LG.exe
[0] Type d'archive: NSIS
--> ProgramFilesDir/List.dat
[RESULTAT] Contient le modèle de détection du virus de script HTML HTML/Malicious.ActiveX.Gen
C:\Users\Olivier\AppData\Local\Temp\~TMF75D.tmp
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
C:\Windows\System32\drivers\neuzrby.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\'
Impossible d'ouvrir le chemin à contrôler D:\ !
Erreur système [21]: Le périphérique n'est pas prêt.
Recherche débutant dans 'E:\' <DATA>
Recherche débutant dans 'F:\'
Impossible d'ouvrir le chemin à contrôler F:\ !
Erreur système [21]: Le périphérique n'est pas prêt.

Début de la désinfection :
C:\Program Files\Ubisoft\Far Cry 2\bin\FC2.dll
[RESULTAT] Contient le code suspect : HEUR/Malware
[REMARQUE] Le résultat positif a été classé comme suspect.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b7d1791.qua' !
C:\UsbFix\Quarantine\C\$Recycle.Bin\S-1-5-21-3175088090-2153518696-1447629641-1000.UsbFix\$RKJQ8LG.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b9617a1.qua' !
C:\Users\Olivier\AppData\Local\Temp\~TMF75D.tmp
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b9817a3.qua' !
C:\Windows\System32\drivers\neuzrby.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.



Fin de la recherche : lundi 11 janvier 2010 13:19
Temps nécessaire: 44:02 Minute(s)

La recherche a été effectuée intégralement

26860 Les répertoires ont été contrôlés
488971 Des fichiers ont été contrôlés
3 Des virus ou programmes indésirables ont été trouvés
1 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
3 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
488965 Fichiers non infectés
3031 Les archives ont été contrôlées
2 Avertissements
5 Consignes
103138 Des objets ont été contrôlés lors du Rootkitscan
7 Des objets cachés ont été trouvés

Merci pour ta patience et tes conseils
++

coucou bonsoir

j'ai réussi ttes les étapes (pas peu fièr^^) mais l'ordi n'a pas eu a redémarrer...normal ou pas?

le rapport

ComboFix 10-01-11.01 - Olivier 11/01/2010 20:54:29.1.4 - x86
Microsoft® Windows Vista™ Édition Intégrale 6.0.6002.2.1252.33.1036.18.3326.2417 [GMT 1:00]
Lancé depuis: c:\users\Olivier\Desktop\asdehi.exe
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Olivier\AppData\Roaming\.#
c:\windows\system32\twain_32.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-11 au 2010-01-11 ))))))))))))))))))))))))))))))))))))
.

2010-01-11 19:59 . 2010-01-11 19:59 -------- d-----w- c:\users\Olivier\AppData\Local\temp
2010-01-11 19:59 . 2010-01-11 19:59 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-01-11 11:18 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-11 11:18 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-11 11:18 . 2010-01-11 11:18 -------- d-----w- c:\programdata\Avira
2010-01-11 11:18 . 2010-01-11 11:18 -------- d-----w- c:\program files\Avira
2010-01-10 13:39 . 2010-01-10 17:39 -------- d-----w- C:\UsbFix
2010-01-10 13:03 . 2010-01-10 16:12 -------- d-----w- c:\program files\Ad-Remover
2010-01-10 01:51 . 2010-01-10 01:51 -------- d-----w- c:\program files\trend micro
2010-01-10 01:51 . 2010-01-10 01:51 -------- d-----w- C:\rsit
2010-01-09 17:27 . 2010-01-09 17:27 -------- d-----w- c:\users\Olivier\AppData\Roaming\Malwarebytes
2010-01-09 17:27 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-09 17:27 . 2010-01-09 17:27 -------- d-----w- c:\programdata\Malwarebytes
2010-01-09 17:27 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-09 17:27 . 2010-01-09 17:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-29 21:18 . 2009-12-29 21:18 -------- d-----w- c:\users\Olivier\Nouveau dossier
2009-12-20 20:02 . 2009-11-21 02:34 76392 ----a-w- c:\windows\system32\OpenCL.dll
2009-12-20 20:02 . 2009-11-21 02:34 4241000 ----a-w- c:\windows\system32\nvwgf2um.dll
2009-12-20 20:02 . 2009-11-21 02:34 11515752 ----a-w- c:\windows\system32\drivers\nvlddmkm.sys
2009-12-20 20:02 . 2009-11-21 02:34 4001384 ----a-w- c:\windows\system32\nvcuda.dll
2009-12-20 20:02 . 2009-11-21 02:34 2243176 ----a-w- c:\windows\system32\nvcuvid.dll
2009-12-20 20:02 . 2009-11-21 02:34 1989224 ----a-w- c:\windows\system32\nvcuvenc.dll
2009-12-20 20:02 . 2009-11-21 02:34 14064232 ----a-w- c:\windows\system32\nvoglv32.dll
2009-12-20 20:02 . 2009-11-21 02:34 182888 ----a-w- c:\windows\system32\nvcod178.dll
2009-12-20 20:02 . 2009-11-21 02:34 182888 ----a-w- c:\windows\system32\nvcod.dll
2009-12-20 20:02 . 2009-11-21 02:34 11381352 ----a-w- c:\windows\system32\nvcompiler.dll
2009-12-17 13:36 . 2009-12-17 13:36 -------- d-----w- c:\users\Olivier\AppData\Local\Yahoo!

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-11 19:49 . 2008-09-27 16:13 -------- d-----w- c:\users\Olivier\AppData\Roaming\TeraCopy
2010-01-11 15:45 . 2006-11-02 16:03 716060 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-11 15:45 . 2006-11-02 16:03 144214 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-11 15:39 . 2009-12-21 10:38 35085 ----a-w- c:\programdata\nvModes.dat
2010-01-11 15:39 . 2008-09-27 15:53 -------- d-----w- c:\programdata\NVIDIA
2010-01-11 15:39 . 2009-04-29 16:36 -------- d-----w- c:\program files\Curse
2010-01-09 17:23 . 2008-09-27 18:15 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-01-09 16:54 . 2009-08-07 18:03 -------- d-----w- c:\users\Olivier\AppData\Roaming\Skype
2010-01-09 15:04 . 2009-09-25 19:20 -------- d-----w- c:\users\Olivier\AppData\Roaming\skypePM
2009-12-20 20:04 . 2009-10-06 11:44 -------- d-----w- c:\program files\NVIDIA Corporation
2009-12-11 11:33 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-12-10 23:07 . 2008-09-27 18:03 -------- d-----w- c:\programdata\Microsoft Help
2009-12-08 16:09 . 2008-11-15 01:47 -------- d-----w- c:\program files\WowCartographe
2009-11-21 02:34 . 2009-12-20 20:02 10920 ----a-w- c:\windows\system32\drivers\nvBridge.kmd
2009-11-21 02:34 . 2009-03-27 22:03 1249896 ----a-w- c:\windows\system32\nvapi.dll
2009-11-21 02:34 . 2008-09-17 07:55 9333352 ----a-w- c:\windows\system32\nvd3dum.dll
2009-11-20 19:33 . 2009-11-20 19:33 812648 ----a-w- c:\windows\system32\nvsvc.dll
2009-11-20 19:33 . 2009-11-20 19:33 1323624 ----a-w- c:\windows\system32\nvsvcr.dll
2009-11-20 19:33 . 2009-11-20 19:33 12685928 ----a-w- c:\windows\system32\nvcpl.dll
2009-11-20 19:33 . 2009-11-20 19:33 122984 ----a-w- c:\windows\system32\nvvsvc.exe
2009-11-20 19:33 . 2009-11-20 19:33 110184 ----a-w- c:\windows\system32\nvmctray.dll
2009-11-18 02:17 . 2009-11-18 02:17 -------- d-----w- c:\program files\Windows Portable Devices
2009-11-18 02:17 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-11-18 02:17 . 2009-11-18 02:17 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
2009-11-13 19:53 . 2009-11-13 19:51 -------- d-----w- c:\users\Olivier\AppData\Roaming\Mumble
2009-11-13 19:51 . 2009-11-13 19:51 -------- d-----w- c:\program files\Mumble
2009-11-09 12:31 . 2009-12-11 15:29 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-11-09 12:30 . 2009-12-11 15:29 30720 ----a-w- c:\windows\system32\httpapi.dll
2009-11-09 10:36 . 2009-12-11 15:29 411648 ----a-w- c:\windows\system32\drivers\http.sys
2009-11-02 19:42 . 2009-10-03 00:23 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-10-29 09:17 . 2009-11-25 12:03 2048 ----a-w- c:\windows\system32\tzres.dll
2009-10-27 14:11 . 2009-12-10 19:48 834048 ----a-w- c:\windows\system32\wininet.dll
2009-10-27 13:16 . 2009-12-10 19:48 78336 ----a-w- c:\windows\system32\ieencode.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"CurseClient"="c:\program files\Curse\CurseClient.exe" [2009-07-31 1935360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Lancement rapide d'Adobe Acrobat.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Lancement rapide d'Adobe Acrobat.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Acrobat.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2006-10-22 21:24 620152 ----a-w- c:\program files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDRegion]
2008-03-21 08:21 91432 ----a-w- c:\program files\CyberLink\Shared Files\brs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe]
2007-06-29 13:03 36864 ----a-w- c:\program files\GameSpy\Comrade\Comrade.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
2008-05-21 08:46 15519744 ----a-r- c:\program files\VIA\VIAudioi\VDeck\VDeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2008-06-24 14:06 1840424 ----a-w- c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2008-06-08 07:31 2221352 ----a-w- c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-11-20 19:33 12685928 ----a-w- c:\windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2009-11-20 19:33 110184 ----a-w- c:\windows\System32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]
2007-12-14 09:36 50472 ------w- c:\program files\CyberLink\PowerDVD8\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]
2008-03-20 18:23 83240 ------w- c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-06-10 02:27 144784 ----a-w- c:\program files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):d1,38,06,2a,7b,60,ca,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3175088090-2153518696-1447629641-1000]
"EnableNotificationsRef"=dword:00000001

R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:\program files\CyberLink\PowerDVD8\000.fcl [01/02/2008 16:24 41456]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/01/2010 12:18 108289]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [27/09/2008 19:15 809296]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [20/11/2009 19:17 240232]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\System32\drivers\viahduaa.sys [27/09/2008 16:29 269824]
S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [27/09/2008 15:41 21504]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - neuzrby

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
2008-04-11 15:23 38400 ----a-w- c:\windows\System32\SoundSchemes.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B3688A53-AB2A-4b1d-8CEF-8F93D8C51C24}]
2008-08-28 08:50 30720 ----a-w- c:\windows\System32\soundschemes2.exe
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.cherche.us/keyword/%s
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: chat-land.org
TCP: {6AD45200-7902-4351-B6B1-E589A1C1D812} = 192.168.1.1
FF - ProfilePath - c:\users\Olivier\AppData\Roaming\Mozilla\Firefox\Profiles\1dmpp589.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.aliceadsl.fr/
FF - prefs.js: keyword.URL - hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\NVIDIA Corporation\3D Vision\npnv3dv.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\Olivier\AppData\Local\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-11 20:59
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD8\000.fcl"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\neuzrby]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3175088090-2153518696-1447629641-1000\Software\SecuROM\License information*]
"datasecu"=hex:16,9c,f3,fe,92,78,06,e5,f8,12,2c,c3,c5,ab,05,06,71,d4,65,9f,43,
65,e2,e5,a0,f2,a6,03,b3,ec,7f,2e,d5,ea,35,97,10,5a,cb,e7,5b,59,cf,3b,f2,d7,\
"rkeysecu"=hex:39,cc,8a,da,7f,44,84,09,da,b7,e2,0c,b8,a9,a5,33
.
Heure de fin: 2010-01-11 21:01:55
ComboFix-quarantined-files.txt 2010-01-11 20:01

Avant-CF: 43 092 127 744 octets libres
Après-CF: 43 030 089 728 octets libres

- - End Of File - - 16B4299372AE9F87F9C01F36E43A91B4



++

bonsoir et dsl de revenir mais probleme non résolu.....
scan antivir de ce jour et toujours le meme soucis que l'antivirus ne peut pas nettoyer après redemarrage
je post le rapport




Avira AntiVir Personal
Date de création du fichier de rapport : mardi 12 janvier 2010 17:24

La recherche porte sur 1522401 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : Olivier
Nom de l'ordinateur : PC-DE-OLIVIER

Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 11:24:11
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 11:24:11
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 11:24:11
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 11:24:11
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 11:24:11
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 11:24:11
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 11:24:12
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 11:24:12
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 11:24:12
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 11:24:12
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 11:24:12
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 11:24:12
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 11:24:12
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 11:24:13
VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 11:24:13
VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 11:24:13
VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 11:24:14
VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 11:24:14
VBASE019.VDF : 7.10.2.63 187392 Bytes 24/12/2009 11:24:15
VBASE020.VDF : 7.10.2.93 195072 Bytes 29/12/2009 11:24:15
VBASE021.VDF : 7.10.2.131 201216 Bytes 07/01/2010 11:24:15
VBASE022.VDF : 7.10.2.158 192000 Bytes 11/01/2010 13:46:41
VBASE023.VDF : 7.10.2.159 2048 Bytes 11/01/2010 13:46:41
VBASE024.VDF : 7.10.2.160 2048 Bytes 11/01/2010 13:46:41
VBASE025.VDF : 7.10.2.161 2048 Bytes 11/01/2010 13:46:41
VBASE026.VDF : 7.10.2.162 2048 Bytes 11/01/2010 13:46:41
VBASE027.VDF : 7.10.2.163 2048 Bytes 11/01/2010 13:46:41
VBASE028.VDF : 7.10.2.164 2048 Bytes 11/01/2010 13:46:41
VBASE029.VDF : 7.10.2.165 2048 Bytes 11/01/2010 13:46:41
VBASE030.VDF : 7.10.2.166 2048 Bytes 11/01/2010 13:46:42
VBASE031.VDF : 7.10.2.172 104448 Bytes 12/01/2010 13:46:42
Version du moteur : 8.2.1.134
AEVDF.DLL : 8.1.1.2 106867 Bytes 08/11/2009 06:38:52
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 11/01/2010 11:24:21
AESCN.DLL : 8.1.3.0 127348 Bytes 11/01/2010 11:24:20
AESBX.DLL : 8.1.1.1 246132 Bytes 08/11/2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 11/01/2010 11:24:20
AEPACK.DLL : 8.2.0.4 422263 Bytes 11/01/2010 11:24:20
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08/11/2009 06:38:38
AEHEUR.DLL : 8.1.0.194 2228599 Bytes 11/01/2010 11:24:19
AEHELP.DLL : 8.1.9.0 237943 Bytes 11/01/2010 11:24:18
AEGEN.DLL : 8.1.1.83 369014 Bytes 11/01/2010 11:24:17
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 11/01/2010 11:24:17
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Sélection manuelle
Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\folder.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:, F:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: marche
Recherche optimisée...........................: marche
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: élevé

Début de la recherche : mardi 12 janvier 2010 17:24

Début du contrôle des fichiers système :
Signé -> 'C:\Windows\system32\svchost.exe'
Signé -> 'C:\Windows\system32\winlogon.exe'
Signé -> 'C:\Windows\explorer.exe'
Signé -> 'C:\Windows\system32\smss.exe'
Signé -> 'C:\Windows\system32\wininet.DLL'
Signé -> 'C:\Windows\system32\wsock32.DLL'
Signé -> 'C:\Windows\system32\ws2_32.DLL'
Signé -> 'C:\Windows\system32\services.exe'
Signé -> 'C:\Windows\system32\lsass.exe'
Signé -> 'C:\Windows\system32\csrss.exe'
Signé -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signé -> 'C:\Windows\system32\spoolsv.exe'
Signé -> 'C:\Windows\system32\alg.exe'
Signé -> 'C:\Windows\system32\wuauclt.exe'
Signé -> 'C:\Windows\system32\advapi32.DLL'
Signé -> 'C:\Windows\system32\user32.DLL'
Signé -> 'C:\Windows\system32\gdi32.DLL'
Signé -> 'C:\Windows\system32\kernel32.DLL'
Signé -> 'C:\Windows\system32\ntdll.DLL'
Signé -> 'C:\Windows\system32\ntoskrnl.exe'
Signé -> 'C:\Windows\system32\ctfmon.exe'
Les fichiers système ont été contrôlés ('21' fichiers)

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\q5epip3
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\rq7oius6
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\m3nom3p1
[INFO] L'entrée d'enregistrement n'est pas visible.
'103632' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'SearchFilterHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchProtocolHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SDWinSec.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CurseClient.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvSCPAPISvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrB.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IoctlSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'54' processus ont été contrôlés avec '54' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '42' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <SYSTEME>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Windows\System32\drivers\neuzrby.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\'
Impossible d'ouvrir le chemin à contrôler D:\ !
Erreur système [21]: Le périphérique n'est pas prêt.
Recherche débutant dans 'E:\' <DATA>
Recherche débutant dans 'F:\'
Impossible d'ouvrir le chemin à contrôler F:\ !
Erreur système [3]: Le chemin d'accès spécifié est introuvable.

Début de la désinfection :
C:\Windows\System32\drivers\neuzrby.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.



Fin de la recherche : mardi 12 janvier 2010 18:19
Temps nécessaire: 46:51 Minute(s)

La recherche a été effectuée intégralement

26917 Les répertoires ont été contrôlés
489692 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
489689 Fichiers non infectés
3054 Les archives ont été contrôlées
2 Avertissements
2 Consignes
103632 Des objets ont été contrôlés lors du Rootkitscan
7 Des objets cachés ont été trouvés

Encore désolé du dérangement :/

voilà le rapport

ComboFix 10-01-11.01 - Olivier 12/01/2010 18:57:39.2.4 - x86
Microsoft® Windows Vista™ Édition Intégrale 6.0.6002.2.1252.33.1036.18.3326.2413 [GMT 1:00]
Lancé depuis: c:\users\Olivier\Desktop\asdehi.exe
Commutateurs utilisés :: c:\users\Olivier\Desktop\CFScript.txt
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-12-12 au 2010-01-12 ))))))))))))))))))))))))))))))))))))
.

2010-01-12 18:02 . 2010-01-12 18:02 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-01-12 18:02 . 2010-01-12 18:02 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-01-11 20:01 . 2010-01-12 18:03 -------- d-----w- c:\users\Olivier\AppData\Local\temp
2010-01-11 19:53 . 2010-01-11 20:01 -------- d-----w- C:\asdehi
2010-01-11 11:18 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-11 11:18 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-11 11:18 . 2010-01-11 11:18 -------- d-----w- c:\programdata\Avira
2010-01-11 11:18 . 2010-01-11 11:18 -------- d-----w- c:\program files\Avira
2010-01-10 13:39 . 2010-01-10 17:39 -------- d-----w- C:\UsbFix
2010-01-10 13:03 . 2010-01-10 16:12 -------- d-----w- c:\program files\Ad-Remover
2010-01-10 01:51 . 2010-01-10 01:51 -------- d-----w- c:\program files\trend micro
2010-01-10 01:51 . 2010-01-10 01:51 -------- d-----w- C:\rsit
2010-01-09 17:27 . 2010-01-09 17:27 -------- d-----w- c:\users\Olivier\AppData\Roaming\Malwarebytes
2010-01-09 17:27 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-09 17:27 . 2010-01-09 17:27 -------- d-----w- c:\programdata\Malwarebytes
2010-01-09 17:27 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-09 17:27 . 2010-01-09 17:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-29 21:18 . 2009-12-29 21:18 -------- d-----w- c:\users\Olivier\Nouveau dossier
2009-12-20 20:02 . 2009-11-21 02:34 76392 ----a-w- c:\windows\system32\OpenCL.dll
2009-12-20 20:02 . 2009-11-21 02:34 4241000 ----a-w- c:\windows\system32\nvwgf2um.dll
2009-12-20 20:02 . 2009-11-21 02:34 11515752 ----a-w- c:\windows\system32\drivers\nvlddmkm.sys
2009-12-20 20:02 . 2009-11-21 02:34 4001384 ----a-w- c:\windows\system32\nvcuda.dll
2009-12-20 20:02 . 2009-11-21 02:34 2243176 ----a-w- c:\windows\system32\nvcuvid.dll
2009-12-20 20:02 . 2009-11-21 02:34 1989224 ----a-w- c:\windows\system32\nvcuvenc.dll
2009-12-20 20:02 . 2009-11-21 02:34 14064232 ----a-w- c:\windows\system32\nvoglv32.dll
2009-12-20 20:02 . 2009-11-21 02:34 182888 ----a-w- c:\windows\system32\nvcod178.dll
2009-12-20 20:02 . 2009-11-21 02:34 182888 ----a-w- c:\windows\system32\nvcod.dll
2009-12-20 20:02 . 2009-11-21 02:34 11381352 ----a-w- c:\windows\system32\nvcompiler.dll
2009-12-17 13:36 . 2009-12-17 13:36 -------- d-----w- c:\users\Olivier\AppData\Local\Yahoo!

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-12 18:05 . 2009-04-29 16:36 -------- d-----w- c:\program files\Curse
2010-01-12 18:04 . 2009-12-21 10:38 35085 ----a-w- c:\programdata\nvModes.dat
2010-01-12 18:03 . 2008-09-27 15:53 -------- d-----w- c:\programdata\NVIDIA
2010-01-12 17:53 . 2008-09-27 16:13 -------- d-----w- c:\users\Olivier\AppData\Roaming\TeraCopy
2010-01-12 17:51 . 2009-08-07 18:03 -------- d-----w- c:\users\Olivier\AppData\Roaming\Skype
2010-01-12 17:31 . 2009-09-25 19:20 -------- d-----w- c:\users\Olivier\AppData\Roaming\skypePM
2010-01-12 17:26 . 2006-11-02 16:03 716060 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-12 17:26 . 2006-11-02 16:03 144214 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-09 17:23 . 2008-09-27 18:15 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2009-12-20 20:04 . 2009-10-06 11:44 -------- d-----w- c:\program files\NVIDIA Corporation
2009-12-11 11:33 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-12-10 23:07 . 2008-09-27 18:03 -------- d-----w- c:\programdata\Microsoft Help
2009-12-08 16:09 . 2008-11-15 01:47 -------- d-----w- c:\program files\WowCartographe
2009-11-21 02:34 . 2009-12-20 20:02 10920 ----a-w- c:\windows\system32\drivers\nvBridge.kmd
2009-11-21 02:34 . 2009-03-27 22:03 1249896 ----a-w- c:\windows\system32\nvapi.dll
2009-11-21 02:34 . 2008-09-17 07:55 9333352 ----a-w- c:\windows\system32\nvd3dum.dll
2009-11-20 19:33 . 2009-11-20 19:33 812648 ----a-w- c:\windows\system32\nvsvc.dll
2009-11-20 19:33 . 2009-11-20 19:33 1323624 ----a-w- c:\windows\system32\nvsvcr.dll
2009-11-20 19:33 . 2009-11-20 19:33 12685928 ----a-w- c:\windows\system32\nvcpl.dll
2009-11-20 19:33 . 2009-11-20 19:33 122984 ----a-w- c:\windows\system32\nvvsvc.exe
2009-11-20 19:33 . 2009-11-20 19:33 110184 ----a-w- c:\windows\system32\nvmctray.dll
2009-11-18 02:17 . 2009-11-18 02:17 -------- d-----w- c:\program files\Windows Portable Devices
2009-11-18 02:17 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-11-18 02:17 . 2009-11-18 02:17 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
2009-11-13 19:53 . 2009-11-13 19:51 -------- d-----w- c:\users\Olivier\AppData\Roaming\Mumble
2009-11-13 19:51 . 2009-11-13 19:51 -------- d-----w- c:\program files\Mumble
2009-11-09 12:31 . 2009-12-11 15:29 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-11-09 12:30 . 2009-12-11 15:29 30720 ----a-w- c:\windows\system32\httpapi.dll
2009-11-09 10:36 . 2009-12-11 15:29 411648 ----a-w- c:\windows\system32\drivers\http.sys
2009-11-02 19:42 . 2009-10-03 00:23 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-10-29 09:17 . 2009-11-25 12:03 2048 ----a-w- c:\windows\system32\tzres.dll
2009-10-27 14:11 . 2009-12-10 19:48 834048 ----a-w- c:\windows\system32\wininet.dll
2009-10-27 13:16 . 2009-12-10 19:48 78336 ----a-w- c:\windows\system32\ieencode.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"CurseClient"="c:\program files\Curse\CurseClient.exe" [2009-07-31 1935360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Lancement rapide d'Adobe Acrobat.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Lancement rapide d'Adobe Acrobat.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Acrobat.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2006-10-22 21:24 620152 ----a-w- c:\program files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDRegion]
2008-03-21 08:21 91432 ----a-w- c:\program files\CyberLink\Shared Files\brs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe]
2007-06-29 13:03 36864 ----a-w- c:\program files\GameSpy\Comrade\Comrade.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
2008-05-21 08:46 15519744 ----a-r- c:\program files\VIA\VIAudioi\VDeck\VDeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2008-06-24 14:06 1840424 ----a-w- c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2008-06-08 07:31 2221352 ----a-w- c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-11-20 19:33 12685928 ----a-w- c:\windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2009-11-20 19:33 110184 ----a-w- c:\windows\System32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]
2007-12-14 09:36 50472 ------w- c:\program files\CyberLink\PowerDVD8\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]
2008-03-20 18:23 83240 ------w- c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-06-10 02:27 144784 ----a-w- c:\program files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):d1,38,06,2a,7b,60,ca,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3175088090-2153518696-1447629641-1000]
"EnableNotificationsRef"=dword:00000001

R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:\program files\CyberLink\PowerDVD8\000.fcl [01/02/2008 16:24 41456]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/01/2010 12:18 108289]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [27/09/2008 19:15 809296]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [20/11/2009 19:17 240232]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\System32\drivers\viahduaa.sys [27/09/2008 16:29 269824]
S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [27/09/2008 15:41 21504]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - neuzrby

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
2008-04-11 15:23 38400 ----a-w- c:\windows\System32\SoundSchemes.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B3688A53-AB2A-4b1d-8CEF-8F93D8C51C24}]
2008-08-28 08:50 30720 ----a-w- c:\windows\System32\soundschemes2.exe
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.cherche.us/keyword/%s
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: chat-land.org
TCP: {6AD45200-7902-4351-B6B1-E589A1C1D812} = 192.168.1.1
FF - ProfilePath - c:\users\Olivier\AppData\Roaming\Mozilla\Firefox\Profiles\1dmpp589.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.aliceadsl.fr/
FF - prefs.js: keyword.URL - hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\NVIDIA Corporation\3D Vision\npnv3dv.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\Olivier\AppData\Local\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-12 19:04
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD8\000.fcl"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\neuzrby]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3175088090-2153518696-1447629641-1000\Software\SecuROM\License information*]
"datasecu"=hex:16,9c,f3,fe,92,78,06,e5,f8,12,2c,c3,c5,ab,05,06,71,d4,65,9f,43,
65,e2,e5,a0,f2,a6,03,b3,ec,7f,2e,d5,ea,35,97,10,5a,cb,e7,5b,59,cf,3b,f2,d7,\
"rkeysecu"=hex:39,cc,8a,da,7f,44,84,09,da,b7,e2,0c,b8,a9,a5,33
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\AUDIODG.EXE
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\conime.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\ehome\ehmsas.exe
c:\windows\system32\wbem\unsecapp.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-01-12 19:09:07 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-12 18:09
ComboFix2.txt 2010-01-11 20:01

Avant-CF: 42 323 132 416 octets libres
Après-CF: 42 183 389 184 octets libres

- - End Of File - - 00B204968ABA70772D41E6E8E2099D69

re coucou

ça devient desespérant :(........aucun reproche mais j'hésite a utiliser ma méthode à moi.....un bon coup de masse sur l'ordi^^

donc rapport



Avira AntiVir Personal
Date de création du fichier de rapport : mardi 12 janvier 2010 21:08

La recherche porte sur 1522401 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : Olivier
Nom de l'ordinateur : PC-DE-OLIVIER

Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 11:24:11
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 11:24:11
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 11:24:11
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 11:24:11
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 11:24:11
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 11:24:11
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 11:24:12
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 11:24:12
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 11:24:12
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 11:24:12
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 11:24:12
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 11:24:12
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 11:24:12
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 11:24:13
VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 11:24:13
VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 11:24:13
VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 11:24:14
VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 11:24:14
VBASE019.VDF : 7.10.2.63 187392 Bytes 24/12/2009 11:24:15
VBASE020.VDF : 7.10.2.93 195072 Bytes 29/12/2009 11:24:15
VBASE021.VDF : 7.10.2.131 201216 Bytes 07/01/2010 11:24:15
VBASE022.VDF : 7.10.2.158 192000 Bytes 11/01/2010 13:46:41
VBASE023.VDF : 7.10.2.159 2048 Bytes 11/01/2010 13:46:41
VBASE024.VDF : 7.10.2.160 2048 Bytes 11/01/2010 13:46:41
VBASE025.VDF : 7.10.2.161 2048 Bytes 11/01/2010 13:46:41
VBASE026.VDF : 7.10.2.162 2048 Bytes 11/01/2010 13:46:41
VBASE027.VDF : 7.10.2.163 2048 Bytes 11/01/2010 13:46:41
VBASE028.VDF : 7.10.2.164 2048 Bytes 11/01/2010 13:46:41
VBASE029.VDF : 7.10.2.165 2048 Bytes 11/01/2010 13:46:41
VBASE030.VDF : 7.10.2.166 2048 Bytes 11/01/2010 13:46:42
VBASE031.VDF : 7.10.2.172 104448 Bytes 12/01/2010 13:46:42
Version du moteur : 8.2.1.134
AEVDF.DLL : 8.1.1.2 106867 Bytes 08/11/2009 06:38:52
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 11/01/2010 11:24:21
AESCN.DLL : 8.1.3.0 127348 Bytes 11/01/2010 11:24:20
AESBX.DLL : 8.1.1.1 246132 Bytes 08/11/2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 11/01/2010 11:24:20
AEPACK.DLL : 8.2.0.4 422263 Bytes 11/01/2010 11:24:20
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08/11/2009 06:38:38
AEHEUR.DLL : 8.1.0.194 2228599 Bytes 11/01/2010 11:24:19
AEHELP.DLL : 8.1.9.0 237943 Bytes 11/01/2010 11:24:18
AEGEN.DLL : 8.1.1.83 369014 Bytes 11/01/2010 11:24:17
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 11/01/2010 11:24:17
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Sélection manuelle
Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\folder.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:, F:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: marche
Recherche optimisée...........................: marche
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: élevé

Début de la recherche : mardi 12 janvier 2010 21:08

Début du contrôle des fichiers système :
Signé -> 'C:\Windows\system32\svchost.exe'
Signé -> 'C:\Windows\system32\winlogon.exe'
Signé -> 'C:\Windows\explorer.exe'
Signé -> 'C:\Windows\system32\smss.exe'
Signé -> 'C:\Windows\system32\wininet.DLL'
Signé -> 'C:\Windows\system32\wsock32.DLL'
Signé -> 'C:\Windows\system32\ws2_32.DLL'
Signé -> 'C:\Windows\system32\services.exe'
Signé -> 'C:\Windows\system32\lsass.exe'
Signé -> 'C:\Windows\system32\csrss.exe'
Signé -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signé -> 'C:\Windows\system32\spoolsv.exe'
Signé -> 'C:\Windows\system32\alg.exe'
Signé -> 'C:\Windows\system32\wuauclt.exe'
Signé -> 'C:\Windows\system32\advapi32.DLL'
Signé -> 'C:\Windows\system32\user32.DLL'
Signé -> 'C:\Windows\system32\gdi32.DLL'
Signé -> 'C:\Windows\system32\kernel32.DLL'
Signé -> 'C:\Windows\system32\ntdll.DLL'
Signé -> 'C:\Windows\system32\ntoskrnl.exe'
Signé -> 'C:\Windows\system32\ctfmon.exe'
Les fichiers système ont été contrôlés ('21' fichiers)

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\q5epip3
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\rq7oius6
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby\m3nom3p1
[INFO] L'entrée d'enregistrement n'est pas visible.
'102875' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SDWinSec.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvSCPAPISvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrB.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IoctlSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CurseClient.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'52' processus ont été contrôlés avec '52' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '42' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <SYSTEME>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Windows\System32\drivers\neuzrby.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\'
Impossible d'ouvrir le chemin à contrôler D:\ !
Erreur système [21]: Le périphérique n'est pas prêt.
Recherche débutant dans 'E:\' <DATA>
Recherche débutant dans 'F:\'
Impossible d'ouvrir le chemin à contrôler F:\ !
Erreur système [21]: Le périphérique n'est pas prêt.

Début de la désinfection :
C:\Windows\System32\drivers\neuzrby.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.



Fin de la recherche : mardi 12 janvier 2010 22:08
Temps nécessaire: 58:51 Minute(s)

La recherche a été effectuée intégralement

26875 Les répertoires ont été contrôlés
488639 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
488636 Fichiers non infectés
2996 Les archives ont été contrôlées
2 Avertissements
2 Consignes
102875 Des objets ont été contrôlés lors du Rootkitscan
7 Des objets cachés ont été trouvés

bonsoir

voilà le rapport


ComboFix 10-01-11.01 - Olivier 13/01/2010 19:30:20.3.4 - x86
Microsoft® Windows Vista™ Édition Intégrale 6.0.6002.2.1252.33.1036.18.3326.2388 [GMT 1:00]
Lancé depuis: c:\users\Olivier\Desktop\asdehi.exe
Commutateurs utilisés :: c:\users\Olivier\Desktop\CFScript.txt
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\windows\System32\drivers\neuzrby.sys"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\System32\drivers\neuzrby.sys . . . . impossible à supprimer

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NEUZRBY
-------\Service_neuzrby


((((((((((((((((((((((((((((( Fichiers créés du 2009-12-13 au 2010-01-13 ))))))))))))))))))))))))))))))))))))
.

2010-01-13 18:35 . 2010-01-13 18:37 -------- d-----w- c:\users\Olivier\AppData\Local\temp
2010-01-13 18:35 . 2010-01-13 18:35 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-01-13 18:35 . 2010-01-13 18:35 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-01-12 17:56 . 2010-01-12 18:09 -------- d-----w- C:\asdehi10304a
2010-01-11 19:53 . 2010-01-11 20:01 -------- d-----w- C:\asdehi
2010-01-11 11:18 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-11 11:18 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-11 11:18 . 2010-01-11 11:18 -------- d-----w- c:\programdata\Avira
2010-01-11 11:18 . 2010-01-11 11:18 -------- d-----w- c:\program files\Avira
2010-01-10 13:39 . 2010-01-10 17:39 -------- d-----w- C:\UsbFix
2010-01-10 13:03 . 2010-01-10 16:12 -------- d-----w- c:\program files\Ad-Remover
2010-01-10 01:51 . 2010-01-10 01:51 -------- d-----w- c:\program files\trend micro
2010-01-10 01:51 . 2010-01-10 01:51 -------- d-----w- C:\rsit
2010-01-09 17:27 . 2010-01-09 17:27 -------- d-----w- c:\users\Olivier\AppData\Roaming\Malwarebytes
2010-01-09 17:27 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-09 17:27 . 2010-01-09 17:27 -------- d-----w- c:\programdata\Malwarebytes
2010-01-09 17:27 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-09 17:27 . 2010-01-09 17:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-08 16:25 . 2010-01-13 18:37 763904 ----a-w- c:\windows\system32\drivers\neuzrby.sys
2009-12-29 21:18 . 2009-12-29 21:18 -------- d-----w- c:\users\Olivier\Nouveau dossier
2009-12-20 20:02 . 2009-11-21 02:34 76392 ----a-w- c:\windows\system32\OpenCL.dll
2009-12-20 20:02 . 2009-11-21 02:34 4241000 ----a-w- c:\windows\system32\nvwgf2um.dll
2009-12-20 20:02 . 2009-11-21 02:34 11515752 ----a-w- c:\windows\system32\drivers\nvlddmkm.sys
2009-12-20 20:02 . 2009-11-21 02:34 4001384 ----a-w- c:\windows\system32\nvcuda.dll
2009-12-20 20:02 . 2009-11-21 02:34 2243176 ----a-w- c:\windows\system32\nvcuvid.dll
2009-12-20 20:02 . 2009-11-21 02:34 1989224 ----a-w- c:\windows\system32\nvcuvenc.dll
2009-12-20 20:02 . 2009-11-21 02:34 14064232 ----a-w- c:\windows\system32\nvoglv32.dll
2009-12-20 20:02 . 2009-11-21 02:34 182888 ----a-w- c:\windows\system32\nvcod178.dll
2009-12-20 20:02 . 2009-11-21 02:34 182888 ----a-w- c:\windows\system32\nvcod.dll
2009-12-20 20:02 . 2009-11-21 02:34 11381352 ----a-w- c:\windows\system32\nvcompiler.dll
2009-12-17 13:36 . 2009-12-17 13:36 -------- d-----w- c:\users\Olivier\AppData\Local\Yahoo!

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-13 18:37 . 2009-04-29 16:36 -------- d-----w- c:\program files\Curse
2010-01-13 18:37 . 2009-12-21 10:38 35085 ----a-w- c:\programdata\nvModes.dat
2010-01-13 18:36 . 2008-09-27 15:53 -------- d-----w- c:\programdata\NVIDIA
2010-01-13 16:06 . 2006-11-02 16:03 716060 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-13 16:06 . 2006-11-02 16:03 144214 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-12 20:03 . 2008-09-27 18:15 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-01-12 17:53 . 2008-09-27 16:13 -------- d-----w- c:\users\Olivier\AppData\Roaming\TeraCopy
2010-01-12 17:51 . 2009-08-07 18:03 -------- d-----w- c:\users\Olivier\AppData\Roaming\Skype
2010-01-12 17:31 . 2009-09-25 19:20 -------- d-----w- c:\users\Olivier\AppData\Roaming\skypePM
2009-12-20 20:04 . 2009-10-06 11:44 -------- d-----w- c:\program files\NVIDIA Corporation
2009-12-11 11:33 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-12-10 23:07 . 2008-09-27 18:03 -------- d-----w- c:\programdata\Microsoft Help
2009-12-08 16:09 . 2008-11-15 01:47 -------- d-----w- c:\program files\WowCartographe
2009-11-21 02:34 . 2009-12-20 20:02 10920 ----a-w- c:\windows\system32\drivers\nvBridge.kmd
2009-11-21 02:34 . 2009-03-27 22:03 1249896 ----a-w- c:\windows\system32\nvapi.dll
2009-11-21 02:34 . 2008-09-17 07:55 9333352 ----a-w- c:\windows\system32\nvd3dum.dll
2009-11-20 19:33 . 2009-11-20 19:33 812648 ----a-w- c:\windows\system32\nvsvc.dll
2009-11-20 19:33 . 2009-11-20 19:33 1323624 ----a-w- c:\windows\system32\nvsvcr.dll
2009-11-20 19:33 . 2009-11-20 19:33 12685928 ----a-w- c:\windows\system32\nvcpl.dll
2009-11-20 19:33 . 2009-11-20 19:33 122984 ----a-w- c:\windows\system32\nvvsvc.exe
2009-11-20 19:33 . 2009-11-20 19:33 110184 ----a-w- c:\windows\system32\nvmctray.dll
2009-11-18 02:17 . 2009-11-18 02:17 -------- d-----w- c:\program files\Windows Portable Devices
2009-11-18 02:17 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-11-18 02:17 . 2009-11-18 02:17 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
2009-11-09 12:31 . 2009-12-11 15:29 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-11-09 12:30 . 2009-12-11 15:29 30720 ----a-w- c:\windows\system32\httpapi.dll
2009-11-09 10:36 . 2009-12-11 15:29 411648 ----a-w- c:\windows\system32\drivers\http.sys
2009-11-02 19:42 . 2009-10-03 00:23 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-10-29 09:17 . 2009-11-25 12:03 2048 ----a-w- c:\windows\system32\tzres.dll
2009-10-27 14:11 . 2009-12-10 19:48 834048 ----a-w- c:\windows\system32\wininet.dll
2009-10-27 13:16 . 2009-12-10 19:48 78336 ----a-w- c:\windows\system32\ieencode.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"CurseClient"="c:\program files\Curse\CurseClient.exe" [2009-07-31 1935360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Lancement rapide d'Adobe Acrobat.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Lancement rapide d'Adobe Acrobat.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Acrobat.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2006-10-22 21:24 620152 ----a-w- c:\program files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDRegion]
2008-03-21 08:21 91432 ----a-w- c:\program files\CyberLink\Shared Files\brs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe]
2007-06-29 13:03 36864 ----a-w- c:\program files\GameSpy\Comrade\Comrade.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
2008-05-21 08:46 15519744 ----a-r- c:\program files\VIA\VIAudioi\VDeck\VDeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2008-06-24 14:06 1840424 ----a-w- c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2008-06-08 07:31 2221352 ----a-w- c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-11-20 19:33 12685928 ----a-w- c:\windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2009-11-20 19:33 110184 ----a-w- c:\windows\System32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]
2007-12-14 09:36 50472 ------w- c:\program files\CyberLink\PowerDVD8\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]
2008-03-20 18:23 83240 ------w- c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-06-10 02:27 144784 ----a-w- c:\program files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):d1,38,06,2a,7b,60,ca,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3175088090-2153518696-1447629641-1000]
"EnableNotificationsRef"=dword:00000001

R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:\program files\CyberLink\PowerDVD8\000.fcl [01/02/2008 16:24 41456]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/01/2010 12:18 108289]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [27/09/2008 19:15 809296]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [20/11/2009 19:17 240232]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\System32\drivers\viahduaa.sys [27/09/2008 16:29 269824]
S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [27/09/2008 15:41 21504]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
2008-04-11 15:23 38400 ----a-w- c:\windows\System32\SoundSchemes.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B3688A53-AB2A-4b1d-8CEF-8F93D8C51C24}]
2008-08-28 08:50 30720 ----a-w- c:\windows\System32\soundschemes2.exe
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.cherche.us/keyword/%s
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: chat-land.org
TCP: {6AD45200-7902-4351-B6B1-E589A1C1D812} = 192.168.1.1
FF - ProfilePath - c:\users\Olivier\AppData\Roaming\Mozilla\Firefox\Profiles\1dmpp589.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.aliceadsl.fr/
FF - prefs.js: keyword.URL - hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q=
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\NVIDIA Corporation\3D Vision\npnv3dv.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\Olivier\AppData\Local\Yahoo!\BrowserPlus\2.4.21\Plugins\npybrowserplus_2.4.21.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-13 19:37
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


c:\users\Olivier\AppData\Local\Temp\catchme.dll 53248 bytes executable
c:\users\Olivier\AppData\Roaming\Microsoft\Windows\Cookies\olivier@atdmt[2].txt
c:\users\Olivier\AppData\Roaming\Microsoft\Windows\Cookies\olivier@live[2].txt 306 bytes
c:\users\Olivier\AppData\Roaming\Microsoft\Windows\Cookies\olivier@msn[2].txt 496 bytes

Scan terminé avec succès
Fichiers cachés: 4

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD8\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3175088090-2153518696-1447629641-1000\Software\SecuROM\License information*]
"datasecu"=hex:16,9c,f3,fe,92,78,06,e5,f8,12,2c,c3,c5,ab,05,06,71,d4,65,9f,43,
65,e2,e5,a0,f2,a6,03,b3,ec,7f,2e,d5,ea,35,97,10,5a,cb,e7,5b,59,cf,3b,f2,d7,\
"rkeysecu"=hex:39,cc,8a,da,7f,44,84,09,da,b7,e2,0c,b8,a9,a5,33
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\AUDIODG.EXE
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\conime.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\ehome\ehmsas.exe
c:\windows\system32\wbem\unsecapp.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Heure de fin: 2010-01-13 19:42:16 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-13 18:42
ComboFix2.txt 2010-01-12 18:09

Avant-CF: 41 371 267 072 octets libres
Après-CF: 40 920 518 656 octets libres

- - End Of File - - FDA003644D59C5120142C09916206A3C


++

re


rapport de Malwaresbytes


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3556
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

13/01/2010 22:22:18
mbam-log-2010-01-13 (22-22-18).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 296041
Temps écoulé: 1 hour(s), 17 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\drivers\neuzrby.sys (Rootkit.Agent) -> Quarantined and deleted successfully.


++

Salut vous deux.

Guillaume ici : http://www.commentcamarche.net/forum/affich-16075873-rootkit-agent-c-est-quoi?#21

Tu n'as supprimé aucune clé (manque le - et les [])

Tu peux néanmoins supprimer toute la branche :

Registry:
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\neuzrby]


Mais si C:\Windows\System32\drivers\neuzrby.sys revient c'est quelque chose le fait revenir....

Obiwan peux-tu faire ceci stp ?

> Télécharge sur ton bureau OAD (Outil d'Aide au Diagnostic) de !aur3n7 :
- Clique sur OAD.exe, tape le nom du fichier suivant, puis tape sur la touche <Entrée>.

neuzrby

- Dans la fenêtre suivante choisis l'option 6 puis valide. Le scan va débuter puis le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.
- Fais un copier/coller de ce rapport dans ton prochain poste.
Note : Certains Antivirus (comme Panda) peuvent émettre une alerte lors du téléchargement ou de l'utilisation. Il faut alors ignorer l'alerte ou désactiver l'antivirus le temps de la recherche.



Bonne chasse vous deux.

re/bonsoir

en voilà pour le rapport

14/01/2010 ---- 0:02:47,34

----------------------------------
§§§§§§ [neuzrby ] §§§§§§
----------------------------------
[X] Registre
[ ] Fichier (rapide)
[ ] Fichier (disque systeme)
[X] Fichier (complete)




********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------


maintenant le scan de malware..... me l'a detruit dernierement mais je suppose que dès que je vais redemarrer mon ordi il me le detectera de nouveau car antivir me le detecte
Merci encore à vous
++

bonsoir



Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 14 janvier 2010 17:22

La recherche porte sur 1529455 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : Olivier
Nom de l'ordinateur : PC-DE-OLIVIER

Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 11:24:11
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 11:24:11
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 11:24:11
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 11:24:11
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 11:24:11
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 11:24:11
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 11:24:12
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 11:24:12
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 11:24:12
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 11:24:12
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 11:24:12
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 11:24:12
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 11:24:12
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 11:24:13
VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 11:24:13
VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 11:24:13
VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 11:24:14
VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 11:24:14
VBASE019.VDF : 7.10.2.63 187392 Bytes 24/12/2009 11:24:15
VBASE020.VDF : 7.10.2.93 195072 Bytes 29/12/2009 11:24:15
VBASE021.VDF : 7.10.2.131 201216 Bytes 07/01/2010 11:24:15
VBASE022.VDF : 7.10.2.158 192000 Bytes 11/01/2010 13:46:41
VBASE023.VDF : 7.10.2.159 2048 Bytes 11/01/2010 13:46:41
VBASE024.VDF : 7.10.2.160 2048 Bytes 11/01/2010 13:46:41
VBASE025.VDF : 7.10.2.161 2048 Bytes 11/01/2010 13:46:41
VBASE026.VDF : 7.10.2.162 2048 Bytes 11/01/2010 13:46:41
VBASE027.VDF : 7.10.2.163 2048 Bytes 11/01/2010 13:46:41
VBASE028.VDF : 7.10.2.164 2048 Bytes 11/01/2010 13:46:41
VBASE029.VDF : 7.10.2.165 2048 Bytes 11/01/2010 13:46:41
VBASE030.VDF : 7.10.2.166 2048 Bytes 11/01/2010 13:46:42
VBASE031.VDF : 7.10.2.183 200704 Bytes 14/01/2010 13:55:14
Version du moteur : 8.2.1.142
AEVDF.DLL : 8.1.1.2 106867 Bytes 08/11/2009 06:38:52
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 11/01/2010 11:24:21
AESCN.DLL : 8.1.3.1 127348 Bytes 14/01/2010 13:55:36
AESBX.DLL : 8.1.1.1 246132 Bytes 08/11/2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 11/01/2010 11:24:20
AEPACK.DLL : 8.2.0.5 422262 Bytes 14/01/2010 13:55:35
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08/11/2009 06:38:38
AEHEUR.DLL : 8.1.0.195 2232695 Bytes 14/01/2010 13:55:32
AEHELP.DLL : 8.1.10.0 237942 Bytes 14/01/2010 13:55:18
AEGEN.DLL : 8.1.1.83 369014 Bytes 11/01/2010 11:24:17
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26
AECORE.DLL : 8.1.9.5 184693 Bytes 14/01/2010 13:55:16
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Recherche de Rootkits
Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Recherche dans les programmes actifs..........: arrêt
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: marche
Recherche optimisée...........................: marche
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: élevé

Début de la recherche : jeudi 14 janvier 2010 17:22

Début du contrôle des fichiers système :
Signé -> 'C:\Windows\system32\svchost.exe'
Signé -> 'C:\Windows\system32\winlogon.exe'
Signé -> 'C:\Windows\explorer.exe'
Signé -> 'C:\Windows\system32\smss.exe'
Signé -> 'C:\Windows\system32\wininet.DLL'
Signé -> 'C:\Windows\system32\wsock32.DLL'
Signé -> 'C:\Windows\system32\ws2_32.DLL'
Signé -> 'C:\Windows\system32\services.exe'
Signé -> 'C:\Windows\system32\lsass.exe'
Signé -> 'C:\Windows\system32\csrss.exe'
Signé -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signé -> 'C:\Windows\system32\spoolsv.exe'
Signé -> 'C:\Windows\system32\alg.exe'
Signé -> 'C:\Windows\system32\wuauclt.exe'
Signé -> 'C:\Windows\system32\advapi32.DLL'
Signé -> 'C:\Windows\system32\user32.DLL'
Signé -> 'C:\Windows\system32\gdi32.DLL'
Signé -> 'C:\Windows\system32\kernel32.DLL'
Signé -> 'C:\Windows\system32\ntdll.DLL'
Signé -> 'C:\Windows\system32\ntoskrnl.exe'
Signé -> 'C:\Windows\system32\ctfmon.exe'
Les fichiers système ont été contrôlés ('21' fichiers)

La recherche d'objets cachés commence.
HKEY_USERS\S-1-5-21-3175088090-2153518696-1447629641-1000\Software\SecuROM\License information\datasecu
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_USERS\S-1-5-21-3175088090-2153518696-1447629641-1000\Software\SecuROM\License information\rkeysecu
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\Software\Microsoft\WBEM\CIMOM\autorecover mofs
[INFO] L'entrée d'enregistrement n'est pas visible.
'702555' objets ont été contrôlés, '3' objets cachés ont été trouvés.

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:' <SYSTEME>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Qoobox\Quarantine\C\Windows\System32\drivers\_neuzrby_.sys.zip
[0] Type d'archive: ZIP
--> neuzrby.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
--> neuzrby.sys.1
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904

Début de la désinfection :
C:\Qoobox\Quarantine\C\Windows\System32\drivers\_neuzrby_.sys.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb45782.qua' !


Fin de la recherche : jeudi 14 janvier 2010 18:40
Temps nécessaire: 49:45 Minute(s)

La recherche a été effectuée intégralement

26870 Les répertoires ont été contrôlés
488761 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
488758 Fichiers non infectés
3041 Les archives ont été contrôlées
1 Avertissements
2 Consignes
702555 Des objets ont été contrôlés lors du Rootkitscan
3 Des objets cachés ont été trouvés

rapport n°1


[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\Olivier\Desktop\nettoyage\Ad-R.exe: trouvé !
C:\Users\Olivier\Desktop\nettoyage\UsbFix.exe: trouvé !
C:\Users\Olivier\Desktop\nettoyage\Rsit.exe: trouvé !
C:\Users\Olivier\Downloads\OAD.exe: trouvé !
C:\Windows\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Users\Olivier\Desktop\nettoyage\Ad-R.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Users\Olivier\Desktop\nettoyage\UsbFix.exe: supprimé !
C:\Users\Olivier\Desktop\nettoyage\Rsit.exe: supprimé !
C:\Users\Olivier\Downloads\OAD.exe: supprimé !
C:\Windows\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Ad-remover: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

coucou bonsoir et mille merci si c'est enfin terminé^^

Juste une (ou deux ) questions

Pourquoi je dois supprimer la restauration du systeme comme indiqué par le raccourci?
et surtout d'ou pouvais bien venir ce virus/rootkit ou je ne sais plus quoi et qu'est ce que je risquais si je n'avais rien fait

Merci encore pour ta patience et tes lumieres

++

donc voilà, j'espère avoir tout bien fait

Pour les patchs world of warcraft, j'utilise des patchs officiels et non crackés....je suis un joueur inscrit et payant un abonnement donc si le soucis vient de leurs patchs ......je crois que je vais hurler chez blizzard^^.

Pour la manip, je ne comprends pas le tuto, il m'indique juste comment arreter de faire des points de restaurations (ce que j'ai fait suite a ton conseils) mais ne me "purge" pas les anciens points de restauration......sachant que je ne savais meme pas que ça existait^^

Pour la cloture du post , je m'autorise un dernier scan demain pour confirmer que le problème a disparu.

Encore merci
bonne soirée

++