Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

c'est reparti pour un tour ^^

ivy

Par ivy
dans Analyses et éradication malwares

 Partager

Messages recommandés

ivy Power Member

ivy

Posté(e)
Posté(e)

salut :P

 

bon... on recommence ^^

 

symptômes :

- ralentissement général

- antivir ne fonctionne plus en administrateur, uniquement en compte standard

- impossible d'installer antivir anti root-kit, veut pas, ne me donne aucune explication

- ce matin, détecté une infection par zlob. c'était dans le bac à sable, j'ai vidé

- je viens d'aller dans la BdR, il y a plein d'entrées en "casino" ou "sex", des trucs du genre, plein de trucs à extension en italie aussi, exactement comme qd j'avais gromozon.

 

voici le rapport hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:30:25, on 15/01/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\hp\support\hpsysdrv.exe

C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

C:\Windows\RtHDVCpl.exe

C:\Windows\System32\jureg.exe

C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

C:\Windows\system32\schtasks.exe

c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\BillP Studios\WinPatrol\WinPatrol.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\Program Files\e-Carte Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Sandboxie\SbieCtrl.exe

C:\Program

Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\hp\kbd\kbd.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL

= http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName

=

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common

Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Helper -

{AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows

Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE

O4 - HKLM\..\Run: [OsdMaestro] "C:\Program

Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"

O4 - HKLM\..\Run: [iAAnotif] "C:\Program Files\Intel\Intel Matrix

Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [startCCC] c:\Program Files\ATI

Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [CCUTRAYICON] FactoryMode

O4 - HKLM\..\Run: [HP Health Check Scheduler]

[ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe

O4 - HKLM\..\Run: [sunJavaUpdateReg] "C:\Windows\system32\jureg.exe"

O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software

Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP

Studios\WinPatrol\winpatrol.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir

PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program

Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [eCarteBleue-CLEO] "C:\Program Files\e-Carte

Bleue\LCL\e-Carte Bleue VISA Cleo\ECB-CLEO.exe" /dontopenmycards

O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows

Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [sandboxieControl] "C:\Program

Files\Sandboxie\SbieCtrl.exe"

O4 - HKCU\..\Run: [swg] C:\Program

Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows

Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe

oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows

Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O13 - Gopher Prefix:

O16 - DPF: {4EFE4BE8-8771-4649-B3EF-D97374C8D2C2}

(KeybHunterWebInterface Class) -

https://particuliers.secure.lcl.fr/v_1.0/im...FormProtect.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash

Object) -

https://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft -

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Intel® Alert Service (AlertService) - Intel®

Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler

(AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition

Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) -

Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition

Classic\avguard.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. -

C:\Windows\system32\Ati2evxx.exe

O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common

Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program

Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program

Files\Hewlett-Packard\HP Health Check\hphc_service.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel

Corporation - C:\Program Files\Intel\Intel Matrix Storage

Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

Corporation - c:\Program Files\Common

Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel® Corporation

- C:\Program Files\Intel\IntelDH\Intel Media

Server\Tools\IntelDHSvcConf.exe

O23 - Service: Intel® Software Services Manager (ISSM) - Intel®

Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media

Server\bin\ISSM.exe

O23 - Service: LightScribeService Direct Disc Labeling Service

(LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common

Files\LightScribe\LSSrvc.exe

O23 - Service: Intel® Viiv Media Server (M1 Server) - Unknown

owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media

Server\bin\mediaserver.exe

O23 - Service: Intel® Application Tracker (MCLServiceATL) - Intel®

Corporation - C:\Program Files\Intel\IntelDH\Intel Media

Server\Shells\MCLServiceATL.exe

O23 - Service: Intel® Remoting Service (Remote UI Service) - Intel®

Corporation - C:\Program Files\Intel\IntelDH\Intel Media

Server\Shells\Remote UI Service.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common

Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program

Files\Sandboxie\SbieSvc.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program

Files\Common Files\SureThing Shared\stllssvr.exe

 

--

End of file - 8078 bytes

 

il y a des trucs à enlever ou pas ?

 

merci :P

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour ivy :P

 

J'ai parcouru ton sujet profil/droits/anti-spy + notifier avira.

 

Tu t'es peut-être emmêlé un peu les pinceaux dans la gestion des droits. Consulte ce sujet : UAC b.a.b.a sécu, et plus particulièremement ce post : Installer Antivir sur un compte standard. Regarde si tu t'y es pris correctement.

ivy Power Member

ivy

Posté(e)
  • Auteur
Posté(e)

salut gof, merci pour la réponse :P

 

j'avais déjà lu les sujets d'aide. je viens de les reparcourir, je ne pense pas m'être trompée. j'avais utilisé le tuto de malekal morte pour installer antivir.

 

ce qui m'inquiète plus, ce sont ces entrées louches dans la base de registre. évidemment, je n'ai pas réussi à les enlever manuellement, elles reviennent instantanément.

ce qui m'inquiète aussi, c'est qu'antivir ne fonctionne plus sur le compte admin, sans que j'aie rien changé, ni même téléchargé quoi que ce soit. ça marchait bien, ça s'est arrêté sans raison.

ce qui m'inquiète enfin, c'est que je ne peux pas utiliser le antivir anti rootkit, il refuse de faire les mises à jour, donc de fonctionner. j'ai pourtant suivi les instructions très simples de chez libellules.ch.

 

merci :P

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour ivy :P

 

Génère un rapport comme ceci je te prie :

 

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.

NB : Tu dois être connecté avec des droits d'Administrateur.

  1. ferme toutes les applications et fenêtres
  2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
    Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
  3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
    • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
      Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
    • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
      main.txt <- ouvert en premier plan et en plein écran
      extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)

S'il s'agit d'une utilisation supplémentaire de DSS :

  • tu n'auras pas de boîte de dialogue (pas de OK)
  • quand le traitement est terminé, un fichier texte s'affiche :
    main.txt <- ouvert en premier plan et en plein écran

[*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post

[*] copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)

[*] n'oublie pas de réactiver les protections si elles ont été stoppées.

A bientôt.

ivy Power Member

ivy

Posté(e)
  • Auteur
Posté(e)

salut gof, merci pour la réponse :P

 

voici les rapports demandés.

en fait, j'ai un extra et deux main. j'ai désactivé le pare-feu windows, en bas à droite de l'écran, et après le scan, en voulant le réactiver, j'ai vu qu'il était encore actif (ça devait être le second donc) ^^. j'ai donc redésactivé proprement et refait un scan. je garde le main1 sous le coude au cas où.

 

main :

 

Deckard's System Scanner v20071014.68

Run by Batman on 2008-01-17 10:36:17

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

 

 

-- HijackThis (run as Batman.exe) ----------------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:36:18, on 17/01/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\hp\support\hpsysdrv.exe

C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

C:\Windows\RtHDVCpl.exe

c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

C:\Program Files\BillP Studios\WinPatrol\WinPatrol.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Sandboxie\SbieCtrl.exe

C:\Program Files\Weather Watcher\ww.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\hp\kbd\kbd.exe

C:\Windows\system32\conime.exe

C:\Windows\notepad.exe

C:\Users\ivy.PC-de-ivy\Desktop\dss.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\Batman.exe

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE

O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"

O4 - HKLM\..\Run: [iAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [startCCC] c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [CCUTRAYICON] FactoryMode

O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe

O4 - HKLM\..\Run: [sunJavaUpdateReg] "C:\Windows\system32\jureg.exe" -delete

O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [sandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-21-1839321676-2372218336-3699890456-1003\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'ivy')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O13 - Gopher Prefix:

O16 - DPF: {4EFE4BE8-8771-4649-B3EF-D97374C8D2C2} (KeybHunterWebInterface Class) - https://particuliers.secure.lcl.fr/v_1.0/im...FormProtect.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Intel® Alert Service (AlertService) - Intel® Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe

O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel® Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe

O23 - Service: Intel® Software Services Manager (ISSM) - Intel® Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Intel® Viiv Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe

O23 - Service: Intel® Application Tracker (MCLServiceATL) - Intel® Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe

O23 - Service: Intel® Remoting Service (Remote UI Service) - Intel® Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe

 

--

End of file - 6653 bytes

 

-- Files created between 2007-12-17 and 2008-01-17 -----------------------------

 

2008-01-17 10:24:29 0 d-------- \Deckard

2008-01-16 22:36:26 0 d-------- C:\Program Files\rootkitbusterv1.6.1060

2008-01-16 22:32:14 28672 --a------ C:\Program Files\catchme.exe

2008-01-16 22:16:17 0 d-------- C:\Program Files\gmer

2008-01-16 21:51:26 0 d-------- C:\Program Files\Java

2008-01-16 21:50:58 0 d-------- C:\Program Files\Common Files\Java

2008-01-16 21:45:28 2147483647 --ahs---- \hiberfil.sys

2008-01-16 21:13:29 1040 --a------ \cc_20080116_2113.reg

2008-01-16 20:43:10 135660 --a------ \cc_20080116_2042.reg

2008-01-15 17:13:11 0 d-------- C:\Program Files\jv16 PowerTools

2008-01-15 15:20:48 0 dr------- \FEBE SAUVEGARDES

2008-01-11 12:26:03 0 d-------- C:\Program Files\kbdfr-dk-6.0.1

2008-01-09 21:02:20 0 d-------- C:\Program Files\e-Carte Bleue

2008-01-09 20:38:11 0 d-------- C:\Program Files\JkDefrag-3.33

2008-01-07 16:22:27 0 d-------- \swsetup

2008-01-04 10:03:03 0 d-------- C:\Program Files\CCleaner

2008-01-03 18:35:34 0 d-------- C:\Program Files\VideoLAN

2007-12-29 19:04:57 0 d-------- C:\Program Files\Avira

2007-12-28 10:30:41 0 d--h----- \Config.Msi

2007-12-21 09:44:47 0 d-------- C:\Program Files\IrfanView

2007-12-19 20:26:06 139264 --a------ C:\Program Files\udc.exe <Not Verified; filehippo.com; filehippo.com update client>

2007-12-18 10:05:52 0 d-------- C:\Program Files\Lavasoft

2007-12-17 18:44:03 0 dr------- C:\Users\ivy.PC-de-ivy\Searches

2007-12-17 18:44:00 0 dr------- C:\Users\ivy.PC-de-ivy\Contacts

2007-12-17 18:43:55 0 d--hs---- C:\Users\ivy.PC-de-ivy\Voisinage réseau

2007-12-17 18:43:55 0 d--hs---- C:\Users\ivy.PC-de-ivy\Voisinage d'impression

2007-12-17 18:43:55 0 dr------- C:\Users\ivy.PC-de-ivy\Videos

2007-12-17 18:43:55 0 d--hs---- C:\Users\ivy.PC-de-ivy\SendTo

2007-12-17 18:43:55 0 dr------- C:\Users\ivy.PC-de-ivy\Saved Games

2007-12-17 18:43:55 0 d--hs---- C:\Users\ivy.PC-de-ivy\Recent

2007-12-17 18:43:55 0 dr------- C:\Users\ivy.PC-de-ivy\Pictures

2007-12-17 18:43:55 2359296 --ahs---- C:\Users\ivy.PC-de-ivy\NTUSER.DAT

2007-12-17 18:43:55 0 dr------- C:\Users\ivy.PC-de-ivy\Music

2007-12-17 18:43:55 0 d--hs---- C:\Users\ivy.PC-de-ivy\Modèles

2007-12-17 18:43:55 0 d--hs---- C:\Users\ivy.PC-de-ivy\Mes documents

2007-12-17 18:43:55 0 d--hs---- C:\Users\ivy.PC-de-ivy\Menu Démarrer

2007-12-17 18:43:55 0 d--hs---- C:\Users\ivy.PC-de-ivy\Local Settings

2007-12-17 18:43:55 0 dr------- C:\Users\ivy.PC-de-ivy\Links

2007-12-17 18:43:55 0 dr------- C:\Users\ivy.PC-de-ivy\Favorites

2007-12-17 18:43:55 0 dr------- C:\Users\ivy.PC-de-ivy\Documents

2007-12-17 18:43:55 0 dr------- C:\Users\ivy.PC-de-ivy\Desktop

2007-12-17 18:43:55 0 d--hs---- C:\Users\ivy.PC-de-ivy\Cookies

2007-12-17 18:43:55 0 d--hs---- C:\Users\ivy.PC-de-ivy\Application Data

2007-12-17 18:43:55 0 d--h----- C:\Users\ivy.PC-de-ivy\AppData

 

 

-- Find3M Report ---------------------------------------------------------------

 

2008-01-17 09:36:35 690594 --a------ C:\Windows\system32\perfh00C.dat

2008-01-17 09:36:35 117366 --a------ C:\Windows\system32\perfc00C.dat

2008-01-17 09:31:46 0 d-------- C:\Program Files\Google

2008-01-17 09:31:46 2147483647 --ahs---- \pagefile.sys

2008-01-16 22:45:32 0 d-------- C:\Program Files\Roxio

2008-01-16 22:45:29 0 d-------- C:\Program Files\Common Files

2008-01-16 22:43:00 525816 --a------ C:\Program Files\PC-Decrapifier-1.8.6.exe

2008-01-16 22:40:26 0 d-------- C:\Users\Batman\AppData\Roaming\OpenOffice.org2

2008-01-15 13:43:55 0 d-------- C:\Program Files\Hewlett-Packard

2008-01-15 13:19:02 0 d--h----- C:\Program Files\InstallShield Installation Information

2008-01-14 11:36:04 0 d-------- C:\Program Files\Sandboxie

2008-01-14 10:43:49 0 d-------- C:\Program Files\BSW

2008-01-09 11:04:31 0 d-------- C:\Program Files\Windows Sidebar

2008-01-09 11:04:31 0 d-------- C:\Program Files\Windows Mail

2008-01-07 16:21:01 0 d-------- C:\Users\Batman\AppData\Roaming\InstallShield

2008-01-04 01:31:10 0 d-------- C:\Users\Batman\AppData\Roaming\Adobe

2008-01-04 01:13:10 0 d-------- C:\Users\Batman\AppData\Roaming\WinPatrol

2008-01-03 18:35:56 0 d-------- C:\Users\Batman\AppData\Roaming\vlc

2007-12-29 10:24:30 0 d-------- C:\Users\Batman\AppData\Roaming\Media Player Classic

2007-12-28 10:30:01 0 d-------- C:\Users\Batman\AppData\Roaming\HP

2007-12-27 17:58:26 0 d-------- C:\Users\Batman\AppData\Roaming\Talkback

2007-12-18 10:02:58 0 d-------- C:\Program Files\Common Files\Wise Installation Wizard

2007-12-17 16:21:20 0 d-------- C:\Users\Batman\AppData\Roaming\Mozilla

2007-12-17 16:09:15 0 d-------- C:\Users\Batman\AppData\Roaming\Hewlett-Packard

2007-12-17 15:33:31 0 d-------- C:\Program Files\readmes

2007-12-17 11:26:39 0 d-------- C:\Users\Batman\AppData\Roaming\Macromedia

2007-12-15 07:52:11 0 d-------- C:\Users\Batman\AppData\Roaming\Google

2007-12-14 10:12:23 0 d-------- C:\Users\Batman\AppData\Roaming\ATI

2007-12-14 10:12:11 0 d-------- C:\Users\Batman\AppData\Roaming\Identities

2007-12-14 10:09:30 0 d-------- C:\Program Files\Weather Watcher

2007-12-13 21:08:16 4246 --a------ C:\Program Files\lisez-moi.html

2007-12-13 21:08:16 56689 --a------ C:\Program Files\kbdfr-dk-6.0.png

2007-12-13 21:08:16 126976 --a------ C:\Program Files\install-kbdfr-dk-6.0.1.exe

2007-12-13 09:37:48 0 d-------- C:\Program Files\BillP Studios

2007-12-13 09:36:41 0 d-------- C:\Program Files\OpenOffice.org 2.3

2007-12-13 09:33:18 0 d-------- C:\Program Files\licenses

2007-12-13 08:45:04 0 d-------- C:\Program Files\Trend Micro

2007-12-12 12:17:26 174 --ahs---- C:\Program Files\desktop.ini

2007-12-12 12:13:29 0 d-------- C:\Program Files\Windows Calendar

2007-12-12 11:53:59 0 d-------- C:\Program Files\MSXML 4.0

2007-12-12 11:41:11 0 d-------- C:\Program Files\Windows NT

2007-12-12 11:41:11 0 d--hs---- C:\Program Files\Fichiers communs

2007-11-13 19:11:28 3395476 --a------ C:\Program Files\openofficeorg4.cab

2007-11-13 19:11:00 68332489 --a------ C:\Program Files\openofficeorg3.cab

2007-11-13 19:04:48 17645041 --a------ C:\Program Files\openofficeorg2.cab

2007-11-13 19:03:53 19208747 --a------ C:\Program Files\openofficeorg1.cab

2007-11-13 19:02:38 217 --a------ C:\Program Files\setup.ini

2007-11-13 19:02:38 4369408 --a------ C:\Program Files\openofficeorg23.msi

2007-11-01 21:57:50 319488 --a------ C:\Program Files\setup.exe

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [01/09/2007 15:56]

"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [18/04/2007 16:01]

"KBD"="C:\HP\KBD\KbdStub.EXE" [08/12/2006 17:16]

"OsdMaestro"="C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [15/02/2007 12:59]

"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [14/06/2007 19:31]

"StartCCC"="c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [10/11/2006 11:35]

"RtHDVCpl"="RtHDVCpl.exe" [06/07/2007 12:06 C:\Windows\RtHDVCpl.exe]

"CCUTRAYICON"="FactoryMode" []

"HP Health Check Scheduler"="[ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" []

"SunJavaUpdateReg"="C:\Windows\system32\jureg.exe" [07/04/2007 01:56]

"HP Software Update"="c:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [16/02/2005 22:11]

"WinPatrol"="C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe" [26/10/2007 17:06]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [29/12/2007 19:07]

"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="C:\Program Files\Google\Gmail Notifier\gnotify.exe" [15/07/2005 22:48]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [09/01/2008 11:00]

"SandboxieControl"="C:\Program Files\Sandboxie\SbieCtrl.exe" [13/01/2008 12:53]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]

"Launcher"=%WINDIR%\SMINST\launcher.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppInfo]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KeyIso]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NTDS]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SWPRV]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TabletInputService]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TBS]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrustedInstaller]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VDS]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgr.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgrx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]

@="IEEE 1394 Bus host controllers"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]

@="SBP2 IEEE 1394 Devices"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]

@="SecurityDevices"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalSystemNetworkRestricted hidserv UxSms WdiSystemHost Netman trkwks AudioEndpointBuilder WUDFSvc irmon sysmain IPBusEnum dot3svc PcaSvc EMDMgmt TabletInputService wlansvc WPDBusEnum

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]

C:\Windows\system32\unregmp2.exe /ShowWMP

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]

%SystemRoot%\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI

 

 

 

-- End of Deckard's System Scanner: finished at 2008-01-17 10:36:37 ------------

 

 

 

extra (avec pare-feu donc, désolée :P ) :

 

Deckard's System Scanner v20071014.68

Extra logfile - please post this as an attachment with your post.

--------------------------------------------------------------------------------

 

-- System Information ----------------------------------------------------------

 

Microsoft® Windows Vista Édition Familiale Premium (build 6000)

Architecture: X86; Language: French

 

CPU 0: Intel® Core2 Duo CPU E4400 @ 2.00GHz

Percentage of Memory in Use: 31%

Physical Memory (total/avail): 3069.87 MiB / 2113.88 MiB

Pagefile Memory (total/avail): 6322.71 MiB / 5411.84 MiB

Virtual Memory (total/avail): 2047.88 MiB / 1937.63 MiB

 

C: is Fixed (NTFS) - 327.89 GiB total, 262.69 GiB free.

D: is Fixed (NTFS) - 7.46 GiB total, 0.7 GiB free.

E: is CDROM (No Media)

F: is Removable (No Media)

G: is Removable (No Media)

H: is Removable (No Media)

I: is Removable (No Media)

 

\\.\PHYSICALDRIVE0 - ST3360320AS - 335.35 GiB - 2 partitions

\PARTITION0 (bootable) - Système de fichiers installable - 327.89 GiB - C:

\PARTITION1 - Système de fichiers installable - 7.46 GiB - D:

 

\\.\PHYSICALDRIVE2 - Generic USB CF Reader USB Device

 

\\.\PHYSICALDRIVE4 - Generic USB MS Reader USB Device

 

\\.\PHYSICALDRIVE1 - Generic USB SD Reader USB Device

 

\\.\PHYSICALDRIVE3 - Generic USB SM Reader USB Device

 

 

 

-- Security Center -------------------------------------------------------------

 

AUOptions is scheduled to auto-install.

Windows Internal Firewall is enabled.

 

AV: Avira AntiVir PersonalEdition v 7.0.2.8

(Avira GmbH) Disabled

AS: Avira AntiVir PersonalEdition v 7.0.2.8

(Avira GmbH) Disabled

AS: AVG Anti-Spyware v7, 5, 1, 43 (GRISOFT s.r.o.) Disabled Outdated

AS: Windows Defender v1.1.1505.0 (Microsoft Corporation)

 

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

 

 

-- Environment Variables -------------------------------------------------------

 

ALLUSERSPROFILE=C:\ProgramData

APPDATA=C:\Users\Batman\AppData\Roaming

CommonProgramFiles=C:\Program Files\Common Files

COMPUTERNAME=PC-DE-IVY

ComSpec=C:\Windows\system32\cmd.exe

FP_NO_HOST_CHECK=NO

LOCALAPPDATA=C:\Users\Batman\AppData\Local

NUMBER_OF_PROCESSORS=2

OnlineServices=Services en ligne

OS=Windows_NT

Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\hp\bin\Python;c:\Program Files\ATI Technologies\ATI.ACE\Core-Static;c:\Program Files\Common Files\Roxio Shared\DLLShared\;c:\Program Files\Common Files\Roxio Shared\9.0\DLLShared\

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

PCBRAND=Pavilion

PLATFORM=HPD

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 13, GenuineIntel

PROCESSOR_LEVEL=6

PROCESSOR_REVISION=0f0d

ProgramData=C:\ProgramData

ProgramFiles=C:\Program Files

PROMPT=$P$G

PUBLIC=C:\Users\Public

RoxioCentral=c:\Program Files\Common Files\Roxio Shared\9.0\Roxio Central33\

SystemDrive=C:

SystemRoot=C:\Windows

TEMP=C:\Users\Batman\AppData\Local\Temp

TMP=C:\Users\Batman\AppData\Local\Temp

USERDOMAIN=PC-de-ivy

USERNAME=Batman

USERPROFILE=C:\Users\Batman

windir=C:\Windows

 

 

-- User Profiles ---------------------------------------------------------------

 

 

Batman (admin)

ivy.PC-de-ivy

 

 

-- Add/Remove Programs ---------------------------------------------------------

 

Ad-Aware 2007 --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}

Adobe Flash Player ActiveX --> C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe

Adobe Flash Player Plugin --> C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe

Adobe Reader 8.1.1 - Français --> MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81000000003}

Avira AntiVir PersonalEdition Classic --> C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE

BrettspielWelt --> "C:\Program Files\BSW\uninstall.exe"

ccc-Branding --> MsiExec.exe /I{4F027497-15AE-4DE5-B3BC-8E721C6127DE}

CCleaner (remove only) --> "C:\Program Files\CCleaner\uninst.exe"

e-Carte Bleue VISA Cléo --> RunDll32 advpack.dll,LaunchINFSection C:\Windows\INF\ECBCLEO.INF, DefaultUninstall.ntx86

Google Gmail Notifier --> "C:\Program Files\Google\Gmail Notifier\UninstallGmail.exe"

Hewlett-Packard Asset Agent for Health Check --> MsiExec.exe /X{669D4A35-146B-4314-89F1-1AC3D7B88367}

HijackThis 2.0.2 --> "C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall

HP Active Support Library --> C:\Program Files\InstallShield Installation Information\{11BB336F-0E58-4977-B866-F24FA334616B}\setup.exe -runfromtemp -l0x0409

HP Active Support Library 32 bit components --> MsiExec.exe /I{6D3DB611-D5E8-4E4B-8952-0D3F549F9CC6}

HP Customer Experience Enhancements --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11�\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{AB5E289E-76BF-4251-9F3F-9B763F681AE0}\setup.exe" -l0x9 -removeonly

HP On-Screen Cap/Num/Scroll Lock Indicator --> C:\Windows\system32\OsdRemove.exe

HP Photosmart Essential 2.01 --> C:\Program Files\HP\Digital Imaging\PhotoSmartEssential\hpzscr01.exe -datfile hpqbud13.dat

HP Update --> MsiExec.exe /X{8C6027FD-53DC-446D-BB75-CACD7028A134}

Intel® Matrix Storage Manager --> C:\Windows\System32\Imsmudlg.exe

IrfanView (remove only) --> C:\Program Files\IrfanView\iv_uninstall.exe

Java 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}

jv16 PowerTools 1.3 --> "C:\Program Files\jv16 PowerTools\unins000.exe"

Logiciel Intel® Viiv --> MsiExec.exe /X{6E7BF6EC-C3E7-43A7-8A03-0D204E3EC01B} /qb!

Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}

Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}

Mozilla Firefox (2.0.0.11) --> C:\Program Files\Mozilla Firefox\uninstall\helper.exe

MSXML 4.0 SP2 (KB936181) --> MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}

MSXML 4.0 SP2 (KB941833) --> MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}

muvee autoProducer 6.0 --> C:\Program Files\InstallShield Installation Information\{14AF024E-2E3B-49D0-A175-D1C1A06B155A}\setup.exe -runfromtemp -l0x040c -removeonly

OpenOffice.org 2.3 --> MsiExec.exe /I{B087B0C3-F595-485A-B86B-73326BA8693A}

Outils de diagnostic du matériel --> C:\Program Files\PC-Doctor 5 for Windows\uninst.exe

Python 2.5 --> MsiExec.exe /I{0A2C5854-557E-48C8-835A-3B9F074BDCAA}

Realtek High Definition Audio Driver --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c -removeonly

Roxio Activation Module --> MsiExec.exe /I{35E1EC43-D4FC-4E4A-AAB3-20DDA27E8BB0}

Roxio Creator Audio --> MsiExec.exe /X{83FFCFC7-88C6-41c6-8752-958A45325C82}

Roxio Creator Basic v9 --> MsiExec.exe /X{C8B0680B-CDAE-4809-9F91-387B6DE00F7C}

Roxio Creator Copy --> MsiExec.exe /X{619CDD8A-14B6-43a1-AB6C-0F4EE48CE048}

Roxio Creator Data --> MsiExec.exe /X{0D397393-9B50-4c52-84D5-77E344289F87}

Roxio Creator EasyArchive --> MsiExec.exe /X{11F93B4B-48F0-4A4E-AE77-DFA96A99664B}

Roxio Creator Tools --> MsiExec.exe /X{0394CDC8-FABD-4ed8-B104-03393876DFDF}

Roxio MyDVD Basic v9 --> MsiExec.exe /X{938B1CD7-7C60-491E-AA90-1F1888168240}

Sandboxie 3.22 --> "C:\Windows\Installer\SandboxieInstall.exe" /remove

Solution de clavier multimédia amélioré --> C:\HP\KBD\Install.exe /u

VideoLAN VLC media player 0.8.6d --> C:\Program Files\VideoLAN\VLC\uninstall.exe

Weather Watcher --> "C:\Program Files\Weather Watcher\unins000.exe"

WinPatrol 2007 --> C:\PROGRA~1\BILLPS~1\WINPAT~1\Setup.exe /remove /q0

 

 

-- Application Event Log -------------------------------------------------------

 

Event Record #/Type8296 / Error

Event Submitted/Written: 01/17/2008 09:36:35 AM

Event ID/Source: 5007 / WerSvc

Event Description:

Impossible d’analyser le fichier cible de la plateforme de signalement de problèmes Windows (fichier DLL contenant la liste des problèmes de l’ordinateur et nécessitant la collecte de données supplémentaires à des fins de diagnostic). Le code d’erreur était : 8014FFF9.

 

Event Record #/Type8288 / Success

Event Submitted/Written: 01/17/2008 09:32:08 AM

Event ID/Source: 5617 / WinMgmt

Event Description:

 

 

Event Record #/Type8287 / Success

Event Submitted/Written: 01/17/2008 09:32:07 AM

Event ID/Source: 5615 / WinMgmt

Event Description:

 

 

Event Record #/Type8282 / Success

Event Submitted/Written: 01/17/2008 09:31:58 AM

Event ID/Source: 902 / Software Licensing Service

Event Description:

Le service de gestion des licences du logiciel a démarré.

 

Event Record #/Type8273 / Success

Event Submitted/Written: 01/16/2008 11:47:00 PM

Event ID/Source: 903 / Software Licensing Service

Event Description:

Le service de gestion de licences du logiciel s'est arrêté.

 

 

 

-- Security Event Log ----------------------------------------------------------

 

No Errors/Warnings found.

 

 

-- System Event Log ------------------------------------------------------------

 

Event Record #/Type55572 / Warning

Event Submitted/Written: 01/17/2008 10:23:26 AM

Event ID/Source: 4 / E100B

Event Description:

Carte Connexion réseau Intel® PRO/100 : la liaison à la carte est interrompue

 

Event Record #/Type55511 / Error

Event Submitted/Written: 01/17/2008 09:33:34 AM

Event ID/Source: 7000 / Service Control Manager

Event Description:

Parallel port driver%%1058

 

Event Record #/Type55442 / Warning

Event Submitted/Written: 01/16/2008 10:44:41 PM

Event ID/Source: 3004 / WinDefend

Event Description:

L’agent de protection en temps réel %PC-de-ivy27 a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. %PC-de-ivy27 ne peut pas annuler les modifications que vous autorisez.

 

Pour plus d’informations, consultez les données suivantes :

%PC-de-ivy275

 

ID d’analyse : {60BD2B97-5816-4473-89CA-225525A2536D}

 

Utilisateur : PC-de-ivy\ivy

 

Nom : %PC-de-ivy271

 

ID : %PC-de-ivy272

 

ID de gravité : %PC-de-ivy273

 

ID de catégorie : %PC-de-ivy274

 

Chemin d’accès trouvé : %PC-de-ivy276

 

Type d’alerte : %PC-de-ivy278

 

Type de détection : 1.1.1505.02

 

Event Record #/Type55441 / Warning

Event Submitted/Written: 01/16/2008 10:44:41 PM

Event ID/Source: 3004 / WinDefend

Event Description:

L’agent de protection en temps réel %PC-de-ivy27 a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. %PC-de-ivy27 ne peut pas annuler les modifications que vous autorisez.

 

Pour plus d’informations, consultez les données suivantes :

%PC-de-ivy275

 

ID d’analyse : {F002A8EB-9C71-4CDF-A9D5-7382492D5196}

 

Utilisateur : PC-de-ivy\ivy

 

Nom : %PC-de-ivy271

 

ID : %PC-de-ivy272

 

ID de gravité : %PC-de-ivy273

 

ID de catégorie : %PC-de-ivy274

 

Chemin d’accès trouvé : %PC-de-ivy276

 

Type d’alerte : %PC-de-ivy278

 

Type de détection : 1.1.1505.02

 

Event Record #/Type55440 / Warning

Event Submitted/Written: 01/16/2008 10:44:41 PM

Event ID/Source: 3004 / WinDefend

Event Description:

L’agent de protection en temps réel %PC-de-ivy27 a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. %PC-de-ivy27 ne peut pas annuler les modifications que vous autorisez.

 

Pour plus d’informations, consultez les données suivantes :

%PC-de-ivy275

 

ID d’analyse : {0FF8DEE9-D204-4B2C-A4E8-7519FF1355FD}

 

Utilisateur : PC-de-ivy\ivy

 

Nom : %PC-de-ivy271

 

ID : %PC-de-ivy272

 

ID de gravité : %PC-de-ivy273

 

ID de catégorie : %PC-de-ivy274

 

Chemin d’accès trouvé : %PC-de-ivy276

 

Type d’alerte : %PC-de-ivy278

 

Type de détection : 1.1.1505.02

 

 

 

-- End of Deckard's System Scanner: finished at 2008-01-17 10:25:57 ------------

 

 

hier soir, j'ai essayé gmer qui a trouvé un rootkit dans un dossier temp. comme c'était temp, j'ai jeté.

j'ai essayé de nettoyer la base de registre, en MSE. j'ai viré tout ce qui était "sex" et "casino". apparemment, je dis bien apparemment, ça a fonctionné. disons que ces entrées ne sont pas revenues instantanément.

 

voilà, merci :P

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour ivy :P

 

Il est possible que je passe à côté d'une chose énorme qui aurait du me sauter aux yeux, cela arrive parfois de faire des erreurs. Mais là très franchement, je ne vois rien d'inquiétant correspondant aux soucis que tu m'énonces.

 

Il est possible que la présence à la fois de Antivir et son guard, AVG AS (et son résident s'il est encore présent), windows defender plus la sandbox mette quelque peu windows sens dessus dessous. C'est excessif je pense.

 

hier soir, j'ai essayé gmer qui a trouvé un rootkit dans un dossier temp. comme c'était temp, j'ai jeté.
Il aurait été utile que je vois ce rapport Gmer.

 

j'ai essayé de nettoyer la base de registre, en MSE. j'ai viré tout ce qui était "sex" et "casino". apparemment, je dis bien apparemment, ça a fonctionné. disons que ces entrées ne sont pas revenues instantanément.
Attention, il y a des entrées -légitimes- dans la BDR qui peuvent prêter à confusion. Où était ces entrées ? A quel emplacement ?
ivy Power Member

ivy

Posté(e)
  • Auteur
Posté(e)

Salut gof, merci pour la réponse :P

 

On va refaire un bilan des outils de sécurité, si tu veux bien.

En résidents, j'ai :

- Antivir + Guard, uniquement Antivir. Merci de m'avoir ouvert les yeux : je croyais que Windows Defender était le pare-feu de windows, désolée... Je l'ai désactivé :P.

- Le pare-feu Vista.

- Win-patrol.

 

Ensuite, ce sont des outils qui fonctionnent à la demande. Environ une fois par semaine :

- Ad-aware, sans son guard (c'est payant...). Je n'ai pas AVG, j'ai effectivement été très étonnée de le voir apparaître dans le rapport. Je l'avais installé, mais viré le lendemain, car je préférais Ad-aware. Je viens de virer les entrées correspondant à AVG anti spyware et Grisoft dans la BdR.

- Gmer, que je fais fonctionner tous les jours... depuis avant-hier ^^ Il ne fonctionne qu'en MSE. En windows normal, compte standard ou admin, il s'arrête en cours de route, soit en me disant qu'il s'arrête, soit en ne me disant rien du tout, il se « bloque », je ne sais pas pourquoi.

 

- La Sandbox fonctionne dès que je vais sur Internet. Mais je ne considère pas ça comme un outil de sécurité. Si j'ai bien compris, c'est comme une « enveloppe » qui isole les applications potentiellement à risques (Internet par exemple) du système. Bref, je ne vois pas en quoi le bac à sable peut interférer avec le reste (fausser les rapports par exemple).

 

Euh, c'est tout. C'est vraiment trop ??? Chaque outil a un usage spécifique, et normalement, je n'ai plus de doublons...

 

Hm, pour les entrées légitimes de la BdR qui peuvent prêter à confusion, je veux bien. Mais quand tu te retrouves avec au bas mot 300 entrées types « sex », « casino », « adult », « gay », etc. je crois qu'il n'y a pas trop de confusion possible... Je continue à vérifier : ça ne revient pas. (J'ai vu un gars sur Internet qui avait le même problème, il a posté la liste. C'est son 4e message, sous le pseudo 600bassysteme, http://forum.telecharger.01net.com/telecha...essages-1.html).

Ces entrées étaient sous la clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

 

J'en ai aussi vu sous : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P

 

P3P est revenu, mais sans les centaines de trucs louches dedans.

 

Aujourd'hui, l'ordi a repris sa vitesse de croisière :P

Je pense que Zlob était là (je l'ai vu) et sûrement un de ses copains...

 

Il me reste des trucs bizarres :

- Dans C:, Windows, Downloaded Program Files (dossier caché), j'ai un contrôle Active X de « KeybHunterWebInterface Class » endommagé, avec toutes les dépendances (je ne sais pas ce que c'est) endommagées. Normalement, c'est une carte bleue virtuelle pour les achats en ligne, fournie par la banque, mais comme c'est « endommagé »je ne sais pas si je peux l'utiliser.

- Un autre truc étonnant. Ce matin, je croyais être folle : j'avais bien vu des trucs bizarres dans le rapport Deckard, mais impossible de les retrouver. En fait, toi tu ne les as pas vus : ils sont à la fin du premier rapport que j'ai fait par mégarde sans avoir désactivé le pare-feu. Ça dit ça :

 

-- Hosts -----------------------------------------------------------------------

 

127.0.0.1 007guard.com

127.0.0.1 www.007guard.com

127.0.0.1 008i.com

127.0.0.1 008k.com

127.0.0.1 www.008k.com

127.0.0.1 00hq.com

127.0.0.1 www.00hq.com

127.0.0.1 010402.com

127.0.0.1 032439.com

127.0.0.1 www.032439.com

 

7793 more entries in hosts file.

 

J'ai cherché le premier sur le net, il n'a pas l'air trop sympa ^^

Alors voilà, en fait, je ne sais pas s'il y a un problème ou non, vu que les données changent selon que le pare-feu fonctionne ou pas (ça pourrait être le pare-feu qui interfère ?).

 

Désolée d'insister, je suis devenue grave parano depuis l'autre fois :P

Si tu me dis que tout est bon, j'écouterais (ce n'est pas exclu que je revienne avec des rapports de temps en temps tellement j'ai peur au moindre truc, pardon d'avance).

 

Merci :P

Sacles Godlike Member

Sacles

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

Hm, pour les entrées légitimes de la BdR qui peuvent prêter à confusion, je veux bien. Mais quand tu te retrouves avec au bas mot 300 entrées types « sex », « casino », « adult », « gay », etc. je crois qu'il n'y a pas trop de confusion possible... Je continue à vérifier : ça ne revient pas.

Ce sont sans doute des entrées qui correspondent aux sites sensibles définis dans Internet Explorer (Outils >>> Options Internet >>> Sécurité >>> Sites sensibles).

 

----------

 

Les entrées que tu indiques (avec les 127.0.0.1) correspondent effectivement à des entrées du fichier hosts dont la fonction principale est d'empêcher l'accès à des sites dangereux.

 

Pour des indications sur le hosts, voir ceci:

 

http://assiste.com.free.fr/p/hosts/hosts_i...on_a_hosts.html

 

Salut.

Modifié par Sacles
  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir tous les 2 :P

 

Merci Sacles d'avoir rassuré ivy :P

 

En effet, les entrées BDR auxquelles je pensais sont bien celles dont parles Sacles et celles dont tu mentionnes le chemin. Leur présence peut surprendre à la vue des termes lorsque l'on ne s'y attend pas, mais ce sont des entrées légitimes. Idem pour le fichier hosts. Si ce n'est pas toi qui l'a modifié, c'est sans doute un de tes outils de sécurité qui te l'a généré pour te prôtéger.

 

Dans C:, Windows, Downloaded Program Files (dossier caché), j'ai un contrôle Active X de « KeybHunterWebInterface Class » endommagé, avec toutes les dépendances (je ne sais pas ce que c'est) endommagées. Normalement, c'est une carte bleue virtuelle pour les achats en ligne, fournie par la banque, mais comme c'est « endommagé »je ne sais pas si je peux l'utiliser.
Lorsque via Internet explorer tu chercheras à utiliser ce service (de carte bleue virtuelle), si l'activeX est détecté comme 'endommagé' par le navigateur, il ne pourra pas l'exploiter et te redemandera de le retélécharger. Pas de soucis avec ça normalement :P

 

ok, merci sacles, je vais étudier ça :P

(avant de continuer à vous faire suer pour un oui ou pour un non :P)

Ce n'est pas grave, il vaut mieux demander que de faire des bêtises. :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...