trjan downloader reno js détruit?Fermé

Question

Bonsoir,

l'ordinateur familial a été infecté par ce virus et je pense l'avoir éradiqué.J'ai ainsi obtenu 0 fichier infecté avec malwarebytes , windows defender et Mc Afee. 
J'aimerais néanmoins savoir si mon ordinateur est vraiment sain ou faut-il encore agir?

gen-hackman · Answer

salut :

&#9654 Télécharge Superantispyware (SAS) 

&#9654 Choisis "enregistrer" et enregistre-le sur ton bureau. 

&#9654 Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions. 

&#9654 Créé une icône sur le bureau. 

&#9654 Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer. 

&#9654- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes. 
&#9654- Sous Configuration and Preferences, clique sur le bouton "Preferences" 
&#9654- Clique sur l'onglet "Scanning Control " 
&#9654- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée : 

&#9654Close browsers before scanning 
&#9654Scan for tracking cookies 
&#9654Terminate memory threats before quarantining 

&#9654 Laisse les autres lignes décochées. 

&#9654 Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle. 

&#9654 Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer". 

&#9654 Dans la colonne de gauche, coche C:\Fixed Drive. 

&#9654 Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan" 

&#9654 Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan. 

&#9654 A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK. 

&#9654 Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next". 

&#9654 Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes. 

Pour recopier les informations sur le forum, fais ceci : 

&#9654 - après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS. 
&#9654 - Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ". 
&#9654- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log. 

&#9654 - Le rapport va s'ouvrir dans ton éditeur de texte par défaut. 

&#9654 - Copie son contenu dans ta réponse. 


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.

sabine28 · Answer

bonjour gen-hackman,

je n'ai pas eu de fichiers infectés donc le redémarrage n'a pas été nécessaire.
Le scan s'est terminé voici le rapport:

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 10/30/2009 at 11:58 AM

Application Version : 4.29.1004

Core Rules Database Version : 4212
Trace Rules Database Version: 2119

Scan type       : Complete Scan
Total Scan Time : 02:15:40

Memory items scanned      : 380
Memory threats detected   : 0
Registry items scanned    : 7008
Registry threats detected : 0
File items scanned        : 176482
File threats detected     : 0


Mon antivirus Mcafee a néanmoins bloqué des virus pendant le scan deSAS. Cela veut-il dire qu'il reste des virus? Merci

gen-hackman · Answer

possible de lire un rapport de mcAfee ?

vide sa quarantaine

sabine28 · Answer

bien sur..je ne sais pas par contre comment obtenir un rapport en .txt
donc je recopie les éléments détectés par Mc Afee:

MSA.EXE    Downloader-BWS
MSB.EXE    Downloader-BWS


emplacement d'origine: C:\_OTM\MOVEDFILES\10282009_104337\Windows
mis en quarantaine

gen-hackman · Answer

ok 

&#9654 Télécharge ToolsCleaner2 sur ton Bureau. 
* Double-clique sur ToolsCleaner2.exe pour le lancer(clic droit en tant qu'admmin sous Vista). 
* Clique sur Recherche et laisse le scan agir. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives. 
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

ensuite :

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

&#9654 Télécharge List&Kill'em et enregistre le sur ton bureau

Il ne necessite pas d'installation 

&#9654double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654laisse travailler l'outil

le rapport va s'afficher , une fois le scan fini

&#9654colle le contenu dans ta prochaine réponse

juliette98 · Answer

bonjour gen-hackman, 

le bureau de l'ordinateur familial est en pagaille et mon petit frère voudrait l'utiliser.
Evidemment je lui ai dis qu'il fallait attendre la fin de la désinfection...mais bon je sais pas trop ce qu'il faut faire 
maintenant...

gen-hackman · Answer

mets tout dans un dossier pour faire de la place on nettoiera tout ca a la fin ;)

sabine28 · Answer

merci gen-hackman^^

voici le rapport de toolscleaner2:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix.txt: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Users\Guillaume\Documents\Logiciels\A JEter\OTM.exe: trouvé !
C:\Users\Guillaume\Documents\Logiciels\A JEter\UsbFix.exe: trouvé !
C:\Users\Guillaume\Documents\Logiciels\A JEter\Rsit.exe: trouvé !


Corbeille vidée!
Fichiers temporaires nettoyés !
Restauration annulée !
---------------------------------
--> Suppression: 
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Users\Guillaume\Documents\Logiciels\A JEter\OTM.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Users\Guillaume\Documents\Logiciels\A JEter\UsbFix.exe: supprimé !
C:\Users\Guillaume\Documents\Logiciels\A JEter\Rsit.exe: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Program Files\ZHPDiag: supprimé !

gen-hackman · Answer

ok la suite 

à te lire....

sabine28 · Answer

ouf voilà la suite gen-hackman avec le rapport de recherche de killthem:

List'em by g3n-h@ckm@n 1.0.4.8 

Thx to Chiquitine29..... 

User : Guillaume () # PC2-GUILLAUME
Update on 29/10/2009 by g3n-h@ckm@n ::::: 18.30 
Start at: 20:12:50 | 30/10/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Core(TM)2 Duo CPU     T6400  @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 218,2 Go (92,91 Go free) [OS] | NTFS
D:\ -> Disque fixe local | 14,65 Go (8,47 Go free) [RECOVERY] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM

Nom de l'image                 PID Nom de la sessio Num‚ro de s Utilisation 
========================= ======== ================ =========== ============
System Idle Process              0 Services                   0        24 Ko
System                           4 Services                   0     3ÿ316 Ko
smss.exe                       276 Services                   0       736 Ko
csrss.exe                      336 Services                   0     6ÿ080 Ko
csrss.exe                      376 Console                    1     8ÿ108 Ko
wininit.exe                    384 Services                   0     3ÿ492 Ko
winlogon.exe                   428 Console                    1     4ÿ356 Ko
services.exe                   460 Services                   0     5ÿ840 Ko
lsass.exe                      472 Services                   0     3ÿ936 Ko
lsm.exe                        480 Services                   0     3ÿ772 Ko
svchost.exe                    632 Services                   0     5ÿ008 Ko
svchost.exe                    688 Services                   0     5ÿ984 Ko
svchost.exe                    736 Services                   0    27ÿ416 Ko
svchost.exe                    824 Services                   0     5ÿ568 Ko
svchost.exe                    848 Services                   0    15ÿ036 Ko
mcmscsvc.exe                  1188 Services                   0       560 Ko
mcagent.exe                   1488 Console                    1     1ÿ504 Ko
explorer.exe                  1444 Console                    1    27ÿ944 Ko
AcroRd32Info.exe              1472 Console                    1    18ÿ304 Ko
List_Killem.exe               1900 Console                    1     5ÿ632 Ko
cmd.exe                       1912 Console                    1     2ÿ260 Ko
WmiPrvSE.exe                   308 Services                   0     8ÿ484 Ko
unsecapp.exe                   672 Console                    1     3ÿ992 Ko
WmiPrvSE.exe                   684 Services                   0     5ÿ552 Ko
tasklist.exe                   608 Console                    1     4ÿ672 Ko
======================
Cles de demarrage "Run" 
======================
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="\"C:\Program Files\Daemon tools\DAEMON Tools Lite\daemon.exe\" -autorun"
"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="%ProgramFiles%\Windows Defender\MSASCui.exe -hide"
"SysTrayApp"="%ProgramFiles%\IDT\WDM\sttray.exe"
"StartupDelayer"="\"C:\Program Files\Startup Delayer\Startup Launcher GUI.exe\""
"PDVDDXSrv"="\"C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe\""
"dellsupportcenter"="\"C:\Program Files\Dell Support Center\bin\sprtcmd.exe\" /P dellsupportcenter"
"mcagent_exe"="\"C:\Program Files\McAfee.com\Agent\mcagent.exe\" /runkey"
"Malwarebytes Anti-Malware (reboot)"="\"C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe\" /runcleanupscript"
"Adobe Reader Speed Launcher"="\"C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe\""
"Adobe ARM"="\"C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
@=""

=====================
cles additionnelles
=====================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000002
"ConsentPromptBehaviorUser"=dword:00000001
"EnableInstallerDetection"=dword:00000001
"EnableLUA"=dword:00000001
"EnableSecureUIAPaths"=dword:00000001
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"scforceoption"=dword:00000000
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"FilterAdministratorToken"=dword:00000000
"EnableUIADesktopToggle"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\UIPI]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\UIPI\Clipboard\ExceptionFormats]
"CF_TEXT"=dword:00000001
"CF_BITMAP"=dword:00000002
"CF_OEMTEXT"=dword:00000007
"CF_DIB"=dword:00000008
"CF_PALETTE"=dword:00000009
"CF_UNICODETEXT"=dword:0000000d
"CF_DIBV5"=dword:00000011

=============== 
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]

=============== 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

======
BHO :
====== 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
@="AcroIEHelperStub"
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27B4851A-3207-45A2-B947-BE8AFE6163AB}]
@="McAfee Phishing Filter"
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
@="Search Helper"
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}]
@="scriptproxy"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C08DF07A-3E49-4E25-9AB0-D3882835F153}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
"NoExplorer"=dword:00000001

==========================
 
===============
Path : C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\10.0\DLLShared\;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Common Files\Microsoft Shared\Windows Live 
===============
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

C:\ProgramData\Application Data\Microsoft\Network\Downloader\qmgr0.dat  
C:\ProgramData\Application Data\Microsoft\Network\Downloader\qmgr1.dat  
C:\Users\Guillaume\LOCAL Settings\Temp\SSUPDATE.EXE  
C:\Users\Guillaume\LOCAL Settings\Temp	mp18E0.tmp  
C:\Users\Guillaume\LOCAL Settings\Temp	mp35B1.tmp  
C:\Users\Guillaume\LOCAL Settings\Temp	mp4695.tmp  
C:\Users\Guillaume\LOCAL Settings\Temp	mp4EDD.tmp  
C:\Users\Guillaume\LOCAL Settings\Temp	mp50A3.tmp  
C:\Users\Guillaume\LOCAL Settings\Temp	mpD2B.tmp  
 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : 

 
¤¤¤¤¤¤¤¤¤¤ C:\Windows\Prefetch : 

ACRORD32.EXE-6BF45B03.pf
ADOBEARM.EXE-368641B4.pf
ADOBEUPDATERINSTALLMGR.EXE-ED84CCE6.pf
ADOBE_UPDATER.EXE-5FB586F8.pf
AgAppLaunch.db
AgGlFaultHistory.db
AgGlFgAppHistory.db
AgGlGlobalHistory.db
AgGlUAD_P_S-1-5-21-21594175-3777682091-79138949-1000.db
AgGlUAD_S-1-5-21-21594175-3777682091-79138949-1000.db
AgRobust.db
ATBROKER.EXE-5CD29207.pf
ATTRIB.EXE-8E9FC84B.pf
BYPASS.EXE-D0518767.pf
CACLS.EXE-8712205B.pf
CCLEANER.EXE-DD6AC7E5.pf
CLEANMGR.EXE-1282D612.pf
CMD.EXE-0BD30981.pf
CONIME.EXE-7C90FA24.pf
CONSENT.EXE-40419367.pf
CONTROL.EXE-6EA5489A.pf
CSCRIPT.EXE-BF1500E5.pf
CVTRES.EXE-CB8485B0.pf
DLLHOST.EXE-4B6CB38A.pf
DLLHOST.EXE-6389524F.pf
DOTNETCHK.EXE-62CBE4F7.pf
DSC.EXE-1E1AE994.pf
DWM.EXE-314E93C5.pf
ECHOX.EXE-EDE49489.pf
EULA.EXE-0C20C81E.pf
EXPLORER.EXE-D5E97654.pf
FIND.EXE-AE190082.pf
FINDSTR.EXE-1BC2295F.pf
FIREFOX.EXE-66015FD1.pf
FOLDER LOCK 5.8.0 PORTABLE.EX-6DF97084.pf
GUILLAUME.EXE-7F92A587.pf
HWUPDCHK.EXE-D91D03E3.pf
INST_KPLAN.EXE-12B5EEEA.pf
INST_KPLAN.TMP-76267B54.pf
JAVA.EXE-BE8A91FF.pf
JP2LAUNCHER.EXE-B5C8DF2E.pf
KILL.EXE-2C91ADEA.pf
KILL_P.EXE-65DBE37D.pf
KPLAN.EXE-3B5CEECA.pf
Layout.ini
LOGONUI.EXE-F639BD7E.pf
MBAM.EXE-938BB081.pf
MCAGENT.EXE-E4C61513.pf
MCHOST.EXE-DF335CC7.pf
MCINFO.EXE-640DD0DA.pf
MCINSUPD.EXE-616C7579.pf
MCLGVIEW.EXE-B8F32004.pf
MCNASVC.EXE-6B61A6E7.pf
MCODS.EXE-2005F4F8.pf
MCOEMMGR.EXE-C2A014F1.pf
MCSHELL.EXE-559B403E.pf
MCSHELL.EXE-8CA6B7C3.pf
MCSMTFWK.EXE-74FB5724.pf
MCSMTFWK.EXE-D14D7D61.pf
MCSVRCNT.EXE-4914669B.pf
MCSVRCNT.EXE-ECC2405E.pf
MCSYNC.EXE-9507FC0F.pf
MCSYSMON.EXE-51D610BB.pf
MCSYSMON.EXE-6B211BBF.pf
MCUICNT.EXE-43D768AA.pf
MCUICNT.EXE-724FFEE9.pf
MCUPDATE.EXE-7584575A.pf
MCUPDATE.EXE-8E5BB827.pf
MCUPDMGR.EXE-2483B4A1.pf
MCUPDMGR.EXE-80D5DADE.pf
MCUPDUI.EXE-8F99A1D1.pf
MCVSMAP.EXE-88A2FB49.pf
MCVSMAP.EXE-F42DC9ED.pf
MCVSSHLD.EXE-BE0F6F46.pf
MEMOIT.EXE-61024622.pf
MOBSYNC.EXE-B307E1CC.pf
MODE.COM-A72A4197.pf
MPAS-D.EXE-BAAEB6D7.pf
MPNOTIFY.EXE-B290F693.pf
MPSIGSTUB.EXE-362E1A8E.pf
MSASCUI.EXE-AB5A490C.pf
MSCONFIG.EXE-690F60C3.pf
MSIEXEC.EXE-8FFB1633.pf
NOTEPAD.EXE-C5670914.pf
NTOSBOOT-B00DFAAD.pf
PfSvPerfStats.bin
PNKBSTRB.EXE-389B571B.pf
PRESENTATIONSETTINGS.EXE-EF41B35E.pf
R6VEGAS_GAME.EXE-7A6A9EE3.pf
R6VEGAS_LAUNCHER.EXE-E8CC7EF3.pf
RACAGENT.EXE-CFA82586.pf
ReadyBoot
RSIT.EXE-4C13526D.pf
RUNDLL32.EXE-17691DFE.pf
RUNDLL32.EXE-7341F856.pf
RUNDLL32.EXE-7FA53161.pf
RUNDLL32.EXE-EDFDF3E0.pf
RUNDLL32.EXE-EDFF7F06.pf
RUNONCE.EXE-BD8A4C8F.pf
SEARCHFILTERHOST.EXE-44162447.pf
SEARCHINDEXER.EXE-1CF42BC6.pf
SEARCHPROTOCOLHOST.EXE-69C456C3.pf
SED.EXE-0124572A.pf
SETPATH.EXE-F783002B.pf
SETUP.EXE-00B10EB4.pf
SHUTDOWN.EXE-1692B741.pf
SPRTCMD.EXE-340347A8.pf
SPRTSVC.EXE-C1AC7B98.pf
SSUPDATE.EXE-70DFEB2C.pf
STARTUP LAUNCHER GUI.EXE-2B56763A.pf
SUPERANTISPYWARE.EXE-35E59EB7.pf
SUPERANTISPYWAREPRO.EXE-E5819B3E.pf
SVCHOST.EXE-6A249820.pf
SWREG.EXE-4558CA6E.pf
TASKENG.EXE-35FA9C06.pf
TRUSTEDINSTALLER.EXE-766EFF52.pf
UNSECAPP.EXE-72B9DDB3.pf
USBFIX.EXE-D35A7FB0.pf
USERINIT.EXE-5114915C.pf
VERCLSID.EXE-AB0FD091.pf
VSSVC.EXE-6C8F0C66.pf
VUEMINDER.EXE-E1086579.pf
VUEMINDER_LITE_SETUP_5.0.0.EX-D8F89727.pf
WERFAULT.EXE-155C56CF.pf
WERMGR.EXE-F439C551.pf
WINRAR.EXE-BA8CDB31.pf
WLIDSVCM.EXE-A0B0D064.pf
WLRMDR.EXE-A7C36FDD.pf
WLXQUICKTIMECONTROLHOST.EXE-B1E2C9F6.pf
WMIADAP.EXE-BB21CD77.pf
WMIPRVSE.EXE-E8B8DD29.pf
WMPNETWK.EXE-F6E20E14.pf
WMPNSCFG.EXE-18FC9E64.pf
WSCRIPT.EXE-3FF4D889.pf
WSQMCONS.EXE-4048402C.pf
WUAUCLT.EXE-5D573F0E.pf
WUSETUPV.EXE-A5D23970.pf
ZHPDIAG.EXE-2192C001.pf
ZHPFIX.EXE-D48FFD2B.pf
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

REDEMARRE EN MODE SANS ECHEC ,  puis :

&#9654 Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

&#9654 choisis l'option 2 = Mode Destruction

laisse travailler l'outil

apres les verifications , un rapport va s'ouvrir.

&#9654 ferme-le.

un deuxieme rapport va s'ouvrir , 

&#9654 colle son contenu dans ta reponse apres avoir redemarré en mode normal

il se trouve ici :

C:\Kill'em.txt

sabine28 · Answer

comme demandé je vous transmets le second rapport de killthem:

Kill'em by g3n-h@ckm@n 1.0.4.8 
 
User : Guillaume () # PC2-GUILLAUME
Update on 29/10/2009 by g3n-h@ckm@n ::::: 18.30 
Start at: 20:40:56 | 30/10/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Core(TM)2 Duo CPU     T6400  @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 218,2 Go (92,84 Go free) [OS] | NTFS
D:\ -> Disque fixe local | 14,65 Go (8,47 Go free) [RECOVERY] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
  
Fichiers analysés : 
================= 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\ProgramData\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\ProgramData\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
C:\Users\Guillaume\LOCAL Settings\Temp\SSUPDATE.EXE  
C:\Users\Guillaume\LOCAL Settings\Temp	mp18E0.tmp  
C:\Users\Guillaume\LOCAL Settings\Temp	mp35B1.tmp  
C:\Users\Guillaume\LOCAL Settings\Temp	mp4695.tmp  
C:\Users\Guillaume\LOCAL Settings\Temp	mp4EDD.tmp  
C:\Users\Guillaume\LOCAL Settings\Temp	mp50A3.tmp  
C:\Users\Guillaume\LOCAL Settings\Temp	mpD2B.tmp  
 
 
¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers : 
  
Quarantaine : 

qmgr0.dat.Kill'em
qmgr1.dat.Kill'em
SSUPDATE.EXE.Kill'em
tmp18E0.tmp.Kill'em
tmp35B1.tmp.Kill'em
tmp4695.tmp.Kill'em
tmp4EDD.tmp.Kill'em
tmp50A3.tmp.Kill'em
tmpD2B.tmp.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification : 
 

===============
Path : C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\10.0\DLLShared\;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Common Files\Microsoft Shared\Windows Live 
===============
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : 

 
¤¤¤¤¤¤¤¤¤¤ C:\Windows\Prefetch : 

AgAppLaunch.db
AgGlFaultHistory.db
AgGlFgAppHistory.db
AgGlGlobalHistory.db
AgGlUAD_P_S-1-5-21-21594175-3777682091-79138949-1000.db
AgGlUAD_S-1-5-21-21594175-3777682091-79138949-1000.db
AgRobust.db
Layout.ini
NTOSBOOT-B00DFAAD.pf
PfSvPerfStats.bin
ReadyBoot
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

Bonjour tu es très infecté :

▶ Sauver les Docs sans les fichichiers cible.

il faut sauvegarder uniquement tes photos , tes musiques , tes video ,sur un support externe,de preference gravé.

toute autre sauvegarde serait fortuite à la bonne marche de la désinfection (ni programmes,cracks ou keygens,aucun executable).

Ces extensions sont à proscrire : .exe, .scr, .zip, .rar, html, htm, cracks, keygens,Key_générators,serial,patchs,Install , etc......(ces derniers contenant le ver Bagle en prime)
_______________________________________________

▶ Désactive la restauration système, pour cela , suis les instructions des liens:

Lien XP

Lien Vista
_________________________________________________

▶ Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer(clic droit en tant qu'admmin sous Vista).
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
_________________________________________________

▶ essaies de telecharger les logiciels d'un autre PC et de les graver (les cles usb s'infectant trop facilement)
___________________________________________________

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec

▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
▶- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

sabine28 · Answer

alors là vous me faites vraiment très peur...juste pour savoir, qu'entendez-vous par fichiers cibles?

Est ce que je peux transférer les données photos musiques videos sur un disque dur externe(en fait je n'ai que ça)?  

Merci gen-hackman.

gen-hackman · Answer

tout est indiqué ;)

sabine28 · Answer

bonsoir gen-hackman,

voici le rapport de Tcleaner:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 



Corbeille vidée!
Fichiers temporaires nettoyés !
---------------------------------
--> Suppression: 

Fichiers temporaires nettoyés !
Corbeille vidée!

je passe à présent en mode sans échec.

gen-hackman · Answer

ok j attends la suite ;)

sabine28 · Answer

bonjour gen-hackman,

en fait j'ai un problème...

j'ai lancé hier soir le logiciel docteur web en analyse rapide puis complète en mode sans échec.

L'analyse s'est terminée il y une dizaine de minutes ce matin. Sauf qu'en voulant enregistrer le rapport sur le bureau,

mon ordinateur s'est subitement redémarrer. Du coup, je n'ai pas le  rapport du logiciel.

Cependant, docteur web n'a détecté qu'un seul fichier infecté "trojan downloader" et l'a supprimé et pour les 700 000 environ autres fichiers, il n'a rien vu.

Ma question est que dois-je faire à présent? Relancer les deux analyses qui vont prendre une dizaine d'heures (et qui risquent de ne pas trouver grand chose)?

Merci car là je suis un peu "désespéré"...

sabine28 · Answer

Bonsoir à tous, 

en plus du problème ci-dessus,  j'ai depuis très récemment(3jours) une alerte de windows en bas à droite 
de mon écran m'indiquant qu'il a bloqué le programme de démarrage malwarebytes.

Je ne sais pas pourquoi ça n'est depuis que ces derniers 3 jours...est-ce parce que mon ordinateur est infecté?

Merci à ceux qui pourront m'aider(et évidemment gen-hackman pour vos conseils prodigués jusque là).

sabine28 · Answer

entendue, voici le rapport log.txt effectué:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Guillaume at 2009-10-31 21:33:29
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 180 GB (81%) free of 223 GB
Total RAM: 3066 MB (65% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:33:37, on 31/10/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Program Files\Daemon tools\DAEMON Tools Lite\daemon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Larousse\Petit Larousse 2010\bin\Hyperappel.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Guillaume\Desktop\RSIT.exe
C:\Program Files	rend micro\Guillaume.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/USCON/7
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Users\GUILLA~1\DOCUME~1\LOGICI~1\DICTIO~1\cmbegdc\QUICKF~1\QUICKF~1\PlugIns\IEHelp.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [StartupDelayer] "C:\Program Files\Startup Delayer\Startup Launcher GUI.exe"
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [dellsupportcenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
O4 - HKLM\..\Run: [mcagent_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\Daemon tools\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [DelayShred] c:\PROGRA~1\mcafee\mshr\ShrCL.EXE /P7 /q c:\users\GUILLA~1\appdata\local	emp\AUDACI~1.SH! (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DelayShred] c:\PROGRA~1\mcafee\mshr\ShrCL.EXE /P7 /q c:\users\GUILLA~1\appdata\local	emp\AUDACI~1.SH! (User 'Default user')
O4 - .DEFAULT User Startup: Dell Dock First Run.lnk = C:\Program Files\Dell\DellDock\DellDock.exe (User 'Default user')
O4 - Global Startup: Hyperappel du Petit Larousse 2010.lnk = C:\Program Files\Larousse\Petit Larousse 2010\bin\Hyperappel.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\avlibrary.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avlibrary.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avlibrary.dll
O13 - Gopher Prefix: 
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\aestsrv.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVRedirector - Unknown owner - C:\Users\Guillaume\Documents\Logiciels\Hide Ip\Hide The IP 2009\AVRedirector.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Dock Login Service (DockLoginService) - Stardock Corporation - C:\Program Files\Dell\DellDock\DockLogin.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - C:\Program Files\Common Files\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - C:\PROGRA~1\COMMON~1\McAfee\McProxy\McProxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: SupportSoft Sprocket Service (DellSupportCenter) (sprtsvc_DellSupportCenter) - SupportSoft, Inc. - C:\Program Files\Dell Support Center\bin\sprtsvc.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\STacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE

sabine28 · Answer

j'ai oublié de poster le info.txt le voici:

info.txt logfile of random's system information tool 1.06 2009-10-31 21:33:39

======Uninstall list======

-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{88564CEF-20A5-4EF2-A05F-309F2EBA9B06}\setup.exe" -l0x40c 
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BC12448A-0B41-4E11-B242-B1129512F5B7}\setup.exe" -l0x40c 
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A92000000001}
Adobe Shockwave Player 11.5-->"C:\Windows\system32\Adobe\Shockwave 11\uninstaller.exe"
Advanced Audio FX Engine-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{88564CEF-20A5-4EF2-A05F-309F2EBA9B06}\setup.exe" -l0x40c  /remove
Analyseur et SDK MSXML 4.0 SP2-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiveur WinRAR-->C:\Program Files\Winrar\uninstall.exe
Assistant de connexion Windows Live ID-->MsiExec.exe /X{10A44844-4465-456E-8C97-80BDD4F68845}
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x40c 
Audacity 1.3.5 (Unicode)-->"C:\Program Files\Audacity\Audacity 1.3 Beta (Unicode)\unins000.exe"
BatteryBar (remove only)-->"C:\Program Files\BatteryBar\Uninstall.exe"
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
Burnout(TM) Paradise The Ultimate Box-->MsiExec.exe /X{9A996B6A-846E-4A89-B9C4-17546B7BE49F}
Call of Duty-->C:\PROGRA~1\CALLOF~1\Uninstall\Unwise.exe /u C:\PROGRA~1\CALLOF~1\Uninstall\Install.log
Cambridge Advanced Learner's Dictionary - 3rd Edition-->"C:\Users\Guillaume\Documents\Logiciels\Dictionary\cmbegdc\CALD3\uninstall.exe"
Catalyst Control Center - Branding-->MsiExec.exe /I{E481DB0E-52F2-4EE0-9BDA-9EE173FA6EA2}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Cisco EAP-FAST Module-->MsiExec.exe /I{415B2719-AD3A-4944-B404-C472DB6085B3}
Cisco LEAP Module-->MsiExec.exe /I{83770D14-21B9-44B3-8689-F7B523F94560}
Cisco PEAP Module-->MsiExec.exe /I{669C7BD8-DAA2-49B6-966C-F1E2AAE6B17E}
COMODO System Cleaner 1.1.64946.38(32bit)-->"C:\Program Files\COMODO\System Cleaner\unins000.exe"
Dell DataSafe Online-->MsiExec.exe /X{13766F76-6C8C-4E57-A9F3-3212D1C6E0D1}
Dell Dock-->MsiExec.exe /I{F6CB42B9-F033-4152-8813-FF11DA8E6A78}
Dell Edoc Viewer-->MsiExec.exe /I{3138EAD3-700B-4A10-B617-B3F8096EE30D}
Dell Getting Started Guide-->MsiExec.exe /I{7DB9F1E5-9ACB-410D-A7DC-7A3D023CE045}
Dell Support Center (Logiciel de support)-->MsiExec.exe /X{E3BFEE55-39E2-4BE0-B966-89FE583822C1}
Dell Touchpad-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Dell Video Chat-->C:\Program Files\Dell Video Chat\uninst.exe
Dell Webcam Central-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BC12448A-0B41-4E11-B242-B1129512F5B7}\setup.exe" -l0x40c  /remove
Dell Wireless WLAN Card Utility-->"C:\Program Files\Dell\Dell Wireless WLAN Card\bcmwlu00.exe" verbose /rootkey="Software\Broadcom\802.11\UninstallInfo" /rootdir="C:\Program Files\Dell\Dell Wireless WLAN Card"
Dell-eBay-->MsiExec.exe /I{B935C985-A17F-484B-8470-09E4FC27DC26}
FastStone Capture 6.5-->C:\Program Files\FastStone Capture\uninst.exe
Free Video to MP3 Converter version 3.2-->"C:\Program Files\Free Video to MP3 Converter\unins000.exe"
Galerie de photos Windows Live-->MsiExec.exe /X{44E54A81-9D91-4AA1-9417-80AFF134F5FF}
GoToAssist 8.0.0.514-->C:\Program Files\Citrix\GoToAssist\514\G2AUninstaller.exe /uninstall
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
Integrated Webcam Driver (1.04.01.0601)  -->C:\Windows\CtDrvIns.exe -uninstall -script OA008.uns -plugin OA008Pin.dll -pluginres OA008Pin.crl -nodisconprompt -langid 0x040C
iTunes-->MsiExec.exe /I{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013F0}
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Junk Mail filter update-->MsiExec.exe /I{4DE3E3D9-AE81-45DE-9195-3015F7B1DBF3}
Kplan 2.1.1.2-->"C:\Program Files\metagenia\kplan\unins000.exe"
Live! Cam Avatar Creator-->C:\Program Files\InstallShield Installation Information\{65D0C510-D7B6-4438-9FC8-E6B91115AB0D}\setup.exe -runfromtemp -l0x040c -removeonly /remove
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
McAfee Security Scan-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
McAfee SecurityCenter-->C:\Program Files\McAfee\MSC\mcuninst.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {B165D3C2-40AE-4D39-86F7-E5C87C4264C0}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-00A1-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office Home and Student 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
Microsoft Office Home and Student 2007-->MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
Microsoft Office Live Add-in 1.4-->MsiExec.exe /I{AE3CF174-872C-46C6-B9F6-C0593F3BC7B8}
Microsoft Office OneNote MUI (French) 2007-->MsiExec.exe /X{90120000-00A1-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {14809F99-C601-4D4A-9391-F1E8FAA964C5}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {187308AB-5FA7-4F14-9AB9-D290383A10D9}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Suite Activation Assistant-->MsiExec.exe /X{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Works-->MsiExec.exe /I{3B160861-7250-451E-B5EE-8B92BF30A710}
Mise à jour Microsoft Office Excel 2007 Help  (KB963678)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {B761869A-B85C-40E2-994C-A1CE78AC8F2C}
Mise à jour Microsoft Office Powerpoint 2007 Help  (KB963669)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {C3DCA38E-005E-41BA-A52A-7C3429F351C3}
Mise à jour Microsoft Office Word 2007 Help  (KB963665)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {81536A04-DBFB-4DB3-978F-0F284590C223}
MobileMe Control Panel-->MsiExec.exe /I{CADBCBBA-6CDD-4119-B5ED-4AE075B153E7}
Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.5.4)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
OGA Notifier 2.0.0048.0-->MsiExec.exe /I{B2544A03-10D0-4E5E-BA69-0362FFC20D18}
OpenOffice.org 3.1-->MsiExec.exe /I{0FA44E79-CD7D-4E8D-A2EE-26FE05F509B6}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Perfect Uninstaller v6.3.3.5-->"C:\Program Files\Perfect Uninstaller\unins000.exe"
Petit Larousse 2010-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{422FADA9-FED2-41D7-B5FA-472BB98B7784}\Setup.exe" -l0x40c 
PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -l0x40c  -cluninstall
QUICKfind server v1.1-->"C:\Users\Guillaume\Documents\Logiciels\Dictionary\cmbegdc\Quick find\QUICKfind\qf_uninstall.exe"
QuickSet-->MsiExec.exe /I{C4972073-2BFE-475D-8441-564EA97DA161}
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Regressi-->MsiExec.exe /I{E2E164AB-1367-488F-8F1F-BA312DB2FF18}
Roxio Creator Audio-->MsiExec.exe /I{73A4F29F-31AC-4EBD-AA1B-0CC5F18C8F83}
Roxio Creator Copy-->MsiExec.exe /I{B6A26DE5-F2B5-4D58-9570-4FC760E00FCD}
Roxio Creator Data-->MsiExec.exe /I{08E81ABD-79F7-49C2-881F-FD6CB0975693}
Roxio Creator DE-->C:\ProgramData\Uninstall\{09760D42-E223-42AD-8C3E-55B47D0DDAC3}\setup.exe /x {09760D42-E223-42AD-8C3E-55B47D0DDAC3}
Roxio Creator DE-->MsiExec.exe /I{ED439A64-F018-4DD4-8BA5-328D85AB09AB}
Roxio Creator Tools-->MsiExec.exe /I{1F54DAFA-9261-4A62-B59D-6C9F26B48FE4}
Roxio Express Labeler 3-->MsiExec.exe /I{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}
Roxio Update Manager-->MsiExec.exe /I{30465B6C-B53F-49A1-9EBA-A3F187AD502E}
Safari-->MsiExec.exe /I{E56D39F8-2A9F-44B4-B068-A72E45A073E6}
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB969679)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {C66E4A6C-6E07-4C63-8CCD-2493B5087C73}
Security Update for Microsoft Office Excel 2007 (KB969682)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {C03803BD-745A-46F8-8557-817DED578780}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office system 2007 (972581)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office system 2007 (KB974234)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}
Security Update for Microsoft Office Word 2007 (KB969604)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {CF3D6499-709C-43D0-8908-BC5652656050}
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Startup Delayer v2.5 (build 138)-->C:\Program Files\Startup Delayer\Uninstall.exe
SUPER © Version 2009.bld.36 (June 10, 2009)-->C:\PROGRA~1\Super\Setup.exe /remove /q0
SUPERAntiSpyware Professional-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
SWAT 4 - The Stetchkov Syndicate-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{97E12F84-C033-4DA2-97D2-F540C3E292EA}  uninstall
SWAT 4-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{8E1CCF20-9E12-4824-BD59-7AD9E0486DD8}  uninstall
Time Date 3.5-->C:\Users\Guillaume\Time Date\uninst.exe
Tom Clancy's Rainbow Six Vegas-->C:\Program Files\InstallShield Installation Information\{5731C0A8-B266-451A-8D3F-8066AA21836F}\setup.exe -runfromtemp -l0x040c -removeonly
Uninstall 1.0.0.1-->"C:\Program Files\Common Files\DVDVideoSoft\unins000.exe"
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VLC media player 1.0.0-->C:\Program Files\VideoLAN\VLC\uninstall.exe
VSO Image Resizer 2.2.2.1-->"C:\Program Files\VSO image resizer\Image Resizer\unins000.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Contrôle parental-->MsiExec.exe /X{D6A2DDE3-9D7C-412C-932A-756580D29919}
Windows Live Mail-->MsiExec.exe /I{63DC2DA0-2A6C-4C38-9249-B75395458657}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Live Sync-->MsiExec.exe /X{9C5EB781-0D37-44B8-9A58-77B3E4BF5F5E}
Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}
Windows Live Writer-->MsiExec.exe /X{2231CE39-B963-4B9D-823A-F412ECA637B1}
Wipe-->C:\PROGRA~1\Wipe\wipe.exe uninstall
ZHPDiag 1.24-->"C:\Program Files\ZHPDiag\unins000.exe"

======Security center information======

AS: Windows Defender
AS: SUPERAntiSpyware

======System event log======

Computer Name: PC2-Guillaume
Event Code: 4
Message: Broadcom NetLink (TM) Gigabit Ethernet: The network link is down.  Check to make sure the network cable is properly connected.
Record Number: 66705
Source Name: k57nd60x
Time Written: 20091031180310.680490-000
Event Type: Avertissement
User: 

Computer Name: PC2-Guillaume
Event Code: 13
Message:  : le contrôleur embarqué n’a pas répondu dans le délai imparti. Cette erreur peut indiquer que le matériel ou le microprogramme du contrôleur embarqué présente une erreur ou que le BIOS accède au contrôleur embarqué de manière incorrecte. Contactez le fabricant de votre ordinateur afin de savoir si un BIOS mis à niveau est disponible. Dans certains cas, cette erreur peut provoquer un fonctionnement incorrect de l’application.
Record Number: 66706
Source Name: ACPI
Time Written: 20091031180314.143713-000
Event Type: Erreur
User: 

Computer Name: PC2-Guillaume
Event Code: 46
Message: L'initialisation du fichier de vidage sur incident a échoué.
Record Number: 66709
Source Name: volmgr
Time Written: 20091031180315.703723-000
Event Type: Erreur
User: 

Computer Name: PC2-Guillaume
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 66712
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20091031180325.620576-000
Event Type: Erreur
User: 

Computer Name: PC2-Guillaume
Event Code: 7
Message: La vitesse du processeur 0 est limitée par le matériel système. Le processeur est resté dans cet état de performances réduites pendant 2 secondes après le dernier rapport.
Record Number: 66820
Source Name: Microsoft-Windows-Kernel-Processor-Power
Time Written: 20091031180737.915400-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Application event log=====

Computer Name: PC2-Guillaume
Event Code: 6000
Message: L’abonné aux notifications Winlogon <GPClient> n’était pas disponible pour traiter un événement de notification.
Record Number: 8078
Source Name: Microsoft-Windows-Winlogon
Time Written: 20091031095536.000000-000
Event Type: Avertissement
User: 

Computer Name: PC2-Guillaume
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 8099
Source Name: Microsoft-Windows-WMI
Time Written: 20091031095654.000000-000
Event Type: Erreur
User: 

Computer Name: PC2-Guillaume
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-21594175-3777682091-79138949-1000_Classes:
Process 1804 (\Device\HarddiskVolume3\Windows\System32\spoolsv.exe) has opened key \REGISTRY\USER\S-1-5-21-21594175-3777682091-79138949-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

Record Number: 8107
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091031111122.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC2-Guillaume
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 8125
Source Name: Microsoft-Windows-WMI
Time Written: 20091031115723.000000-000
Event Type: Erreur
User: 

Computer Name: PC2-Guillaume
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 8176
Source Name: Microsoft-Windows-WMI
Time Written: 20091031180516.000000-000
Event Type: Erreur
User: 

=====Security event log=====

Computer Name: PC2-Guillaume
Event Code: 4648
Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		PC2-GUILLAUME$
	Domaine du compte :		WORKGROUP-CADG1
	ID d’ouverture de session :		0x3e7
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Compte dont les informations d’identification ont été utilisées :
	Nom du compte :		Guillaume
	Domaine du compte :		PC2-Guillaume
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Serveur cible :
	Nom du serveur cible :	localhost
	Informations supplémentaires :	localhost

Informations sur le processus :
	ID du processus :		0x2d8
	Nom du processus :		C:\Windows\System32\winlogon.exe

Informations sur le réseau :
	Adresse du réseau :	127.0.0.1
	Port :			0

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
Record Number: 12802
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091031180559.900600-000
Event Type: Succès de l'audit
User: 

Computer Name: PC2-Guillaume
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		PC2-GUILLAUME$
	Domaine du compte :		WORKGROUP-CADG1
	ID d’ouverture de session :		0x3e7

Type d’ouverture de session :			2

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-21-21594175-3777682091-79138949-1000
	Nom du compte :		Guillaume
	Domaine du compte :		PC2-Guillaume
	ID d’ouverture de session :		0x6f09e
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x2d8
	Nom du processus :		C:\Windows\System32\winlogon.exe

Informations sur le réseau :
	Nom de la station de travail :	PC2-GUILLAUME
	Adresse du réseau source :	127.0.0.1
	Port source :		0

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		User32 
	Package d’authentification :	Negotiate
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 12803
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091031180559.900600-000
Event Type: Succès de l'audit
User: 

Computer Name: PC2-Guillaume
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		PC2-GUILLAUME$
	Domaine du compte :		WORKGROUP-CADG1
	ID d’ouverture de session :		0x3e7

Type d’ouverture de session :			2

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-21-21594175-3777682091-79138949-1000
	Nom du compte :		Guillaume
	Domaine du compte :		PC2-Guillaume
	ID d’ouverture de session :		0x6f0be
	GUID d’ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x2d8
	Nom du processus :		C:\Windows\System32\winlogon.exe

Informations sur le réseau :
	Nom de la station de travail :	PC2-GUILLAUME
	Adresse du réseau source :	127.0.0.1
	Port source :		0

Informations détaillées sur l’authentification :
	Processus d’ouverture de session :		User32 
	Package d’authentification :	Negotiate
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
	- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 12804
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091031180559.900600-000
Event Type: Succès de l'audit
User: 

Computer Name: PC2-Guillaume
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-21-21594175-3777682091-79138949-1000
	Nom du compte :		Guillaume
	Domaine du compte :		PC2-Guillaume
	ID d’ouverture de session :		0x6f09e

Privilèges :		SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 12805
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091031180559.900600-000
Event Type: Succès de l'audit
User: 

Computer Name: PC2-Guillaume
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume3\Program Files\SUPERAntiSpyware\SASENUM.SYS	
Record Number: 12806
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091031180622.676600-000
Event Type: Échec de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%CommonProgramFiles%\Microsoft Shared\Windows Live;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Common Files\Roxio Shared\DLLShared\;C:\Program Files\Common Files\Roxio Shared\10.0\DLLShared\;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"RoxioCentral"=C:\Program Files\Common Files\Roxio Shared\10.0\Roxio Central36\
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------


Merci pour le conseil.

sabine28 · Answer

bonjour nathandre, 

voilà le rapport avec usbfix de chiquitine 29:


############################## | UsbFix V6.046 |

User : Guillaume (Administrateurs) # PC2-GUILLAUME
Update on 29/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 10:38:13 | 01/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T6400  @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 218,2 Go (175,9 Go free) [OS] # NTFS
D:\ -> Disque fixe local # 14,65 Go (8,47 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque fixe local # 298,02 Go (297,73 Go free) [My Passport] # FAT32
J:\ -> Disque amovible # 1,86 Go (958,78 Mo free) # FAT
K:\ -> Disque amovible # 0,24 Mo (0,24 Mo free) # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\STacSV.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Dell\DellDock\DockLogin.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\WLTRYSVC.EXE
C:\Windows\System32\bcmwltry.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\aestsrv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\McAfee\McProxy\McProxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\PnkBstrB.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\Windows\system32	askeng.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Program Files\Daemon tools\DAEMON Tools Lite\daemon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Larousse\Petit Larousse 2010\bin\Hyperappel.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\Common Files\mcafee\mna\mcnasvc.exe
C:\Program Files\Dell Support Center\bin\sprtsvc.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

I:\autorun.inf  

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{5983ea03-8a60-11de-b4d7-002219f395a1}
shell\AutoRun\command =F:\Autorun.exe 

HKCU\..\..\Explorer\MountPoints2\{8727c137-c58c-11de-b887-002219f395a1}
shell\AutoRun\command =I:\WD_Windows_Tools\Setup.exe 

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.046 ! |

faut-il que je fasse option 2-->supprimer maintenant?

sabine28 · Answer

...je suis trop ..je ne sais pas... j'avais enregistré toutes les données vitales(videos, photos,feuilles word..) sur un disque dur externe et effacé celles -ci de l'ordinateur.

Ce matin pour faire l'analyse de usbfix j'ai rebranché le disque dur en question et j'ai publié un rapport au dessus.

Quand j'ai regardé mon disque externe il affichait 298 Go libre sur 299Go alors qu'il y a deux jours j'avais transféré pas loin de 6O Go....
J'ai essayé la récup avec sandisk rescue pro(je l'ai vu sur un forum).t 
Je l'ai installé et lancé..à un moment mcAfee a bloqué un virus w32/Mariofev!enc or je suis en compte d'utilisateur désactivé!
j'ai tout de suite abandonné le logiciel, l'ai désinstallé et j'ai voulu cliquer sur mon disque dur : impossible à présent de l'ouvrir-->refusé.

J'ai relancé un usbfix dont voici le rapport:


############################## | UsbFix V6.046 |

User : Guillaume (Administrateurs) # PC2-GUILLAUME
Update on 29/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 11:07:04 | 01/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T6400  @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 218,2 Go (175,84 Go free) [OS] # NTFS
D:\ -> Disque fixe local # 14,65 Go (8,47 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque fixe local
J:\ -> Disque amovible # 1,86 Go (958,78 Mo free) # FAT
K:\ -> Disque amovible # 0,24 Mo (0,24 Mo free) # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\STacSV.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Dell\DellDock\DockLogin.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\WLTRYSVC.EXE
C:\Windows\System32\bcmwltry.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\aestsrv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\McAfee\McProxy\McProxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\PnkBstrB.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\Windows\system32	askeng.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Program Files\Daemon tools\DAEMON Tools Lite\daemon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Larousse\Petit Larousse 2010\bin\Hyperappel.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\Common Files\mcafee\mna\mcnasvc.exe
C:\Program Files\Dell Support Center\bin\sprtsvc.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\servicing\TrustedInstaller.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{5983ea03-8a60-11de-b4d7-002219f395a1}
shell\AutoRun\command =F:\Autorun.exe 

HKCU\..\..\Explorer\MountPoints2\{8727c137-c58c-11de-b887-002219f395a1}
shell\AutoRun\command =I:\WD_Windows_Tools\Setup.exe 

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.046 ! |


Que dois je faire s'il vous plaît? Je panique totalelent..

sabine28 · Answer

voici le rapport après suppression avec usbfix:


############################## | UsbFix V6.046 |

User : Guillaume (Administrateurs) # PC2-GUILLAUME
Update on 29/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 14:24:08 | 01/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU     T6400  @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 218,2 Go (175,84 Go free) [OS] # NTFS
D:\ -> Disque fixe local # 14,65 Go (8,47 Go free) [RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque fixe local # 298,02 Go (297,73 Go free) [My Passport] # FAT32
J:\ -> Disque amovible # 1,86 Go (958,78 Mo free) # FAT
K:\ -> Disque amovible # 0,24 Mo (0,24 Mo free) # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\STacSV.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Dell\DellDock\DockLogin.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\WLTRYSVC.EXE
C:\Windows\System32\bcmwltry.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f6ef8056\aestsrv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\McAfee\McProxy\McProxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\PnkBstrB.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Windows\Explorer.EXE
C:\Windows\system32unonce.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! I:\autorun.inf 

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{5983ea03-8a60-11de-b4d7-002219f395a1}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{8727c137-c58c-11de-b887-002219f395a1}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[18/09/2006 22:43|--a------|24] C:\autoexec.bat 
[21/01/2008 03:24|-rahs----|333203] C:\bootmgr 
[18/09/2006 22:43|--a------|10] C:\config.sys 
[27/10/2009 22:25|--a------|4096] C:\D199047F.wip 
[24/06/2009 10:54|-rah-----|3498] C:\dell.sdr 
[?|?|?] C:\hiberfil.sys 
[30/10/2009 22:07|--a------|3724] C:\hook.log 
[23/08/2009 16:48|-rahs----|0] C:\IO.SYS 
[30/10/2009 20:42|--a------|2422] C:\Kill'em.txt 
[23/08/2009 16:48|-rahs----|0] C:\MSDOS.SYS 
[?|?|?] C:\pagefile.sys 
[27/10/2009 21:05|--a------|2273] C:apport.txt 
[30/10/2009 23:18|--a------|251] C:\TCleaner.txt 
[01/11/2009 14:26|--a------|4114] C:\UsbFix.txt 
[23/12/2007 22:00|--a------|315392] I:\setup.exe 
[18/12/2007 13:03|--a------|4574208] I:\WDSync.exe 
[31/10/2009 22:42|--ah-----|76212] J:\audio_play_list.txt 
[01/01/2009 00:02|---h-----|0] K:\phb_video.dat 
[22/07/2009 22:08|---h-----|0] K:\audio_play_list.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# D:\autorun.inf -> Dossier créé par UsbFix.  
# I:\autorun.inf -> Dossier créé par UsbFix.  
# J:\autorun.inf -> Dossier créé par UsbFix.  
# K:\autorun.inf -> Dossier créé par UsbFix.  

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | Upload | 

Veuillez envoyer le fichier : C:\Users\GUILLA~1\Desktop\UsbFix_Upload_Me_PC2-Guillaume.zip : https://www.androidworld.fr/ 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.046 ! |


PS: c'est le disque dur externe I que j'ai utilisé pour enregistrer mes données..snif...

sabine28 · Answer

Effectivement je peux ouvrir mon disque dur externe maintenant...
mais le problème est que ...je n'ai plus les données stockées: il affiche 298 Go libre sur les 299 Go dispos..
où sont donc passés mes 6O Go de fichiers...


Sinon pensez vous que mon ordinateur est sain? ou toujours pas?

Merci Nathandre.

sabine28 · Answer

très bien et encore merci de répondre.

voici le lien log avec RSIT:
https://www.cjoint.com/?lbrITwQD2k


puis celui info datant du 31/10 car l'analyse rsit n'en a pas créé un nouveau

	https://www.cjoint.com/?lbrLZHST8T

Verdict?

sabine28 · Answer

merci Nathandre, cependant pour un point CCleaner n'a pas la même chose:

C'est écrit effacé les données de plus de 2 4 H  or vous me demandez pour 4 8 H...

Cela pose -t-il un problème? ou puis je continuer la manipulation demandée.

sabine28 · Answer

Bonsoir Nathandre, 

j'ai effectué toutes les manipulations que vous avez mentionnées ...

De plus j'ai mis en lien le rapport de la recherche de registre de CCleaner:   https://www.cjoint.com/?lbuv6rq7Ov


Que me proposez vous à présent?

Est-ce que l'ordinateur est toujours infectée? Un rapport rsit s'avere-t- il nécessaire?

Merci

sabine28 · Answer

tiens donc mon message n'est pas apparu?

sabine28 · Answer

je parlais juste du message avec le lien qui ne s'était toujours pas affiché après une vingtaine de minutes^^

sabine28 · Answer

hum..lorsque vous dites plus de trace d'infection c'est parce qu' après les manipulations forcément il n'y en a plus?

je ne sais pas si c'est un virus qui fait ça,  mais windows m'affiche sans cesse qu'il a bloqué le programme de démarrage malwarebytes alors qu'il y a une semaine windows ne m'avait jamais bloqué de programme de démarrage.

sabine28 · Answer

entendu.

Sinon, y a t il des logiciels que je dois garder pour éviter une prochaine infection?
ou puis je à présent enlever tout les logiciels utilisés(malwarebytes,cccleaner,rsit..)

Merci

sabine28 · Answer

message reçu^^

Je vous souhaite  un GRAND merci Nathandre pour l'aide que vous m'avez apporté dans désinfection de 
mon ordinateur(sans oublier gen-hackman pour le début).
Je vous en suis vraiment reconnaissante..ahh grâce à vous j'ai trouvé un domaine d'intérêt: la sécurité informatique.

Bref, longue vie à [/ CCM], à son équipe, et continuez à aider les autres car ça fait plaisir quand on se retrouve dans de pareilles situations.

J'espère ne pas retourner sur ce forum prochainement..mais bon on ne sait jamais^^

Bonne nuit.

sabine28 · Answer

topic résolu, je ne sais pas comment l'indiquer..voilà, merci encore.

Trjan downloader reno js détruit?

34 réponses

Discussions similaires

Newsletters