croquis

Bonjour Pear, Je viens de suivre tes instructions et donc de décocher le redémarrage automatique. L'erreur est réapparue mais pas d'écran bleu. L'explorateur redémarre encore automatiquement. Est-il nécessaire de rebooter l'ordinateur? Cordialement, Croquis

Bonjour Strato, J'ai effectué un scan sfc sous DOS. J'obtiens un message disant que "La protection des ressources a trouvé des fichiers endommagés mais n'a pas réussi à tous les réparer". On me signale également que le log d'information se trouve dans le journal CBS.Log. Ne pouvant ouvrir directement ce log, je me suis renseigné et j'ai trouvé cette invite de commande findstr (/C:"[sR] Repairing corrupted file" %windir%\logs\cbs\cbs.log >sfcdetails.txt) afin de créer un fichier txt lisible qui contient les noms des fichiers non réparés. Mais, je suis étonné de voir que ce fichier est totalement vide (0 octet)..! Au fait, je suis sous Vista familiale. Tu me conseillais de préparer le CD [Vista] de réparation. Je me suis donc plongé dans mes poussiéreuses archives et je n'ai trouvé qu'un seul CD nommé " Windows Anytime Upgrade". Est-ce le bon CD??? Quelle est la suite? Sans vouloir te surcharger de mes problèmes, je tenais à te signaler également (est-ce lié au premier problème?) que lorsque je clique sur certains raccourcis sur mon bureau, les applications correspondantes ne s'ouvrent pas et je dois alors cliquer-droit et ouvrir le répertoire puis re-cliquer-droit sur l'executable... Plutôt ch..nt comme trajet! Merci de ton attention et de ton coup de main. Croquis

Bonsoir à tous, Depuis deux semaines, je suis assez perplexe suite à un plantage (toutes les vingt minutes environ) d'Explorer qui redémarre immédiatement après. J'ai fait un scan avec Antivir qui me dit que le système n'est pas infecté. Je suspecte que le problème est apparu suite à l'installation d'un logiciel.. Ayant téléchargé dernièrement Invisible secrets et un éditeur hexadécimal (pour résoudre des énigmes). En farfouinant, j'ai découvert le log de l'observateur d'évènements qui me donne les informations suivantes : Application défaillante Explorer.EXE, version 6.0.6000.16771, horodatage 0x4907deda, module défaillant ntdll.dll, version 6.0.6000.16386, horodatage 0x4549bdc9, code d’exception 0xc0000005, décalage d’erreur 0x00042e7b, ID du processus 0x1460, heure de début de l’application 0x01c9a36085eb442d. J'ai fait quelques recherches sur la toile et j'ai localisé le fichier ntdll.dll mais je n'ose rien tenter étant donné qu'il s'agit sans doute d'un fichier important... Je ne sais pas d'ailleurs si remplacer le-dit fichier règlera le problème en amont... Au secours, donc! Merci d'avance, Croquis PS: OS Vista familiale Premium 32bits

Bonsoir Maitre Thanos Voila! Apres quelques bidouillages dont un nettoyage de cles de registre laissees par Kerio, j'ai tente de reinstaller le firewall et cette fois, ca marche!!! Donc me voici equipe avec Antivir, Kerio, Malewarebytes et CCleaner (reinstalle et pleinement fonctionnel) J'ai egalement installe ATF Cleaner vu mon manque de place, ce n'est pas du luxe! Ca fait plus serieux comme ca tout de meme. Comme tu me l'avais demande, j'ai fait tourner RSIT apres avoir installe Kerio. Etrangement, je ne vois que log.txt et aucune trace du fichier info.txt (ni en reduction dans la barre des taches, ni dans C:\rsit) En ce qui concerne ma cle USB, evidemment, comme tu me le conseilles, la meilleure solution serait de la formater mais j'ai des fichiers tres importants dessus (+/- 700Mb). J'ai elimine les 4 fichiers infectes par Sality. J'ai rescanne la cle avec Antivir qui n'a plus rien detecte. --> Penses-tu que je puisse maintenant ouvrir cette cle sans crainte..? --> Et le disque dur externe (H:\) sur lequel j'avais transfere mes doc - et qlq fichiers infectes aussi - qui etait apparemment finalement desinfecte? Voila, donc je ne te poste donc que le fichier log.txt : Mille merci pour tout A+ Croquis Logfile of random's system information tool 1.05 (written by random/random) Run by Ahmed at 2009-01-12 00:12:47 Microsoft Windows XP Professional Service Pack 2 System drive C: has 81 MB (2%) free of 5 GB Total RAM: 319 MB (36% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:13:26 AM, on 1/12/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\WINDOWS\system32\atievxx.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Ahmed\Desktop\RSIT.exe C:\Program Files\trend micro\Ahmed.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/m...90/mcinsctl.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688 O17 - HKLM\System\CCS\Services\Tcpip\..\{9368B0B3-40BE-406A-AA63-5B2BB2ACE365}: NameServer = 213.131.66.246,213.131.65.20 O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe -- End of file - 5333 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Tune-up Application Start.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader Link Helper - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] Java Plug-In SSV Helper - C:\Program Files\Java\jre6\bin\ssv.dll [2009-01-04 320920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-01-04 34816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-04 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "VirtualCloneDrive"=D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [2006-04-29 94208] "SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-01-04 136600] "avgnt"=C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497] C:\Documents and Settings\All Users\Start Menu\Programs\Startup Microsoft Office.lnk - D:\Program Files\Microsoft Office\Office10\OSA.EXE Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableLUA"=0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=177 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Program Files\Yahoo!\Messenger\YPager.exe"="C:\Program Files\Yahoo!\Messenger\YPager.exe:*:Enabled:Yahoo! Messenger" "C:\Program Files\Yahoo!\Messenger\YServer.exe"="C:\Program Files\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server" "C:\Program Files\MESfone Dialer\sgtlpcph.exe"="C:\Program Files\MESfone Dialer\sgtlpcph.exe:*:Disabled:msptfone Module" "C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype" "C:\WINDOWS\Explorer.EXE"="C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec" "C:\Program Files\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe"="C:\Program Files\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe:*:Enabled:ipsec" "C:\Program Files\CCleaner\ccleaner.exe"="C:\Program Files\CCleaner\ccleaner.exe:*:Enabled:ipsec" "D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe"="D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe:*:Enabled:ipsec" "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe:*:Enabled:ipsec" "G:\jnnuil.pif"="G:\jnnuil.pif:*:Enabled:ipsec" "C:\WINDOWS\system32\MSTMON_N.EXE"="C:\WINDOWS\system32\MSTMON_N.EXE:*:Enabled:ipsec" "C:\EmergencyUtils\Copy_of_MSConfig.exe"="C:\EmergencyUtils\Copy_of_MSConfig.exe:*:Enabled:ipsec" "C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe:*:Enabled:ipsec" "C:\Program Files\D-Link\DSL-210\CnxDslTb.exe"="C:\Program Files\D-Link\DSL-210\CnxDslTb.exe:*:Enabled:ipsec" "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"="C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe:*:Enabled:ipsec" "C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe"="C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe:*:Enabled:ipsec" "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\curly.exe"="" "C:\Program Files\Internet Explorer\IEXPLORE.EXE"="C:\Program Files\Internet Explorer\IEXPLORE.EXE:*:Enabled:ipsec" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{378ceb70-d4ee-11dd-919b-aa47bc147a6a}] shell\AutOpLAy\command - peig.exe shell\AutoRun\command - peig.exe shell\explORE\command - peig.exe shell\oPen\command - peig.exe ======List of files/folders created in the last 1 months====== 2009-01-11 22:57:04 ----D---- C:\Program Files\Sunbelt Software 2009-01-11 18:21:15 ----HD---- C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$ 2009-01-11 18:20:39 ----HD---- C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$ 2009-01-11 18:19:47 ----HD---- C:\WINDOWS\$NtUninstallKB915865$ 2009-01-11 18:19:32 ----N---- C:\WINDOWS\system32\xmllite.dll 2009-01-11 18:16:27 ----D---- C:\WINDOWS\network diagnostic 2009-01-11 18:16:25 ----HD---- C:\WINDOWS\$NtUninstallKB914440$ 2009-01-11 18:15:59 ----HD---- C:\WINDOWS\$NtUninstallKB904942$ 2009-01-10 02:38:44 ----D---- C:\Program Files\Avira 2009-01-10 02:38:44 ----D---- C:\Documents and Settings\All Users\Application Data\Avira 2009-01-10 01:19:44 ----HD---- C:\WINDOWS\$NtUninstallKB952069_WM9$ 2009-01-10 01:18:35 ----HD---- C:\WINDOWS\$NtUninstallKB958215$ 2009-01-10 01:14:21 ----HD---- C:\WINDOWS\$NtUninstallKB960714$ 2009-01-05 15:42:44 ----D---- C:\rsit 2009-01-04 02:10:03 ----A---- C:\WINDOWS\system32\javaws.exe 2009-01-04 02:10:03 ----A---- C:\WINDOWS\system32\javaw.exe 2009-01-04 02:10:03 ----A---- C:\WINDOWS\system32\java.exe 2009-01-04 02:10:03 ----A---- C:\WINDOWS\system32\deploytk.dll 2009-01-04 01:25:55 ----D---- C:\_OTMoveIt 2009-01-02 22:51:07 ----D---- C:\Documents and Settings\Ahmed\Application Data\Malwarebytes 2009-01-02 22:50:58 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2009-01-02 22:50:57 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2009-01-02 22:31:52 ----D---- C:\Program Files\Trend Micro 2009-01-02 13:02:49 ----HD---- C:\WINDOWS\$NtUninstallKB955839$ 2009-01-02 13:01:46 ----HD---- C:\WINDOWS\$NtUninstallKB956841$ 2009-01-02 13:01:29 ----HD---- C:\WINDOWS\$NtUninstallKB957097$ 2009-01-02 13:01:15 ----HD---- C:\WINDOWS\$NtUninstallKB954600$ 2009-01-02 13:00:57 ----HD---- C:\WINDOWS\$NtUninstallKB955069$ 2009-01-02 13:00:35 ----HD---- C:\WINDOWS\$NtUninstallKB956802$ 2009-01-02 00:59:54 ----RASH---- C:\boot.ini 2009-01-01 22:44:54 ----D---- C:\EmergencyUtils ======List of files/folders modified in the last 1 months====== 2009-01-11 22:58:32 ----A---- C:\WINDOWS\SchedLog.Txt 2009-01-06 17:51:14 ----A---- C:\WINDOWS\win.ini 2009-01-06 17:51:14 ----A---- C:\WINDOWS\system.ini 2009-01-03 23:23:12 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-01-03 02:42:44 ----A---- C:\WINDOWS\system32\ZSHP1018.EXE 2009-01-03 02:42:40 ----A---- C:\WINDOWS\system32\SpoonUninstall.exe 2009-01-03 02:42:06 ----A---- C:\WINDOWS\iun6002ev.exe 2009-01-03 02:42:06 ----A---- C:\WINDOWS\IsUn040c.exe 2009-01-03 02:42:04 ----A---- C:\WINDOWS\CDPLAYER.EXE 2009-01-02 18:06:06 ----A---- C:\WINDOWS\NeroDigital.ini 2008-12-28 01:34:20 ----A---- C:\WINDOWS\PhotoSnapViewer.INI ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK7;AMD K7 Processor Driver; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2004-08-04 37376] R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-10-30 75072] R1 SbFw;SbFw; C:\WINDOWS\system32\drivers\SbFw.sys [2008-10-31 270888] R1 sbhips;Sunbelt HIPS Driver; C:\WINDOWS\system32\drivers\sbhips.sys [2008-06-21 66600] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248] R2 ANIO;ANIO Service; \??\C:\WINDOWS\system32\ANIO.SYS [] R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2006-04-22 8064] R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-08-03 11868] R3 atimpab;atimpab; C:\WINDOWS\system32\DRIVERS\atimpab.sys [2001-08-17 289664] R3 avgntflt;avgntflt; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [] R3 CB102;Linksys EtherFast Integrated 10/100 CardBus PC Card(PCM200); C:\WINDOWS\system32\DRIVERS\cb102.sys [2001-09-14 42752] R3 CmBatt;Microsoft ACPI Control Method Battery Driver; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-03 14080] R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2005-05-03 27392] R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2005-04-12 4608] R3 HSF_DP;HSF_DP; C:\WINDOWS\system32\DRIVERS\HSFDPSP2.sys [2004-08-03 1041536] R3 HSFHWBS2;HSFHWBS2; C:\WINDOWS\system32\DRIVERS\HSFBS2S2.sys [2004-08-03 220032] R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport; C:\WINDOWS\system32\DRIVERS\sbfwim.sys [2008-06-21 65576] R3 usbhub;Microsoft USB Standard Hub Driver; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600] R3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480] R3 VIAudio;VIA AC'97 Audio Controller (WDM); C:\WINDOWS\system32\drivers\ac97via.sys [2004-08-03 84480] R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSFCXTS2.sys [2004-08-03 685056] S3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB); C:\WINDOWS\system32\DRIVERS\A3AB.sys [2005-03-22 450400] S3 abp470n5;abp470n5; \??\C:\WINDOWS\system32\drivers\jgqkkm.sys [] S3 CnxEtP;Conexant AccessRunner USB ADSL WAN Adapter Filter Driver; C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2003-09-12 60288] S3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver; C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2003-09-12 646784] S3 CnxTgN;Conexant AccessRunner USB ADSL WAN Adapter Driver; C:\WINDOWS\system32\DRIVERS\CnxTgN.sys [2003-10-29 108675] S3 HidUsb;Microsoft HID Class Driver; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600] S3 mouhid;Mouse HID Driver; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-17 12160] S3 Ser2pl;IndianZZ2 Serial port driver; C:\WINDOWS\system32\DRIVERS\ser2pl.sys [2003-12-01 43136] S3 usbaudio;USB Audio Driver (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264] S3 usbccgp;Microsoft USB Generic Parent Driver; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] S3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624] S3 usbohci;Microsoft USB Open Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-08-03 17024] S3 usbprint;Microsoft USB PRINTER Class; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856] S3 usbscan;USB Scanner Driver; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 sr;System Restore Filter Driver; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-04 73472] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 ANIWZCSdService;ANIWZCSd Service; C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe [2009-01-03 49152] R2 AntiVirScheduler;Planificateur Avira AntiVir Personal - Free Antivirus; C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865] R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\atievxx.exe [2001-08-17 37376] R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-01-04 152984] R2 SbPF.Launcher;SbPF.Launcher; C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [2008-10-31 95528] R2 SPF4;Sunbelt Personal Firewall 4; C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [2008-10-31 1365288] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768] S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:\Program Files\Windows Media Player\WMPNetwk.exe [2009-01-03 913408] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336] -----------------EOF-----------------

Bonsoir Thanos Voici, dans l'ordre, le log de MovIt et celui d'Antivir. A propos de ce dernier, Antivir a detecte 2 fichiers infectes, c'etait ceux qui se trouvaient dans MovIt justement... Je les ai places en quarantaine. Que faut-il en faire? J'ai par ailleurs installe Kerio (j'ai un crack, mais je suppose que tu me conseilleras de ne pas m'en servir ). Un redemarrage a ete effectue mais a l'ouverture de la session Windows... rien, pas de fenetre Kerio ni d'icone en bas a droite et lorsque j'ouvre le programme un pop-up Kerio me demande un nom d'hote et un mot-de-passe Que dois-je faire? Sur le tuto de Malekal, on n'en parle pas... Dois-je par ailleurs reinstaller CCleaner (qui ne fonctionne plus completement) et Spybot (que j'avais efface)? Une derniere chose. Assez curieusement, le rapport d'Antivir mentionne (a la 2eme ligne) la date du jour ... en calendrier musulman.... J'imagine que ce n'est guere important mais c'est bizarre, d'autant que le programme en lui meme affiche le calendrier habituel. Je n'ai pas lance RSIT puisque je n'ai pas fini de configurer Kerio. J'ai cree un nouveau post avec le resultat du scan en ligne de mon second ordi. Comme tu le verras, il est propre mais une des deux cles USB est infectee par Sality.aa. Merci a toi! Croquis ========== REGISTRY ========== Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AntiVirService\\ not found. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AntiVirService\\ not found. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AntiVirService\\ not found. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AntiVirScheduler\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AntiVirScheduler\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AntiVirScheduler\\ not found. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avgio\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avgio\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\avgio\\ not found. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avgntflt\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\avgntflt\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\avgntflt\\ not found. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssmdrv\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ssmdrv\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ssmdrv\\ not found. Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVGIO\\ . Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVGIO\\ . Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AVGIO\\ not found. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANTIVIRSERVICE\\ not found. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ANTIVIRSERVICE\\ not found. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ANTIVIRSERVICE\\ not found. Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANTIVIRSCHEDULER\\ . Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ANTIVIRSCHEDULER\\ . Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ANTIVIRSCHEDULER\\ not found. Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSMDRV\\ . Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSMDRV\\ . Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSMDRV\\ not found. Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVGNTFLT\\ . Unable to delete registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AVGNTFLT\\ . Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AVGNTFLT\\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Avira\\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\AntiVir PersonalEdition Classic\\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45AC2688-0253-4ED8-97DE-B5370FA7D48A}\\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntiVir PersonalEdition Classic\\ deleted successfully. Registry key HKEY_CURRENT_USER\Software\Avira\\ not found. ========== FILES ========== C:\WINDOWS\system32\DRIVERS\ssmdrv.sys moved successfully. C:\WINDOWS\system32\DRIVERS\avipbb.sys moved successfully. C:\Program Files\AntiVir PersonalEdition Classic\EVENTDB moved successfully. C:\Program Files\AntiVir PersonalEdition Classic\FAILSAFE moved successfully. C:\Program Files\AntiVir PersonalEdition Classic moved successfully. OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 01102009_011538 Avira AntiVir Personal Date de création du fichier de rapport : 14 محرم, 1430 03:11 La recherche porte sur 1177639 souches de virus. Détenteur de la licence :Avira AntiVir PersonalEdition Classic Numéro de série : 0000149996-ADJIE-0001 Plateforme : Windows XP Version de Windows :(Service Pack 2) [5.1.2600] Mode Boot : Mode sans échec Identifiant : Administrator Nom de l'ordinateur :AA Informations de version : BUILD.DAT : 8.2.0.52 16931 Bytes 04/12/1429 14:55:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 20/11/1429 07:21:02 AVSCAN.DLL : 8.1.4.1 49921 Bytes 18/07/1429 12:44:28 LUKE.DLL : 8.1.4.5 164097 Bytes 08/06/1429 11:44:18 LUKERES.DLL : 8.1.4.0 13057 Bytes 01/07/1429 06:30:28 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/1429 10:30:38 ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 26/12/1429 00:41:08 ANTIVIR2.VDF : 7.1.1.88 726528 Bytes 12/01/1430 00:41:28 ANTIVIR3.VDF : 7.1.1.94 77824 Bytes 13/01/1430 00:41:30 Version du moteur: 8.2.0.54 AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/1429 09:05:58 AESCRIPT.DLL : 8.1.1.24 340348 Bytes 14/01/1430 00:42:12 AESCN.DLL : 8.1.1.5 123251 Bytes 09/11/1429 14:06:42 AERDL.DLL : 8.1.1.3 438645 Bytes 06/11/1429 12:58:40 AEPACK.DLL : 8.1.3.5 393588 Bytes 14/01/1430 00:42:08 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 14/01/1430 00:42:00 AEHEUR.DLL : 8.1.0.78 1532280 Bytes 14/01/1430 00:41:56 AEHELP.DLL : 8.1.2.0 119159 Bytes 14/01/1430 00:41:40 AEGEN.DLL : 8.1.1.8 323956 Bytes 14/01/1430 00:41:38 AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/1429 09:05:58 AECORE.DLL : 8.1.5.2 172405 Bytes 14/01/1430 00:41:32 AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/1429 09:05:58 AVWINLL.DLL : 1.0.0.12 15105 Bytes 06/07/1429 07:40:04 AVPREF.DLL : 8.0.2.0 38657 Bytes 11/05/1429 08:28:00 AVREP.DLL : 8.0.0.2 98344 Bytes 28/07/1429 11:02:16 AVREG.DLL : 8.0.0.1 33537 Bytes 04/05/1429 10:26:38 AVARKT.DLL : 1.0.0.23 307457 Bytes 05/02/1429 07:29:20 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 08/06/1429 11:27:48 SQLITE3.DLL : 3.3.17.1 339968 Bytes 14/01/1429 16:28:04 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 08/06/1429 11:49:38 NETNT.DLL : 8.0.0.1 7937 Bytes 17/01/1429 11:05:08 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 01/07/1429 06:23:18 RCTEXT.DLL : 8.0.52.1 86273 Bytes 14/07/1429 09:08:44 Configuration pour la recherche actuelle : Nom de la tâche..................: Contrôle intégral du système Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp Documentation....................: bas Action principale................: interactif Action secondaire................: ignorer Recherche sur les secteurs d'amorçage maître: marche Recherche sur les secteurs d'amorçage: marche Secteurs d'amorçage..............: C:, D:, Recherche dans les programmes actifs: marche Recherche en cours sur l'enregistrement: marche Recherche de Rootkits............: arrêt Fichier mode de recherche........: Tous les fichiers Recherche sur les archives.......: marche Limiter la profondeur de récursivité: 20 Archive Smart Extensions.........: marche Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Heuristique de macrovirus........: marche Heuristique fichier..............: moyen Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR, Début de la recherche : 14 محرم, 1430 03:11 La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '11' processus ont été contrôlés avec '11' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [iNFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [iNFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [iNFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [iNFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence. Le registre a été contrôlé ( '57' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\_OTMoveIt\MovedFiles\01042009_145018\Program Files\FindyKill\Tools\Kill.exe [RESULTAT] Contient le modèle de détection de l'application APPL/Tool.PsKill.2 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49d3fd8a.qua' ! C:\_OTMoveIt\MovedFiles\01042009_145018\Program Files\Winamp\InFlac-Uninstall.exe [RESULTAT] Contient le code du virus Windows W32/Sality.Y [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49adfde7.qua' ! Recherche débutant dans 'D:\' D:\Program Files\Kerio\Personal Firewall 4\crashdump.tar.gz [0] Type d'archive: GZ --> crashdump.tar [1] Type d'archive: TAR (tape archiver) --> Memory.dmp [AVERTISSEMENT] Impossible d'écrire le fichier ! Fin de la recherche : 14 محرم, 1430 03:55 Temps nécessaire: 44:39 Minute(s) La recherche a été effectuée intégralement 3060 Les répertoires ont été contrôlés 120266 Des fichiers ont été contrôlés 2 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 2 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 1 Impossible de contrôler des fichiers 120263 Fichiers non infectés 605 Les archives ont été contrôlées 2 Avertissements 2 Consignes

Bonjour Thanos, Voilà, comme promis le rapport du scan en ligne de Kaspersky de mon second ordi (le Vaio). J'en ai profité pour connecter mes 2 autres clés afin qu'elle soient scannées également. Donc, le résultat semble dire que l'ordi et une des clés sont propres par contre il y aurait qlq sality.aa sur J: (ma 2ème clé). Je n'ai pas ouvert la clé de peur de contaminer l'ordi. Comment procéder pour être certain d'éliminer les infections sans risque de les propager? Bizarrement, je n'arrive pas à enregistrer le log de Kaspersky sur mon DD (que ce soit sur le bureau ou ailleurs). Est-ce parce que mon OS est Vista??? Je te transcris donc en attendant les résultats du scan en ligne tels qu'ils apparaissent sur l'écran... 1) J:\vlc 0.8.4a\vlc-0.8.4a-win32.exe 2) J:\DivX_311alpha\DivX_311alpha\Register_DivX.exe 3) J:\2007-2008\C4\flv-player_flv_player_2.2_anglais_28810.exe 4) J:\Audacity\audacity.exe Ces 4 fichiers sont infectés par """Virus.Win32.Sality.aa""" Mille mercis!! Croquis

Re-Salut Thanos C'est à n'y rien comprendre... Comme je te l'ai dit tout à l'heure, le message était plutôt de mauvais signe et pourtant juste après en désespoir de cause, j'ai activé CCleaner et le Reg cleaner de Antivir. Ce dernier à d'ailleur planté à la fin de son travail. Peu convaincu, j'ai tout de même retenté l'install d'Antivir et là.... miracle! C'est passé comme une lettre à la poste!!! Comme je te disais je n'y comprends rien mais j'accepte la bonne nouvelle avec soulagement! J'ai configuré l'AV selon le tuto de Tesgaz et pour l'instant, il scanne tranquillement en Safe Mode. Je le laisse donc faire et te posterai demain le log de MovIt et je te tiendrai informé du résultat d'Antivir. En ce qui concerne le pare-feu, je pense que je me tournerai vers Kerio car c'est celui que j'utilisais avant d'avoir eu le problème et il est plus léger que ZoneAlarm. Bonne nuit et merci encore! Croquis

Salut Malheureusement, même impossibilité d'installer Antivir et même fenêtre que celle qui figure ci-dessus (dans le message #18). Je n'y comprends rien.... Bon, je vais m'occuper de mon deuxième ordi et le laisser scanner en ligne pendant la nuit. Je créerai un nouveau topic demain avec le résultat de Kaspersky. Bonne nuit à toi et merci encore Croquis

Salut Thanos, J'ai essayé de repérer moi-même les différents fichiers d'Antivir qui restent sur la machine afin de les éliminer mais je préfère ne rien tenter avant ton avis... Au fait, mon deuxième ordi [il s'agit d'un Vaio T5500, 1,66 GHz, Vista familial premium, sans partition, Antivir à jour, Spybot à jour, CCleaner], celui avec lequel je t'écris maintenant, n'a apparemment pas été infecté mais je voudrais en être certain... La meilleure méthode serait-elle de faire un scan en ligne avec Kaspersky...? La semaine dernière, c'est en lui branchant la clé USB provenant de l'ordi infecté qu'Antivir a détecté Sality.Y... A+ Croquis

Re! J'ai peut-etre parle un peu vite au sujet du bout du tunnel... Mauvaises nouvelles pour Antivir. J'ai essaye de le reinstaller et cette fois, l'installation s'est poursuivie un peu plus loin qu'avant mais tout a coup nouvelle fenetre avec ce message: "Setup a trouve sur votre systeme une version deja installee de. [sic] Veuillez d'abord desinstaller cette version avant d'acceder a nouveau au setup." (OK) J'appuie sur OK, puis plus rien. J'ai pourtant retelecharge un nouveau desinstallateur ainsi que le registry cleaner d'Avira... Que comprendre? Croquis

Bonsoir Thanos Ca y est je crois qu'on apercoit tout doucement le bout du tunnel..! Je te poste donc dans l'ordre le rapport de MovIt3 et de Malwarebytes. Je vais a l'instant reessayer d'installer Antivir. Je te tiens au courant. A+ et merci encore de ton temps Croquis ========== REGISTRY ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\AVSetup not found. Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Ahmed^Start Menu^Programs^Startup^Sality_off.exe-m.lnk\\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\G:\inbjbn.pif deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winimhb.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\rufjmw.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winptrkul.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winebusjq.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winjesbwu.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\nheqf.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\mgjx.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winehvl.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\oasbv.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winlffyf.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winmxkfko.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\ljas.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winvtbg.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\emxay.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\qpnppb.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\jxaxw.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winpish.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winjuuj.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winuqdamk.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\wngm.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\ghab.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winvucfcy.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winxisbb.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\nusuou.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\sifjqp.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\solpmm.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winkhmlgh.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\vtvb.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\donbtp.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winrkkq.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\xsubf.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winaouyb.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\untla.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\oham.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winnjwfyc.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winaqukrj.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\munony.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\oifkrs.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\G:\peig.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\okxr.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winmkosm.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\yugfs.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\winllumow.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\xngem.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\TEMP\wintbtiim.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winxuqfr.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\fhmxgh.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winabxjdx.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\icymt.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winmsrvs.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winoradjt.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\wincvdmwp.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\windqcx.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\Ahmed\LOCALS~1\Temp\wppi.exe deleted successfully. HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\"C:\DOCUME~1\Ahmed\LOCALS~1\Temp\curly.exe"| /E : value set successfully! Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cda16d90-925e-11da-8a73-b21743fdc8a4}\\ deleted successfully. ========== FILES ========== C:\Program Files\sality_regkeys\Sality_RegKeys moved successfully. C:\Program Files\sality_regkeys moved successfully. C:\Program Files\sality_off moved successfully. File/Folder G:\inbjbn.pif not found. File/Folder G:\peig.exe not found. ========== COMMANDS ========== User's Temp folder emptied. User's Temporary Internet Files folder emptied. User's Internet Explorer cache folder emptied. Local Service Temp folder emptied. File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot. Local Service Temporary Internet Files folder emptied. File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_540.dat scheduled to be deleted on reboot. Windows Temp folder emptied. Java cache emptied. Temp folders emptied. OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 01062009_173820 Files moved on Reboot... File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot. File C:\WINDOWS\temp\Perflib_Perfdata_540.dat not found! ----------------------------------------------------------------------------------------------------------------------------------------- Malwarebytes' Anti-Malware 1.32 Version de la base de données: 1624 Windows 5.1.2600 Service Pack 2 1/7/2009 12:57:26 AM mbam-log-2009-01-07 (00-57-26).txt Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|) Eléments examinés: 82993 Temps écoulé: 1 hour(s), 54 minute(s), 37 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté) ---------------------------------------------------------------------------------------------------------------------------------

Bonjour Thanos, Voici les deux logs generes par RSIT. (Au fait, Safe Mode semble maintenant foncionner! ) Logfile of random's system information tool 1.05 (written by random/random) Run by Ahmed at 2009-01-05 15:42:44 Microsoft Windows XP Professional Service Pack 2 System drive C: has 184 MB (4%) free of 5 GB Total RAM: 319 MB (40% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 3:42:56 PM, on 1/5/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\MSTMON_N.EXE D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\atievxx.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Ahmed\Local Settings\Temporary Internet Files\Content.IE5\OH23S9YB\RSIT[1].exe C:\Program Files\Trend Micro\HijackThis\Ahmed.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [KONICA MINOLTA PagePro 1300WStatusDisplay] C:\WINDOWS\system32\MSTMON_N.EXE O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [AVSetup] C:\DOCUME~1\Ahmed\LOCALS~1\Temp\AVSETUP_4961dac1\basic\setup.exe /CLEANUPSRCFILES /NOTEMPCLEANUP O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/m...90/mcinsctl.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688 O17 - HKLM\System\CCS\Services\Tcpip\..\{9368B0B3-40BE-406A-AA63-5B2BB2ACE365}: NameServer = 213.131.66.246,213.131.65.20 O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe -- End of file - 4707 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Tune-up Application Start.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader Link Helper - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-12-18 59032] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] Java Plug-In SSV Helper - C:\Program Files\Java\jre6\bin\ssv.dll [2009-01-04 320920] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-01-04 34816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-04 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "KONICA MINOLTA PagePro 1300WStatusDisplay"=C:\WINDOWS\system32\MSTMON_N.EXE [2009-01-03 151552] "VirtualCloneDrive"=D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [2006-04-29 94208] "SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-01-04 136600] "MSConfig"=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe [2004-08-04 158208] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] "AVSetup"=C:\DOCUME~1\Ahmed\LOCALS~1\Temp\AVSETUP_4961dac1\basic\setup.exe [2008-06-27 635137] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Ahmed^Start Menu^Programs^Startup^Sality_off.exe-m.lnk] C:\PROGRA~1\SALITY~1\SALITY~1.EXE [2008-12-04 180224] C:\Documents and Settings\All Users\Start Menu\Programs\Startup Microsoft Office.lnk - D:\Program Files\Microsoft Office\Office10\OSA.EXE Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "EnableLUA"=0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=177 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Program Files\Yahoo!\Messenger\YPager.exe"="C:\Program Files\Yahoo!\Messenger\YPager.exe:*:Enabled:Yahoo! Messenger" "C:\Program Files\Yahoo!\Messenger\YServer.exe"="C:\Program Files\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server" "C:\Program Files\MESfone Dialer\sgtlpcph.exe"="C:\Program Files\MESfone Dialer\sgtlpcph.exe:*:Disabled:msptfone Module" "C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype" "G:\inbjbn.pif"="G:\inbjbn.pif:*:Enabled:ipsec" "C:\WINDOWS\Explorer.EXE"="C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec" "C:\Program Files\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe"="C:\Program Files\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe:*:Enabled:ipsec" "C:\Program Files\CCleaner\ccleaner.exe"="C:\Program Files\CCleaner\ccleaner.exe:*:Enabled:ipsec" "D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe"="D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe:*:Enabled:ipsec" "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe:*:Enabled:ipsec" "G:\jnnuil.pif"="G:\jnnuil.pif:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winimhb.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winimhb.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\rufjmw.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\rufjmw.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winptrkul.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winptrkul.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winebusjq.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winebusjq.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winjesbwu.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winjesbwu.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\nheqf.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\nheqf.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\mgjx.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\mgjx.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winehvl.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winehvl.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\oasbv.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\oasbv.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winlffyf.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winlffyf.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winmxkfko.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winmxkfko.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\ljas.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\ljas.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winvtbg.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winvtbg.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\emxay.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\emxay.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\qpnppb.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\qpnppb.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\jxaxw.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\jxaxw.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winpish.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winpish.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winjuuj.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winjuuj.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winuqdamk.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winuqdamk.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\wngm.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\wngm.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\ghab.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\ghab.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winvucfcy.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winvucfcy.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winxisbb.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winxisbb.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\nusuou.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\nusuou.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\sifjqp.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\sifjqp.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\solpmm.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\solpmm.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winkhmlgh.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winkhmlgh.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\vtvb.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\vtvb.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\donbtp.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\donbtp.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winrkkq.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winrkkq.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\xsubf.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\xsubf.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winaouyb.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winaouyb.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\untla.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\untla.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\oham.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\oham.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winnjwfyc.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winnjwfyc.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winaqukrj.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winaqukrj.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\munony.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\munony.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\oifkrs.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\oifkrs.exe:*:Enabled:ipsec" "C:\WINDOWS\system32\MSTMON_N.EXE"="C:\WINDOWS\system32\MSTMON_N.EXE:*:Enabled:ipsec" "G:\peig.exe"="G:\peig.exe:*:Enabled:ipsec" "C:\EmergencyUtils\Copy_of_MSConfig.exe"="C:\EmergencyUtils\Copy_of_MSConfig.exe:*:Enabled:ipsec" "C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe:*:Enabled:ipsec" "C:\Program Files\D-Link\DSL-210\CnxDslTb.exe"="C:\Program Files\D-Link\DSL-210\CnxDslTb.exe:*:Enabled:ipsec" "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"="C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe:*:Enabled:ipsec" "C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe"="C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\okxr.exe"="C:\WINDOWS\TEMP\okxr.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\winmkosm.exe"="C:\WINDOWS\TEMP\winmkosm.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\yugfs.exe"="C:\WINDOWS\TEMP\yugfs.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\winllumow.exe"="C:\WINDOWS\TEMP\winllumow.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\xngem.exe"="C:\WINDOWS\TEMP\xngem.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\wintbtiim.exe"="C:\WINDOWS\TEMP\wintbtiim.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winxuqfr.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winxuqfr.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\fhmxgh.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\fhmxgh.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winabxjdx.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winabxjdx.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\icymt.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\icymt.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winmsrvs.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winmsrvs.exe:*:Enabled:ipsec" "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winoradjt.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winoradjt.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\wincvdmwp.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\wincvdmwp.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\windqcx.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\windqcx.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\wppi.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\wppi.exe:*:Enabled:ipsec" "C:\DOCUME~1\Ahmed\LOCALS~1\Temp\curly.exe"="C:\DOCUME~1\Ahmed\LOCALS~1\Temp\curly.exe:*:Enabled:ipsec" "C:\Program Files\Internet Explorer\IEXPLORE.EXE"="C:\Program Files\Internet Explorer\IEXPLORE.EXE:*:Enabled:ipsec" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cda16d90-925e-11da-8a73-b21743fdc8a4}] shell\auToPlaY\command - G:\inbjbn.pif shell\AutoRun\command - G:\inbjbn.pif shell\EXplOre\command - G:\inbjbn.pif shell\OPeN\command - G:\inbjbn.pif ======List of files/folders created in the last 1 months====== 2009-01-05 15:42:44 ----D---- C:\rsit 2009-01-04 02:10:03 ----A---- C:\WINDOWS\system32\javaws.exe 2009-01-04 02:10:03 ----A---- C:\WINDOWS\system32\javaw.exe 2009-01-04 02:10:03 ----A---- C:\WINDOWS\system32\java.exe 2009-01-04 02:10:03 ----A---- C:\WINDOWS\system32\deploytk.dll 2009-01-04 01:25:55 ----D---- C:\_OTMoveIt 2009-01-04 00:18:39 ----A---- C:\WINDOWS\ntbtlog.txt 2009-01-03 23:20:33 ----A---- C:\FindyKill.txt 2009-01-03 03:12:05 ----D---- C:\Program Files\sality_regkeys 2009-01-03 03:01:13 ----D---- C:\Program Files\sality_off 2009-01-02 22:51:07 ----D---- C:\Documents and Settings\Ahmed\Application Data\Malwarebytes 2009-01-02 22:50:58 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2009-01-02 22:50:57 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2009-01-02 22:31:52 ----D---- C:\Program Files\Trend Micro 2009-01-02 13:02:49 ----HD---- C:\WINDOWS\$NtUninstallKB955839$ 2009-01-02 13:01:46 ----HD---- C:\WINDOWS\$NtUninstallKB956841$ 2009-01-02 13:01:29 ----HD---- C:\WINDOWS\$NtUninstallKB957097$ 2009-01-02 13:01:15 ----HD---- C:\WINDOWS\$NtUninstallKB954600$ 2009-01-02 13:00:57 ----HD---- C:\WINDOWS\$NtUninstallKB955069$ 2009-01-02 13:00:43 ----A---- C:\WINDOWS\imsins.BAK 2009-01-02 13:00:35 ----HD---- C:\WINDOWS\$NtUninstallKB956802$ 2009-01-02 00:59:54 ----RASH---- C:\boot.ini 2009-01-01 22:44:54 ----D---- C:\EmergencyUtils ======List of files/folders modified in the last 1 months====== 2009-01-05 11:49:32 ----A---- C:\WINDOWS\SchedLog.Txt 2009-01-05 11:49:06 ----A---- C:\WINDOWS\win.ini 2009-01-05 11:49:06 ----A---- C:\WINDOWS\system.ini 2009-01-03 23:23:12 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-01-03 02:42:44 ----A---- C:\WINDOWS\system32\ZSHP1018.EXE 2009-01-03 02:42:40 ----A---- C:\WINDOWS\system32\SpoonUninstall.exe 2009-01-03 02:42:40 ----A---- C:\WINDOWS\system32\MUINST_N.EXE 2009-01-03 02:42:06 ----A---- C:\WINDOWS\iun6002ev.exe 2009-01-03 02:42:06 ----A---- C:\WINDOWS\IsUn040c.exe 2009-01-03 02:42:04 ----A---- C:\WINDOWS\CDPLAYER.EXE 2009-01-03 02:42:00 ----A---- C:\WINDOWS\system32\MSTMON_N.EXE 2009-01-02 18:06:06 ----A---- C:\WINDOWS\NeroDigital.ini 2008-12-28 01:34:20 ----A---- C:\WINDOWS\PhotoSnapViewer.INI ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK7;AMD K7 Processor Driver; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2004-08-04 37376] R1 avgio;avgio; \??\C:\Program Files\AntiVir PersonalEdition Classic\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-04-30 79424] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-03-01 28352] R2 ANIO;ANIO Service; \??\C:\WINDOWS\system32\ANIO.SYS [] R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2006-04-22 8064] R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2004-08-03 11868] R2 MLPTDR_N;MLPTDR_N; \??\C:\WINDOWS\system32\MLPTDR_N.SYS [] R3 atimpab;atimpab; C:\WINDOWS\system32\DRIVERS\atimpab.sys [2001-08-17 289664] R3 CB102;Linksys EtherFast Integrated 10/100 CardBus PC Card(PCM200); C:\WINDOWS\system32\DRIVERS\cb102.sys [2001-09-14 42752] R3 CmBatt;Microsoft ACPI Control Method Battery Driver; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-03 14080] R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2005-05-03 27392] R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2005-04-12 4608] R3 HSF_DP;HSF_DP; C:\WINDOWS\system32\DRIVERS\HSFDPSP2.sys [2004-08-03 1041536] R3 HSFHWBS2;HSFHWBS2; C:\WINDOWS\system32\DRIVERS\HSFBS2S2.sys [2004-08-03 220032] R3 usbhub;Microsoft USB Standard Hub Driver; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600] R3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480] R3 VIAudio;VIA AC'97 Audio Controller (WDM); C:\WINDOWS\system32\drivers\ac97via.sys [2004-08-03 84480] R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSFCXTS2.sys [2004-08-03 685056] S3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB); C:\WINDOWS\system32\DRIVERS\A3AB.sys [2005-03-22 450400] S3 abp470n5;abp470n5; \??\C:\WINDOWS\system32\drivers\jgqkkm.sys [] S3 avgntflt;avgntflt; \??\C:\Program Files\AntiVir PersonalEdition Classic\avgntflt.sys [] S3 CnxEtP;Conexant AccessRunner USB ADSL WAN Adapter Filter Driver; C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2003-09-12 60288] S3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver; C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2003-09-12 646784] S3 CnxTgN;Conexant AccessRunner USB ADSL WAN Adapter Driver; C:\WINDOWS\system32\DRIVERS\CnxTgN.sys [2003-10-29 108675] S3 HidUsb;Microsoft HID Class Driver; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600] S3 mouhid;Mouse HID Driver; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-17 12160] S3 Ser2pl;IndianZZ2 Serial port driver; C:\WINDOWS\system32\DRIVERS\ser2pl.sys [2003-12-01 43136] S3 usbaudio;USB Audio Driver (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264] S3 usbccgp;Microsoft USB Generic Parent Driver; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616] S3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624] S3 usbohci;Microsoft USB Open Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-08-03 17024] S3 usbprint;Microsoft USB PRINTER Class; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856] S3 usbscan;USB Scanner Driver; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 sr;System Restore Filter Driver; C:\WINDOWS\system32\DRIVERS\sr.sys [2004-08-04 73472] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 ANIWZCSdService;ANIWZCSd Service; C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe [2009-01-03 49152] R2 AntiVirScheduler;AntiVir PersonalEdition Classic Scheduler; C:\Program Files\AntiVir PersonalEdition Classic\sched.exe [2008-04-30 68865] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\atievxx.exe [2001-08-17 37376] R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-01-04 152984] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768] S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:\Program Files\Windows Media Player\WMPNetwk.exe [2009-01-03 913408] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336] -----------------EOF----------------- info.txt logfile of random's system information tool 1.05 2009-01-05 15:42:58 ======Uninstall list====== -->"C:\PROGRA~1\OUTLOO~1\setup50.exe" /APP:WAB /CALLER:WIN9X /UNINSTALL /PROMPT -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 9 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete Adobe Reader 7.0.9-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A70900000002} AirPlus XtremeG-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{79B92240-9C65-4DD7-B1AD-59910D2C1353} /l1033 ANIO Service-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7B5CE976-C7A9-4E38-A7F3-6C8EF025DD8E}\Setup.exe" ANIWZCS2 Service-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{4C590030-7469-453E-8589-D15DA9D03F52}\Setup.exe" Avira AntiVir Personal – Free Antivirus-->C:\Program Files\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe" CloneCD-->"D:\Program Files\SlySoft\CloneCD\ccd-uninst.exe" /D="D:\Program Files\SlySoft\CloneCD" D-Link DSL-210 USB ADSL WAN Adapter-->C:\Program Files\D-Link\DSL-210 Wizard\Setup.exe -u eMule-->"D:\Program Files\eMule\Uninstall.exe" Exact Audio Copy 0.95b3-->D:\Program Files\Exact Audio Copy\uninst.exe Extreme Chess-->E:\Extreme\uninst.exe FindyKill-->C:\Program Files\FindyKill\Uninstal.exe HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" Hotfix for Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe" Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe" Hotfix for Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" InFlac 1.1.1-->"D:\Program Files\Winamp\InFlac-Uninstall.exe" Java 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} Java 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Office XP Professional with FrontPage-->MsiExec.exe /I{90280409-6000-11D3-8CFE-0050048383C9} Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" QuickTime for Windows (32-bit)-->C:\WINDOWS\QTW32DEL.EXE RTCUpdate-->MsiExec.exe /I{06D5B2E1-BB2D-4B77-A40E-A12D8E2FBC36} Security Update for Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe" Security Update for Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe" Security Update for Windows Media Player 6.4 (KB925398)-->"C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe" Security Update for Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe" Security Update for Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe" Security Update for Windows XP (KB921503)-->"C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe" Security Update for Windows XP (KB922760)-->"C:\WINDOWS\$NtUninstallKB922760$\spuninst\spuninst.exe" Security Update for Windows XP (KB923689)-->"C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe" Security Update for Windows XP (KB923694)-->"C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe" Security Update for Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe" Security Update for Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe" Security Update for Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe" Security Update for Windows XP (KB925454)-->"C:\WINDOWS\$NtUninstallKB925454$\spuninst\spuninst.exe" Security Update for Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe" Security Update for Windows XP (KB926255)-->"C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe" Security Update for Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe" Security Update for Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe" Security Update for Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe" Security Update for Windows XP (KB928090)-->"C:\WINDOWS\$NtUninstallKB928090$\spuninst\spuninst.exe" Security Update for Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe" Security Update for Windows XP (KB928843)-->"C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe" Security Update for Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe" Security Update for Windows XP (KB929969)-->"C:\WINDOWS\$NtUninstallKB929969$\spuninst\spuninst.exe" Security Update for Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe" Security Update for Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe" Security Update for Windows XP (KB931768)-->"C:\WINDOWS\$NtUninstallKB931768$\spuninst\spuninst.exe" Security Update for Windows XP (KB931784)-->"C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe" Security Update for Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe" Security Update for Windows XP (KB933566)-->"C:\WINDOWS\$NtUninstallKB933566$\spuninst\spuninst.exe" Security Update for Windows XP (KB933729)-->"C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe" Security Update for Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe" Security Update for Windows XP (KB935840)-->"C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe" Security Update for Windows XP (KB936021)-->"C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe" Security Update for Windows XP (KB937143)-->"C:\WINDOWS\$NtUninstallKB937143$\spuninst\spuninst.exe" Security Update for Windows XP (KB937894)-->"C:\WINDOWS\$NtUninstallKB937894$\spuninst\spuninst.exe" Security Update for Windows XP (KB938127)-->"C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe" Security Update for Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Security Update for Windows XP (KB938829)-->"C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe" Security Update for Windows XP (KB939653)-->"C:\WINDOWS\$NtUninstallKB939653$\spuninst\spuninst.exe" Security Update for Windows XP (KB941202)-->"C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe" Security Update for Windows XP (KB941568)-->"C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe" Security Update for Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Security Update for Windows XP (KB941644)-->"C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe" Security Update for Windows XP (KB941693)-->"C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe" Security Update for Windows XP (KB942615)-->"C:\WINDOWS\$NtUninstallKB942615$\spuninst\spuninst.exe" Security Update for Windows XP (KB943055)-->"C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe" Security Update for Windows XP (KB943460)-->"C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe" Security Update for Windows XP (KB943485)-->"C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe" Security Update for Windows XP (KB944338)-->"C:\WINDOWS\$NtUninstallKB944338$\spuninst\spuninst.exe" Security Update for Windows XP (KB944533)-->"C:\WINDOWS\$NtUninstallKB944533$\spuninst\spuninst.exe" Security Update for Windows XP (KB944653)-->"C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe" Security Update for Windows XP (KB945553)-->"C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe" Security Update for Windows XP (KB946026)-->"C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe" Security Update for Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Security Update for Windows XP (KB947864)-->"C:\WINDOWS\$NtUninstallKB947864$\spuninst\spuninst.exe" Security Update for Windows XP (KB948590)-->"C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe" Security Update for Windows XP (KB948881)-->"C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe" Security Update for Windows XP (KB950749)-->"C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe" Security Update for Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe" Security Update for Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Security Update for Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Security Update for Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Security Update for Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Security Update for Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe" Security Update for Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Security Update for Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Security Update for Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Security Update for Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Security Update for Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe" Security Update for Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Security Update for Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Security Update for Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Security Update for Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Security Update for Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Security Update for Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Security Update for Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Security Update for Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Security Update for Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe" Security Update for Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Security Update for Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" STOIK Video Converter 2-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A8DF8593-F619-47DE-AD27-BCABF233433A}\setup.exe" -l0x9 -removeonly Update for Windows XP (KB927891)-->"C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe" Update for Windows XP (KB929338)-->"C:\WINDOWS\$NtUninstallKB929338$\spuninst\spuninst.exe" Update for Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe" Update for Windows XP (KB931836)-->"C:\WINDOWS\$NtUninstallKB931836$\spuninst\spuninst.exe" Update for Windows XP (KB933360)-->"C:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe" Update for Windows XP (KB938828)-->"C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe" Update for Windows XP (KB942763)-->"C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe" Update for Windows XP (KB942840)-->"C:\WINDOWS\$NtUninstallKB942840$\spuninst\spuninst.exe" Update for Windows XP (KB946627)-->"C:\WINDOWS\$NtUninstallKB946627$\spuninst\spuninst.exe" Update for Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Update for Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" VirtualCloneDrive-->"D:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcd-uninst.exe" /D="D:\Program Files\Elaborate Bytes\VirtualCloneDrive" Winamp (remove only)-->"D:\Program Files\Winamp\UninstWA.exe" Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" WinRAR archiver-->D:\Program Files\WinRAR\uninstall.exe ======Hosts File====== 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com ======Security center information====== AV: Avira AntiVir PersonalEdition (disabled) (outdated) System event log Computer Name: AA Event Code: 7 Message: The device, \Device\CdRom0, has a bad block. Record Number: 15893 Source Name: Cdrom Time Written: 20081228165119.000000+120 Event Type: error User: Computer Name: AA Event Code: 7 Message: The device, \Device\CdRom0, has a bad block. Record Number: 15892 Source Name: Cdrom Time Written: 20081228165106.000000+120 Event Type: error User: Computer Name: AA Event Code: 7 Message: The device, \Device\CdRom0, has a bad block. Record Number: 15891 Source Name: Cdrom Time Written: 20081228165106.000000+120 Event Type: error User: Computer Name: AA Event Code: 7 Message: The device, \Device\CdRom0, has a bad block. Record Number: 15890 Source Name: Cdrom Time Written: 20081228165105.000000+120 Event Type: error User: Computer Name: AA Event Code: 7 Message: The device, \Device\CdRom0, has a bad block. Record Number: 15889 Source Name: Cdrom Time Written: 20081228165105.000000+120 Event Type: error User: Application event log Computer Name: AA Event Code: 1517 Message: Windows saved user AA\Ahmed registry while an application or service was still using the registry during log off. The memory used by the user's registry has not been freed. The registry will be unloaded when it is no longer in use. This is often caused by services running as a user account, try configuring the services to run in either the LocalService or NetworkService account. Record Number: 5 Source Name: Userenv Time Written: 20070121170231.000000+120 Event Type: warning User: NT AUTHORITY\SYSTEM Computer Name: AA Event Code: 1800 Message: The Windows Security Center Service has started. Record Number: 4 Source Name: SecurityCenter Time Written: 20070120113616.000000+120 Event Type: information User: Computer Name: AA Event Code: 5000 Message: Record Number: 3 Source Name: McLogEvent Time Written: 20070120113605.000000+120 Event Type: information User: NT AUTHORITY\SYSTEM Computer Name: AA Event Code: 1001 Message: Checking file system on D: The type of the file system is FAT32. One of your disks needs to be checked for consistency. You may cancel the disk check, but it is strongly recommended that you continue. Windows will now check the disk. Volume Serial Number is 64D7-666F 14291872 KB total disk space. 1497984 KB in 126 hidden files. 8176 KB in 869 folders. 10516192 KB in 13569 files. 2269512 KB are available. 8192 bytes in each allocation unit. 1786484 total allocation units on disk. 283689 allocation units available on disk. Record Number: 2 Source Name: Winlogon Time Written: 20070120113542.000000+120 Event Type: information User: Computer Name: AA Event Code: 1001 Message: Checking file system on C: The type of the file system is FAT32. One of your disks needs to be checked for consistency. You may cancel the disk check, but it is strongly recommended that you continue. Windows will now check the disk. Volume Serial Number is 1DD1-1F80 \Documents and Settings\Ahmed\Application Data\Real\rnadmin\rnsystem.dat first allocation unit is not valid. The entry will be truncated. \WINDOWS\Prefetch\KPF4GUI.EXE-00F42A12.pf first allocation unit is not valid. The entry will be truncated. \WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf first allocation unit is not valid. The entry will be truncated. \WINDOWS\Prefetch\OASCLNT.EXE-3B482479.pf first allocation unit is not valid. The entry will be truncated. Convert lost chains to files (Y/N)? Yes 120 KB in 4 recovered files. Windows has made corrections to the file system. 5210896 KB total disk space. 847264 KB in 621 hidden files. 9472 KB in 2111 folders. 3618056 KB in 26644 files. 736100 KB are available. 4096 bytes in each allocation unit. 1302724 total allocation units on disk. 184025 allocation units available on disk. Record Number: 1 Source Name: Winlogon Time Written: 20070120113542.000000+120 Event Type: information User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SYSTEMROOT%\system32;%SYSTEMROOT%;%SYSTEMROOT%\system32\WBEM "windir"=C:\WINDOWS "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 6 Stepping 1, AuthenticAMD "PROCESSOR_REVISION"=0601 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=C:\WINDOWS\TEMP "TMP"=C:\WINDOWS\TEMP "PROMPT"=$p$g "winbootdir"=C:\WINDOWS -----------------EOF-----------------

Bonsoir Thanos, Je n'ai effectivement plus le message susmentionné. Malheureusement, le prog pour désinstaller Antivir ne fait semble-t-il pas son travail car un message apparaît me disant qu'il reste des parties du programmes et que je dois fermer tous les programmes (ils le sont, fermés!); je clique ok pour poursuivre la désinstallation qui semble s'opérer. Mais, premièrement, le programme ne me demande pas de redémarrer l'ordi (ce qui m'étonne). Ensuite, et surtout, lorsque je clique sur ton raccourci "Antivir", l'exe s'installe (extraction de plusieurs fichiers) puis une fenêtre s'ouvre me disant que: "Un produit de Avira Gmbh est déjà installé sur votre système. Ce produit n'est pas compatible avec le produit que vous souhaitez installer. Vous pouvez désinstaller le produit installé automatiquement et le remplacer par le nouveau. Cette procédure peut prendre quelques minutes et nécessite le redémarrage de votre ordinateur. Souhaitez-vous le faire maintenant?" Ce à quoi je réponds "yes". Quelques secondes plus tard, nouveau message d'Avira: "Votre ordinateur va être redémarré." Je clique donc sur OK. (Jusqu'ici, c'est plutôt une belle histoire) Mais le souci, c'est que j'ai beau attendre, rien ne se passe, absolument rien. J'ai attendu une heure et rien. J'ai tenté de redésinstaller la précédente version, toujours en suivant tes instructions mais j'aboutis toujours aux mêmes messages... Qu'en penses-tu? A+ Croquis

Salut En tentant de désinstaller Antivir, j'ai téléchargé le pack que tu m'as indiqué, l'ai dézippé sur le bureau. Le problème est que tous les fichiers d'Antivir ne sont pas partis. D'autre part, n'ayant pas reçu de message de redémarrage, j'ai tout de même décidé de rebooter et là, paf! Avant l'apparition des icônes de mon bureau, je reçois le message portant le titre suivant: C:\docume~1\Ahmed\LOCALS~1\Temp\delus.exe. Le message en lui-même : """Windows cannot find 'C:\docume~1\Ahmed\LOCALS~1\Temp\delus.exe. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.""" Je n'ai que le choix d'appuyer sur OK mais je préfère ne rien faire sans avoir ton aval. Cordialement, Croquis

Bonjour Thanos, Voici le nouveau rapport de OTMovIt: Je m'occupe de la suite de tes instructions des maintenant. Bonne journee, Croquis ========== FILES ========== C:\Program Files\FindyKill\Tools moved successfully. C:\Program Files\FindyKill moved successfully. C:\Documents and Settings\Ahmed\Desktop\FindyKill.exe moved successfully. D:\Program Files\Winamp\InFlac-Uninstall.exe moved successfully. G:\FindyKill.exe moved successfully. OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 01042009_145018

Bonjour Thanos, Je t'envoie le log de Kaspersky. Il semble y avoir encore de l'infection... Mon DD externe (H:) semble propre mais la cle USB (G:) ainsi que les 2 partitions (C: et D:) sont encore infectes. Je constate que meme l'outil antiviral FindyKill a ete touche... Que fais-je maintenant? A+ Croquis -------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7 REPORT Sunday, January 4, 2009 Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600) Kaspersky Online Scanner 7 version: 7.0.25.0 Program database last update: Saturday, January 03, 2009 23:55:52 Records in database: 1555574 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - My Computer: A:\ C:\ D:\ E:\ F:\ G:\ H:\ Scan statistics: Files scanned: 46168 Threat name: 3 Infected objects: 6 Suspicious objects: 0 Duration of the scan: 01:50:52 File name / Threat name / Threats count C:\Program Files\FindyKill\Tools\Kill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k 1 C:\Documents and Settings\Ahmed\Desktop\FindyKill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k 1 C:\_OTMoveIt\MovedFiles\01042009_012555\mes documents\Installateurs\drivers non graves\VirtualDubMOD_1.5.10.2_b2540_Fr.exe Infected: not-a-virus:AdWare.Win32.Rabio.db 1 C:\_OTMoveIt\MovedFiles\01042009_012555\All Users\New Folder\Mes Documents\Installateurs\drivers non graves\VirtualDubMOD_1.5.10.2_b2540_Fr.exe Infected: not-a-virus:AdWare.Win32.Rabio.db 1 D:\Program Files\Winamp\InFlac-Uninstall.exe Infected: Virus.Win32.Sality.aa 1 G:\FindyKill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k 1 The selected area was scanned.

Bonsoir Thanos! (Desole pour les accents, je suis sur un clavier qwerty...) Effectivement cela me servira de lecon de telecharger des .exe en P2P... Etant expat en Egypte, il ne m'est pas facile d'acceder a des programmes originaux; ceci dit, comme tu le mentionnes tres justement, la plupart ont leurs equivalents telechargeables en freewares et aucun ne justifie de passer 3 jours pleins a nettoyer sa machine. :-S Voici le premier des 2 logs demandes (celui de OTMovIt3). Pendant la nuit, je vais effectuer le scan de Kaspersky et je posterai le log par la suite. Je pense que les 9 fichiers infectes sur H: (DD externe) ont ete desinfectes par le petit utilitaire sality_off (mis en startup). De toutes manieres, je ne veux prendre aucun risque et les supprimerai s'il y a lieu de le faire. Merci pour ton temps et ton aide precieuse A+ Croquis Log de OTMovIt3: ========== FILES ========== H:\mes documents\Fatima\bien manger pour bien etre.exe moved successfully. H:\mes documents\Heredis 7\Arbre3d.exe moved successfully. H:\mes documents\Installateurs\drivers non graves\VirtualDubMOD_1.5.10.2_b2540_Fr.exe moved successfully. H:\mes documents\Installateurs\drivers non graves\vanBasco's Karaoke Player moved successfully. H:\mes documents\Installateurs\drivers non graves\WinRAR.v3.70.FR.Incl-Crack\Crack moved successfully. H:\mes documents\Installateurs\drivers non graves\WinRAR.v3.70.FR.Incl-Crack moved successfully. H:\mes documents\Installateurs\drivers non graves\Echecs\wjchess3d.exe moved successfully. H:\mes documents\my documents2\Midinotate 30.exe moved successfully. H:\mes documents\Ten Thumbs Typing Tutor 2.2\Ten Thumbs Typing Tutor 2.2.exe moved successfully. H:\incoming\Livre AUDIO et Ebook\Nietzche - Ainsi Parlait Zarathoustra (Lu par Michael Lonsdale)\in_mpc.exe moved successfully. D:\All Users\New Folder\Mes Documents\Installateurs\drivers non graves\VirtualDubMOD_1.5.10.2_b2540_Fr.exe moved successfully. OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 01042009_012555

Salut Apollo Voilà, J'ai tout d'abord découvert un petit utilitaire sur le site de Kaspersky qui se nomme "sality_off". Je l'ai fait tourner et il m'a pas mal nettoyé de saloperies. Ensuite, j'ai mis un fichier (tjs de Kaspersky) nommé "sality_regkeys". Voici le lien du site : (http://www.kaspersky.com/support/viruses/solutions?qid=208279889). J'espère que ça n'a pas empiété sur ton aide... :-S J'ai fait un full scan avec AVP Tool et j'ai constaté que plusieurs problèmes n'ont pu être traités. La plupart d'entre eux se trouvent sur mon DD externe (H:) où j'avais envoyé tous mes documents pour éviter des pertes de données. Le problème du non traitement "ME" ""semble"" lié au manque d'espace sur les DD. J'ai donc viré Spybot (que je ne pouvais de toute façon plus utiliser), Nero (très volumineux) ainsi que qlq autres petits programmes avec succès. Me voici, à l'instant où je t'écris, avec 420Mb de libres sur C: (ma première partition) et sur D: (ma seconde partition) j'ai encore plus de 7Gb de libres. H: (le DD externe) affiche 156 Mb de libres. Vers les 2 tiers du scan de AVP, j'étais à 0 Mb sur C: (je ne pense pas que ce fut l'idéal...) Le souci est qu'il m'est impossible de faire davantage de place sur C: car plusieurs programmes ont été endommagés par le(s) virus. Soit la fonction remove prog (dans add/remove) n'aboutit à rien (c'est le cas pour Antivir que je ne peux ni ouvrir ni supprimer), soit j'ai une fenêtre portant le titre "NSIS ERROR" (notamment pour Emule, Winamp, Exact Audio Copy, Virtualclonedrive, CloneCD) J'ai trois questions à te soumettre: 1) En ce qui concerne le DD externe (H:), serait-il judicieux que je l'ouvre (au risque de recontaminer l'ordi) et que je libère un peu de place en supprimant des docs inutiles..? 2) Pour C:, comment vais-je arriver à désinstaller Antivir et les autres prog qui sont liés à la NSIS ERROR? 3) Quid de Safe Mode? Est-il possible de réécrire le fichier Safe Mode (à partir de la console de récupération... ou autrement)? Merci mille fois pour ta patience!!! ---------------------------------------------------------------------------------------------------------------------------- Voici le log de AVP Tool que j'ai désinstallé après le scan comme indiqué : ---------------------------------------------------------------------------------------------------------------------------- Scan ---- Scanned: 291098 Detected: 15 Untreated: 12 Start time: 1/3/2009 5:37:56 PM Duration: 03:42:15 Finish time: 1/3/2009 9:20:11 PM Detected -------- Status Object ------ ------ deleted: Trojan program Trojan-Downloader.Win32.Small.agoy File: C:\Documents and Settings\Ahmed\Local Settings\Temp\windqcx.exe deleted: Trojan program Trojan.Win32.Agent.ateq File: C:\Documents and Settings\Ahmed\Local Settings\Temp\winoradjt.exe//PE_Patch.UPX//UPX deleted: virus Virus.Win32.Iframer.c File: C:\Documents and Settings\Ahmed\Local Settings\Temp\wincvdmwp.exe//PE_Patch.UPX//UPX detected: adware not-a-virus:AdWare.Win32.Rabio.db File: D:\All Users\New Folder\Mes Documents\Installateurs\drivers non graves\VirtualDubMOD_1.5.10.2_b2540_Fr.exe detected: virus Virus.Win32.Sality.aa File: D:\Program Files\Winamp\InFlac-Uninstall.exe detected: virus Virus.Win32.Sality.aa File: H:\mes documents\Fatima\bien manger pour bien etre.exe detected: virus Virus.Win32.Sality.aa File: H:\mes documents\Heredis 7\Arbre3d.exe detected: adware not-a-virus:AdWare.Win32.Rabio.db File: H:\mes documents\Installateurs\drivers non graves\VirtualDubMOD_1.5.10.2_b2540_Fr.exe detected: virus Virus.Win32.Sality.aa File: H:\mes documents\Installateurs\drivers non graves\vanBasco's Karaoke Player\UNINST.EXE detected: virus Virus.Win32.Sality.aa File: H:\mes documents\Installateurs\drivers non graves\vanBasco's Karaoke Player\VMIDI.EXE detected: virus Virus.Win32.Sality.aa File: H:\mes documents\Installateurs\drivers non graves\WinRAR.v3.70.FR.Incl-Crack\wrar370fr.exe detected: virus Virus.Win32.Sality.aa File: H:\mes documents\Installateurs\drivers non graves\Echecs\wjchess3d.exe detected: virus Virus.Win32.Sality.aa File: H:\mes documents\my documents2\Midinotate 30.exe detected: virus Virus.Win32.Sality.aa File: H:\mes documents\Ten Thumbs Typing Tutor 2.2\Ten Thumbs Typing Tutor 2.2.exe detected: virus Virus.Win32.Sality.aa File: H:\incoming\Livre AUDIO et Ebook\Nietzche - Ainsi Parlait Zarathoustra (Lu par Michael Lonsdale)\in_mpc.exe Events ------ Time Name Status Reason ---- ---- ------ ------ Statistics ---------- Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted ------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ --------- Settings -------- Parameter Value --------- ----- Security Level Recommended Action Prompt for action when the scan is complete Run mode Manually File types Scan all files Scan only new and changed files No Scan archives All Scan embedded OLE objects All Skip if object is larger than No Skip if scan takes longer than No Parse email formats No Scan password-protected archives No Enable iChecker technology No Enable iSwift technology No Show detected threats on "Detected" tab Yes Rootkits search Yes Deep rootkits search No Use heuristic analyzer Yes Quarantine ---------- Status Object Size Added ------ ------ ---- ----- Backup ------ Status Object Size ------ ------ ----

Bonsoir Apollo et merci de ton aide, Je vais tenter de respecter toutes les étapes que tu m'as décrites. Le problème pour Antivir est que je ne peux ni l'ouvrir, ni le désinstaller (j'ai essayé par le panneau de config, add/remove programs et par le dossier Antivir lui-même). Je voulais aussi te préciser que je peux me connecter à internet avec l'ordinateur infecté même si j'évite de le faire si ce n'est pas nécessaire... Donc, je téléchargerai AVP Tool et l'installerai sur le DD. Je te tiens au courant.

Bonsoir! Je suis plus que perdu suite à la contamination de mon ordi par le virus sality.y Mon antivirus (antivir) refuse de s'ouvrir idem pour Spybot ainsi que la plupart de mes fichiers exe. De meme task manager, regedit me boudent. Impossible de booter en Safe Mode. Je l'ai essayé par F8 et par msconfig (il accepte de s'ouvrir, lui) mais Windows ne se lançait plus. J'ai donc dû utiliser la console de récupération du cd XP pour réécrire le segment boot.ini. J'ai passé deux jours à tenter de trouver des solutions sur les forums mais rien n'y fait. Le virus se propage partout, y compris dans mon graveur semble-t-il. J'ai fait un scan avec un AV (dr Web) à partir de la clé USB mais rien n'y fait. Je lance donc un Jéroboam à la mer. Ma machine est un Compaq 1200, Win XP SP2. J'ai 2 partitions; XP étant installé sur C: J'ai fait un backup de mes doc mais j'aimerais ne pas devoir reformater. Même si ça n'en a peut-être pas l'air, je suis assez novice et n'ai que très peu d'expérience de manipulation à ce niveau... (l'ordi avec lequel je vous écris n'est pas infecté, je peux donc travailler directement sur l'autre pour lequel j'évite de le connecter à internet, par sécurité) J'avoue avoir déjà posté ce message sur 1 (seul) autre forum - je sais que ce n'est pas recommandé :-S - mais n'ayant reçu aucune réponse, je me consacrerai, le cas échéant, uniquement à celui-ci. Au secours!!! PS: J'ai téléchargé et mis à jour Malwarebytes, mais ne peux effectuer de scan sérieux puisqu'il m'est impossible de booter en Safe Mode... Par où commencer???