Se connecter / S'enregistrer
Votre question

Antivirus software alert [RESOLU]

Tags :
  • software
  • Sécurité
Dernière réponse : dans Sécurité et virus
21 Décembre 2010 20:12:37

bonjour,
comment d'autre (j'ai pu le lire sur ce forum) j'ai été attaqué par le virus "Antivirus software alert".

Alors comme conseillé pour les autres j'ai fait un scan avec ZHPfix et ca me donne ca:
http://www.cijoint.fr/cjlink.php?file=cj201012/cij9NYD7...

que dois je faire maintenant ??

Autres pages sur : antivirus software alert resolu

21 Décembre 2010 22:58:26

Bonsoir
Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :
  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
  • Poste ce rapport.

    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    Note : Si tu ne parviens à télécharger MBAM à partir de MajorGeeks, tu peux le télécharger ici!

    [#FF0000]Aide
    :
  • Comment utiliser MBAM.
    22 Décembre 2010 17:22:47

    Alors, le problème a l'air en grande partie résolu à coup de malwarebytes en mode sans echec. Cela dit le démarrage reste long malwarebytes à l'air de trouver des infections à chaque passage. (une autre petite chose, la lecture des videos est laborieuse depuis un certain temps).
    Voila le dernier rapport:

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5367

    Windows 6.0.6000
    Internet Explorer 8.0.6001.18928

    2010-12-22 16:06:34
    mbam-log-2010-12-22 (16-06-34).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 304924
    Temps écoulé: 1 heure(s), 52 minute(s), 1 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\windows\system32\drivers\xrwde.sys (Trojan.Bubnix) -> Quarantined and deleted successfully.
    Contenus similaires
    22 Décembre 2010 22:36:12

    re

    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs : Combofix
    Sauvegarde-le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer

    <@_@>
    27 Décembre 2010 02:31:36

    voila ce qui ressort de combofix:

    ComboFix 10-12-22.05 - berger 2010-12-23 14:33:44.2.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.2047.1115 [GMT 1:00]
    Lancé depuis: c:\users\berger\Desktop\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\program files\OfferBox
    c:\program files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.dll
    c:\users\berger\7429738507e20cf7c1ca488fc5963f9d7d63cf3bb6704022d27576fd8a0ba5d816d78415.jpg
    c:\users\berger\AppData\Roaming\OfferBox
    c:\users\berger\AppData\Roaming\OfferBox\config.xml

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-11-23 au 2010-12-23 ))))))))))))))))))))))))))))))))))))
    .

    2010-12-23 13:42 . 2010-12-23 13:42 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-12-23 13:42 . 2010-12-23 13:42 -------- d-----w- c:\users\berger\AppData\Local\temp
    2010-12-22 02:05 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{1974D328-6C01-4938-80C1-0B3D1B8165D3}\mpengine.dll
    2010-12-21 21:24 . 2010-12-21 21:24 -------- d-----w- c:\program files\Enigma Software Group
    2010-12-21 21:24 . 2010-12-21 22:02 -------- d-----w- c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP
    2010-12-21 19:25 . 2010-12-21 19:25 -------- d-----w- c:\users\berger\AppData\Roaming\Malwarebytes
    2010-12-21 19:25 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-12-21 19:25 . 2010-12-21 19:25 -------- d-----w- c:\programdata\Malwarebytes
    2010-12-21 19:25 . 2010-12-21 20:02 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-12-21 19:25 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-12-21 18:36 . 2010-12-22 00:14 -------- d-----w- c:\program files\ZHPDiag
    2010-12-21 16:17 . 2010-12-21 16:17 733184 ----a-w- c:\windows\system32\alkA673.dll
    2010-12-21 16:17 . 2010-12-21 16:17 0 ----a-w- c:\windows\system32\alkA673.tmp
    2010-12-21 16:12 . 2010-12-21 16:12 -------- d-----w- c:\windows\Sun
    2010-12-13 19:09 . 2010-12-13 19:11 -------- d-----w- c:\users\berger\AppData\Roaming\vlc
    2010-11-26 15:26 . 2010-11-26 15:29 -------- d-----w- c:\program files\Google

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-11-14 18:18 . 2010-11-14 16:28 0 ----a-w- c:\users\berger\errorlog.tmp
    2010-11-14 16:28 . 2010-11-14 16:28 448056 ----a-w- c:\users\berger\binternet.exe
    2010-10-19 09:41 . 2009-10-03 03:15 222080 ------w- c:\windows\system32\MpSigStub.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{361472F4-72F4-3614-F472-1436F4721436}]
    2010-12-21 16:17 733184 ----a-w- c:\windows\System32\alkA673.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-03-10 1232896]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
    "ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-08-09 221184]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
    "OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-05-24 71176]
    "SunJavaUpdateReg"="c:\windows\system32\jureg.exe" [2007-04-07 54936]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
    "ORAHSSSessionManager"="c:\program files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe" [2009-08-24 135920]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
    "Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "Launcher"="c:\windows\SMINST\launcher.exe" [2007-04-03 44168]

    c:\users\berger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    2;2 reqjtsby;RDP Encoder Mirror Support;c:\windows\System32\svchost.exe [x]
    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-11-26 136176]
    R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
    R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2009-08-24 28224]
    S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]


    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - xrwde

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    reqjtsby
    .
    Contenu du dossier 'Tâches planifiées'

    2010-12-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-11-26 15:26]

    2010-12-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-11-26 15:26]

    2010-12-23 c:\windows\Tasks\User_Feed_Synchronization-{D2E11D23-B1A6-4DC0-B2A1-6640B0611C66}.job
    - c:\windows\system32\msfeedssync.exe [2010-07-12 04:30]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.orange.fr/
    uDefault_Search_URL = hxxp://www.google.com
    uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-04206471363191...{searchTerms}
    mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=74&bd=Presario&pf=desktop
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    Trusted Zone: chat-land.org
    FF - ProfilePath - c:\users\berger\AppData\Roaming\Mozilla\Firefox\Profiles\ftflm3qo.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://www.cherche.us/Result.php?cx=partner-pub-04206471363191...
    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    FF - Ext: AnyColor: anycolor.pavlos256@gmail.com - %profile%\extensions\anycolor.pavlos256@gmail.com
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    FF - Ext: UnPlug: unplug@compunach - %profile%\extensions\unplug@compunach
    FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-NWEReboot - (no file)
    HKLM-Run-EdenFlirt - c:\program files\Eden Flirt\EdenFlirt.exe
    AddRemove-Everest Poker - c:\program files\Everest Poker\cstart.exe



    **************************************************************************
    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés:

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\xrwde]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:00000000

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:00000000
    .
    Heure de fin: 2010-12-23 14:46:31
    ComboFix-quarantined-files.txt 2010-12-23 13:46

    Avant-CF: 182,186,897,408 octets libres
    Après-CF: 181,380,927,488 octets libres

    - - End Of File - - BDF79296231C27869E663877D0A02538
    28 Décembre 2010 22:02:29

    Bonsoir

    Citation :
    c:\program files\Enigma Software Group

    Spy hunter, c'est une arnaque pure et simple...



    1

    /!\ Déconnecte-toi, désactive ton anti-virus et ferme toutes applications en cours /!\

  • Double-clique sur AD-R situé sur ton Bureau pour le lancer.
    (Sous Vista, il faut cliquer droit sur AD-R et choisir Exécuter en tant qu'administrateur)
  • Choisis la langue F pour français.
  • Au menu principal, choisis l'option Nettoyer.

    /!\ Laisse travailler l'outil /!\

  • Poste le rapport qui apparaît à la fin (C:\Ad-Report-CLEAN.log).
    /!\ Pense à réactiver ton antivirus /!\


    2

    Copie (Ctrl+C) le texte ci-dessous :
    Driver::
    reqjtsby

    NetSvcs::
    reqjtsby


    File::
    c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP
    c:\windows\system32\alkA673.dll
    c:\windows\system32\alkA673.tmp
    c:\users\berger\errorlog.tmp
    c:\users\berger\binternet.exe



    Folder::



    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{361472F4-72F4-3614-F472-1436F4721436}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "reqjtsby"=-
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\xrwde]



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Combofix se lance, laisse toi guider..

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer
    30 Décembre 2010 14:37:41

    "Double-clique sur AD-R situé sur ton Bureau pour le lancer. "

    AD-R c'est quoi ?? j'ai pas ca moi.
    30 Décembre 2010 15:23:37

    voila le log de combo fix et sinon le pc a l'air de bien fonctionner.

    ComboFix 10-12-22.05 - berger 2010-12-30 14:59:46.3.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.2047.1173 [GMT 1:00]
    Lancé depuis: c:\users\berger\Desktop\ComboFix.exe
    Commutateurs utilisés :: c:\users\berger\Desktop\CFScript.txt
    .
    - Mode FONCTIONNALITES REDUITES -

    FILE ::
    "c:\users\berger\binternet.exe"
    "c:\users\berger\errorlog.tmp"
    "c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP"
    "c:\windows\system32\alkA673.dll"
    "c:\windows\system32\alkA673.tmp"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\users\berger\binternet.exe
    c:\users\berger\errorlog.tmp
    c:\windows\system32\alkA673.dll
    c:\windows\system32\alkA673.tmp

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-11-28 au 2010-12-30 ))))))))))))))))))))))))))))))))))))
    .

    2010-12-30 14:01 . 2010-12-30 14:01 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-12-30 09:56 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{21C7BD05-24A9-474C-880D-A753EDAE3EE6}\mpengine.dll
    2010-12-29 09:46 . 2010-12-29 09:46 -------- d-----w- c:\program files\Common Files\Adobe
    2010-12-29 09:38 . 2010-11-29 09:41 35136 ----a-w- c:\program files\Mozilla Firefox\plugins\np_gp.dll
    2010-12-29 09:38 . 2010-12-30 09:39 -------- d-----w- c:\programdata\NOS
    2010-12-29 09:38 . 2010-12-29 09:38 -------- d-----w- c:\program files\NOS
    2010-12-27 14:33 . 2010-12-27 14:33 -------- d-----w- c:\program files\iPod
    2010-12-27 14:32 . 2010-12-27 14:34 -------- d-----w- c:\program files\iTunes
    2010-12-23 13:46 . 2010-12-30 14:02 -------- d-----w- c:\users\berger\AppData\Local\temp
    2010-12-21 21:24 . 2010-12-21 21:24 -------- d-----w- c:\program files\Enigma Software Group
    2010-12-21 21:24 . 2010-12-21 22:02 -------- d-----w- c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP
    2010-12-21 19:25 . 2010-12-21 19:25 -------- d-----w- c:\users\berger\AppData\Roaming\Malwarebytes
    2010-12-21 19:25 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-12-21 19:25 . 2010-12-21 19:25 -------- d-----w- c:\programdata\Malwarebytes
    2010-12-21 19:25 . 2010-12-21 20:02 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-12-21 19:25 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-12-21 18:36 . 2010-12-22 00:14 -------- d-----w- c:\program files\ZHPDiag
    2010-12-21 16:12 . 2010-12-21 16:12 -------- d-----w- c:\windows\Sun
    2010-12-13 19:09 . 2010-12-13 19:11 -------- d-----w- c:\users\berger\AppData\Roaming\vlc

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-11-29 16:38 . 2010-11-29 16:38 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
    2010-11-29 16:38 . 2010-11-29 16:38 69632 ----a-w- c:\windows\system32\QuickTime.qts
    2010-10-19 09:41 . 2009-10-03 03:15 222080 ------w- c:\windows\system32\MpSigStub.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-03-10 1232896]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
    "ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-08-09 221184]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-12-29 39408]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
    "OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-05-24 71176]
    "SunJavaUpdateReg"="c:\windows\system32\jureg.exe" [2007-04-07 54936]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "ORAHSSSessionManager"="c:\program files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe" [2009-08-24 135920]
    "Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "Launcher"="c:\windows\SMINST\launcher.exe" [2007-04-03 44168]

    c:\users\berger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-11-26 136176]
    R2 reqjtsby;RDP Encoder Mirror Support;c:\windows\System32\svchost.exe [2006-11-02 22016]
    R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
    R3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe [2006-11-02 22016]
    R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2009-08-24 28224]
    S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]


    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - xrwde

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper
    .
    Contenu du dossier 'Tâches planifiées'

    2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-11-26 15:26]

    2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-11-26 15:26]

    2010-12-29 c:\windows\Tasks\User_Feed_Synchronization-{D2E11D23-B1A6-4DC0-B2A1-6640B0611C66}.job
    - c:\windows\system32\msfeedssync.exe [2010-07-12 04:30]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.orange.fr/
    uDefault_Search_URL = hxxp://www.google.com
    uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-04206471363191...{searchTerms}
    mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=74&bd=Presario&pf=desktop
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
    Trusted Zone: chat-land.org
    FF - ProfilePath - c:\users\berger\AppData\Roaming\Mozilla\Firefox\Profiles\ftflm3qo.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://www.cherche.us/Result.php?cx=partner-pub-04206471363191...
    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    FF - Ext: AnyColor: anycolor.pavlos256@gmail.com - %profile%\extensions\anycolor.pavlos256@gmail.com
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    FF - Ext: UnPlug: unplug@compunach - %profile%\extensions\unplug@compunach
    FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-12-30 15:02
    Windows 6.0.6000 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\xrwde]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:00000000

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:00000000
    .
    Heure de fin: 2010-12-30 15:06:20
    ComboFix-quarantined-files.txt 2010-12-30 14:06
    ComboFix2.txt 2010-12-23 13:46

    Avant-CF: 182,298,550,272 octets libres
    Après-CF: 182,267,183,104 octets libres

    - - End Of File - - 4D16752D81401319680C2264D9F692FB


    Est ce que tout est normal ?
    31 Décembre 2010 13:17:33

    Il se passe un truc bizarre:

    après avoir suivie l'étape 2 je n'ai plus de lag sur les lectures audio et vidéo (par contre j'ai plus de connexion internet) après un redémarrage ma connexion est a nouveau ok mais mes lag reviennent.
    1 Janvier 2011 11:45:44

    Bonjour

    1


  • Télécharge Ad-Remover (de Cyrildu17 / C_XX) sur ton Bureau.
  • Déconnecte-toi et ferme toutes applications en cours.
  • Double-clique sur AD-R situé sur ton Bureau pour le lancer.
  • Choisis Nettoyer puis valide.
  • Poste le rapport qui apparaît à la fin (C:\Ad-Report-CLEAN.log).

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    2

    Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
    Voir le tutorial GMER, ça peut peut-être t'aider : http://www.malekal.com/tutorial_GMER.php

  • Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
  • Double-clique sur le fichier GMER téléchargé.
    IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
  • Clique sur l'onglet "rootkit"
  • A droite, coche tout.
  • Clique maintenant sur Scan.
  • Lorsque le scan est terminé, clique sur Copy.
  • Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
    Le rapport doit alors apparaître.
  • Enregistre le fichier sur ton Bureau et poste le contenu ici.
    1 Janvier 2011 14:26:22

    voila le scan de ad-r:

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 22/12/10 à 11:40
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:57:32 le 01/01/2011, Mode normal

    Microsoft® Windows Vista™ Édition Familiale Premium (X86)
    berger@PC-DE-BERGER (Compaq-Presario GN739AA-ABF SR5208FR)

    ============== ACTION(S) ==============


    Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
    Fichier supprimé: C:\Users\berger\AppData\Roaming\Mozilla\FireFox\Profiles\ftflm3qo.default\searchplugins\cherche.xml
    Fichier supprimé: C:\Users\berger\scriptjava.html
    Fichier supprimé: C:\Users\berger\tmp1.7
    Fichier supprimé: C:\Users\Public\Desktop\Everest Poker.fr.lnk

    (!) -- Fichiers temporaires supprimés.


    -- Fichier ouvert: C:\Users\berger\AppData\Roaming\Mozilla\FireFox\Profiles\ftflm3qo.default\Prefs.js --
    Ligne supprimée:
    Ligne supprimée:
    Ligne supprimée: user_pref("keyword.URL", "hxxp://www.cherche.us/Result.php?cx=partner-pub-04206471363191......
    -- Fichier Fermé --


    Clé supprimée: HKCU\Software\Grand Virtual
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{D093C716-901E-4A2E-A561-7E54AE9E0D46}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{D093C716-901E-4A2E-A561-7E54AE9E0D46}
    Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom


    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.0.19 (fr)] **

    -- C:\Users\berger\AppData\Roaming\Mozilla\FireFox\Profiles\ftflm3qo.default\Prefs.js --
    browser.download.dir, C:\\Users\\berger\\Downloads
    browser.download.lastDir, C:\\Users\\berger\\Desktop
    browser.startup.homepage, hxxp://www.google.fr/
    browser.startup.homepage_override.mstone, rv:1.9.0.19

    ========================================

    ** Internet Explorer Version [8.0.6001.18928] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 5 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 01/01/2011 (3235 Octet(s))

    Fin à: 13:58:38, 01/01/2011

    ============== E.O.F ==============


    Je n'ai pas eu celui de gmer, le pc a redemarré et je n'avais pas de rapport.
    C'est bizarre, la solution doit etre dans ce que tu m'as donné à coller dans combofix parce qu'a chaque fois que je fais ca, le pc marche nikel apres, plus de lag par contre il suffit que je redemarre pour que ca revienne.
    1 Janvier 2011 19:16:04

    re
    je sais bien qu'il y a un souci, look:
    Citation :

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\xrwde]

    cette clé revient alors que je l'ai mis dans mon script.

    Il me faut le rapport GMER. Le rootkit est *Deregistered* - xrwde mais il colle.

    Tu réessaies gmer, si ça marche pas:
    Télécharge RootRepeal
    http://rootrepeal.googlepages.com/RootRepeal.zip

    Déconnecte la machine d'Internet.
    Dézippe sur le bureau (Unzip ou extraire tout...).
    Désactive tes programmes de sécurité ( Pare-Feu, anti-spyware, anti-virus).
    Double clic sur RootRepeal.exe
    Une fenêtre s'ouvre,choisis dans les onglets en bas Report.
    Clic Scan ,Coche les 6 cases, clic Ok
    Coche C:\ puis Ok
    Le scan se lance, une fois fini clic sur Save Report.
    Sauve le rapport sur le bureau.
    Réactive tes logiciels de protections et relance Internet.
    Copie/Colle le rapport dans ta prochaine réponse.


    Citation :
    C'est bizarre, la solution doit etre dans ce que tu m'as donné à coller dans combofix parce qu'a chaque fois que je fais ca, le pc marche nikel apres, plus de lag par contre il suffit que je redemarre pour que ca revienne.


    Ne fais plus de passes avec ComboFix, sans que je te le demande, tu risques d'avoir des soucis... :o 
    2 Janvier 2011 13:08:51

    j'avais reessayé Gmer mais ca avait planté. je reessaye et sinon j'essaye l'autre.

    ok pour combo fix mais c'est tellement agréable apres son passage lol
    2 Janvier 2011 14:17:28

    Voila; Gmer a marché. (j'etais peut etre pas deconnecté la premiere fois)
    voila son log

    GMER 1.0.15.15530 - http://www.gmer.net
    Rootkit scan 2011-01-02 14:08:34
    Windows 6.0.6000 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 WDC_WD3200AAJS-65RYA0 rev.12.01B01
    Running: k1397jxh.exe; Driver: C:\Users\berger\AppData\Local\Temp\kwlyikog.sys


    ---- Kernel code sections - GMER 1.0.15 ----

    ? System32\Drivers\xrwde.sys Un périphérique attaché au système ne fonctionne pas correctement. !
    ? C:\Users\berger\AppData\Local\Temp\catchme.sys Le fichier spécifié est introuvable. !
    ? C:\Windows\system32\Drivers\PROCEXP113.SYS Le fichier spécifié est introuvable. !

    ---- Devices - GMER 1.0.15 ----

    Device \FileSystem\Ntfs \Ntfs 87E300B8

    ---- Services - GMER 1.0.15 ----

    Service (*** hidden *** ) [BOOT] xrwde <-- ROOTKIT !!!

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwde@orqlkjis -673299314
    Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwde@Type 1
    Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwde@Start 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwde@ErrorControl 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwde@Group Boot Bus Extender
    Reg HKLM\SYSTEM\ControlSet002\Services\xrwde@orqlkjis -673299314
    Reg HKLM\SYSTEM\ControlSet002\Services\xrwde@Type 1
    Reg HKLM\SYSTEM\ControlSet002\Services\xrwde@Start 0
    Reg HKLM\SYSTEM\ControlSet002\Services\xrwde@ErrorControl 0
    Reg HKLM\SYSTEM\ControlSet002\Services\xrwde@Group Boot Bus Extender

    ---- EOF - GMER 1.0.15 ----

    Et c'est quoi finalement ce truc ? pourquoi ca me fait lager comme ca ?
    2 Janvier 2011 20:58:01

    gilloux_1 a dit :
    Et c'est quoi finalement ce truc ? pourquoi ca me fait lager comme ca ?

    Un rootkit, il fallait que je le vois dans son ensemble. ;O)

    ++++++++++

    Copie (Ctrl+C) le texte ci-dessous :
    KillAll::

    Rootkit::
    C:\Windows\System32\Drivers\xrwde.sys

    Driver::
    xrwde

    Registry::
    [-HKLM\SYSTEM\CurrentControlSet\Services\xrwde]
    [-HKLM\SYSTEM\ControlSet002\Services\xrwde]



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Combofix se lance, laisse toi guider..

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer
    3 Janvier 2011 15:49:24

    ok donc c'est bon j'ai repassé combo, grosse frayeur après parce que quand je cliquais sur quoique ce soit ca me mettais un message d'erreur en me disant un truc comme quoi la clé de registre était marquée de suppression. Mais apres redemarrage ca à l'air de bien fonctioner, pas de lag.

    Voici le log:

    ComboFix 11-01-02.04 - berger 03/01/2011 16:00:33.10.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.2047.1118 [GMT 1:00]
    Lancé depuis: c:\users\berger\Desktop\ComboFix.exe
    Commutateurs utilisés :: c:\users\berger\Desktop\CFScript.txt
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_XRWDE
    -------\Service_xrwde


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-12-03 au 2011-01-03 ))))))))))))))))))))))))))))))))))))
    .

    2011-01-03 15:07 . 2011-01-03 15:15 -------- d-----w- c:\users\berger\AppData\Local\temp
    2011-01-03 15:07 . 2011-01-03 15:07 -------- d-----w- c:\users\Default\AppData\Local\temp
    2011-01-01 16:07 . 2011-01-02 12:03 -------- d-----w- c:\users\berger\AppData\Roaming\vlc
    2011-01-01 12:57 . 2011-01-01 12:57 -------- d-----w- c:\program files\Ad-Remover
    2010-12-31 08:44 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{8252B101-F1DF-40CA-B2C0-D1C426E23164}\mpengine.dll
    2010-12-29 09:46 . 2010-12-29 09:46 -------- d-----w- c:\program files\Common Files\Adobe
    2010-12-29 09:38 . 2010-11-29 09:41 35136 ----a-w- c:\program files\Mozilla Firefox\plugins\np_gp.dll
    2010-12-29 09:38 . 2010-12-30 09:39 -------- d-----w- c:\programdata\NOS
    2010-12-29 09:38 . 2010-12-29 09:38 -------- d-----w- c:\program files\NOS
    2010-12-27 14:33 . 2010-12-27 14:33 -------- d-----w- c:\program files\iPod
    2010-12-27 14:32 . 2010-12-27 14:34 -------- d-----w- c:\program files\iTunes
    2010-12-21 21:24 . 2010-12-21 21:24 -------- d-----w- c:\program files\Enigma Software Group
    2010-12-21 21:24 . 2010-12-21 22:02 -------- d-----w- c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP
    2010-12-21 19:25 . 2010-12-21 19:25 -------- d-----w- c:\users\berger\AppData\Roaming\Malwarebytes
    2010-12-21 19:25 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-12-21 19:25 . 2010-12-21 19:25 -------- d-----w- c:\programdata\Malwarebytes
    2010-12-21 19:25 . 2010-12-21 20:02 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-12-21 19:25 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-12-21 18:36 . 2010-12-22 00:14 -------- d-----w- c:\program files\ZHPDiag
    2010-12-21 16:12 . 2010-12-21 16:12 -------- d-----w- c:\windows\Sun
    2010-12-21 16:01 . 2011-01-03 15:09 763392 ----a-w- c:\windows\system32\drivers\xrwde.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-11-29 16:38 . 2010-11-29 16:38 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
    2010-11-29 16:38 . 2010-11-29 16:38 69632 ----a-w- c:\windows\system32\QuickTime.qts
    2010-10-19 09:41 . 2009-10-03 03:15 222080 ------w- c:\windows\system32\MpSigStub.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-03-10 1232896]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
    "ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-08-09 221184]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
    "OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-05-24 71176]
    "SunJavaUpdateReg"="c:\windows\system32\jureg.exe" [2007-04-07 54936]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "ORAHSSSessionManager"="c:\program files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe" [2009-08-24 135920]
    "Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]

    c:\users\berger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-11-26 136176]
    R2 reqjtsby;RDP Encoder Mirror Support;c:\windows\System32\svchost.exe [2006-11-02 22016]
    R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
    R3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe [2006-11-02 22016]
    R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2009-08-24 28224]
    S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]


    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper
    .
    Contenu du dossier 'Tâches planifiées'

    2011-01-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-11-26 15:26]

    2011-01-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-11-26 15:26]

    2011-01-02 c:\windows\Tasks\User_Feed_Synchronization-{D2E11D23-B1A6-4DC0-B2A1-6640B0611C66}.job
    - c:\windows\system32\msfeedssync.exe [2010-07-12 04:30]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://orange.fr/
    uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-04206471363191...{searchTerms}
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
    Trusted Zone: chat-land.org
    FF - ProfilePath - c:\users\berger\AppData\Roaming\Mozilla\Firefox\Profiles\ftflm3qo.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    FF - Ext: AnyColor: anycolor.pavlos256@gmail.com - %profile%\extensions\anycolor.pavlos256@gmail.com
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    FF - Ext: UnPlug: unplug@compunach - %profile%\extensions\unplug@compunach
    FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-01-03 16:15
    Windows 6.0.6000 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:00000000

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:00000000
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\Ati2evxx.exe
    c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    c:\program files\Common Files\LightScribe\LSSrvc.exe
    c:\windows\system32\conime.exe
    c:\windows\System32\rundll32.exe
    c:\windows\RtHDVCpl.exe
    c:\program files\OpenOffice.org 3\program\soffice.exe
    c:\program files\OpenOffice.org 3\program\soffice.bin
    c:\windows\ehome\ehmsas.exe
    c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\windows\system32\rundll32.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-01-03 16:22:08 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-01-03 15:22
    ComboFix2.txt 2011-01-01 15:40
    ComboFix3.txt 2011-01-01 14:32
    ComboFix4.txt 2011-01-01 13:40
    ComboFix5.txt 2011-01-03 14:55

    Avant-CF: 183 123 623 936 octets libres
    Après-CF: 182 374 334 464 octets libres

    - - End Of File - - ECE904970D35445E8E1E3804921D76E5

    Mais quel est le but d'un rootkit ? juste de faire chier comme un virus ?
    3 Janvier 2011 21:14:08

    gilloux_1 a dit :


    Mais quel est le but d'un rootkit ? juste de faire chier comme un virus ?

    c'est bubnix:

    http://www.malekal.com/2010/11/12/supprimer-rkitbubnix-...

    mais il y a un truc qui me plait moyen:

    Citation :
    2010-12-21 16:01 . 2011-01-03 15:09 763392 ----a-w- c:\windows\system32\drivers\xrwde.sys

    Je me demande s'il est pas reviendu :o 
    avant de sortir le bazooka, tu vas refaire un scan GMER et poster le rapport. :) 
    (j'aurai l'outil pour le virer mais je l'utilise que quand c'est indispensable)
    4 Janvier 2011 02:04:14

    j'ai repassé GMER mais il ne me donne pas de log juste un message dans une fenêtre comme quoi il a" has found't modification systeme" donc a priori ca serait bon ? il y a une autre façon de vérifier ?
    pourquoi tu hésites a utiliser l'outil ? c'est dangereux pour le système ?
    4 Janvier 2011 18:39:27

    J'ai bien peur que mes lag soit revenu donc comme tu le pensais il n'a pas du etre éliminé complètement.
    J'ai essayé de repassé GMER mais ce programme me cause pas mal de problème (bug, redemarrage) il n'y a pas un autre programme pour faire le meme boulot ?
    5 Janvier 2011 10:08:39

    Bonjour
    On va l'avoir...

    Telecharge:: http://swandog46.geekstogo.com/avenger2/download.php
    http://swandog46.geekstogo.com/avenger2/avenger.zip

    • dezippe le , Lance le , executer en tant qu'administrateur sous vista



    Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:


    begin copying here:
    Drivers to delete:
    xrwde
    Files to delete:
    C:\Windows\System32\Drivers\xrwde.sys


    * Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    * The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip protégé par mot de passe ici : C:\avenger\backup.zip
    5 Janvier 2011 16:46:34

    j'ai fais ce que tu m'as dit mais le pc n'a pas pu redémarrer, il a lancer une réparation du système pour pouvoir redémarrer. Encore un bon coup de flip.
    Apres le redémarrage plus de trace de Avenger. J'hésite à recommencer l'opération.
    Je fais quoi ?
    5 Janvier 2011 17:51:07

    Alors j'ai testé une deuxième fois:
    il a mis un peu de temps a redémarrer, il a mis une page noir avec une fenêtre noir c:\cleanup.exe pendant un moment puis a fini par démarrer et me donner ce log:

    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows Vista

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!


    Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\xrwde" not found!
    Deletion of driver "xrwde" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    File "C:\Windows\System32\Drivers\xrwde.sys" deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.

    Ca semble rassurant, le probleme c'est que j'essaye de lancer une vidéo et là et bien elle lag à donf donc quelque chose me dit qu'il est toujours là.
    5 Janvier 2011 18:41:21

    Bonsoir
    bon, on va pas faire souffrir ton pc davantage....
    On va faire tout à l'aide d'un CD live. Vu que tu sembles te débrouiller, tu va voir, c'est hyper simple si tu suis la procédure:


    Télécharge OTLPENet.
    Prépare un CD vierge et lance OTLPENet, cela va te permettre de graver une image iso.
    Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
    Pour se faire suivre ce lien : Booter sur un CD.
    Tuto OTLPE

    Tu lances l'iso d'OTLPENet que tu as gravé.
  • une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune

  • Double-clique sur l'icone OTLPE
  • quand demandé "Do you wish to load the remote registry", select Yes
  • quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
  • vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK



  • sous Custom Scan box
    1 copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    spoolsv.exe
    alg.exe
    ctfmon.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav


  • copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
  • 2 Clic Run Scan pour démarrer le scan.
  • Une fois terminé , le fichier se trouve là C:\OTL.txt
  • Copie_colle le contenu dans ta prochaine réponse.

    +++++++++++++++++++++++++++++++++++
    5 Janvier 2011 19:00:31

    Avant de voir ton message j'avais essayé de repasser GMER, il a figé j'ai donc du coupé le pc. Mais deux chose qui on peut etre un interet:

    1/ avant de figé sur la premiere ligne pendant qu'il scanait il y avait: "dxnklq.sys" avec à coté "le chemin d'accès specifié est introuvable." je ne sais pas si cela a un interet.

    2/ ensuite GMER a figé j'ai redemarré le pc et depuis il n'a pas l'air de lagué. d'ailleur C:\Windows\System32\Drivers\xrwde.sys est introuvable.

    est ce qu'il y a une facon de voir si je suis vraiment encore infecté ?
    5 Janvier 2011 19:05:43

    re
    si tu me dis que le pc lag encore, c'est que tu es encore infecté... :D 

    fais les manip avec le cd live, on verra aussitôt...
    6 Janvier 2011 14:23:51

    -Une question, pourquoi Avenger et GMER me font planter comme ca ?

    -Une deuxième question, quand je lance OTLPE après démarrage sur le disc, une fenêtre s'ouvre: "browse for folder" en dessous est écrit: "choose windows directory" et il veut que je lui indique le chemin mais je dois lui indiqué quoi comme fichier ??
    Lui indiquer COMPAQ (c: )
    6 Janvier 2011 20:43:39

    bonsoir
    tu choisis: C:\Windows

    Citation :
    -Une question, pourquoi Avenger et GMER me font planter comme ca ?

    C'est ton infection qui les fait planter...
    6 Janvier 2011 21:12:36

    je vais réessayer mais il me semble qu'il entre dans le dossier et que rien ne se passe comme si je devais encore choisir un fichier dans le dossier etc...etc... tu comprends ?
    6 Janvier 2011 21:23:13

    oui, ça m'est déjà arrivé une fois sur un pc d'usine :/ 
    7 Janvier 2011 01:12:30

    Voila c'est bon, effectivement il rentrait dans le dossier windows mais si je cliquais quand il était selectionné ca lancais la bête contrairement à si j'avais simplement sélectionné le disque c:
    Donc voila le log que ca m'a donné:

    OTL logfile created on: 1/6/2011 11:46:22 PM - Run
    OTLPE by OldTimer - Version 3.1.44.0 Folder = X:\Programs\OTLPE
    Windows Vista (TM) Home Premium (Version = 6.0.6000) - Type = System
    Internet Explorer (Version = 8.0.6001.18928)
    Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

    2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 84.00% Memory free
    2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
    Paging file location(s): ?:\pagefile.sys [binary data]

    %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
    Drive C: | 290.83 Gb Total Space | 170.48 Gb Free Space | 58.62% Space Free | Partition Type: NTFS
    Drive D: | 245.60 Mb Total Space | 245.57 Mb Free Space | 99.99% Space Free | Partition Type: FAT
    Drive J: | 7.25 Gb Total Space | 0.94 Gb Free Space | 12.92% Space Free | Partition Type: NTFS
    Drive X: | 436.55 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

    Computer Name: REATOGO | User Name: SYSTEM
    Boot Mode: Normal | Scan Mode: All users
    Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
    Using ControlSet: ControlSet001

    ========== Win32 Services (SafeList) ==========

    SRV - File not found [Auto] -- -- (reqjtsby)
    SRV - [2010/11/29 04:41:26 | 000,058,944 | ---- | M] (NOS Microsystems Ltd.) [On_Demand] -- C:\Program Files\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
    SRV - [2010/10/15 18:40:40 | 000,037,664 | ---- | M] (Apple Inc.) [Auto] -- C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
    SRV - [2009/08/24 05:22:34 | 000,069,632 | ---- | M] (France Telecom SA) [Auto] -- C:\Program Files\Common Files\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe -- (FTRTSVC)
    SRV - [2009/01/26 08:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto] -- C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService)
    SRV - [2007/08/21 12:47:36 | 000,265,912 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)


    ========== Driver Services (SafeList) ==========

    DRV - File not found [Kernel | System] -- -- (SKUOC1s9.sys)
    DRV - File not found [Kernel | On_Demand] -- -- (NwlnkFwd)
    DRV - File not found [Kernel | On_Demand] -- -- (NwlnkFlt)
    DRV - File not found [Kernel | On_Demand] -- -- (IpInIp)
    DRV - File not found [Kernel | On_Demand] -- -- (esgiguard)
    DRV - File not found [Kernel | On_Demand] -- -- (catchme)
    DRV - File not found [Kernel | On_Demand] -- -- (adiusbaw)
    DRV - File not found [Kernel | Auto] -- -- (ADILOADER) General Purpose USB Driver (adildr.sys)
    DRV - [2009/08/24 05:22:32 | 000,028,224 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\Windows\System32\drivers\PCAMp50.sys -- (PCAMp50)
    DRV - [2009/08/24 05:22:32 | 000,027,072 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\Windows\System32\drivers\PCASp50.sys -- (PCASp50)
    DRV - [2008/09/29 15:19:25 | 000,005,632 | ---- | M] () [File_System | System] -- C:\Windows\System32\drivers\StarOpen.sys -- (StarOpen)
    DRV - [2007/07/11 05:21:00 | 001,793,880 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\RTKVHDA.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
    DRV - [2007/07/09 19:35:38 | 002,769,408 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
    DRV - [2007/05/02 04:12:36 | 000,109,704 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ssm_mdm.sys -- (ssm_mdm)
    DRV - [2007/05/02 04:12:36 | 000,015,112 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ssm_mdfl.sys -- (ssm_mdfl)
    DRV - [2007/05/02 04:12:34 | 000,083,592 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ssm_bus.sys -- (ssm_bus) SAMSUNG Mobile USB Device II 1.0 driver (WDM)
    DRV - [2007/03/05 16:28:00 | 000,076,288 | ---- | M] (Realtek Corporation ) [Kernel | On_Demand] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169)
    DRV - [2006/11/02 04:51:45 | 000,900,712 | ---- | M] (QLogic Corporation) [Kernel | Disabled] -- C:\Windows\system32\drivers\ql2300.sys -- (ql2300)
    DRV - [2006/11/02 04:51:38 | 000,420,968 | ---- | M] (Adaptec, Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\adp94xx.sys -- (adp94xx)
    DRV - [2006/11/02 04:51:34 | 000,316,520 | ---- | M] (Emulex) [Kernel | Disabled] -- C:\Windows\system32\drivers\elxstor.sys -- (elxstor)
    DRV - [2006/11/02 04:51:32 | 000,297,576 | ---- | M] (Adaptec, Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\adpahci.sys -- (adpahci)
    DRV - [2006/11/02 04:51:25 | 000,235,112 | ---- | M] (ULi Electronics Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\uliahci.sys -- (uliahci)
    DRV - [2006/11/02 04:51:25 | 000,232,040 | ---- | M] (Intel Corporation) [Kernel | Disabled] -- C:\Windows\system32\drivers\iastorv.sys -- (iaStorV)
    DRV - [2006/11/02 04:51:00 | 000,147,048 | ---- | M] (Adaptec, Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\adpu320.sys -- (adpu320)
    DRV - [2006/11/02 04:50:45 | 000,115,816 | ---- | M] (Promise Technology, Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\ulsata2.sys -- (ulsata2)
    DRV - [2006/11/02 04:50:41 | 000,112,232 | ---- | M] (VIA Technologies Inc.,Ltd) [Kernel | Disabled] -- C:\Windows\system32\drivers\vsmraid.sys -- (vsmraid)
    DRV - [2006/11/02 04:50:35 | 000,106,088 | ---- | M] (QLogic Corporation) [Kernel | Disabled] -- C:\Windows\system32\drivers\ql40xx.sys -- (ql40xx)
    DRV - [2006/11/02 04:50:35 | 000,098,408 | ---- | M] (Promise Technology, Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\ulsata.sys -- (UlSata)
    DRV - [2006/11/02 04:50:35 | 000,098,408 | ---- | M] (Adaptec, Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\adpu160m.sys -- (adpu160m)
    DRV - [2006/11/02 04:50:24 | 000,088,680 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled] -- C:\Windows\system32\drivers\nvraid.sys -- (nvraid)
    DRV - [2006/11/02 04:50:19 | 000,045,160 | ---- | M] (IBM Corporation) [Kernel | Disabled] -- C:\Windows\system32\drivers\nfrd960.sys -- (nfrd960)
    DRV - [2006/11/02 04:50:17 | 000,041,576 | ---- | M] (Intel Corp./ICP vortex GmbH) [Kernel | Disabled] -- C:\Windows\system32\drivers\iirsp.sys -- (iirsp)
    DRV - [2006/11/02 04:50:16 | 000,071,784 | ---- | M] (Silicon Integrated Systems) [Kernel | Disabled] -- C:\Windows\system32\drivers\sisraid4.sys -- (SiSRaid4)
    DRV - [2006/11/02 04:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled] -- C:\Windows\system32\drivers\nvstor.sys -- (nvstor)
    DRV - [2006/11/02 04:50:11 | 000,071,272 | ---- | M] (Adaptec, Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\djsvs.sys -- (aic78xx)
    DRV - [2006/11/02 04:50:10 | 000,067,688 | ---- | M] (Adaptec, Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\arcsas.sys -- (arcsas)
    DRV - [2006/11/02 04:50:10 | 000,065,640 | ---- | M] (LSI Logic) [Kernel | Disabled] -- C:\Windows\system32\drivers\lsi_scsi.sys -- (LSI_SCSI)
    DRV - [2006/11/02 04:50:10 | 000,038,504 | ---- | M] (Silicon Integrated Systems Corp.) [Kernel | Disabled] -- C:\Windows\system32\drivers\sisraid2.sys -- (SiSRaid2)
    DRV - [2006/11/02 04:50:10 | 000,037,480 | ---- | M] (Hewlett-Packard Company) [Kernel | Disabled] -- C:\Windows\system32\drivers\hpcisss.sys -- (HpCISSs)
    DRV - [2006/11/02 04:50:09 | 000,067,688 | ---- | M] (Adaptec, Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\arc.sys -- (arc)
    DRV - [2006/11/02 04:50:09 | 000,035,944 | ---- | M] (Integrated Technology Express, Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\iteraid.sys -- (iteraid)
    DRV - [2006/11/02 04:50:07 | 000,035,944 | ---- | M] (Integrated Technology Express, Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\iteatapi.sys -- (iteatapi)
    DRV - [2006/11/02 04:50:05 | 000,065,640 | ---- | M] (LSI Logic) [Kernel | Disabled] -- C:\Windows\system32\drivers\lsi_sas.sys -- (LSI_SAS)
    DRV - [2006/11/02 04:50:05 | 000,035,944 | ---- | M] (LSI Logic) [Kernel | Disabled] -- C:\Windows\system32\drivers\symc8xx.sys -- (Symc8xx)
    DRV - [2006/11/02 04:50:04 | 000,065,640 | ---- | M] (LSI Logic) [Kernel | Disabled] -- C:\Windows\system32\drivers\lsi_fc.sys -- (LSI_FC)
    DRV - [2006/11/02 04:50:03 | 000,034,920 | ---- | M] (LSI Logic) [Kernel | Disabled] -- C:\Windows\system32\drivers\sym_u3.sys -- (Sym_u3)
    DRV - [2006/11/02 04:49:59 | 000,033,384 | ---- | M] (LSI Logic Corporation) [Kernel | Disabled] -- C:\Windows\system32\drivers\mraid35x.sys -- (Mraid35x)
    DRV - [2006/11/02 04:49:56 | 000,031,848 | ---- | M] (LSI Logic) [Kernel | Disabled] -- C:\Windows\system32\drivers\sym_hi.sys -- (Sym_hi)
    DRV - [2006/11/02 04:49:53 | 000,028,776 | ---- | M] (LSI Logic Corporation) [Kernel | Disabled] -- C:\Windows\system32\drivers\megasas.sys -- (megasas)
    DRV - [2006/11/02 04:49:30 | 000,017,512 | ---- | M] (VIA Technologies, Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\viaide.sys -- (viaide)
    DRV - [2006/11/02 04:49:28 | 000,016,488 | ---- | M] (CMD Technology, Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\cmdide.sys -- (cmdide)
    DRV - [2006/11/02 04:49:20 | 000,014,952 | ---- | M] (Acer Laboratories Inc.) [Kernel | Disabled] -- C:\Windows\system32\drivers\aliide.sys -- (aliide)
    DRV - [2006/11/02 03:25:24 | 000,071,808 | ---- | M] (Brother Industries Ltd.) [Kernel | Disabled] -- C:\Windows\system32\drivers\brserid.sys -- (Brserid) Brother MFC Serial Port Interface Driver (WDM)
    DRV - [2006/11/02 03:24:47 | 000,011,904 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand] -- C:\Windows\system32\drivers\brusbser.sys -- (BrUsbSer)
    DRV - [2006/11/02 03:24:46 | 000,005,248 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand] -- C:\Windows\system32\drivers\brfiltup.sys -- (BrFiltUp)
    DRV - [2006/11/02 03:24:45 | 000,013,568 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand] -- C:\Windows\system32\drivers\brfiltlo.sys -- (BrFiltLo)
    DRV - [2006/11/02 03:24:44 | 000,062,336 | ---- | M] (Brother Industries Ltd.) [Kernel | Disabled] -- C:\Windows\system32\drivers\brserwdm.sys -- (BrSerWdm)
    DRV - [2006/11/02 03:24:44 | 000,012,160 | ---- | M] (Brother Industries Ltd.) [Kernel | Disabled] -- C:\Windows\system32\drivers\brusbmdm.sys -- (BrUsbMdm)
    DRV - [2006/11/02 02:36:50 | 000,020,608 | ---- | M] (N-trig Innovative Technologies) [Kernel | Disabled] -- C:\Windows\system32\drivers\ntrigdigi.sys -- (ntrigdigi)
    DRV - [2006/11/02 02:30:54 | 000,117,760 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\E1G60I32.sys -- (E1G60) Intel(R)
    DRV - [2005/01/19 04:14:38 | 000,211,712 | ---- | M] (Labtec Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\LV561AV.SYS -- (PID_0928) Labtec WebCam(PID_0928)
    DRV - [2005/01/19 04:11:16 | 000,022,016 | ---- | M] (Labtec Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\LVUSBSta.sys -- (LVUSBSta)


    ========== Standard Registry (SafeList) ==========


    ========== Internet Explorer ==========

    IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/


    IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

    IE - HKU\berger_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.cherche.us
    IE - HKU\berger_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = cherche.us
    IE - HKU\berger_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.cherche.us/Result.php?cx=partner-pub-0420647...{searchTerms}
    IE - HKU\berger_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://orange.fr/
    IE - HKU\berger_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
    IE - HKU\berger_ON_C\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\Connexion Internet Orange\SearchURLHook\SearchPageURL.dll ()
    IE - HKU\berger_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0




    ========== FireFox ==========

    FF - prefs.js..browser.startup.homepage: "http://www.google.fr/"
    FF - prefs.js..extensions.enabledItems: anycolor.pavlos256@gmail.com:0.3.0
    FF - prefs.js..extensions.enabledItems: cacaoweb@cacaoweb.org:1.0.9
    FF - prefs.js..extensions.enabledItems: delatv@detectvideo.com:0.4
    FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.1
    FF - prefs.js..extensions.enabledItems: unplug@compunach:2.023

    FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2008/04/12 15:52:58 | 000,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010/12/27 09:29:12 | 000,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/01/01 11:03:01 | 000,000,000 | ---D | M]

    [2008/09/05 13:06:28 | 000,000,000 | ---D | M] (No name found) -- C:\Users\berger\AppData\Roaming\Mozilla\Extensions
    [2011/01/06 11:56:42 | 000,000,000 | ---D | M] (No name found) -- C:\Users\berger\AppData\Roaming\Mozilla\Firefox\Profiles\ftflm3qo.default\extensions
    [2009/09/03 10:13:27 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\berger\AppData\Roaming\Mozilla\Firefox\Profiles\ftflm3qo.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    [2010/11/06 09:32:56 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\berger\AppData\Roaming\Mozilla\Firefox\Profiles\ftflm3qo.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
    [2010/11/06 09:32:55 | 000,000,000 | ---D | M] (FoxTab) -- C:\Users\berger\AppData\Roaming\Mozilla\Firefox\Profiles\ftflm3qo.default\extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}
    [2009/06/21 06:45:16 | 000,000,000 | ---D | M] (AnyColor) -- C:\Users\berger\AppData\Roaming\Mozilla\Firefox\Profiles\ftflm3qo.default\extensions\anycolor.pavlos256@gmail.com
    [2011/01/03 13:17:33 | 000,000,000 | ---D | M] (cacaoweb) -- C:\Users\berger\AppData\Roaming\Mozilla\Firefox\Profiles\ftflm3qo.default\extensions\cacaoweb@cacaoweb.org
    [2011/01/03 13:26:29 | 000,000,000 | ---D | M] ("DetecVideo") -- C:\Users\berger\AppData\Roaming\Mozilla\Firefox\Profiles\ftflm3qo.default\extensions\delatv@detectvideo.com
    [2009/09/06 14:01:45 | 000,000,000 | ---D | M] (UnPlug) -- C:\Users\berger\AppData\Roaming\Mozilla\Firefox\Profiles\ftflm3qo.default\extensions\unplug@compunach
    [2008/03/10 04:15:14 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
    [2008/09/05 13:06:23 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\talkback@mozilla.org
    [2009/12/20 08:03:51 | 000,001,516 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml
    [2009/12/20 08:03:52 | 000,000,757 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml
    [2009/12/20 08:03:51 | 000,000,748 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\MediaDICO-fr.xml
    [2009/12/20 08:03:52 | 000,001,426 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml
    [2009/12/20 08:03:52 | 000,000,652 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml

    O1 HOSTS File: ([2011/01/03 10:13:45 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
    O1 - Hosts: 127.0.0.1 localhost
    O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll (Sun Microsystems, Inc.)
    O3 - HKU\berger_ON_C\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
    O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
    O4 - HKLM..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe (Hewlett-Packard)
    O4 - HKLM..\Run: [hpsysdrv] C:\hp\support\hpsysdrv.exe (Hewlett-Packard Company)
    O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
    O4 - HKLM..\Run: [NeroFilterCheck] C:\Windows\System32\NeroCheck.exe (Ahead Software Gmbh)
    O4 - HKLM..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe (France Telecom SA)
    O4 - HKLM..\Run: [OsdMaestro] C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe (OsdMaestro)
    O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
    O4 - HKLM..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
    O4 - HKLM..\Run: [SunJavaUpdateReg] C:\Windows\System32\jureg.exe (Sun Microsystems, Inc.)
    O4 - HKU\berger_ON_C..\Run: [cacaoweb] C:\Users\berger\AppData\Roaming\cacaoweb\cacaoweb.exe ()
    O4 - HKU\berger_ON_C..\Run: [ISUSPM Startup] C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation)
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
    O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O7 - HKU\berger_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O7 - HKU\berger_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
    O7 - HKU\LocalService_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O7 - HKU\NetworkService_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O7 - HKU\systemprofile_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra 'Tools' menuitem : Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll (Sun Microsystems, Inc.)
    O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
    O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
    O24 - Desktop WallPaper:
    O24 - Desktop BackupWallPaper:
    O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
    O32 - HKLM CDRom: AutoRun - 1
    O32 - AutoRun File - [2007/08/21 03:32:31 | 000,000,074 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
    O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
    O34 - HKLM BootExecute: (autocheck autochk *) - File not found
    O35 - HKLM\..comfile [open] -- "%1" %*
    O35 - HKLM\..exefile [open] -- "%1" %*
    O37 - HKLM\...com [@ = ComFile] -- "%1" %*
    O37 - HKLM\...exe [@ = exefile] -- "%1" %*

    NetSvcs: FastUserSwitchingCompatibility - File not found
    NetSvcs: Ias - File not found
    NetSvcs: Nla - File not found
    NetSvcs: Ntmssvc - File not found
    NetSvcs: NWCWorkstation - File not found
    NetSvcs: Nwsapagent - File not found
    NetSvcs: SRService - File not found
    NetSvcs: WmdmPmSp - File not found
    NetSvcs: LogonHours - File not found
    NetSvcs: PCAudit - File not found
    NetSvcs: helpsvc - File not found
    NetSvcs: uploadmgr - File not found


    SafeBootMin: AppMgmt - File not found
    SafeBootMin: Base - Driver Group
    SafeBootMin: Boot Bus Extender - Driver Group
    SafeBootMin: Boot file system - Driver Group
    SafeBootMin: File system - Driver Group
    SafeBootMin: Filter - Driver Group
    SafeBootMin: HelpSvc - Service
    SafeBootMin: NTDS - File not found
    SafeBootMin: PCI Configuration - Driver Group
    SafeBootMin: PNP Filter - Driver Group
    SafeBootMin: Primary disk - Driver Group
    SafeBootMin: sacsvr - Service
    SafeBootMin: SCSI Class - Driver Group
    SafeBootMin: System Bus Extender - Driver Group
    SafeBootMin: WinDefend - C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
    SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
    SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
    SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
    SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
    SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
    SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
    SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
    SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
    SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
    SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
    SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
    SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
    SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
    SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
    SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
    SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
    SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices

    SafeBootNet: AppMgmt - File not found
    SafeBootNet: Base - Driver Group
    SafeBootNet: Boot Bus Extender - Driver Group
    SafeBootNet: Boot file system - Driver Group
    SafeBootNet: File system - Driver Group
    SafeBootNet: Filter - Driver Group
    SafeBootNet: HelpSvc - Service
    SafeBootNet: Messenger - Service
    SafeBootNet: NDIS Wrapper - Driver Group
    SafeBootNet: NetBIOSGroup - Driver Group
    SafeBootNet: NetDDEGroup - Driver Group
    SafeBootNet: Network - Driver Group
    SafeBootNet: NetworkProvider - Driver Group
    SafeBootNet: NTDS - File not found
    SafeBootNet: PCI Configuration - Driver Group
    SafeBootNet: PNP Filter - Driver Group
    SafeBootNet: PNP_TDI - Driver Group
    SafeBootNet: Primary disk - Driver Group
    SafeBootNet: rdsessmgr - Service
    SafeBootNet: sacsvr - Service
    SafeBootNet: SCSI Class - Driver Group
    SafeBootNet: Streams Drivers - Driver Group
    SafeBootNet: System Bus Extender - Driver Group
    SafeBootNet: TDI - Driver Group
    SafeBootNet: WinDefend - C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
    SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
    SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
    SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
    SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
    SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
    SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
    SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
    SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
    SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
    SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
    SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
    SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
    SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
    SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
    SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
    SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
    SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
    SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
    SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
    SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
    SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
    SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices

    ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
    ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} -
    ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 11.0
    ActiveX: {233C1507-6A77-46A4-9443-F871F945D258} - Adobe Shockwave Director 11.0.3
    ActiveX: {2A202491-F00D-11cf-87CC-0020AFEECF20} - Adobe Shockwave Director 11.0.3
    ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
    ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
    ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
    ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} -
    ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
    ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
    ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8
    ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
    ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
    ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
    ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
    ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
    ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
    ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
    ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings
    ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
    ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
    ActiveX: {C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD} - .NET Framework
    ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
    ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
    ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player 9 ActiveX
    ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
    ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
    ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP
    ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig
    ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

    Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
    Drivers32: MSVideo - C:\Windows\System32\vfwwdm32.dll (Microsoft Corporation)
    Drivers32: MSVideo8 - C:\Windows\System32\vfwwdm32.dll (Microsoft Corporation)
    Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.)
    Drivers32: VIDC.I420 - C:\Windows\System32\lvcodec2.dll (Labtec Inc.)
    Drivers32: VIDC.WMV3 - C:\Windows\System32\wmv9vcm.dll (Microsoft Corporation)

    ========== Files/Folders - Created Within 30 Days ==========

    [2011/01/05 16:26:43 | 000,000,000 | ---D | C] -- C:\Users\berger\Desktop\Walking Dead - Vol6
    [2011/01/05 16:26:10 | 000,000,000 | ---D | C] -- C:\Users\berger\Desktop\Walking Dead - Vol5 - 025 à 030
    [2011/01/05 16:25:37 | 000,000,000 | ---D | C] -- C:\Users\berger\Desktop\Walking Dead - Vol4 - 019 à 024
    [2011/01/05 16:24:39 | 000,000,000 | ---D | C] -- C:\Users\berger\Desktop\Walking Dead - Vol3 - 013 à 018
    [2011/01/05 16:18:56 | 000,000,000 | ---D | C] -- C:\Users\berger\Desktop\Walking Dead - Vol2 - 007 à 012
    [2011/01/05 16:16:23 | 000,000,000 | ---D | C] -- C:\Users\berger\Desktop\Walking Dead - Vol1
    [2011/01/05 13:02:21 | 127,227,083 | ---- | C] (Igor Pavlov) -- C:\Users\berger\Desktop\OTLPENet.exe
    [2011/01/05 11:39:52 | 000,000,000 | ---D | C] -- C:\Avenger
    [2011/01/05 09:11:31 | 000,000,000 | ---D | C] -- C:\Users\berger\Desktop\avenger
    [2011/01/04 12:56:44 | 000,000,000 | ---D | C] -- C:\8554094111b06c4ee8008b84d621
    [2011/01/03 13:18:27 | 000,000,000 | ---D | C] -- C:\Users\berger\AppData\Roaming\cacaoweb
    [2011/01/03 10:22:11 | 000,000,000 | ---D | C] -- C:\Windows\temp
    [2011/01/03 10:22:11 | 000,000,000 | ---D | C] -- C:\Users\berger\AppData\Local\temp
    [2011/01/03 10:20:04 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
    [2011/01/03 09:55:11 | 000,212,480 | ---- | C] (SteelWerX) -- C:\Windows\SWXCACLS.exe
    [2011/01/03 09:55:11 | 000,161,792 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
    [2011/01/03 09:55:11 | 000,136,704 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
    [2011/01/03 09:55:11 | 000,031,232 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
    [2011/01/01 11:07:17 | 000,000,000 | ---D | C] -- C:\Users\berger\AppData\Roaming\vlc
    [2011/01/01 07:57:32 | 000,000,000 | ---D | C] -- C:\Program Files\Ad-Remover
    [2010/12/29 04:46:36 | 000,000,000 | ---D | C] -- C:\Program Files\Adobe
    [2010/12/29 04:46:35 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Adobe
    [2010/12/29 04:38:00 | 000,000,000 | ---D | C] -- C:\Program Files\NOS
    [2010/12/27 09:33:15 | 000,000,000 | ---D | C] -- C:\Program Files\iPod
    [2010/12/27 09:32:54 | 000,000,000 | ---D | C] -- C:\Program Files\iTunes
    [2010/12/27 09:28:31 | 000,000,000 | ---D | C] -- C:\Program Files\QuickTime
    [2010/12/21 16:24:52 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
    [2010/12/21 16:24:02 | 000,000,000 | ---D | C] -- C:\Windows\3636C9237AD64DE3978A09609AEE8ECF.TMP
    [2010/12/21 14:25:31 | 000,000,000 | ---D | C] -- C:\Users\berger\AppData\Roaming\Malwarebytes
    [2010/12/21 14:25:26 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
    [2010/12/21 14:25:22 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
    [2010/12/21 14:25:22 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
    [2010/12/21 13:36:37 | 000,000,000 | ---D | C] -- C:\Program Files\ZHPDiag
    [2010/12/21 11:12:00 | 000,000,000 | ---D | C] -- C:\Windows\Sun
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

    ========== Files - Modified Within 30 Days ==========

    [2011/01/06 17:34:43 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
    [2011/01/06 17:31:45 | 000,000,420 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{D2E11D23-B1A6-4DC0-B2A1-6640B0611C66}.job
    [2011/01/06 17:31:00 | 000,001,054 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
    [2011/01/06 17:22:42 | 000,003,568 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
    [2011/01/06 17:22:42 | 000,003,568 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
    [2011/01/06 11:30:03 | 000,690,566 | ---- | M] () -- C:\Windows\System32\perfh00C.dat
    [2011/01/06 11:30:03 | 000,609,944 | ---- | M] () -- C:\Windows\System32\perfh009.dat
    [2011/01/06 11:30:03 | 000,117,366 | ---- | M] () -- C:\Windows\System32\perfc00C.dat
    [2011/01/06 11:30:03 | 000,103,726 | ---- | M] () -- C:\Windows\System32\perfc009.dat
    [2011/01/06 11:22:47 | 000,001,050 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
    [2011/01/05 13:45:09 | 127,227,083 | ---- | M] (Igor Pavlov) -- C:\Users\berger\Desktop\OTLPENet.exe
    [2011/01/05 08:09:35 | 000,724,952 | ---- | M] () -- C:\Users\berger\Desktop\avenger.zip
    [2011/01/03 19:10:01 | 238,091,488 | ---- | M] () -- C:\Windows\MEMORY.DMP
    [2011/01/03 10:13:45 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
    [2011/01/03 09:53:56 | 004,012,664 | R--- | M] () -- C:\Users\berger\Desktop\ComboFix.exe
    [2011/01/02 07:10:38 | 000,296,448 | ---- | M] () -- C:\Users\berger\Desktop\k1397jxh.exe
    [2011/01/01 12:00:32 | 000,056,832 | ---- | M] () -- C:\Users\berger\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    [2011/01/01 09:47:39 | 000,367,616 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
    [2011/01/01 07:57:32 | 000,001,682 | ---- | M] () -- C:\Users\berger\Desktop\AD-R.lnk
    [2010/12/21 15:53:33 | 000,001,356 | ---- | M] () -- C:\Users\berger\AppData\Local\d3d9caps.dat
    [2010/12/21 15:02:01 | 000,000,936 | ---- | M] () -- C:\Users\berger\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Malwarebytes' Anti-Malware.lnk
    [2010/12/21 11:42:03 | 000,000,036 | ---- | M] () -- C:\Users\berger\AppData\Local\housecall.guid.cache
    [2010/12/20 12:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
    [2010/12/20 12:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
    [2010/12/13 14:02:56 | 019,985,265 | ---- | M] () -- C:\Users\berger\Documents\vlc-1.1.5-win32.exe
    [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

    ========== Files Created - No Company Name ==========

    [2011/01/05 11:19:21 | 000,731,136 | ---- | C] () -- C:\Users\berger\Desktop\avenger.exe
    [2011/01/05 08:08:23 | 000,724,952 | ---- | C] () -- C:\Users\berger\Desktop\avenger.zip
    [2011/01/03 09:55:11 | 000,256,512 | ---- | C] () -- C:\Windows\PEV.exe
    [2011/01/03 09:55:11 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
    [2011/01/03 09:55:11 | 000,089,088 | ---- | C] () -- C:\Windows\MBR.exe
    [2011/01/03 09:55:11 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
    [2011/01/03 09:55:11 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
    [2011/01/03 09:53:26 | 004,012,664 | R--- | C] () -- C:\Users\berger\Desktop\ComboFix.exe
    [2011/01/02 07:10:34 | 000,296,448 | ---- | C] () -- C:\Users\berger\Desktop\k1397jxh.exe
    [2011/01/01 07:57:32 | 000,001,682 | ---- | C] () -- C:\Users\berger\Desktop\AD-R.lnk
    [2010/12/21 15:02:01 | 000,000,936 | ---- | C] () -- C:\Users\berger\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Malwarebytes' Anti-Malware.lnk
    [2010/12/21 13:12:18 | 000,001,656 | ---- | C] () -- C:\Users\berger\AppData\Local\361472F4-72F4-3614-F472-1436F4721436.txt
    [2010/12/21 11:42:03 | 000,000,036 | ---- | C] () -- C:\Users\berger\AppData\Local\housecall.guid.cache
    [2010/12/13 14:00:04 | 019,985,265 | ---- | C] () -- C:\Users\berger\Documents\vlc-1.1.5-win32.exe
    [2010/12/10 11:52:14 | 238,091,488 | ---- | C] () -- C:\Windows\MEMORY.DMP
    [2010/06/11 03:20:55 | 000,000,118 | ---- | C] () -- C:\Windows\System32\MRT.INI
    [2010/05/11 08:17:22 | 000,000,016 | ---- | C] () -- C:\Users\berger\AppData\Roaming\qvjsge.dat
    [2009/08/22 04:48:44 | 008,676,883 | ---- | C] () -- C:\Windows\System32\NCMedia2.dll
    [2009/02/11 08:18:52 | 000,484,352 | ---- | C] () -- C:\Windows\System32\lame_enc.dll
    [2008/12/27 11:34:49 | 000,001,356 | ---- | C] () -- C:\Users\berger\AppData\Local\d3d9caps.dat
    [2008/10/30 10:37:54 | 000,000,360 | ---- | C] () -- C:\Windows\horinfgl.ini
    [2008/09/29 14:43:41 | 000,005,632 | ---- | C] () -- C:\Windows\System32\drivers\StarOpen.sys
    [2008/07/24 18:04:28 | 000,000,061 | ---- | C] () -- C:\Windows\yesmessenger.ini
    [2008/04/10 15:11:32 | 000,001,216 | ---- | C] () -- C:\Users\berger\AppData\Roaming\wklnhst.dat
    [2008/03/21 12:05:04 | 000,000,434 | ---- | C] () -- C:\Windows\BRWMARK.INI
    [2008/03/21 12:05:04 | 000,000,027 | ---- | C] () -- C:\Windows\BRPP2KA.INI
    [2008/03/10 16:12:29 | 000,056,832 | ---- | C] () -- C:\Users\berger\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    [2007/08/21 03:17:01 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll
    [2007/08/21 03:09:58 | 000,327,680 | ---- | C] () -- C:\Windows\System32\pythoncom25.dll
    [2007/08/21 03:09:58 | 000,102,400 | ---- | C] () -- C:\Windows\System32\pywintypes25.dll
    [2007/07/19 10:07:52 | 000,000,000 | ---- | C] () -- C:\Windows\System32\px.ini
    [2007/05/15 12:06:58 | 000,071,208 | ---- | C] () -- C:\Windows\System32\PhysXLoader.dll
    [2007/04/14 08:57:06 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelTraditionalChinese.dll
    [2007/04/14 08:57:06 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelSwedish.dll
    [2007/04/14 08:57:06 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelSpanish.dll
    [2007/04/14 08:57:04 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelSimplifiedChinese.dll
    [2007/04/14 08:57:04 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelPortugese.dll
    [2007/04/14 08:57:04 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelKorean.dll
    [2007/04/14 08:57:04 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelJapanese.dll
    [2007/04/14 08:57:04 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelGerman.dll
    [2007/04/14 08:57:04 | 000,053,248 | ---- | C] () -- C:\Windows\System32\AgCPanelFrench.dll
    [2006/12/13 16:01:36 | 000,520,192 | ---- | C] () -- C:\Windows\System32\CddbPlaylist2Roxio.dll
    [2006/12/13 16:01:36 | 000,204,800 | ---- | C] () -- C:\Windows\System32\CddbFileTaggerRoxio.dll
    [2006/11/02 07:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
    [2006/11/02 02:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
    [2005/01/19 02:30:54 | 000,009,255 | ---- | C] () -- C:\Windows\System32\lvcoinst.ini

    ========== LOP Check ==========

    [2008/03/22 09:40:59 | 000,000,000 | ---D | M] -- C:\Users\berger\AppData\Roaming\.ABC
    [2008/07/22 08:43:44 | 000,000,000 | ---D | M] -- C:\Users\berger\AppData\Roaming\Acreon
    [2010/01/02 09:48:57 | 000,000,000 | ---D | M] -- C:\Users\berger\AppData\Roaming\Anuman Interactive
    [2011/01/06 10:29:33 | 000,000,000 | ---D | M] -- C:\Users\berger\AppData\Roaming\cacaoweb
    [2008/11/25 07:06:46 | 000,000,000 | ---D | M] -- C:\Users\berger\AppData\Roaming\GNU Solfege
    [2010/10/03 04:16:33 | 000,000,000 | ---D | M] -- C:\Users\berger\AppData\Roaming\LiveCAD3
    [2010/07/10 04:12:26 | 000,000,000 | ---D | M] -- C:\Users\berger\AppData\Roaming\Microgaming
    [2010/03/14 14:26:56 | 000,000,000 | ---D | M] -- C:\Users\berger\AppData\Roaming\OpenOffice.org
    [2009/08/07 12:58:41 | 000,000,000 | ---D | M] -- C:\Users\berger\AppData\Roaming\Opera
    [2008/09/29 15:41:17 | 000,000,000 | ---D | M] -- C:\Users\berger\AppData\Roaming\Samsung
    [2008/05/07 11:19:23 | 000,000,000 | ---D | M] -- C:\Users\berger\AppData\Roaming\Template
    [2008/04/25 09:13:13 | 000,000,000 | ---D | M] -- C:\Users\berger\AppData\Roaming\ubi.com
    [2011/01/06 17:34:37 | 000,032,534 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
    [2011/01/06 17:31:45 | 000,000,420 | -H-- | M] () -- C:\Windows\Tasks\User_Feed_Synchronization-{D2E11D23-B1A6-4DC0-B2A1-6640B0611C66}.job

    ========== Purity Check ==========



    ========== Custom Scans ==========



    Invalid Environment Variable: %ALLUSERSPROFILE%\Application Data\*.

    Invalid Environment Variable: %ALLUSERSPROFILE%\Application Data\*.exe

    Invalid Environment Variable: %APPDATA%\*.

    Invalid Environment Variable: %APPDATA%\*.exe

    < %SYSTEMDRIVE%\*.exe >


    < MD5 for: AGP440.SYS >
    [2006/11/02 04:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\erdnt\cache\AGP440.sys
    [2006/11/02 04:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\drivers\AGP440.sys
    [2006/11/02 04:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\AGP440.sys

    < MD5 for: ALG.EXE >
    [2006/11/02 04:44:49 | 000,058,880 | ---- | M] (Microsoft Corporation) MD5=E69FB0E3112C40FDC0EF7D21A52DC951 -- C:\Windows\System32\alg.exe
    [2006/11/02 04:44:49 | 000,058,880 | ---- | M] (Microsoft Corporation) MD5=E69FB0E3112C40FDC0EF7D21A52DC951 -- C:\Windows\winsxs\x86_microsoft-windows-alg_31bf3856ad364e35_6.0.6000.16386_none_a6b290245e337868\alg.exe

    < MD5 for: ATAPI.SYS >
    [2006/11/02 04:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=4F4FCB8B6EA06784FB6D475B7EC7300F -- C:\Windows\erdnt\cache\atapi.sys
    [2006/11/02 04:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=4F4FCB8B6EA06784FB6D475B7EC7300F -- C:\Windows\System32\drivers\atapi.sys
    [2006/11/02 04:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=4F4FCB8B6EA06784FB6D475B7EC7300F -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys

    < MD5 for: CDROM.SYS >
    [2006/11/02 03:51:44 | 000,067,072 | ---- | M] (Microsoft Corporation) MD5=8D1866E61AF096AE8B582454F5E4D303 -- C:\Windows\System32\drivers\cdrom.sys
    [2006/11/02 03:51:44 | 000,067,072 | ---- | M] (Microsoft Corporation) MD5=8D1866E61AF096AE8B582454F5E4D303 -- C:\Windows\System32\DriverStore\FileRepository\cdrom.inf_e487f727\cdrom.sys

    < MD5 for: CNGAUDIT.DLL >
    [2006/11/02 04:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\erdnt\cache\cngaudit.dll
    [2006/11/02 04:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\System32\cngaudit.dll
    [2006/11/02 04:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.0.6000.16386_none_e62d292932a96ce6\cngaudit.dll

    < MD5 for: CSRSS.EXE >
    [2006/11/02 04:45:00 | 000,007,680 | ---- | M] (Microsoft Corporation) MD5=117B7C8A8B026A5DCE5E3180ED05E823 -- C:\Windows\System32\csrss.exe
    [2006/11/02 04:45:00 | 000,007,680 | ---- | M] (Microsoft Corporation) MD5=117B7C8A8B026A5DCE5E3180ED05E823 -- C:\Windows\winsxs\x86_microsoft-windows-csrss_31bf3856ad364e35_6.0.6000.16386_none_56ad21dbe72a9d78\csrss.exe

    < MD5 for: CTFMON.EXE >
    [2006/11/02 04:45:00 | 000,008,704 | ---- | M] (Microsoft Corporation) MD5=22BFD03DF51065A9ED8D17F8FB72296B -- C:\Windows\erdnt\cache\ctfmon.exe
    [2006/11/02 04:45:00 | 000,008,704 | ---- | M] (Microsoft Corporation) MD5=22BFD03DF51065A9ED8D17F8FB72296B -- C:\Windows\System32\ctfmon.exe
    [2006/11/02 04:45:00 | 000,008,704 | ---- | M] (Microsoft Corporation) MD5=22BFD03DF51065A9ED8D17F8FB72296B -- C:\Windows\winsxs\x86_microsoft-windows-t..cesframework-ctfmon_31bf3856ad364e35_6.0.6000.16386_none_9af9cad793a67953\ctfmon.exe

    < MD5 for: DISK.SYS >
    [2006/11/02 04:49:51 | 000,052,840 | ---- | M] (Microsoft Corporation) MD5=841AF4C4D41D3E3B2F244E976B0F7963 -- C:\Windows\System32\drivers\disk.sys
    [2006/11/02 04:49:51 | 000,052,840 | ---- | M] (Microsoft Corporation) MD5=841AF4C4D41D3E3B2F244E976B0F7963 -- C:\Windows\System32\DriverStore\FileRepository\disk.inf_e0b0b355\disk.sys

    < MD5 for: EXPLORER.EXE >
    [2008/10/29 01:20:29 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=37440D09DEAE0B672A04DCCF7ABF06BE -- C:\Windows\erdnt\cache\explorer.exe
    [2008/10/29 01:20:29 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=37440D09DEAE0B672A04DCCF7ABF06BE -- C:\Windows\explorer.exe
    [2008/10/29 01:20:29 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=37440D09DEAE0B672A04DCCF7ABF06BE -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe
    [2008/10/29 01:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_5177ca9879e978e8\explorer.exe
    [2008/10/29 22:59:17 | 002,927,616 | ---- | M] (Microsoft Corporation) MD5=50BA5850147410CDE89C523AD3BC606E -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe
    [2008/10/27 21:15:02 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=E7156B0B74762D9DE0E66BDCDE06E5FB -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_5033cb5995cd990b\explorer.exe
    [2006/11/02 04:45:07 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=FD8C53FB002217F6F888BCF6F5D7084D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16386_none_4f7de5167cd15deb\explorer.exe

    < MD5 for: I8042PRT.SYS >
    [2006/11/02 03:51:13 | 000,054,784 | ---- | M] (Microsoft Corporation) MD5=1060F1377F395A242E27719440ECE602 -- C:\Windows\System32\DriverStore\FileRepository\keyboard.inf_93b1c41f\i8042prt.sys
    [2006/11/02 03:51:13 | 000,054,784 | ---- | M] (Microsoft Corporation) MD5=1060F1377F395A242E27719440ECE602 -- C:\Windows\System32\DriverStore\FileRepository\msmouse.inf_3dfa3917\i8042prt.sys
    [2008/03/10 05:22:17 | 000,054,784 | ---- | M] (Microsoft Corporation) MD5=1C9EE072BAA3ABB460B91D7EE9152660 -- C:\Windows\System32\drivers\i8042prt.sys
    [2008/03/10 05:22:17 | 000,054,784 | ---- | M] (Microsoft Corporation) MD5=1C9EE072BAA3ABB460B91D7EE9152660 -- C:\Windows\System32\DriverStore\FileRepository\keyboard.inf_a81145df\i8042prt.sys
    [2008/03/10 05:22:18 | 000,054,784 | ---- | M] (Microsoft Corporation) MD5=1C9EE072BAA3ABB460B91D7EE9152660 -- C:\Windows\System32\DriverStore\FileRepository\msmouse.inf_f4514c17\i8042prt.sys
    [2008/03/10 05:22:17 | 000,054,784 | ---- | M] (Microsoft Corporation) MD5=1C9EE072BAA3ABB460B91D7EE9152660 -- C:\Windows\winsxs\x86_keyboard.inf_31bf3856ad364e35_6.0.6000.16609_none_957131ccdbca3f9c\i8042prt.sys
    [2008/03/10 05:22:18 | 000,054,784 | ---- | M] (Microsoft Corporation) MD5=1C9EE072BAA3ABB460B91D7EE9152660 -- C:\Windows\winsxs\x86_msmouse.inf_31bf3856ad364e35_6.0.6000.16609_none_4c56cf70d52c8670\i8042prt.sys
    [2008/03/10 05:22:17 | 000,054,784 | ---- | M] (Microsoft Corporation) MD5=BEA9838CD25D36BEBA3F94386A761D60 -- C:\Windows\winsxs\x86_keyboard.inf_31bf3856ad364e35_6.0.6000.20734_none_95d55d61f504b486\i8042prt.sys
    [2008/03/10 05:22:17 | 000,054,784 | ---- | M] (Microsoft Corporation) MD5=BEA9838CD25D36BEBA3F94386A761D60 -- C:\Windows\winsxs\x86_msmouse.inf_31bf3856ad364e35_6.0.6000.20734_none_4cbafb05ee66fb5a\i8042prt.sys

    < MD5 for: IASTORV.SYS >
    [2006/11/02 04:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\drivers\iaStorV.sys
    [2006/11/02 04:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_37cdafa4\iaStorV.sys

    < MD5 for: MOUNTMGR.SYS >
    [2006/11/02 04:49:57 | 000,054,888 | ---- | M] (Microsoft Corporation) MD5=01F1E5A3E4877C931CBB31613FEC16A6 -- C:\Windows\System32\drivers\mountmgr.sys
    [2006/11/02 04:49:57 | 000,054,888 | ---- | M] (Microsoft Corporation) MD5=01F1E5A3E4877C931CBB31613FEC16A6 -- C:\Windows\winsxs\x86_microsoft-windows-mountpointmanager_31bf3856ad364e35_6.0.6000.16386_none_f06162ca0a1ab2c0\mountmgr.sys

    < MD5 for: MRXSMB.SYS >
    [2010/02/23 06:16:50 | 000,106,496 | ---- | M] (Microsoft Corporation) MD5=1F0DAA8676E0B3D00C2EC1F82B140A1C -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6002.22346_none_81dc4772677c5da2\mrxsmb.sys
    [2010/02/23 06:10:13 | 000,106,496 | ---- | M] (Microsoft Corporation) MD5=454341E652BDF5E01B0F2140232B073E -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6002.18213_none_8170198d4e491e00\mrxsmb.sys
    [2008/03/10 05:16:08 | 000,101,888 | ---- | M] (Microsoft Corporation) MD5=529B64F9735D27FEF1B8EA1678F8C79E -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6000.16586_none_7d5aaf055432589d\mrxsmb.sys
    [2009/12/04 11:14:15 | 000,102,400 | ---- | M] (Microsoft Corporation) MD5=64B76496CCEA0A56CC0B1F9B32605F8F -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6000.21173_none_7debfa986d4ab84f\mrxsmb.sys
    [2009/12/04 11:12:51 | 000,105,472 | ---- | M] (Microsoft Corporation) MD5=66592E91051728C3571B0D77175686AB -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6001.18375_none_7f4ac4e55151a8e2\mrxsmb.sys
    [2009/12/04 10:56:09 | 000,105,984 | ---- | M] (Microsoft Corporation) MD5=66DE1A2B389A1969CA1751B276108E45 -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6002.18158_none_8149d9694e650f50\mrxsmb.sys
    [2009/12/04 11:08:29 | 000,105,984 | ---- | M] (Microsoft Corporation) MD5=7295B41FBCA3231841A7EDFF34A7BD14 -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6002.22281_none_81ac046a67a1518c\mrxsmb.sys
    [2010/02/23 06:32:31 | 000,105,984 | ---- | M] (Microsoft Corporation) MD5=7AFC42E60432FD1014F5342F2B1B1F74 -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6001.18431_none_7f7205535134d0e9\mrxsmb.sys
    [2010/02/23 08:14:41 | 000,102,400 | ---- | M] (Microsoft Corporation) MD5=8AF705CE1BB907932157FAB821170F27 -- C:\Windows\System32\drivers\mrxsmb.sys
    [2010/02/23 08:14:41 | 000,102,400 | ---- | M] (Microsoft Corporation) MD5=8AF705CE1BB907932157FAB821170F27 -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6000.17025_none_7d9a6dfd5402bf7e\mrxsmb.sys
    [2009/12/04 11:16:23 | 000,105,984 | ---- | M] (Microsoft Corporation) MD5=B81A462840C1C9FE6B4EAB893402F3D2 -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6001.22575_none_7fd463966a6f45d3\mrxsmb.sys
    [2010/02/23 06:30:49 | 000,102,912 | ---- | M] (Microsoft Corporation) MD5=BBB0D31B477CFF3B4F737ED0367F635F -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6000.21230_none_7e143b506d2cf9ad\mrxsmb.sys
    [2010/02/23 06:30:23 | 000,106,496 | ---- | M] (Microsoft Corporation) MD5=D92DB980E8F791286750127C8E371A7D -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6001.22641_none_7ff0d4186a5a89cb\mrxsmb.sys
    [2008/03/10 05:16:08 | 000,102,400 | ---- | M] (Microsoft Corporation) MD5=DC5632CBC8A3D02CE1114DEBB64B7037 -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6000.20709_none_7e3dcdf46d0c620b\mrxsmb.sys
    [2009/12/04 11:27:45 | 000,101,888 | ---- | M] (Microsoft Corporation) MD5=F6805DC6823B90393D561BDB163468F6 -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6000.16971_none_7d608517542eb295\mrxsmb.sys
    [2006/11/02 03:31:21 | 000,101,888 | ---- | M] (Microsoft Corporation) MD5=FCA7563D87F71C6DB0182CA67CC19AA7 -- C:\Windows\winsxs\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6000.16386_none_7d5aab3954325e4f\mrxsmb.sys

    < MD5 for: MRXSMB10.SYS >
    [2008/08/26 19:52:38 | 000,212,480 | ---- | M] (Microsoft Corporation) MD5=0883E1ADA541F4201ECAF63C29F2DCAC -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6001.22252_none_88fa1b3264b308d9\mrxsmb10.sys
    [2008/08/26 20:05:41 | 000,212,480 | ---- | M] (Microsoft Corporation) MD5=0A986B34F1678A2697574D7B1664E2DD -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6001.18130_none_88841dab4b86fe7f\mrxsmb10.sys
    [2010/02/23 06:10:19 | 000,212,992 | ---- | M] (Microsoft Corporation) MD5=2A4901AFF069944FA945ED5BBF4DCDE3 -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6002.18213_none_8a8337e1489a5c62\mrxsmb10.sys
    [2008/08/25 20:11:59 | 000,211,456 | ---- | M] (Microsoft Corporation) MD5=2BBD3970018270D2C6A0B069F568154E -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6000.16738_none_86a5e1554e593846\mrxsmb10.sys
    [2010/02/23 06:16:58 | 000,212,992 | ---- | M] (Microsoft Corporation) MD5=32E743994055D8D4729E2F2E0EF4758D -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6002.22346_none_8aef65c661cd9c04\mrxsmb10.sys
    [2009/12/04 10:56:16 | 000,212,992 | ---- | M] (Microsoft Corporation) MD5=346611D7523B520FAA86B76753CC9874 -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6002.18158_none_8a5cf7bd48b64db2\mrxsmb10.sys
    [2009/12/04 11:27:52 | 000,211,968 | ---- | M] (Microsoft Corporation) MD5=3B6200FE9DEEF1F9BBF576A80082A741 -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6000.16971_none_8673a36b4e7ff0f7\mrxsmb10.sys
    [2010/02/23 08:14:51 | 000,211,968 | ---- | M] (Microsoft Corporation) MD5=47E13AB23371BE3279EEF22BBFA2C1BE -- C:\Windows\System32\drivers\mrxsmb10.sys
    [2010/02/23 08:14:51 | 000,211,968 | ---- | M] (Microsoft Corporation) MD5=47E13AB23371BE3279EEF22BBFA2C1BE -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6000.17025_none_86ad8c514e53fde0\mrxsmb10.sys
    [2010/02/23 06:30:28 | 000,212,992 | ---- | M] (Microsoft Corporation) MD5=581305791239FAC6B5B4225AB0C7A7E4 -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6001.22641_none_8903f26c64abc82d\mrxsmb10.sys
    [2006/11/02 03:31:27 | 000,211,456 | ---- | M] (Microsoft Corporation) MD5=58A9AB5754FA4CABEDE7401283B5A771 -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6000.16386_none_866dc98d4e839cb1\mrxsmb10.sys
    [2010/02/23 06:32:36 | 000,212,992 | ---- | M] (Microsoft Corporation) MD5=8A75752AE17924F65452746674B14B78 -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6001.18431_none_888523a74b860f4b\mrxsmb10.sys
    [2009/12/04 11:14:25 | 000,211,968 | ---- | M] (Microsoft Corporation) MD5=95764A2DFB3746407BBD6223BF1CE145 -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6000.21173_none_86ff18ec679bf6b1\mrxsmb10.sys
    [2010/02/23 06:30:59 | 000,211,968 | ---- | M] (Microsoft Corporation) MD5=A6130566AC4178473B5DAC8F8F74407D -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6000.21230_none_872759a4677e380f\mrxsmb10.sys
    [2009/12/04 11:12:58 | 000,212,992 | ---- | M] (Microsoft Corporation) MD5=AA9496B3B8F1D3CB2D2A731BA05464E0 -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6001.18375_none_885de3394ba2e744\mrxsmb10.sys
    [2009/12/04 11:16:35 | 000,212,992 | ---- | M] (Microsoft Corporation) MD5=B04E30592FD96F3D543A1329CE0FD562 -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6001.22575_none_88e781ea64c08435\mrxsmb10.sys
    [2009/12/04 11:08:40 | 000,212,992 | ---- | M] (Microsoft Corporation) MD5=BB74E8E0DE15AF95703AAAD907BEDF5E -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6002.22281_none_8abf22be61f28fee\mrxsmb10.sys
    [2008/08/26 19:48:36 | 000,211,968 | ---- | M] (Microsoft Corporation) MD5=F813456C00B904DC3B6558CAD7B13BBA -- C:\Windows\winsxs\x86_microsoft-windows-smb10-minirdr_31bf3856ad364e35_6.0.6000.20904_none_874beea267621c08\mrxsmb10.sys

    < MD5 for: MRXSMB20.SYS >
    [2010/02/23 06:10:13 | 000,079,360 | ---- | M] (Microsoft Corporation) MD5=28B3F1AB44BDD4432C041581412F17D9 -- C:\Windows\winsxs\x86_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6002.18213_none_8cb9a1f386f18fd3\mrxsmb20.sys
    [2008/03/10 05:16:08 | 000,058,368 | ---- | M] (Microsoft Corporation) MD5=30A67C7D8B80281028916DED6A64AEC9 -- C:\Windows\winsxs\x86_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6000.16586_none_88a4376b8cdaca70\mrxsmb20.sys
    [2010/02/23 06:30:53 | 000,058,368 | ---- | M] (Microsoft Corporation) MD5=3D475E770D3AB2D0C5E3E1386871F9DA -- C:\Windows\winsxs\x86_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6000.21230_none_895dc3b6a5d56b80\mrxsmb20.sys
    [2008/03/10 05:16:08 | 000,058,368 | ---- | M] (Microsoft Corporation) MD5=5334E68E89628A117255B936B204977F -- C:\Windows\winsxs\x86_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6000.20709_none_8987565aa5b4d3de\mrxsmb20.sys
    [2006/11/02 03:31:17 | 000,057,856 | ---- | M] (Microsoft Corporation) MD5=79B09504E4A790104683722CD04F76B4 -- C:\Windows\winsxs\x86_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6000.16386_none_88a4339f8cdad022\mrxsmb20.sys
    [2009/12/04 11:14:17 | 000,058,368 | ---- | M] (Microsoft Corporation) MD5=7E1B134C0EDD4AF6564A50559A4C9268 -- C:\Windows\winsxs\x86_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6000.21173_none_893582fea5f32a22\mrxsmb20.sys
    [2010/02/23 08:14:42 | 000,058,368 | ---- | M] (Microsoft Corporation) MD5=90B3FC7BD6B3D7EE7635DEBBA2187F66 -- C:\Windows\System32\drivers\mrxsmb20.sys
    [2010/02/23 08:14:42 | 000,058,368 | ---- | M] (Microsoft Corporation) MD5=90B3FC7BD6B3D7EE7635DEBBA2187F66 -- C:\Windows\winsxs\x86_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6000.17025_none_88e3f6638cab3151\mrxsmb20.sys
    [2010/02/23 06:16:50 | 000,079,360 | ---- | M] (Microsoft Corporation) MD5=98A085E296A9BA865CAE56C1BCB1A0F6 -- C:\Windows\winsxs\x86_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6002.22346_none_8d25cfd8a024cf75\mrxsmb20.sys
    [2010/02/23 06:30:23 | 000,079,360 | ---- | M] (Microsoft Corporation) MD5=A4BD317F6D6AD2B3A1FF81DC063748D4 -- C:\Windows\winsxs\x86_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6001.22641_none_8b3a5c7ea302fb9e\mrxsmb20.sys
    [2010/02/23 06:32:33 | 000,078,848 | ---- | M] (Microsoft Corporation) MD5=F4D0F3252E651F02BE64984FFA738394 -- C:\Windows\winsxs\x86_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6001.18431_none_8abb8db989dd42bc\mrxsmb20.sys

    < MD5 for: NDIS.SYS >
    [2006/11/02 04:51:42 | 000,500,840 | ---- | M] (Microsoft Corporation) MD5=227C11E1E7CF6EF8AFB2A238D209760C -- C:\Windows\erdnt\cache\ndis.sys
    [2006/11/02 04:51:42 | 000,500,840 | ---- | M] (Microsoft Corporation) MD5=227C11E1E7CF6EF8AFB2A238D209760C -- C:\Windows\System32\drivers\ndis.sys
    [2006/11/02 04:51:42 | 000,500,840 | ---- | M] (Microsoft Corporation) MD5=227C11E1E7CF6EF8AFB2A238D209760C -- C:\Windows\winsxs\x86_microsoft-windows-ndis_31bf3856ad364e35_6.0.6000.16386_none_a59069cb1f23fc44\ndis.sys

    < MD5 for: NETLOGON.DLL >
    [2006/11/02 04:46:11 | 000,559,616 | ---- | M] (Microsoft Corporation) MD5=889A2C9F2AACCD8F64EF50AC0B3D553B -- C:\Windows\erdnt\cache\netlogon.dll
    [2006/11/02 04:46:11 | 000,559,616 | ---- | M] (Microsoft Corporation) MD5=889A2C9F2AACCD8F64EF50AC0B3D553B -- C:\Windows\System32\netlogon.dll
    [2006/11/02 04:46:11 | 000,559,616 | ---- | M] (Microsoft Corporation) MD5=889A2C9F2AACCD8F64EF50AC0B3D553B -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6000.16386_none_fb80f5473b0ed783\netlogon.dll

    < MD5 for: NVSTOR.SYS >
    [2006/11/02 04:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\drivers\nvstor.sys
    [2006/11/02 04:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_733654ff\nvstor.sys

    < MD5 for: RASACD.SYS >
    [2006/11/02 03:58:13 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=BD7B30F55B3649506DD8B3D38F571D2A -- C:\Windows\System32\drivers\rasacd.sys
    [2006/11/02 03:58:13 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=BD7B30F55B3649506DD8B3D38F571D2A -- C:\Windows\winsxs\x86_microsoft-windows-rasautodial_31bf3856ad364e35_6.0.6000.16386_none_0da33cba68680e8f\rasacd.sys

    < MD5 for: SCECLI.DLL >
    [2006/11/02 04:46:12 | 000,176,640 | ---- | M] (Microsoft Corporation) MD5=80E2839D05CA5970A86D7BE2A08BFF61 -- C:\Windows\erdnt\cache\scecli.dll
    [2006/11/02 04:46:12 | 000,176,640 | ---- | M] (Microsoft Corporation) MD5=80E2839D05CA5970A86D7BE2A08BFF61 -- C:\Windows\System32\scecli.dll
    [2006/11/02 04:46:12 | 000,176,640 | ---- | M] (Microsoft Corporation) MD5=80E2839D05CA5970A86D7BE2A08BFF61 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6000.16386_none_35d7205fdc305e3e\scecli.dll

    < MD5 for: SERVICES.EXE >
    [2006/11/02 04:45:40 | 000,279,552 | ---- | M] (Microsoft Corporation) MD5=329CF3C97CE4C19375C8ABCABAE258B0 -- C:\Windows\erdnt\cache\services.exe
    [2006/11/02 04:45:40 | 000,279,552 | ---- | M] (Microsoft Corporation) MD5=329CF3C97CE4C19375C8ABCABAE258B0 -- C:\Windows\System32\services.exe
    [2006/11/02 04:45:40 | 000,279,552 | ---- | M] (Microsoft Corporation) MD5=329CF3C97CE4C19375C8ABCABAE258B0 -- C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe

    < MD5 for: SMSS.EXE >
    [2006/11/02 04:45:45 | 000,062,976 | ---- | M] (Microsoft Corporation) MD5=CAA75757BB3695478C23CB0624342A61 -- C:\Windows\System32\smss.exe
    [2006/11/02 04:45:45 | 000,062,976 | ---- | M] (Microsoft Corporation) MD5=CAA75757BB3695478C23CB0624342A61 -- C:\Windows\winsxs\x86_microsoft-windows-smss_31bf3856ad364e35_6.0.6000.16386_none_aa03e6011c468ee6\smss.exe

    < MD5 for: SPOOLSV.EXE >
    [2006/11/02 04:45:46 | 000,124,928 | ---- | M] (Microsoft Corporation) MD5=DA612EF2556776DF2630B68BF2D48935 -- C:\Windows\erdnt\cache\spoolsv.exe
    [2006/11/02 04:45:46 | 000,124,928 | ---- | M] (Microsoft Corporation) MD5=DA612EF2556776DF2630B68BF2D48935 -- C:\Windows\System32\spoolsv.exe
    [2006/11/02 04:45:46 | 000,124,928 | ---- | M] (Microsoft Corporation) MD5=DA612EF2556776DF2630B68BF2D48935 -- C:\Windows\winsxs\x86_microsoft-windows-printing-spooler-core_31bf3856ad364e35_6.0.6000.16386_none_d414e125c49db442\spoolsv.exe

    < MD5 for: STORPORT.SYS >
    [2006/11/02 04:50:47 | 000,117,864 | ---- | M] (Microsoft Corporation) MD5=ED386E31D263448B2ED36D4839F2CA04 -- C:\Windows\System32\drivers\Storport.sys
    [2006/11/02 04:50:47 | 000,117,864 | ---- | M] (Microsoft Corporation) MD5=ED386E31D263448B2ED36D4839F2CA04 -- C:\Windows\winsxs\x86_microsoft-windows-storport_31bf3856ad364e35_6.0.6000.16386_none_25458cad3343d4ff\Storport.sys

    < MD5 for: SVCHOST.EXE >
    [2006/11/02 04:45:47 | 000,022,016 | ---- | M] (Microsoft Corporation) MD5=10DA15933D582D2FEDCF705EFE394B09 -- C:\Windows\erdnt\cache\svchost.exe
    [2006/11/02 04:45:47 | 000,022,016 | ---- | M] (Microsoft Corporation) MD5=10DA15933D582D2FEDCF705EFE394B09 -- C:\Windows\System32\svchost.exe
    [2006/11/02 04:45:47 | 000,022,016 | ---- | M] (Microsoft Corporation) MD5=10DA15933D582D2FEDCF705EFE394B09 -- C:\Windows\winsxs\x86_microsoft-windows-services-svchost_31bf3856ad364e35_6.0.6000.16386_none_b38497a50862ad11\svchost.exe

    < MD5 for: TCPIP.SYS >
    [2009/12/08 15:52:30 | 000,897,624 | ---- | M] (Microsoft Corporation) MD5=1ACBB7A47E78F4CC82D2EFFB72901528 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6001.18377_none_b2d96a966698ad63\tcpip.sys
    [2009/08/15 16:30:53 | 000,816,640 | ---- | M] (Microsoft Corporation) MD5=2512B4D1353370D6688B1AF1F5AFA1CF -- C:\Windows\winsxs\x86_microsoft-windows-tcpip_31bf3856ad364e35_6.0.6000.21108_none_6030d425ab49af00\tcpip.sys
    [2009/08/14 12:01:55 | 000,900,168 | ---- | M] (Microsoft Corporation) MD5=2608E71AAD54564647D4BB984E1925AA -- C:\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6001.22497_none_b34d67897fc6850f\tcpip.sys
    [2010/02/18 06:51:51 | 000,818,688 | ---- | M] (Microsoft Corporation) MD5=2C1F7005AA3B62721BFDB307BD5F5010 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip_31bf3856ad364e35_6.0.6000.21226_none_6019359fab5bb15b\tcpip.sys
    [2010/02/18 09:49:38 | 000,898,952 | ---- | M] (Microsoft Corporation) MD5=2EAE4500984C2F8DACFB977060300A15 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6001.18427_none_b30f7c1866701ed5\tcpip.sys
    [2009/08/14 09:24:47 | 000,813,568 | ---- | M] (Microsoft Corporation) MD5=300208927321066EA53761FDC98747C6 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip_31bf3856ad364e35_6.0.6000.16908_none_5fa75f38922bdbf4\tcpip.sys
    [2009/12/08 15:15:00 | 000,907,832 | ---- | M] (Microsoft Corporation) MD5=46E6685F3E92AEC743773ADD4CD54F57 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6002.22283_none_b53aaa1b7ce8560d\tcpip.sys
    7 Janvier 2011 12:56:06

    suite et fin du rapport:

    [2010/02/18 09:07:16 | 000,904,576 | ---- | M] (Microsoft Corporation) MD5=48CBE6D53632D0067C2D6B20F90D84CA -- C:\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6002.18209_none_b50d905263846bec\tcpip.sys
    [2010/02/18 07:05:37 | 000,815,104 | ---- | M] (Microsoft Corporation) MD5=4A82FA8F0DF67AA354580C3FAAF8BDE3 -- C:\Windows\erdnt\cache\tcpip.sys
    [2010/02/18 07:05:37 | 000,815,104 | ---- | M] (Microsoft Corporation) MD5=4A82FA8F0DF67AA354580C3FAAF8BDE3 -- C:\Windows\System32\drivers\tcpip.sys
    [2010/02/18 07:05:37 | 000,815,104 | ---- | M] (Microsoft Corporation) MD5=4A82FA8F0DF67AA354580C3FAAF8BDE3 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip_31bf3856ad364e35_6.0.6000.17021_none_5f8a957c924295b7\tcpip.sys
    [2008/03/10 05:18:29 | 000,806,400 | ---- | M] (Microsoft Corporation) MD5=52A8BD6294F7D1443C6184C67AE13AF4 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip_31bf3856ad364e35_6.0.6000.20752_none_5ff4e4f9ab7777f4\tcpip.sys
    [2009/12/08 15:37:09 | 000,900,696 | ---- | M] (Microsoft Corporation) MD5=5653230D480A9C54D169E1B080B72CF5 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6001.22577_none_b36309477fb64a54\tcpip.sys
    [2008/03/10 05:18:29 | 000,803,328 | ---- | M] (Microsoft Corporation) MD5=5DF77458AA92FDB36FCE79C60F74AB5D -- C:\Windows\winsxs\x86_microsoft-windows-tcpip_31bf3856ad364e35_6.0.6000.16627_none_5f90b964923d030a\tcpip.sys
    [2009/08/14 11:27:34 | 000,904,776 | ---- | M] (Microsoft Corporation) MD5=65877AA1B6A7CB797488E831698973E9 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6002.18091_none_b4a43aea63d4a25f\tcpip.sys
    [2009/12/08 12:58:13 | 000,813,568 | ---- | M] (Microsoft Corporation) MD5=8734BD051FFDCBF8425CF222141C3741 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip_31bf3856ad364e35_6.0.6000.16973_none_5f56ae52926920d8\tcpip.sys
    [2009/08/14 12:07:56 | 000,897,608 | ---- | M] (Microsoft Corporation) MD5=8A7AD2A214233F684242F289ED83EBC3 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6001.18311_none_b3144862666d6db3\tcpip.sys
    [2010/02/18 12:36:50 | 000,902,024 | ---- | M] (Microsoft Corporation) MD5=93A5655CD9CD2F080EF1CB71A3666215 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6001.22636_none_b38d4a937f96be60\tcpip.sys
    [2009/12/08 12:45:32 | 000,816,640 | ---- | M] (Microsoft Corporation) MD5=CA3A5756672013A66BB9D547A5A62DCA -- C:\Windows\winsxs\x86_microsoft-windows-tcpip_31bf3856ad364e35_6.0.6000.21175_none_5fe223d3ab852692\tcpip.sys
    [2006/11/02 03:58:38 | 000,802,816 | ---- | M] (Microsoft Corporation) MD5=D944522B048A5FEB7700B5170D3D9423 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip_31bf3856ad364e35_6.0.6000.16386_none_5f4ed3e0926e99e4\tcpip.sys
    [2010/02/18 09:22:11 | 000,910,216 | ---- | M] (Microsoft Corporation) MD5=D9F5DD5BBC8348E8F8220CCBF14C022E -- C:\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6002.22341_none_b563eb1d7cc9b0c2\tcpip.sys
    [2009/12/08 15:01:08 | 000,904,776 | ---- | M] (Microsoft Corporation) MD5=DA467E7619AE5F4588E6262C13C8940A -- C:\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6002.18160_none_b4c3ac4a63bd325c\tcpip.sys
    [2009/08/14 11:33:50 | 000,905,784 | ---- | M] (Microsoft Corporation) MD5=FF71856BD4CD6D4367F9FD84BE79A874 -- C:\Windows\winsxs\x86_microsoft-windows-tcpip-binaries_31bf3856ad364e35_6.0.6002.22200_none_b58e289d7caa2a80\tcpip.sys

    < MD5 for: TERMDD.SYS >
    [2006/11/02 04:50:28 | 000,050,792 | ---- | M] (Microsoft Corporation) MD5=2C549BD9DD091FBFAA0A2A48E82EC2FB -- C:\Windows\System32\drivers\termdd.sys
    [2006/11/02 04:50:28 | 000,050,792 | ---- | M] (Microsoft Corporation) MD5=2C549BD9DD091FBFAA0A2A48E82EC2FB -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\termdd.sys

    < MD5 for: USERINIT.EXE >
    [2006/11/02 04:45:50 | 000,024,576 | ---- | M] (Microsoft Corporation) MD5=22027835939F86C3E47AD8E3FBDE3D11 -- C:\Windows\erdnt\cache\userinit.exe
    [2006/11/02 04:45:50 | 000,024,576 | ---- | M] (Microsoft Corporation) MD5=22027835939F86C3E47AD8E3FBDE3D11 -- C:\Windows\System32\userinit.exe
    [2006/11/02 04:45:50 | 000,024,576 | ---- | M] (Microsoft Corporation) MD5=22027835939F86C3E47AD8E3FBDE3D11 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6000.16386_none_d9f1f819d4c4e737\userinit.exe

    < MD5 for: WIN32K.SYS >
    [2007/08/21 12:48:33 | 002,026,496 | ---- | M] (Microsoft Corporation) MD5=00D35636A02BB4529A707FA4E0B7F957 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.20537_none_b77d6655b68fe37f\win32k.sys
    [2008/04/10 05:24:08 | 002,028,544 | ---- | M] (Microsoft Corporation) MD5=0FB1E39EE209B26B70A8C1E1A56D38DF -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.20782_none_b7425913b6bceacf\win32k.sys
    [2009/04/21 06:55:06 | 002,033,152 | ---- | M] (Microsoft Corporation) MD5=13D686DF9652E7A397B2C3DA89881C34 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6001.18246_none_b8ce3f929aa1cbdc\win32k.sys
    [2009/08/14 08:53:16 | 002,035,712 | ---- | M] (Microsoft Corporation) MD5=18406CE410C1A4394FE1A8246D10567F -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6001.18311_none_b8e9afca9a8df67d\win32k.sys
    [2009/08/14 08:29:56 | 002,045,440 | ---- | M] (Microsoft Corporation) MD5=26AC4A647E67C7A7064309CBF1AAE3AC -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6002.22200_none_bb639005b0cab34a\win32k.sys
    [2009/02/08 21:54:45 | 002,033,664 | ---- | M] (Microsoft Corporation) MD5=33180D19BCCBF9CB6B96CE03BB613FD4 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6001.22372_none_b9336b71b3db5a1d\win32k.sys
    [2006/11/02 03:39:12 | 002,026,496 | ---- | M] (Microsoft Corporation) MD5=47754A68CC02A84DBD8413396368D963 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.16386_none_b6bcb7be9d9bb8ec\win32k.sys
    [2008/09/19 20:13:20 | 002,029,568 | ---- | M] (Microsoft Corporation) MD5=541DF3F03A378BDD96A917A4CB8C71A2 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.20922_none_b7833c67b68c3d77\win32k.sys
    [2008/04/10 05:24:08 | 002,032,128 | ---- | M] (Microsoft Corporation) MD5=5B1E0409A9A6C415543732F21B2B7CC6 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6001.22125_none_b96c781fb3b0201f\win32k.sys
    [2009/02/08 22:10:34 | 002,033,152 | ---- | M] (Microsoft Corporation) MD5=5CAE6E4513342909C7FDA4F83D85E958 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6001.18211_none_b8e9ade49a8df956\win32k.sys
    [2009/04/21 06:55:42 | 002,030,080 | ---- | M] (Microsoft Corporation) MD5=633B5887DC689EB3ECF2F0994F506F40 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.21044_none_b76f7545b69adb49\win32k.sys
    [2009/02/08 20:54:23 | 002,030,080 | ---- | M] (Microsoft Corporation) MD5=6730B1581BBE610596C322465229D8A2 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.21006_none_b79cb589b6789e33\win32k.sys
    [2009/02/08 20:59:26 | 002,028,032 | ---- | M] (Microsoft Corporation) MD5=68D3921F210FC146876B7815DF5BCC41 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.16816_none_b70870b09d62e718\win32k.sys
    [2008/04/10 05:24:09 | 002,027,008 | ---- | M] (Microsoft Corporation) MD5=6FF39E07708091C05FC748DB2DE833EA -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.16646_none_b6e7fd209d7b409d\win32k.sys
    [2007/08/21 12:48:33 | 002,026,496 | ---- | M] (Microsoft Corporation) MD5=832313608F8B128EC715047CF27732CF -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.16438_none_b6f4c9d49d715d0c\win32k.sys
    [2009/08/14 08:27:17 | 002,036,736 | ---- | M] (Microsoft Corporation) MD5=8705038245789561EE714D12CC3368CE -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6002.18091_none_ba79a25297f52b29\win32k.sys
    [2008/09/19 20:21:50 | 002,033,152 | ---- | M] (Microsoft Corporation) MD5=8BE357305D4BBEC35DBBE7D5536EE8C9 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6001.22271_none_b9326941b3dc439f\win32k.sys
    [2008/04/10 05:24:08 | 002,032,128 | ---- | M] (Microsoft Corporation) MD5=8F2DA4DDC21250ABA9206352A1080299 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6001.18027_none_b8e4dbe89a90b303\win32k.sys
    [2008/09/17 21:16:28 | 002,032,640 | ---- | M] (Microsoft Corporation) MD5=9304DD0014438C06261994960E24418A -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6001.18145_none_b8cd3d629aa2b55e\win32k.sys
    [2009/08/14 09:01:34 | 002,031,104 | ---- | M] (Microsoft Corporation) MD5=9352E049F234BFA756C840CD8BDF4FFE -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.16908_none_b71543169d58fafc\win32k.sys
    [2007/08/21 12:51:49 | 002,027,520 | ---- | M] (Microsoft Corporation) MD5=96897E2282DDE5B95552C9376D830E10 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.20550_none_b760c477b6a66a00\win32k.sys
    [2009/04/21 06:39:47 | 002,034,688 | ---- | M] (Microsoft Corporation) MD5=A1696D4E327DB3FC815DAE837DC3D8B8 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6002.18023_none_bac7525a97ba9a40\win32k.sys
    [2008/09/17 21:03:07 | 002,027,520 | ---- | M] (Microsoft Corporation) MD5=A90760D6F915CBB28E7F240668881BDE -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.16754_none_b6db2e869d852707\win32k.sys
    [2009/04/21 06:42:33 | 002,034,688 | ---- | M] (Microsoft Corporation) MD5=AB4D93D30AA6B51598ADAFB6AAAB5962 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6002.22119_none_bb61c0cdb0cab623\win32k.sys
    [2009/08/14 08:46:38 | 002,036,224 | ---- | M] (Microsoft Corporation) MD5=D4F9530BB031E0BAEDBE08B21BE52ADD -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6001.22497_none_b922cef1b3e70dd9\win32k.sys
    [2009/04/21 08:26:36 | 002,034,176 | ---- | M] (Microsoft Corporation) MD5=D8882CAF965DCBDE4278C88842D0ACFE -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6001.22416_none_b9784e07b3a714fa\win32k.sys
    [2009/04/21 07:04:30 | 002,028,032 | ---- | M] (Microsoft Corporation) MD5=F0F292B8E028D69ACF49A9A78FBE4B78 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.16849_none_b6eb01ca9d7886f0\win32k.sys
    [2009/08/15 16:08:32 | 002,032,128 | ---- | M] (Microsoft Corporation) MD5=F140B984628DA0171AC67548A0515572 -- C:\Windows\System32\win32k.sys
    [2009/08/15 16:08:32 | 002,032,128 | ---- | M] (Microsoft Corporation) MD5=F140B984628DA0171AC67548A0515572 -- C:\Windows\winsxs\x86_microsoft-windows-win32k_31bf3856ad364e35_6.0.6000.21108_none_b79eb803b676ce08\win32k.sys

    < MD5 for: WININIT.EXE >
    [2006/11/02 04:45:57 | 000,095,744 | ---- | M] (Microsoft Corporation) MD5=D4385B03E8CCCEE6F0EE249F827C1F3E -- C:\Windows\erdnt\cache\wininit.exe
    [2006/11/02 04:45:57 | 000,095,744 | ---- | M] (Microsoft Corporation) MD5=D4385B03E8CCCEE6F0EE249F827C1F3E -- C:\Windows\System32\wininit.exe
    [2006/11/02 04:45:57 | 000,095,744 | ---- | M] (Microsoft Corporation) MD5=D4385B03E8CCCEE6F0EE249F827C1F3E -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6000.16386_none_2ebbf6d3076595ce\wininit.exe

    < MD5 for: WINLOGON.EXE >
    [2006/11/02 04:45:57 | 000,308,224 | ---- | M] (Microsoft Corporation) MD5=9F75392B9128A91ABAFB044EA350BAAD -- C:\Windows\erdnt\cache\winlogon.exe
    [2006/11/02 04:45:57 | 000,308,224 | ---- | M] (Microsoft Corporation) MD5=9F75392B9128A91ABAFB044EA350BAAD -- C:\Windows\System32\winlogon.exe
    [2006/11/02 04:45:57 | 000,308,224 | ---- | M] (Microsoft Corporation) MD5=9F75392B9128A91ABAFB044EA350BAAD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6000.16386_none_6d8c3f1ad8066b21\winlogon.exe

    < %systemroot%\*. /mp /s >

    < %systemroot%\system32\*.dll /lockedfiles >
    [2006/11/02 04:46:04 | 000,139,264 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\fontext.dll
    [2008/11/06 07:57:06 | 011,315,712 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\shell32.dll

    < %systemroot%\Tasks\*.job /lockedfiles >

    < %systemroot%\system32\drivers\*.sys /lockedfiles >

    < %systemroot%\System32\config\*.sav >
    [2006/11/02 05:34:05 | 000,008,192 | ---- | M] () -- C:\Windows\System32\config\COMPONENTS.SAV
    [2006/11/02 05:34:05 | 000,020,480 | ---- | M] () -- C:\Windows\System32\config\DEFAULT.SAV
    [2006/11/02 05:34:05 | 000,008,192 | ---- | M] () -- C:\Windows\System32\config\SECURITY.SAV
    [2006/11/02 05:34:08 | 010,133,504 | ---- | M] () -- C:\Windows\System32\config\SOFTWARE.SAV
    [2006/11/02 05:34:08 | 001,826,816 | ---- | M] () -- C:\Windows\System32\config\SYSTEM.SAV
    < End of report >
    8 Janvier 2011 13:22:33

    ba pourtant j'ai encore du lag là. C'est pas aussi fluide qu'après le passage de combofix qui reglait vraiment le probleme jusqu'au redemarrage apres quoi ca revenait.

    Je vais voir ton lien.
    8 Janvier 2011 13:48:49

    poste ton rapport :) 
    8 Janvier 2011 15:58:35

    Voila ce que ca a trouvé:

    C:\$RECYCLE.BIN\S-1-5-21-3396289583-2676842815-4124663679-1000\$RHH7AGV.exe une variante de Win32/Adware.HotBar.H application
    C:\Program Files\Everest Poker.fr\cstart-tmp.exe une variante de Win32/Casino application
    C:\QooBox\Quarantine\C\Users\berger\binternet.exe.vir une variante de Win32/BInternet.AA application
    C:\Users\berger\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\586ef460-6c872951 menaces multiples
    C:\Users\berger\Downloads\Everest Poker.fr.exe une variante de Win32/Casino application
    C:\Users\berger\Downloads\VLCSetup.exe une variante de Win32/Adware.HotBar.H application
    9 Janvier 2011 19:03:42

    Bonjour
    relance eset et supprimes les détections cette fois ci.


    Citation :
    Il me semble pas qu'ils étaient là avant. je me trompe ?

    Rien à voir avec ce que nous avons fait...

    Désinstalle combofix en suivant cette procédure:

  • Menu démarrer puis exécuter
  • Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.



    Mets à jour Java:
    http://www.java.com/fr/


    Supprime tous les programmes installés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!


    ~Edite ton premier message et marque [résolu] dans le titre.
    Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.

    :hello: 



    9 Janvier 2011 22:32:17

    Voila j'ai fait ce que tu as dit, mais quand j'ai mis Combofix /u ca l'a lancé au lieu de le désinstaller.

    Je te mets le log que ca m'a donné à tout hasard:
    ComboFix 11-01-08.05 - berger 09/01/2011 22:07:41.11.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.2047.996 [GMT 1:00]
    Lancé depuis: c:\users\berger\Desktop\ComboFix.exe
    Commutateurs utilisés :: /u
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\users\berger\AppData\Roaming\cacaoweb
    c:\users\berger\AppData\Roaming\cacaoweb\adstorage.db
    c:\users\berger\AppData\Roaming\cacaoweb\cacaoweb.exe
    c:\users\berger\AppData\Roaming\cacaoweb\megavideo3A9KWU8Z432618900.cacao
    c:\users\berger\AppData\Roaming\cacaoweb\storage.db

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-12-09 au 2011-01-09 ))))))))))))))))))))))))))))))))))))
    .

    2011-01-09 21:15 . 2011-01-09 21:16 -------- d-----w- c:\users\berger\AppData\Local\temp
    2011-01-09 21:15 . 2011-01-09 21:15 -------- d-----w- c:\users\Default\AppData\Local\temp
    2011-01-09 18:22 . 2011-01-09 18:22 -------- d-----w- c:\program files\ESET
    2011-01-09 18:16 . 2011-01-09 18:16 472808 ----a-w- c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
    2011-01-09 18:16 . 2011-01-09 18:16 472808 ----a-w- c:\windows\system32\deployJava1.dll
    2011-01-07 10:11 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{892E7F5D-6105-4813-B629-4259DC1252FA}\mpengine.dll
    2011-01-07 10:07 . 2011-01-07 10:07 -------- d-sh--w- c:\windows\system32\%APPDATA%
    2011-01-04 17:56 . 2011-01-04 17:58 -------- d-----w- C:\8554094111b06c4ee8008b84d621
    2011-01-01 16:07 . 2011-01-09 17:14 -------- d-----w- c:\users\berger\AppData\Roaming\vlc
    2010-12-29 09:46 . 2010-12-29 09:46 -------- d-----w- c:\program files\Common Files\Adobe
    2010-12-29 09:38 . 2010-11-29 09:41 35136 ----a-w- c:\program files\Mozilla Firefox\plugins\np_gp.dll
    2010-12-29 09:38 . 2010-12-30 09:39 -------- d-----w- c:\programdata\NOS
    2010-12-29 09:38 . 2010-12-29 09:38 -------- d-----w- c:\program files\NOS
    2010-12-27 14:33 . 2010-12-27 14:33 -------- d-----w- c:\program files\iPod
    2010-12-27 14:32 . 2010-12-27 14:34 -------- d-----w- c:\program files\iTunes
    2010-12-21 21:24 . 2010-12-21 21:24 -------- d-----w- c:\program files\Enigma Software Group
    2010-12-21 21:24 . 2010-12-21 22:02 -------- d-----w- c:\windows\3636C9237AD64DE3978A09609AEE8ECF.TMP
    2010-12-21 19:25 . 2010-12-21 19:25 -------- d-----w- c:\users\berger\AppData\Roaming\Malwarebytes
    2010-12-21 19:25 . 2010-12-21 19:25 -------- d-----w- c:\programdata\Malwarebytes
    2010-12-21 19:25 . 2011-01-09 20:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-12-21 18:36 . 2011-01-09 20:58 -------- d-----w- c:\program files\ZHPDiag
    2010-12-21 16:12 . 2010-12-21 16:12 -------- d-----w- c:\windows\Sun

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-11-29 16:38 . 2010-11-29 16:38 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
    2010-11-29 16:38 . 2010-11-29 16:38 69632 ----a-w- c:\windows\system32\QuickTime.qts
    2010-10-19 09:41 . 2009-10-03 03:15 222080 ------w- c:\windows\system32\MpSigStub.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-03-10 1232896]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
    "ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-08-09 221184]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
    "OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-05-24 71176]
    "SunJavaUpdateReg"="c:\windows\system32\jureg.exe" [2007-04-07 54936]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "ORAHSSSessionManager"="c:\program files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe" [2009-08-24 135920]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-11-26 136176]
    R2 reqjtsby;RDP Encoder Mirror Support;c:\windows\System32\svchost.exe [2006-11-02 22016]
    R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
    R3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe [2006-11-02 22016]
    R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2009-08-24 28224]


    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper
    .
    Contenu du dossier 'Tâches planifiées'

    2011-01-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-11-26 15:26]

    2011-01-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-11-26 15:26]

    2011-01-09 c:\windows\Tasks\User_Feed_Synchronization-{D2E11D23-B1A6-4DC0-B2A1-6640B0611C66}.job
    - c:\windows\system32\msfeedssync.exe [2010-07-12 04:30]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://orange.fr/
    uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-04206471363191...{searchTerms}
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
    Trusted Zone: chat-land.org
    FF - ProfilePath - c:\users\berger\AppData\Roaming\Mozilla\Firefox\Profiles\ftflm3qo.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    FF - Ext: AnyColor: anycolor.pavlos256@gmail.com - %profile%\extensions\anycolor.pavlos256@gmail.com
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    FF - Ext: UnPlug: unplug@compunach - %profile%\extensions\unplug@compunach
    FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
    FF - Ext: DetecVideo: delatv@detectvideo.com - %profile%\extensions\delatv@detectvideo.com
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-cacaoweb - c:\users\berger\AppData\Roaming\cacaoweb\cacaoweb.exe
    HKLM-Run-Malwarebytes' Anti-Malware (reboot) - c:\program files\Malwarebytes' Anti-Malware\mbam.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-01-09 22:16
    Windows 6.0.6000 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    cacaoweb = "c:\users\berger\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer?abled:cacaoweb?ng???O?(?O???????O?lR:w??O???????????O???????O?<f?u`e?u????????????p???????????????????????????????????????????????????????????????????????????????????????????????????????Q??????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:00000000

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:00000000
    .
    Heure de fin: 2011-01-09 22:20:30
    ComboFix-quarantined-files.txt 2011-01-09 21:20
    ComboFix2.txt 2011-01-03 15:22
    ComboFix3.txt 2011-01-01 15:40
    ComboFix4.txt 2011-01-01 14:32
    ComboFix5.txt 2011-01-09 20:55

    Avant-CF: 190 803 693 568 octets libres
    Après-CF: 193 660 547 072 octets libres

    - - End Of File - - C8864CB0BA0BAE471CCCE57471A50D3C
    10 Janvier 2011 20:55:34

    Bonsoir
    supprime manuellement
    :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS