Sujet Précédent Sujet Suivant

Icônes du bureau effacées au démarrage de la session + message

Résolu/Fermé
Eileencoo - 6 déc. 2013 à 11:22
 Eileencoo - 10 déc. 2013 à 00:38
Bonjour,

depuis quelques jours, lorsque j'ouvre ma session sur mon PC fixe ou mon PC portable (tous les 2 windows XP), seul mon fond d'écran s'affiche avec une fenêtre en haut à gauche intitulée : "paramètres personnalisés" et contenant simplement "C:Users/xxxxx.exe". Et c'est tout. Je peux juste ouvrir le gestionnaire de tâche et éteindre mon ordinateur. Et lorsque je le rallume, tout se passe bien, sauf une petite fenêtre qui me dit : "Services a rencontré un problème et doit fermé". Et c'est à chaque fois le même cirque ! Quelqu'un pourrait-il m'aider ?
A voir également:

66 réponses

Réponse 1 / 66
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 804
6 déc. 2013 à 11:24
* Télécharge sur le bureau RogueKiller

* Quitte tous tes programmes en cours.

* Sous Vista/Seven et windows 8 , clique droit -> lancer en tant qu'administrateur

* Sinon lance simplement RogueKiller.exe

* Patiente pendant le pre-scan, puis clique sur le bouton Scan

* Un rapport RKreport.txt a du se créer sur le bureau, poste-le.

Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.
1
Eileencoo
6 déc. 2013 à 12:05
Qu'est-ce que roguekiller a de plus par rapport à un autre anti-virus ?
0
Eileencoo
6 déc. 2013 à 12:31
Bon, apparemment, d'après avira, j'ai un trojan TR/Agent.VB.3368 qui, d'après ce que j'ai lu ailleurs, est la cause évidente de mes soucis ! Haha ! Tu me conseilles toujours de télécharger RogueKiller ?
0
Réponse 2 / 66
Eileencoo
6 déc. 2013 à 13:10
C'est fait, voici le rapport de roguekiller :


RogueKiller V8.7.11 [Dec 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : manouche [Droits d'admin]
Mode : Recherche -- Date : 12/06/2013 13:07:55
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 6 ¤¤¤
[HJNAME] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]
[HJNAME] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]
[HJNAME] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]
[HJNAME] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]
[HJNAME] wuauclt.exe -- C:\Documents and Settings\manouche\Menu Démarrer\Programmes\Démarrage\wuauclt.exe [-] -> TUÉ [TermProc]
[HJNAME] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 14 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : SURVIVAL (wscript.exe //B "C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe" [x][-]) -> TROUVÉ
[RUN][HJNAME] HKCU\[...]\Run : ISG (C:\Users\Public\wuauclt.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKLM\[...]\Run : SURVIVAL (wscript.exe //B "C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe" [x][-]) -> TROUVÉ
[RUN][HJNAME] HKLM\[...]\Run : Isolution (C:\Users\Public\wuauclt.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-515967899-448539723-839522115-1003\[...]\Run : SURVIVAL (wscript.exe //B "C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe" [x][-]) -> TROUVÉ
[RUN][HJNAME] HKUS\S-1-5-21-515967899-448539723-839522115-1003\[...]\Run : ISG (C:\Users\Public\wuauclt.exe [-]) -> TROUVÉ
[RUN][HJNAME] HKCU\[...]\Run : GSI (C:\Users\Public\wuauclt.exe [-]) -> TROUVÉ
[RUN][HJNAME] HKLM\[...]\Run : GSI (C:\Users\Public\wuauclt.exe [-]) -> TROUVÉ
[RUN][HJNAME] HKUS\S-1-5-21-515967899-448539723-839522115-1003\[...]\Run : GSI (C:\Users\Public\wuauclt.exe [-]) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 1 ¤¤¤
[manouche][HJNAME] wuauclt.exe : C:\Documents and Settings\manouche\Menu Démarrer\Programmes\Démarrage\wuauclt.exe [-] -> TROUVÉ

¤¤¤ Navigateurs web : 2 ¤¤¤
[FF][PROXY] ik1p9vw8.default : user_pref("network.proxy.hxxp", "208.67.222.222"); -> TROUVÉ
[FF][PROXY] ik1p9vw8.default : user_pref("network.proxy.type", 4); -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xB87F98EC)
[Address] SSDT[41] : NtCreateKey @ 0x80578ACE -> HOOKED (Unknown @ 0xB87F98A6)
[Address] SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xB87F98F6)
[Address] SSDT[53] : NtCreateThread @ 0x80584D59 -> HOOKED (Unknown @ 0xB87F989C)
[Address] SSDT[63] : NtDeleteKey @ 0x8059978F -> HOOKED (Unknown @ 0xB87F98AB)
[Address] SSDT[65] : NtDeleteValueKey @ 0x805983AE -> HOOKED (Unknown @ 0xB87F98B5)
[Address] SSDT[68] : NtDuplicateObject @ 0x8057F1A9 -> HOOKED (Unknown @ 0xB87F98E7)
[Address] SSDT[98] : NtLoadKey @ 0x805D5283 -> HOOKED (Unknown @ 0xB87F98BA)
[Address] SSDT[122] : NtOpenProcess @ 0x8057F956 -> HOOKED (Unknown @ 0xB87F9888)
[Address] SSDT[128] : NtOpenThread @ 0x805E4867 -> HOOKED (Unknown @ 0xB87F988D)
[Address] SSDT[177] : NtQueryValueKey @ 0x80572F2A -> HOOKED (Unknown @ 0xB87F990F)
[Address] SSDT[193] : NtReplaceKey @ 0x806573A6 -> HOOKED (Unknown @ 0xB87F98C4)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D153 -> HOOKED (Unknown @ 0xB87F9900)
[Address] SSDT[204] : NtRestoreKey @ 0x80656F3D -> HOOKED (Unknown @ 0xB87F98BF)
[Address] SSDT[213] : NtSetContextThread @ 0x80636401 -> HOOKED (Unknown @ 0xB87F98FB)
[Address] SSDT[237] : NtSetSecurityObject @ 0x8059DDEB -> HOOKED (Unknown @ 0xB87F9905)
[Address] SSDT[247] : NtSetValueKey @ 0x805800A4 -> HOOKED (Unknown @ 0xB87F98B0)
[Address] SSDT[255] : NtSystemDebugControl @ 0x80651C71 -> HOOKED (Unknown @ 0xB87F990A)
[Address] SSDT[257] : NtTerminateProcess @ 0x8058E8D1 -> HOOKED (Unknown @ 0xB87F9897)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xB87F991E)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xB87F9923)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD740ADFD-00NLR5 +++++
--- User ---
[MBR] bd59a96696940fcf613aacbcddafc706
[BSP] 16801d9d629a337e2060ee99e7e2208c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 70896 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ IDE) ST3500320AS +++++
--- User ---
[MBR] f424157eefd4da8efceaea13493f949f
[BSP] 74a54131fd14b8eb519feca1505a60ce : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_12062013_130755.txt >>
0
Réponse 3 / 66
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 804
6 déc. 2013 à 17:16
* Quitte tous tes programmes en cours

* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur

* Sinon lance simplement RogueKiller.exe

* Patiente pendant le pre-scan, clique sur Scan

* Vérifie que tous les éléments sont cochés puis clique sur Suppression

* Poste le rapport RKreport.txt présent sur le bureau.
0
Réponse 4 / 66
Eileencoo
6 déc. 2013 à 17:53
J'ai suivi la consigne, voici le rapport :

RogueKiller V8.7.11 [Dec 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : manouche [Droits d'admin]
Mode : Recherche -- Date : 12/06/2013 17:49:56
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 5 ¤¤¤
[HJNAME] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]
[HJNAME] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]
[HJNAME] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]
[HJNAME] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]
[Microsoft][HIDDEN] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 14 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : SURVIVAL (wscript.exe //B "C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe" [x][-]) -> TROUVÉ
[RUN][HJNAME] HKCU\[...]\Run : ISG (C:\Users\Public\wuauclt.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKLM\[...]\Run : SURVIVAL (wscript.exe //B "C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe" [x][-]) -> TROUVÉ
[RUN][HJNAME] HKLM\[...]\Run : Isolution (C:\Users\Public\wuauclt.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-515967899-448539723-839522115-1003\[...]\Run : SURVIVAL (wscript.exe //B "C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe" [x][-]) -> TROUVÉ
[RUN][HJNAME] HKUS\S-1-5-21-515967899-448539723-839522115-1003\[...]\Run : ISG (C:\Users\Public\wuauclt.exe [-]) -> TROUVÉ
[RUN][HJNAME] HKCU\[...]\Run : GSI (C:\Users\Public\wuauclt.exe [-]) -> TROUVÉ
[RUN][HJNAME] HKLM\[...]\Run : GSI (C:\Users\Public\wuauclt.exe [-]) -> TROUVÉ
[RUN][HJNAME] HKUS\S-1-5-21-515967899-448539723-839522115-1003\[...]\Run : GSI (C:\Users\Public\wuauclt.exe [-]) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ SECU][PUM] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 1 ¤¤¤
[manouche][HJNAME] wuauclt.exe : C:\Documents and Settings\manouche\Menu Démarrer\Programmes\Démarrage\wuauclt.exe [-] -> TROUVÉ

¤¤¤ Navigateurs web : 2 ¤¤¤
[FF][PROXY] ik1p9vw8.default : user_pref("network.proxy.hxxp", "208.67.222.222"); -> TROUVÉ
[FF][PROXY] ik1p9vw8.default : user_pref("network.proxy.type", 4); -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xB87F98EC)
[Address] SSDT[41] : NtCreateKey @ 0x80578ACE -> HOOKED (Unknown @ 0xB87F98A6)
[Address] SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xB87F98F6)
[Address] SSDT[53] : NtCreateThread @ 0x80584D59 -> HOOKED (Unknown @ 0xB87F989C)
[Address] SSDT[63] : NtDeleteKey @ 0x8059978F -> HOOKED (Unknown @ 0xB87F98AB)
[Address] SSDT[65] : NtDeleteValueKey @ 0x805983AE -> HOOKED (Unknown @ 0xB87F98B5)
[Address] SSDT[68] : NtDuplicateObject @ 0x8057F1A9 -> HOOKED (Unknown @ 0xB87F98E7)
[Address] SSDT[98] : NtLoadKey @ 0x805D5283 -> HOOKED (Unknown @ 0xB87F98BA)
[Address] SSDT[122] : NtOpenProcess @ 0x8057F956 -> HOOKED (Unknown @ 0xB87F9888)
[Address] SSDT[128] : NtOpenThread @ 0x805E4867 -> HOOKED (Unknown @ 0xB87F988D)
[Address] SSDT[177] : NtQueryValueKey @ 0x80572F2A -> HOOKED (Unknown @ 0xB87F990F)
[Address] SSDT[193] : NtReplaceKey @ 0x806573A6 -> HOOKED (Unknown @ 0xB87F98C4)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D153 -> HOOKED (Unknown @ 0xB87F9900)
[Address] SSDT[204] : NtRestoreKey @ 0x80656F3D -> HOOKED (Unknown @ 0xB87F98BF)
[Address] SSDT[213] : NtSetContextThread @ 0x80636401 -> HOOKED (Unknown @ 0xB87F98FB)
[Address] SSDT[237] : NtSetSecurityObject @ 0x8059DDEB -> HOOKED (Unknown @ 0xB87F9905)
[Address] SSDT[247] : NtSetValueKey @ 0x805800A4 -> HOOKED (Unknown @ 0xB87F98B0)
[Address] SSDT[255] : NtSystemDebugControl @ 0x80651C71 -> HOOKED (Unknown @ 0xB87F990A)
[Address] SSDT[257] : NtTerminateProcess @ 0x8058E8D1 -> HOOKED (Unknown @ 0xB87F9897)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xB87F991E)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xB87F9923)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD740ADFD-00NLR5 +++++
--- User ---
[MBR] bd59a96696940fcf613aacbcddafc706
[BSP] 16801d9d629a337e2060ee99e7e2208c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 70896 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ IDE) ST3500320AS +++++
--- User ---
[MBR] f424157eefd4da8efceaea13493f949f
[BSP] 74a54131fd14b8eb519feca1505a60ce : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: (\\.\PHYSICALDRIVE2 @ USB) USB Flash Disk USB Device +++++
--- User ---
[MBR] a21f7b5aca958871d4f9e8a63b8998df
[BSP] 73a1b310296a79c9d061fb23ba0b6ca0 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 96 | Size: 955 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x32] Cette demande n'est pas prise en charge. )

Termine : << RKreport[0]_S_12062013_174956.txt >>
RKreport[0]_S_12062013_130755.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 66
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 804
6 déc. 2013 à 17:58
* Vérifie que tous les éléments sont cochés puis clique sur Suppression
0
Réponse 6 / 66
Eileencoo
6 déc. 2013 à 18:05
C'est ce que j'ai fait... Je revérifie
0
Réponse 7 / 66
Eileencoo
6 déc. 2013 à 18:09
En effet, certains des fichiers n'avaient pas été supprimé. Il y en a trois où il me dit : [0x2]Le fichier spécifié est introuvable.

Voici le nouveau rapport :

RogueKiller V8.7.11 [Dec 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : manouche [Droits d'admin]
Mode : Suppression -- Date : 12/06/2013 18:07:54
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 4 ¤¤¤
[HJNAME] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]
[HJNAME] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]
[HJNAME] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]
[HJNAME] wuauclt.exe -- C:\Users\Public\wuauclt.exe [-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 9 ¤¤¤
[RUN][HJNAME] HKCU\[...]\Run : ISG (C:\Users\Public\wuauclt.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : SURVIVAL (wscript.exe //B "C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe" [x][-]) -> SUPPRIMÉ
[RUN][HJNAME] HKLM\[...]\Run : Isolution (C:\Users\Public\wuauclt.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKLM\[...]\Run : SURVIVAL (wscript.exe //B "C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe" [x][-]) -> SUPPRIMÉ
[RUN][HJNAME] HKUS\S-1-5-21-515967899-448539723-839522115-1003\[...]\Run : ISG (C:\Users\Public\wuauclt.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-515967899-448539723-839522115-1003\[...]\Run : SURVIVAL (wscript.exe //B "C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe" [x][-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][HJNAME] HKCU\[...]\Run : GSI (C:\Users\Public\wuauclt.exe [-]) -> SUPPRIMÉ
[RUN][HJNAME] HKLM\[...]\Run : GSI (C:\Users\Public\wuauclt.exe [-]) -> SUPPRIMÉ
[RUN][HJNAME] HKUS\S-1-5-21-515967899-448539723-839522115-1003\[...]\Run : GSI (C:\Users\Public\wuauclt.exe [-]) -> [0x2] Le fichier spécifié est introuvable.

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 1 ¤¤¤
[manouche][HJNAME] wuauclt.exe : C:\Documents and Settings\manouche\Menu Démarrer\Programmes\Démarrage\wuauclt.exe [-] -> SUPPRIMÉ

¤¤¤ Navigateurs web : 2 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xB87F98EC)
[Address] SSDT[41] : NtCreateKey @ 0x80578ACE -> HOOKED (Unknown @ 0xB87F98A6)
[Address] SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xB87F98F6)
[Address] SSDT[53] : NtCreateThread @ 0x80584D59 -> HOOKED (Unknown @ 0xB87F989C)
[Address] SSDT[63] : NtDeleteKey @ 0x8059978F -> HOOKED (Unknown @ 0xB87F98AB)
[Address] SSDT[65] : NtDeleteValueKey @ 0x805983AE -> HOOKED (Unknown @ 0xB87F98B5)
[Address] SSDT[68] : NtDuplicateObject @ 0x8057F1A9 -> HOOKED (Unknown @ 0xB87F98E7)
[Address] SSDT[98] : NtLoadKey @ 0x805D5283 -> HOOKED (Unknown @ 0xB87F98BA)
[Address] SSDT[122] : NtOpenProcess @ 0x8057F956 -> HOOKED (Unknown @ 0xB87F9888)
[Address] SSDT[128] : NtOpenThread @ 0x805E4867 -> HOOKED (Unknown @ 0xB87F988D)
[Address] SSDT[177] : NtQueryValueKey @ 0x80572F2A -> HOOKED (Unknown @ 0xB87F990F)
[Address] SSDT[193] : NtReplaceKey @ 0x806573A6 -> HOOKED (Unknown @ 0xB87F98C4)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x8057D153 -> HOOKED (Unknown @ 0xB87F9900)
[Address] SSDT[204] : NtRestoreKey @ 0x80656F3D -> HOOKED (Unknown @ 0xB87F98BF)
[Address] SSDT[213] : NtSetContextThread @ 0x80636401 -> HOOKED (Unknown @ 0xB87F98FB)
[Address] SSDT[237] : NtSetSecurityObject @ 0x8059DDEB -> HOOKED (Unknown @ 0xB87F9905)
[Address] SSDT[247] : NtSetValueKey @ 0x805800A4 -> HOOKED (Unknown @ 0xB87F98B0)
[Address] SSDT[255] : NtSystemDebugControl @ 0x80651C71 -> HOOKED (Unknown @ 0xB87F990A)
[Address] SSDT[257] : NtTerminateProcess @ 0x8058E8D1 -> HOOKED (Unknown @ 0xB87F9897)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xB87F991E)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xB87F9923)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD740ADFD-00NLR5 +++++
--- User ---
[MBR] bd59a96696940fcf613aacbcddafc706
[BSP] 16801d9d629a337e2060ee99e7e2208c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 70896 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ IDE) ST3500320AS +++++
--- User ---
[MBR] f424157eefd4da8efceaea13493f949f
[BSP] 74a54131fd14b8eb519feca1505a60ce : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: (\\.\PHYSICALDRIVE2 @ USB) USB Flash Disk USB Device +++++
--- User ---
[MBR] a21f7b5aca958871d4f9e8a63b8998df
[BSP] 73a1b310296a79c9d061fb23ba0b6ca0 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 96 | Size: 955 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x32] Cette demande n'est pas prise en charge. )

Termine : << RKreport[0]_D_12062013_180754.txt >>
RKreport[0]_D_12062013_175043.txt;RKreport[0]_S_12062013_174956.txt;RKreport[0]_S_12062013_180727.txt
0
Réponse 8 / 66
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 804
6 déc. 2013 à 18:13
* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ou https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin
https://www.cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png

* A l'ouverture du logiciel il te sera proposé deux options "rechercher" et "configurer"

* Cliques sur configurer

* Options puis tous

* Clique sur l'icône représentant une loupe + (« Lancer le diagnostic »)

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

* Pour héberger le rapport, rends toi sur cjoint.com
* Clique sur choisissez un fichier va chercher le rapport dans ton PC.

* Le rapport est sauvegardé dans C:\ZHP\ZHPDiag.txt

* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir

* Choisis le type de diffusion(je te conseille privée 4 jours il sera détruit)

* Puis cliques sur créer le lien cjoint

* Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse

* Pour t'aider http://www.pc-infopratique.com/forum-informatique/tutoriel-heberger-rapport-vt-67934.html

0
Réponse 9 / 66
Eileencoo
6 déc. 2013 à 18:32
C'est fait ! Voici le rapport :


~ Rapport de ZHPDiag v2013.12.6.12 - Nicolas Coolman (06/12/2013)
~ Lancé par manouche (06/12/2013 18:26:36)
~ Adresse du Site Web http://nicolascoolman.webs.com
~ Forums gratuits d'Assistance à la désinfection : http://nicolascoolman.webs.com/apps/links/
~ Traduit par Nicolas Coolman
~ Etat de la version :
~ Liste blanche : Activée par le programme
~ Elévation des Privilèges : OK
~ User Account Control (UAC): Not Found


---\\ Navigateurs Internet
MSIE: Internet Explorer v8.0.6001.18702
MFIE: Mozilla Firefox 25.0.1 (Defaut)

---\\ Informations sur les produits Windows
~ Langage: Français
Windows XP Professional Service Pack 3 (Build 2600)
Windows Automatic Updates : OK
Windows Genuine Advantage : OK

---\\ Logiciels de protection du système
Avira Free Antivirus v14.0.1.759

---\\ Logiciels d'optimisation du système
CCleaner v4.06 =>Piriform Ltd

---\\ Logiciels de partage PeerToPeer

---\\ Surveillance de Logiciels
Adobe Flash Player 11 Plugin
Adobe Reader X

---\\ Informations sur le système
~ Processor: x86 Family 6 Model 23 Stepping 7, GenuineIntel
~ Operating System: 32 Bits
Boot mode: Normal (Normal boot)
Total RAM: 3071 MB (64% free)
System Restore: Activé (Enable)
System drive C: has 32 GB (46%) free of 69 GB

---\\ Mode de connexion au système
~ Computer Name: PC
~ User Name: manouche
~ All Users Names: SUPPORT_388945a0, manouche, HelpAssistant, ASPNET, Administrateur,
~ Unselected Option: None
Logged in as Administrator

---\\ Variables d'environnement
~ System Unit : C:\
~ %AppZHP% : C:\Documents and Settings\manouche\Application Data\ZHP\
~ %AppData% : C:\Documents and Settings\manouche\Application Data\
~ %Desktop% : C:\Documents and Settings\manouche\Bureau\
~ %Favorites% : C:\Documents and Settings\manouche\Favoris\
~ %LocalAppData% : C:\Documents and Settings\manouche\Local Settings\Application Data\
~ %StartMenu% : C:\Documents and Settings\manouche\Menu Démarrer\
~ %Windir% : C:\WINDOWS\
~ %System% : C:\WINDOWS\system32\

---\\ Enumération des unités disques
A: Floppy drive, Flash card reader, USB Key (Not Inserted)
C: Hard drive, Flash drive, Thumb drive (Free 32 Go of 69 Go)
D: CD-ROM drive (Not Inserted)
E: Hard drive, Flash drive, Thumb drive (Free 382 Go of 466 Go)
F: CD-ROM drive (Not Inserted)
G: Hard drive, Flash drive, Thumb drive (Free 1 Go of 1 Go)



---\\ Etat du Centre de Sécurité Windows
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install] LastSuccessTime : Out Of Date
~ Security Center: 45 Legitimates Filtered in 00mn 00s



---\\ Recherche particulière de fichiers génériques
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation - Explorateur Windows.) (.14/04/2008 - 03:34:03.) -- C:\WINDOWS\Explorer.exe [1037824]
[MD5.F8A2979A0A33389A1D2BA4C967F6EDD6] - (.Microsoft Corporation - Internet Extensions for Win32.) (.13/10/2013 - 08:25:45.) -- C:\WINDOWS\system32\wininet.dll [920064]
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation - Application d'ouverture de session Windows NT.) (.14/04/2008 - 03:34:28.) -- C:\WINDOWS\system32\Winlogon.exe [512000]
[MD5.1E44BC1E83D8FD2305F8D452DB109CF9] - (.Microsoft Corporation - Ancillary Function Driver for WinSock.) (.17/08/2011 - 14:49:54.) -- C:\WINDOWS\system32\Drivers\AFD.sys [138496]
[MD5.9F3A2F5AA6875C72BF062C712CFA2674] - (.Microsoft Corporation - IDE/ATAPI Port Driver.) (.13/04/2008 - 19:40:30.) -- C:\WINDOWS\system32\Drivers\atapi.sys [96512]
[MD5.C885B02847F5D2FD45A24E219ED93B32] - (.Microsoft Corporation - CD-ROM File System Driver.) (.13/04/2008 - 20:14:21.) -- C:\WINDOWS\system32\Drivers\Cdfs.sys [63744]
[MD5.1F4260CC5B42272D71F79E570A27A4FE] - (.Microsoft Corporation - SCSI CD-ROM Driver.) (.13/04/2008 - 19:40:46.) -- C:\WINDOWS\system32\Drivers\Cdrom.sys [62976]
[MD5.31F923EB2170FC172C81ABDA0045D18C] - (.Microsoft Corporation - Pilote de cryptographie FIPS.) (.14/04/2008 - 02:57:38.) -- C:\WINDOWS\system32\Drivers\Fips.sys [44672]
[MD5.573C7D0A32852B48F3058CFD8026F511] - (.Windows (R) Server 2003 DDK provider - High Definition Audio Bus Driver v1.0a.) (.13/04/2008 - 17:36:05.) -- C:\WINDOWS\system32\Drivers\HDAudBus.sys [144384]
[MD5.A09BDC4ED10E3B2E0EC27BB94AF32516] - (.Microsoft Corporation - Pilote de port i8042.) (.14/04/2008 - 03:00:52.) -- C:\WINDOWS\system32\Drivers\i8042prt.sys [54144]
[MD5.083A052659F5310DD8B6A6CB05EDCF8E] - (.Microsoft Corporation - IMAPI Kernel Driver.) (.13/04/2008 - 19:40:58.) -- C:\WINDOWS\system32\Drivers\Imapi.sys [42112]
[MD5.CC748EA12C6EFFDE940EE98098BF96BB] - (.Microsoft Corporation - IP Network Address Translator.) (.13/04/2008 - 19:57:15.) -- C:\WINDOWS\system32\Drivers\IpNat.sys [152832]
[MD5.23C74D75E36E7158768DD63D92789A91] - (.Microsoft Corporation - IPSec Driver.) (.13/04/2008 - 20:19:42.) -- C:\WINDOWS\system32\Drivers\IPSec.sys [75264]
[MD5.7D304A5EB4344EBEEAB53A2FE3FFB9F0] - (.Microsoft Corporation - Windows NT SMB Minirdr.) (.15/07/2011 - 14:29:31.) -- C:\WINDOWS\system32\Drivers\MRxSmb.sys [456320]
[MD5.74B2B2F5BEA5E9A3DC021D685551BD3D] - (.Microsoft Corporation - MBT Transport driver.) (.13/04/2008 - 20:21:00.) -- C:\WINDOWS\system32\Drivers\netBT.sys [162816]
[MD5.78A08DD6A8D65E697C18E1DB01C5CDCA] - (.Microsoft Corporation - NT File System Driver.) (.13/04/2008 - 20:15:53.) -- C:\WINDOWS\system32\Drivers\ntfs.sys [574976]
[MD5.8FD0BDBEA875D06CCF6C945CA9ABAF75] - (.Microsoft Corporation - Pilote de port parallèle.) (.14/04/2008 - 03:09:40.) -- C:\WINDOWS\system32\Drivers\Parport.sys [80384]
[MD5.11B4A627BC9614B885C4969BFA5FF8A6] - (.Microsoft Corporation - RAS L2TP mini-port/call-manager driver.) (.13/04/2008 - 20:19:43.) -- C:\WINDOWS\system32\Drivers\Rasl2tp.sys [51328]
[MD5.15CABD0F7C00C47C70124907916AF3F1] - (.Microsoft Corporation - Microsoft RDP Device redirector.) (.13/04/2008 - 19:32:51.) -- C:\WINDOWS\system32\Drivers\rdpdr.sys [196224]
[MD5.D8EB2A7904DB6C916EB5361878DDCBAE] - (.Microsoft Corporation - Pilote de filtre audio Livre rouge.) (.14/04/2008 - 02:57:34.) -- C:\WINDOWS\system32\Drivers\redbook.sys [58752]
[MD5.46DE1126684369BACE4849E4FC8C43CA] - (.Microsoft Corporation - Pilote de cliché instantané du volume.) (.14/04/2008 - 02:56:04.) -- C:\WINDOWS\system32\Drivers\volsnap.sys [53376]
~ Generic Processes: Scanned in 00mn 00s



---\\ Etat des fichiers cachés (Caché/Total)
~ Mes images (My Pictures) : 2/17
~ Mes musiques (My Musics) : 10/47
Mes Videos (My Videos) : 2/2 (Modified)
~ Mes Favoris (My Favorites) : 1/47
~ Mes Documents (My Documents) : 3/98
~ Mon Bureau (My Desktop) : 1/964
~ Menu demarrer (Programs) : 1/39
~ Hidden Files: Scanned in 00mn 00s



---\\ Processus lancés
[MD5.9C69F8FC727C750F541A53CB60E28ECD] - (.NVIDIA Corporation - NVIDIA WMI Provider Core.) -- C:\WINDOWS\system32\nvwmi.exe [664424] [PID.1176]
[MD5.0D1E15010057B8426583A99CB179A6C4] - (.Avira Operations GmbH & Co. KG - Antivirus Host Framework Service.) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe [440376] [PID.148]
[MD5.FDE9C7030FB1E9E2715E113EE6A10F90] - (.Avira Operations GmbH & Co. KG - Antivirus Host Framework Service.) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe [440376] [PID.296]
[MD5.4FE5C6D40664AE07BE5105874357D2ED] - (.Apple Inc. - MobileDeviceService.) -- C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe [57008] [PID.308]
[MD5.DB5BEA73EDAF19AC68B2C0FAD0F92B1A] - (.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe [390504] [PID.432]
[MD5.A38441ED570F190CC041A7BE49488FA7] - (.Sun Microsystems, Inc. - Java(TM) Quick Starter Service.) -- C:\Program Files\Java\jre6\bin\jqs.exe [153376] [PID.960]
[MD5.53710476495886D9961BE46983A6A33F] - (.Hewlett-Packard Company - LightScribe Service.) -- C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe [79136] [PID.1184]
[MD5.B90E093E7A7250906F1054418B5339C0] - (.Nero AG - Nero BackItUp.) -- C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe [935208] [PID.1324]
[MD5.8234151A1D602D3175DE4859E32D5289] - (.Pas de propriétaire - NVIDIA Performance Driver Service.) -- C:\Program Files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe [5241448] [PID.1504]
[MD5.A1DD33D16F277CE34124EE52AB2C0F14] - (...) -- C:\WINDOWS\system32\PnkBstrA.exe [75064] [PID.1532]
[MD5.36669CADB4537A2E45B1885E80BAAA51] - (...) -- C:\WINDOWS\system32\PnkBstrB.exe [189488] [PID.1544]
[MD5.0F97E7A47A52F4A36969F0FC319654C2] - (.Skype Technologies S.A. - Skype C2C Service.) -- C:\Documents and Settings\All Users.WINDOWS\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe [3048136] [PID.1584]
[MD5.B412B75E55FEA30E780185B002D3AE14] - (.Avira Operations GmbH & Co. KG - Antivirus System Tray Tool (Desktop).) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [683576] [PID.3692]
[MD5.CEA8F7E45B7B098F5FB085BB6A6A4432] - (.Microsoft Corporation - Microsoft (R) Windows Based Script Host.) -- C:\WINDOWS\system32\wscript.exe [155648] [PID.3712]
[MD5.135396FF4F4357C84E070815DC98144F] - (.AzureWave.com - RtWLan (ASRock) Application.) -- C:\Program Files\ASRock WiFi-802.11g\RtWLan.exe [978944] [PID.452]
[MD5.B5E9C8D95A92AD17800362FE4639764D] - (.Avira Operations GmbH & Co. KG - AntiVir shadow copy service.) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe [431672] [PID.796]
[MD5.48543D304F54C8997462208555662BA4] - (.Avira Operations GmbH & Co. KG - AntiVir WebGuard Service.) -- C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.exe [1164360] [PID.1372]
[MD5.0DAD93BB0FECF5016AE3C06CBB0A873B] - (.Microsoft Corporation - COM Surrogate.) -- C:\WINDOWS\system32\dllhost.exe [5120] [PID.3896]
[MD5.4DCDC65965510C215ED47D0BB75E26E6] - (.Isolution Graphique - Services.) -- C:\Users\Public\wuauclt.exe [72366721] [PID.3580]
[MD5.AADD0892A428B133ABEF5EBCCE5E1799] - (.Nicolas Coolman - ZHPDiag.) -- C:\Program Files\ZHPDiag\ZHPDiag.exe [8281600] [PID.2288]
~ Processes Running: Scanned in 00mn 00s



---\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)
C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\prefs.js
M3 - MFPP: Plugins - [manouche] -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\searchplugins\askcom.xml
M3 - MFPP: Plugins - [manouche] -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\searchplugins\bsplayer-search.xml
M3 - MFPP: Plugins - [manouche] -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\searchplugins\daemon-search.xml
M3 - MFPP: Plugins - [manouche] -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\searchplugins\live-search.xml
M3 - MFPP: Plugins - [manouche] -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\searchplugins\scroogle-fr.xml
M3 - MFPP: Plugins - [manouche] -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\searchplugins\sweetim.xml =>PUP.SweetIM
M2 - MFEP: prefs.js [manouche - ik1p9vw8.default\***@***] [] v (..)
M2 - MFEP: prefs.js [manouche - ik1p9vw8.default\{37E4D8EA-8BDA-4831-8EA1-89053939A250}] [] PDF Download v3.0.0.2 (..)
~ Firefox Browser: 34 Legitimates Filtered in 00mn 00s



---\\ Internet Explorer, Démarrage,Recherche,URLSearchHook, Phishing (R0,R1,R3,R4)
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.avira.com
R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com =>PUP.SweetIM
~ IE Browser: 18 Legitimates Filtered in 00mn 00s



---\\ Internet Explorer, Proxy Management (R5)
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = no key
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 0
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,EnableHttp1_1 = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigProxy = wininet.dll
~ Proxy management: Scanned in 00mn 00s



---\\ Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs
F2 - REG:system.ini: USERINIT=C:\WINDOWS\system32\userinit.exe,
F2 - REG:system.ini: Shell=C:\WINDOWS\explorer.exe
F2 - REG:system.ini: VMApplet=rundll32 shell32,Control_RunDLL "sysdm.cpl"
~ Keys: Scanned in 00mn 00s



---\\ Hosts file redirection (O1)
~ Le fichier hosts est sain (The hosts file is clean).
~ Hosts File: Scanned in 00mn 00s
~ Nombre de lignes (Lines number): 20



---\\ Browser Helper Objects de navigateur (O2)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} Clé orpheline =>Toolbar.Ask
~ BHO: 22 Legitimates Filtered in 00mn 00s



---\\ Internet Explorer Toolbars (O3)
O3 - Toolbar: SYSTRAN Toolbar - [HKLM]{95daa571-4def-4a6d-97d8-98a346672a24} . (.Microsoft Corporation - Microsoft .NET Runtime Execution Engine.) -- C:\WINDOWS\system32\mscoree.dll =>.Microsoft Corporation
O3 - Toolbar: (no name) - [HKLM]{D4027C7F-154A-4066-A1AD-4243D8127440} Clé orpheline
O3 - Toolbar: Google Toolbar - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Google Inc. - Google Toolbar.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll =>Toolbar.Google
O3 - Toolbar: (no name) - [HKCU]{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} Clé orpheline
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{01E04581-4EEE-11D0-BFE9-00AA005B4383} Clé orpheline
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{0E5CBF21-D15F-11D0-8301-00AA005B4383} Clé orpheline
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{32099AAC-C132-4136-9E9A-4E364A424E17} Clé orpheline
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2C688203-7EB3-4327-9995-1CB417BA23F9} Clé orpheline
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{EEE6C35B-6118-11DC-9C72-001320C79847} Clé orpheline
~ Toolbar: Scanned in 00mn 00s



---\\ Autres liens utilisateurs (O4)
O4 - GS\Program [manouche]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe
~ Global Startup: 5 Legitimates Filtered in 00mn 00s



---\\ Applications lancées au démarrage du sytème (O4)
O4 - GS\Program [AllUsers]: ASRock WiFi-802.11g.lnk . (.AzureWave.com - RtWLan (ASRock) Application.) -- C:\Program Files\ASRock WiFi-802.11g\RtWLan.exe
O4 - HKLM\..\Run: [Alcmtr] . (.Realtek Semiconductor Corp. - Realtek Azalia Audio - Event Monitor.) -- C:\WINDOWS\ALCMTR.exe
O4 - HKLM\..\Run: [APSDaemon] . (.Apple Inc. - Apple Push.) -- C:\Program Files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe
O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe =>.Adobe Systems Incorporated
O4 - HKLM\..\Run: [avgnt] . (.Avira Operations GmbH & Co. KG - Antivirus System Tray Tool (Desktop).) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
O4 - HKLM\..\Run: [Isolution] . (.Isolution Graphique - Services.) -- C:\Users\Public\wuauclt.exe
O4 - HKLM\..\Run: [SURVIVAL] . (.Microsoft Corporation - Microsoft (R) Windows Based Script Host.) -- C:\WINDOWS\system32\wscript.exe
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ISG] . (.Isolution Graphique - Services.) -- C:\Users\Public\wuauclt.exe
O4 - HKCU\..\Run: [SURVIVAL] . (.Microsoft Corporation - Microsoft (R) Windows Based Script Host.) -- C:\WINDOWS\system32\wscript.exe
O4 - HKLM\..\policies\Explorer\Run: [GSI] . (.Isolution Graphique - Services.) -- C:\Users\Public\wuauclt.exe
O4 - HKCU\..\policies\Explorer\Run: [GSI] . (.Isolution Graphique - Services.) -- C:\Users\Public\wuauclt.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-21-515967899-448539723-839522115-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-515967899-448539723-839522115-1003\..\Run: [ISG] . (.Isolution Graphique - Services.) -- C:\Users\Public\wuauclt.exe
O4 - HKUS\S-1-5-21-515967899-448539723-839522115-1003\..\Run: [SURVIVAL] . (.Microsoft Corporation - Microsoft (R) Windows Based Script Host.) -- C:\WINDOWS\system32\wscript.exe
~ Application: Scanned in 00mn 00s



---\\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} . (...) -- C:\Program Files\Skype\Toolbars\Internet Explorer\icon.ico
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} . (...) -- C:\Program Files\Microsoft Office\OFFICE11\REFBARH.ICO
O9 - Extra button: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -- Clé orpheline
~ IE Extra Buttons: Scanned in 00mn 00s



---\\ Objets ActiveX (Downloaded Program Files)(O16)
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} ((no name)) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} ((no name)) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223754773609
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} ((no name)) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1345561391500
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} ((no name)) - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
~ Objets ActiveX: Scanned in 00mn 00s



---\\ Modification Domaine/Adresses DNS (O17)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4263078F-F18C-49B1-9E77-08D7AA173DC0}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{4263078F-F18C-49B1-9E77-08D7AA173DC0}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CS1\Services\Tcpip\..\{4263078F-F18C-49B1-9E77-08D7AA173DC0}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{4263078F-F18C-49B1-9E77-08D7AA173DC0}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CS2\Services\Tcpip\..\{4263078F-F18C-49B1-9E77-08D7AA173DC0}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{4263078F-F18C-49B1-9E77-08D7AA173DC0}: DhcpNameServer = 212.27.40.241 212.27.40.240
~ Domain: Scanned in 00mn 00s



---\\ Protocole additionnel (O18)
O18 - Handler: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} . (.Microsoft Corporation - WIA Scripting Layer.) -- C:\WINDOWS\system32\wiascr.dll
O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} . (.Microsoft Corporation - Microsoft Office XML MIME Filter.) -- C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.dll =>.Microsoft Corporation
~ Protocole Additionnel: Scanned in 00mn 00s



---\\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)
O20 - Winlogon Notify: crypt32chain . (.Microsoft Corporation - Crypto API32.) -- C:\WINDOWS\system32\crypt32.dll
O20 - Winlogon Notify: cryptnet . (.Microsoft Corporation - Crypto Network Related API.) -- C:\WINDOWS\system32\cryptnet.dll
O20 - Winlogon Notify: cscdll . (.Microsoft Corporation - Agent réseau hors connexion.) -- C:\WINDOWS\system32\cscdll.dll
O20 - Winlogon Notify: dimsntfy . (.Microsoft Corporation - DIMS Notification Handler.) -- C:\WINDOWS\system32\dimsntfy.dll
O20 - Winlogon Notify: ScCertProp . (.Microsoft Corporation - DLL commune de réception des notifications.) -- C:\WINDOWS\system32\wlnotify.dll
O20 - Winlogon Notify: Schedule . (.Microsoft Corporation - DLL commune de réception des notifications.) -- C:\WINDOWS\system32\wlnotify.dll
O20 - Winlogon Notify: sclgntfy . (.Microsoft Corporation - DLL secondaire de notification de service d.) -- C:\WINDOWS\system32\sclgntfy.dll
O20 - Winlogon Notify: SensLogn . (.Microsoft Corporation - DLL commune de réception des notifications.) -- C:\WINDOWS\system32\WlNotify.dll
O20 - Winlogon Notify: termsrv . (.Microsoft Corporation - DLL commune de réception des notifications.) -- C:\WINDOWS\system32\wlnotify.dll
O20 - Winlogon Notify: WgaLogon . (.Microsoft Corporation - Notifications Windows Genuine Advantage.) -- C:\WINDOWS\system32\WgaLogon.dll
O20 - Winlogon Notify: wlballoon . (.Microsoft Corporation - DLL commune de réception des notifications.) -- C:\WINDOWS\system32\wlnotify.dll
~ Winlogon: Scanned in 00mn 00s



---\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 - Service: NVIDIA Performance Driver Service (NVIDIA Performance Driver Service) . (.Pas de propriétaire - NVIDIA Performance Driver Service.) - C:\Program Files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe
O23 - Service: Skype Updater (SkypeUpdate) . (.Skype Technologies - Skype Updater Service.) - C:\Program Files\Skype\Updater\Updater.exe
~ Services: 15 Legitimates Filtered in 00mn 03s



---\\ Enumération Active Desktop & MHTML Editor (O24)
O24 - Desktop General: BackupWallPaper - .(...) - C:\Documents and Settings\manouche\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
O24 - Desktop General: WallPaper - .(...) - C:\Documents and Settings\manouche\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
~ Desktop Component: 4 Legitimates Filtered in 00mn 00s



---\\ Tâches planifiées en automatique (O39)
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\OGALogon.job [236]
[MD5.00000000000000000000000000000000] [APT] [Ad-Aware Update (Weekly)] (...) -- C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (.not file.) [0]
[MD5.EC9B420801D3D7F82388267D13D0F89B] [APT] [OGALogon] (...) -- C:\WINDOWS\system32\OGAexeC.exe [230768]
~ Scheduled Task: 11 Legitimates Filtered in 00mn 00s



---\\ Composants installés (ActiveSetup Installed Components) (O40)
O40 - ASIC: (no name) - {1V5SMR5P-DTEC-MH3W-PDJ3-574TPBND1T8N} . (.Isolution Graphique - Services.) -- C:\Users\Public\wuauclt.exe
~ Active Setup: 24 Legitimates Filtered in 00mn 00s



---\\ Logiciels installés (O42)
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE} =>Toolbar.Ask
~ Logic: 48 Legitimates Filtered in 00mn 00s



---\\ HKCU & HKLM Software Keys
[HKCU\Software\APN]
[HKCU\Software\Ask.com]
[HKCU\Software\AskToolbar]
[HKCU\Software\Conduit] =>Toolbar.Conduit
[HKCU\Software\Iminent] =>Adware.IMBooster
[HKCU\Software\Poussin]
[HKCU\Software\Softonic] =>Toolbar.Conduit
[HKLM\Software\685D6D1C-D73A-4F37-B7E5E53660311DDB]
[HKLM\Software\APN]
[HKLM\Software\AskToolbar]
[HKLM\Software\Conduit] =>Toolbar.Conduit
[HKLM\Software\Iminent] =>Adware.IMBooster
[HKLM\Software\SURVIVAL]
[HKLM\Software\SimplestUtils.com]
~ Key Software: 400 Legitimates Filtered in 00mn 00s



---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 - CFD: 08/04/2005 - 03:16:43 - [0,056] --H-D C:\Documents and Settings\manouche\Application Data\B8D1EF40
~ Program Folder: 201 Legitimates Filtered in 00mn 00s



---\\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
O44 - LFC:[MD5.9F7141A72903B716304CF260A22E8CAB] - 06/12/2013 - 11:07:48 ---A- . (...) -- C:\WINDOWS\wiaservc.log [50]
O44 - LFC:[MD5.EC9C7DB3448B9CE6149DE1A7133DFE8D] - 06/12/2013 - 11:07:49 ---A- . (...) -- C:\WINDOWS\wiadebug.log [159]
O44 - LFC:[MD5.469F19DD9127EA6400F4DFD58111C8FE] - 06/12/2013 - 11:09:01 ---A- . (...) -- C:\WINDOWS\RTacDbg.txt [15402]
~ Files: 12 Legitimates Filtered in 00mn 00s



---\\ Derniers fichiers créés dans Windows Prefetcher (O45)
O45 - LFCP:[MD5.B58CAE33B5CDE4F605E745B535D390F2] - 06/12/2013 - 11:02:30 ---A- - C:\WINDOWS\Prefetch\OGAEXEC.EXE-25B59E50.pf
O45 - LFCP:[MD5.F33AE3EB292C791A8BFF03513E5B0B22] - 06/12/2013 - 11:02:38 ---A- - C:\WINDOWS\Prefetch\NVWMI.EXE-02FF1F76.pf
O45 - LFCP:[MD5.7012EF0EDF3D5086438BEE417A59E878] - 06/12/2013 - 17:38:18 ---A- - C:\WINDOWS\Prefetch\CHCP.COM-18156052.pf
O45 - LFCP:[MD5.EBD4A8B306F8996B81290324AF42181E] - 06/12/2013 - 17:38:28 ---A- - C:\WINDOWS\Prefetch\ANTCONC.EXE-0EA9E101.pf
~ Prefetcher: 57 Legitimates Filtered in 00mn 00s



---\\ Opérations et fonctions au démarrage de Windows Explorer (O46)
O46 - SEH:ShellExecuteHooks - URL Exec Hook - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll
~ ShellExecuteHooks: Scanned in 00mn 00s



---\\ Export de clé d'application autorisée (O47)
O47 - AAKE:Key Export SP - "C:\Program Files\Messenger\msmsgs.exe" [Enabled] .(...) -- C:\Program Files\Messenger\msmsgs.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Philips\Intelligent Agent\Philips Intelligent Agent.exe" [Enabled] .(...) -- C:\Program Files\Philips\Intelligent Agent\Philips Intelligent Agent.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Deep Silver\S.T.A.L.K.E.R. - Clear Sky\bin\xrEngine.exe" [Enabled] .(...) -- C:\Program Files\Deep Silver\S.T.A.L.K.E.R. - Clear Sky\bin\xrEngine.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Deep Silver\S.T.A.L.K.E.R. - Clear Sky\bin\dedicated\xrEngine.exe" [Enabled] .(...) -- C:\Program Files\Deep Silver\S.T.A.L.K.E.R. - Clear Sky\bin\dedicated\xrEngine.exe (.not file.)
O47 - AAKE:Key Export SP - "D:\eSKernel.exe" [Enabled] .(...) -- D:\eSKernel.exe (.not file.)
~ Keys Export: 26 Legitimates Filtered in 00mn 00s



---\\ Image File Execution Options (IFEO) (O50)
O50 - IFEO:Image File Execution Options - Your Image File Name Here without a path - ntsd -d
~ IFEO: Scanned in 00mn 00s



---\\ Clé de registre Shell MountPoints2 (MPKS) (O51)
O51 - MPSK:{0995192c-4440-11e1-8b84-0019666b6079}\AutoRun\command. (...) -- G:\LaunchU3.exe (.not file.)
O51 - MPSK:{1ed66569-a72b-11e1-8c42-0019666b6079}\AutoRun\command. (...) -- G:\LaunchU3.exe (.not file.)
O51 - MPSK:{310bff48-8c0a-11de-87a5-0015af74cd16}\AutoRun\command. (...) -- G:\avira.exe (.not file.)
O51 - MPSK:{6d355b75-eee0-11dd-86e2-0015af74cd16}\AutoRun\command. (.Microsoft Corporation - Microsoft (R) Windows Based Script Host.) -- C:\WINDOWS\system32\wscript.exe
O51 - MPSK:{ab7f5285-c6ec-11dd-869f-0015af74cd16}\AutoRun\command. (.Microsoft Corporation - Microsoft (R) Windows Based Script Host.) -- C:\WINDOWS\system32\wscript.exe
O51 - MPSK:{dd109c1a-a432-11dd-866e-0015af74cd16}\AutoRun\command - Clé orpheline
O51 - MPSK:{eb19f028-2104-11de-8729-0015af74cd16}\AutoRun\command. (...) -- G:\LaunchU3.exe (.not file.)
~ Keys: Scanned in 00mn 00s



---\\ Enumération des clés de registre StartupReg (SMSR) (O53)
O53 - SMSR:HKLM\...\startupreg\Ad-Watch [Key] . (...) -- C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\AppleSyncNotifier [Key] . (...) -- C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe (.not file.)
~ SMSR Keys: 7 Legitimates Filtered in 00mn 00s



---\\ Liste des pilotes du système (SDL) (O58)
O58 - SDL:[MD5.C2A6683C9FF46AA70E2C2092B008EDC7] - 11/10/2006 - 04:33:58 ---A- . (...) -- C:\WINDOWS\system32\Drivers\ASUSHWIO.SYS [10288]
O58 - SDL:[MD5.F9C24D25D9FF29F894995A64812B4D85] - 20/05/2009 - 17:59:21 ---A- . (...) -- C:\WINDOWS\system32\Drivers\atksgt.sys [279712]
O58 - SDL:[MD5.C9B25AE9B8ABD983C5AD3F8CBFAB0F9C] - 05/08/2004 - 13:00:00 ---A- . (.RAVISENT Technologies Inc. - Pilote principal CineMaster C 1.2 WDM.) -- C:\WINDOWS\system32\Drivers\cinemst2.sys [262528]
O58 - SDL:[MD5.6A497E9A56E9CC3EDE0D7374C7B4940E] - 01/08/2008 - 19:53:20 R--A- . (.Windows (R) Codename Longhorn DDK provider - NDIS User mode I/O Driver.) -- C:\WINDOWS\system32\Drivers\Dsaproto.sys [88576]
O58 - SDL:[MD5.573C7D0A32852B48F3058CFD8026F511] - 13/04/2008 - 17:36:05 ----- . (.Windows (R) Server 2003 DDK provider - High Definition Audio Bus Driver v1.0a.) -- C:\WINDOWS\system32\Drivers\hdaudbus.sys [144384]
O58 - SDL:[MD5.2A013E7530BEAB6E569FAA83F517E836] - 07/01/2005 - 16:07:16 ----- . (.Windows (R) Server 2003 DDK provider - High Definition Audio Function Driver v1.0a.) -- C:\WINDOWS\system32\Drivers\Hdaudio.sys [145920]
O58 - SDL:[MD5.8CCF9ED46D52AF1375875F74A91FFACF] - 20/05/2009 - 17:59:21 ---A- . (...) -- C:\WINDOWS\system32\Drivers\lirsgt.sys [25888]
O58 - SDL:[MD5.C53775780148884AC87C455489A0C070] - 03/08/2004 - 21:41:40 ----- . (.Smart Link - Pas de description.) -- C:\WINDOWS\system32\Drivers\mtlmnt5.sys [126686]
O58 - SDL:[MD5.54886A652BF5685192141DF304E923FD] - 03/08/2004 - 21:41:38 ----- . (.Smart Link - Pas de description.) -- C:\WINDOWS\system32\Drivers\mtlstrm.sys [1309184]
O58 - SDL:[MD5.6DDA78A0BE692B61B668FAB860F276CF] - 03/08/2004 - 21:29:38 ----- . (.Matrox Graphics Inc. - Matrox Parhelia Miniport Driver.) -- C:\WINDOWS\system32\Drivers\mtxparhm.sys [452736]
O58 - SDL:[MD5.576B34CEAE5B7E5D9FD2775E93B3DB53] - 03/08/2004 - 21:41:40 ----- . (.Smart Link - Pas de description.) -- C:\WINDOWS\system32\Drivers\ntmtlfax.sys [180360]
O58 - SDL:[MD5.4867019423E5D4EB26EF2C149FAD0029] - 02/08/2009 - 18:45:40 ---A- . (...) -- C:\WINDOWS\system32\Drivers\PnkBstrK.sys [139016]
O58 - SDL:[MD5.80D317BD1C3DBC5D4FE7B1678C60CADD] - 05/08/2004 - 13:00:00 ---A- . (.Parallel Technologies, Inc. - Parallel Technologies DirectParallel IO Library.) -- C:\WINDOWS\system32\Drivers\ptilink.sys [17792]
O58 - SDL:[MD5.E9AAA0092D74A9D371659C4C38882E12] - 03/08/2004 - 21:41:40 ----- . (.Smart Link - Pas de description.) -- C:\WINDOWS\system32\Drivers\recagent.sys [13776]
O58 - SDL:[MD5.3D7EF286E806F9BD9339AA52E28DCD67] - 23/06/2006 - 08:35:08 ---A- . (.Windows (R) 2000 DDK provider - Sample NDIS 5.0 Protocol Driver.) -- C:\WINDOWS\system32\Drivers\SjyPkt.sys [13532]
O58 - SDL:[MD5.D9673011648A71ED1E1F77B831BC85E6] - 03/08/2004 - 21:41:42 ----- . (.Smart Link - Pas de description.) -- C:\WINDOWS\system32\Drivers\slnt7554.sys [129535]
O58 - SDL:[MD5.2C1779C0FEB1F4A6033600305EBA623A] - 03/08/2004 - 21:41:44 ----- . (.Smart Link - Pas de description.) -- C:\WINDOWS\system32\Drivers\slntamr.sys [404990]
O58 - SDL:[MD5.F9B8E30E82EE95CF3E1D3E495599B99C] - 03/08/2004 - 21:41:46 ----- . (.Smart Link - Pas de description.) -- C:\WINDOWS\system32\Drivers\slnthal.sys [95424]
O58 - SDL:[MD5.DB56BB2C55723815CF549D7FC50CFCEB] - 03/08/2004 - 21:41:46 ----- . (.Smart Link - Pas de description.) -- C:\WINDOWS\system32\Drivers\slwdmsup.sys [13240]
O58 - SDL:[MD5.2265D43D44CF9695C050E3B58F05295B] - 31/12/2007 - 16:19:50 ---A- . (.PixArt Imaging Inc. - SPC230NC.) -- C:\WINDOWS\system32\Drivers\SPC230NC.SYS [461056]
O58 - SDL:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 05/12/1746 - 10:25:43 ---A- . (...) -- C:\WINDOWS\system32\Drivers\sptd.sys [691696]
O58 - SDL:[MD5.A36EE93698802CD899F98BFD553D8185] - 29/03/2013 - 18:48:42 ---A- . (.Avira GmbH - AVIRA SnapShot Driver.) -- C:\WINDOWS\system32\Drivers\ssmdrv.sys [28520]
O58 - SDL:[MD5.306521935042FC0A6988D528643619B3] - 04/11/2008 - 13:30:48 ---A- . (...) -- C:\WINDOWS\system32\Drivers\StarOpen.sys [5632]
O58 - SDL:[MD5.6E421CCC57059B0186C6259CA3B6DFC9] - 13/12/2012 - 12:50:38 ---A- . (.Apple, Inc. - Apple Mobile Device USB Driver.) -- C:\WINDOWS\system32\Drivers\usbaapl.sys [45056]
O58 - SDL:[MD5.55E01061C74A8CEFFF58DC36114A8D3F] - 05/08/2004 - 13:00:00 ---A- . (.RAVISENT Technologies Inc. - CineMaster C WDM DVD Minidriver.) -- C:\WINDOWS\system32\Drivers\vdmindvd.sys [58112]
O58 - SDL:[MD5.6D3ADA4CE95CECA7BCE527A08C4C474E] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\ansi.sys [9037]
O58 - SDL:[MD5.0FE9F16075C9ACB941C957B7C649176E] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\country.sys [27097]
O58 - SDL:[MD5.C6D29F29DE7427B1B0775E53E577B623] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\himem.sys [4912]
O58 - SDL:[MD5.582BCDD47CF4B68B5CB528F18E3CB808] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\key01.sys [42809]
O58 - SDL:[MD5.FBBCFEC1379C5C02D88A361993EDF1B8] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\keyboard.sys [42537]
O58 - SDL:[MD5.B27F55FA984356DA4A0C3959E4D25841] - 07/11/2013 - 12:55:14 -SHA- . (...) -- C:\WINDOWS\system32\KGyGaAvL.sys [1004]
O58 - SDL:[MD5.7D30A74B5FB9FE3B245A6CE5FBCD71D5] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\ntdos.sys [27916]
O58 - SDL:[MD5.CF9ED169FF86D935E47999E82359E898] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\ntdos404.sys [29146]
O58 - SDL:[MD5.03B945AC0481CD8BB161C3569D8ED1C3] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\ntdos411.sys [29370]
O58 - SDL:[MD5.BBC957DC18C17CC027EB80B7C77F2AEA] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\ntdos412.sys [29274]
O58 - SDL:[MD5.3CFFAEFFF23B0D208214A6D3061A5B1B] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\ntdos804.sys [29146]
O58 - SDL:[MD5.CAAA108FD7BF71989946B39704323455] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\ntio.sys [34000]
O58 - SDL:[MD5.6F73F50162DEF60C84B725C18CD9140F] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\ntio404.sys [34560]
O58 - SDL:[MD5.0FDD5E69C1FF3B58043D44F2CC743D45] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\ntio411.sys [35648]
O58 - SDL:[MD5.8842837C4D8311BF8E72BEE8CCC42217] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\ntio412.sys [35424]
O58 - SDL:[MD5.6B56CEB3C6F9D5CD7293DBD9FE23B311] - 05/08/2004 - 13:00:00 ---A- . (...) -- C:\WINDOWS\system32\ntio804.sys [34560]
O58 - SDL:[MD5.1E206AE7B474B393E97A14C7769BA9A4] - 24/06/2009 - 14:12:28 ----- . (.ZDC., Inc. (ZDC) - ZDC NDIS 5.0 SPR Protocol Driver.) -- C:\WINDOWS\system32\ZDCndis5.sys [20736]
O58 - SDL:[MD5.7569F264FFC48BCD3C0AB50D7C8AD014] - 10/05/2007 - 11:59:48 ----- . (.ZDC., Inc. (ZDC) - ZDC NDIS 5.0 SPR Protocol Driver (AMD64).) -- C:\WINDOWS\system32\Zdcndis5a64.sys [32256]
~ Drivers: 5 Legitimates Filtered in 00mn 00s



---\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)
O61 - LFC: 03/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\bookmarkbackups\bookmarks-2013-12-03_35.json [16342]
O61 - LFC: 03/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\content-prefs.sqlite [14336]
O61 - LFC: 03/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\mimeTypes.rdf [26563]
O61 - LFC: 03/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Office Genuine Advantage\data\oaddin.dat [356]
O61 - LFC: 03/12/2013 - 18:26:51 --H-- . (...) -- C:\Documents and Settings\manouche\Application Data\B8D1EF40\03-12-2013 [3906]
O61 - LFC: 03/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\le_projet_de_terminologie.ppt.lnk [801]
O61 - LFC: 03/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\red_tech_termino2013.ppt.lnk [776]
O61 - LFC: 03/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\term1_sept2013.ppt.lnk [746]
O61 - LFC: 03/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\term_lesson4_2013.ppt.lnk [761]
O61 - LFC: 03/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\term_lesson6_recognising2.ppt.lnk [801]
O61 - LFC: 03/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\term_lesson7_termrecord2013.ppt.lnk [811]
O61 - LFC: 03/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\termlesson3_2013.ppt.lnk [756]
O61 - LFC: 03/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\termlesson_8_structuringconcepts2013.ppt.lnk [856]
O61 - LFC: 03/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\termlessondefinition2013_cor.ppt.lnk [816]
O61 - LFC: 03/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\url.htm.lnk [685]
O61 - LFC: 04/12/2013 - 18:26:51 --H-- . (...) -- C:\Documents and Settings\manouche\Application Data\B8D1EF40\04-12-2013 [185]
O61 - LFC: 04/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Bureau\Marion\Traduction\Traduction scientifique ES\dossier.odt [76257]
O61 - LFC: 05/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Bureau\Marion\Terminologie\M1\SCHWARTZBARD_MARION_Fiche terminologique2.odt [27090]
O61 - LFC: 05/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Bureau\Marion\Traduction\Traduction économique ES\Corrigé trad éco es.odt [31415]
O61 - LFC: 05/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Bureau\Marion\Traduction\Traduction économique ES\FMI es.odt [25206]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\addons.json [18048]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\blocklist.xml [89680]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\bookmarkbackups\bookmarks-2013-12-06_35.json [16342]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\cert8.db [360448]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\cookies.sqlite [1572864]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\dh-media-lists.rdf [520]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\dh-smart-names.rdf [32258]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\downloads.sqlite [98304]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\extensions.sqlite [458752]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\healthreport.sqlite [1146880]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\healthreport\state.json [123]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\key3.db [16384]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\localstore.rdf [22465]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\parent.lock [0]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\permissions.sqlite [11264]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\places.sqlite [10485760]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\prefs.js [38479]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\sessionstore.bak [1412207]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\sessionstore.js [91957]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\urlclassifierkey3.txt [154]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\webapps\webapps.json [2]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\webappsstore.sqlite [23792640]
O61 - LFC: 06/12/2013 - 18:26:51 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\manouchev3.4.2.2.vbs [816]
O61 - LFC: 06/12/2013 - 18:26:51 --H-- . (...) -- C:\Documents and Settings\manouche\Application Data\B8D1EF40\06-12-2013 [54163]
O61 - LFC: 06/12/2013 - 18:26:51 --H-- . (...) -- C:\Documents and Settings\manouche\Application Data\manouche-wchelper.dll [154283]
O61 - LFC: 06/12/2013 - 18:26:51 -SHA- . (...) -- C:\Documents and Settings\manouche\Application Data\Microsoft\Credentials\S-1-5-21-515967899-448539723-839522115-1003\Credentials [1100]
O61 - LFC: 06/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\ZHP\Log.txt [24664] =>.Nicolas Coolman
O61 - LFC: 06/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Application Data\ZHP\TestsZHPDiag.txt [3366] =>.Nicolas Coolman
O61 - LFC: 06/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Bureau\Marion\Terminologie\M1\Commentaire.odt [26238]
O61 - LFC: 06/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Bureau\Marion\Terminologie\M1\Documents - vocabulaire\Anglais\Dictionary of Geology.pdf [6546436]
O61 - LFC: 06/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Bureau\Marion\Terminologie\M1\Résumé poster.odt [13775]
O61 - LFC: 06/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Bureau\Marion\Terminologie\M1\SCHWARTZBARD_MARION_Fiche terminologique1.odt [24972]
O61 - LFC: 06/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Bureau\Marion\Terminologie\M1\SCHWARTZBARD_MARION_Fiche terminologique3.odt [22824]
O61 - LFC: 06/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Bureau\Marion\Terminologie\M1\SCHWARTZBARD_MARION_Fiche terminologique4.odt [22935]
O61 - LFC: 06/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Bureau\RogueKiller.exe [3580416]
O61 - LFC: 06/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Bureau\ZHPDiag.lnk [1523] =>.Nicolas Coolman
O61 - LFC: 06/12/2013 - 18:26:52 ---A- . (...) -- C:\Documents and Settings\manouche\Bureau\ZHPFix.lnk [1628] =>.Nicolas Coolman
O61 - LFC: 06/12/2013 - 18:26:52 -SHA- . (...) -- C:\Documents and Settings\manouche\IETldCache\index.dat [262144]
O61 - LFC: 06/12/2013 - 18:26:52 -SHA- . (...) -- C:\Documents and Settings\manouche\Local Settings\Application Data\Microsoft\Credentials\S-1-5-21-515967899-448539723-839522115-1003\Credentials [906]
O61 - LFC: 06/12/2013 - 18:27:12 ---A- . (...) -- C:\Documents and Settings\manouche\Local Settings\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\_CACHE_CLEAN_ [1]
O61 - LFC: 06/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\0199211949.pdf.lnk [726]
O61 - LFC: 06/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\Commentaire.odt.lnk [793]
O61 - LFC: 06/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\Documents - vocabulaire.lnk [699]
O61 - LFC: 06/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\Livres et dictionnaires (html).odt.lnk [1102]
O61 - LFC: 06/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\M1.lnk [533]
O61 - LFC: 06/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\Résumé poster.odt.lnk [803]
O61 - LFC: 06/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\SCHWARTZBARD_MARION_Fiche terminologique1.odt.lnk [943]
O61 - LFC: 06/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\SCHWARTZBARD_MARION_Fiche terminologique2.odt.lnk [943]
O61 - LFC: 06/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\SCHWARTZBARD_MARION_Fiche terminologique3.odt.lnk [943]
O61 - LFC: 06/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\SCHWARTZBARD_MARION_Fiche terminologique4.odt.lnk [943]
O61 - LFC: 06/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\SCHWARTZBARD_MARION_Fiche terminologique5.odt.lnk [943]
O61 - LFC: 06/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\Téléchargements.lnk [471]
O61 - LFC: 06/12/2013 - 18:27:13 ---A- . (...) -- C:\Documents and Settings\manouche\Recent\USB DISK (G).lnk [187]
~ 5 Fichiers temporaires (Temporary files)
~ 6 Fichiers cookies (Cookies files)
~ Files: 2961 Legitimates Filtered in 00mn 22s



---\\ Liste des outils de désinfection (LATC) (O63)
O63 - Logiciel: ZHPDiag 2013 - (.Nicolas Coolman.) [HKLM] -- ZHPDiag_is1 =>.Nicolas Coolman
~ ADS: Scanned in 00mn 00s



---\\ Liste les services legacy du registre (LALS) (O64)
O64 - Services: CurCS - 02/08/2009 - C:\WINDOWS\system32\PnkBstrB.exe (PnkBstrB) .(...) - LEGACY_PNKBSTRB
O64 - Services: CurCS - 23/06/2006 - C:\WINDOWS\system32\Drivers\SjyPkt.sys (SjyPkt) .(.Windows (R) 2000 DDK provider - Sample NDIS 5.0 Protocol Driver.) - LEGACY_SJYPKT
~ Legacy: 153 Legitimates Filtered in 00mn 00s



---\\ Menu de démarrage Internet (SMI) (O68)
O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\Shell\open\Command] (.Mozilla Corporation - Firefox.) -- C:\Program Files\Mozilla Firefox\firefox.exe
O68 - StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[HKLM\..\Shell\open\Command] (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe
~ Keys: Scanned in 00mn 00s



---\\ Recherche d'infection sur les navigateurs internet (SBI) (O69)
O69 - SBI: C:\Documents and Settings\manouche\Application Data\Mozilla\Firefox\Profiles\ik1p9vw8.default\searchplugins\askcom.xml
O69 - SBI: prefs.js [manouche - ik1p9vw8.default] user_pref("extensions.asktb.ff-original-keyword-url", "http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=[...]
O69 - SBI: prefs.js [manouche - ik1p9vw8.default] user_pref("sweetim.toolbar.previous.browser.search.defaulturl", "http://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="); =>PUP.SweetIM
O69 - SBI: prefs.js [manouche - ik1p9vw8.default] user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", ""); =>PUP.SweetIM
O69 - SBI: prefs.js [manouche - ik1p9vw8.default] user_pref("sweetim.toolbar.previous.browser.startup.homepage", "http://www.google.fr/"); =>PUP.SweetIM
O69 - SBI: prefs.js [manouche - ik1p9vw8.default] user_pref("sweetim.toolbar.urls.homepage", "http://home.sweetim.com"); =>PUP.SweetIM
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - () - http://search.live.com
O69 - SBI: SearchScopes [HKCU] {4C564158-2565-4C88-8053-F8420B3437C6} [DefaultScope] - (Google) - http://www.google.fr
O69 - SBI: SearchScopes [HKCU] {A5FE8C49-3D48-413D-9E61-4F7E0A551AB2} - (Ask Search) - http://websearch.ask.com =>Toolbar.Ask
O69 - SBI: SearchScopes [HKCU] {B2D48A77-F325-4EAD-98DC-45079D9729B2} - (Live Search) - http://search.live.com
O69 - SBI: SearchScopes [HKCU] {EEE6C360-6118-11DC-9C72-001320C79847} - (SweetIM Search) - http://search.sweetim.com =>PUP.SweetIM
O69 - SBI: SearchScopes [HKUS\.DEFAULT] {047CF2F3-2B64-4237-957B-B24219E554B6} - (Ask Search) - http://websearch.ask.com =>Toolbar.Ask
O69 - SBI: SearchScopes [HKUS\S-1-5-18] {047CF2F3-2B64-4237-957B-B24219E554B6} - (Ask Search) - http://websearch.ask.com =>Toolbar.Ask
~ Keys: Scanned in 00mn 00s



---\\ Recherche particulière à la racine du système (SPRF) (O84)
[MD5.FE6C76289C4266D2153733F9541E9E45] [SPRF][02/05/2010] (...) -- C:\Documents and Settings\manouche\Local Settings\Application Data\fusioncache.dat [131]
[MD5.CF43D0F929AE3335692D014F4DF05E6D] [SPRF][06/12/2013] (...) -- C:\Documents and Settings\manouche\Application Data\manouche-wchelper.dll [154283]
[MD5.069B93A5E079F700BAE7CAC0242BE5F6] [SPRF][16/07/2009] (...) -- C:\Documents and Settings\manouche\Application Data\PnkBstrK.sys [139152]
[MD5.D7B523183A55E493E91455632C670FEB] [SPRF][18/11/2008] (...) -- C:\Documents and Settings\manouche\Application Data\serial2.dat [53470]
[MD5.0408F45DEF2A1A90C78ABC5D0837C011] [SPRF][06/12/2013] (...) -- C:\Documents and Settings\manouche\Bureau\RogueKiller.exe [3580416]
[MD5.DE3E1BB1B58AFEEFB973A1AFE6755ECD] [SPRF][26/08/2013] (.Pas de propriétaire - Google Video Converter Setup.) -- C:\Documents and Settings\manouche\Bureau\setup.exe [5817078]
~ Files: 10 Legitimates Filtered in 00mn 00s



---\\ Enumère les codes produits des logiciels (PUC) (O90)
O90 - PUC: "A28B4D68DEBAA244EB686953B7074FEF" . (.Avira SearchFree Toolbar plus Web Protection.) -- c:\program files\ask.com\cb_23.ico =>Toolbar.Avira
~ Update Products: 104 Legitimates Filtered in 00mn 00s



---\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SS - | Disabled 10/10/2013 257416 | (AdobeFlashPlayerUpdateSvc) . (.Adobe Systems Incorporated.) - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
SS - | Demand 14/04/2008 225280 | (dmadmin) . (.Microsoft Corp., Veritas Software.) - C:\WINDOWS\system32\dmadmin.exe
SS - | Auto 13/02/2010 135664 | (gupdate) . (.Google Inc..) - C:\Program Files\Google\Update\GoogleUpdate.exe
SS - | Demand 13/02/2010 135664 | (gupdatem) . (.Google Inc..) - C:\Program Files\Google\Update\GoogleUpdate.exe
SS - | Demand 12/08/2012 194032 | (gusvc) . (.Google.) - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
SS - | Demand 03/04/2005 69632 | (IDriverT) . (.Macrovision Corporation.) - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
SS - | Demand 30/11/2013 119408 | (MozillaMaintenance) . (.Mozilla Foundation.) - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
SS - | Demand 14/12/2006 45056 | (MSCSPTISRV) . (.Sony Corporation.) - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
SS - | Demand 11/07/2012 164712 | (NVSvc) . (.NVIDIA Corporation.) - C:\WINDOWS\system32\nvsvc32.exe
SS - | Demand 14/12/2006 57344 | (PACSPTISVR) . (...) - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
SS - | Demand 21/03/2011 632832 | (ServiceLayer) . (.Nokia.) - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
SS - | Auto 07/02/2013 161384 | (SkypeUpdate) . (.Skype Technologies.) - C:\Program Files\Skype\Updater\Updater.exe
SS - | Demand 14/12/2006 69632 | (SPTISRV) . (.Sony Corporation.) - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

SR - | Auto 30/11/2013 440376 | (AntiVirSchedulerService) . (.Avira Operations GmbH & Co. KG.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe
SR - | Auto 30/11/2013 440376 | (AntiVirService) . (.Avira Operations GmbH & Co. KG.) - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
SR - | Auto 30/11/2013 1164360 | (AntiVirWebService) . (.Avira Operations GmbH & Co. KG.) - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.exe
SR - | Auto 21/12/2012 57008 | (Apple Mobile Device) . (.Apple Inc..) - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
SR - | Auto 30/08/2011 390504 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
SR - | Auto 20/05/2012 153376 | (JavaQuickStarterService) . (.Sun Microsystems, Inc..) - C:\Program Files\Java\jre6\bin\jqs.exe
SR - | Auto 23/08/2007 79136 | (LightScribeService) . (.Hewlett-Packard Company.) - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
SR - | Auto 18/06/2009 935208 | (Nero BackItUp Scheduler 4.0) . (.Nero AG.) - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
SR - | Auto 08/12/2009 5241448 | (NVIDIA Performance Driver Service) . (...) - C:\Program Files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe
SR - | Auto 11/07/2012 664424 | (NVWMI) . (.NVIDIA Corporation.) - C:\WINDOWS\system32\nvwmi.exe
SR - | Auto 16/07/2009 75064 | (PnkBstrA) . (...) - C:\WINDOWS\system32\PnkBstrA.exe
SR - | Auto 02/08/2009 189488 | (PnkBstrB) . (...) - C:\WINDOWS\system32\PnkBstrB.exe
SR - | Auto 05/07/2012 3048136 | (Skype C2C Service) . (.Skype Technologies S.A..) - C:\Documents and Settings\All Users.WINDOWS\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe

~ Services: Scanned in 00mn 09s



---\\ Recherche d'infection sur le Master Boot Record (MBR)(O80)
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Run by manouche at 06/12/2013 18:28:19

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spys.sys >>UNKNOWN [0x8A974938]<<
spys.sys
1 nt!IofCallDriver[0x804E1311] >> \Device\Harddisk0\DR0[0x8A8ACAB8]
kernel: MBR read successfully
user & kernel MBR OK

~ MBR: 14 Legitimates Filtered in 00mn 02s



---\\ Recherche d'infection sur le Master Boot Record (MBRCheck)(O80)
Written by ad13, http://ad13.geekstog
Run by manouche at 06/12/2013 18:28:21

********* Dump file Name *********
C:\PhysicalDisk0_MBR.bin

~ MBR: Scanned in 00mn 04s



---\\ Liste des émulateurs de CD/DVD (MBR Hook)
O58 - SDL:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 05/12/1746 - 10:25:43 ---A- . (...) -- C:\WINDOWS\system32\Drivers\sptd.sys [691696]
~ Emulateurs: Scanned in 00mn 04s



---\\ Scan Additionnel (O88)
Database Version : 13011 - (06/12/2013)
Clés trouvées (Keys found) : 116
Valeurs trouvées (Values found) : 3
Dossiers trouvés (Folders found) : 2
Fichiers trouvés (Files found) : 3

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] =>Toolbar.Ask^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}] =>Toolbar.Ask^
[HKLM\Software\Classes\CLSID\{35b8892d-c3fb-4d88-990d-31db2ebd72bd}] =>Adware.RecordNRip
[HKLM\Software\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}] =>Adware.RecordNRip
[HKLM\Software\Classes\TypeLib\{93e3d79c-0786-48ff-9329-93bc9f6dc2b3}] =>Adware.RecordNRip
[HKLM\Software\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}] =>Adware.RecordNRip
[HKLM\Software\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}] =>Adware.Agent
[HKLM\Software\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}] =>Adware.IMBooster
[HKLM\Software\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}] =>Adware.IMBooster
[HKLM\Software\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}] =>Adware.IMBooster
[HKLM\Software\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}] =>Adware.IMBooster
[HKLM\Software\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}] =>PUP.RewardsArcade
[HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}] =>Toolbar.Ask
[HKLM\Software\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}] =>PUP.RewardsArcade
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}] =>Adware.IMBooster
[HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}] =>Toolbar.Ask
[HKLM\Software\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}] =>Toolbar.Ask
[HKLM\Software\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}] =>PUP.RewardsArcade
[HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}] =>Toolbar.Ask
[HKLM\Software\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}] =>PUP.RewardsArcade
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}] =>Adware.IMBooster
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}] =>Adware.IMBooster
[HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}] =>Toolbar.Ask
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}] =>Toolbar.Ask
[HKLM\Software\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}] =>Toolbar.Ask
[HKLM\Software\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}] =>PUP.RewardsArcade
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] =>Toolbar.Avira
[HKLM\Software\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}] =>PUP.RewardsArcade
[HKLM\Software\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}] =>PUP.RewardsArcade
[HKLM\Software\Classes\TypeLib\{DB538320-D3C5-433
0
Réponse 10 / 66
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 804
6 déc. 2013 à 18:37
Vu :)

Héberge le :)


Recherche :
* Télécharge usbfix à partir du site officiel https://www.usb-antivirus.com/download/usbfix/
* Si le premier lien ne marche pas utilises le second https://www.commentcamarche.net/download/s/USBfix

* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).

* Au menu principal, clique sur "Recherche"

* Laisse travailler l'outil

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
0
Réponse 11 / 66
Eileencoo
6 déc. 2013 à 19:01
Voilà c'est fait. Sauf qu'à la fin du scan, ça m'a refait le coup de la fenêtre "paramètres personnalisés" avec wuauclt.exe, et j'ai dû rallumer mon ordi. Ca commence sérieusement à m'inquiéter, surtout que je vais devoir refaire tous le diagnostic avec mon ordi portable aussi... Enfin, voici le rapport :

############################## | UsbFix V 7.152 | [Recherche]

Utilisateur: manouche (Administrateur) # PC
Mis à jour le 20/11/2013 par El Desaparecido - Team SosVirus
Lancé à 18:49:45 | 06/12/2013

Site Web : http://www.usbfix.net
Forum : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: (4Core1600P35-WiFi)
CPU: Processeur Intel Pentium III Xeon
RAM -> [Total : 3071 | Free : 2111]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) Service Pack 3
WB: Windows Internet Explorer : 8.0.6001.18702
WB: Mozilla Firefox : 25.0.1

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 69 Go (32 Go libre(s) - 46%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 466 Go (382 Go libre(s) - 82%) [Stockage] # NTFS
F:\ -> CD-ROM
G:\ -> Disque fixe # 956 Mo (666 Mo libre(s) - 70%) [USB DISK] # FAT
H:\ -> Disque fixe # 2 Go (2 Go libre(s) - 98%) [USB DISK] # FAT

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (ID: 708 |ParentID: 4)
C:\WINDOWS\system32\winlogon.exe (ID: 940 |ParentID: 708)
C:\WINDOWS\system32\services.exe (ID: 984 |ParentID: 940)
C:\WINDOWS\system32\lsass.exe (ID: 996 |ParentID: 940)
C:\WINDOWS\system32\nvwmi.exe (ID: 1176 |ParentID: 984)
C:\WINDOWS\system32\svchost.exe (ID: 1188 |ParentID: 984)
C:\WINDOWS\System32\svchost.exe (ID: 1380 |ParentID: 984)
C:\WINDOWS\system32\svchost.exe (ID: 1420 |ParentID: 984)
C:\WINDOWS\system32\spoolsv.exe (ID: 1968 |ParentID: 984)
C:\Program Files\Avira\AntiVir Desktop\sched.exe (ID: 148 |ParentID: 984)
C:\Program Files\Avira\AntiVir Desktop\avguard.exe (ID: 296 |ParentID: 984)
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (ID: 308 |ParentID: 984)
C:\Program Files\Bonjour\mDNSResponder.exe (ID: 432 |ParentID: 984)
C:\Program Files\Java\jre6\bin\jqs.exe (ID: 960 |ParentID: 984)
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe (ID: 1184 |ParentID: 984)
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (ID: 1324 |ParentID: 984)
C:\Program Files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe (ID: 1504 |ParentID: 984)
C:\WINDOWS\system32\PnkBstrA.exe (ID: 1532 |ParentID: 984)
C:\WINDOWS\system32\PnkBstrB.exe (ID: 1544 |ParentID: 984)
C:\Documents and Settings\All Users.WINDOWS\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe (ID: 1584 |ParentID: 984)
C:\WINDOWS\system32\svchost.exe (ID: 1844 |ParentID: 984)
C:\WINDOWS\system32\nvwmi.exe (ID: 2796 |ParentID: 1176)
C:\WINDOWS\Explorer.EXE (ID: 3196 |ParentID: 3088)
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (ID: 3692 |ParentID: 3196)
C:\WINDOWS\system32\wscript.exe (ID: 3712 |ParentID: 3196)
C:\WINDOWS\system32\ctfmon.exe (ID: 3900 |ParentID: 3196)
C:\Program Files\ASRock WiFi-802.11g\RtWLan.exe (ID: 452 |ParentID: 3196)
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (ID: 796 |ParentID: 296)
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE (ID: 1372 |ParentID: 984)
C:\WINDOWS\system32\wbem\wmiapsrv.exe (ID: 2500 |ParentID: 984)
C:\WINDOWS\system32\dllhost.exe (ID: 3896 |ParentID: 984)
C:\Users\Public\wuauclt.exe (ID: 3580 |ParentID: 3196)
C:\Users\Public\wuauclt.exe (ID: 2292 |ParentID: 3196)
C:\Users\Public\wuauclt.exe (ID: 3280 |ParentID: 3196)
C:\Users\Public\wuauclt.exe (ID: 2224 |ParentID: 756)
C:\UsbFix\Go.exe (ID: 3360 |ParentID: 2624)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [Alcmtr] - ALCMTR.EXE
04 - HKLM\SOFTWARE | Run : [APSDaemon] - "C:\Program Files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\SOFTWARE | Run : [avgnt] - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
04 - HKLM\SOFTWARE | Run : [Isolution] - C:\Users\Public\wuauclt.exe
04 - HKLM\SOFTWARE | Run : [SURVIVAL] - wscript.exe //B "C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe"
04 - HKLM\SOFTWARE | RunOnce : [] -
04 - HKLM\SOFTWARE | Policies\Explorer\run : [GSI] - C:\Users\Public\wuauclt.exe
04 - HKU\S-1-5-19\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKU\S-1-5-20\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKU\S-1-5-21-515967899-448539723-839522115-1003\SOFTWARE | Run : [ctfmon.exe] - C:\WINDOWS\system32\ctfmon.exe
04 - HKU\S-1-5-21-515967899-448539723-839522115-1003\SOFTWARE | Run : [ISG] - C:\Users\Public\wuauclt.exe
04 - HKU\S-1-5-21-515967899-448539723-839522115-1003\SOFTWARE | Run : [SURVIVAL] - wscript.exe //B "C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe"
04 - HKU\S-1-5-18\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKU\S-1-5-21-515967899-448539723-839522115-1003\SOFTWARE | Policies\Explorer\run : [GSI] - C:\Users\Public\wuauclt.exe

################## | Recherche générique |

Présent! C:\Documents and Settings\manouche\Application Data\B8D1EF40\ak.tmp
Présent! C:\Documents and Settings\manouche\Application Data\B8D1EF40
Présent! C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe
Présent! C:\Documents and Settings\manouche\Menu Démarrer\Programmes\Démarrage\SURVIVAL.vbe
Présent! C:\Documents and Settings\manouche\Application Data\manouchev3.4.2.2.vbs
Présent! C:\Documents and Settings\manouche\Application Data\manouche-wchelper.dll
Présent! C:\WINDOWS\system32\setting.ini
Présent! C:\DOCUME~1\manouche\LOCALS~1\Temp\manouche7
Présent! C:\DOCUME~1\manouche\LOCALS~1\Temp\888.pif
Présent! C:\DOCUME~1\manouche\LOCALS~1\Temp\avgnt.exe
Présent! H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Présent! H:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

################## | Référence de comparaison MD5 |

Md5 : D1663F7837C29D192DDD79EAEE9FE150 -> C:\Documents and Settings\manouche\Application Data\manouchev3.4.2.2.vbs
Md5 : 897B0FE3FFA5A13E414ACEEB0983886F -> C:\Documents and Settings\manouche\Menu Démarrer\Programmes\Démarrage\SURVIVAL.vbe
Md5 : 897B0FE3FFA5A13E414ACEEB0983886F -> C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe
Md5 : 897B0FE3FFA5A13E414ACEEB0983886F -> C:\Documents and Settings\manouche\Menu Démarrer\Programmes\Démarrage\SURVIVAL.vbe
Md5 : 170EDA3EEE51DEBC4FD5EE276A4B90E6 -> H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

################## | Comparaison MD5 |

Présent! Md5 : D1663F7837C29D192DDD79EAEE9FE150 -> C:\Documents and Settings\manouche\Application Data\manouchev3.4.2.2.vbs
Présent! Md5 : 897B0FE3FFA5A13E414ACEEB0983886F -> C:\Documents and Settings\manouche\Local Settings\Temp\SURVIVAL.vbe
Présent! Md5 : 897B0FE3FFA5A13E414ACEEB0983886F -> C:\Documents and Settings\manouche\Menu Démarrer\Programmes\Démarrage\SURVIVAL.vbe

################## | Registre |

Présent! HKU\S-1-5-21-515967899-448539723-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run|SURVIVAL
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|SURVIVAL
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SURVIVAL

################## | UsbFix - Information |

UsbFix a détecté sur votre ordinateur, une infection qui dispose d'une fonction de Keylogger.
Après désinfection par UsbFix, veuillez modifier tous vos mots de passe.
Si vous avez effectué des achats sur internet,
veuillez contacter votre banque afin d'envisager une opposition sur votre carte bancaire.

################## | Vaccin |

C:\autorun.inf -> Vaccin créé par Flash_Disinfector (sUBs)
E:\autorun.inf -> Vaccin créé par Flash_Disinfector (sUBs)

################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net |
0
Réponse 12 / 66
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 804
6 déc. 2013 à 19:06
UsbFix a détecté sur votre ordinateur, une infection qui dispose d'une fonction de Keylogger.
Après désinfection par UsbFix, veuillez modifier tous vos mots de passe.
Si vous avez effectué des achats sur internet,
veuillez contacter votre banque afin d'envisager une opposition sur votre carte bancaire.

:(

Faudra changer tout tes mots de passe

Suppression


* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).

* Clique sur "Suppression"

* Laisse travailler l'outil

* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

0
Réponse 13 / 66
Eileencoo
6 déc. 2013 à 19:32
L'ordinateur n'a malheureusement pas redémarré tout seul, c'est moi qui ai dû le faire, et la même fenêtre s'est encore affichée. J'ai bien peur que cette histoire soit loin d'être réglée !

Rapport :

############################## | UsbFix V 7.152 | [Suppression]

Utilisateur: manouche (Administrateur) # PC
Mis à jour le 20/11/2013 par El Desaparecido - Team SosVirus
Lancé à 19:20:02 | 06/12/2013

Site Web : http://www.usbfix.net
Forum : http://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: (4Core1600P35-WiFi)
CPU: Processeur Intel Pentium III Xeon
RAM -> [Total : 3071 | Free : 2003]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) Service Pack 3
WB: Windows Internet Explorer : 8.0.6001.18702
WB: Mozilla Firefox : 25.0.1

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 69 Go (32 Go libre(s) - 46%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 466 Go (382 Go libre(s) - 82%) [Stockage] # NTFS
F:\ -> CD-ROM
G:\ -> Disque fixe # 956 Mo (666 Mo libre(s) - 70%) [USB DISK] # FAT
H:\ -> Disque fixe # 2 Go (2 Go libre(s) - 98%) [USB DISK] # FAT

################## | Processus Stoppés |

Stoppé! C:\WINDOWS\system32\nvwmi.exe (ID: 1180 |ParentID: 984)
Stoppé! C:\WINDOWS\system32\spoolsv.exe (ID: 1980 |ParentID: 984)
Stoppé! C:\Program Files\Avira\AntiVir Desktop\sched.exe (ID: 180 |ParentID: 984)
Stoppé! C:\Program Files\Avira\AntiVir Desktop\avguard.exe (ID: 304 |ParentID: 984)
Stoppé! C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (ID: 316 |ParentID: 984)
Stoppé! C:\Program Files\Bonjour\mDNSResponder.exe (ID: 432 |ParentID: 984)
Stoppé! C:\Program Files\Java\jre6\bin\jqs.exe (ID: 1060 |ParentID: 984)
Stoppé! C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe (ID: 1000 |ParentID: 984)
Stoppé! C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (ID: 1332 |ParentID: 984)
Stoppé! C:\Program Files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe (ID: 1508 |ParentID: 984)
Stoppé! C:\WINDOWS\system32\PnkBstrA.exe (ID: 1532 |ParentID: 984)
Stoppé! C:\WINDOWS\system32\PnkBstrB.exe (ID: 1544 |ParentID: 984)
Stoppé! C:\Documents and Settings\All Users.WINDOWS\Application Data\Skype\Toolbars\Skype C2C Service\c2c_service.exe (ID: 1588 |ParentID: 984)
Stoppé! C:\WINDOWS\system32\nvwmi.exe (ID: 2768 |ParentID: 1180)
Stoppé! C:\WINDOWS\Explorer.EXE (ID: 3308 |ParentID: 3072)
Stoppé! C:\Users\Public\wuauclt.exe (ID: 3592 |ParentID: 3308)
Stoppé! C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (ID: 3656 |ParentID: 3308)
Stoppé! C:\Users\Public\wuauclt.exe (ID: 3692 |ParentID: 3308)
Stoppé! C:\WINDOWS\system32\wscript.exe (ID: 3704 |ParentID: 3308)
Stoppé! C:\Users\Public\wuauclt.exe (ID: 3812 |ParentID: 3308)
Stoppé! C:\WINDOWS\system32\ctfmon.exe (ID: 3900 |ParentID: 3308)
Stoppé! C:\Users\Public\wuauclt.exe (ID: 3924 |ParentID: 3308)
Stoppé! C:\Program Files\ASRock WiFi-802.11g\RtWLan.exe (ID: 4008 |ParentID: 3308)
Stoppé! C:\Documents and Settings\manouche\Menu Démarrer\Programmes\Démarrage\wuauclt.exe (ID: 4016 |ParentID: 3308)
Stoppé! C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (ID: 4040 |ParentID: 304)
Stoppé! C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE (ID: 3276 |ParentID: 984)
Stoppé! C:\Users\Public\wuauclt.exe (ID: 3284 |ParentID: 1488)
Stoppé! C:\Users\Public\wuauclt.exe (ID: 3840 |ParentID: 3248)
Stoppé! C:\Users\Public\wuauclt.exe (ID: 3688 |ParentID: 3308)
Stoppé! C:\WINDOWS\system32\wbem\wmiapsrv.exe (ID: 1620 |ParentID: 984)
Stoppé! C:\WINDOWS\system32\wscntfy.exe (ID: 2592 |ParentID: 1384)

################## | Regedit Run |

04 - HKLM\SOFTWARE | Run : [Alcmtr] - ALCMTR.EXE
04 - HKLM\SOFTWARE | Run : [APSDaemon] - "C:\Program Files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\SOFTWARE | Run : [avgnt] - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
04 - HKLM\SOFTWARE | Run : [Isolution] - C:\Users\Public\wuauclt.exe
04 - HKLM\SOFTWARE | Run : [SURVIVAL] - wscript.exe //B "C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe"
04 - HKLM\SOFTWARE | RunOnce : [] -
04 - HKLM\SOFTWARE | Policies\Explorer\run : [GSI] - C:\Users\Public\wuauclt.exe
04 - HKU\S-1-5-19\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKU\S-1-5-20\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKU\S-1-5-21-515967899-448539723-839522115-1003\SOFTWARE | Run : [ctfmon.exe] - C:\WINDOWS\system32\ctfmon.exe
04 - HKU\S-1-5-21-515967899-448539723-839522115-1003\SOFTWARE | Run : [ISG] - C:\Users\Public\wuauclt.exe
04 - HKU\S-1-5-21-515967899-448539723-839522115-1003\SOFTWARE | Run : [SURVIVAL] - wscript.exe //B "C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe"
04 - HKU\S-1-5-18\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
04 - HKU\S-1-5-21-515967899-448539723-839522115-1003\SOFTWARE | Policies\Explorer\run : [GSI] - C:\Users\Public\wuauclt.exe

################## | Recherche générique |

Supprimé! C:\Documents and Settings\manouche\Application Data\B8D1EF40\ak.tmp
Supprimé! C:\Documents and Settings\manouche\Application Data\B8D1EF40
Supprimé! C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe
Supprimé! C:\Documents and Settings\manouche\Menu Démarrer\Programmes\Démarrage\SURVIVAL.vbe
Supprimé! C:\Documents and Settings\manouche\Application Data\manouchev3.4.2.2.vbs
Supprimé! C:\Documents and Settings\manouche\Application Data\manouche-wchelper.dll
Supprimé! C:\Documents and Settings\manouche\Application Data\Public
Supprimé! C:\WINDOWS\system32\setting.ini
Supprimé! C:\DOCUME~1\manouche\LOCALS~1\Temp\manouche7
Supprimé! C:\DOCUME~1\manouche\LOCALS~1\Temp\manouche8
Supprimé! C:\DOCUME~1\manouche\LOCALS~1\Temp\888.pif
Supprimé! C:\DOCUME~1\manouche\LOCALS~1\Temp\avgnt.exe
Supprimé! H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Supprimé! H:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

(!) Fichiers temporaires supprimés.

################## | Référence de comparaison MD5 |

Md5 : D1663F7837C29D192DDD79EAEE9FE150 -> C:\Documents and Settings\manouche\Application Data\manouchev3.4.2.2.vbs
Md5 : 897B0FE3FFA5A13E414ACEEB0983886F -> C:\Documents and Settings\manouche\Menu Démarrer\Programmes\Démarrage\SURVIVAL.vbe
Md5 : 897B0FE3FFA5A13E414ACEEB0983886F -> C:\DOCUME~1\manouche\LOCALS~1\Temp\SURVIVAL.vbe
Md5 : 897B0FE3FFA5A13E414ACEEB0983886F -> C:\Documents and Settings\manouche\Menu Démarrer\Programmes\Démarrage\SURVIVAL.vbe
Md5 : 170EDA3EEE51DEBC4FD5EE276A4B90E6 -> H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

################## | Comparaison MD5 |


################## | Registre |

Supprimé! HKU\S-1-5-21-515967899-448539723-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run|SURVIVAL
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SURVIVAL
Supprimé! HKU\S-1-5-21-515967899-448539723-839522115-1003\Software\.\.\.\.\Mountpoints2\{0995192c-4440-11e1-8b84-0019666b6079}
Supprimé! HKU\S-1-5-21-515967899-448539723-839522115-1003\Software\.\.\.\.\Mountpoints2\{1ed66569-a72b-11e1-8c42-0019666b6079}
Supprimé! HKU\S-1-5-21-515967899-448539723-839522115-1003\Software\.\.\.\.\Mountpoints2\{310bff48-8c0a-11de-87a5-0015af74cd16}
Supprimé! HKU\S-1-5-21-515967899-448539723-839522115-1003\Software\.\.\.\.\Mountpoints2\{6d355b75-eee0-11dd-86e2-0015af74cd16}
Supprimé! HKU\S-1-5-21-515967899-448539723-839522115-1003\Software\.\.\.\.\Mountpoints2\{ab7f5285-c6ec-11dd-869f-0015af74cd16}
Supprimé! HKU\S-1-5-21-515967899-448539723-839522115-1003\Software\.\.\.\.\Mountpoints2\{dd109c1a-a432-11dd-866e-0015af74cd16}
Supprimé! HKU\S-1-5-21-515967899-448539723-839522115-1003\Software\.\.\.\.\Mountpoints2\{eb19f028-2104-11de-8729-0015af74cd16}

################## | Listing |

[26/02/2010 - 18:44:39 | N | 79477] C:\aaw7boot.log
[23/02/2010 - 21:32:50 | D ] C:\assembly
[11/10/2008 - 19:54:00 | N | 0] C:\AUTOEXEC.BAT
[30/01/2009 - 20:05:53 | RASHD ] C:\autorun.inf
[11/10/2013 - 16:44:09 | N | 212] C:\boot.ini
[05/08/2004 - 13:00:00 | N | 4952] C:\Bootfont.bin
[12/09/2009 - 10:09:32 | N | 74] C:\CMLoader.log
[11/10/2008 - 19:54:00 | N | 0] C:\CONFIG.SYS
[03/02/2009 - 16:33:06 | D ] C:\ConvertTemp
[11/10/2008 - 19:57:30 | D ] C:\Documents and Settings
[24/12/2011 - 19:01:02 | D ] C:\Downloads
[26/09/2010 - 07:59:25 | N | 344] C:\finfos.txt
[11/10/2008 - 20:21:22 | D ] C:\Intel
[11/10/2008 - 19:54:00 | N | 0] C:\IO.SYS
[26/09/2010 - 08:01:32 | N | 1780] C:\mediainfo.txt
[04/08/2009 - 12:05:38 | N | 4194322] C:\memory_map.tga
[11/10/2008 - 19:54:00 | N | 0] C:\MSDOS.SYS
[04/01/2010 - 14:42:26 | RHD ] C:\MSOCache
[25/12/2009 - 14:08:41 | D ] C:\My Lockbox
[05/08/2004 - 13:00:00 | N | 47564] C:\NTDETECT.COM
[11/10/2008 - 21:09:59 | N | 252240] C:\ntldr
[06/12/2013 - 18:55:42 | ASH | 2145386496] C:\pagefile.sys
[06/12/2013 - 18:28:19 | N | 512] C:\PhysicalDisk0_MBR.bin
[06/12/2013 - 18:16:21 | D ] C:\Program Files
[11/10/2008 - 20:41:13 | SHD ] C:\RECYCLER
[05/01/2009 - 14:47:36 | N | 248] C:\Repair.reg
[06/02/2012 - 14:10:45 | N | 1290850] C:\s2bg.5
[06/02/2012 - 14:10:45 | N | 697453] C:\s2bg.6
[24/11/2009 - 13:45:22 | N | 230432] C:\SPC230NC.DAT
[03/02/2009 - 19:45:30 | SHD ] C:\System Volume Information
[06/12/2013 - 19:23:22 | D ] C:\UsbFix
[06/12/2013 - 19:23:23 | A | 9535] C:\UsbFix [Clean 1] PC.txt
[06/12/2013 - 18:52:37 | N | 7890] C:\UsbFix [Scan 1] PC.txt
[03/12/2013 - 20:20:44 | D ] C:\Users
[06/12/2013 - 18:56:44 | D ] C:\WINDOWS
[10/06/2013 - 12:59:54 | N | 571392] E:\2011-12_GuillemotV3_ML_MM (2).doc
[15/08/2009 - 09:09:41 | D ] E:\5733324bd4404212e610eb4a72b49e28
[30/01/2009 - 20:05:53 | RASHD ] E:\autorun.inf
[28/02/2013 - 09:49:53 | N | 36352] E:\Combien dans mon bureau.doc
[24/10/2013 - 17:59:05 | D ] E:\Danièle
[19/11/2013 - 18:54:32 | D ] E:\MANU
[11/09/2011 - 11:29:33 | D ] E:\Marion
[11/09/2011 - 09:53:01 | RHD ] E:\MSOCache
[22/12/2012 - 13:59:03 | D ] E:\photos
[20/04/2013 - 20:04:52 | N | 33410] E:\proposition 19-04.docx
[12/10/2008 - 22:20:18 | SHD ] E:\RECYCLER
[06/12/2013 - 12:23:05 | SHD ] E:\System Volume Information
[12/10/2013 - 13:58:23 | N | 31232] E:\TELEFON.XLS
[06/12/2013 - 15:41:44 | N | 25836] G:\Commentaire.odt
[06/12/2013 - 17:27:48 | N | 24972] G:\SCHWARTZBARD_MARION_Fiche terminologique1.odt
[06/12/2013 - 17:25:04 | N | 22824] G:\SCHWARTZBARD_MARION_Fiche terminologique3.odt
[06/12/2013 - 17:26:30 | N | 22935] G:\SCHWARTZBARD_MARION_Fiche terminologique4.odt
[05/12/2013 - 12:22:54 | N | 27090] G:\SCHWARTZBARD_MARION_Fiche terminologique2.odt
[04/12/2013 - 22:35:12 | D ] G:\CORPUS_MARION_SCHWARTZBARD
[01/12/2013 - 20:15:36 | N | 15196] G:\SCHWARTZBARD_MARION_Fiche terminologique5.odt
[17/12/2009 - 12:09:00 | SHD ] G:\$RECYCLE.BIN
[20/09/2013 - 13:52:32 | N | 501557] G:\Siebert_Science_2013.pdf
[25/05/2010 - 23:11:50 | N | 44032] G:\~WRL0001.tmp
[13/06/2013 - 23:08:58 | SHD ] G:\Recycled
[13/06/2013 - 23:08:58 | SHD ] G:\System Volume Information
[01/10/2013 - 09:27:32 | D ] H:\CORPUS_MARION_SCHWARTZBARD
[08/11/2010 - 23:43:00 | SHD ] H:\$RECYCLE.BIN
[22/03/2012 - 11:37:04 | RSHD ] H:\RECYCLER
[01/10/2013 - 09:27:40 | D ] H:\Documents - vocabulaire
[20/09/2013 - 14:52:32 | N | 501557] H:\Siebert_Science_2013.pdf
[02/10/2013 - 17:57:30 | N | 13645] H:\Trad scientifique espagnole - thématiques et arborescence.odt
[04/04/2012 - 12:27:04 | RASH | 118784] H:\Thumbs.db
[02/10/2013 - 15:51:04 | N | 23433] H:\acolad_sec6_a_traduire.odt
[23/12/2010 - 19:18:38 | HD ] H:\System Volume Information
[23/12/2010 - 19:28:40 | SHD ] H:\Recycled

################## | UsbFix - Information |

UsbFix a détecté sur votre ordinateur, une infection qui dispose d'une fonction de Keylogger.
Après désinfection par UsbFix, veuillez modifier tous vos mots de passe.
Si vous avez effectué des achats sur internet,
veuillez contacter votre banque afin d'envisager une opposition sur votre carte bancaire.

################## | Vaccin |

C:\autorun.inf -> Vaccin créé par Flash_Disinfector (sUBs)
E:\autorun.inf -> Vaccin créé par Flash_Disinfector (sUBs)

################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net |
0
Réponse 14 / 66
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 804
6 déc. 2013 à 19:36
On va faire un scan généralisé pour voir si d'autres infections ne se cachent pas

Attention le scan peut durer assez longtemps environ 2h voire plus suivant la capacité des disques durs

* Télécharge MalwareBytes' anti-malware sur le bureau
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

* Cliques droit sur l'icône Download_mbam-setup.exe afin de l'exécuter en tant qu'admin pour lancer le processus d'installation

* Si le pare-feu demande l'autorisation de se connecter pour malwareBytes, accepte

* Décoche pour la version d'essai pour malwarebytes pro

* Il va se mettre à jour une fois faite

* Va dans l'onglet recherche

* Sélectionne exécuter un examen complet

* Clique sur rechercher

* Le scan démarre

* A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.

* Clique sur afficher les résultats pour afficher les objets trouvés

* Clique sur OK pour poursuivre

* Si des malwares ont été détectés, cliquer sur afficher les résultats

* Sélectionne tout (ou laisser coché)

* Clique sur tout supprimer

* MalwareBytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine

* Malwarebytes va ouvrir le bloc-note et y copier le rapport

* Redémarre le PC

* Une fois redémarré, double-clique sur MalwareBytes

* Va dans l'onglet rapport/log

* Clique dessus pour l'afficher une fois affiché, cliquer sur édition
en haut du bloc-note puis sur sélectionner tout

* Reviens sur édition, puis sur copier et reviens
sur le forum dans ta réponse

* Clic droit dans le cadre de la réponse et coller

Bonne chance
0
Réponse 15 / 66
Eileencoo
6 déc. 2013 à 19:41
Je ne vais malheureusement pas pouvoir le faire ce soir, je n'ai pas 2h devant moi. Je le ferai demain. Pourras-tu me répondre à ce moment là ?

En tous cas, merci beaucoup pour ton aide, j'espère que ça va fonctionner.

Bonne soirée !
0
Réponse 16 / 66
Eileencoo
6 déc. 2013 à 19:44
Au fait, si j'éteins et mon ordinateur, et la connexion internet, il n'y a pas de risque que l'infection, si infection il y a, continue de se développer ?
0
Réponse 17 / 66
lilidurhone Messages postés 43343 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 18 septembre 2023 3 804
6 déc. 2013 à 19:45
Oui tu peux le laisser tourner

Oui je serais là

Il y a aussi le concepteur d'Usbfix qui est prévenu :)

Important change tout tes mots de passe ils ont été pompé
0
Réponse 18 / 66
Eileencoo
6 déc. 2013 à 19:48
Merci beaucoup, je vais faire ça tout de suite. Bonne soirée!
0
Réponse 19 / 66
Eileencoo
7 déc. 2013 à 10:27
Bonjour ! Encore le même souci en allumant mon ordi, sauf que cette fois j'ai dû le rallumer deux fois pour qu'il m'affiche mes icônes, et que cette fenêtre wauclt.exe disparaisse ! Grrrrrr

Je commence l'analyse.
0
Réponse 20 / 66
Eileencoo
7 déc. 2013 à 12:40
Voici le résultat ! Il a l'air de dire qu'il a tout supprimé avec succès, mais au redémarrage, rebelote avec la fenêtre paramètres personnalisés...

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.12.07.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
manouche :: PC [administrateur]

07/12/2013 10:31:38
mbam-log-2013-12-07 (10-31-38).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 335509
Temps écoulé: 52 minute(s), 18 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199} (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08} (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 1
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Mauvais: ("regedit.exe" "%1") Bon: (regedit.exe "%1") -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\Program Files\Vlcclassic\Uninstall.exe (Trojan.FakeVLC) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{B057E31E-550C-4B7F-8FF6-C7B186A19732}\RP1133\A0118477.rbf (PUP.Optional.Iminent) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{B057E31E-550C-4B7F-8FF6-C7B186A19732}\RP1133\A0118559.exe (PUP.Optional.Iminent.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\manouche\Application Data\manouche-wchelper.dll (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)
0

Discussions similaires

qu'est-ce que diff message ?
zebulonmarie -
mumu -

18 réponses
Clavier bloqué au demarrage :(
Alex -
Pascale -

8 réponses
mail forwardé, c'est quoi
kiki -
0beron -

9 réponses