Se connecter / S'enregistrer
Votre question

Virus impossible à enlever + rapport HiJack

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
19 Mars 2009 12:47:43

Bonjour,
j'ai un (ou des) virus que je traîne depuis quelques temps déjà, et que je n'arrive pas du tout à enlever. Ca a commencé quand mon firewall a commencé à détecter des attaques "déni de service" et des attaques par "fragments courts". J'ai d'abord cru que ça venait de mon compte dyndns, qui rendait mon pc accessible de partout, mais j'ai ce problème quel que soit l'endroit où est connecté mon pc (je l'ai testé chez plusieurs personnes).

Et maintenant j'ai beaucoup plus de problèmes, dont un très gênant qui fait que google est modifié: dans la description du lien de certains résultats, il est écrit "class="f">6 posts - 2 authors - Last post: 8 Mar 2007" au lieu de la description normale, et lorsque je clique sur certains liens de résultats, je tombe sur un site publicitaire, et je dois l'ouvrir une seconde fois pour ouvrir le bon site. Il est clair que ce comportement de google n'est pas normal, et je soupçonne un spyware. J'ai aussi divers autres problèmes comme certains sites qui, dès que j'y accède, bloquent mon accès au web (alors que bizarrement le ping fonctionne toujours), et je suis obligé de redémarrer mon pc pour y remédier.

Enfin bref, j'en ai vraiment marre et il faut vraiment que je résolve ce problème.

Voici mon log HiJackThis: (merci d'avance pour vos réponses)

Citation :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:28:55, on 19/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:p rogrammesAviraAntiVir PersonalEdition Classicsched.exe
C:WINDOWSExplorer.EXE
C:p rogram FilesAnalog DevicesCoresmax4pnp.exe
E:p rogrammesRivaTuner v2.21RivaTuner.exe
C:p rogrammesMotherboard Monitor 5MBM5.EXE
C:p rogrammesAviraAntiVir PersonalEdition Classicavgnt.exe
C:p rogrammesSuperCopier2SuperCopier2.exe
E:p rogrammesSpybot - Search & DestroyTeaTimer.exe
C:p rogram FilesSkypePhoneSkype.exe
C:p rogrammesDAEMON Tools Litedaemon.exe
C:p rogrammesLogitechSetPointSetPoint.exe
C:p rogram FilesFichiers communsLogishrdKHAL2KHALMNPR.EXE
C:p rogrammesAviraAntiVir PersonalEdition Classicavguard.exe
C:p rogram FilesBonjourmDNSResponder.exe
C:p rogram FilesJavajre6binjqs.exe
C:p rogram FilesM-Audio MA_CMIDIMA_CMIDI_Inst.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32oodag.exe
C:WINDOWSsystem32PnkBstrA.exe
E:p rogrammesAlcohol SoftAlcohol 120StarWindStarWindServiceAE.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32alg.exe
C:p rogram FilesSkypePlugin ManagerskypePM.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32wuauclt.exe
E:p rogrammesMozilla Firefoxfirefox.exe
E:p rogrammesHijackThisHijackThis.exe
C:WINDOWSsystem32wbemwmiprvse.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.google.fr/ie
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.google.fr
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.google.fr/ie
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://register.freeze.com/...
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:p rogram FilesFichiers communsAdobeAcrobatActiveXAcroIEHelperShim.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:WINDOWSsystem32BhoECart.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:p rogrammesFlashGetjccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:p ROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:p rogram FilesJavajre6binssv.dll
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:p ROGRA~1MEGAUP~1MEGAUP~1.DLL
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - E:p rogrammesMegauploadMega ManagerMegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:p rogram FilesJavajre6binjp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:p rogram FilesJavajre6libdeployjqsiejqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:p rogrammesFlashGetgetflash.dll
O4 - HKLM..Run: [SoundMAXPnP] C:p rogram FilesAnalog DevicesCoresmax4pnp.exe
O4 - HKLM..Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [OutpostMonitor] C:p ROGRA~2AgnitumOUTPOS~1op_mon.exe /tray /noservice
O4 - HKLM..Run: [OutpostFeedBack] "C:p rogrammesAgnitumOutpost Firewall Profeedback.exe" /dump:o s_startup
O4 - HKLM..Run: [RivaTuner] "E:p rogrammesRivaTuner v2.21RivaTuner.exe" /T
O4 - HKLM..Run: [MBM 5] "C:p rogrammesMotherboard Monitor 5MBM5.EXE"
O4 - HKLM..Run: [RivaTunerStartupDaemon] "E:p rogrammesRivaTuner v2.21RivaTuner.exe" /S
O4 - HKLM..Run: [avgnt] "C:p rogrammesAviraAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKCU..Run: [SuperCopier2.exe] C:p rogrammesSuperCopier2SuperCopier2.exe
O4 - HKCU..Run: [DAEMON Tools Pro Agent] "E:p rogrammesDAEMON Tools ProDTProAgent.exe"
O4 - HKCU..Run: [SpybotSD TeaTimer] E:p rogrammesSpybot - Search & DestroyTeaTimer.exe
O4 - HKCU..Run: [Skype] "C:p rogram FilesSkypePhoneSkype.exe" /nosplash /minimized
O4 - HKCU..Run: [DAEMON Tools Lite] "C:p rogrammesDAEMON Tools Litedaemon.exe" -autorun
O4 - HKUSS-1-5-19..RunOnce: [Config] %systemroot%system32run.cmd (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%System32syssetub.dll" "%SystemRoot%System32syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..RunOnce: [tscuninstall] %systemroot%system32tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..RunOnce: [Config] %systemroot%system32run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUSS-1-5-18..RunOnce: [Config] %systemroot%system32run.cmd (User 'SYSTEM')
O4 - HKUS.DEFAULT..RunOnce: [Config] %systemroot%system32run.cmd (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:p rogrammesLogitechSetPointSetPoint.exe
O8 - Extra context menu item: &Tout télécharger avec FlashGet - E:p rogrammesFlashGetjc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - E:p rogrammesFlashGetjc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:p ROGRA~2MICROS~1OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:p rogram FilesJavajre6binjp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:p rogram FilesJavajre6binjp2iexp.dll
O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:p rogrammesAgnitumOutpost Firewall Proie_bar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:p ROGRA~2MICROS~1OFFICE11REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:p rogrammesFlashGetFlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:p rogrammesFlashGetFlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:p ROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:p ROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:p rogram FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:p rogram FilesMessengermsmsgs.exe
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O17 - HKLMSystemCCSServicesTcpip..{1EC28972-E4FE-4CA1-8FBA-F008D490BA98}: NameServer = 85.255.112.115,85.255.112.205
O17 - HKLMSystemCCSServicesTcpip..{39349141-2681-4CB6-85F0-0600DE979DD7}: NameServer = 85.255.112.115,85.255.112.205
O17 - HKLMSystemCCSServicesTcpip..{FA65E94F-A60F-4DE9-B112-A75D0812A6CF}: NameServer = 85.255.112.115,85.255.112.205
O17 - HKLMSystemCS1ServicesTcpipParameters: NameServer = 85.255.112.115,85.255.112.205
O17 - HKLMSystemCS1ServicesTcpip..{1EC28972-E4FE-4CA1-8FBA-F008D490BA98}: NameServer = 85.255.112.115,85.255.112.205
O17 - HKLMSystemCCSServicesTcpipParameters: NameServer = 85.255.112.115,85.255.112.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:p ROGRA~1FICHIE~1SkypeSKYPE4~1.DLL
O20 - AppInit_DLLs: c:p rogra~2agnitumoutpos~1wl_hook.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:p ROGRA~2AgnitumOUTPOS~1acs.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:p rogrammesAviraAntiVir PersonalEdition Classicsched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:p rogrammesAviraAntiVir PersonalEdition Classicavguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:p rogram FilesBonjourmDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:p rogram FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:p rogram FilesJavajre6binjqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:p rogram FilesFichiers communsLogishrdBluetoothLBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - E:p rogrammesma-config.commaconfservice.exe
O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:p rogram FilesM-Audio MA_CMIDIMA_CMIDI_Inst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:WINDOWSsystem32oodag.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - E:p rogrammesOpenVPNbinopenvpnserv.exe
O23 - Service: PnkBstrA - Unknown owner - C:WINDOWSsystem32PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:p rogrammesAlcohol SoftAlcohol 120StarWindStarWindServiceAE.exe
O23 - Service: wampapache - Apache Software Foundation - E:p rogrammeswampbinapacheapache2.2.10binhttpd.exe
O23 - Service: wampmysqld - Unknown owner - E:p rogrammeswampbinmysqlmysql5.1.30binmysqld.exe

--
End of file - 10883 bytes

Autres pages sur : virus impossible enlever rapport hijack

a c 267 8 Sécurité
19 Mars 2009 13:34:26

Salut,


1/

  • Démarre Spybot, clique sur Mode, coche Mode avancé.
  • A gauche, clique sur Outils, puis sur Résident.
  • Décoche la case devant Résident "TeaTimer" :

  • Quitte Spybot.


    2/

    [#ff0000]/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\[/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    19 Mars 2009 13:58:47

    Merci pour ta réponse,
    Voilà le rapport généré par ComboFix:

    Citation :
    ComboFix 09-03-18.01 - Samax Tripwood 2009-03-19 13:51:47.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2046.908 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Samax Tripwood\Bureau\ComboFix.exe
    AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
    FW: Outpost Firewall Pro *enabled*
    * Un nouveau point de restauration a été créé
    .
    Les fichiers ci-dessous ont été désactivés pendant l'exécution:
    c:\programmes\SuperCopier2\SC2Hook.dll


    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\autorun.inf
    c:\recycler\S-1-3-13-100023863-100020565-100003248-8581.com
    c:\windows\system32\404Fix.exe
    c:\windows\system32\Agent.OMZ.Fix.exe
    c:\windows\system32\drivers\gaopdxserv.sys
    c:\windows\system32\dumphive.exe
    c:\windows\system32\IEDFix.C.exe
    c:\windows\system32\IEDFix.exe
    c:\windows\system32\lsprst7.dll
    c:\windows\system32\o4Patch.exe
    c:\windows\system32\Process.exe
    c:\windows\system32\SrchSTS.exe
    c:\windows\system32\ssprs.dll
    c:\windows\system32\tmp.reg
    c:\windows\system32\VACFix.exe
    c:\windows\system32\VCCLSID.exe
    c:\windows\system32\WS2Fix.exe
    D:\Autorun.inf
    d:\recycler\S-1-3-13-100023863-100020565-100003248-8581.com
    d:\recycler\S-5-7-95-100030516-100029395-100028073-9795.com
    E:\Autorun.inf
    e:\recycler\S-1-3-13-100023863-100020565-100003248-8581.com
    e:\recycler\S-5-7-95-100030516-100029395-100028073-9795.com
    e:\recycler\S-6-5-83-100025076-100004153-100011225-8662.com
    G:\Autorun.inf
    g:\recycler\S-1-3-13-100023863-100020565-100003248-8581.com
    g:\recycler\S-5-7-95-100030516-100029395-100028073-9795.com
    H:\Autorun.inf
    h:\recycler\S-1-3-13-100023863-100020565-100003248-8581.com
    h:\recycler\S-5-7-95-100030516-100029395-100028073-9795.com
    h:\recycler\S-6-5-83-100025076-100004153-100011225-8662.com
    I:\Autorun.inf
    i:\recycler\S-1-3-13-100023863-100020565-100003248-8581.com
    i:\recycler\S-5-7-95-100030516-100029395-100028073-9795.com
    i:\recycler\S-6-5-83-100025076-100004153-100011225-8662.com
    J:\Autorun.inf
    j:\recycler\S-1-3-13-100023863-100020565-100003248-8581.com
    j:\recycler\S-5-7-95-100030516-100029395-100028073-9795.com
    L:\Autorun.inf
    l:\recycler\S-1-3-13-100023863-100020565-100003248-8581.com
    l:\recycler\S-5-7-95-100030516-100029395-100028073-9795.com

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_quadraserv.sys


    ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-19 au 2009-03-19 ))))))))))))))))))))))))))))))))))))
    .

    2009-03-19 13:41 . 2009-03-19 13:41 38,400 --a------ c:\windows\system32\drivers\quadraserv.sys
    2009-03-18 21:24 . 2009-03-19 13:55 212,641 --a------ c:\windows\system32\nvapps.xml
    2009-03-18 21:23 . 2009-03-18 21:23 <REP> d-------- c:\windows\nview
    2009-03-18 21:23 . 2009-03-18 21:23 <REP> d-------- C:\NVIDIA
    2009-03-18 21:23 . 2009-02-16 23:17 453,152 --a------ c:\windows\system32\NVUNINST.EXE
    2009-03-18 21:23 . 2009-02-18 14:44 453,152 --a------ c:\windows\system32\nvudisp.exe
    2009-03-18 21:23 . 2009-02-18 14:44 19,021 --a------ c:\windows\system32\nvdisp.nvu
    2009-03-17 16:40 . 2009-03-17 16:40 <REP> d-------- c:\documents and settings\Samax Tripwood\Application Data\Weezo
    2009-03-17 00:36 . 2009-03-17 00:36 <REP> d-------- C:\Downloads
    2009-03-13 16:28 . 2009-03-18 20:53 <REP> d-------- c:\documents and settings\All Users\Application Data\Soulseek
    2009-03-11 23:00 . 2009-03-11 23:12 0 --a------ c:\windows\MEMORY.DMP
    2009-03-05 00:02 . 2009-03-05 00:02 <REP> d-------- c:\program files\Fichiers communs\ATI
    2009-03-05 00:02 . 2009-03-05 00:02 <REP> d-------- c:\program files\ATI Multimedia
    2009-03-04 18:40 . 2009-03-04 18:40 <REP> d---s---- c:\documents and settings\Samax Tripwood\UserData
    2009-03-03 13:58 . 2009-03-03 13:58 <REP> d-------- c:\documents and settings\Samax Tripwood\Application Data\DAEMON Tools
    2009-03-03 13:57 . 2009-03-03 13:59 <REP> d-------- c:\documents and settings\Samax Tripwood\Application Data\DAEMON Tools Lite
    2009-03-03 13:57 . 2009-03-03 13:57 <REP> d-------- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
    2009-02-28 23:24 . 2009-02-28 23:24 <REP> d-------- c:\documents and settings\All Users\Application Data\ATI MMC
    2009-02-27 16:05 . 2007-02-15 09:43 1,474,560 -rahs---- C:\vstaldr.img
    2009-02-27 16:05 . 2007-01-07 09:47 166,876 -rahs---- C:\vstaldr
    2009-02-27 16:05 . 2007-02-14 06:25 219 -rahs---- C:\menu.lst
    2009-02-25 23:57 . 2009-03-17 17:10 69 --a------ c:\windows\NeroDigital.ini
    2009-02-24 19:15 . 2009-02-24 19:15 320 --a------ c:\windows\d3xp.ini
    2009-02-24 17:31 . 2009-02-24 17:31 313 --a------ c:\windows\doom3.ini

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-03-19 12:55 --------- d-----w c:\documents and settings\Samax Tripwood\Application Data\Skype
    2009-03-19 10:49 --------- d-----w c:\documents and settings\Samax Tripwood\Application Data\skypePM
    2009-03-18 20:28 --------- d-----w c:\documents and settings\Samax Tripwood\Application Data\uTorrent
    2009-03-18 20:24 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
    2009-03-18 20:24 --------- d-----w c:\program files\AGEIA Technologies
    2009-03-04 23:11 --------- d-----w c:\documents and settings\All Users\Application Data\ma-config.com
    2009-03-04 23:02 --------- d--h--w c:\program files\InstallShield Installation Information
    2009-03-03 17:42 --------- d-----w c:\documents and settings\Samax Tripwood\Application Data\FileZilla
    2009-03-02 19:31 --------- d-----w c:\program files\Digsby
    2009-02-26 21:14 --------- d-----w c:\program files\Linksys Wireless-G USB Wireless Network Monitor
    2009-02-24 22:19 413,696 ----a-w c:\windows\system32\wrap_oal.dll
    2009-02-24 22:19 110,592 ----a-w c:\windows\system32\OpenAL32.dll
    2009-02-09 00:58 --------- d-----w c:\program files\Steinberg
    2009-02-09 00:58 --------- d-----w c:\documents and settings\Samax Tripwood\Application Data\Steinberg
    2009-02-09 00:51 --------- d-----w c:\program files\Image-Line
    2009-02-07 21:44 6,838 ----a-w c:\windows\system32\ealregsnapshot1.reg
    2009-02-04 19:29 --------- d-----w c:\documents and settings\Samax Tripwood\Application Data\StoneTrip
    2009-02-04 19:28 --------- d-----w c:\program files\StoneTrip
    2009-01-31 18:51 --------- d-----w c:\documents and settings\Samax Tripwood\Application Data\Megaupload
    2009-01-31 18:50 --------- d-----w c:\program files\MegauploadToolbar
    2009-01-31 18:50 --------- d-----w c:\documents and settings\Samax Tripwood\Application Data\MegauploadToolbar
    2009-01-31 18:50 --------- d-----w c:\documents and settings\Samax Tripwood\Application Data\EmailNotifier
    2009-01-31 18:50 --------- d-----w c:\documents and settings\All Users\Application Data\Megaupload
    2009-01-31 18:50 --------- d-----w c:\documents and settings\All Users\Application Data\EmailNotifier
    2009-01-29 23:09 --------- d-----w c:\documents and settings\Samax Tripwood\Application Data\KillProcess
    2009-01-29 22:13 --------- d-----w c:\program files\M-Audio MA_CMIDI
    2009-01-27 21:20 --------- d-----w c:\documents and settings\Samax Tripwood\Application Data\Borland
    2009-01-27 21:20 --------- d-----w c:\documents and settings\All Users\Application Data\Borland
    2009-01-27 19:05 --------- d--h--w c:\program files\Zero G Registry
    2009-01-26 21:25 --------- d-----w c:\documents and settings\Samax Tripwood\Application Data\3M
    2009-01-26 21:24 --------- d-----w c:\documents and settings\Samax Tripwood\Application Data\GetRightToGo
    2009-01-26 18:04 --------- d-----w c:\program files\Fichiers communs\Adobe
    2009-01-16 17:24 70,936 ----a-w c:\windows\system32\PhysXLoader.dll
    2009-01-14 17:12 43,520 ----a-w c:\windows\system32\CmdLineExt03.dll
    2009-01-13 10:13 111,928 ----a-w c:\windows\system32\PnkBstrB.exe
    2009-01-10 21:54 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
    2009-01-02 17:35 61,179 ----a-w c:\windows\BricoPackUninst.cmd
    2009-01-02 17:35 5,350 ----a-w c:\windows\BricoPackFoldersDelete.cmd
    2009-01-02 17:35 219,648 ----a-w c:\windows\system32\uxtheme.dll
    2008-12-31 16:24 2,857,336 ----a-w c:\windows\system32\SpoonUninstall.exe
    2008-12-26 12:10 669,184 ----a-w c:\windows\system32\pbsvc.exe
    2008-12-26 12:10 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
    2008-12-26 12:10 22,328 ----a-w c:\documents and settings\Samax Tripwood\Application Data\PnkBstrK.sys
    2007-09-26 17:31 2,532,922 ----a-w c:\windows\inf\SET952.tmp
    2006-06-23 13:48 32,768 ----a-w c:\windows\inf\UpdateUSB.exe
    .

    ------- Sigcheck -------

    2008-10-16 02:04 671232 1c6e9fdab1f4cb983a39efba6f131acc c:\windows\$hf_mig$\KB958215\SP3QFE\wininet.dll
    2006-04-12 19:13 667648 241dbc4c2714b2f39afded49459ed420 c:\windows\$NtServicePackUninstall$\wininet.dll
    2008-04-13 19:33 670208 4a6e04ea20f48d750d9bfed8600d516b c:\windows\$NtUninstallKB958215$\wininet.dll
    2008-10-16 02:01 704512 7930ba23b91b0c12b20b5e244796d1b9 c:\windows\ServicePackFiles\i386\wininet.dll
    2008-10-16 21:18 826368 cfbfa47415e85018e2cdc509e5e3d011 c:\windows\SoftwareDistribution\Download\9be74ccf2e967ebc45085789ed7bfc38\SP2GDR\wininet.dll
    2008-10-16 20:33 827904 37d1a1bfe3d9904f2c3d11592456f9c0 c:\windows\SoftwareDistribution\Download\9be74ccf2e967ebc45085789ed7bfc38\SP2QFE\wininet.dll
    2008-08-26 09:11 826368 e30cacd98479b36a3dbfa3267bf62dd0 c:\windows\SoftwareDistribution\Download\a37a907ce729d9b027006f974e62dcad\SP2GDR\wininet.dll
    2008-08-26 10:10 827904 4b0e70d44297877a313045bd059770e1 c:\windows\SoftwareDistribution\Download\a37a907ce729d9b027006f974e62dcad\SP2QFE\wininet.dll
    2008-10-16 02:01 704512 7930ba23b91b0c12b20b5e244796d1b9 c:\windows\system32\wininet.dll
    2008-10-16 02:01 670208 05033943ff61abd13b93c00337d04e92 c:\windows\system32\dllcache\wininet.dll

    2008-04-13 19:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\explorer.exe
    2004-08-19 16:09 1036288 2a7bd330924252a2fd80344fc949bb72 c:\windows\$NtServicePackUninstall$\explorer.exe
    2008-04-13 19:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\ServicePackFiles\i386\explorer.exe

    2008-10-16 14:09 66584 2275f45e257d46e6500558b2930cb9a4 c:\windows\ServicePackFiles\i386\wuauclt.exe
    2008-10-16 14:09 66584 2275f45e257d46e6500558b2930cb9a4 c:\windows\system32\wuauclt.exe
    2005-11-11 12:50 125720 6cc08152ed8681bc176be1b0f3c0e908 c:\windows\system32\dllcache\wuauclt.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-C39E-35F1D2A32EC8}]
    2008-08-04 21:44 1947080 --a------ c:\progra~1\MEGAUP~1\MEGAUP~1.DLL

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SuperCopier2.exe"="c:\programmes\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
    "Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-18 21633320]
    "DAEMON Tools Lite"="c:\programmes\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-03-16 868352]
    "OutpostMonitor"="c:\progra~2\Agnitum\OUTPOS~1\op_mon.exe" [2008-07-01 1160008]
    "OutpostFeedBack"="c:\programmes\Agnitum\Outpost Firewall Pro\feedback.exe" [2008-07-01 430080]
    "RivaTuner"="e:\programmes\RivaTuner v2.21\RivaTuner.exe" [2008-12-10 2732032]
    "MBM 5"="c:\programmes\Motherboard Monitor 5\MBM5.EXE" [2004-06-12 594944]
    "RivaTunerStartupDaemon"="e:\programmes\RivaTuner v2.21\RivaTuner.exe" [2008-12-10 2732032]
    "avgnt"="c:\programmes\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
    "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-10-10 c:\windows\KHALMNPR.Exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nlsf"="move" [X]
    "Config"="c:\windows\system32\run.cmd" [2006-02-14 248]
    "tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Logitech SetPoint.lnk - c:\programmes\Logitech\SetPoint\SetPoint.exe [2008-12-15 809488]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 1 (0x1)
    "NoWelcomeScreen"= 1 (0x1)
    "NoSMHelp"= 1 (0x1)
    "NoStrCmpLogical"= 0 (0x0)

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 1 (0x1)
    "NoWelcomeScreen"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
    2008-11-07 16:41 72208 c:\program files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.divxa32"= divxa32.acm
    "VIDC.X264"= x264vfw.dll
    "vidc.i263"= i263_32.drv
    "VIDC.ZMBV"= zmbv.dll
    "midi1"= ma_cmidn.dll
    "midi2"= ma_cmidn.dll
    "midi3"= ma_cmidn.dll
    "midi4"= ma_cmidn.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ \0

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
    @=""

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
    backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^Samax Tripwood^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.0.lnk]
    path=c:\documents and settings\Samax Tripwood\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.0.lnk
    backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

    [HKLM\~\startupfolder\C:^Documents and Settings^Samax Tripwood^Menu Démarrer^Programmes^Démarrage^TransBar.lnk]
    path=c:\documents and settings\Samax Tripwood\Menu Démarrer\Programmes\Démarrage\TransBar.lnk
    backup=c:\windows\pss\TransBar.lnkStartup

    [HKLM\~\startupfolder\C:^Documents and Settings^Samax Tripwood^Menu Démarrer^Programmes^Démarrage^UberIcon.lnk]
    path=c:\documents and settings\Samax Tripwood\Menu Démarrer\Programmes\Démarrage\UberIcon.lnk
    backup=c:\windows\pss\UberIcon.lnkStartup

    [HKLM\~\startupfolder\C:^Documents and Settings^Samax Tripwood^Menu Démarrer^Programmes^Démarrage^Xfire.lnk]
    path=c:\documents and settings\Samax Tripwood\Menu Démarrer\Programmes\Démarrage\Xfire.lnk
    backup=c:\windows\pss\Xfire.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    --a------ 2008-06-12 02:38 34672 e:\programmes\Adobe\Reader 9.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
    --a------ 2008-02-22 16:58 217544 e:\programmes\Alcohol Soft\Alcohol 120\AxCmd.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATI Remote Control]
    --a------ 2006-04-05 22:03 1622016 e:\programmes\ATI Multimedia\RemCtrl\ATIRW.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
    --a------ 2006-09-28 20:21 57344 c:\programmes\CloneCD\CloneCDTray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe]
    --a------ 2007-06-29 15:03 36864 c:\program files\GameSpy\Comrade\Comrade.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
    --a------ 2008-07-22 12:34 2772992 c:\program files\Electronic Arts\EADM\Core.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
    --a------ 2005-10-23 00:00 385024 c:\program files\Syncrosoft\POS\H2O\cledx.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2006-01-12 15:40 155648 c:\windows\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
    --a------ 2009-02-18 14:44 86016 c:\windows\system32\nvmctray.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
    --a------ 2008-11-03 11:45 2540800 c:\windows\system32\oodtray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ProxyCap]
    --a------ 2009-01-21 17:26 282624 c:\progra~2\ProxyCap\ProxyCap.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RGSC]
    --a------ 2008-12-15 19:11 306088 e:\programmes\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RocketDock]
    --a------ 2007-03-18 23:05 630784 c:\programmes\Vista Inspirat 2\RocketDock\RocketDock.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
    --a------ 2007-04-03 20:55 839680 c:\program files\Analog Devices\SoundMAX\SMax4.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
    --a------ 2009-03-15 21:26 1410296 e:\jeux\Steam\Steam.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    --a------ 2008-12-16 09:54 136600 c:\program files\Java\jre6\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\XboxStat]
    --a------ 2007-09-27 02:05 734264 c:\program files\Microsoft Xbox 360 Accessories\XBoxStat.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
    --a------ 2009-02-18 14:44 1657376 c:\windows\system32\nwiz.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001
    "UpdatesDisableNotify"=dword:00000001
    "DisablePagingExecutive"=dword:00000001
    "SecondLevelDataCache"=dword:00000200

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "D:0\\Programmes\\FlashGet\\flashget.exe"=
    "D:0\\Programmes\\uTorrent\\uTorrent.exe"=
    "e:\\Jeux\\Neverwinter Nights 2\\nwn2main.exe"=
    "e:\\Jeux\\Neverwinter Nights 2\\nwn2main_amdxp.exe"=
    "e:\\Jeux\\Neverwinter Nights 2\\nwupdate.exe"=
    "e:\\Jeux\\Neverwinter Nights 2\\nwn2server.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrA.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrB.exe"=
    "e:\\Jeux\\Enemy Territory - QUAKE Wars\\etqwded.exe"=
    "e:\\Jeux\\Enemy Territory - QUAKE Wars\\etqw.exe"=
    "e:\\Programmes\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=
    "e:\\Jeux\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
    "e:\\Jeux\\Grand Theft Auto IV\\GTAIV.exe"=
    "e:\\Programmes\\uTorrent\\uTorrent.exe"=
    "e:\\Jeux\\Far Cry 2\\bin\\FarCry2.exe"=
    "e:\\Jeux\\Far Cry 2\\bin\\FC2Launcher.exe"=
    "e:\\Jeux\\Far Cry 2\\bin\\FC2Editor.exe"=
    "e:\\Jeux\\Prince of Persia\\Prince of Persia.exe"=
    "e:\\Jeux\\Prince of Persia\\PrinceOfPersia_Launcher.exe"=
    "e:\\Jeux\\Shaun White Snowboarding\\ShaunWhiteSnowboardingGame.exe"=
    "e:\\Jeux\\Shaun White Snowboarding\\ShaunWhiteSnowboarding.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "e:\\Jeux\\Mass Effect\\Binaries\\MassEffect.exe"=
    "e:\\Jeux\\Mass Effect\\MassEffectLauncher.exe"=
    "e:\\Jeux\\F.E.A.R. 2 SP Demo\\FEAR2SPDemo.exe"=
    "e:\\Jeux\\Burnout(TM) Paradise The Ultimate Box\\BurnoutLauncher.exe"=
    "e:\\Jeux\\Burnout(TM) Paradise The Ultimate Box\\BurnoutConfigTool.exe"=
    "e:\\Jeux\\Burnout(TM) Paradise The Ultimate Box\\BurnoutParadise.exe"=
    "e:\\Jeux\\Steam\\steamapps\\common\\peggle deluxe\\Peggle.exe"=
    "e:\\Jeux\\Steam\\steamapps\\common\\peggle extreme\\PeggleExtreme.exe"=
    "e:\\Jeux\\Steam\\steamapps\\common\\red orchestra\\System\\RedOrchestra.exe"=
    "e:\\Jeux\\Steam\\steamapps\\common\\eets\\Eets.exe"=
    "e:\\Jeux\\Steam\\steamapps\\common\\unreal tournament 3\\Binaries\\UT3.exe"=
    "e:\\Jeux\\Steam\\steamapps\\common\\fear2\\FEAR2.exe"=
    "e:\\Jeux\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=
    "e:\\Programmes\\Weezo\\Apache\\bin\\weezoHttpd.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R0 hotcore2;hotcore2;c:\windows\system32\drivers\hotcore2.sys [2009-01-14 30808]
    R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [2008-12-15 672160]
    R2 acssrv;Agnitum Client Security Service;c:\progra~2\Agnitum\OUTPOS~1\acs.exe [2008-12-15 1232896]
    R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2008-12-15 10384]
    R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [2008-12-15 30864]
    R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [2008-12-15 234640]
    R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [2009-01-17 33792]
    R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [2008-11-19 25216]
    S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [2001-08-24 3584]
    S3 ASWFilt;ASWFilt;c:\windows\system32\Filt\ASWFilt.dll [2008-12-15 33408]
    S3 cpuz131;cpuz131;\??\c:\docume~1\SAMAXT~1\LOCALS~1\Temp\cpuz131\cpuz_x32.sys --> c:\docume~1\SAMAXT~1\LOCALS~1\Temp\cpuz131\cpuz_x32.sys [?]
    S3 maconfservice;Ma-Config Service;e:\programmes\ma-config.com\maconfservice.exe [2009-01-24 216232]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-DAEMON Tools Pro Agent - e:\programmes\DAEMON Tools Pro\DTProAgent.exe
    MSConfigStartUp-SRS Audio Sandbox - e:\programmes\SRS Audio Sandbox\SRSSSC.exe
    MSConfigStartUp-WinampAgent - e:\programmes\Winamp\winampa.exe


    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Connection Wizard,ShellNext = hxxp://register.freeze.com/ping/?shortname=digsby&format=xml&os=5&parents=428,385&v=3&max=6&browsers=9,4&DefaultBrowser=9&a=9011&f=digsby
    uInternet Settings,ProxyOverride = *.local
    uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
    IE: &Tout télécharger avec FlashGet - e:\programmes\FlashGet\jc_all.htm
    IE: &Télécharger avec FlashGet - e:\programmes\FlashGet\jc_link.htm
    IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
    LSP: w2pxdrv.dll
    FF - ProfilePath - c:\documents and settings\Samax Tripwood\Application Data\Mozilla\Firefox\Profiles\zd585hi4.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.factornews.com/|http://www.canardpc.com/
    FF - prefs.js: keyword.URL - hxxp://www.google.com/search?btnI=I%27m+Feeling+Lucky&ie=UTF-8...
    FF - plugin: c:\documents and settings\Samax Tripwood\Application Data\Mozilla\Firefox\Profiles\zd585hi4.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
    FF - plugin: e:\programmes\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
    FF - plugin: e:\programmes\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
    FF - plugin: e:\programmes\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
    FF - plugin: e:\programmes\ma-config.com\nphardwaredetection.dll
    FF - plugin: e:\programmes\Mozilla Firefox\plugins\npSton3D.dll

    ---- PARAMETRES FIREFOX ----
    FF - user.js: yahoo.homepage.dontask - true.

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-03-19 13:55:55
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-1417001333-1214440339-725345543-1003\SOFTWARE\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
    "??"=hex:7a,a3,ff,33,b8,5a,3a,05,81,97,3d,d8,6b,1f,64,6e,aa,57,08,3f,13,01,cb,
    86,f9,5c,b1,af,9b,0d,ef,ce,34,18,ff,8a,53,14,e4,85,39,a3,5e,2d,32,25,fb,77,\
    "??"=hex:0a,b9,d7,2a,9f,a3,5c,15,af,43,50,01,d3,5c,b9,eb

    [HKEY_USERS\S-1-5-21-1417001333-1214440339-725345543-1003\SOFTWARE\SecuROM\License information*]
    "datasecu"=hex:3e,13,8a,b4,0f,b2,63,84,26,53,c5,f0,3b,9a,96,1a,2b,2e,e0,61,22,
    78,a6,75,2f,45,ed,64,24,6e,c7,dc,ba,9c,f0,6d,ae,fd,c2,a9,bf,82,e1,c4,bc,8e,\
    "rkeysecu"=hex:5e,bb,78,73,dc,c2,1c,9d,58,9e,d8,b6,6a,96,aa,51

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(1276)
    c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
    c:\program files\fichiers communs\logishrd\bluetooth\LBTServ.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\programmes\Avira\AntiVir PersonalEdition Classic\sched.exe
    c:\program files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.exe
    c:\programmes\Avira\AntiVir PersonalEdition Classic\avguard.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
    c:\windows\system32\nvsvc32.exe
    c:\windows\system32\oodag.exe
    c:\windows\system32\PnkBstrA.exe
    e:\programmes\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    c:\program files\Skype\Plugin Manager\skypePM.exe
    .
    **************************************************************************
    .
    Heure de fin: 2009-03-19 13:57:41 - La machine a redémarré
    ComboFix-quarantined-files.txt 2009-03-19 12:57:38

    Avant-CF: 5 626 589 184 octets libres
    Après-CF: 5,553,917,952 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    ;
    ;Warning: Boot.ini is used on Windows XP and earlier operating systems.
    ;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
    ;
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /NOEXECUTE=OPTIN /FASTDETECT

    398 --- E O F --- 2009-02-25 10:56:55
    Contenus similaires
    a c 267 8 Sécurité
    19 Mars 2009 14:31:41

    Peux-tu me poster le rapport sans les numéros de gauche ?
    19 Mars 2009 14:47:42

    c'est fait! Je l'avais posté comme code au lieu de le mettre en citation.
    a c 267 8 Sécurité
    19 Mars 2009 14:58:41

    /!\ Seul Cuarto MiShI peut suivre cette procédure /!\

    Désactive toute protection résidente (Antivirus...) !

    --> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

    KillAll::

    Driver::
    cpuz131

    File::
    c:\windows\system32\drivers\quadraserv.sys
    c:\docume~1\SAMAXT~1\LOCALS~1\Temp\cpuz131\cpuz_x32.sys


    --> Ouvre le Bloc-notes : Démarrer > Tous les programmes > Accessoires > Bloc-notes.

    - Colle (CTRL+V) le texte dans le Bloc-notes.
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer.
    - Quitte le Bloc-notes.

    --> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît, accepte.
  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt

    ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS