Redirection pages google et autres pb... HELP

Résolu/Fermé

Alex - 21 oct. 2010 à 18:03
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 - 21 nov. 2010 à 11:35

Bonjour,
Je suis sur XP edition familiale.
J'ai un pb depuis qq mois, et ça commence à sérieusement me courrir sur le haricot.

1) Redirection de google sur des sites divers et variés, seulement sur IE et Firefox (pas sur Safari) et ensuite ces 2 explorateurs "rencotrent un pb et doivent fermer"...

2) Vuze que j'utilise fréquemment, s'éteint seul au bout de qq minutes. J'ai fais une mise à jour Java, désinstaller Java, utilisé Javara puis réinstallé Java mais rien n'y fait.

3) A chaque fois que j'éteins mon PC, une fenêtre s'ouver me disant que "session controler lxdx" est en train de se fermer...

Voilà, si qqun peut m'aider merci beaucoup!!!!!!

RAPPORT HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:46, on 21/10/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdxserv.exe
C:\WINDOWS\system32\lxdxcoms.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\Lexmark 3600-4600 Series\lxdxMsdMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Safari\Safari.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Emsisoft Anti-Malware\a2service.exe
C:\Program Files\Emsisoft Anti-Malware\a2wizard.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuz0.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuz0.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\tbVuz0.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [lxdxmon.exe] "C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe"
O4 - HKLM\..\Run: [lxdxamon] "C:\Program Files\Lexmark 3600-4600 Series\lxdxamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\Emsisoft Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: *.line6.net
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Emsisoft Anti-Malware 5.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lxdxCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdxserv.exe
O23 - Service: lxdx_device - - C:\WINDOWS\system32\lxdxcoms.exe

A voir également:

Redirection pages google et autres pb... HELP
Dns google - Guide
Google maps satellite - Guide
Google earth - Télécharger - 3D
Créer un compte google - Guide
Google meet pour pc - Télécharger - Messagerie

50 réponses

Réponse 1 / 50

H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
21 oct. 2010 à 18:06

Salut,

On va analyser ton PC plus en détail :

● Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

● Double clique sur ZHPDiag_silent.exe

● Patiente pendant le scan. Un rapport s'ouvrira à la fin.

● Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

Note :
Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.

Réponse 2 / 50

Alex
21 oct. 2010 à 18:24

Voilà c'est fait.

Tu trouveras le rapport ici :
http://www.cijoint.fr/cjlink.php?file=cj201010/cijbcpRVrX.txt

Merci.

Réponse 3 / 50

H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
21 oct. 2010 à 19:59

Bien, il y a du boulot. On commence :

● Double clique sur MBRCheck.exe présent sur ton bureau

● Attends jusqu'à voir le message "Wait until you see the following line: Enter 'Y' and hit ENTER for more options, or 'N' to exit:"

● Appuie sur la touche Y puis sur Entrée

● Quand le programme te demande "Enter your choice:" appui sur 2 puis sur Entrée

● Ensuite, à "Enter the physical disk number to fix (0-99, -1 to cancel):", appuie sur 0 puis sur Entrée

● A la liste des MBR "Available MBR codes:" appuie sur 1 pour Windows XP puis sur Entrée

● A la question "Do you want to fix the MBR code ?", écris YES puis appuie sur Entrée

● Redémarre ton PC et copie/colle le nouveau rapport présent sur ton bureau dans ta réponse

Puis :

Note : Tu as une Toolbar infectieuse (AskBar). Les Toolbars sont généralement proposées en accompagnement d'autres logiciels à leur installation.
Quand tu installes un logiciel, prends le temps de lire les options d'installation et décoche les programmes additionnels inutiles (ne clique pas bêtement sur "suivant").

● Télécharge et enregistre le fichier sur ton bureau Ad-Remover

● Double clique sur AD-R.exe

● Au menu principal choisis l'option "Nettoyer"

● Patiente pendant que l'outil fait son travail

● Un rapport va s'ouvrir, copie/colle le dans ta réponse

▲ Le rapport est sauvegardé dans C:\Ad-report.log

Note : Ad-Remover peut être détecté à tort par certains antivirus, ignore l'alerte.

Réponse 4 / 50

Alex
23 oct. 2010 à 13:05

Salut et merci pour ton aide.
Désolé je n'ai pas eu le temps de m'y remettre pour cause de boulot.

Pour Ad remover, il ne veut pas s'insatller car il rencontre une erreur... J'ai désactivé mon Spybot mais cela ne marche pas.
J'ai aussi Esisoft en version gratuite qui me détecte beaucoup de choses...

Voici le rapport MBR check :

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001d

Kernel Drivers (total 125):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA5AC000 viaide.sys
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AE000 dmload.sys
0xB9F22000 dmio.sys
0xBA330000 PartMgr.sys
0xBA0C8000 VolSnap.sys
0xB9F0A000 atapi.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EEA000 fltmgr.sys
0xB9ED8000 sr.sys
0xBA0F8000 PxHelp20.sys
0xB9EC1000 KSecDD.sys
0xB9EAE000 WudfPf.sys
0xB9E21000 Ntfs.sys
0xB9DF4000 NDIS.sys
0xB9DDA000 Mup.sys
0xBA108000 gagp30kx.sys
0xBA178000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xB9375000 \SystemRoot\system32\DRIVERS\S3gIGPm.sys
0xB9361000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA188000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA418000 \SystemRoot\system32\drivers\Afc.sys
0xBA198000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA1A8000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB933E000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA420000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0xBA428000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB931A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA430000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xBA438000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB9306000 \SystemRoot\system32\DRIVERS\parport.sys
0xBA5DC000 \SystemRoot\system32\DRIVERS\ASACPI.sys
0xBA1B8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA440000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA448000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB92F5000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA574000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB92CD000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB92B9000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xBA450000 \SystemRoot\System32\Drivers\l6dp.sys
0xBA786000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA218000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA584000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB916D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA228000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA238000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA458000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB915C000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA248000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA460000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA468000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB912C000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA258000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA5F4000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB90CE000 \SystemRoot\system32\DRIVERS\update.sys
0xBA5A0000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA268000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA2A8000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA5F8000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB7C52000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB7C2E000 \SystemRoot\system32\drivers\portcls.sys
0xBA2C8000 \SystemRoot\system32\drivers\drmk.sys
0xBA480000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xBA2E8000 \??\C:\Program Files\Emsisoft Anti-Malware\a2dix86.sys
0xBA602000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA753000 \SystemRoot\System32\Drivers\Null.SYS
0xBA604000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA490000 \SystemRoot\System32\drivers\vga.sys
0xBA606000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA608000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA498000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA4A0000 \SystemRoot\System32\Drivers\Npfs.SYS
0xBA580000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB7A6B000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB7A12000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xBA2F8000 \SystemRoot\System32\Drivers\aswTdi.SYS
0xB79C4000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xBA308000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB799C000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB797A000 \SystemRoot\System32\drivers\afd.sys
0xBA318000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB78AF000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB783F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB94D1000 \SystemRoot\System32\Drivers\Fips.SYS
0xB7818000 \SystemRoot\System32\Drivers\aswSP.SYS
0xBA368000 \SystemRoot\System32\Drivers\Aavmker4.SYS
0xBA60A000 \??\C:\Program Files\Emsisoft Anti-Malware\a2util32.sys
0xB94A1000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB77D8000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA610000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB7BFA000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA388000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA744000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\S3gIGP.dll
0xBF0D7000 \SystemRoot\System32\s3gcil_inv.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB2820000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
0xB267C000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB2439000 \SystemRoot\System32\Drivers\aswMon2.SYS
0xB1E34000 \SystemRoot\system32\drivers\wdmaud.sys
0xB2191000 \SystemRoot\system32\drivers\sysaudio.sys
0xB1DDF000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xBA638000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB1C74000 \SystemRoot\system32\DRIVERS\srv.sys
0xB21B1000 \??\C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\a2accx86.sys
0xBA360000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xB19F9000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xB16BB000 \SystemRoot\System32\Drivers\HTTP.sys
0xBA3C8000 \SystemRoot\System32\Drivers\aswRdr.SYS
0xB1398000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 43):
0 System Idle Process
4 System
640 C:\WINDOWS\system32\smss.exe
688 csrss.exe
712 C:\WINDOWS\system32\winlogon.exe
760 C:\WINDOWS\system32\services.exe
772 C:\WINDOWS\system32\lsass.exe
940 C:\Program Files\Emsisoft Anti-Malware\a2service.exe
988 C:\WINDOWS\system32\svchost.exe
1076 svchost.exe
1188 C:\WINDOWS\system32\svchost.exe
1276 C:\WINDOWS\system32\svchost.exe
1540 svchost.exe
1656 svchost.exe
1792 C:\WINDOWS\explorer.exe
1924 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
440 C:\WINDOWS\system32\VTTimer.exe
452 C:\WINDOWS\system32\S3Trayp.exe
468 C:\WINDOWS\RTHDCPL.exe
492 C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
508 C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe
576 C:\Program Files\iTunes\iTunesHelper.exe
584 C:\PROGRA~1\ALWILS~1\Avast5\AvastUI.exe
592 C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
608 C:\WINDOWS\system32\ctfmon.exe
412 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
656 C:\Program Files\Lexmark 3600-4600 Series\lxdxmsdmon.exe
1256 C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
2232 C:\WINDOWS\system32\spoolsv.exe
2784 svchost.exe
2816 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
2832 C:\Program Files\Bonjour\mDNSResponder.exe
2860 C:\WINDOWS\system32\CTSVCCDA.EXE
2996 C:\Program Files\Java\jre6\bin\jqs.exe
3100 C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdxserv.exe
3224 C:\WINDOWS\system32\lxdxcoms.exe
3308 C:\WINDOWS\system32\svchost.exe
1692 C:\Program Files\iPod\bin\iPodService.exe
2552 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2632 alg.exe
3808 C:\WINDOWS\system32\svchost.exe
2664 C:\Program Files\Safari\Safari.exe
4008 C:\Program Files\ZHPDiag\mbrcheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000'00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000006'1a79e400 (NTFS)

PhysicalDrive0 Model Number: ST3120022A, Rev: 3.54

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 MBR Code Faked (known infection: Whistler / Black Internet)!
SHA1: 4A4872B1D1B16E4FA12FAD8FFD2CBE3B91CC96B1

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.

Done!

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 50

H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
23 oct. 2010 à 13:29

OK, pour Ad-Remover, c'est normal, le lien a changé, voici le nouveau :

● Télécharge Ad-Remover sur ton bureau en cliquant sur le bouton Download de cette page

● Double clique sur AD-R.exe

● Au menu principal choisis l'option "Nettoyer"

● Patiente pendant que l'outil fait son travail

● Un rapport va s'ouvrir, copie/colle le dans ta réponse

▲ Le rapport est sauvegardé dans C:\Ad-report.log

Note : Ad-Remover peut être détecté à tort par certains antivirus, ignore l'alerte.

Réponse 6 / 50

Alex
23 oct. 2010 à 15:04

Ok j'ai réussi.

Alors je te remets le rapport MBR check, et le rapport Ad-remover.

Encore merci de ton aide, j'espere que je vais me débarrasser de cet satané virus!!!

RAPPORT MBR CHECK :

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001d

Kernel Drivers (total 125):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA5AC000 viaide.sys
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AE000 dmload.sys
0xB9F22000 dmio.sys
0xBA330000 PartMgr.sys
0xBA0C8000 VolSnap.sys
0xB9F0A000 atapi.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EEA000 fltmgr.sys
0xB9ED8000 sr.sys
0xBA0F8000 PxHelp20.sys
0xB9EC1000 KSecDD.sys
0xB9EAE000 WudfPf.sys
0xB9E21000 Ntfs.sys
0xB9DF4000 NDIS.sys
0xB9DDA000 Mup.sys
0xBA108000 gagp30kx.sys
0xBA178000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xB9375000 \SystemRoot\system32\DRIVERS\S3gIGPm.sys
0xB9361000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA188000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA418000 \SystemRoot\system32\drivers\Afc.sys
0xBA198000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA1A8000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB933E000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA420000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0xBA428000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB931A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA430000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xBA438000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB9306000 \SystemRoot\system32\DRIVERS\parport.sys
0xBA5DC000 \SystemRoot\system32\DRIVERS\ASACPI.sys
0xBA1B8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA440000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA448000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB92F5000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA574000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB92CD000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB92B9000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xBA450000 \SystemRoot\System32\Drivers\l6dp.sys
0xBA786000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA218000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA584000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB916D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA228000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA238000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA458000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB915C000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA248000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA460000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA468000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB912C000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA258000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA5F4000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB90CE000 \SystemRoot\system32\DRIVERS\update.sys
0xBA5A0000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA268000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA2A8000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA5F8000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB7C52000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB7C2E000 \SystemRoot\system32\drivers\portcls.sys
0xBA2C8000 \SystemRoot\system32\drivers\drmk.sys
0xBA480000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xBA2E8000 \??\C:\Program Files\Emsisoft Anti-Malware\a2dix86.sys
0xBA602000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA753000 \SystemRoot\System32\Drivers\Null.SYS
0xBA604000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA490000 \SystemRoot\System32\drivers\vga.sys
0xBA606000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA608000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA498000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA4A0000 \SystemRoot\System32\Drivers\Npfs.SYS
0xBA580000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB7A6B000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB7A12000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xBA2F8000 \SystemRoot\System32\Drivers\aswTdi.SYS
0xB79C4000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xBA308000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB799C000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB797A000 \SystemRoot\System32\drivers\afd.sys
0xBA318000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB78AF000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB783F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB94D1000 \SystemRoot\System32\Drivers\Fips.SYS
0xB7818000 \SystemRoot\System32\Drivers\aswSP.SYS
0xBA368000 \SystemRoot\System32\Drivers\Aavmker4.SYS
0xBA60A000 \??\C:\Program Files\Emsisoft Anti-Malware\a2util32.sys
0xB94A1000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB77D8000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA610000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB7BFA000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA388000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA744000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\S3gIGP.dll
0xBF0D7000 \SystemRoot\System32\s3gcil_inv.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB2820000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
0xB267C000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB2439000 \SystemRoot\System32\Drivers\aswMon2.SYS
0xB1E34000 \SystemRoot\system32\drivers\wdmaud.sys
0xB2191000 \SystemRoot\system32\drivers\sysaudio.sys
0xB1DDF000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xBA638000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB1C74000 \SystemRoot\system32\DRIVERS\srv.sys
0xB21B1000 \??\C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\a2accx86.sys
0xBA360000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xB19F9000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xB16BB000 \SystemRoot\System32\Drivers\HTTP.sys
0xBA3C8000 \SystemRoot\System32\Drivers\aswRdr.SYS
0xB1398000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 43):
0 System Idle Process
4 System
640 C:\WINDOWS\system32\smss.exe
688 csrss.exe
712 C:\WINDOWS\system32\winlogon.exe
760 C:\WINDOWS\system32\services.exe
772 C:\WINDOWS\system32\lsass.exe
940 C:\Program Files\Emsisoft Anti-Malware\a2service.exe
988 C:\WINDOWS\system32\svchost.exe
1076 svchost.exe
1188 C:\WINDOWS\system32\svchost.exe
1276 C:\WINDOWS\system32\svchost.exe
1540 svchost.exe
1656 svchost.exe
1792 C:\WINDOWS\explorer.exe
1924 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
440 C:\WINDOWS\system32\VTTimer.exe
452 C:\WINDOWS\system32\S3Trayp.exe
468 C:\WINDOWS\RTHDCPL.exe
492 C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
508 C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe
576 C:\Program Files\iTunes\iTunesHelper.exe
584 C:\PROGRA~1\ALWILS~1\Avast5\AvastUI.exe
592 C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
608 C:\WINDOWS\system32\ctfmon.exe
412 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
656 C:\Program Files\Lexmark 3600-4600 Series\lxdxmsdmon.exe
1256 C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
2232 C:\WINDOWS\system32\spoolsv.exe
2784 svchost.exe
2816 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
2832 C:\Program Files\Bonjour\mDNSResponder.exe
2860 C:\WINDOWS\system32\CTSVCCDA.EXE
2996 C:\Program Files\Java\jre6\bin\jqs.exe
3100 C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdxserv.exe
3224 C:\WINDOWS\system32\lxdxcoms.exe
3308 C:\WINDOWS\system32\svchost.exe
1692 C:\Program Files\iPod\bin\iPodService.exe
2552 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2632 alg.exe
3808 C:\WINDOWS\system32\svchost.exe
2664 C:\Program Files\Safari\Safari.exe
4008 C:\Program Files\ZHPDiag\mbrcheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000'00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000006'1a79e400 (NTFS)

PhysicalDrive0 Model Number: ST3120022A, Rev: 3.54

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 MBR Code Faked (known infection: Whistler / Black Internet)!
SHA1: 4A4872B1D1B16E4FA12FAD8FFD2CBE3B91CC96B1

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.

Done!

RAPPORT AD REMOVER :

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 13:23:07 le 23/10/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Professionnel (Service Pack 3 - X86)
Nom du PC: PROPRI-9F974498
Utilisateur actuel: Utilisateur
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\log_lobby.txt
C:\log_lobby_dumper.txt
C:\Program Files\AskBarDis
C:\Program Files\PokerStars

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\AppDataLow\AskBarDis
HKCU\Software\AskBarDis
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\PartyGaming
HKCU\Software\Titan Poker
HKLM\Software\AppDataLow\AskBarDis
HKLM\Software\AskBarDis
HKLM\Software\Classes\AskIBar.PopSwatterBarButton
HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
HKLM\Software\Classes\AskToolBar.SettingsPlugin
HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
HKLM\Software\Classes\SearchSettings.BHO
HKLM\Software\Classes\SearchSettings.BHO.1
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
HKLM\Software\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1
HKLM\Software\Titan Poker
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\format.ini
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\GRA.ini
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\allLangVersion.txt
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\account_but_newacocunt.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\allversion.txt
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\bonus-icon.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\but.bmp
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\but_account.bmp
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\but_skin.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\but_skin_account.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\client_bottom.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\client_bottom_right.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\client_gradient.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\client_top.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\connect_screen_bg.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\down_arrow.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\down_arrow_o.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\addplaymoney_button.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\aud.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\autospincancel_button.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\autospinoptions_background.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\autospinstart_button.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\balance_strip.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\bottombar_logo_net.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\bottombar_net.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\bottombar_net_big.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\bottombar_net_medium.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\buyin_botbg.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\buyin_cancelbutton.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\buyin_cashierbutton.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\buyin_midbg.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\buyin_okbutton.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\buyin_topbg.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\BuyInConfig.ini
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\cad.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\cashier_button.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\cashout_midbg.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\cent_strip.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\chf.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\chips.wav
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\czk.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\dkk.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\eur.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\exit_button.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\format.ini
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\game_topbar_pff.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\gamelogs_button.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\gbp.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\hkd.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\huf.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\ils.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\inr.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\jpy.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\krw.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\myr.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\nok.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\nzd.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\php.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\pln.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\popup_but_cancel.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\popup_but_ok.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\popup_buyin_but_all.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\popup_buyin_tab.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\PushBut.wav
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\quickdeposit_button.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\ron.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\rur.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\sek.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\sgd.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\skk.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\status_dlg.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\sys_icons.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\system_but_close.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\system_but_inactive_close.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\system_but_inactive_minimise.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\system_but_minimise.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\table_logo_com.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\table_logo_net.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\thb.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\trny_buyin_botbg.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\try.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\twd.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\usd.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\version.txt
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\version_button.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\win.wav
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\games\zar.png
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\icon_three.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\icon_ticked.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_account_background.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_account_divider.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_ani_refresh.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_bar_jackpot.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_bar_jackpot_numbers.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_bar_jackpot_numbers.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_bar_jackpot_numbers_small.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_bar_news.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_but_cashout.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_but_deposit.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_but_deposit_large.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_but_options.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_but_redeem.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_but_refresh.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_but_reload_play.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_but_status.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_details_open.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_link_arrow.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\lhn_tab_background.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\loading.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\menu_01_myaccount.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\menu_02_cashier.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\menu_03_news.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\menu_04_rules.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\menu_05_tellfriend.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\menu_06_about.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\menu_07_help.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\new-mail-icon.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\no-mail-icon.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\PartyCasino.ico
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\popup_login_bottom.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\popup_login_top.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\popup_register_bottomleft.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\popup_register_top.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\skin.bmp
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\skin_account.bmp
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\spacer.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\system_but_bets.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\system_but_bingo.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\system_but_cashier.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\system_but_connected.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\system_but_gammon.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\system_but_poker.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\system_but_security.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\ticker_bg.jpg
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\up_arrow.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\up_arrow_o.gif
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\images\version.txt
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\lang_pack_en_US.txt
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\en_US\version.txt
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\language\version.txt
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\lobbyconfig.txt
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\PartyCasino.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\sys.ini
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|c:\program files\partygaming\PartyCasino\version.txt
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\kb127\SearchSettings.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\kb127\SearchSettingsRes409.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.exe
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.11 (fr) *
.
C:\Documents and Settings\Utilisateur\..\9wivap2b.default\prefs.js - browser.download.dir: C:\\Documents and Settings\\Utilisateur\\Bureau
C:\Documents and Settings\Utilisateur\..\9wivap2b.default\prefs.js - browser.download.lastDir: G:\\AZUREUS DOWNLOADS
C:\Documents and Settings\Utilisateur\..\9wivap2b.default\prefs.js - browser.startup.homepage: hxxp://news.google.fr/
C:\Documents and Settings\Utilisateur\..\9wivap2b.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.11
C:\Documents and Settings\Utilisateur\..\9wivap2b.default\prefs.js - keyword.URL: hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA5&q=
C:\Documents and Settings\HelpAssistant\..\9wivap2b.default\prefs.js - browser.download.dir: C:\\Documents and Settings\\Utilisateur\\Bureau
C:\Documents and Settings\HelpAssistant\..\9wivap2b.default\prefs.js - browser.download.lastDir: G:\\AZUREUS DOWNLOADS
C:\Documents and Settings\HelpAssistant\..\9wivap2b.default\prefs.js - browser.startup.homepage: hxxp://news.google.fr/
C:\Documents and Settings\HelpAssistant\..\9wivap2b.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2
C:\Documents and Settings\HelpAssistant\..\9wivap2b.default\prefs.js - keyword.URL: hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA5&q=
C:\Documents and Settings\LocalService\..\g0cyh3yb.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.14
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Ad-Remover\Backup: 14 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 511 Octet(s)
C:\Ad-Report-CLEAN[2].txt - 26239 Octet(s)
.
Fin à: 13:42:47, 23/10/2010
.
============== E.O.F - CLEAN[2] ==============

Réponse 7 / 50

H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
24 oct. 2010 à 13:22

Parfait, la suite :

Note : tu as une infection qui se propage par les disques amovibles.

● Télécharge UsbFix sur ton bureau en cliquant sur le bouton Download de cette page

● Double clique sur UsbFix.exe

● Clique sur le bouton "Recherche"

● Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK

● Patiente pendant que l'outil travaille

● A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse

▲ Le rapport est sauvegardé dans C:\UsbFix.txt

Note :
UsbFix.exe peut être détecté à tort par certains antivirus, ignore l'alerte.

Réponse 8 / 50

Alex
24 oct. 2010 à 13:42

Ok merci!! Je ne pensais pas que cela pouvait être mes disques durs...

Voilà le rapport :

############################## | UsbFix 7.033 | [Recherche]

Utilisateur: Utilisateur (Administrateur) # PROPRI-9F974498 [ ]
Mis à jour le 23/10/10 par El Desaparecido / C_XX
Lancé à 13:36:46 | 24/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: AMD Athlon(tm) 64 Processor 3500+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83886757 [(!) Disabled | Updated]
Antivirus: Emsisoft Anti-Malware 5 [(!) Disabled | Updated]
RAM -> 1983 Mo
C:\ (%systemdrive%) -> Disque fixe # 24 Go (4 Go libre(s) - 16%) [] # NTFS
D:\ -> Disque fixe # 87 Go (29 Go libre(s) - 34%) [] # NTFS
E:\ -> CD-ROM
G:\ -> Disque fixe # 466 Go (88 Go libre(s) - 19%) [MYBOOK] # FAT32

################## | Éléments infectieux |

Présent! G:\Autorun.inf

################## | Registre |

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\G
Shell\AutoRun\Command = wd_windows_tools\setup.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{19b8490f-6514-11dc-95be-001a92387278}
Shell\AutoRun\Command = G:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{2657d7fa-5f8b-11dc-95bb-001a92387278}
Shell\AutoRun\Command = I:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{6459f9d4-006b-11de-97e6-001a92387278}
Shell\AutoRun\Command = ie.exe
Shell\explore\Command = ie.exe
Shell\open\Command = ie.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{7819beea-6aa4-11dc-95c5-001a92387278}
Shell\Auto\Command = AdobeR.exe e
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\.\.\.\.\Explorer\MountPoints2\{e7eadefb-316c-11dd-96ce-001a92387278}
Shell\AutoRun\Command = wd_windows_tools\setup.exe

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Réponse 9 / 50

H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
24 oct. 2010 à 21:11

OK, on passe à la suppression :

● Relance UsbFix.exe

● Clique sur le bouton "Suppression"

● Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK

● Patiente pendant que l'outil travaille

● A la fin de la suppression un rapport va s'ouvrir, copie/colle le dans ta réponse

▲ Le rapport est sauvegardé dans C:\UsbFix.txt

Puis refais un rapport ZHPDiag comme ceci :

● Double clique ZHPDiag présent sur ton bureau

● Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan

● Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau

● Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse

Réponse 10 / 50

Alex
25 oct. 2010 à 00:01

Bonsoir RV.

Voici le rapport UsbFix, par contre ZHPdiag s'arrête à 44% et me mets : "argument incorrect pour l'encodage de date"...

Que dois-je faire? Et je ne risque pas de perdre toutes mes donnés sur mes disques amovibles (j'y ai toute ma vie lol)?

############################## | UsbFix 7.033 | [Suppression]

Utilisateur: Utilisateur (Administrateur) # PROPRI-9F974498 [ ]
Mis à jour le 23/10/10 par El Desaparecido / C_XX
Lancé à 23:43:11 | 24/10/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: AMD Athlon(tm) 64 Processor 3500+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83886757 [(!) Disabled | Updated]
Antivirus: Emsisoft Anti-Malware 5 [(!) Disabled | Updated]
RAM -> 1983 Mo
C:\ (%systemdrive%) -> Disque fixe # 24 Go (4 Go libre(s) - 17%) [] # NTFS
D:\ -> Disque fixe # 87 Go (12 Go libre(s) - 14%) [] # NTFS
E:\ -> CD-ROM
G:\ -> Disque fixe # 466 Go (109 Go libre(s) - 23%) [MYBOOK] # FAT32

################## | Éléments infectieux |

Supprimé! G:\Autorun.inf
Supprimé! C:\Recycler\S-1-5-21-725345543-1647877149-682003330-1003
Supprimé! D:\Recycler\S-1-5-21-527237240-2077806209-725345543-1003
Supprimé! D:\Recycler\S-1-5-21-725345543-1647877149-682003330-1003
Supprimé! D:\Recycler\S-1-5-21-842925246-1580818891-839522115-1004

################## | Registre |

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\G
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{19b8490f-6514-11dc-95be-001a92387278}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2657d7fa-5f8b-11dc-95bb-001a92387278}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{6459f9d4-006b-11de-97e6-001a92387278}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7819beea-6aa4-11dc-95c5-001a92387278}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e7eadefb-316c-11dd-96ce-001a92387278}

################## | Listing |

[23/10/2010 - 13:35:57 | D ] C:\Ad-Remover
[30/12/2009 - 19:08:17 | N | 621] C:\Ad-Report-CLEAN[1].log
[23/10/2010 - 13:07:44 | N | 511] C:\Ad-Report-CLEAN[1].txt
[31/08/2007 - 20:59:34 | N | 0] C:\AUTOEXEC.BAT
[31/08/2007 - 21:30:02 | N | 224] C:\boot.ini
[02/03/2006 - 14:00:00 | N | 4952] C:\Bootfont.bin
[17/10/2010 - 11:12:25 | D ] C:\Config.Msi
[31/08/2007 - 20:59:34 | N | 0] C:\CONFIG.SYS
[13/12/2009 - 15:53:54 | D ] C:\Documents and Settings
[31/08/2007 - 20:59:34 | N | 0] C:\IO.SYS
[17/10/2010 - 10:53:16 | N | 481] C:\JavaRa.log
[31/08/2007 - 21:28:25 | N | 195] C:\LAN.log
[12/02/2009 - 18:32:38 | D ] C:\logs
[05/02/2010 - 21:46:33 | N | 853] C:\mail marieete anniv fil.txt
[31/08/2007 - 20:59:34 | N | 0] C:\MSDOS.SYS
[02/03/2006 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[11/01/2009 - 15:30:26 | N | 252240] C:\ntldr
[24/10/2010 - 12:30:41 | ASH | 704643072] C:\pagefile.sys
[23/10/2010 - 13:35:21 | D ] C:\Program Files
[24/10/2010 - 23:54:44 | SHD ] C:\RECYCLER
[31/08/2007 - 21:26:31 | N | 499] C:\RHDSetup.log
[19/11/2008 - 21:28:13 | N | 232] C:\sqmdata00.sqm
[20/11/2008 - 00:26:34 | N | 232] C:\sqmdata01.sqm
[20/11/2008 - 09:26:27 | N | 232] C:\sqmdata02.sqm
[21/11/2008 - 01:29:57 | N | 232] C:\sqmdata03.sqm
[14/06/2008 - 03:07:30 | N | 268] C:\sqmdata04.sqm
[14/06/2008 - 08:36:58 | N | 268] C:\sqmdata05.sqm
[15/06/2008 - 01:10:12 | N | 268] C:\sqmdata06.sqm
[15/06/2008 - 12:31:18 | N | 268] C:\sqmdata07.sqm
[16/06/2008 - 08:06:48 | N | 268] C:\sqmdata08.sqm
[16/06/2008 - 19:09:41 | N | 268] C:\sqmdata09.sqm
[17/06/2008 - 08:12:22 | N | 268] C:\sqmdata10.sqm
[17/06/2008 - 17:34:47 | N | 268] C:\sqmdata11.sqm
[19/06/2008 - 13:36:21 | N | 268] C:\sqmdata12.sqm
[19/06/2008 - 23:28:48 | N | 268] C:\sqmdata13.sqm
[23/06/2008 - 16:14:30 | N | 268] C:\sqmdata14.sqm
[24/06/2008 - 08:19:57 | N | 268] C:\sqmdata15.sqm
[25/06/2008 - 00:03:08 | N | 268] C:\sqmdata16.sqm
[27/06/2008 - 00:37:24 | N | 268] C:\sqmdata17.sqm
[27/06/2008 - 08:22:28 | N | 268] C:\sqmdata18.sqm
[19/11/2008 - 21:23:53 | N | 232] C:\sqmdata19.sqm
[19/11/2008 - 21:28:13 | N | 244] C:\sqmnoopt00.sqm
[20/11/2008 - 00:26:33 | N | 244] C:\sqmnoopt01.sqm
[20/11/2008 - 09:26:26 | N | 244] C:\sqmnoopt02.sqm
[21/11/2008 - 01:29:57 | N | 244] C:\sqmnoopt03.sqm
[14/06/2008 - 03:07:30 | N | 244] C:\sqmnoopt04.sqm
[14/06/2008 - 08:36:58 | N | 244] C:\sqmnoopt05.sqm
[15/06/2008 - 01:10:12 | N | 244] C:\sqmnoopt06.sqm
[15/06/2008 - 12:31:17 | N | 244] C:\sqmnoopt07.sqm
[16/06/2008 - 08:06:48 | N | 244] C:\sqmnoopt08.sqm
[16/06/2008 - 19:09:41 | N | 244] C:\sqmnoopt09.sqm
[17/06/2008 - 08:12:22 | N | 244] C:\sqmnoopt10.sqm
[17/06/2008 - 17:34:47 | N | 244] C:\sqmnoopt11.sqm
[19/06/2008 - 13:36:21 | N | 244] C:\sqmnoopt12.sqm
[19/06/2008 - 23:28:47 | N | 244] C:\sqmnoopt13.sqm
[23/06/2008 - 16:14:29 | N | 244] C:\sqmnoopt14.sqm
[24/06/2008 - 08:19:56 | N | 244] C:\sqmnoopt15.sqm
[25/06/2008 - 00:03:08 | N | 244] C:\sqmnoopt16.sqm
[27/06/2008 - 00:37:24 | N | 244] C:\sqmnoopt17.sqm
[27/06/2008 - 08:22:28 | N | 244] C:\sqmnoopt18.sqm
[19/11/2008 - 21:23:52 | N | 244] C:\sqmnoopt19.sqm
[31/08/2007 - 21:04:16 | SHD ] C:\System Volume Information
[17/01/2010 - 18:11:41 | N | 3472] C:\TB.txt
[08/08/2008 - 00:00:42 | D ] C:\Temp
[17/01/2010 - 18:11:41 | D ] C:\ToolBar SD
[24/10/2010 - 23:55:00 | D ] C:\UsbFix
[24/10/2010 - 23:55:01 | A | 1218] C:\UsbFix.txt
[31/08/2007 - 21:24:25 | N | 86] C:\vga.log
[22/10/2010 - 18:57:44 | D ] C:\WINDOWS
[16/11/2006 - 11:37:19 | D ] D:\75efa9e0d371a43d3d3175aa4bf8
[16/03/2007 - 22:15:51 | D ] D:\AL travail
[24/10/2010 - 18:31:28 | D ] D:\Azureus downloads
[23/04/2008 - 20:08:42 | D ] D:\Cooledit Sound
[19/07/2007 - 23:43:13 | D ] D:\Favoris
[19/07/2007 - 23:41:52 | D ] D:\Favoris_marquepages
[20/01/2010 - 17:43:52 | D ] D:\Guitar Pro 5.2 (with complete RSE packs)
[16/06/2007 - 02:22:17 | N | 20480] D:\interviewwelcometomiami.doc
[22/10/2010 - 19:14:10 | D ] D:\JEUX WII
[11/12/2006 - 18:24:16 | N | 157184] D:\Ju mailz.doc
[21/10/2010 - 22:00:06 | D ] D:\Logiciels - MAJ
[02/04/2008 - 19:01:23 | N | 5201] D:\mail julie.txt
[24/10/2010 - 23:54:45 | SHD ] D:\RECYCLER
[15/12/2004 - 19:10:22 | D ] D:\SXS
[11/10/2004 - 20:19:32 | SHD ] D:\System Volume Information
[08/08/2008 - 00:00:42 | D ] D:\Temp
[05/06/2004 - 15:05:54 | D ] D:\WUTemp
[16/10/2008 - 16:28:30 | D ] G:\.Trashes
[16/10/2008 - 16:28:30 | N | 4096] G:\._.Trashes
[18/10/2008 - 20:56:46 | N | 12292] G:\.DS_Store
[03/10/2010 - 19:54:54 | D ] G:\.fseventsd
[04/04/2008 - 13:50:08 | D ] G:\wd_windows_tools
[27/09/2010 - 20:51:04 | D ] G:\GARAGE BAND
[03/06/2008 - 14:59:40 | SHD ] G:\System Volume Information
[18/10/2008 - 16:05:10 | D ] G:\.Spotlight-V100
[17/07/2010 - 19:38:20 | N | 0] G:\.com.apple.timemachine.donotpresent
[17/07/2010 - 19:38:20 | N | 4096] G:\._.com.apple.timemachine.donotpresent
[03/06/2008 - 15:19:08 | D ] G:\INSTALL
[03/06/2008 - 15:19:34 | D ] G:\PHOTOS
[03/06/2008 - 15:19:40 | D ] G:\FILMS
[03/06/2008 - 15:19:50 | D ] G:\MUSIQUE
[03/06/2008 - 17:52:58 | D ] G:\TRAVAIL
[03/06/2008 - 17:59:08 | D ] G:\AZUREUS DOWNLOADS
[03/06/2008 - 18:01:10 | D ] G:\LOGICIELS
[02/08/2008 - 13:07:48 | D ] G:\SLSK DOWNLOADS!!!
[03/06/2008 - 18:07:04 | D ] G:\DIVERS
[03/06/2008 - 18:07:24 | D ] G:\WELCOME TO MIAMI
[30/08/2008 - 23:41:14 | D ] G:\MUSIC
[25/02/2009 - 20:20:20 | D ] G:\HOME-STUDIO
[30/03/2009 - 21:54:58 | D ] G:\Demo W2M 2008
[22/07/2009 - 13:02:12 | D ] G:\Ma musique
[21/08/2009 - 19:57:40 | D ] G:\ad87eade3164b450dea15a84f210
[10/09/2009 - 15:19:12 | N | 3534658] G:\MOV00989.MP4
[10/09/2009 - 15:18:54 | N | 5001314] G:\MOV00995.MP4
[10/09/2009 - 15:21:14 | N | 8023056] G:\MOV00997.MP4
[06/02/2010 - 15:59:30 | N | 111083520] G:\Al red hot!!.MTS
[19/03/2010 - 17:42:48 | D ] G:\TRAVAUX FAC
[12/10/2010 - 18:30:48 | SHD ] G:\Recycled
[16/10/2010 - 15:10:20 | D ] G:\DISQUE DUR JULIE
[24/10/2010 - 18:13:08 | D ] G:\JEUX WII

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

Réponse 11 / 50

Alex
25 oct. 2010 à 00:13

Et encore une question (merci de ta patience...) :

Je n'ai plus de place sur mon C: alors que j'avais encore qq gigas de libre. Dans le dossier UsbFix il y a un enorme dossier de 4Go, j'espère qu'il ne s'agit pas de choses à supprimer car je ne sais même pas ce que c'est...? Cela peut-il être des photos ou de la musique??

Merci de ta réponse.

Réponse 12 / 50

H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
25 oct. 2010 à 09:37

Salut,

Pas de risque pour tes données avec UsbFix.
Tu peux désinstaller UsbFix (en le lançant et en choisissant désinstaller) pour libérer un peu de place.
Essaie ensuite de refaire un rapport ZHPDiag.

Réponse 13 / 50

Alex
25 oct. 2010 à 17:52

Hello!
Ecoute j'ai enlevé UsbFix sans pb, j'ai retrouvé de la place sur mon DD.
Par conter désinstallation de ZHP puis réinstallation, mais rien n'y fait, même message d'erreur et bloquage à 44%...?

PS : quelle est la partie de mon PC infectée??

Encore merci pour ton aide.

Réponse 14 / 50

Alex
25 oct. 2010 à 18:06

Ahhh.. J'ai cherché un peu sur le net et trouvé qqun qui avait décoché l'option 44 de ZHP.
Cela a fonctionné et j'ai pu terminer le diagnostic.

Le voici :
http://www.cijoint.fr/cjlink.php?file=cj201010/cijJkJZgP5.txt

Par contre : Avast m'a indiqué lors de l'utilisation de ZHP qu'un cheval de troie avait été detecté dans MBR check...

Je ne comprends plus rien...!! lol

Merci.

Réponse 15 / 50

H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
25 oct. 2010 à 18:06

Peux-tu essayer en lançant ZHPDiag, en cliquant sur le tournevis puis en décochant l'option O44.
Clique ensuite sur la loupe pour relancer un scan.

Réponse 16 / 50

Alex
25 oct. 2010 à 18:11

Oui oui je l'ai fait!

cf le rapport dans mon post précédent.

Réponse 17 / 50

H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
25 oct. 2010 à 20:06

Le cheval de troie détecté par Avast dans MBRCheck est un faux positif.

On va nettoyer quelques restes :

● Sous XP : Double clique sur ZHPFix présent sur ton bureau
● Sous Vista/7 : Fais un clic droit sur ZHPFix présent sur ton bureau et sélectionne "Exécuter en tant qu'administrateur"

● Copie (Ctrl + C) le texte suivant :

O42 - Logiciel: Search Settings 1.2 - (.Pas de propriétaire.) [HKLM] -- {D0C73318-7B4A-4D16-A0C4-3B83F075EA88}
[HKLM\Software\Winsudate]
O64 - Services: CurCS - (.not file.) - Gestionnaire de mise à jour Winsudate (WinSvc)  .(.Pas de propriétaire - Pas de description.) - LEGACY_WINSVC
O64 - Services: CurCS - (.not file.) - {046C1EA3-24AA-465E-9C1E9F71C5D4909B} ({046C1EA3-24AA-465E-9C1E9F71C5D4909B})  .(.Pas de propriétaire - Pas de description.) - LEGACY_{046C1EA3-24AA-465E-9C1E9F71C5D4909B}
O64 - Services: CurCS - (.not file.) - {4D975CBC-3F01-436F-A03A2025FD66191D} ({4D975CBC-3F01-436F-A03A2025FD66191D})  .(.Pas de propriétaire - Pas de description.) - LEGACY_{4D975CBC-3F01-436F-A03A2025FD66191D}
O64 - Services: CurCS - (.not file.) - {70A86ADE-B2A1-4BEA-817DC1E5D5A1BF99} ({70A86ADE-B2A1-4BEA-817DC1E5D5A1BF99})  .(.Pas de propriétaire - Pas de description.) - LEGACY_{70A86ADE-B2A1-4BEA-817DC1E5D5A1BF99}
O64 - Services: CurCS - (.not file.) - {86702854-7078-4625-B84CBEBAA31E1204} ({86702854-7078-4625-B84CBEBAA31E1204})  .(.Pas de propriétaire - Pas de description.) - LEGACY_{86702854-7078-4625-B84CBEBAA31E1204}
O64 - Services: CurCS - (.not file.) - {D670F45D-BB23-46F6-91834274920AF7D8} ({D670F45D-BB23-46F6-91834274920AF7D8})  .(.Pas de propriétaire - Pas de description.) - LEGACY_{D670F45D-BB23-46F6-91834274920AF7D8}
O64 - Services: CurCS - (.not file.) - {E6FAEE82-1FAC-4B0D-986D9EAD69619E95} ({E6FAEE82-1FAC-4B0D-986D9EAD69619E95})  .(.Pas de propriétaire - Pas de description.) - LEGACY_{E6FAEE82-1FAC-4B0D-986D9EAD69619E95}

● Clique sur l'icône représentant un H vert, le texte précédemment copier va apparaître

● Clique sur le bouton OK, Tous puis sur Nettoyer

● Copie/colle le rapport qui apparaîtra à la fin

► Aide en images

Puis, désactive Avast (le temps de faire ce scan) et :

● Sous XP : Double clique sur MBRCHeck.exe présent sur ton bureau
● Sous Vista/7 : Fais un clic droit sur MBRCheck.exe et sélectionne "Exécuter en tant qu'administrateur"

● Une fenêtre s'ouvre :
▲ Si tu as un message de ce genre : Done! Press ENTER to exit...
Appuie sur Entrée
▲ Si tu as un message de ce genre : Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Appuie sur la touche N puis ur Entrée

● Un fichier texte de la forme MBRCheck_xx.xx.xx_xx.xx.xx s'est crée sur ton bureau, copie/colle son contenu dans ta réponse

Réponse 18 / 50

Alex
25 oct. 2010 à 20:37

Ok alors voilà:

Quand j'ai copié le texte, l'étape suivante où je devais appuyer sur H n'a pas fonctionné.
Je suis allé à la ligne et j'ai fait Ctrl+V.

Voici le rapport, très court, de ZHPFix:

Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre :
Run by Utilisateur at 25/10/2010 20:32:45
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Récapitulatif ==========

End of the scan

Et celui de MBR check:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000000dd

Kernel Drivers (total 128):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA5AC000 viaide.sys
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AE000 dmload.sys
0xB9F22000 dmio.sys
0xBA330000 PartMgr.sys
0xBA0C8000 VolSnap.sys
0xB9F0A000 atapi.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EEA000 fltmgr.sys
0xB9ED8000 sr.sys
0xBA0F8000 PxHelp20.sys
0xB9EC1000 KSecDD.sys
0xB9EAE000 WudfPf.sys
0xB9E21000 Ntfs.sys
0xB9DF4000 NDIS.sys
0xB9DDA000 Mup.sys
0xBA108000 gagp30kx.sys
0xBA148000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xB93C7000 \SystemRoot\system32\DRIVERS\S3gIGPm.sys
0xB93B3000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA158000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA3E8000 \SystemRoot\system32\drivers\Afc.sys
0xBA168000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA178000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9390000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA3F0000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0xBA3F8000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB936C000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA400000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xBA408000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB9358000 \SystemRoot\system32\DRIVERS\parport.sys
0xBA5CE000 \SystemRoot\system32\DRIVERS\ASACPI.sys
0xBA188000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA410000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA418000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB9347000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA584000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB931F000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB930B000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xBA420000 \SystemRoot\System32\Drivers\l6dp.sys
0xBA765000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA1F8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA588000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB92AA000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA208000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA218000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA430000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB9299000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA228000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA438000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA440000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB913F000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA238000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA5E4000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB90E1000 \SystemRoot\system32\DRIVERS\update.sys
0xBA5A4000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA248000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA288000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA5EA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB7C3D000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB7C19000 \SystemRoot\system32\drivers\portcls.sys
0xBA2C8000 \SystemRoot\system32\drivers\drmk.sys
0xBA460000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xBA2D8000 \??\C:\Program Files\Emsisoft Anti-Malware\a2dix86.sys
0xBA5F4000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA6B6000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5F6000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA470000 \SystemRoot\System32\drivers\vga.sys
0xBA5F8000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5FA000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA478000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA480000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB90D5000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB7A45000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB79EC000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xBA2E8000 \SystemRoot\System32\Drivers\aswTdi.SYS
0xB79C4000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB79A2000 \SystemRoot\System32\drivers\afd.sys
0xBA2F8000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB78D7000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB7867000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA318000 \SystemRoot\System32\Drivers\Fips.SYS
0xB7841000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB9523000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB77F2000 \SystemRoot\System32\Drivers\aswSP.SYS
0xBA4A0000 \SystemRoot\System32\Drivers\Aavmker4.SYS
0xBA5FC000 \??\C:\Program Files\Emsisoft Anti-Malware\a2util32.sys
0xBA4B0000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB9503000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB77DA000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA606000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB7B67000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA360000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA6E8000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\S3gIGP.dll
0xBF0D7000 \SystemRoot\System32\s3gcil_inv.dll
0xB2816000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB27F2000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
0xB2556000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB2377000 \SystemRoot\System32\Drivers\aswMon2.SYS
0xB22AF000 \??\C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\a2accx86.sys
0xB206A000 \SystemRoot\system32\drivers\wdmaud.sys
0xB24E6000 \SystemRoot\system32\drivers\sysaudio.sys
0xB2015000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xBA624000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB1EAA000 \SystemRoot\system32\DRIVERS\srv.sys
0xBA370000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xB1C07000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xBA3E0000 \SystemRoot\System32\Drivers\aswRdr.SYS
0xB191B000 \SystemRoot\System32\Drivers\HTTP.sys
0xBA388000 \??\C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\mbr.sys
0xB0F79000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 44):
0 System Idle Process
4 System
644 C:\WINDOWS\system32\smss.exe
692 csrss.exe
720 C:\WINDOWS\system32\winlogon.exe
764 C:\WINDOWS\system32\services.exe
776 C:\WINDOWS\system32\lsass.exe
940 C:\Program Files\Emsisoft Anti-Malware\a2service.exe
1000 C:\WINDOWS\system32\svchost.exe
1288 svchost.exe
1384 C:\WINDOWS\system32\svchost.exe
1468 C:\WINDOWS\system32\svchost.exe
1716 C:\WINDOWS\explorer.exe
1744 svchost.exe
1884 svchost.exe
236 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
1152 C:\WINDOWS\system32\spoolsv.exe
2440 svchost.exe
2472 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
2564 C:\Program Files\Bonjour\mDNSResponder.exe
2688 C:\WINDOWS\system32\CTSVCCDA.EXE
2728 C:\Program Files\Java\jre6\bin\jqs.exe
2748 C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdxserv.exe
2824 C:\WINDOWS\system32\lxdxcoms.exe
2888 C:\WINDOWS\system32\svchost.exe
3724 alg.exe
3960 C:\WINDOWS\system32\VTTimer.exe
3996 C:\WINDOWS\system32\S3Trayp.exe
2108 C:\WINDOWS\system32\svchost.exe
2244 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2256 C:\WINDOWS\RTHDCPL.exe
2324 C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
2348 C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe
2404 C:\Program Files\Lexmark 3600-4600 Series\lxdxmsdmon.exe
2560 C:\Program Files\iTunes\iTunesHelper.exe
2604 C:\PROGRA~1\ALWILS~1\Avast5\AvastUI.exe
2624 C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
2664 C:\WINDOWS\system32\ctfmon.exe
2956 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
3192 C:\Program Files\iPod\bin\iPodService.exe
3484 C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
4016 C:\Program Files\Safari\Safari.exe
1880 C:\WINDOWS\system32\wscntfy.exe
2364 C:\Program Files\ZHPDiag\mbrcheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000'00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000006'1a79e400 (NTFS)
\\.\G: --> \\.\PhysicalDrive1 at offset 0x00000000'00007e00 (FAT32)

PhysicalDrive0 Model Number: ST3120022A, Rev: 3.54
PhysicalDrive1 Model Number: WD5000AAV External, Rev: 1.65

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 MBR Code Faked (known infection: Whistler / Black Internet)!
SHA1: 4A4872B1D1B16E4FA12FAD8FFD2CBE3B91CC96B1
465 GB \\.\PhysicalDrive1 RE: Western Digital MBR code detected
SHA1: CCCF1B32EE08ECFB66B30883CFF6110F69219FEA

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

Réponse 19 / 50

H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
26 oct. 2010 à 09:34

Peux-tu, me donner la marque de ton PC et refaire la manip ZHPFix qui n'a pas fonctionné.

Réponse 20 / 50

Alex
26 oct. 2010 à 19:57

Hello RV.
Ca a fonctionné, je n'avais pas selectionné "tous".
Pour mon PC je n'ai pas de marque car je l'ai fait monter il y a qq années par une boite d'informatique...

Voici le rapport ZHPFix :

Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre :
Run by Utilisateur at 26/10/2010 19:55:49
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\Software\Winsudate => Clé absente
O64 - Services: CurCS - (.not file.) - Gestionnaire de mise à jour Winsudate (WinSvc) .(.Pas de propriétaire - Pas de description.) - LEGACY_WINSVC => Clé absente
O64 - Services: CurCS - (.not file.) - {046C1EA3-24AA-465E-9C1E9F71C5D4909B} ({046C1EA3-24AA-465E-9C1E9F71C5D4909B}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{046C1EA3-24AA-465E-9C1E9F71C5D4909B} => Clé absente
O64 - Services: CurCS - (.not file.) - {4D975CBC-3F01-436F-A03A2025FD66191D} ({4D975CBC-3F01-436F-A03A2025FD66191D}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{4D975CBC-3F01-436F-A03A2025FD66191D} => Clé absente
O64 - Services: CurCS - (.not file.) - {70A86ADE-B2A1-4BEA-817DC1E5D5A1BF99} ({70A86ADE-B2A1-4BEA-817DC1E5D5A1BF99}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{70A86ADE-B2A1-4BEA-817DC1E5D5A1BF99} => Clé absente
O64 - Services: CurCS - (.not file.) - {86702854-7078-4625-B84CBEBAA31E1204} ({86702854-7078-4625-B84CBEBAA31E1204}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{86702854-7078-4625-B84CBEBAA31E1204} => Clé absente
O64 - Services: CurCS - (.not file.) - {D670F45D-BB23-46F6-91834274920AF7D8} ({D670F45D-BB23-46F6-91834274920AF7D8}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{D670F45D-BB23-46F6-91834274920AF7D8} => Clé absente
O64 - Services: CurCS - (.not file.) - {E6FAEE82-1FAC-4B0D-986D9EAD69619E95} ({E6FAEE82-1FAC-4B0D-986D9EAD69619E95}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{E6FAEE82-1FAC-4B0D-986D9EAD69619E95} => Clé absente

========== Logiciel(s) ==========
O42 - Logiciel: Search Settings 1.2 - (.Pas de propriétaire.) [HKLM] -- {D0C73318-7B4A-4D16-A0C4-3B83F075EA88} => Logiciel déjà supprimé

========== Récapitulatif ==========
8 : Clé(s) du Registre
1 : Logiciel(s)

End of the scan

Et voici le rapport MBR CHeck après le fonctionnement de ZHBFix:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000005d

Kernel Drivers (total 126):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA5AC000 viaide.sys
0xBA0B8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AE000 dmload.sys
0xB9F22000 dmio.sys
0xBA330000 PartMgr.sys
0xBA0C8000 VolSnap.sys
0xB9F0A000 atapi.sys
0xBA0D8000 disk.sys
0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EEA000 fltmgr.sys
0xB9ED8000 sr.sys
0xBA0F8000 PxHelp20.sys
0xB9EC1000 KSecDD.sys
0xB9EAE000 WudfPf.sys
0xB9E21000 Ntfs.sys
0xB9DF4000 NDIS.sys
0xB9DDA000 Mup.sys
0xBA108000 gagp30kx.sys
0xBA1C8000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xB9496000 \SystemRoot\system32\DRIVERS\S3gIGPm.sys
0xB9482000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA1D8000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA410000 \SystemRoot\system32\drivers\Afc.sys
0xBA1E8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA1F8000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB945F000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA418000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0xBA420000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB943B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA428000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xBA430000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB9427000 \SystemRoot\system32\DRIVERS\parport.sys
0xBA5D2000 \SystemRoot\system32\DRIVERS\ASACPI.sys
0xBA208000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA438000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xBA440000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xB9416000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA584000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB93EE000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB93DA000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xBA450000 \SystemRoot\System32\Drivers\l6dp.sys
0xBA772000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA268000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA598000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB93B2000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA278000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA288000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA458000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB93A1000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA298000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA468000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA478000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB9357000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA2A8000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA5F2000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB92DA000 \SystemRoot\system32\DRIVERS\update.sys
0xB9DA2000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA2B8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA2F8000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA5FC000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xB7D06000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB7CE2000 \SystemRoot\system32\drivers\portcls.sys
0xBA318000 \SystemRoot\system32\drivers\drmk.sys
0xBA4B0000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xB95F2000 \??\C:\Program Files\Emsisoft Anti-Malware\a2dix86.sys
0xBA612000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA673000 \SystemRoot\System32\Drivers\Null.SYS
0xBA614000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA368000 \SystemRoot\System32\drivers\vga.sys
0xBA616000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA618000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA370000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA378000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB9D92000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB7B19000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB7AC0000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB95E2000 \SystemRoot\System32\Drivers\aswTdi.SYS
0xB7A98000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB7A76000 \SystemRoot\System32\drivers\afd.sys
0xB95D2000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB7A4B000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB79DB000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB95B2000 \SystemRoot\System32\Drivers\Fips.SYS
0xB79B5000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB95A2000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB785B000 \SystemRoot\System32\Drivers\aswSP.SYS
0xBA388000 \SystemRoot\System32\Drivers\Aavmker4.SYS
0xBA61C000 \??\C:\Program Files\Emsisoft Anti-Malware\a2util32.sys
0xBA390000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xBA188000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB7837000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xB781F000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA5BE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB9DB2000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA3F0000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA69A000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\S3gIGP.dll
0xBF0D7000 \SystemRoot\System32\s3gcil_inv.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB285F000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
0xB272B000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB24D0000 \SystemRoot\System32\Drivers\aswMon2.SYS
0xB200B000 \SystemRoot\system32\drivers\wdmaud.sys
0xB2090000 \SystemRoot\system32\drivers\sysaudio.sys
0xB1FB6000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xBA640000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB1E4B000 \SystemRoot\system32\DRIVERS\srv.sys
0xBA3C0000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xB1B30000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xB1C2B000 \??\C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\a2accx86.sys
0xB16B4000 \SystemRoot\System32\Drivers\HTTP.sys
0xBA3A8000 \SystemRoot\System32\Drivers\aswRdr.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 45):
0 System Idle Process
4 System
644 C:\WINDOWS\system32\smss.exe
692 csrss.exe
720 C:\WINDOWS\system32\winlogon.exe
764 C:\WINDOWS\system32\services.exe
776 C:\WINDOWS\system32\lsass.exe
936 C:\Program Files\Emsisoft Anti-Malware\a2service.exe
996 C:\WINDOWS\system32\svchost.exe
1064 svchost.exe
1160 C:\WINDOWS\system32\svchost.exe
1192 C:\WINDOWS\system32\svchost.exe
1368 svchost.exe
1528 svchost.exe
1708 C:\WINDOWS\explorer.exe
1768 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
232 C:\WINDOWS\system32\VTTimer.exe
220 C:\WINDOWS\system32\S3Trayp.exe
252 C:\WINDOWS\RTHDCPL.exe
276 C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
288 C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe
452 C:\Program Files\iTunes\iTunesHelper.exe
464 C:\PROGRA~1\ALWILS~1\Avast5\AvastUI.exe
476 C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
488 C:\Program Files\Emsisoft Anti-Malware\a2guard.exe
496 C:\WINDOWS\system32\ctfmon.exe
512 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
520 C:\Program Files\Lexmark 3600-4600 Series\lxdxmsdmon.exe
568 C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
1540 C:\WINDOWS\system32\spoolsv.exe
2484 svchost.exe
2516 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
2532 C:\Program Files\Bonjour\mDNSResponder.exe
2628 C:\WINDOWS\system32\CTSVCCDA.EXE
2688 C:\Program Files\Java\jre6\bin\jqs.exe
2788 C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdxserv.exe
2968 C:\WINDOWS\system32\lxdxcoms.exe
3092 C:\WINDOWS\system32\svchost.exe
3504 C:\Program Files\iPod\bin\iPodService.exe
168 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2316 alg.exe
3844 C:\WINDOWS\system32\svchost.exe
2216 C:\Program Files\Safari\Safari.exe
3508 C:\WINDOWS\system32\msiexec.exe
2956 C:\Program Files\ZHPDiag\mbrcheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000'00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000006'1a79e400 (NTFS)
\\.\G: --> \\.\PhysicalDrive1 at offset 0x00000000'00007e00 (FAT32)

PhysicalDrive0 Model Number: ST3120022A, Rev: 3.54
PhysicalDrive1 Model Number: WD5000AAV External, Rev: 1.65

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 MBR Code Faked (known infection: Whistler / Black Internet)!
SHA1: 4A4872B1D1B16E4FA12FAD8FFD2CBE3B91CC96B1
465 GB \\.\PhysicalDrive1 RE: Western Digital MBR code detected
SHA1: CCCF1B32EE08ECFB66B30883CFF6110F69219FEA

Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

Discussions similaires

Prélèvement Google Ireland Limited

Discussions similaires

Newsletters