aide avec ordi contaminé!Fermé

Question

Bonjour,

j'ai besoin de vos avis et conseils éclairés! Depuis qq jours chez mes parents pour les fêtes, je découvre que leur ordinateur a des comportements plus que bizarres, preuve de virus: pages internet redirigées automatiquement vers des faux scans virus et demandes de téléchargement bidons... bref il est contaminé. Nod32 trouve bien un virus mais il ne peut le détruire. Je vous poste le log file Hijack et le rapport de Nod32. Merci d'avance.
Bonnes fêtes.

Nod32 trouve ca:
C:\Program Files\MSNFix\incl\Hostsclean.exe »AUTOIT »script.au3 - Win32/Packed.Autoit.Gen application

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:41:53, on 26/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Eset
od32kui.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Soft4Ever\looknstop\_looknstop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.aliceadsl.fr/default.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe

Utilisateur anonyme · Answer

Salut telecharges SDFix : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe                                          Double-cliques sur l'icone de ton bureau pour lancer l'installation... une fois installe, redemarre le                                pc en mode sans echec                                                                                                           Pour demarrer en mode sans echec, tu tapotes la touche F8 ou F5 de ton clavier jusqu'a                                         l'apparition d'un ecran noir avec plusieurs options>> choisis mode sans echec et valides par la                                    touche entree de ton clavier....                                                                                                Double -clique sur SDFix pour le lancer >> une fenetre noir apparait, appuie sur la touche Y de ton clavier...                le bureau disparait, c'est normal... le fix va travailler, patientes jusqu'a la fin du scan... une fois le pc nettoye,               SDFix te signalera que le pc va redemarrer,appuies sur 1 touche comme demande... Un rappost sera genere,              postes le stp

Utilisateur anonyme · Answer

Un nouveau rapport hijackthis stp !

Utilisateur anonyme · Answer

J'aimerai savoir avant de continuer, SDFix >> tu l'as fais avec les droits administrateurs ou                                         sur ta session ?

Utilisateur anonyme · Answer

Telecharges Combofix sur ton bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe                                                                                 /!\ Desactives tes protections ( Antivirus, Antispyware) , fermes tous les programmes et deconnectes toi                    d'internet /!\                                                                                                                          Double cliques sur Combofix >> il va te poser une question >> presses la touche 1 de ton clavier                              et valides par '' Entree''... /!\ Surtout ne touche a rien pendant le scan ( ni ta souris, ni ton clavier..)                          Patientes que Combofix ait fini de travailler >> un rapport est genere >> postes le !                                                                                                                                            Il est conseille d'installer la console de recuperation sur ton pc ( cela permettrais de reparer le                                    systeme au cas ou le pc ne demarrerais plus suite a la desinfection...

fabyah · Answer

Bon là j'avoue cet ordi me fait péter les plombs!
je m'explique: non seulement de me rediriger automatiquement vers des pages internet, il ne se connecte pas sur un certains nbr de site comme celui malwarebytes et combofix (impossible donc de les télécharger). Je les ai téléchargés d'un autre ordi. mais je n'arrive pas à les lancer. Combofix réagit (ou plutôt ne réagit pas!) comme malwarebytes: je clique et rien ne se passe... 
voilà. Très énervant.. ya pas idée de choper des virus comme ca!!!
donc là je suis à court d'idée.

Une suggestion?

Utilisateur anonyme · Answer

peux tu poster un nouveau rapport hijackthis !

Utilisateur anonyme · Answer

Peux tu faire Malwarebytes stp ! suis bien les instructions deja donnees >> supprimer la selection a la fin du scan et postes moi le rapport stp.. voir >> post 7<<<

Utilisateur anonyme · Answer

Bonjour, télècharges Findykill de Chiquitine29 sur ton bureau:                                                                                http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe                               Double cliques sur FindyKill.exe et lances l'installation...                                                                                                                                                  Double clique ensuite sur la nouvelle icone de ton bureau --> le programme se lance --> au menu                             choisis : l'option 1 ( recherche ), le menu demarrer et les icones vont disparaitre, c'est normal !                                 Ne touche à rien avant la fin du scan, puis appuies sur 1 touche --> un rapport est généré, postes le.

Utilisateur anonyme · Answer

Relances Findykill, choisis l'option2 ( nettoyage), ne touche a rien pendant la suppression, à la fin                               un rapport est généré, postes le...Ensuite telecharges ToolsCleaner2 sur ton bureau :                      http://pc-system.fr/                                                                                                               Double cliques sur ToolsCleaner2.exe pour le lancer, puis cliques sur recherche et laisses le scanner ton                       pc... cliques ensuite sur suppression pour finaliser, puis cliques sur quitter pour obtenir le rapport...                             Postes le rapport TCleaner.txt.

fabyah · Answer

le deuxième rapport:

 Rapport ToolsCleaner version 2.2.9 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\avenger.txt: trouvé !
C:\FindyKill.txt: trouvé !
C:\SDFIX: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\FindyKill: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Program Files\MsnFix: trouvé !
C:\Program Files\FindyKill: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !
C:\WINDOWS\NIRCMD.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\avenger.txt: supprimé !
C:\FindyKill.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\WINDOWS\NIRCMD.exe: supprimé !
C:\SDFIX: supprimé !
C:\Qoobox: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\FindyKill: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\MsnFix: supprimé !
C:\Program Files\FindyKill: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis: supprimé !

Utilisateur anonyme · Answer

Re, telecharges SDFix au post déjà donné et executes le en mode sans echec, postes le rapport généré...

fabyah · Answer

voici le rapport sdfix:


[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 30/12/2008 at 18:33

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\TDSSnrsr.dll - Deleted
C:\WINDOWS\system32\TDSSriqp.dll - Deleted
C:\WINDOWS\system32\TDSScfub.dll - Deleted
C:\WINDOWS\system32\TDSSfpmp.dll - Deleted
C:\WINDOWS\system32\TDSSosvn.dat - Deleted
C:\WINDOWS\system32\TDSStkdv.log - Deleted


Could Not Remove C:\WINDOWS\system32\TDSSoeqh.dll



Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-30 19:01:50
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Administrateur
tuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\eMule\emule.exe"="C:\eMule\emule.exe:*:Enabled:eMule"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:

C:\WINDOWS\system32\TDSSoeqh.dll Found

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sat 19 Apr 2008         4,348 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Sat  6 Sep 2008            20 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Sat 19 Apr 2008           400 A.SH. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"

[b]Finished![/b]

laila · Answer

tu veux te débarrasser de ces pages gênantes ?

clik sur démarrer, puis exécuter et tape msconfig
un tableau va s'afficher, clique sur démarrage et décoche ses sites qui te gênent !

Utilisateur anonyme · Answer

Supprime SDFix avec ToolsCleaner2, puis fais un scan de ton pc avec ton antivirus ( passes toolsclaner                        avant de faire le scan ( l'antivirus risque de s'affoler pour rien --> faux positif..) postes ensuite le rapport...

fabyah · Answer

bonjour feelgood1!

le scan de nod 32 a détecté qq trojan. alors je ne sais pas si c'est des faux positif!

je te copie les lignes en question:

C:\Backups\catchme.zip »ZIP »TDSSoeqh.dll - Win32/Agent.ODG cheval de Troie
C:\Backups\catchme.zip »ZIP »TDSSnrsr.dll - Win32/Agent.OIK cheval de Troie
C:\Backups\catchme.zip »ZIP »TDSSriqp.dll - Win32/Agent.OIK cheval de Troie
C:\Backups\catchme.zip »ZIP »TDSScfub.dll - Win32/Agent.ODG cheval de Troie

C:\Documents and Settings\Administrateur\Local Settings\Temp\TDSS1f2d.tmp - une variante de Win32/Kryptik.CV cheval de Troie

Nombre de menaces détectées: 4
Nombre de menaces actives: 1

voila! en tout cas l'ordi a l'air de refonctionner normalement..

Utilisateur anonyme · Answer

Tu n'as pas passé ToolsCleaner avant de faire le scan avec Nod32 ? tu vas telecharger RSIT sur ton                           bureau : http://images.malwareremoval.com/random/RSIT.exe  Double cliques sur                           Rsit.exe afin de lancer le programme ---> cliques sur continue, à l'ecran '' Disclaimer '' ---> si l'outil                              hijackthis ( version à jour) n'est pas présent sur le pc, Rsit le telechargera --> il faudra accepter                                  la license... Lorsque l'analyse est finie, deux fichiers textes s'ouvriront... Postes le                             contenu de log.txt ---> info.txt( dans la barre des taches)                                                                                                                                                                                                                                                                                                                              Note: le rapport se trouve aussi à la racine du disque dur --> C:\rsit

fabyah · Answer

si si j'ai passé toolscleaner avant le scan de nod32.

voici le rapport log.txt:

Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-31 13:29:00
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 9 GB (59%) free of 15 GB
Total RAM: 447 MB (35% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:29, on 31/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Eset
od32kui.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files	rend micro\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.aliceadsl.fr/default.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Aide avec ordi contaminé!

17 réponses

Discussions similaires

Newsletters