[Reglé] Contaminé, Balge, impossible d'installer un antivirus

[hercut]

Alors j'ai l'impretion que la desinfection fonctionne pas comme il faut a cause de mes droit ou de la protection de vista...

Je suis pourtant bien admin.

 

Voici les rapport:

 

-------------------------------------------------------

- Operation: 1 Executer

C:\Users\HercuT\Desktop\catchme.exe -k C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS

Result: Success

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 2 Executer

C:\Users\HercuT\Desktop\catchme.exe -k C:\Windows\System32\drivers\hldrrr.exe

Result: Success

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 3 Executer

C:\Users\HercuT\Desktop\catchme.exe -k C:\WINDOWS\SYSTEM32\WINTEMS.EXE

Result: Success

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 4 Executer

C:\Users\HercuT\Desktop\catchme.exe -k C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

Result: Success

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 5 Executer

C:\Users\HercuT\Desktop\catchme.exe -k C:\WINDOWS\system32\drivers\hidr.exe

Result: Success

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 6 Stopper service

srosa

Result: Error! Accès refusé.

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 7 Supprimer service

srosa

Result: Error! Accès refusé.

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 8 Supprimer clé

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa

Result: Error! Accès refusé.

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 9 Supprimer clé

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa

Result: Error! Accès refusé.

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 10 Supprimer clé

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa

Result: Error! Accès refusé.

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 11 Supprimer fichier

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS

Result: Error! le fichier n'a pas été supprimé, il sera supprimer au prochain démarrage de Windows

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 12 Supprimer fichier

C:\Windows\System32\drivers\hldrrr.exe

Result: Error! le fichier n'a pas été supprimé, il sera supprimer au prochain démarrage de Windows

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 13 Supprimer fichier

C:\WINDOWS\SYSTEM32\WINTEMS.EXE

Result: Error! le fichier n'a pas été supprimé, il sera supprimer au prochain démarrage de Windows

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 14 Supprimer fichier

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

Result: Success

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 15 Supprimer dossier

C:\Windows\System32\drivers\down

Result: Error! le fichier n'a pas été supprimé, il sera supprimer au prochain démarrage de Windows

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 16 Redémarrer

 

Result: Success

-------------------------------------------------------

 

 

Sat Jan 12 19:01:58 2008

EliBagle v10.84 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

 

Sat Jan 12 19:05:24 2008

EliBagle v10.84 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Windows\System32\drivers\down\117562.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\121296.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\128671.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\14566031.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\14584546.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\14602265.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\14604156.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\14607953.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\14608000.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\14637609.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\14705531.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\166734.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\184328.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\194953.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\201734.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\224609.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\238234.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\29101937.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\29122171.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\29126281.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\29196078.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\29225093.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\43598640.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\43613593.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\43643906.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\43658062.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\43706625.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\58079812.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\58149218.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\58244296.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\58247640.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\63718515.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\63723578.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\67640.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\87218.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\92125.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\95171.EXE --> Eliminado Bagle

 

Nº Total de Directorios: 22360

Nº Total de Ficheros: 234553

Nº de Ficheros Analizados: 14996

Nº de Ficheros Infectados: 37

Nº de Ficheros Limpiados: 37

 

Sat Jan 12 19:24:07 2008

EliBagle v10.84 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

 

Sat Jan 12 19:24:19 2008

EliBagle v10.84 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

 

Sat Jan 12 19:24:22 2008

EliBagle v10.84 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 22361

Nº Total de Ficheros: 234552

Nº de Ficheros Analizados: 14959

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[Gof]

Bonjour Hercut

 

Le rapport Elibagla que tu me postes est toujours le même, daté au 12 janvier. Il m'en faudrait 1 d'aujourd'hui, que l'on fasse le point je te prie. Fais attention à la date en postant. S'il le faut, supprime le Elibagla présent sur ton système, et les rapports C:\InfoSat.txt, puis retélécharge l'outil.

 

A ce rapport joins moi un nouveau log généré avec l'outil suivant :

 

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.

NB : Tu dois être connecté avec des droits d'Administrateur.

1. ferme toutes les applications et fenêtres
   
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
   Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
   
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
   • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
     Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
     
   • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
     main.txt <- ouvert en premier plan et en plein écran
     extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
     

S'il s'agit d'une utilisation supplémentaire de DSS :

• tu n'auras pas de boîte de dialogue (pas de OK)
  
• quand le traitement est terminé, un fichier texte s'affiche :
  main.txt <- ouvert en premier plan et en plein écran
  

[*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post

[*] copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)

[*] n'oublie pas de réactiver les protections si elles ont été stoppées.

A bientôt.

[hercut]

Arff je comprend pas, maitenant je n'ai plus de rapport fait par Elibagla.

 

Si non pour le reste:

 

Deckard's System Scanner v20071014.68

Extra logfile - please post this as an attachment with your post.

--------------------------------------------------------------------------------

 

-- System Information ----------------------------------------------------------

 

Microsoft® Windows Vista™ Édition Familiale Premium (build 6000)

Architecture: X86; Language: French

 

CPU 0: Intel® Pentium® D CPU 3.40GHz

Percentage of Memory in Use: 30%

Physical Memory (total/avail): 3070.5 MiB / 2129.72 MiB

Pagefile Memory (total/avail): 6326.21 MiB / 5489.67 MiB

Virtual Memory (total/avail): 2047.88 MiB / 1934.11 MiB

 

A: is Removable (No Media)

C: is Fixed (NTFS) - 149.05 GiB total, 8.6 GiB free.

D: is Fixed (NTFS) - 149.05 GiB total, 25.03 GiB free.

E: is Fixed (NTFS) - 233.76 GiB total, 1.78 GiB free.

F: is Fixed (NTFS) - 232.88 GiB total, 0.64 GiB free.

G: is Fixed (NTFS) - 115.04 GiB total, 12.62 GiB free.

H: is Fixed (NTFS) - 74.53 GiB total, 0.84 GiB free.

I: is CDROM (No Media)

J: is CDROM (No Media)

K: is CDROM (No Media)

L: is Removable (No Media)

M: is Removable (No Media)

N: is Removable (FAT32)

O: is Removable (No Media)

P: is Fixed (FAT32) - 232.83 GiB total, 227.08 GiB free.

 

\\.\PHYSICALDRIVE0 - Maxtor 6B250S0 ATA Device - 233.76 GiB - 1 partition

\PARTITION0 - Système de fichiers installable - 233.76 GiB - E:

 

\\.\PHYSICALDRIVE2 - Maxtor 6V160E0 ATA Device - 149.05 GiB - 1 partition

\PARTITION0 (bootable) - Système de fichiers installable - 149.05 GiB - D:

 

\\.\PHYSICALDRIVE3 - ST3160811AS ATA Device - 149.05 GiB - 1 partition

\PARTITION0 - Système de fichiers installable - 149.05 GiB - C:

 

\\.\PHYSICALDRIVE1 - WDC WD2500KS-00MJB0 ATA Device - 232.88 GiB - 1 partition

\PARTITION0 (bootable) - Système de fichiers installable - 232.88 GiB - F:

 

\\.\PHYSICALDRIVE4 - IC35L120 AVV207-1 SCSI Disk Device - 115.04 GiB - 1 partition

\PARTITION0 - Système de fichiers installable - 115.04 GiB - G:

 

\\.\PHYSICALDRIVE5 - ST380011 A SCSI Disk Device - 74.53 GiB - 1 partition

\PARTITION0 (bootable) - Système de fichiers installable - 74.53 GiB - H:

 

\\.\PHYSICALDRIVE6 - Generic STORAGE DEVICE USB Device

 

\\.\PHYSICALDRIVE7 - Generic STORAGE DEVICE USB Device

 

\\.\PHYSICALDRIVE8 - Generic STORAGE DEVICE USB Device - 964.84 MiB - 1 partition

\PARTITION0 - Unknown - 968.63 MiB - N:

 

\\.\PHYSICALDRIVE9 - Generic STORAGE DEVICE USB Device

 

\\.\PHYSICALDRIVE10 - WD 2500BEV External USB Device - 232.88 GiB - 1 partition

\PARTITION0 - Unknown - 232.88 GiB - P:

 

 

 

-- Security Center -------------------------------------------------------------

 

AUOptions is scheduled to auto-install.

Windows Internal Firewall is disabled.

 

AS: AVG Anti-Spyware v7, 5, 1, 43 (GRISOFT s.r.o.) Disabled Outdated

AS: Windows Defender v1.1.1505.0 (Microsoft Corporation)

 

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

 

 

-- Environment Variables -------------------------------------------------------

 

ALLUSERSPROFILE=C:\ProgramData

APPDATA=C:\Users\HercuT\AppData\Roaming

CLASSPATH=.;C:\Program Files\Java\jre1.6.0_02\lib\ext\QTJava.zip

CommonProgramFiles=C:\Program Files\Common Files

COMPUTERNAME=PC-DE-HERCUT

ComSpec=C:\Windows\system32\cmd.exe

FP_NO_HOST_CHECK=NO

HOMEDRIVE=C:

HOMEPATH=\Users\HercuT

LOCALAPPDATA=C:\Users\HercuT\AppData\Local

LOGONSERVER=\\PC-DE-HERCUT

NUMBER_OF_PROCESSORS=2

OS=Windows_NT

Path=C:\Program Files\PC Connectivity Solution\;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Druide\Antidote

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 15 Model 6 Stepping 2, GenuineIntel

PROCESSOR_LEVEL=15

PROCESSOR_REVISION=0602

ProgramData=C:\ProgramData

ProgramFiles=C:\Program Files

PROMPT=$P$G

PUBLIC=C:\Users\Public

QTJAVA=C:\Program Files\Java\jre1.6.0_02\lib\ext\QTJava.zip

SystemDrive=C:

SystemRoot=C:\Windows

TEMP=C:\Users\HercuT\AppData\Local\Temp

TMP=C:\Users\HercuT\AppData\Local\Temp

USERDOMAIN=PC-de-HercuT

USERNAME=HercuT

USERPROFILE=C:\Users\HercuT

windir=C:\Windows

 

 

-- User Profiles ---------------------------------------------------------------

 

HercuT

 

 

-- Add/Remove Programs ---------------------------------------------------------

 

2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}

2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {5A2F65A4-808F-4A1E-973E-92E17824982D}

2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}

2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {3EC77D26-799B-4CD8-914F-C1565E796173}

2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {430971B1-C31E-45DA-81E0-72C095BAB72C}

2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {B3F4DC34-7F60-4B7C-A79F-1C13012D99D4}

2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {F7A31780-33C4-4E39-951A-5EC9B91D7BF1}

2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {91120000-001A-0000-0000-0000000FF1CE} /uninstall {BEE75E01-DD3F-4D5F-B96C-609E6538D419}

a-squared Free 3.1 --> "C:\Program Files\a-squared Free\unins000.exe"

Adobe After Effects CS3 --> MsiExec.exe /I{EB0202F7-016A-410C-ADE4-40F848CCC661}

Adobe After Effects CS3 Presets --> MsiExec.exe /I{193EAFD0-1BAF-4FB4-B18F-79D5D6A4B285}

Adobe Anchor Service CS3 --> MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}

Adobe Asset Services CS3 --> MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}

Adobe Bridge CS3 --> MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}

Adobe Bridge Start Meeting --> MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}

Adobe BridgeTalk Plugin CS3 --> MsiExec.exe /I{B73CFB12-C814-4638-AFFD-7E3AAFAF0B4E}

Adobe Camera Raw 4.0 --> MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}

Adobe CMaps --> MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}

Adobe Color - Photoshop Specific --> MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}

Adobe Color Common Settings --> MsiExec.exe /I{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}

Adobe Color EU Recommended Settings --> MsiExec.exe /I{73B5D990-04EA-4751-B10F-5534770B91F2}

Adobe Color JA Extra Settings --> MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}

Adobe Color NA Extra Settings --> MsiExec.exe /I{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}

Adobe Contribute CS3 --> MsiExec.exe /I{F84ADE4E-9220-4324-994D-801EDD9DD251}

Adobe Creative Suite 3 Master Collection --> MsiExec.exe /I{5D2398DF-3022-4820-93BA-F1175FBEA9CA}

Adobe Default Language CS3 --> MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}

Adobe Device Central CS3 --> MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}

Adobe Dreamweaver CS3 --> MsiExec.exe /I{4BDB76C6-902E-41D5-9064-68768E02886B}

Adobe Encore CS3 --> MsiExec.exe /I{54B2EAD9-A110-43F7-B010-2859A1BD2AFE}

Adobe Encore CS3 Codecs --> MsiExec.exe /I{B8B7A4D8-80E1-4DAE-BD33-7FD535BA3931}

Adobe ExtendScript Toolkit 2 --> MsiExec.exe /I{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}

Adobe Extension Manager CS3 --> MsiExec.exe /I{BE5F3842-8309-4754-92D5-83E02E6077A3}

Adobe Fireworks CS3 --> MsiExec.exe /I{21C4D775-368A-46C4-8DC3-4207165B7115}

Adobe Flash CS3 --> MsiExec.exe /I{80FD3971-8482-49C8-BA8C-B6464A15882F}

Adobe Flash Player 9 ActiveX --> MsiExec.exe /X{BC4F8E84-5E29-49EC-B4E7-E6F9CB50986C}

Adobe Flash Player Plugin --> C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe

Adobe Flash Video Encoder --> MsiExec.exe /I{1B0BCA28-1F11-4D60-8A2F-DEBE04B5341E}

Adobe Fonts All --> MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}

Adobe Help Viewer CS3 --> MsiExec.exe /I{7ACFB90E-8FD0-4397-AD3A-5195412623A3}

Adobe Illustrator CS3 --> MsiExec.exe /I{6E08CE13-C2AB-4749-9335-5900B958929E}

Adobe InDesign CS3 --> MsiExec.exe /I{FE8327F9-3AC1-4586-8C7E-3DEE2BC92441}

Adobe InDesign CS3 Icon Handler --> MsiExec.exe /I{EA7B3CC4-366D-4CF6-8350-FD7A7034116E}

Adobe Linguistics CS3 --> MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}

Adobe MotionPicture Color Files --> MsiExec.exe /I{6B708481-748A-4EB4-97C1-CD386244FF77}

Adobe PDF Library Files --> MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}

Adobe Photoshop CS3 --> MsiExec.exe /I{C1FA4B3B-1625-4922-9C9D-780E8FCE161A}

Adobe Premiere Pro CS3 --> MsiExec.exe /I{58DCEEE5-532E-44F4-B1D7-A146EF9E9FDA}

Adobe Premiere Pro CS3 Functional Content --> MsiExec.exe /I{50F102CA-4BE2-41A9-9810-5BB05EB91B9A}

Adobe Premiere Pro CS3 Third Party Content --> MsiExec.exe /I{485ACF57-F364-440A-8496-E1E81C8FA1AA}

Adobe Setup --> C:\Program Files\Common Files\Adobe\Installers\c81d3f3e436c8f60e4afc54de7b9ad6\Setup.exe

Adobe Setup --> MsiExec.exe /I{1628F6BD-5ED1-4FD1-B90F-C106AF4E00F0}

Adobe Setup --> MsiExec.exe /I{9D3F3D5A-BE6D-48C4-B51E-E2D6753ABCDE}

Adobe Shockwave Player --> C:\Windows\System32\Macromed\SHOCKW~1\UNWISE.EXE C:\Windows\System32\Macromed\SHOCKW~1\Install.log

Adobe SING CS3 --> MsiExec.exe /I{B671CBFD-4109-4D35-9252-3062D3CCB7B2}

Adobe Soundbooth CS3 --> MsiExec.exe /I{A6B23EFA-6590-482C-A11F-5ACE1B91F5B9}

Adobe Soundbooth CS3 Codecs --> MsiExec.exe /I{0327FA9D-975C-448C-A086-577D57BB25B8}

Adobe Stock Photos CS3 --> MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}

Adobe Type Support --> MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}

Adobe Update Manager CS3 --> MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}

Adobe Version Cue CS3 Client --> MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}

Adobe Version Cue CS3 Server --> MsiExec.exe /I{1D58229F-C505-45CA-8223-F35F3A34B963}

Adobe Video Profiles --> MsiExec.exe /I{845A8DB9-8802-4FD3-9FE3-938A6C46A2EC}

Adobe WAS CS3 --> MsiExec.exe /I{C5BD220A-EFE8-48A5-B70E-9503D535FACE}

Adobe WinSoft Linguistics Plugin --> MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}

Adobe XMP DVA Panels CS3 --> MsiExec.exe /I{0224CACC-994D-45F8-B973-D65056EA9C2F}

Adobe XMP Panels CS3 --> MsiExec.exe /I{D5A31AB1-345D-47C7-A87B-036A669F6DF1}

adsl TV --> C:\Program Files\adslTV\Uninstal.exe

AHV content for Acrobat and Flash --> MsiExec.exe /I{6BBAA81D-6A7E-43AD-8889-2F002DCAAFDD}

Ajouter ou supprimer Adobe Creative Suite 3 Design Premium --> C:\Program Files\Common Files\Adobe\Installers\c81d3f3e436c8f60e4afc54de7b9ad6\Setup.exe

Ajouter ou supprimer Adobe Creative Suite 3 Master Collection --> C:\Program Files\Common Files\Adobe\Installers\b5d5789539ea1f004a4defceea74312\Setup.exe

Ant Renamer --> "C:\Program Files\Ant Renamer\unins000.exe"

Antidote RX v2 --> MsiExec.exe /X{A474EA56-5DBD-4181-8230-806A4762EA7F}

Apple Mobile Device Support --> MsiExec.exe /I{D8AB8F0C-CEEB-4A29-8EF5-219B064813F4}

Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}

Archiveur WinRAR --> C:\Program Files\WinRAR\uninstall.exe

Assistant de connexion Windows Live --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}

ASUSUpdate --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{587178E7-B1DF-494E-9838-FA4DD36E873C}\Setup.exe" -l0x40c

µTorrent --> "C:\Program Files\uTorrent\uTorrent.exe" /UNINSTALL

CCleaner (remove only) --> "C:\Program Files\CCleaner\uninst.exe"

CDex extraction audio --> "C:\Program Files\CDex_170b2\uninstall.exe"

ClamWin Free Antivirus 0.91.2 --> "C:\Program Files\ClamWin\unins000.exe"

Condition Zero --> "C:\Program Files\Steam\steam.exe" steam://uninstall/80

Condition Zero --> "C:\Program Files\Steam\steam.exe" steam://uninstall/80

Counter-Strike --> "C:\Program Files\Steam\steam.exe" steam://uninstall/10

Counter-Strike: Source --> "C:\Program Files\Steam\steam.exe" steam://uninstall/240

DivX Content Uploader --> C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER

DivX Web Player --> C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN

Driver Cleaner 3 --> C:\Program Files\Driver Cleaner\Uninst.exe

eMule --> "C:\Program Files\eMule\Uninstall.exe"

EPSON Scan --> C:\Program Files\epson\escndv\setup\setup.exe /r

ESET Online Scanner --> C:\Windows\system32\OnlineScannerUninstaller.exe

FileZilla (remove only) --> "C:\Program Files\FileZilla\uninstall.exe"

FileZilla Client 3.0.5.2 --> C:\Program Files\FileZilla Client\uninstall.exe

FlashGet 1.9.6.1073 --> C:\Program Files\FlashGet\uninst.exe

Free Easy Burner V 2.0 --> "C:\Program Files\Free Easy Burner\unins000.exe"

G15_TeamSpeak (NSIS) --> "C:\Program Files\Schmads Inc\G15_TeamSpeak\uninstall.exe"

gen_msn_adv 1.1 --> C:\Program Files\Winamp\Plugins\uninst.exe

Google Desktop --> C:\Program Files\Google\Google Desktop Search\GoogleDesktopSetup.exe -uninstall

Google Earth --> MsiExec.exe /I{1E04F83B-2AB9-4301-9EF7-E86307F79C72}

Half-Life 2: Episode One --> "C:\Program Files\Steam\steam.exe" steam://uninstall/380

Half-Life 2: Episode Two --> "C:\Program Files\Steam\steam.exe" steam://uninstall/420

HijackThis 2.0.2 --> "C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall

HLSW v1.2.0.1 --> "C:\Program Files\HLSW\unins000.exe"

iTunes --> MsiExec.exe /I{B85C4D19-6CEB-48CF-BD98-C887AC8C6F94}

Java 6 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}

Java SE Runtime Environment 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000}

K-Lite Mega Codec Pack 3.4.0 --> "C:\Program Files\K-Lite Codec Pack\unins000.exe"

Kaspersky On-line Scanner --> C:\Windows\system32\KASPER~1\KASPER~1\kavuninstall.exe

Kaspersky Online Scanner --> C:\Windows\system32\KASPER~1\KASPER~1\kavuninstall.exe

Launchy 2.0 --> "C:\Program Files\Launchy\unins000.exe"

Logiciel de Synchronisation Orange --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C2EBC2F1-B766-4AE3-A10C-6EBBC1EE3B02}\setup.exe" -l0x40c -removeonly

Ma-Config.com plugin --> MsiExec.exe /I{D2D7529F-6B55-4C1C-BC9C-D6F1BCC066B6}

Media Player Classic fr --> "C:\Program Files\Media Player Classic\uninstall.exe"

Microsoft Office Language Pack 2007 Service Pack 1 (SP1) --> msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {EC50B538-CBE1-42E6-B7FE-87AA540AADFB}

Microsoft Office Outlook 2007 --> MsiExec.exe /X{91120000-001A-0000-0000-0000000FF1CE}

Microsoft Office Outlook 2007 Trial --> "C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall OUTLOOKR /dll OSETUP.DLL

Microsoft Office Outlook MUI (French) 2007 --> MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}

Microsoft Office Proof (Arabic) 2007 --> MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}

Microsoft Office Proof (Dutch) 2007 --> MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}

Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}

Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}

Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}

Microsoft Office Proof (Spanish) 2007 --> MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}

Microsoft Office Proofing (French) 2007 --> MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}

Microsoft Office Shared MUI (French) 2007 --> MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}

Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}

Mise à jour du pilote du Gestionnaire pour appareils Windows Mobile --> MsiExec.exe /X{E7044E25-3038-4A76-9064-344AC038043E}

Mp3tag v2.39 --> C:\Program Files\Mp3tag\Mp3tagUninstall.EXE

MSXML 4.0 SP2 (KB936181) --> MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}

MSXML 4.0 SP2 (KB941833) --> MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}

Notepad++ --> C:\Program Files\Notepad++\uninstall.exe

NVIDIA Drivers --> C:\Windows\system32\NVUNINST.EXE UninstallGUI

OpenOffice.org 2.2 --> MsiExec.exe /I{BF516A44-48E3-4319-BBF6-B4B66E9F76FA}

OpenOffice.org 2.2 Language Pack (Français) --> MsiExec.exe /I{8F5A214F-A0B9-4465-9460-3973950070BB}

Outil de mise à jour Google --> "C:\Program Files\Google\Google Updater\GoogleUpdater.exe" -uninstall

PC Connectivity Solution --> MsiExec.exe /I{6094AB91-4CC8-498E-9DFF-134CC0B159DE}

PDF Settings --> MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}

Picasa 2 --> "C:\Program Files\Picasa2\Uninstall.exe"

Portal --> "C:\Program Files\Steam\steam.exe" steam://uninstall/400

PrintFolder 1.3 --> "C:\Program Files\PrintFolder\unins000.exe"

QuickShot 1.52 --> "C:\Program Files\ImageShack\QuickShot\unins000.exe"

QuickTime --> MsiExec.exe /I{6EC874C2-F950-4B7E-A5B7-B1066D6B74AA}

SoulSeek Client 157 test 12 --> "C:\Program Files\Soulseek-Test\uninstall.exe"

SparkAngels --> javaw.exe -jar "C:\Users\HercuT\SparkAngels\SparkAngels\uninstallsa.jar"

Spybot - Search & Destroy --> "C:\Program Files\Spybot - Search & Destroy\unins000.exe"

Steam --> MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}

TagScanner 5.0 build 514a --> "C:\Program Files\TagScanner\unins000.exe"

Team Fortress 2 --> "C:\Program Files\Steam\steam.exe" steam://uninstall/440

TeamSpeak 2 RC2 --> "C:\Program Files\Teamspeak2_RC2\unins000.exe"

TeamSpeak 2 Server RC2 --> "C:\Program Files\Teamspeak2_RC2\unins001.exe"

UltraVNC v1.0.2 Fr --> "C:\Program Files\UltraVNC\unins000.exe"

Update for Outlook 2007 Junk Email Filter (kb943597) --> msiexec /package {91120000-001A-0000-0000-0000000FF1CE} /uninstall {A751F0DB-8476-4207-956E-20AEBBA4B1DA}

VideoLAN VLC media player 0.8.6c --> C:\Program Files\VideoLAN\VLC\uninstall.exe

VSO Image Resizer 1.3.3 --> "C:\Program Files\VSO\Image Resizer\unins000.exe"

WD Diagnostics --> MsiExec.exe /X{0AB76F69-E761-4CFA-B9B0-A1906B4E9E4B}

Weezo --> "C:\Program Files\Weezo\bin\unins000.exe"

Winamp --> "C:\Program Files\Winamp\UninstWA.exe"

Windows Live installer --> MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}

Windows Live Messenger --> MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}

Windows Live OneCare safety scanner --> MsiExec.exe /X{FE0646A7-19D0-41B4-A2BB-2C35D644270D}

Windows Media Player Firefox Plugin --> MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}

WinSCP 4.0.5 --> "C:\Program Files\WinSCP\unins000.exe"

X-Lite 3.0 --> "C:\Program Files\CounterPath\X-Lite\unins000.exe"

XnView 1.92 --> "C:\Program Files\XnView\unins000.exe"

 

 

-- Application Event Log -------------------------------------------------------

 

Event Record #/Type22188 / Success

Event Submitted/Written: 01/21/2008 11:12:09 AM

Event ID/Source: 12001 / usnjsvc

Event Description:

The Messenger Sharing USN Journal Reader service started successfully.

 

Event Record #/Type22181 / Success

Event Submitted/Written: 01/21/2008 11:08:57 AM

Event ID/Source: 5617 / WinMgmt

Event Description:

 

 

Event Record #/Type22180 / Success

Event Submitted/Written: 01/21/2008 11:08:57 AM

Event ID/Source: 5615 / WinMgmt

Event Description:

 

 

Event Record #/Type22174 / Success

Event Submitted/Written: 01/21/2008 11:08:50 AM

Event ID/Source: 902 / Software Licensing Service

Event Description:

Le service de gestion des licences du logiciel a démarré.

 

Event Record #/Type22165 / Success

Event Submitted/Written: 01/21/2008 11:06:14 AM

Event ID/Source: 903 / Software Licensing Service

Event Description:

Le service de gestion de licences du logiciel s'est arrêté.

 

 

 

-- Security Event Log ----------------------------------------------------------

 

No Errors/Warnings found.

 

 

-- System Event Log ------------------------------------------------------------

 

Event Record #/Type29470 / Warning

Event Submitted/Written: 01/21/2008 05:55:43 PM

Event ID/Source: 3004 / WinDefend

Event Description:

L’agent de protection en temps réel %PC-de-HercuT27 a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. %PC-de-HercuT27 ne peut pas annuler les modifications que vous autorisez.

 

Pour plus d’informations, consultez les données suivantes :

%PC-de-HercuT275

 

ID d’analyse : {7F20B6F7-DBBD-433D-8EC9-374968F5DBED}

 

Utilisateur : PC-de-HercuT\HercuT

 

Nom : %PC-de-HercuT271

 

ID : %PC-de-HercuT272

 

ID de gravité : %PC-de-HercuT273

 

ID de catégorie : %PC-de-HercuT274

 

Chemin d’accès trouvé : %PC-de-HercuT276

 

Type d’alerte : %PC-de-HercuT278

 

Type de détection : 1.1.1505.02

 

Event Record #/Type29469 / Warning

Event Submitted/Written: 01/21/2008 05:55:43 PM

Event ID/Source: 3004 / WinDefend

Event Description:

L’agent de protection en temps réel %PC-de-HercuT27 a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. %PC-de-HercuT27 ne peut pas annuler les modifications que vous autorisez.

 

Pour plus d’informations, consultez les données suivantes :

%PC-de-HercuT275

 

ID d’analyse : {F750AC70-FB39-45C9-98FF-518B35E312AE}

 

Utilisateur : PC-de-HercuT\HercuT

 

Nom : %PC-de-HercuT271

 

ID : %PC-de-HercuT272

 

ID de gravité : %PC-de-HercuT273

 

ID de catégorie : %PC-de-HercuT274

 

Chemin d’accès trouvé : %PC-de-HercuT276

 

Type d’alerte : %PC-de-HercuT278

 

Type de détection : 1.1.1505.02

 

Event Record #/Type29468 / Warning

Event Submitted/Written: 01/21/2008 05:55:43 PM

Event ID/Source: 3004 / WinDefend

Event Description:

L’agent de protection en temps réel %PC-de-HercuT27 a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. %PC-de-HercuT27 ne peut pas annuler les modifications que vous autorisez.

 

Pour plus d’informations, consultez les données suivantes :

%PC-de-HercuT275

 

ID d’analyse : {5D2E496C-3086-4447-B3C8-6FFC5386E1D9}

 

Utilisateur : PC-de-HercuT\HercuT

 

Nom : %PC-de-HercuT271

 

ID : %PC-de-HercuT272

 

ID de gravité : %PC-de-HercuT273

 

ID de catégorie : %PC-de-HercuT274

 

Chemin d’accès trouvé : %PC-de-HercuT276

 

Type d’alerte : %PC-de-HercuT278

 

Type de détection : 1.1.1505.02

 

Event Record #/Type29467 / Warning

Event Submitted/Written: 01/21/2008 05:55:41 PM

Event ID/Source: 3004 / WinDefend

Event Description:

L’agent de protection en temps réel %PC-de-HercuT27 a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. %PC-de-HercuT27 ne peut pas annuler les modifications que vous autorisez.

 

Pour plus d’informations, consultez les données suivantes :

%PC-de-HercuT275

 

ID d’analyse : {02B73991-112E-4999-B5BE-7A1B991EBB2B}

 

Utilisateur : PC-de-HercuT\HercuT

 

Nom : %PC-de-HercuT271

 

ID : %PC-de-HercuT272

 

ID de gravité : %PC-de-HercuT273

 

ID de catégorie : %PC-de-HercuT274

 

Chemin d’accès trouvé : %PC-de-HercuT276

 

Type d’alerte : %PC-de-HercuT278

 

Type de détection : 1.1.1505.02

 

Event Record #/Type29466 / Warning

Event Submitted/Written: 01/21/2008 05:55:41 PM

Event ID/Source: 3004 / WinDefend

Event Description:

L’agent de protection en temps réel %PC-de-HercuT27 a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. %PC-de-HercuT27 ne peut pas annuler les modifications que vous autorisez.

 

Pour plus d’informations, consultez les données suivantes :

%PC-de-HercuT275

 

ID d’analyse : {B554588A-97ED-42F3-9571-0969BC95DB0A}

 

Utilisateur : PC-de-HercuT\HercuT

 

Nom : %PC-de-HercuT271

 

ID : %PC-de-HercuT272

 

ID de gravité : %PC-de-HercuT273

 

ID de catégorie : %PC-de-HercuT274

 

Chemin d’accès trouvé : %PC-de-HercuT276

 

Type d’alerte : %PC-de-HercuT278

 

Type de détection : 1.1.1505.02

 

 

 

-- End of Deckard's System Scanner: finished at 2008-01-21 17:56:57 ------------

 

Deckard's System Scanner v20071014.68

Run by HercuT on 2008-01-21 17:54:19

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

-- Last 1 Restore Point(s) --

1: 2008-01-21 10:56:52 UTC - RP214 - Point de contrôle planifié

 

 

Backed up registry hives.

Performed disk cleanup.

 

System Drive C: has 8.61 GiB (less than 15%) free.

 

 

-- HijackThis (run as HercuT.exe) ----------------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:55, on 2008-01-21

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\System32\mobsync.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\ImageShack\QuickShot\QuickShot.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Steam\Steam.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\Launchy\Launchy.exe

C:\Program Files\UltraVNC\winvnc.exe

C:\Program Files\Teamspeak2_RC2\server_windows.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Windows\system32\taskeng.exe

C:\Users\HercuT\Desktop\dss.exe

C:\Windows\system32\conime.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\HercuT.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [imageShackUtil] C:\Program Files\ImageShack\QuickShot\QuickShot.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [steam] "c:\program files\steam\steam.exe" -silent

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: Launchy.lnk = C:\Program Files\Launchy\Launchy.exe

O4 - Global Startup: Serveur UltraVNC (2).lnk = C:\Program Files\UltraVNC\winvnc.exe

O4 - Global Startup: TeamSpeak 2 Server.lnk = C:\Program Files\Teamspeak2_RC2\server_windows.exe

O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote K - IE 7.htm (HKCU)

O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote D - IE 7.htm (HKCU)

O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote G - IE 7.htm (HKCU)

O13 - Gopher Prefix:

O15 - Trusted Zone: http://www.bitdefender.fr

O15 - Trusted Zone: http://www.secuser.com

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

O23 - Service: a-squared Free Service (a2free) - - (no file)

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Desktop Manager 5.7.712.18632 (GoogleDesktopManager-121807-210419) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

 

--

End of file - 8679 bytes

 

-- File Associations -----------------------------------------------------------

 

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*

 

 

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

 

R1 srosa (Megadrv3) - \??\c:\windows\system32\drivers\srosa.sys

 

S3 ENTECH - \??\c:\windows\system32\drivers\entech.sys

S3 Pronto2G (Philips Pronto NG USB Driver) - c:\windows\system32\drivers\pronto2g.sys <Not Verified; Philips Electronics; Philips Pronto NG USB Driver>

 

 

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

 

R2 Apple Mobile Device - "c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>

 

S2 a2free (a-squared Free Service) -

S2 Ati External Event Utility -

S3 FLEXnet Licensing Service - "c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe" <Not Verified; Macrovision Europe Ltd.; FLEXnet Publisher (32 bit)>

S4 ServiceLayer - "c:\program files\pc connectivity solution\servicelayer.exe" <Not Verified; Nokia.; PC Connectivity Solution>

 

 

-- Device Manager: Disabled ----------------------------------------------------

 

No disabled devices found.

 

 

-- Files created between 2007-12-21 and 2008-01-21 -----------------------------

 

2008-01-19 20:04:49 0 d-------- C:\Program Files\iPod

2008-01-19 20:04:41 0 d-------- C:\Program Files\iTunes

2008-01-16 21:46:10 0 d-------- C:\Users\All Users\Avira

2008-01-16 21:46:10 0 d-------- C:\Program Files\Avira

2008-01-16 20:56:54 0 d-------- C:\Users\HercuT\.housecall6.6

2008-01-16 10:53:02 0 d-------- C:\Program Files\Trend Micro

2008-01-15 18:41:45 0 d-------- C:\Windows\ClamWin Portable

2008-01-15 18:40:19 0 d-------- C:\Program Files\ClamWin

2008-01-15 18:40:19 0 d-------- C:\.clamwin

2008-01-14 21:26:57 0 d-------- C:\Program Files\Western Digital Technologies

2008-01-14 08:26:35 20121632 --ahs---- C:\Windows\system32\drivers\fidbox.dat

2008-01-14 08:24:56 0 d-------- C:\kav

2008-01-12 20:30:34 1722 --a------ C:\Windows\system32\tmp.reg

2008-01-12 19:32:02 0 d-------- C:\!KillBox

2008-01-12 02:02:59 0 d-------- C:\Program Files\Windows Live Safety Center

2008-01-12 02:02:19 0 d-------- C:\Program Files\CCleaner

2008-01-12 01:54:22 0 d-------- C:\Program Files\uTIPu

2008-01-08 23:50:22 26 --a------ C:\Windows\SW_Win2000X16.DLL

2008-01-08 23:49:47 79 --a------ C:\Windows\SW_Win2000X1.DLL

2008-01-08 02:13:24 0 d--hs--c- C:\Program Files\Common Files\WindowsLiveInstaller

2008-01-08 02:12:59 0 d-------- C:\Program Files\Windows Live

2008-01-08 02:10:02 0 d-------- C:\Users\All Users\WLInstaller

2008-01-08 01:43:38 0 d-------- C:\Windows\system32\drivers\down

2008-01-08 01:33:59 0 d-------- C:\vcs5BGEffects

2008-01-08 01:33:55 0 d-------- C:\vcs5core

2008-01-08 01:33:55 0 d-------- C:\AV_LOGS

2008-01-05 19:04:53 0 d-------- C:\Windows\system32\Data

2008-01-05 19:04:52 0 d-------- C:\Program Files\Creative

2008-01-04 00:53:41 0 d-------- C:\Program Files\BankPerfect

2008-01-04 00:43:24 0 d-------- C:\Program Files\MaxiCompte

 

 

-- Find3M Report ---------------------------------------------------------------

 

2008-01-21 11:09:17 0 d-------- C:\Program Files\Steam

2008-01-21 11:06:14 12 --a------ C:\Windows\bthservsdp.dat

2008-01-20 23:13:46 0 d-------- C:\Users\HercuT\AppData\Roaming\Adobe

2008-01-19 20:03:19 0 d-------- C:\Program Files\QuickTime

2008-01-18 11:00:50 0 d-------- C:\Users\HercuT\AppData\Roaming\Launchy

2008-01-16 14:17:06 0 d-------- C:\Program Files\7-Zip

2008-01-16 14:07:31 0 d-------- C:\Users\HercuT\AppData\Roaming\FileZilla

2008-01-16 14:05:33 0 d-------- C:\Program Files\FileZilla Client

2008-01-16 13:48:22 0 d-------- C:\Users\HercuT\AppData\Roaming\OpenOffice.org2

2008-01-16 00:13:03 0 d-------- C:\Program Files\MSN Messenger

2008-01-14 21:29:54 693350 --a------ C:\Windows\system32\perfh00C.dat

2008-01-14 21:29:54 118244 --a------ C:\Windows\system32\perfc00C.dat

2008-01-12 19:30:51 0 d-------- C:\Program Files\Teamspeak2_RC2

2008-01-12 17:33:14 0 d-------- C:\Program Files\xmplay

2008-01-12 12:07:41 0 d-------- C:\Program Files\a-squared Free

2008-01-12 11:19:09 0 d-------- C:\Program Files\Common Files\Steam

2008-01-12 00:05:22 0 d---s---- C:\Program Files\HLSW

2008-01-11 18:55:49 0 d-------- C:\Users\HercuT\AppData\Roaming\XnView

2008-01-09 11:43:38 0 d-------- C:\Program Files\Windows Mail

2008-01-09 08:51:13 0 d-------- C:\Program Files\Windows Sidebar

2008-01-08 09:12:12 0 d-------- C:\Users\HercuT\AppData\Roaming\Weezo

2008-01-08 02:20:40 0 d-------- C:\Program Files\Notepad++

2008-01-08 02:13:24 0 d-------- C:\Program Files\Common Files

2008-01-08 02:08:32 0 d-------- C:\Program Files\XnView

2008-01-08 02:02:46 0 d-------- C:\Program Files\Picasa2

2008-01-07 22:32:39 0 d-------- C:\Users\HercuT\AppData\Roaming\Ventrilo

2008-01-07 14:32:15 0 d-------- C:\Program Files\UltraVNC

2008-01-05 19:04:38 0 d--h----- C:\Program Files\InstallShield Installation Information

2008-01-04 10:00:08 0 d-------- C:\Program Files\EsetOnlineScanner

2008-01-03 01:07:10 0 d-------- C:\Program Files\Launchy

2007-12-16 18:35:56 0 d-------- C:\Program Files\DivX

2007-12-15 14:38:45 0 d-------- C:\Program Files\FlashGet

2007-12-15 14:38:12 0 d-------- C:\Users\HercuT\AppData\Roaming\FlashGet

2007-12-10 19:30:03 0 d-------- C:\Program Files\WinSCP

2007-12-09 15:41:10 0 d-------- C:\Users\HercuT\AppData\Roaming\Google

2007-12-09 12:48:39 0 d-------- C:\Program Files\Google

2007-12-09 11:44:08 0 d-------- C:\Program Files\PrintFolder

2007-12-09 01:00:43 0 d-------- C:\Users\HercuT\AppData\Roaming\uTorrent

2007-12-07 10:12:59 0 d-------- C:\Program Files\uTorrent

2007-12-07 01:57:13 0 d-------- C:\Users\HercuT\AppData\Roaming\Voxmobili

2007-12-07 01:56:23 0 d-------- C:\Program Files\Orange

2007-12-05 23:51:08 0 d-------- C:\Program Files\Common Files\InstallShield

2007-12-05 23:47:53 0 d-------- C:\Program Files\ASUS

2007-12-05 21:50:51 0 d-------- C:\Program Files\Intel

2007-12-05 21:44:08 0 d-------- C:\Program Files\ma-config.com

2007-12-05 21:44:07 0 d-------- C:\Users\HercuT\AppData\Roaming\ma-config.com

2007-12-02 23:55:48 0 d-------- C:\Program Files\Common Files\Adobe

2007-12-02 12:56:45 0 d-------- C:\Users\HercuT\AppData\Roaming\Apple Computer

2007-12-01 15:06:37 0 d-------- C:\Program Files\The GodFather

2007-12-01 14:56:56 0 d-------- C:\Program Files\TagScanner

2007-11-30 17:19:38 0 d-------- C:\Program Files\Apple Software Update

2007-11-30 17:18:16 0 d-------- C:\Program Files\Common Files\Apple

2007-11-29 18:47:42 0 d-------- C:\Program Files\Nokia

2007-11-28 20:29:02 0 d-------- C:\Users\HercuT\AppData\Roaming\NSeries

2007-11-28 20:26:42 0 d-------- C:\Users\HercuT\AppData\Roaming\Nokia

2007-11-28 20:17:33 0 d-------- C:\Users\HercuT\AppData\Roaming\PC Suite

2007-11-28 13:32:08 0 d-------- C:\Program Files\PC Connectivity Solution

2007-11-26 08:23:59 0 d-------- C:\Program Files\SuperCopier2

2007-11-23 16:49:59 0 d-------- C:\Program Files\Common Files\Intel

2007-11-23 16:49:50 0 d-------- C:\Program Files\CounterPath

2007-11-21 15:45:56 0 d-------- C:\Users\HercuT\AppData\Roaming\VSO

2007-10-28 20:20:48 1025 --a------ C:\Windows\system32\sysprs7.dll

2007-10-28 20:20:48 73 --a------ C:\Windows\system32\ssprs.dll

2007-10-28 20:20:48 205 --a------ C:\Windows\system32\lsprst7.dll

2007-10-28 20:20:48 1025 --a------ C:\Windows\system32\clauth2.dll

2007-10-28 20:20:48 1025 --a------ C:\Windows\system32\clauth1.dll

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-09-12 01:20]

"ImageShackUtil"="C:\Program Files\ImageShack\QuickShot\QuickShot.exe" [2006-04-29 23:42]

"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-11 21:28]

"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-11 21:28]

"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-11 21:28]

"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-01-08 02:07]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-01-10 15:27]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-01-15 03:22]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Steam"="c:\program files\steam\steam.exe" [2007-11-30 12:56]

"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-11-06 15:03]

"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18]

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\

Launchy.lnk - C:\Program Files\Launchy\Launchy.exe [2007-09-12 02:15:15]

Serveur UltraVNC (2).lnk - C:\Program Files\UltraVNC\winvnc.exe [2007-09-13 00:51:34]

TeamSpeak 2 Server.lnk - C:\Program Files\Teamspeak2_RC2\server_windows.exe [2007-09-12 11:35:56]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"appinit_dlls"=C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppInfo]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KeyIso]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NTDS]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SWPRV]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TabletInputService]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TBS]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrustedInstaller]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VDS]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgr.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgrx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]

@="IEEE 1394 Bus host controllers"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]

@="SBP2 IEEE 1394 Devices"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]

@="SecurityDevices"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]

path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Synchronizer.lnk

backup=C:\Windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Lancement rapide d'Adobe Acrobat.lnk]

path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Lancement rapide d'Adobe Acrobat.lnk

backup=C:\Windows\pss\Lancement rapide d'Adobe Acrobat.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logiciel de Synchronisation Orange.lnk]

path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Logiciel de Synchronisation Orange.lnk

backup=C:\Windows\pss\Logiciel de Synchronisation Orange.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Users^HercuT^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.2.lnk]

path=C:\Users\HercuT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.2.lnk

backup=C:\Windows\pss\OpenOffice.org 2.2.lnk.Startup

backupExtension=.Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]

"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]

C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]

"C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM]

C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eyeBeam SIP Client]

"C:\Program Files\CounterPath\X-Lite\x-lite.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gestionnaire Antidote.exe]

C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gizmo Project]

"C:\Program Files\Gizmo Project\Gizmo.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

"C:\Program Files\iTunes\iTunesHelper.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch LGDCore]

"C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]

C:\Program Files\Picasa2\PicasaMediaDetector.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

"C:\Program Files\QuickTime\QTTask.exe" -atboottime

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

"C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

"C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]

"C:\Program Files\Unlocker\UnlockerAssistant.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]

"C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

"C:\Program Files\Winamp\winampa.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Mobile Device Center]

%windir%\WindowsMobile\wmdc.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalSystemNetworkRestricted hidserv UxSms WdiSystemHost Netman trkwks AudioEndpointBuilder WUDFSvc irmon sysmain IPBusEnum dot3svc PcaSvc EMDMgmt TabletInputService wlansvc WPDBusEnum

WindowsMobile wcescomm rapimgr

LocalServiceRestricted WcesComm RapiMgr

bthsvcs BthServ

 

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22622b36-754d-11dc-9065-0017312289b4}]

AutoRun\command- K:\Autorun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91cd67ce-a635-11dc-8f0b-0017312289b4}]

AutoRun\command- L:\RavMon.exe

explore\Command- L:\RavMon.exe -e

open\Command- L:\RavMon.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b44850a3-6807-11dc-9ac5-0017312289b4}]

Auto\command- Ghost.pif

AutoRun\command- C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Ghost.pif

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]

C:\Windows\system32\unregmp2.exe /ShowWMP

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]

%SystemRoot%\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI

 

 

 

-- Hosts -----------------------------------------------------------------------

 

127.0.0.1 babe.the-killer.bz

127.0.0.1 www.babe.the-killer.bz

127.0.0.1 babe.k-lined.com

127.0.0.1 www.babe.k-lined.com

127.0.0.1 did.i-used.cc

127.0.0.1 www.did.i-used.cc

127.0.0.1 coolwwwsearch.com

127.0.0.1 www.coolwwwsearch.com

127.0.0.1 coolwebsearch.com

127.0.0.1 www.coolwebsearch.com

 

6538 more entries in hosts file.

 

 

-- End of Deckard's System Scanner: finished at 2008-01-21 17:56:57 ------------

[Gof]

Bonjour Hercut

 

Eh bien, il nous donne du fil à retordre ce vilain là !

 

Arff je comprend pas, maitenant je n'ai plus de rapport fait par Elibagla.

Que s'est-il passé ? Peux tu me décrire ce qu'il y a eu ?

 

L'infection est toujours là. Refaisons un point : cette infection neutralise les outils de sécurité et le mode sans échec notamment. Peux tu me confirmer que tu n'as pas accès au mode sans échec ?

 

Autre point, as-tu la console de récupération installée sur ce pc ? Si tu ne l'as as, as-tu un cd windows ("windows" et non pas un windows OEM fourni par le constructeur) ? Si tu as l'un ou l'autre, cela nous fera une piste de plus peut-être pour se débarrasser de l'infection.

 

Ton précédent rapport révèle d'autres traces d'infection, mais ce n'est pas le plus important dans l'immédiat.

 

J'aimerais que tu m'indiques quelles petites choses :

• Lorsque tu fais un clic droit sur une application, as-tu l'option disponible "exécuter en tant que..." ? Si oui, peux tu la décrire complètement (les termes de l'option, ce qui se passe quand tu as essayé)
  Lorsque je t'ai demandé d'exécuter certains outils "en tant qu'administrateur", as-tu eu un message particulier te demandant la permission ou autre chose ? Si oui, qu'as tu répondu ou fait ? Si non, que s'est il passé ensuite ?
  

[hercut]

Il me semble qu'a chaque fois je tes dit les chose qui me semblé bizard ^^.

 

Bien je commence par le demarage ou il me demande d'aller cracker un .exe, que j'annule.

 

La console de recuperation je vois pas tres bien se que s'est car je ne l'utilise jamais suis pas tres fan de ca (tu parle de la restauration, je pense pas hein?)

 

J'ai le cd windows vista prenium.

 

J'avais acces au mod sans echec, donc encore normallement.

 

Je viens de voir que j'ai executé en tant qu'admin, je teste avec Elibagla, UAC me demande confirmation je valide. Je presise que normallement l'UAC est desactivé... :

premier message:

Detectado Gusano Bagle.

Reinicie para completar su eleminacion

 

Pendant que ca cherche j'ai se message plusieur fois:

Acceso denegado a la carpeta:

Chemin du fichier

 

Voila ca a mieu focnitonné rapport de elibagla:

Tue Jan 22 11:19:22 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

 

Tue Jan 22 11:21:30 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\QooBox\Quarantine\C\Windows\System32\WINTEMS.EXE.VIR --> Eliminado Bagle

C:\Windows\System32\drivers\down\14713281.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\14737593.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\29213625.EXE --> Eliminado Bagle

C:\Windows\System32\drivers\down\29223062.EXE --> Eliminado Bagle

 

Nº Total de Directorios: 22622

Nº Total de Ficheros: 233757

Nº de Ficheros Analizados: 14983

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

 

Je crois que s'est bon maitnenant ^^.

 

Mais je comprend pas pourquoi l'uac ne se desactive pas...

Modifié le 22 janvier 2008 par hercut

[Gof]

Bonjour Hercut

 

Il me semble qu'a chaque fois je tes dit les chose qui me semblé bizard ^^.

J'aime avoir confirmation de la confirmation :P

 

La console de récupération je vois pas tres bien se que s'est car je ne l'utilise jamais suis pas tres fan de ca (tu parle de la restauration, je pense pas hein?)

 

J'ai le cd windows vista prenium.

Ok, cela nous fera une piste supplémentaire au cas où. Il ne s'agit pas de restauration, mais de la console de récupération, c'est différent. On verra, nous utiliserons peut-être ce mode si on n'avance pas.

 

J'avais accès au mode sans échec, donc encore normalement.

On va essayer d'en profiter alors.

 

Je crois que s'est bon maintenant ^^.

Non, désolé de te décevoir, regarde, il s'agit des fichiers présents dans la quarantaine de Combofix lorsque tu l'avais utilisé. Mais les autres fichiers infectieux sont toujours là, au même endroit.

 

Voilà ce que tu vas faire. Créé un répertoire Gof à la racine de ton disque avec l'explorateur. Tu dois donc obtenir ceci : c:\Gof.

Télécharge à nouveau Elibagla et FixHercut, mais enregistre les dans ce répertoire.

 

Redémarre en mode sans échec, choisis ta session habituelle.

Via l'explorateur windows, exécute (tu sais le faire maintenant) :

• En 1 : Exécute Elibagla. conserve le rapport pour le poster par la suite, fais attention à la date et l'heure.
  En 2 : regarde si tu trouves le fichier suivant, si oui supprime le : c:\windows\system32\mdelk.exe
  En 3 : Exécute FixHercut. L'outil va faire redémarrer le pc et t'afficher un rapport, poste le.
  En 4 : en mode normal, effectue à nouveau Elibagla et poste le rapport associé (encore une fois, attention à la date et l'heure afin de ne pas remettre un précédent rapport.
  

Je t'attends donc avec ces 3 rapports et ton observation sur le fichier que je t'ai demandé de vérifier

 

A bientôt.

[hercut]

Voila les rapport de elibagla:

 

Thu Jan 24 13:12:59 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

 

Thu Jan 24 13:13:10 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 22717

Nº Total de Ficheros: 235038

Nº de Ficheros Analizados: 14999

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Thu Jan 24 13:41:11 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Thu Jan 24 13:42:18 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 22717

Nº Total de Ficheros: 235034

Nº de Ficheros Analizados: 14999

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

Thu Jan 24 15:37:47 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

 

Thu Jan 24 15:37:48 2008

EliBagle v10.89 ©2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

 

Nº Total de Directorios: 22717

Nº Total de Ficheros: 235058

Nº de Ficheros Analizados: 14999

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

 

et du fix:

 

-------------------------------------------------------

- Operation: 1 Executer

C:\gof\catchme.exe -k C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS

Result: Success

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 2 Executer

C:\gof\catchme.exe -k C:\Windows\System32\drivers\hldrrr.exe

Result: Success

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 3 Executer

C:\gof\catchme.exe -k C:\WINDOWS\SYSTEM32\WINTEMS.EXE

Result: Success

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 4 Executer

C:\gof\catchme.exe -k C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

Result: Success

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 5 Executer

C:\gof\catchme.exe -k C:\WINDOWS\system32\drivers\hidr.exe

Result: Success

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 6 Stopper service

srosa

Result: Error! La commande demandée n'est pas valide pour ce service.

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 7 Supprimer service

srosa

Result: Success

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 8 Supprimer clé

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa

Result: Error! Le fichier spécifié est introuvable.

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 9 Supprimer clé

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa

Result: Error! Le fichier spécifié est introuvable.

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 10 Supprimer clé

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa

Result: Success

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 11 Supprimer fichier

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS

Result: Error! Fichier introuvable

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 12 Supprimer fichier

C:\Windows\System32\drivers\hldrrr.exe

Result: Error! Fichier introuvable

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 13 Supprimer fichier

C:\WINDOWS\SYSTEM32\WINTEMS.EXE

Result: Error! Fichier introuvable

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 14 Supprimer fichier

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

Result: Error! Fichier introuvable

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 15 Supprimer dossier

C:\Windows\System32\drivers\down

Result: Error! le fichier n'a pas été supprimé, il sera supprimer au prochain démarrage de Windows

-------------------------------------------------------

 

 

-------------------------------------------------------

- Operation: 16 Redémarrer

 

Result: Success

-------------------------------------------------------

 

Merci

[Gof]

Bonsoir Hercut

 

Bien, cela semble avoir bien fonctionné cette fois-ci. Par contre, tu as oublié de joindre le rapport du point 4 (elibagla). Ce n'est pas grave, on va vérifier autrement.

 

Double-clique sur OTMoveIt.exe pour le lancer.

• Assure toi que Unregister Dll's and Ocx's soit coché.
  
• Copie-colle dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved
  

• C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
  C:\Windows\System32\drivers\hldrrr.exe
  C:\WINDOWS\SYSTEM32\WINTEMS.EXE
  C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
  C:\WINDOWS\system32\drivers\hidr.exe
  C:\Windows\System32\drivers\down
  c:\windows\system32\mdelk.exe
  

• Clique sur MoveIt! pour lancer la suppression.
  
• Le résultat apparaitra dans le cadre Results. Copie le résultat.
  
• Clique sur Exit pour fermer.
  
• Colle le résultat dans ta prochain réponse.
  

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes. Et poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom [nombres_nombres].log

 

Avec le rapport généré, reposte un rapport généré par DSS :

 

 

NB : Tu dois être connecté avec des droits d'Administrateur.

1. ferme toutes les applications et fenêtres
   
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
   Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
   
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
   • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
     Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
     
   • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
     main.txt <- ouvert en premier plan et en plein écran
     extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
     

S'il s'agit d'une utilisation supplémentaire de DSS :

• tu n'auras pas de boîte de dialogue (pas de OK)
  
• quand le traitement est terminé, un fichier texte s'affiche :
  main.txt <- ouvert en premier plan et en plein écran
  

[*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post

[*] copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)

[*] n'oublie pas de réactiver les protections si elles ont été stoppées.

[hercut]

OTMoveIt.exe

 

File/Folder C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS not found.

File/Folder C:\Windows\System32\drivers\hldrrr.exe not found.

File/Folder C:\WINDOWS\SYSTEM32\WINTEMS.EXE not found.

File/Folder C:\WINDOWS\SYSTEM32\BAN_LIST.TXT not found.

File/Folder C:\WINDOWS\system32\drivers\hidr.exe not found.

C:\Windows\System32\drivers\down moved successfully.

File/Folder c:\windows\system32\mdelk.exe not found.

 

Created on 01-24-2008 22:17:14

 

DSS jai pas de extra...:

 

Deckard's System Scanner v20071014.68

Run by HercuT on 2008-01-24 22:21:32

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

System Drive C: has 6.66 GiB (less than 15%) free.

 

 

-- HijackThis (run as HercuT.exe) ----------------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:21, on 2008-01-24

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\ImageShack\QuickShot\QuickShot.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Steam\Steam.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\Launchy\Launchy.exe

C:\Program Files\Teamspeak2_RC2\server_windows.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\UltraVNC\winvnc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe

C:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe

C:\Windows\system32\conime.exe

C:\Users\HercuT\Desktop\dss.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\HercuT.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [imageShackUtil] C:\Program Files\ImageShack\QuickShot\QuickShot.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [steam] "c:\program files\steam\steam.exe" -silent

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [Zeb-Fix_] C:\gof\FixHercut.exe Resume:16 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [Zeb-Fix_] C:\gof\FixHercut.exe Resume:16 (User 'Default user')

O4 - Global Startup: Launchy.lnk = C:\Program Files\Launchy\Launchy.exe

O4 - Global Startup: Serveur UltraVNC (2).lnk = C:\Program Files\UltraVNC\winvnc.exe

O4 - Global Startup: TeamSpeak 2 Server.lnk = C:\Program Files\Teamspeak2_RC2\server_windows.exe

O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote K - IE 7.htm (HKCU)

O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote D - IE 7.htm (HKCU)

O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\7\Antidote G - IE 7.htm (HKCU)

O13 - Gopher Prefix:

O15 - Trusted Zone: http://www.bitdefender.fr

O15 - Trusted Zone: http://www.secuser.com

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

O23 - Service: a-squared Free Service (a2free) - - (no file)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Desktop Manager 5.7.712.18632 (GoogleDesktopManager-121807-210419) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

 

--

End of file - 9450 bytes

 

-- Files created between 2007-12-24 and 2008-01-24 -----------------------------

 

2008-01-23 13:22:35 0 d-------- C:\gof

2008-01-19 20:04:49 0 d-------- C:\Program Files\iPod

2008-01-19 20:04:41 0 d-------- C:\Program Files\iTunes

2008-01-16 21:46:10 0 d-------- C:\Users\All Users\Avira

2008-01-16 21:46:10 0 d-------- C:\Program Files\Avira

2008-01-16 20:56:54 0 d-------- C:\Users\HercuT\.housecall6.6

2008-01-16 10:53:02 0 d-------- C:\Program Files\Trend Micro

2008-01-15 18:41:45 0 d-------- C:\Windows\ClamWin Portable

2008-01-15 18:40:19 0 d-------- C:\Program Files\ClamWin

2008-01-15 18:40:19 0 d-------- C:\.clamwin

2008-01-14 21:26:57 0 d-------- C:\Program Files\Western Digital Technologies

2008-01-14 08:26:35 20121632 --ahs---- C:\Windows\system32\drivers\fidbox.dat

2008-01-14 08:24:56 0 d-------- C:\kav

2008-01-12 20:30:34 1722 --a------ C:\Windows\system32\tmp.reg

2008-01-12 19:32:02 0 d-------- C:\!KillBox

2008-01-12 02:02:59 0 d-------- C:\Program Files\Windows Live Safety Center

2008-01-12 02:02:19 0 d-------- C:\Program Files\CCleaner

2008-01-12 01:54:22 0 d-------- C:\Program Files\uTIPu

2008-01-08 23:50:22 26 --a------ C:\Windows\SW_Win2000X16.DLL

2008-01-08 23:49:47 79 --a------ C:\Windows\SW_Win2000X1.DLL

2008-01-08 02:13:24 0 d--hs--c- C:\Program Files\Common Files\WindowsLiveInstaller

2008-01-08 02:12:59 0 d-------- C:\Program Files\Windows Live

2008-01-08 02:10:02 0 d-------- C:\Users\All Users\WLInstaller

2008-01-08 01:33:59 0 d-------- C:\vcs5BGEffects

2008-01-08 01:33:55 0 d-------- C:\vcs5core

2008-01-08 01:33:55 0 d-------- C:\AV_LOGS

2008-01-05 19:04:53 0 d-------- C:\Windows\system32\Data

2008-01-05 19:04:52 0 d-------- C:\Program Files\Creative

2008-01-04 00:53:41 0 d-------- C:\Program Files\BankPerfect

2008-01-04 00:43:24 0 d-------- C:\Program Files\MaxiCompte

 

 

-- Find3M Report ---------------------------------------------------------------

 

2008-01-24 15:37:13 0 d-------- C:\Program Files\Steam

2008-01-24 13:09:10 12 --a------ C:\Windows\bthservsdp.dat

2008-01-20 23:13:46 0 d-------- C:\Users\HercuT\AppData\Roaming\Adobe

2008-01-19 20:03:19 0 d-------- C:\Program Files\QuickTime

2008-01-18 11:00:50 0 d-------- C:\Users\HercuT\AppData\Roaming\Launchy

2008-01-16 14:17:06 0 d-------- C:\Program Files\7-Zip

2008-01-16 14:07:31 0 d-------- C:\Users\HercuT\AppData\Roaming\FileZilla

2008-01-16 14:05:33 0 d-------- C:\Program Files\FileZilla Client

2008-01-16 13:48:22 0 d-------- C:\Users\HercuT\AppData\Roaming\OpenOffice.org2

2008-01-16 00:13:03 0 d-------- C:\Program Files\MSN Messenger

2008-01-14 21:29:54 693350 --a------ C:\Windows\system32\perfh00C.dat

2008-01-14 21:29:54 118244 --a------ C:\Windows\system32\perfc00C.dat

2008-01-12 19:30:51 0 d-------- C:\Program Files\Teamspeak2_RC2

2008-01-12 17:33:14 0 d-------- C:\Program Files\xmplay

2008-01-12 12:07:41 0 d-------- C:\Program Files\a-squared Free

2008-01-12 11:19:09 0 d-------- C:\Program Files\Common Files\Steam

2008-01-12 00:05:22 0 d---s---- C:\Program Files\HLSW

2008-01-11 18:55:49 0 d-------- C:\Users\HercuT\AppData\Roaming\XnView

2008-01-09 11:43:38 0 d-------- C:\Program Files\Windows Mail

2008-01-09 08:51:13 0 d-------- C:\Program Files\Windows Sidebar

2008-01-08 09:12:12 0 d-------- C:\Users\HercuT\AppData\Roaming\Weezo

2008-01-08 02:20:40 0 d-------- C:\Program Files\Notepad++

2008-01-08 02:13:24 0 d-------- C:\Program Files\Common Files

2008-01-08 02:08:32 0 d-------- C:\Program Files\XnView

2008-01-08 02:02:46 0 d-------- C:\Program Files\Picasa2

2008-01-07 22:32:39 0 d-------- C:\Users\HercuT\AppData\Roaming\Ventrilo

2008-01-07 14:32:15 0 d-------- C:\Program Files\UltraVNC

2008-01-05 19:04:38 0 d--h----- C:\Program Files\InstallShield Installation Information

2008-01-04 10:00:08 0 d-------- C:\Program Files\EsetOnlineScanner

2008-01-03 01:07:10 0 d-------- C:\Program Files\Launchy

2007-12-16 18:35:56 0 d-------- C:\Program Files\DivX

2007-12-15 14:38:45 0 d-------- C:\Program Files\FlashGet

2007-12-15 14:38:12 0 d-------- C:\Users\HercuT\AppData\Roaming\FlashGet

2007-12-10 19:30:03 0 d-------- C:\Program Files\WinSCP

2007-12-09 15:41:10 0 d-------- C:\Users\HercuT\AppData\Roaming\Google

2007-12-09 12:48:39 0 d-------- C:\Program Files\Google

2007-12-09 11:44:08 0 d-------- C:\Program Files\PrintFolder

2007-12-09 01:00:43 0 d-------- C:\Users\HercuT\AppData\Roaming\uTorrent

2007-12-07 10:12:59 0 d-------- C:\Program Files\uTorrent

2007-12-07 01:57:13 0 d-------- C:\Users\HercuT\AppData\Roaming\Voxmobili

2007-12-07 01:56:23 0 d-------- C:\Program Files\Orange

2007-12-05 23:51:08 0 d-------- C:\Program Files\Common Files\InstallShield

2007-12-05 23:47:53 0 d-------- C:\Program Files\ASUS

2007-12-05 21:50:51 0 d-------- C:\Program Files\Intel

2007-12-05 21:44:08 0 d-------- C:\Program Files\ma-config.com

2007-12-05 21:44:07 0 d-------- C:\Users\HercuT\AppData\Roaming\ma-config.com

2007-12-02 23:55:48 0 d-------- C:\Program Files\Common Files\Adobe

2007-12-02 12:56:45 0 d-------- C:\Users\HercuT\AppData\Roaming\Apple Computer

2007-12-01 15:06:37 0 d-------- C:\Program Files\The GodFather

2007-12-01 14:56:56 0 d-------- C:\Program Files\TagScanner

2007-11-30 17:19:38 0 d-------- C:\Program Files\Apple Software Update

2007-11-30 17:18:16 0 d-------- C:\Program Files\Common Files\Apple

2007-11-29 18:47:42 0 d-------- C:\Program Files\Nokia

2007-11-28 20:29:02 0 d-------- C:\Users\HercuT\AppData\Roaming\NSeries

2007-11-28 20:26:42 0 d-------- C:\Users\HercuT\AppData\Roaming\Nokia

2007-11-28 20:17:33 0 d-------- C:\Users\HercuT\AppData\Roaming\PC Suite

2007-11-28 13:32:08 0 d-------- C:\Program Files\PC Connectivity Solution

2007-11-26 08:23:59 0 d-------- C:\Program Files\SuperCopier2

2007-10-28 20:20:48 1025 --a------ C:\Windows\system32\sysprs7.dll

2007-10-28 20:20:48 73 --a------ C:\Windows\system32\ssprs.dll

2007-10-28 20:20:48 205 --a------ C:\Windows\system32\lsprst7.dll

2007-10-28 20:20:48 1025 --a------ C:\Windows\system32\clauth2.dll

2007-10-28 20:20:48 1025 --a------ C:\Windows\system32\clauth1.dll

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-09-12 01:20]

"ImageShackUtil"="C:\Program Files\ImageShack\QuickShot\QuickShot.exe" [2006-04-29 23:42]

"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-11 21:28]

"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-11 21:28]

"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-11 21:28]

"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-01-08 02:07]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-01-10 15:27]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-01-15 03:22]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-24 16:00]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Steam"="c:\program files\steam\steam.exe" [2007-11-30 12:56]

"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-11-06 15:03]

"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"Zeb-Fix_"=C:\gof\FixHercut.exe Resume:16

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\

Launchy.lnk - C:\Program Files\Launchy\Launchy.exe [2007-09-12 02:15:15]

Serveur UltraVNC (2).lnk - C:\Program Files\UltraVNC\winvnc.exe [2007-09-13 00:51:34]

TeamSpeak 2 Server.lnk - C:\Program Files\Teamspeak2_RC2\server_windows.exe [2007-09-12 11:35:56]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"appinit_dlls"=C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppInfo]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KeyIso]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NTDS]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SWPRV]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TabletInputService]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TBS]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrustedInstaller]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VDS]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgr.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgrx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]

@="IEEE 1394 Bus host controllers"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]

@="SBP2 IEEE 1394 Devices"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]

@="SecurityDevices"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]

path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Synchronizer.lnk

backup=C:\Windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Lancement rapide d'Adobe Acrobat.lnk]

path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Lancement rapide d'Adobe Acrobat.lnk

backup=C:\Windows\pss\Lancement rapide d'Adobe Acrobat.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Logiciel de Synchronisation Orange.lnk]

path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Logiciel de Synchronisation Orange.lnk

backup=C:\Windows\pss\Logiciel de Synchronisation Orange.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Users^HercuT^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.2.lnk]

path=C:\Users\HercuT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.2.lnk

backup=C:\Windows\pss\OpenOffice.org 2.2.lnk.Startup

backupExtension=.Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]

"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]

C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]

"C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM]

C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eyeBeam SIP Client]

"C:\Program Files\CounterPath\X-Lite\x-lite.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gestionnaire Antidote.exe]

C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gizmo Project]

"C:\Program Files\Gizmo Project\Gizmo.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

"C:\Program Files\iTunes\iTunesHelper.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch LGDCore]

"C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]

C:\Program Files\Picasa2\PicasaMediaDetector.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

"C:\Program Files\QuickTime\QTTask.exe" -atboottime

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

"C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

"C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]

"C:\Program Files\Unlocker\UnlockerAssistant.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]

"C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

"C:\Program Files\Winamp\winampa.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Mobile Device Center]

%windir%\WindowsMobile\wmdc.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalSystemNetworkRestricted hidserv UxSms WdiSystemHost Netman trkwks AudioEndpointBuilder WUDFSvc irmon sysmain IPBusEnum dot3svc PcaSvc EMDMgmt TabletInputService wlansvc WPDBusEnum

WindowsMobile wcescomm rapimgr

LocalServiceRestricted WcesComm RapiMgr

bthsvcs BthServ

 

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22622b36-754d-11dc-9065-0017312289b4}]

AutoRun\command- K:\Autorun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91cd67ce-a635-11dc-8f0b-0017312289b4}]

AutoRun\command- L:\RavMon.exe

explore\Command- L:\RavMon.exe -e

open\Command- L:\RavMon.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b44850a3-6807-11dc-9ac5-0017312289b4}]

Auto\command- Ghost.pif

AutoRun\command- C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Ghost.pif

 

*Newly Created Service* - AVGIO

*Newly Created Service* - AVGNTFLT

*Newly Created Service* - AVIPBB

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]

C:\Windows\system32\unregmp2.exe /ShowWMP

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]

%SystemRoot%\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI

 

 

 

-- End of Deckard's System Scanner: finished at 2008-01-24 22:22:03 ------------

[Gof]

Re

 

Tu ne m'as pas indiqué si tu avais trouvé initialement le fichier suivant : c:\windows\system32\mdelk.exe. Peux tu me dire ce qu'il en est ?

 

Bien, la grosse infection a été traitée. Tu as du constater du mieux, non ?

 

Tu as des restes d'infection se propageant par supports amovibles (tu peux lire ce sujet pour voir de quoi il s'agit).

 

Branche tous tes supports amovibles (lecteur MP3, cartes flash, clés usb, disques dur externs, etc). Il est important de tous les traiter, sinon l'infection reviendra.

 

Télécharge Flashdisinfector de sUBs sur ton bureau.

• Branche tes supports amovibles, démarre les (disques dur externes par exemple) pour ceux qui le devraient.
  
• Double-clique sur Flash_Disinfector.exe. (clic droit, exécuter en tant qu'administrateur)
  
• Cela sera très rapide, un message t'informera de la fin du fix.
  Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prends soin de ne pas laisser de documents (word, excel) sur lesquels tu travailles ouvert à ce moment la.
  
• Si tu as beaucoup de supports usb à désinfecter, tu peux renouveler l'opération en branchant les suppots non traitées un à un.
  

Après avoir traité tous tes supports, redémarre à nouveau, et génère un nouveau rapport DSS. Profites en pour répondre à mes questions et m'indiquer comment se comporte le pc.