Votre question

Backdoor Win32/smadow [RESOLU]

Tags :
  • Win32
  • Sécurité
Dernière réponse : dans Sécurité et virus
23 Juillet 2011 02:24:38

Bonjour à tous, je suis infecté par "smadow",

toutes mes recherches google sont redirigés vers des sites de pub (un faux face book, un jeu de qui veut gagner des millions sur téléphone portable etc...)

Microsoft security essential le detecte à chaque fois, il le supprime et me demande de redemarrer pour "terminer le nettoyage", je redemarre, mais que ce soit en mode sans echec ou pas, il revient toujours.


apparement le fichier infecté serait:
c:/windows/assembly/GAC_32/Desktop.ini

mais impossible de le trouver dans un explorer windows: je n'ai même pas de dossier GAC 32 visible (et pourtant j'ai bien activé "afficher les fichiers et dossiers systeme", et "afficher les fichiers cachés"...
par contre en ligne de commande je le trouve.

est ce qu'il faut que je download une install' linux bootable sur une clé USB? pour l'effacer de l'exterieur (sans que windows soit lancé? est-ce un fichier important?.

je suis une windows 7 pro, en 64 bits.

merci d'avance pour vos réponses...

Autres pages sur : backdoor win32 smadow resolu

a c 614 8 Sécurité
23 Juillet 2011 09:51:53

Re-bonjour,


Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.

    Reposte-moi aussi les deux rapports obtenu précédemment avec OTL.


    [:_tom_:7]
    23 Juillet 2011 12:31:16

    Rebonjour, merci pour ta réponse.

    Alors:

    TDSSKiller n'a rien trouvé sur 280 objects: infection not found.

    Est ce que c'est parce que Microsoft Security Essential dès le redemarrage l'a détécté, et l'a "supprimé" temporairement en me demandant un redemarrage?

    j'ai malwarebyte antimalware qui tourne en tache de fond, et intox ou pas, normal ou pas, il m'a notifié il y a 5 min: (storyboarder est le nom de ma session)

    12:14:38 Storyboarder IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50039, Process: csrss.exe)

    détail peut-être important, je ne sais pas: impossible d'activer le parfeu windows: automatiquement il refuse et que j'ouvre le centre de maintenance pour l'activer CROIX ROUGE "le centre de maintenance n'a pas pu activer le pare feu windows," en dessous il me propose "activer manuellement le Pare-feu Windows", je clique, je clique sur "utiliser les parametres recommandés" et là erreur: Le pare feu windows ne peut pas modifier certains de vos parametres code erreur: 0x8007042c

    mais cette histoire de pare feu est peut etre liée à MSE qui a pris le relais (MSE fait pare feu non?), c'était peut être comme ça avant.


    ci dessous:

    OTL.txt
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijOH2AJ...
    Extras.txt
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijTulEb...
    (est ce qu'il faut que je refasse un OTL? je crois que celui là était après l'infection mais avant l'apparition des symptomes... j'ai trouvé 2 desktop.ini sur mon bureau (en fichier caché) est-ce normal?)

    merci encore pour votre aide.
    Contenus similaires
    a c 614 8 Sécurité
    23 Juillet 2011 14:32:51

    Re,

    ça aurait été bien de me mettre le rapport TDSSkiller quand même mais bon ...

    Pour le parefeu, c'est parce que tu as la suite de sécurité pctool, c'est elle qui gère le parefeu Windows.
    D'ailleurs pourquoi as-tu deux antivirus ? PCtool et MSE ?
    Plusieurs antivirus peuvent provoquer ralentissements et conflit ...
    Supprime l'un des deux.
    Pourquoi avoir installer PCTool ? Ce serait pas parce que tu as trouvé un page qui disait qu'il s'occupait de cette infection ? C'est pour cela que je n'apprécie pas PcTool ...


    La suite :

    On va vérifier des fichiers :

    Affiche les fichiers et dossiers cachés :
    http://www.inforumatique.fr/afficher-les-fichiers-cache...

    Va sur ce site :
    http://www.virustotal.com/fr/

    Clique sur "Parcourir" puis recherche ce fichier (si présent) :

    Citation :
    C:\Windows\snuvcdsm.exe


    Une fois sélectionné, clique sur "Send File", l'envoi va commencer.

    S'il te dit que ce fichier a déjà été analysé, redemande une analyse (bouton "Reanalysis"), et/ou laisse faire l'analyse jusqu'à avoir "terminée" en haut, après "current statut"

    Copie alors l'adresse dans la barre d'adresse de ton navigateur, puis donne-la moi dans ta prochaine réponse.

    Fais la même chose ensuite avec celui-là :
    Citation :
    C:\Windows\SysNative\drivers\smabvahh.sys

    23 Juillet 2011 15:59:28

    re,
    je me souviens pas avoir installé pc tool (encore moins récemment), je le trouve pas dans programmes et fonctionnalités afin de le désinstaller.

    contrairement à ce que OTL.txt dit je ne trouve aucun .exe dans C:\Program Files (x86)\PC Tools Security

    bizarre non?

    et pour le desinstaller, je ne sais pas comment faire: je peux supprimer comme un cochon tout le dossier "PC tools security"?
    sinon il y a :

    unins000.lst
    unins000.dat
    unins000.msg

    je ne sais pas avec quoi il faut les ouvrir.

    Edit:
    (Oups, si j'ai téléchargé ça pour regler mon probleme tout seul c'est sur:
    http://www.cleanpcguide.com/remove-backdoor-win32smadow...

    au temps pour moi... je n'aurai pas du j'imagine. C'est *%@$# à enlever...
    23 Juillet 2011 16:16:03

    snuvcdsm.exe
    http://www.virustotal.com/file-scan/report.html?id=ec3b...

    smabvahh.sys je ne l'ai pas, par contre, fait étrange, je n'arrive pas a acceder au dossier
    c:\Windows\SysNative\drivers par l'explorer ou la commande ms dos... par contre quand je colle l'adresse dans la fenetre "parcourir" de virus total, j'ai bien le dossier... enfin bref, aucun smabyahh.sys

    sinon j'ai installé le service pack 1 de windows 7 64bits, depuis firefox ne se fait plus rediriger, mais MSE continue de detecter smadow et Malware bytes antimalware bloque toujours une sortie par csrss.exe

    15:44:03 Storyboarder IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49922, Process: csrss.exe)
    16:00:05 Storyboarder IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50790, Process: csrss.exe)
    16:16:06 Storyboarder IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 51246, Process: csrss.exe)

    c'est une ip ukrainienne je crois.
    GAC_32\Desktop.ini ya pas un rapport avec .Net.Framework par hasard...?


    Windows update me propose 4 mises à jours (importantes) pour windows 7 pour processeur 64bits, je fais ou pas?

    merci encore et bon apres midi.
    a c 614 8 Sécurité
    23 Juillet 2011 19:44:26

    Re,

    Bon alors je vais te mettre l'averto maintenant (normalement je le met au début), mais qu'on soit d'accord avant que tu ne fasses trop de choses :

    Préambule à toute désinfection :

    La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
    Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Donc évite de faire des manipulations que je n'aurais pas demandé pour le moment ...

    Ensuite :
    Citation :
    Edit:
    (Oups, si j'ai téléchargé ça pour regler mon probleme tout seul c'est sur:
    http://www.cleanpcguide.com/remove [...] adow-gena/


    Oui, pctool crée de faux blog de sécurité pour refourguer ses outils, pour ça que j'aime pas ...

    à suppirmer via ajout-suppr des programmes :
    - Spyware Doctor 8.0 (c'est l'éditeur pctool)

    Pour le reste, regarde dans ton menu "Démarrer" si tu vois "PC Tool Securty", si oui, dans le dossier tu dois avoir un "uninstall", lance-le.

    Sinon on s'en occupera plus tard.


    Pour le reste, ne fais aucune mise à jour ou autre, qu'on regarde d'abord le souci.

    A suivre :

    Télécharge Gmer sur ton bureau. (Clique sur "Download EXE")

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  • Clique sur le bouton Scan.
  • Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.

  • A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.
  • Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.
  • Quitte Gmer et réactive tes logiciels de sécurité.

    Attention à ne rien tenter par toi même !!


    [:_tom_:7]
    24 Juillet 2011 01:26:28

    reçu, dsl pour pc tool, je l'ai trouvé AVANT de poster ici. je comprends, et je n'installe plus de mise à jour. (je n'ai pas trouvé Spyware Doctor 8.0 ni de dossier dans "Démarrer"... tant pis.

    sinon ci-dessous le rapport (assez maigre) de Gmer:

    GMER 1.0.15.15641 - http://www.gmer.net
    Rootkit scan 2011-07-24 01:18:54
    Windows 6.1.7601 Service Pack 1
    Running: tnwlun1t.exe


    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\70f39584df6c
    Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\70f39584df6c (not active ControlSet)

    ---- EOF - GMER 1.0.15 ----


    En espérant que cela t'aide.
    merci encore pour ta patience et bonne nuit.
    a c 614 8 Sécurité
    24 Juillet 2011 09:59:23

    Re,


    Supprime ta copie actuelle de TDSSKiller, puis refais ceci, mais cette fois-ci poste-moi le rapport, même s'il n'y a rien :

    Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.


    Ensuite :

    Relance OTL :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    snuvcdsm.exe
    smabvahh.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 614 8 Sécurité
    24 Juillet 2011 19:40:03

    Re,

    C'est bizarre tout çà ...

    Tu as toujours les détection de MSE et les redirection ou depuis que tu as mis à jour c'est bon ?

    On va supprimer quelques trucs pour voir quand même :

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    DRV:64bit: - [2011/07/24 02:58:32 | 000,047,952 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\Windows\SysNative\drivers\tmuontrb.sys -- (tmuontrb)
    DRV:64bit: - [2011/07/24 00:44:14 | 000,047,952 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\Windows\SysNative\drivers\lwigbsyc.sys -- (lwigbsyc)
    O4:64bit: - HKLM..\Run: [SNUVCDSM] C:\Windows\snuvcdsm.exe ()
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
    [2011/07/24 02:58:32 | 000,047,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\tmuontrb.sys
    [2011/07/24 00:44:11 | 000,047,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\lwigbsyc.sys
    [2011/07/22 18:27:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC Tools Security
    [2011/07/22 18:27:09 | 000,000,000 | ---D | C] -- C:\Users\Storyboarder\AppData\Roaming\PC Tools
    [2011/07/22 18:27:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\PC Tools
    [2011/07/22 18:25:18 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
    [2011/07/22 15:21:45 | 000,047,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\rlqevvef.sys
    [1 C:\Users\Storyboarder\Documents\*.tmp files -> C:\Users\Storyboarder\Documents\*.tmp -> ]
    [2011/07/24 00:44:14 | 000,047,952 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\lwigbsyc.sys
    @Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:DFC5A2B2

    :Commands
    [emptytemp]
    [emptyflash]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.
    25 Juillet 2011 02:50:24

    le rapport de suppression
    http://www.cijoint.fr/cjlink.php?file=cj201107/cije6Rpb...

    les redirections ont l'air d'etre parties. (mais uniquement depuis que OTL a supprimé ce que tu lui as demandé. par contre MSE continuer de vouloir deleter Windows\GAC_32\Desktop.ini

    je vais le laisser redemarrer, on va voir.
    25 Juillet 2011 02:57:39

    en fait c'est
    C:\Windows\assembly\GAC_32\Desktop.ini
    que MSE essaie toujours d'effacer. Meme apres les redemarrages qu'il demande ca revient (ou il n'arrive pas à le supprimer je ne sais pas).

    Par contre les redirections sont belle est bien disparues... Merci beaucoup.
    a c 614 8 Sécurité
    25 Juillet 2011 12:29:47

    Bonjour,

    Bon on va tenter un truc, mais je voudrais si ce n'est déjà fait que tu sauvegardes tes documents important, l'infection est dangereuse, et un plantage est possible.

    Ensuite :

    Télécharge Kaspersky Virus Removal Tool sur ton bureau.

  • Va sur cette page puis choisi "French" dans le menu déroulant et clique sur "Download"

    Redémarre en Mode Sans Echec :
    - Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
    -- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
    --- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
    ---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

    Aide : Comment faire démarrer son ordinateur en mode sans échec.


  • Ferme toutes tes fenêtres, puis double clique sur Le fichier Kaspersky pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • L'installation se fait automatiquement.

  • Coche "J'accepte le contrat de licence" puis "Démarrer l'application"
  • Clique alors sur "Lancer l'analyse"
  • Laisse faire l'analyse, elle peut être longue.

  • Une fois l'analyse fini s'il a détecté des menaces, il demandera peut-être à redémarrer, accepte
  • Sinon, ou une fois redémarré, va sur l'onglet "Rapport" (en haut à droite, l'image d'une document)
  • Clique sur "Rapport sur l'analyse automatique" à gauche, sélectionne le rapport dans la fenêtre de droite, puis clique au dessus sur "Exporter"
  • Enregistre sur ton bureau en le nommant comme tu le souhaites, puis copie-colle le contenu du fichier texte dans ta prochaine réponse
    26 Juillet 2011 00:33:25

    Arg:

    impossible de lancer karpersky removal tool en tant qu'administrateur, donc je l'ai lancé normalement, pendant l'analyse il a trouve un cheval de troie.

    L'ordi ne demarre plus !!
    Ca coince au démarrage de windows, même en mode sans echec... j'ai tenté "une réparation du démarrage" qui était indiquée recommandée... il est en train de mouliner pour se faire du bouche à bouche à lui même... j'espère qu'il va pas me restaurer trop loin dans le passé...
    26 Juillet 2011 00:34:42

    *il a tenté de supprimer le fichier (qui était dans windows 32 je crois) j'aurai du noter son nom et son emplacement... et ma demander de redemarrer pour completer le nettoyage (un peu comme MSE)
    a c 614 8 Sécurité
    26 Juillet 2011 09:47:11

    Re,

    C'est exactement pour cela que je t'avais bien demandé de sauvegarder avant, l'infection touche des points sensible du système et la désinfection fait souvent planter ...

    Ou en es-tu avec la réparation du démarrage ?
    Si tu dois la faire, ne choisi pas la restauration système qu'il propose, reste sur une réparation du démarrage.
    27 Juillet 2011 00:34:44

    la reparation de demarrage ne donne rien, j'ai fait une restauration...
    ça a redemarré. J'ai recommencé le mode sans echec, kapersky removal tool, et meme chose... :( 
    27 Juillet 2011 00:39:15

    c'est c:/windows/system32/ consrv. (dll? exe? .sys je ne sais plus) qui a un trojan, mais ce n'est pas smadow qui est marqué, c'est qqch N64 ou x64...

    mais la suppression et le redemarrage qui suit provoque un crash du demarrage windows...
    27 Juillet 2011 00:42:04

    il y a l'air d'avoir des posts sur le net a propos de consrv.dll... après la restauration MSE recommence à detecter le virus toujours au meme endroit (apres mise a jour)
    a c 614 8 Sécurité
    27 Juillet 2011 09:13:09

    Re,

    On va faire autrement :


    Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    consrv.dll
    explorer.exe
    lsass.exe
    lsm.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    spoolsv.exe
    alg.exe
    ctfmon.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    midimap.dll
    sptd.sys
    spsys.sys
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    cdaudio.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    usbscan.sys
    usbprint.sys
    sfloppy.sys
    changer.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    30 Juillet 2011 23:56:27

    je n'ai pas de lecteur CD sur ce portable... ça n'a pas l'air de marcher sur une clé usb, je vais tester avec un disque dur externe pour booter dessus
    a c 614 8 Sécurité
    31 Juillet 2011 09:45:00

    Re,

    Tu n'as pas de lecteur car il ne fonctionne plus ou tu n'as pas de lecteur car c'est un netbook ?

    Si c'est le second cas, on peut réussir à faire la même chose sur un clé USB si tu en as une à dédié pour çà (> à 2 Go)
    31 Juillet 2011 15:48:51

    c'est un netbook :( 
    OTLPENet.exe peut me le mettre sur clef usb?
    a c 614 8 Sécurité
    31 Juillet 2011 17:09:45

    Re,

    Oui, je te donne le tuto :
    http://forum.malekal.com/petousb-eeepc-t24701.html

    Tu télécharge le fichier eeepc.zip :
    http://www.eeepc.fr/wp-content/uploads/2008/01/eeepcfr....

    Tu télécharges le fichier OTLPEstd.exe :
    http://oldtimer.geekstogo.com/OTLPEStd.exe

    Ensuite tu suis le tuto.

    Puis tu démarres sur la clé USB. (s'il ne démarra pas automatiquement, ce qu'il devrait faire si c’est un netbook, il faut changer l'ordre de boot dans le Bios)

    Et tu reprends ma procédure à partir d'ici :

  • Passe sur le PC bloqué/infecté
  • S'il le faut, modifie l'ordre de Boot pour démarrer sur la clé USB
  • Redémarre ton PC en utilisant la clé USB venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    lsass.exe
    lsm.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    spoolsv.exe
    alg.exe
    ctfmon.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    midimap.dll
    sptd.sys
    spsys.sys
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    cdaudio.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    usbscan.sys
    usbprint.sys
    sfloppy.sys
    changer.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    31 Juillet 2011 17:52:47

    Je ne trouve pas comment faire... J'ai formaté une clef USB, est ce qu'il faut que je copie le contenu du CD dessus?
    31 Juillet 2011 18:15:52

    ah tu as répondu pardon. Merci
    31 Juillet 2011 19:21:55

    ok. J'ai fait une clée bootable mais le BIOS version HP a l'air de déconner, j'ai bien autorisé les Boot sur USB device, fait passer usb floppy usb drive usb cdrom avant le disque dur netbook... mais rien n'y fait.

    au démarrage l'ordinateur me dit (avant le démarrage de windows): "retirer la clé, presser une touche pour continuer".
    31 Juillet 2011 19:43:24

    ah ca me fait le même message sur mon autre ordi (fixe). Je vais changer d'ordi pour faire la clé bootable et je vais changer de clé USB
    31 Juillet 2011 20:33:03

    même chose avec une autre clé...
    Le message exact est "retirez le disque
    pressez une touche pour rédemarrer"

    Est ce que j'ai mal fait ma clé bootable?




    (sinon pour info, les redirections de recherches s'étaient calmées mais elles sont revenues...)

    Microsoft préconise Msert.exe pour venir à bout de Smadow...

    http://www.microsoft.com/security/scanner/fr-fr/default...

    Ca a un intérêt ou pas?

    Merci et bonne soirée
    a c 614 8 Sécurité
    31 Juillet 2011 22:52:20

    Re,

    Comment tu fais ta clé bootable ? tu met bien les options à cocher comme dans le tuto ?
    Tu indique bien ensuite le chemin du dossier OTLPE que tu as décompressé sur le bureau ?


    Bon tant pis, on va en passer par un autre outil.

    Télécharge DrWeb CureIt :

  • Double-clique sur "Launch.exe" pour le lancer.
    (Utilisateur de Vista/Windows 7, fais un clic-droit sur le fichier : "Exécuter en tant qu'administrateur")
  • Accepte l'avertissement pour le mode "Protection renforcée" et le fenêtre suivante avec "Ok"
    (Choisi "Annuler" si une fenêtre demandant d'obtenir plus de renseignements apparait)
  • Choisi "Commencer le scan" et valide l'avertissement avec "Ok"
    (Tu ne pourras plus rien faire sur le PC jusqu'à la fin du scan)

  • Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)

  • A la fin du scan rapide, si des fichiers ont été détecté, choisi alors "analyse complète" et lance-là avec le bouton à droite |>
  • Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)

  • Lorsque ce second scan est fini, choisi : Fichier -> enregistrer le rapport
  • Sauvegarde-le sur ton bureau, et copie-colle son contenu dans ta prochaine réponse.
  • Ferme le programme.

    Note : si rien n'est détecté lors du scan rapide, indique-le nous.
    Si des fichiers ont été détecté, une fenêtre d'avertissement apparaitra en fermant le programme, choisi "annuler"



    Pour l'outil Microsoft, je ne sais pas, jamais utiliser, on verra ensuite si besoin.
    1 Août 2011 13:13:46

    Oui, oui j'ai fait tout ça.

    a c 614 8 Sécurité
    1 Août 2011 14:00:46

    Re,

    Passe à l'outil que je te dis dans mon post précédent
    3 Août 2011 17:27:02

    ca a marché, de souvenir, il a trouvé 1 infection au scan rapide et l'a supprimée: BackDoor.Maxplus.13 je crois (qqch comme ça) dans C:\Windows\system32\consrv.dll

    je te post le rapport ce soir.

    merci. (j'espère que c'est réglé, je croise les doigts j'ai pas encore redemarré)
    a c 614 8 Sécurité
    3 Août 2011 18:20:36

    Re,

    Oui le nom et le fichier sont cohérent avec cette infection.

    J'attends le rapport.
    [:_tom_:7]
    3 Août 2011 22:30:21

    y'a qu'une ligne dans le rapport Drweb.csv:

    "consrv.dll C:\Windows\system32 BackDoor.Maxplus.13 Désinfecté."
    a c 614 8 Sécurité
    4 Août 2011 09:53:49

    Re,

    Ok, on va regarder un peu si c'est ok :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    consrv.dll
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system64\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system64\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    a c 614 8 Sécurité
    5 Août 2011 23:24:42

    Re,

    Encore du ménage à faire ...

    1)

    Affiche les fichiers et dossiers cachés :
    http://www.inforumatique.fr/forum/afficher-les-fichiers...

    Va sur ce site :
    http://www.virustotal.com/fr/

    Clique sur "Parcourir" puis recherche ce fichier (si présent) :

    C:\Windows\system64\kernel32.dll

    Une fois sélectionné, clique sur "Send File", l'envoi va commencer.

    S'il te dit que ce fichier a déjà été analysé, redemande une analyse (bouton "Reanalysis"), et/ou laisse faire l'analyse jusqu'à avoir "terminée" en haut, après "current statut"

    Copie alors l'adresse dans la barre d'adresse de ton navigateur, puis donne-la moi dans ta prochaine réponse.

    (Note : si tu ne peux envoyer le fichier ou si l'envoi reste à 0bits, copie d'abord le fichier sur ton bureau puis retente avec cette copie)



    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    [2011/07/22 15:21:45 | 000,047,952 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\rlqevvef.sys
    [2011/07/24 02:58:32 | 000,047,952 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\tmuontrb.sys
    [2011/07/24 00:44:14 | 000,047,952 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\lwigbsyc.sys
    O4:64bit: - HKLM..\Run: [SNUVCDSM] C:\Windows\snuvcdsm.exe ()

    :Files
    C:\Windows\system64\consrv.dll
    C:\Windows\SysNative\consrv.dll

    :Commands
    [emptytemp]
    [emptyflash]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.
    a c 614 8 Sécurité
    6 Août 2011 19:15:57

    re,

    Continu avec la procédure OTL s'il te plait.
    7 Août 2011 00:21:18

    re,
    j'ai fait et ça m'a demandé de redémarrer, et là:
    "a disk error occured, press ctrl alt suppr to restart computer"
    (impossible de redemarrer ensuite, comme il y a quelque temps impossible de réparer le démarrage, donc j'ai fini par reprendre au point de restauration d'OTL du 5 aout...
    a c 614 8 Sécurité
    7 Août 2011 11:05:30

    Mphf,

    Comme déjà dis avant, sauvegarde tes données les plus importante puis :


    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    8 Août 2011 00:18:01

    ComboFix 11-08-06.02 - Storyboarder 08/08/2011 0:02.1.4 - x64
    Microsoft Windows 7 Professionnel 6.1.7601.1.1252.33.1036.18.3890.2300 [GMT 2:00]
    Lancé depuis: c:\users\Storyboarder\Desktop\ComboFix.exe
    AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
    SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\windows\system32\consrv.dll
    c:\windows\System64
    c:\windows\SysWow64\UNWISE.EXE
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-07-07 au 2011-08-07 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-08-07 22:07 . 2011-08-07 22:07 -------- d-----w- c:\users\Default\AppData\Local\temp
    2011-08-06 22:19 . 2011-07-12 19:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{951ECC8A-A042-454F-8E21-9908F26EE4C2}\mpengine.dll
    2011-08-05 20:20 . 2011-08-05 20:20 512 ----a-w- C:\PhysicalMBR.bin
    2011-08-02 22:37 . 2011-08-02 22:37 -------- d-----w- c:\users\Storyboarder\DoctorWeb
    2011-07-31 16:51 . 2011-07-31 16:51 -------- d-----w- C:\_smadow
    2011-07-31 16:21 . 2011-07-31 16:26 -------- d-----w- C:\eeepcfr
    2011-07-31 01:15 . 2011-07-12 19:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Updates\mpengine.dll
    2011-07-26 17:38 . 2011-07-26 17:38 17720 ----a-w- c:\windows\system32\drivers\CPQBttn.sys
    2011-07-26 12:12 . 2011-07-26 12:12 -------- d-----w- c:\windows\system32\%LocalAppData%
    2011-07-25 22:10 . 2011-07-25 22:10 -------- d-----w- c:\programdata\Kaspersky Lab
    2011-07-25 00:34 . 2011-07-25 00:34 -------- d-----w- C:\_OTL
    2011-07-24 00:58 . 2011-07-24 00:58 47952 ----a-w- c:\windows\system32\drivers\tmuontrb.sys
    2011-07-23 22:44 . 2011-07-23 22:44 47952 ----a-w- c:\windows\system32\drivers\lwigbsyc.sys
    2011-07-23 11:53 . 2011-07-31 10:18 -------- d-----w- c:\windows\system32\SPReview
    2011-07-23 11:51 . 2011-07-23 11:51 -------- d-----w- c:\windows\system32\EventProviders
    2011-07-23 00:38 . 2011-07-08 07:37 89048 ----a-w- c:\program files (x86)\Mozilla Firefox\libEGL.dll
    2011-07-23 00:38 . 2011-07-08 07:37 781272 ----a-w- c:\program files (x86)\Mozilla Firefox\mozsqlite3.dll
    2011-07-23 00:38 . 2011-07-08 07:37 465880 ----a-w- c:\program files (x86)\Mozilla Firefox\libGLESv2.dll
    2011-07-23 00:38 . 2011-07-08 07:37 1850328 ----a-w- c:\program files (x86)\Mozilla Firefox\mozjs.dll
    2011-07-23 00:38 . 2011-07-08 07:37 15832 ----a-w- c:\program files (x86)\Mozilla Firefox\mozalloc.dll
    2011-07-23 00:38 . 2011-07-08 07:37 142296 ----a-w- c:\program files (x86)\Mozilla Firefox\components\browsercomps.dll
    2011-07-23 00:38 . 2010-01-01 08:00 2106216 ----a-w- c:\program files (x86)\Mozilla Firefox\D3DCompiler_43.dll
    2011-07-23 00:38 . 2010-01-01 08:00 1998168 ----a-w- c:\program files (x86)\Mozilla Firefox\d3dx9_43.dll
    2011-07-22 20:17 . 2011-07-06 17:52 41272 ----a-w- c:\windows\SysWow64\drivers\mbamswissarmy.sys
    2011-07-22 20:17 . 2011-07-22 20:17 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
    2011-07-22 13:21 . 2011-07-22 13:21 47952 ----a-w- c:\windows\system32\drivers\rlqevvef.sys
    2011-07-22 13:16 . 2011-07-22 13:16 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\Malwarebytes
    2011-07-22 13:16 . 2011-07-22 13:16 -------- d-----w- c:\programdata\Malwarebytes
    2011-07-22 13:16 . 2011-07-06 17:52 25912 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-07-20 19:54 . 2011-07-20 19:56 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\vlc
    2011-07-20 19:50 . 2011-07-20 19:50 -------- d-----w- c:\program files (x86)\VideoLAN
    2011-07-20 19:24 . 2011-07-20 19:57 -------- d-----w- c:\users\Storyboarder\AppData\Local\Pdplayer
    2011-07-20 19:24 . 2011-07-20 19:24 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\Pdplayer
    2011-07-20 17:53 . 2010-10-29 22:42 108032 ----a-w- c:\windows\SysWow64\ff_vfw.dll
    2011-07-20 17:53 . 2011-07-20 17:53 -------- d-----w- c:\program files (x86)\ffdshow
    2011-07-19 17:06 . 2011-08-01 00:34 -------- d-----w- C:\videos
    2011-07-19 17:06 . 2011-07-20 20:17 -------- d-----w- C:\photos
    2011-07-19 16:57 . 2011-07-19 16:57 -------- d-----w- c:\windows\VMUVC
    2011-07-18 17:11 . 2011-07-18 17:12 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\PhotoScape
    2011-07-18 17:06 . 2011-07-18 17:06 -------- d-----w- c:\program files (x86)\PhotoScape
    2011-07-18 15:40 . 2011-07-18 15:40 -------- d-----w- c:\program files\Kolor
    2011-07-18 15:19 . 2011-07-18 15:42 -------- d-----w- c:\users\Storyboarder\AppData\Local\Kolor
    2011-07-18 15:16 . 2011-07-18 15:16 -------- d-----w- c:\program files\Autopano Pro 2.5
    2011-07-18 13:32 . 2011-02-19 12:05 1139200 ----a-w- c:\windows\system32\FntCache.dll
    2011-07-18 13:32 . 2011-02-19 12:04 1544192 ----a-w- c:\windows\system32\DWrite.dll
    2011-07-18 13:32 . 2011-02-19 12:04 902656 ----a-w- c:\windows\system32\d2d1.dll
    2011-07-18 13:32 . 2011-02-19 06:30 1076736 ----a-w- c:\windows\SysWow64\DWrite.dll
    2011-07-18 13:32 . 2011-02-19 06:30 739840 ----a-w- c:\windows\SysWow64\d2d1.dll
    2011-07-16 14:34 . 2011-07-16 14:34 -------- d-----w- c:\users\Storyboarder\AppData\Local\2DBoy
    2011-07-16 14:34 . 2011-07-16 14:34 -------- d-----w- c:\programdata\2DBoy
    2011-07-15 02:25 . 2011-07-22 19:31 -------- d-----w- c:\users\Storyboarder\scenes
    2011-07-15 02:25 . 2011-07-15 02:25 -------- d-----w- c:\users\Storyboarder\AppData\Local\Next Limit
    2011-07-15 02:18 . 2011-07-15 02:18 -------- d-----w- c:\program files\Next Limit
    2011-07-14 18:15 . 2011-07-18 15:54 -------- d-----w- c:\users\Storyboarder\AppData\Local\Adobe
    2011-07-14 17:55 . 2011-07-18 15:54 -------- d-----w- c:\program files (x86)\Common Files\Adobe
    2011-07-13 21:44 . 2011-07-13 21:45 -------- d-----w- c:\program files (x86)\WorldOfGoo
    2011-07-11 19:22 . 2011-07-20 19:23 -------- d-----w- c:\program files (x86)\Pdplayer
    2011-07-09 18:45 . 2011-07-31 18:47 -------- d-----w- C:\_PierreM_Others
    2011-07-09 18:43 . 2011-07-11 15:58 -------- d-----w- c:\program files (x86)\FileZillaPortable
    2011-07-09 16:28 . 2011-07-09 16:34 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\TeamViewer
    2011-07-09 16:22 . 2011-07-09 16:22 -------- d-----w- c:\program files (x86)\TeamViewer
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-07-23 12:03 . 2009-07-14 02:36 152576 ----a-w- c:\windows\SysWow64\msclmd.dll
    2011-07-23 12:03 . 2009-07-14 02:36 175616 ----a-w- c:\windows\system32\msclmd.dll
    2011-07-12 19:53 . 2011-02-04 11:37 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
    2011-06-03 05:57 . 2011-07-13 21:21 44032 ----a-w- c:\windows\apppatch\acwow64.dll
    2011-05-24 11:42 . 2011-07-03 22:18 404480 ----a-w- c:\windows\system32\umpnpmgr.dll
    2011-05-24 10:40 . 2011-07-03 22:18 44544 ----a-w- c:\windows\SysWow64\devrtl.dll
    2011-05-24 10:40 . 2011-07-03 22:18 64512 ----a-w- c:\windows\SysWow64\devobj.dll
    2011-05-24 10:39 . 2011-07-03 22:18 145920 ----a-w- c:\windows\SysWow64\cfgmgr32.dll
    2011-05-24 10:37 . 2011-07-03 22:18 252928 ----a-w- c:\windows\SysWow64\drvinst.exe
    2011-05-12 10:15 . 2011-05-12 10:15 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll
    2011-05-12 10:15 . 2011-05-12 10:15 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe
    2011-05-12 10:15 . 2011-05-12 10:15 74752 ----a-w- c:\windows\SysWow64\RegisterIEPKEYs.exe
    2011-05-12 10:15 . 2011-05-12 10:15 74752 ----a-w- c:\windows\SysWow64\iesetup.dll
    2011-05-12 10:15 . 2011-05-12 10:15 63488 ----a-w- c:\windows\SysWow64\tdc.ocx
    2011-05-12 10:15 . 2011-05-12 10:15 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll
    2011-05-12 10:15 . 2011-05-12 10:15 420864 ----a-w- c:\windows\SysWow64\vbscript.dll
    2011-05-12 10:15 . 2011-05-12 10:15 367104 ----a-w- c:\windows\SysWow64\html.iec
    2011-05-12 10:15 . 2011-05-12 10:15 35840 ----a-w- c:\windows\SysWow64\imgutil.dll
    2011-05-12 10:15 . 2011-05-12 10:15 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll
    2011-05-12 10:15 . 2011-05-12 10:15 161792 ----a-w- c:\windows\SysWow64\msls31.dll
    2011-05-12 10:15 . 2011-05-12 10:15 152064 ----a-w- c:\windows\SysWow64\wextract.exe
    2011-05-12 10:15 . 2011-05-12 10:15 150528 ----a-w- c:\windows\SysWow64\iexpress.exe
    2011-05-12 10:15 . 2011-05-12 10:15 142848 ----a-w- c:\windows\SysWow64\ieUnatt.exe
    2011-05-12 10:15 . 2011-05-12 10:15 1427456 ----a-w- c:\windows\SysWow64\inetcpl.cpl
    2011-05-12 10:15 . 2011-05-12 10:15 11776 ----a-w- c:\windows\SysWow64\mshta.exe
    2011-05-12 10:15 . 2011-05-12 10:15 1126912 ----a-w- c:\windows\SysWow64\wininet.dll
    2011-05-12 10:15 . 2011-05-12 10:15 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll
    2011-05-12 10:15 . 2011-05-12 10:15 101888 ----a-w- c:\windows\SysWow64\admparse.dll
    2011-05-12 10:15 . 2011-05-12 10:15 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
    2011-05-12 10:15 . 2011-05-12 10:15 89088 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
    2011-05-12 10:15 . 2011-05-12 10:15 85504 ----a-w- c:\windows\system32\iesetup.dll
    2011-05-12 10:15 . 2011-05-12 10:15 76800 ----a-w- c:\windows\system32\tdc.ocx
    2011-05-12 10:15 . 2011-05-12 10:15 603648 ----a-w- c:\windows\system32\vbscript.dll
    2011-05-12 10:15 . 2011-05-12 10:15 49664 ----a-w- c:\windows\system32\imgutil.dll
    2011-05-12 10:15 . 2011-05-12 10:15 48640 ----a-w- c:\windows\system32\mshtmler.dll
    2011-05-12 10:15 . 2011-05-12 10:15 448512 ----a-w- c:\windows\system32\html.iec
    2011-05-12 10:15 . 2011-05-12 10:15 30720 ----a-w- c:\windows\system32\licmgr10.dll
    2011-05-12 10:15 . 2011-05-12 10:15 222208 ----a-w- c:\windows\system32\msls31.dll
    2011-05-12 10:15 . 2011-05-12 10:15 173056 ----a-w- c:\windows\system32\ieUnatt.exe
    2011-05-12 10:15 . 2011-05-12 10:15 165888 ----a-w- c:\windows\system32\iexpress.exe
    2011-05-12 10:15 . 2011-05-12 10:15 160256 ----a-w- c:\windows\system32\wextract.exe
    2011-05-12 10:15 . 2011-05-12 10:15 1492992 ----a-w- c:\windows\system32\inetcpl.cpl
    2011-05-12 10:15 . 2011-05-12 10:15 1389056 ----a-w- c:\windows\system32\wininet.dll
    2011-05-12 10:15 . 2011-05-12 10:15 135168 ----a-w- c:\windows\system32\IEAdvpack.dll
    2011-05-12 10:15 . 2011-05-12 10:15 12288 ----a-w- c:\windows\system32\mshta.exe
    2011-05-12 10:15 . 2011-05-12 10:15 114176 ----a-w- c:\windows\system32\admparse.dll
    2011-05-12 10:15 . 2011-05-12 10:15 111616 ----a-w- c:\windows\system32\iesysprep.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SuperCopier2.exe"="c:\program files (x86)\SuperCopier2\SuperCopier2.exe" [2009-08-16 955392]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "PDF Complete"="c:\program files (x86)\PDF Complete\pdfsty.exe" [2010-03-06 563736]
    "IMSS"="c:\program files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe" [2010-03-03 111640]
    "TkBellExe"="c:\program files (x86)\Real\RealPlayer\update\realsched.exe" [2011-02-15 273544]
    "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
    "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
    "VMonitorVMUVC"="c:\program files (x86)\Vimicro Corporation\VMUVC\VMonitor.exe" [2008-03-26 135168]
    "Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
    2010-03-24 10:22 75320 ----a-w- c:\windows\System32\DeviceNP.dll
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
    @="Service"
    .
    R1 lcwoirqm;lcwoirqm;c:\windows\system32\drivers\lcwoirqm.sys [x]
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
    R2 HP Power Assistant Service;HP Power Assistant Service;c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Service.exe [2010-05-07 103992]
    R2 HP Wireless Assistant Service;HP Wireless Assistant Service;c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe [2010-04-23 103992]
    R2 vcsFPService;Validity VCS Fingerprint Service;c:\windows\system32\vcsFPService.exe [2010-02-18 2045232]
    R3 DAMDrv;DAMDrv;c:\windows\system32\DRIVERS\DAMDrv64.sys [x]
    R3 driverhardwarev2x64;driverhardwarev2x64;c:\program files\ma-config.com\Drivers\driverhardwarev2x64.sys [2010-08-30 15872]
    R3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;c:\windows\SysWOW64\flcdlock.exe [2010-03-24 362040]
    R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\x64\maconfservice.exe [2011-01-24 420864]
    R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
    R3 NETw5s64;Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETw5s64.sys [x]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
    R3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\Drivers\VMUVC.sys [x]
    R3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftUVC.sys [x]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
    S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
    S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b20011ea53a6b83e\AESTSr64.exe [2009-03-03 89600]
    S2 aksdf;aksdf;c:\windows\system32\DRIVERS\aksdf.sys [x]
    S2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe [x]
    S2 HP ProtectTools Service;HP ProtectTools Service;c:\program files (x86)\Hewlett-Packard\2009 Password Filter for HP ProtectTools\PTChangeFilterService.exe [2010-03-16 36864]
    S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [x]
    S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
    S2 pdfcDispatcher;PDF Document Manager;c:\program files (x86)\PDF Complete\pdfsvc.exe [2010-03-06 635416]
    S2 TeamViewer6;TeamViewer 6;c:\program files (x86)\TeamViewer\Version6\TeamViewer_Service.exe [2011-06-01 2337144]
    S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
    S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k62x64.sys [x]
    S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
    S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
    S3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
    S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
    S3 NETwNs64;___ Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETwNs64.sys [x]
    S3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
    S3 NisSrv;Inspection réseau Microsoft;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 288272]
    S3 RICOH SmartCard Reader;RICOH SmartCard Reader;c:\windows\system32\DRIVERS\rismcx64.sys [x]
    S3 wisdpen;Wacom Penabled MiniDriver;c:\windows\system32\DRIVERS\wisdpen.sys [x]
    .
    .
    .
    --------- x86-64 -----------
    .
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "combofix"="c:\combofix\CF29782.cfxxe" [X]
    "IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2010-04-05 186904]
    "HPPowerAssistant"="c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Main.exe" [2010-05-07 1690168]
    "HPWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe" [2010-04-23 8192]
    "SNUVCDSM"="c:\windows\snuvcdsm.exe" [2009-09-17 27184]
    "SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-03-17 487424]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-01-07 167960]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-01-07 391704]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2011-01-07 418328]
    "Broadcom Wireless Manager UI"="c:\program files\Broadcom\Broadcom 802.11\WLTRAY.exe" [2011-02-02 5394944]
    "MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 1436736]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "LoadAppInit_DLLs"=0x0
    .
    ------- Examen supplémentaire -------
    .
    uLocal Page = c:\windows\system32\blank.htm
    uStart Page = hxxp://www.google.fr/
    mLocal Page = c:\windows\SysWOW64\blank.htm
    IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
    TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
    FF - ProfilePath - c:\users\Storyboarder\AppData\Roaming\Mozilla\Firefox\Profiles\fki7e61s.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
    FF - prefs.js: network.proxy.type - 0
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
    AddRemove-HASP HL Device Driver - c:\windows\System32\UNWISE.EXE
    .
    .
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\pdfcDispatcher]
    "ImagePath"="c:\program files (x86)\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Shockwave Flash Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    @="0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    @="ShockwaveFlash.ShockwaveFlash.10"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="ShockwaveFlash.ShockwaveFlash"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Macromedia Flash Factory Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @="FlashFactory.FlashFactory.1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="FlashFactory.FlashFactory"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
    c:\program files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
    c:\program files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
    c:\program files (x86)\TeamViewer\Version6\TeamViewer.exe
    c:\program files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
    c:\program files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DPAgent.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-08-08 00:12:55 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-08-07 22:12
    .
    Avant-CF: 83 333 685 248 octets libres
    Après-CF: 82 920 513 536 octets libres
    .
    - - End Of File - - 8EBBCF52FDFC7B3C8FD36D23A638AAB7
    a c 614 8 Sécurité
    8 Août 2011 11:00:20

    Re,

  • Ouvre un fichier Bloc-note vierge (Démarrer -> Tous les programmes -> accessoire -> Bloc-note)
  • Copie-colle EXACTEMENT ceci dedans :

    Driver::
    lcwoirqm
    File::
    c:\windows\system32\drivers\tmuontrb.sys
    c:\windows\system32\drivers\lwigbsyc.sys
    c:\windows\system32\drivers\rlqevvef.sys
    c:\windows\system32\drivers\lcwoirqm.sys


  • Clique ensuite sur "Fichier" -> "Enregistrer sous..."
  • Choisi ton bureau comme destination et nomme le fichier "CFScript"
  • Clique sur le bouton "Enregistrer"
  • Ferme le Bloc-note.

  • Fait maintenant glisser le fichier sur ton bureau sur l'icone de Combofix comme ceci (maintenir le clic-gauche de la souris et faire glisser)



  • Combofix va se relancer, suis les instructions.
  • Ne touche à rien pendant le temps du scan !!!
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    8 Août 2011 14:23:38

    ComboFix 11-08-06.02 - Storyboarder 08/08/2011 14:10:14.2.4 - x64
    Microsoft Windows 7 Professionnel 6.1.7601.1.1252.33.1036.18.3890.2384 [GMT 2:00]
    Lancé depuis: c:\users\Storyboarder\Desktop\ComboFix.exe
    Commutateurs utilisés :: c:\users\Storyboarder\Desktop\CFScript.txt
    AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
    SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    FILE ::
    "c:\windows\system32\drivers\lcwoirqm.sys"
    "c:\windows\system32\drivers\lwigbsyc.sys"
    "c:\windows\system32\drivers\rlqevvef.sys"
    "c:\windows\system32\drivers\tmuontrb.sys"
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\windows\system32\drivers\lwigbsyc.sys
    c:\windows\system32\drivers\rlqevvef.sys
    c:\windows\system32\drivers\tmuontrb.sys
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    -------\Service_lcwoirqm
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-07-08 au 2011-08-08 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-08-08 12:15 . 2011-08-08 12:15 -------- d-----w- c:\users\Default\AppData\Local\temp
    2011-08-06 22:19 . 2011-07-12 19:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{951ECC8A-A042-454F-8E21-9908F26EE4C2}\mpengine.dll
    2011-08-05 20:20 . 2011-08-05 20:20 512 ----a-w- C:\PhysicalMBR.bin
    2011-08-02 22:37 . 2011-08-02 22:37 -------- d-----w- c:\users\Storyboarder\DoctorWeb
    2011-07-31 16:51 . 2011-07-31 16:51 -------- d-----w- C:\_smadow
    2011-07-31 16:21 . 2011-07-31 16:26 -------- d-----w- C:\eeepcfr
    2011-07-31 01:15 . 2011-07-12 19:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Updates\mpengine.dll
    2011-07-26 17:38 . 2011-07-26 17:38 17720 ----a-w- c:\windows\system32\drivers\CPQBttn.sys
    2011-07-26 12:12 . 2011-07-26 12:12 -------- d-----w- c:\windows\system32\%LocalAppData%
    2011-07-25 22:10 . 2011-07-25 22:10 -------- d-----w- c:\programdata\Kaspersky Lab
    2011-07-25 00:34 . 2011-07-25 00:34 -------- d-----w- C:\_OTL
    2011-07-23 11:53 . 2011-07-31 10:18 -------- d-----w- c:\windows\system32\SPReview
    2011-07-23 11:51 . 2011-07-23 11:51 -------- d-----w- c:\windows\system32\EventProviders
    2011-07-23 00:38 . 2011-07-08 07:37 89048 ----a-w- c:\program files (x86)\Mozilla Firefox\libEGL.dll
    2011-07-23 00:38 . 2011-07-08 07:37 781272 ----a-w- c:\program files (x86)\Mozilla Firefox\mozsqlite3.dll
    2011-07-23 00:38 . 2011-07-08 07:37 465880 ----a-w- c:\program files (x86)\Mozilla Firefox\libGLESv2.dll
    2011-07-23 00:38 . 2011-07-08 07:37 1850328 ----a-w- c:\program files (x86)\Mozilla Firefox\mozjs.dll
    2011-07-23 00:38 . 2011-07-08 07:37 15832 ----a-w- c:\program files (x86)\Mozilla Firefox\mozalloc.dll
    2011-07-23 00:38 . 2011-07-08 07:37 142296 ----a-w- c:\program files (x86)\Mozilla Firefox\components\browsercomps.dll
    2011-07-23 00:38 . 2010-01-01 08:00 2106216 ----a-w- c:\program files (x86)\Mozilla Firefox\D3DCompiler_43.dll
    2011-07-23 00:38 . 2010-01-01 08:00 1998168 ----a-w- c:\program files (x86)\Mozilla Firefox\d3dx9_43.dll
    2011-07-22 20:17 . 2011-07-06 17:52 41272 ----a-w- c:\windows\SysWow64\drivers\mbamswissarmy.sys
    2011-07-22 20:17 . 2011-07-22 20:17 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
    2011-07-22 13:16 . 2011-07-22 13:16 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\Malwarebytes
    2011-07-22 13:16 . 2011-07-22 13:16 -------- d-----w- c:\programdata\Malwarebytes
    2011-07-22 13:16 . 2011-07-06 17:52 25912 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-07-20 19:54 . 2011-07-20 19:56 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\vlc
    2011-07-20 19:50 . 2011-07-20 19:50 -------- d-----w- c:\program files (x86)\VideoLAN
    2011-07-20 19:24 . 2011-07-20 19:57 -------- d-----w- c:\users\Storyboarder\AppData\Local\Pdplayer
    2011-07-20 19:24 . 2011-07-20 19:24 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\Pdplayer
    2011-07-20 17:53 . 2010-10-29 22:42 108032 ----a-w- c:\windows\SysWow64\ff_vfw.dll
    2011-07-20 17:53 . 2011-07-20 17:53 -------- d-----w- c:\program files (x86)\ffdshow
    2011-07-19 17:06 . 2011-08-01 00:34 -------- d-----w- C:\videos
    2011-07-19 17:06 . 2011-07-20 20:17 -------- d-----w- C:\photos
    2011-07-19 16:57 . 2011-07-19 16:57 -------- d-----w- c:\windows\VMUVC
    2011-07-18 17:11 . 2011-07-18 17:12 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\PhotoScape
    2011-07-18 17:06 . 2011-07-18 17:06 -------- d-----w- c:\program files (x86)\PhotoScape
    2011-07-18 15:40 . 2011-07-18 15:40 -------- d-----w- c:\program files\Kolor
    2011-07-18 15:19 . 2011-07-18 15:42 -------- d-----w- c:\users\Storyboarder\AppData\Local\Kolor
    2011-07-18 15:16 . 2011-07-18 15:16 -------- d-----w- c:\program files\Autopano Pro 2.5
    2011-07-18 13:32 . 2011-02-19 12:05 1139200 ----a-w- c:\windows\system32\FntCache.dll
    2011-07-18 13:32 . 2011-02-19 12:04 1544192 ----a-w- c:\windows\system32\DWrite.dll
    2011-07-18 13:32 . 2011-02-19 12:04 902656 ----a-w- c:\windows\system32\d2d1.dll
    2011-07-18 13:32 . 2011-02-19 06:30 1076736 ----a-w- c:\windows\SysWow64\DWrite.dll
    2011-07-18 13:32 . 2011-02-19 06:30 739840 ----a-w- c:\windows\SysWow64\d2d1.dll
    2011-07-16 14:34 . 2011-07-16 14:34 -------- d-----w- c:\users\Storyboarder\AppData\Local\2DBoy
    2011-07-16 14:34 . 2011-07-16 14:34 -------- d-----w- c:\programdata\2DBoy
    2011-07-15 02:25 . 2011-07-22 19:31 -------- d-----w- c:\users\Storyboarder\scenes
    2011-07-15 02:25 . 2011-07-15 02:25 -------- d-----w- c:\users\Storyboarder\AppData\Local\Next Limit
    2011-07-15 02:18 . 2011-07-15 02:18 -------- d-----w- c:\program files\Next Limit
    2011-07-14 18:15 . 2011-07-18 15:54 -------- d-----w- c:\users\Storyboarder\AppData\Local\Adobe
    2011-07-14 17:55 . 2011-07-18 15:54 -------- d-----w- c:\program files (x86)\Common Files\Adobe
    2011-07-13 21:44 . 2011-07-13 21:45 -------- d-----w- c:\program files (x86)\WorldOfGoo
    2011-07-11 19:22 . 2011-07-20 19:23 -------- d-----w- c:\program files (x86)\Pdplayer
    2011-07-09 18:45 . 2011-07-31 18:47 -------- d-----w- C:\_PierreM_Others
    2011-07-09 18:43 . 2011-07-11 15:58 -------- d-----w- c:\program files (x86)\FileZillaPortable
    2011-07-09 16:28 . 2011-07-09 16:34 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\TeamViewer
    2011-07-09 16:22 . 2011-07-09 16:22 -------- d-----w- c:\program files (x86)\TeamViewer
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-07-23 12:03 . 2009-07-14 02:36 152576 ----a-w- c:\windows\SysWow64\msclmd.dll
    2011-07-23 12:03 . 2009-07-14 02:36 175616 ----a-w- c:\windows\system32\msclmd.dll
    2011-07-12 19:53 . 2011-02-04 11:37 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
    2011-06-03 05:57 . 2011-07-13 21:21 44032 ----a-w- c:\windows\apppatch\acwow64.dll
    2011-05-24 11:42 . 2011-07-03 22:18 404480 ----a-w- c:\windows\system32\umpnpmgr.dll
    2011-05-24 10:40 . 2011-07-03 22:18 44544 ----a-w- c:\windows\SysWow64\devrtl.dll
    2011-05-24 10:40 . 2011-07-03 22:18 64512 ----a-w- c:\windows\SysWow64\devobj.dll
    2011-05-24 10:39 . 2011-07-03 22:18 145920 ----a-w- c:\windows\SysWow64\cfgmgr32.dll
    2011-05-24 10:37 . 2011-07-03 22:18 252928 ----a-w- c:\windows\SysWow64\drvinst.exe
    2011-05-12 10:15 . 2011-05-12 10:15 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll
    2011-05-12 10:15 . 2011-05-12 10:15 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe
    2011-05-12 10:15 . 2011-05-12 10:15 74752 ----a-w- c:\windows\SysWow64\RegisterIEPKEYs.exe
    2011-05-12 10:15 . 2011-05-12 10:15 74752 ----a-w- c:\windows\SysWow64\iesetup.dll
    2011-05-12 10:15 . 2011-05-12 10:15 63488 ----a-w- c:\windows\SysWow64\tdc.ocx
    2011-05-12 10:15 . 2011-05-12 10:15 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll
    2011-05-12 10:15 . 2011-05-12 10:15 420864 ----a-w- c:\windows\SysWow64\vbscript.dll
    2011-05-12 10:15 . 2011-05-12 10:15 367104 ----a-w- c:\windows\SysWow64\html.iec
    2011-05-12 10:15 . 2011-05-12 10:15 35840 ----a-w- c:\windows\SysWow64\imgutil.dll
    2011-05-12 10:15 . 2011-05-12 10:15 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll
    2011-05-12 10:15 . 2011-05-12 10:15 161792 ----a-w- c:\windows\SysWow64\msls31.dll
    2011-05-12 10:15 . 2011-05-12 10:15 152064 ----a-w- c:\windows\SysWow64\wextract.exe
    2011-05-12 10:15 . 2011-05-12 10:15 150528 ----a-w- c:\windows\SysWow64\iexpress.exe
    2011-05-12 10:15 . 2011-05-12 10:15 142848 ----a-w- c:\windows\SysWow64\ieUnatt.exe
    2011-05-12 10:15 . 2011-05-12 10:15 1427456 ----a-w- c:\windows\SysWow64\inetcpl.cpl
    2011-05-12 10:15 . 2011-05-12 10:15 11776 ----a-w- c:\windows\SysWow64\mshta.exe
    2011-05-12 10:15 . 2011-05-12 10:15 1126912 ----a-w- c:\windows\SysWow64\wininet.dll
    2011-05-12 10:15 . 2011-05-12 10:15 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll
    2011-05-12 10:15 . 2011-05-12 10:15 101888 ----a-w- c:\windows\SysWow64\admparse.dll
    2011-05-12 10:15 . 2011-05-12 10:15 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
    2011-05-12 10:15 . 2011-05-12 10:15 89088 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
    2011-05-12 10:15 . 2011-05-12 10:15 85504 ----a-w- c:\windows\system32\iesetup.dll
    2011-05-12 10:15 . 2011-05-12 10:15 76800 ----a-w- c:\windows\system32\tdc.ocx
    2011-05-12 10:15 . 2011-05-12 10:15 603648 ----a-w- c:\windows\system32\vbscript.dll
    2011-05-12 10:15 . 2011-05-12 10:15 49664 ----a-w- c:\windows\system32\imgutil.dll
    2011-05-12 10:15 . 2011-05-12 10:15 48640 ----a-w- c:\windows\system32\mshtmler.dll
    2011-05-12 10:15 . 2011-05-12 10:15 448512 ----a-w- c:\windows\system32\html.iec
    2011-05-12 10:15 . 2011-05-12 10:15 30720 ----a-w- c:\windows\system32\licmgr10.dll
    2011-05-12 10:15 . 2011-05-12 10:15 222208 ----a-w- c:\windows\system32\msls31.dll
    2011-05-12 10:15 . 2011-05-12 10:15 173056 ----a-w- c:\windows\system32\ieUnatt.exe
    2011-05-12 10:15 . 2011-05-12 10:15 165888 ----a-w- c:\windows\system32\iexpress.exe
    2011-05-12 10:15 . 2011-05-12 10:15 160256 ----a-w- c:\windows\system32\wextract.exe
    2011-05-12 10:15 . 2011-05-12 10:15 1492992 ----a-w- c:\windows\system32\inetcpl.cpl
    2011-05-12 10:15 . 2011-05-12 10:15 1389056 ----a-w- c:\windows\system32\wininet.dll
    2011-05-12 10:15 . 2011-05-12 10:15 135168 ----a-w- c:\windows\system32\IEAdvpack.dll
    2011-05-12 10:15 . 2011-05-12 10:15 12288 ----a-w- c:\windows\system32\mshta.exe
    2011-05-12 10:15 . 2011-05-12 10:15 114176 ----a-w- c:\windows\system32\admparse.dll
    2011-05-12 10:15 . 2011-05-12 10:15 111616 ----a-w- c:\windows\system32\iesysprep.dll
    .
    .
    ((((((((((((((((((((((((((((( SnapShot@2011-08-07_22.09.01 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2009-07-14 04:54 . 2011-08-07 22:08 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
    + 2009-07-14 04:54 . 2011-08-08 12:16 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
    + 2009-07-14 04:54 . 2011-08-08 12:16 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
    - 2009-07-14 04:54 . 2011-08-07 22:08 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
    - 2009-07-14 04:54 . 2011-08-07 22:08 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
    + 2009-07-14 04:54 . 2011-08-08 12:16 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
    + 2011-01-31 11:53 . 2011-08-08 12:04 46528 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
    - 2009-07-14 05:10 . 2011-08-07 20:49 35344 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
    + 2009-07-14 05:10 . 2011-08-08 12:04 35344 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
    + 2011-01-31 11:53 . 2011-08-08 12:04 11852 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-840422833-28000144-3944128184-1000_UserData.bin
    - 2011-08-07 22:08 . 2011-08-07 22:08 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
    + 2011-08-08 12:16 . 2011-08-08 12:16 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
    + 2011-08-08 12:16 . 2011-08-08 12:16 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
    - 2011-08-07 22:08 . 2011-08-07 22:08 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
    - 2009-07-14 05:01 . 2011-08-07 22:07 488888 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
    + 2009-07-14 05:01 . 2011-08-08 12:15 488888 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
    + 2011-01-31 13:03 . 2011-08-08 12:15 3146416 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
    - 2011-01-31 13:03 . 2011-08-07 22:07 3146416 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
    - 2011-07-12 19:42 . 2011-08-07 22:07 6806996 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-840422833-28000144-3944128184-1000-12288.dat
    + 2011-07-12 19:42 . 2011-08-08 12:15 6806996 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-840422833-28000144-3944128184-1000-12288.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SuperCopier2.exe"="c:\program files (x86)\SuperCopier2\SuperCopier2.exe" [2009-08-16 955392]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "PDF Complete"="c:\program files (x86)\PDF Complete\pdfsty.exe" [2010-03-06 563736]
    "IMSS"="c:\program files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe" [2010-03-03 111640]
    "TkBellExe"="c:\program files (x86)\Real\RealPlayer\update\realsched.exe" [2011-02-15 273544]
    "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
    "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
    "VMonitorVMUVC"="c:\program files (x86)\Vimicro Corporation\VMUVC\VMonitor.exe" [2008-03-26 135168]
    "Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
    2010-03-24 10:22 75320 ----a-w- c:\windows\System32\DeviceNP.dll
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
    @="Service"
    .
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
    R2 HP Power Assistant Service;HP Power Assistant Service;c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Service.exe [2010-05-07 103992]
    R2 HP Wireless Assistant Service;HP Wireless Assistant Service;c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe [2010-04-23 103992]
    R2 vcsFPService;Validity VCS Fingerprint Service;c:\windows\system32\vcsFPService.exe [2010-02-18 2045232]
    R3 DAMDrv;DAMDrv;c:\windows\system32\DRIVERS\DAMDrv64.sys [x]
    R3 driverhardwarev2x64;driverhardwarev2x64;c:\program files\ma-config.com\Drivers\driverhardwarev2x64.sys [2010-08-30 15872]
    R3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;c:\windows\SysWOW64\flcdlock.exe [2010-03-24 362040]
    R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\x64\maconfservice.exe [2011-01-24 420864]
    R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
    R3 NETw5s64;Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETw5s64.sys [x]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
    R3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\Drivers\VMUVC.sys [x]
    R3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftUVC.sys [x]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
    S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
    S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b20011ea53a6b83e\AESTSr64.exe [2009-03-03 89600]
    S2 aksdf;aksdf;c:\windows\system32\DRIVERS\aksdf.sys [x]
    S2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe [x]
    S2 HP ProtectTools Service;HP ProtectTools Service;c:\program files (x86)\Hewlett-Packard\2009 Password Filter for HP ProtectTools\PTChangeFilterService.exe [2010-03-16 36864]
    S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [x]
    S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
    S2 pdfcDispatcher;PDF Document Manager;c:\program files (x86)\PDF Complete\pdfsvc.exe [2010-03-06 635416]
    S2 TeamViewer6;TeamViewer 6;c:\program files (x86)\TeamViewer\Version6\TeamViewer_Service.exe [2011-06-01 2337144]
    S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
    S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k62x64.sys [x]
    S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
    S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
    S3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
    S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
    S3 NETwNs64;___ Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETwNs64.sys [x]
    S3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
    S3 NisSrv;Inspection réseau Microsoft;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 288272]
    S3 RICOH SmartCard Reader;RICOH SmartCard Reader;c:\windows\system32\DRIVERS\rismcx64.sys [x]
    S3 wisdpen;Wacom Penabled MiniDriver;c:\windows\system32\DRIVERS\wisdpen.sys [x]
    .
    .
    .
    --------- x86-64 -----------
    .
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "combofix"="c:\combofix\CF31798.cfxxe" [X]
    "IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2010-04-05 186904]
    "SynTPEnh"="c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe" [BU]
    "HPPowerAssistant"="c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Main.exe" [2010-05-07 1690168]
    "HPWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe" [2010-04-23 8192]
    "SNUVCDSM"="c:\windows\snuvcdsm.exe" [2009-09-17 27184]
    "SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-03-17 487424]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-01-07 167960]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-01-07 391704]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2011-01-07 418328]
    "Broadcom Wireless Manager UI"="c:\program files\Broadcom\Broadcom 802.11\WLTRAY.exe" [2011-02-02 5394944]
    "MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 1436736]
    .
    ------- Examen supplémentaire -------
    .
    uLocal Page = c:\windows\system32\blank.htm
    uStart Page = hxxp://www.google.fr/
    mLocal Page = c:\windows\SysWOW64\blank.htm
    IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
    TCP: DhcpNameServer = 192.168.1.1
    FF - ProfilePath - c:\users\Storyboarder\AppData\Roaming\Mozilla\Firefox\Profiles\fki7e61s.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
    FF - prefs.js: network.proxy.type - 0
    .
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\pdfcDispatcher]
    "ImagePath"="c:\program files (x86)\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Shockwave Flash Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    @="0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    @="ShockwaveFlash.ShockwaveFlash.10"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="ShockwaveFlash.ShockwaveFlash"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Macromedia Flash Factory Object"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @="FlashFactory.FlashFactory.1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="FlashFactory.FlashFactory"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
    c:\program files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
    c:\program files (x86)\TeamViewer\Version6\TeamViewer.exe
    c:\program files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
    c:\program files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-08-08 14:21:01 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-08-08 12:21
    ComboFix2.txt 2011-08-07 22:12
    .
    Avant-CF: 82 920 726 528 octets libres
    Après-CF: 82 840 313 856 octets libres
    .
    - - End Of File - - 2C1B8BBE6ACA24A76C48DDC1FFB20C5D
    a c 614 8 Sécurité
    8 Août 2011 14:30:34

    Re,

    Ok cette fois-ci ce devrait être bon.

    Met à jour Microsoft Security Essential, puis fait un scan complet, et regarde s'il détecte encore quelque chose.
    9 Août 2011 12:47:05

    All right !!

    ordi nickel d'après MSE !!!

    Mille mercis ! (et franchement chapeau !)
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS