Virus (?) conime.exe et ctfldr.exe [Résolu/Fermé]

- - Dernière réponse :  Nolan - 14 mars 2013 à 23:32
Bonjour,

Voilà depuis plus d'une semaine j'ai deux programmes qui s'ouvrent d'eux-mêmes sur mon ordinateur, même quand je les referme (et pas seulement au démarrage). Il s'agit de conime.exe, nommé eMule dans le gestionnaire des processus, et ctfldr.ExE, nommé "Ares p2p for Windows". Le souci, c'est que je n'ai aucun de ces deux logiciels installés sur mon ordinateur, et que je ne peux pas donc les éradiquer. Malgré une analyse complète par l'antivirus Security Essentials, rien n'y fait.

Autre problème, peut-être lié : le Pare-feu Windows ne veut plus se lancer. J'ai comme erreur : "Le Pare-feu Windows ne peut pas modifier certains de vos paramètres. Code d'erreur 0x8007050a". J'ai même essayé de démarrer le service manuellement, impossible.

C'est pourquoi je fais appel à votre aide, si possible bien sûr, pour m'aider à résoudre ces problèmes plutôt embêtants.

Merci beaucoup d'avance,
Nolan
Afficher la suite 

20/30 réponses

Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4691
0
Merci
Bonjour Nolan et bon dimanche.

Nous allons réaliser un diagnostic de ton PC :

▶ Télécharge et installe ZHPDiag (de Nicolas Coolman)

▶ Lance ZHPDiag ( Si tu es sous Vista, 7 ou 8, clic droit et "Exécuter en tant qu'administrateur" sur son icône)

▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

▶ Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

▶ Pour me transmettre ton rapport utilise le site FEC Upload et copie/colle le lien obtenu en échange

A+
0
Merci
Bonjour, merci beaucoup de ton aide.

J'ai effectué ce que tu m'as demandé. Voici les résultats de l'analyse :
https://forums-fec.be/upload/www/index.php?action=d&step=3

Bonne soirée,
Nolan
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4691
0
Merci
Re Nolan,

Tu as copié/collé le lien de ta barre d'adresse après avoir cliqué sur "Lien de téléchargement : blablabla"

De ce fait le lien est invalide :(


0
Merci
Ah oui en effet, désolé ^^

Voici un lien qui devrait fonctionner :
https://forums-fec.be/upload/www/?a=d&i=3763212132

Nolan
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4691
0
Merci
:)

OK ils sont localisés :

[MD5.E9F20C6E92F267AFC21A33FABC8F4BD8] - (.http://www.emule-project.net - eMule.) -- C:\Users\Public\AppData\eMuleMorphXT\conime.exe [5709824] [PID.4936]

et

[MD5.B9EEA5E3DCCD64E0C1E6EF85F0D670C9] - (.Ares Development Group - Ares p2p for windows.) -- C:\Users\Public\AppData\Aobj\ctfldr.exe [3306496] [PID.3476]


Apparemment sont pas néfastes.

Désinstalle Adobe Reader 9.5.4 (pas à jour => faille de sécurité)
Pour la dernière version ça se passe là : http://aihdownload.adobe.com/bin/live/install_reader11_fr_mssd_aih.exe

~~

Divers logiciels potentiellement indésirables sur ton ordi.

Évite de télécharger sur softonic et 01.net/telecharger.com c'est pourri !

Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/

voir aussi : http://tigzyrk.blogspot.be/2012/06/info-01net-comment-monetiser-sur-le-dos.html

Le mieux étant de se renseigner sur google de l'éditeur OFFICIEL du programme et de le télécharger sur leur site.

Télécharge sur cette page: AdwCleaner (de Xplode)

▶ Lance-le

clique sur Suppression et patiente le temps du nettoyage.

▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

A+
0
Merci
Le fait c'est que ces logiciels s'ouvrent tout seul, quand je les ferme (via le gestionnaire des tâches, en arrêtant le processus), 10 minutes plus tard (ou peut-être plus d'ailleurs je n'ai pas vérifié) ils se rouvrent. En plus ils sont assez bien cachés sur mon ordi, c'est pour ça que je pensais à un virus.

J'ai installé la dernière version d'Adobe Reader.

Merci pour les conseils et la lecture à propos des téléchargements de logiciel. En général je m'arrange pour télécharger sur le site des éditeurs, mais c'est vrai qu'il m'arrive d'utiliser des sites genre 01.net. Après la lecture du 2e article que tu m'as donné à lire, c'est sûr que ça donne moins envie... Je me demande comment ça se fait que ce genre d'arnaque soit légal...

J'ai téléchargé et lancé ADwcleaner, voilà le rapport :
https://forums-fec.be/upload/www/?a=d&i=7506968847

Merci encore beaucoup pour ton aide
Nolan
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4691
0
Merci
Nolan,

Après relecture de ton rapport je viens de constater ceci :

O41 - Driver: ({63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}) . (...) - C:\Users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.sys

Ce qui pourrait en soi être un rootkit.

Mais j'ai oublié le plus important, c'est que tu tronques tes rapports pour des activités, disons-le clairement, illégales.

Quand je vois cet extrait de ton rapport :

---\\ Crack & Keygen Files (O82)
-429A-BC81-294435B55E1D} - (Ask Search) - http://websearch.ask.com
O69 - SBI: SearchScopes [HKCU] {67A2568C-7A0A-4EED-AECC-B5405DE63B64} - (Google) - http://www.google.com
O69 - SBI: SearchScopes [HKCU] {6A1806CD-94D4-4689-BA73-E35EA1EA9990} - (Google) - http://www.google.com
O69 - SBI: SearchScopes [HKCU] {c99fdc39-a1ae-4b24-8d71-e5274f8d7c54} - (Private Search) - http://search.hotspotshield.com
~ Scan Keys in 00mn 00s


J'ai envie de rire, d'autant plus que normalement 6 lignes avaient été découvertes par le module 082 et que là tu n'en a remis que 3 et une demi.

Tu pratiques le P2P (emule, µtorrent), ces logiciels en eux-même ne sont pas illégaux mais quand à l'utilisation ...

Si tu continue ainsi, on ne te viendra plus en aide ("qui sème le vent récolte la tempête").

~~

Lis bien les instructions afin de configurer correctement le logiciel.

▶ Télécharge et lance TDSSKiller.

▶ Clique sur Change parameters
● Cocher la case Loaded modules. Le message Reboot is required s'affiche.
● Il faut le valider en cliquant sur Reboot now.
● Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
● L'outil TDSSKiller se relance.

▶ Cliquer de nouveau sur Change parameters.
● Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
● Valider par OK

▶ Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.

● Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
● Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
● Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
● Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
● Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure
Nota bene : en règle générale, les options de désinfection optimales sont réglées par défaut.

▶ Si l'outil te le demande, redémarre pour finir le nettoyage.

▶ Sinon ferme le logiciel, un rapport se trouvera sous C:\TDSSKiller_N°DeVersion_Date_Heure_Log.txt.

▶ Héberge le rapport sur FEC Upload et donne le lien obtenu en retour.

A+
0
Merci
Rassure-toi, mon but n'était pas d'interférer avec ce que tu fais, mais d'éviter un débat sur le téléchargement illégal. Si tu y tiens je peux quand même te donner les 6 lignes manquantes.

Voilà le rapport de TDSSKiller, il n'y a eu que des "Suspicious file" et j'ai laissé l'option "Skip" :
https://forums-fec.be/upload/www/?a=d&i=0793319652
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4691
0
Merci
Salut,

OK :)

Refais la même chose mais quand il détectera celui-ci :

10:59:45.0115 4856  [ 66012D9FAB9B787E928203FC142F86A0 ] {63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75} C:\Users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.sys
10:59:45.0162 4856  {63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75} ( UnsignedFile.Multi.Generic ) - warning
10:59:45.0162 4856  {63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75} - detected UnsignedFile.Multi.Generic (1)


Tu fais Delete.
lilidurhone
Messages postés
43263
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
24 août 2019
3142 -
Hello juju
Rien qu'à voir la tête du virustotal ça sent pas très bon :/
https://www.virustotal.com/fr/file/93b9026e168ac82f881225d59eaa055c419818faa934205bad55af6a797c82c9/analysis/
0
Merci
C'est fait, voici le rapport :
https://forums-fec.be/upload/www/?a=d&i=6656565966
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4691
0
Merci
Super.

Refais-moi un ZHPDiag désormais.
N'oublie pas de tout cocher au tournevis ;)
0
Merci
C'est fait, voici le rapport complet :
https://forums-fec.be/upload/www/?a=d&i=0833375848

À noter (si ça peut t'aider) que j'ai toujours le problème de conime.exe et ctfldr.exe. J'ai remarqué comment le "virus" opère : lorsque je met fin aux processus et que je supprime les fichiers concernés, après un temps indéterminé (plus de 30mn en fait), l'intégralité des fichiers est entièrement recopié au même endroit. J'ai regardé quel programme copiait ces fichiers, et l'origine vient de fichiers système et d'exécutables temporairement créés. Ensuite les deux exécutables sont lancés. J'ai bien regardé dans les programmes installés il n'y a ni eMule ni Arès (que je n'ai par ailleurs jamais utilisé...).

Nolan
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4691
0
Merci
Le rootkit est revenu.

On va l'abattre autrement :)

▶ Télécharge ici : RogueKiller (choisis la version x64)
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA qui va apparaître puis clique sur Scan.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.

A+
0
Merci
Voilà le rapport :

RogueKiller V8.5.2 _x64_ [Mar  9 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Nolan [Droits d'admin]
Mode : Recherche -- Date : 11/03/2013 13:42:36
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 3 ¤¤¤
[DLL] rundll32.exe -- C:\Windows\SysWOW64\rundll32.exe : C:\Users\Nolan\AppData\Local\Temp\_132deb6_.ocx [x] -> TUÉ [TermProc]
[SUSP PATH] conime.exe -- C:\Users\Public\AppData\eMuleMorphXT\conime.exe [-] -> TUÉ [TermProc]
[SUSP PATH] ctfldr.ExE -- C:\Users\Public\AppData\Aobj\ctfldr.ExE [-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 13 ¤¤¤
[STARTUP][BLACKLISTDLL] {63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.lnk @Common : C:\Windows\System32\rundll32.exe|"C:\Users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.dll",AppStartup CommonStartup -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{780C1CF0-5D91-469B-8D88-DE511024C37E} : NameServer (178.33.41.181,88.191.223.122) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{9F7547AA-0DC6-4D70-9D11-97D11E9135C2} : NameServer (178.33.41.181,88.191.223.122) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{780C1CF0-5D91-469B-8D88-DE511024C37E} : NameServer (178.33.41.181,88.191.223.122) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{9F7547AA-0DC6-4D70-9D11-97D11E9135C2} : NameServer (178.33.41.181,88.191.223.122) -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1       localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000BEVT-22A0RT0 +++++
--- User ---
[MBR] 53aa6fcd1210ecd3bfbc94a160ae8b0a
[BSP] 4b5e042791631ae37d5240b04f25deb8 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 26626048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 26830848 | Size: 463838 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_11032013_134236.txt >>
RKreport[1]_S_11032013_134236.txt
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4691
0
Merci
OK il l'a localisé, tu peux cliquer sur Suppression et poster le rapport.


0
Merci
Voici le rapport de suppression :
RogueKiller V8.5.2 _x64_ [Mar  9 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Nolan [Droits d'admin]
Mode : Suppression -- Date : 11/03/2013 15:55:22
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 11 ¤¤¤
[STARTUP][PREVRUN] {63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.lnk @Common : C:\Windows\System32\rundll32.exe|"C:\Users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.dll",AppStartup CommonStartup [7] -> SUPPRIMÉ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{780C1CF0-5D91-469B-8D88-DE511024C37E} : NameServer (178.33.41.181,88.191.223.122) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{9F7547AA-0DC6-4D70-9D11-97D11E9135C2} : NameServer (178.33.41.181,88.191.223.122) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{780C1CF0-5D91-469B-8D88-DE511024C37E} : NameServer (178.33.41.181,88.191.223.122) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{9F7547AA-0DC6-4D70-9D11-97D11E9135C2} : NameServer (178.33.41.181,88.191.223.122) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1       localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000BEVT-22A0RT0 +++++
--- User ---
[MBR] 53aa6fcd1210ecd3bfbc94a160ae8b0a
[BSP] 4b5e042791631ae37d5240b04f25deb8 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 26626048 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 26830848 | Size: 463838 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_D_11032013_155522.txt >>
RKreport[1]_S_11032013_134236.txt ; RKreport[2]_S_11032013_151817.txt ; RKreport[3]_D_11032013_155522.txt



Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4691
0
Merci
Nolan,

1) Utilise l'option DNS RAZ de RogueKiller

2) Repasse un coup de TDSSKiller STP

Bonne soirée
0
Merci
Et voilà les deux rapports :
https://forums-fec.be/upload/www/?a=d&i=7489424332
https://forums-fec.be/upload/www/?a=d&i=2629584470

Bonne soirée de même,
Nolan
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4691
0
Merci
Re Nolan,

Bon il ne va plus nous enquiquiner longtemps celui-là !

▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix

▶ Ferme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

▶ Clic droit -> exécuter en tant qu'administrateur sur combofix renommé

▶ Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur


A+
0
Merci
Bonjour,

ComboFix 13-03-11.01 - Nolan 12/03/2013   2:30.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.3956.2813 [GMT 1:00]
Lancé depuis: c:\users\Nolan\Desktop\nolan.exe
AV: Microsoft Security Essentials *Disabled/Updated* {3F839487-C7A2-C958-E30C-E2825BA31FB5}
SP: Microsoft Security Essentials *Disabled/Updated* {84E27563-E198-C6D6-D9BC-D9F020245508}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
c:\programdata\AMMYY
c:\programdata\AMMYY\hr
c:\programdata\AMMYY\hr3
c:\programdata\AMMYY\settings3.bin
c:\users\Nolan\age_of_mythology_patch_v1.10_multi-langues_12429.exe
c:\users\Nolan\AppData\Roaming\mshiad.dll
c:\users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.dll
c:\users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.sys
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2013-02-12 au 2013-03-12  ))))))))))))))))))))))))))))))))))))
.
.
2013-03-12 01:41 . 2013-03-12 01:41	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-03-11 23:56 . 2013-02-08 00:28	9162192	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{8F6055D9-A4D4-4CEF-8A84-445311C1DC32}\mpengine.dll
2013-03-11 23:46 . 2013-03-11 23:46	208216	----a-w-	c:\windows\system32\drivers\05817895.sys
2013-03-11 19:53 . 2013-03-11 19:53	691568	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-03-11 19:53 . 2013-03-11 19:53	71024	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-03-11 10:57 . 2013-03-11 10:57	208216	----a-w-	c:\windows\system32\drivers\34010681.sys
2013-03-11 10:53 . 2013-03-11 10:53	--------	d-----w-	C:\TDSSKiller_Quarantine
2013-03-11 00:49 . 2013-03-11 00:49	--------	d-----w-	c:\users\Nolan\AppData\Roaming\Malwarebytes
2013-03-11 00:48 . 2013-03-11 00:48	--------	d-----w-	c:\programdata\Malwarebytes
2013-03-11 00:48 . 2012-12-14 15:49	24176	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-03-11 00:48 . 2013-03-11 00:49	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2013-03-11 00:48 . 2013-03-11 00:48	--------	d-----w-	c:\users\Nolan\AppData\Local\Programs
2013-03-11 00:05 . 2013-03-11 09:51	--------	d-----w-	c:\programdata\boost_interprocess
2013-03-10 22:30 . 2013-03-11 11:59	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2013-03-10 21:48 . 2013-03-11 11:59	--------	d-----w-	c:\program files (x86)\ZHPDiag
2013-03-10 21:48 . 2013-03-11 11:33	--------	d-----w-	C:\ZHP
2013-03-10 21:42 . 2013-01-08 22:01	768000	----a-w-	c:\program files (x86)\Common Files\Microsoft Shared\VGX\VGX.dll
2013-03-10 21:42 . 2013-01-09 01:10	996352	----a-w-	c:\program files\Common Files\Microsoft Shared\VGX\VGX.dll
2013-03-10 21:27 . 2013-03-10 21:27	--------	d-----w-	c:\windows\SysWow64\wbem\en-US
2013-03-10 21:27 . 2013-03-10 21:27	--------	d-----w-	c:\windows\system32\wbem\en-US
2013-03-10 20:03 . 2013-02-08 00:28	9162192	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-03-10 19:41 . 2013-03-10 19:41	89088	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2013-03-10 19:25 . 2012-11-22 09:50	92184	----a-w-	c:\programdata\Microsoft\BingDesktop\Updater\BingDesktopRestarter.exe
2013-03-10 19:09 . 2013-03-10 19:09	--------	d-----w-	c:\program files (x86)\Microsoft
2013-03-10 18:53 . 2012-08-24 18:13	154480	----a-w-	c:\windows\system32\drivers\ksecpkg.sys
2013-03-10 18:53 . 2012-08-24 18:09	458712	----a-w-	c:\windows\system32\drivers\cng.sys
2013-03-10 18:53 . 2012-08-24 18:05	340992	----a-w-	c:\windows\system32\schannel.dll
2013-03-10 18:53 . 2012-08-24 16:57	247808	----a-w-	c:\windows\SysWow64\schannel.dll
2013-03-10 18:53 . 2012-08-24 18:03	1448448	----a-w-	c:\windows\system32\lsasrv.dll
2013-03-10 18:53 . 2012-08-24 16:57	22016	----a-w-	c:\windows\SysWow64\secur32.dll
2013-03-10 18:53 . 2012-08-24 16:53	96768	----a-w-	c:\windows\SysWow64\sspicli.dll
2013-03-10 18:53 . 2012-05-04 09:59	514560	----a-w-	c:\windows\SysWow64\qdvd.dll
2013-03-10 18:53 . 2012-05-04 11:00	366592	----a-w-	c:\windows\system32\qdvd.dll
2013-03-06 21:55 . 2013-03-11 23:38	--------	d-----w-	c:\users\Nolan\AppData\Roaming\Mumble
2013-03-06 21:54 . 2013-03-06 21:55	--------	d-----w-	c:\program files (x86)\Mumble
2013-03-04 11:59 . 2013-03-11 15:28	334	----a-w-	c:\users\Public\{63CEEF46-6FE5-49fc-8FB6-244CA0EE3E75}.pif
2013-02-27 02:01 . 2013-01-13 19:53	187392	----a-w-	c:\windows\SysWow64\UIAnimation.dll
2013-02-27 02:01 . 2013-01-13 19:24	221184	----a-w-	c:\windows\system32\UIAnimation.dll
2013-02-27 02:01 . 2013-01-04 06:11	2284544	----a-w-	c:\windows\SysWow64\msmpeg2vdec.dll
2013-02-27 02:01 . 2013-01-04 06:11	2776576	----a-w-	c:\windows\system32\msmpeg2vdec.dll
2013-02-27 02:01 . 2013-01-13 19:02	417792	----a-w-	c:\windows\SysWow64\WMPhoto.dll
2013-02-27 02:01 . 2013-01-13 18:32	465920	----a-w-	c:\windows\system32\WMPhoto.dll
2013-02-16 19:03 . 2013-02-16 19:03	--------	d-----w-	c:\program files (x86)\STARGATE
2013-02-13 17:49 . 2013-01-05 05:53	5553512	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-02-13 17:49 . 2013-01-05 05:00	3967848	----a-w-	c:\windows\SysWow64\ntkrnlpa.exe
2013-02-13 17:49 . 2013-01-05 05:00	3913064	----a-w-	c:\windows\SysWow64\ntoskrnl.exe
2013-02-13 17:49 . 2013-01-04 03:26	3153408	----a-w-	c:\windows\system32\win32k.sys
2013-02-13 17:48 . 2013-01-04 05:46	215040	----a-w-	c:\windows\system32\winsrv.dll
2013-02-13 17:48 . 2013-01-04 02:47	25600	----a-w-	c:\windows\SysWow64\setup16.exe
2013-02-13 17:48 . 2013-01-04 02:47	7680	----a-w-	c:\windows\SysWow64\instnm.exe
2013-02-13 17:48 . 2013-01-04 02:47	14336	----a-w-	c:\windows\SysWow64\ntvdm64.dll
2013-02-13 17:48 . 2013-01-04 04:51	5120	----a-w-	c:\windows\SysWow64\wow32.dll
2013-02-13 17:48 . 2013-01-04 02:47	2048	----a-w-	c:\windows\SysWow64\user.exe
2013-02-13 17:48 . 2013-01-03 06:00	1913192	----a-w-	c:\windows\system32\drivers\tcpip.sys
2013-02-13 17:48 . 2013-01-03 06:00	288088	----a-w-	c:\windows\system32\drivers\FWPKCLNT.SYS
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-04 21:49 . 2010-09-04 01:06	70004024	----a-w-	c:\windows\system32\MRT.exe
2013-01-30 10:53 . 2010-09-03 20:31	273840	------w-	c:\windows\system32\MpSigStub.exe
2013-01-20 14:59 . 2013-01-20 14:59	230320	----a-w-	c:\windows\system32\drivers\MpFilter.sys
2013-01-20 14:59 . 2010-10-24 20:25	130008	----a-w-	c:\windows\system32\drivers\NisDrvWFP.sys
2013-01-04 04:43 . 2013-02-13 17:48	44032	----a-w-	c:\windows\apppatch\acwow64.dll
2012-12-16 17:11 . 2012-12-23 13:04	46080	----a-w-	c:\windows\system32\atmlib.dll
2012-12-16 14:45 . 2012-12-23 13:04	367616	----a-w-	c:\windows\system32\atmfd.dll
2012-12-16 14:13 . 2012-12-23 13:04	295424	----a-w-	c:\windows\SysWow64\atmfd.dll
2012-12-16 14:13 . 2012-12-23 13:04	34304	----a-w-	c:\windows\SysWow64\atmlib.dll
1998-04-26 22:00 . 1998-04-26 22:00	570128	----a-w-	c:\program files (x86)\Common Files\DAO350.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Pro Agent"="c:\program files (x86)\DAEMON Tools Pro\DTAgent.exe" [2011-08-17 4527424]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-03-03 284696]
"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" [2010-03-08 258560]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2010-04-08 908368]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-12-05 343168]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888]
"BingDesktop"="c:\program files (x86)\Microsoft\BingDesktop\BingDesktop.exe" [2013-01-25 2127896]
.
c:\users\Nolan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-07-13 160944]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [2009-12-02 40448]
R3 androidusb;ADB Interface Driver;c:\windows\system32\Drivers\androidusb.sys [2009-08-21 31744]
R3 dc3d;MS Hardware Device Detection Driver (USB);c:\windows\system32\DRIVERS\dc3d.sys [2012-11-01 75928]
R3 driverhardwarev2x64;driverhardwarev2x64;c:\program files\ma-config.com\Drivers\driverhardwarev2x64.sys [2010-08-30 15872]
R3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\Drivers\hcw95bda.sys [2009-07-06 658432]
R3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\DRIVERS\hcw95rc.sys [2009-07-06 19456]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\x64\maconfservice.exe [2011-01-24 420864]
R3 ManyCam;ManyCam Virtual Webcam;c:\windows\system32\DRIVERS\mcvidrv_x64.sys [2012-01-11 34304]
R3 mcaudrv_simple;ManyCam Virtual Microphone;c:\windows\system32\drivers\mcaudrv_x64.sys [2012-02-22 28160]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2013-01-20 130008]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [2013-01-27 379360]
R3 Point64;Microsoft IntelliPoint Filter Driver;c:\windows\system32\DRIVERS\point64.sys [2010-07-21 45456]
R3 qcusbser;ACER Android USB Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\qcusbser.sys [2009-08-14 120960]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 19456]
R3 SaiH0464;SaiH0464;c:\windows\system32\DRIVERS\SaiH0464.sys [2007-05-01 171144]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2012-08-23 57856]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2011-01-18 154256]
R3 VCam_WDM;Fake Webcam 7.2;c:\windows\system32\DRIVERS\VCam_WDM.sys [2012-05-25 104120]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-09-03 1255736]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2008-06-16 55024]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S1 VBoxDrv;VirtualBox Service;c:\windows\system32\DRIVERS\VBoxDrv.sys [2011-01-18 226448]
S1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\DRIVERS\VBoxUSBMon.sys [2011-01-18 54864]
S2 AcerSyncSystemService;AcerSyncSystemService;c:\program files\Acer\AcerSync\AcerSyncSystemService.exe [2011-06-16 81304]
S2 AdobeActiveFileMonitor8.0;Adobe Active File Monitor V8;c:\program files (x86)\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe [2009-10-09 169312]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-12-06 235520]
S2 BingDesktopUpdate;Bing Desktop Update service;c:\program files (x86)\Microsoft\BingDesktop\BingDesktopUpdater.exe [2013-01-25 166408]
S2 DsiWMIService;Dritek WMI Service;c:\program files (x86)\Launch Manager\dsiwmis.exe [2010-04-08 312400]
S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2010-02-05 865824]
S2 Greg_Service;GRegService;c:\program files (x86)\Packard Bell\Registration\GregHSRW.exe [2009-08-28 1150496]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-03-03 13336]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [2010-03-08 250368]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S2 Updater Service;Updater Service;c:\program files\Packard Bell\Packard Bell Updater\UpdaterService.exe [2010-01-28 243232]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2011-12-05 95248]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [2010-07-30 406056]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [2011-01-18 173840]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-03-06 13:19	1630672	----a-w-	c:\program files (x86)\Google\Chrome\Application\25.0.1364.152\Installer\chrmstp.exe
.
Contenu du dossier 'Tâches planifiées'
.
2013-03-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-03-11 19:53]
.
2013-03-12 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2780777327-3945622715-1015961580-1001Core.job
- c:\users\Nolan\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-01-29 11:14]
.
2013-03-12 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2780777327-3945622715-1015961580-1001UA.job
- c:\users\Nolan\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-01-29 11:14]
.
2013-03-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-09-03 21:22]
.
2013-03-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-09-03 21:22]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-10-22 325120]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2009-09-22 323584]
"PLFSetI"="c:\windows\PLFSetI.exe" [2010-02-26 206208]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2010-02-05 860192]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2010-07-21 2327952]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-12-10 9643552]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2011-08-10 1873256]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2013-01-27 1281512]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - LocalService
FontCache
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/ig
uLocal Page = c:\windows\system32\blank.htm
mDefault_Page_URL = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_lm98&r=27360910s4b6l0440z185f4691d26q
mStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_lm98&r=27360910s4b6l0440z185f4691d26q
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = local
IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.254
TCP: Interfaces\{420DBE7D-4F90-4F18-829F-4C5B7D115506}\B6A65702261647640223E213: NameServer = 178.33.41.181,88.191.223.122
FF - ProfilePath - c:\users\Nolan\AppData\Roaming\Mozilla\Firefox\Profiles\a54mqlrw.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig
FF - prefs.js: network.proxy.ftp - 185.2.12.33
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.gopher - 
FF - prefs.js: network.proxy.gopher_port - 0
FF - prefs.js: network.proxy.http - 185.2.12.33
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - 185.2.12.33
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - 185.2.12.33
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
SafeBoot-67482140.sys
SafeBoot-70003572.sys
SafeBoot-94006587.sys
Toolbar-Locked - (no file)
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-2780777327-3945622715-1015961580-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (S-1-5-21-2780777327-3945622715-1015961580-1001)
@Denied: (2) (LocalSystem)
"Progid"="ThunderbirdEML"
.
[HKEY_USERS\S-1-5-21-2780777327-3945622715-1015961580-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
.
**************************************************************************
.
Heure de fin: 2013-03-12  13:33:55 - La machine a redémarré
ComboFix-quarantined-files.txt  2013-03-12 12:33
.
Avant-CF: 132 414 910 464 octets libres
Après-CF: 128 365 236 224 octets libres
.
- - End Of File - - A787F9BD9BFC3CFD5D10E94C4F6C3530