Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

winupgro.exe installé sur ma machine


act

Messages recommandés

Bonjour à tout le monde,

 

He bien oui, un énième pc pollué par "winupgro.exe".

Moi qui viens de l'univers du MAC, je n'étais pas habitué à ce genre de problème et bien là j'y suis.

Évidemment j'ai installé quelquechose qu'il ne fallait pas installé et oui !!!!

J'ai parcouru ce forum en long et en large depuis hier , jour où j'ai découvert ce fameux "winupgro.exe" qui pompait 70% du CPU.

J'utilise ce PC exclusivement pour faire de l'audio avec Live d'ableton et je ne le connecte à internet que pour faire les mises à jours de sécurité du système windows XP64, je n'ai aucun antivirus installé et j'utilise seulement le firewall de windows. (je sais c'est de la pure folie mais voilà ma situation)

Donc j'ai vu différentes procédures avec HiJackThis, FindyKill, ComboFix et les rapports interminables qui me font suer de panique vu leur longueur et la difficulté que j'ai à les comprendre.

Donc voilà par où je pourrais commencer, j'ai un disque dur externe qui n'a jamais était connecté à cet ordinateur.

Puis je faire une sauvegarde de mes données sans risquer de l'infecter.

Pouvez vous me donner la procédure à suivre et m'aider ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Évidemment j'ai installé quelquechose qu'il ne fallait pas installé et oui !!!!

Si c'est un crack ou keygen, supprimez sinon vous vous réinfecterez.

 

Il n'y a pas lieu de vous inquiéter.

Toutes les procédures ne sont pas indigestes.

 

Commencez par celle ci:

 

Télécharger FindyKill sur le bureau

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Si, donc, vous avez une version antérieure, désinstallez la.

Connecter tous les disques amovibles (disque dur externe, clé USB).

Lancer l'installation avec les Paramètres par défaut

Sous Vista ,Exécuter en tant qu'administrateur

 

Double cliquer sur le raccourci FindyKill sur le bureau

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Au menu principal,choisir l'option 1 (Recherche)

postez le rapport C:\FindyKill.txt

 

Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Double cliquer sur le raccourci FindyKill sur le bureau

Au menu principal,choisir l'option 2 (Suppression)

 

il y aura 2 redémarrages du PC

Laissez travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"

Ensuite postez le rapport C:\FindyKill.txt

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

Salut pear :P

 

Et bonsoir act ; bienvenue sur le forum :P

 

Je m'excuse de l'intrusion, mais je vais devoir regarder un truc avec pear avant qur tu ne lances FindyKill.

Ton Vista est un 64 Bits ? Si oui, je ne suis pas sûr que nos outils puissent t'aider :P

 

On regarde ça ensemble, pear et moi.

 

@ bientôt

Lien vers le commentaire
Partager sur d’autres sites

Salut pear :P

 

Et bonsoir act ; bienvenue sur le forum :P

Merci

 

Je m'excuse de l'intrusion, mais je vais devoir regarder un truc avec pear avant qur tu ne lances FindyKill.

Ton Vista est un 64 Bits ? Si oui, je ne suis pas sûr que nos outils puissent t'aider :P

J'utilise windows XP et pas vista 64

 

On regarde ça ensemble, pear et moi.

 

Au fait j'ai "partition suite" installé et au démarrage de l'ordi il scrute tous les systèmes dont les systèmes linux que j'ai installé, en fait mon ordi ne démarre pas directement sur windows.

Est-ce un problème ?

 

@ bientôt

Modifié par Gof
Edité par Gof : Mise en forme.
Lien vers le commentaire
Partager sur d’autres sites

Bonjour act ; désolé pour ce délai mais il était nécessaire. Très peu de gens se sont pointés sur les forums avec un Vista 64 infecté par Bagle jusqu'à présent. Les trouvailles ne sont pas très concluentes, mais donnent des pistes. Je n'ai pas Vista 64 ici, mais j'ai Windows Seven 64 qui est très semblable, alors j'ai fait quelques tests avec un Bagle actif (disons à moitié actif, car le rootkit ne semble pas s'installer sous l'environnement 64 Bits, ce qui est une bonne nouvelle..).

 

Je vais donc te demander de faire une analyse avec un outil diagnostique qui tourne bien sous 64. À la lecture du rapport généré, je pourrai écrire un fix pour nettoyer cette saleté de Bagle (enfin je l'espère :P ) :

============

 

Télécharge OTListIt2 (de Old Timer) sur ton Bureau :

http://oldtimer.geekstogo.com/OTListIt2.exe

 

- Fais un clic droit sur le fichier et choisis "Exécuter en tant qu'administrateur"

- L'outil se lancera ;

- Dans la fenêtre qui apparaît, ne modifie aucun réglage sauf "Extra Registry" que tu dois modifier en activant "Use SafeList"

- Coche également "Scan All Users" (au haut à gauche)

- Clique maintenant sur le bouton "Run Scan"

- L'analyse ne durera que quelques minutes tout au plus. Laisse l'outil tourner sans interruption.

- Un rapport apparaîtra à l'écran : copie/colle son contenu ici, dans ta réponse.

 

@+

Lien vers le commentaire
Partager sur d’autres sites

Voici le premier rapport (OTListIt), au fait dans la fenêtre du logiciel toutes les cases "Use SafeList" étaient cochés.

 

 

OTListIt logfile created on: 16/03/2009 09:07:24 - Run 1

 

OTListIt2 by OldTimer - Version 2.0.5.2 Folder = C:\Documents and Settings\Administrator\Desktop

 

Windows Server 2003 Service Pack 2 (Version = 5.2.3790) - Type = NTWorkstation

 

Internet Explorer (Version = 7.0.5730.13)

 

Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

 

 

 

4,00 Gb Total Physical Memory | 3,47 Gb Available Physical Memory | 86,86% Memory free

 

4,00 Gb Paging File | 4,00 Gb Available in Paging File | 100,00% Paging File free

 

Paging file location(s): C:\pagefile.sys 2046 4092;

 

 

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files (x86)

 

Drive C: | 33,83 Gb Total Space | 10,01 Gb Free Space | 29,60% Space Free | Partition Type: NTFS

 

Drive D: | 217,88 Gb Total Space | 33,37 Gb Free Space | 15,32% Space Free | Partition Type: NTFS

 

E: Drive not present or media not loaded

 

F: Drive not present or media not loaded

 

Drive G: | 100,01 Gb Total Space | 15,26 Gb Free Space | 15,26% Space Free | Partition Type: NTFS

 

Drive H: | 198,08 Gb Total Space | 52,39 Gb Free Space | 26,45% Space Free | Partition Type: NTFS

 

Drive I: | 4,11 Gb Total Space | 1,19 Gb Free Space | 29,00% Space Free | Partition Type: FAT32

 

Drive J: | 232,89 Gb Total Space | 38,78 Gb Free Space | 16,65% Space Free | Partition Type: NTFS

 

 

 

Computer Name: USER-751A7B4E9C

 

Current User Name: Administrator

 

Logged in as Administrator.

 

 

 

Current Boot Mode: Normal

 

Scan Mode: All users

 

Output = Standard

 

File Age = 30 Days

 

Company Name Whitelist: On

 

 

 

========== Processes (SafeList) ==========

 

 

 

PRC - [2007/07/25 00:17:08 | 00,229,376 | ---- | M] (Apple Inc.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe

 

PRC - [2005/04/08 02:10:00 | 00,806,912 | ---- | M] () -- C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe

 

PRC - [2007/10/11 02:03:28 | 01,077,248 | ---- | M] (PreSonus Audio Electronics) -- C:\Program Files (x86)\PreSonus\1394AudioDriver_FireBox\FireBox.exe

 

PRC - [2007/02/18 13:00:00 | 00,015,360 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\SysWOW64\ctfmon.exe

 

PRC - [2008/07/18 09:14:27 | 00,173,590 | RHS- | M] () -- C:\WINDOWS\algd.exe

 

PRC - [2009/03/16 08:30:44 | 00,499,712 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Administrator\Desktop\OTListIt2.exe

 

 

 

========== Win32 Services (SafeList) ==========

 

 

 

SRV - [2008/07/25 10:13:44 | 00,046,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Microsoft.NET\Framework64\v2.0.50727\aspnet_state.exe -- (aspnet_state [On_Demand | Stopped])

 

SRV - [2007/07/25 00:17:08 | 00,229,376 | ---- | M] (Apple Inc.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe -- (Bonjour Service [Auto | Running])

 

SRV - [2008/07/25 11:17:02 | 00,069,632 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32 [On_Demand | Stopped])

 

SRV - [2008/07/25 10:13:48 | 00,093,184 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_64 [On_Demand | Stopped])

 

SRV - File not found -- -- (dmadmin [On_Demand | Stopped])

 

SRV - File not found -- -- (Eventlog [Auto | Running])

 

SRV - [2008/03/19 17:11:30 | 00,654,848 | ---- | M] (Macrovision Europe Ltd.) -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service [On_Demand | Stopped])

 

SRV - [2008/07/29 21:18:04 | 00,046,104 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe -- (FontCache3.0.0.0 [On_Demand | Stopped])

 

SRV - [2007/02/18 13:00:00 | 00,077,312 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll -- (helpsvc [Auto | Running])

 

SRV - [2007/02/18 13:00:00 | 00,162,816 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\SysWOW64\iasrecst.dll -- (IASJet [On_Demand | Stopped])

 

SRV - [2008/07/29 19:28:38 | 00,859,648 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Microsoft.NET\Framework64\v3.0\Windows Communication Foundation\infocard.exe -- (idsvc [unknown | Stopped])

 

SRV - File not found -- -- (ImapiService [On_Demand | Stopped])

 

SRV - [2008/02/19 22:10:24 | 00,504,104 | ---- | M] (Apple Inc.) -- C:\Program Files (x86)\iPod\bin\iPodService.exe -- (iPod Service [On_Demand | Stopped])

 

SRV - File not found -- -- (MSDTC [On_Demand | Stopped])

 

SRV - [2006/11/11 04:18:02 | 00,774,144 | ---- | M] (Nero AG) -- C:\Program Files (x86)\Nero\Nero 7\Nero BackItUp\NBService.exe -- (NBService [On_Demand | Stopped])

 

SRV - [2007/02/18 13:00:00 | 00,430,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\netlogon.dll -- (Netlogon [On_Demand | Stopped])

 

SRV - [2008/07/29 19:20:34 | 00,119,808 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Microsoft.NET\Framework64\v3.0\Windows Communication Foundation\SMSvcHost.exe -- (NetTcpPortSharing [Disabled | Stopped])

 

SRV - File not found -- -- (NtLmSsp [On_Demand | Stopped])

 

SRV - File not found -- -- (NVSvc [Auto | Running])

 

SRV - File not found -- -- (PlugPlay [Auto | Running])

 

SRV - File not found -- -- (PolicyAgent [Auto | Running])

 

SRV - File not found -- -- (ProtectedStorage [Auto | Running])

 

SRV - File not found -- -- (RDSessMgr [On_Demand | Stopped])

 

SRV - File not found -- -- (SamSs [Auto | Running])

 

SRV - [2007/12/13 02:31:58 | 00,213,176 | ---- | M] (SiSoftware) -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe -- (SandraDataSrv [On_Demand | Stopped])

 

SRV - [2007/12/13 02:32:20 | 01,619,136 | ---- | M] (SiSoftware) -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe -- (SandraTheSrv [On_Demand | Stopped])

 

SRV - File not found -- -- (TlntSvr [Disabled | Stopped])

 

SRV - [2007/02/18 13:00:00 | 00,039,424 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wdfmgr.exe -- (UMWdf [On_Demand | Stopped])

 

SRV - File not found -- -- (vds [On_Demand | Stopped])

 

SRV - File not found -- -- (VSS [On_Demand | Stopped])

 

SRV - [2007/02/18 13:00:00 | 00,025,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\SysWOW64\mspmsnsv.dll -- (WmdmPmSN [On_Demand | Stopped])

 

SRV - File not found -- -- (WmiApSrv [On_Demand | Stopped])

 

 

 

========== Driver Services (SafeList) ==========

 

 

 

DRV - File not found -- -- (ACPI [boot | Running])

 

DRV - File not found -- -- (AFD [system | Running])

 

DRV - File not found -- -- (atapi [boot | Running])

 

DRV - File not found -- -- (audstub [On_Demand | Running])

 

DRV - File not found -- -- (Beep [system | Running])

 

DRV - File not found -- -- (CdaC15BA [Auto | Running])

 

DRV - File not found -- -- (CdaD10BA [Auto | Running])

 

DRV - File not found -- -- (Cdfs [Disabled | Running])

 

DRV - File not found -- -- (Cdrom [system | Running])

 

DRV - File not found -- -- (crcdisk [boot | Running])

 

DRV - File not found -- -- (Disk [boot | Running])

 

DRV - File not found -- -- (dmio [boot | Running])

 

DRV - File not found -- -- (dmload [boot | Running])

 

DRV - File not found -- -- (Fastfat [Disabled | Running])

 

DRV - File not found -- -- (Fips [system | Running])

 

DRV - File not found -- -- (FltMgr [boot | Running])

 

DRV - File not found -- -- (Ftdisk [boot | Running])

 

DRV - [2007/11/02 23:14:34 | 00,022,336 | ---- | M] (Windows ® Server 2003 DDK provider) -- C:\WINDOWS\gdrv.sys -- (gdrv [On_Demand | Stopped])

 

DRV - File not found -- -- (Gpc [On_Demand | Running])

 

DRV - File not found -- -- (HDAudBus [On_Demand | Running])

 

DRV - File not found -- -- (HTTP [On_Demand | Running])

 

DRV - File not found -- -- (i8042prt [system | Running])

 

DRV - File not found -- -- (imapi [system | Running])

 

DRV - File not found -- -- (intelppm [On_Demand | Running])

 

DRV - File not found -- -- (IPSec [system | Running])

 

DRV - File not found -- -- (isapnp [boot | Running])

 

DRV - File not found -- -- (Kbdclass [system | Running])

 

DRV - File not found -- -- (KSecDD [boot | Running])

 

DRV - File not found -- -- (ksthunk [On_Demand | Running])

 

DRV - File not found -- -- (LoopBeMidi1 [On_Demand | Running])

 

DRV - [2007/02/18 13:00:00 | 00,033,792 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mnmdd.dll -- (mnmdd [system | Running])

 

DRV - File not found -- -- (Mouclass [system | Running])

 

DRV - File not found -- -- (MountMgr [boot | Running])

 

DRV - File not found -- -- (MRxDAV [On_Demand | Running])

 

DRV - File not found -- -- (MRxSmb [system | Running])

 

DRV - File not found -- -- (Msfs [system | Running])

 

DRV - File not found -- -- (mssmbios [On_Demand | Running])

 

DRV - File not found -- -- (Mup [boot | Running])

 

DRV - File not found -- -- (NDIS [boot | Running])

 

DRV - File not found -- -- (NdisTapi [On_Demand | Running])

 

DRV - File not found -- -- (NdisWan [On_Demand | Running])

 

DRV - File not found -- -- (NDProxy [On_Demand | Running])

 

DRV - File not found -- -- (NetBIOS [system | Running])

 

DRV - File not found -- -- (NetBT [system | Running])

 

DRV - File not found -- -- (Npfs [system | Running])

 

DRV - File not found -- -- (Ntfs [Disabled | Running])

 

DRV - File not found -- -- (Null [system | Running])

 

DRV - File not found -- -- (nv [On_Demand | Running])

 

DRV - File not found -- -- (ohci1394 [boot | Running])

 

DRV - File not found -- -- (pae_1394 [On_Demand | Running])

 

DRV - File not found -- -- (pae_avs [On_Demand | Running])

 

DRV - File not found -- -- (Parport [On_Demand | Running])

 

DRV - File not found -- -- (PartMgr [boot | Running])

 

DRV - File not found -- -- (PCI [boot | Running])

 

DRV - File not found -- -- (PCIIde [boot | Running])

 

DRV - [2003/09/08 18:49:44 | 00,014,604 | ---- | M] (Padus, Inc.) -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc [On_Demand | Stopped])

 

DRV - File not found -- -- (PptpMiniport [On_Demand | Running])

 

DRV - File not found -- -- (PSched [On_Demand | Running])

 

DRV - File not found -- -- (Ptilink [On_Demand | Running])

 

DRV - File not found -- -- (RasAcd [system | Running])

 

DRV - File not found -- -- (Rasl2tp [On_Demand | Running])

 

DRV - File not found -- -- (RasPppoe [On_Demand | Running])

 

DRV - File not found -- -- (Raspti [On_Demand | Running])

 

DRV - File not found -- -- (Rdbss [system | Running])

 

DRV - File not found -- -- (RDPCDD [system | Running])

 

DRV - File not found -- -- (rdpdr [On_Demand | Running])

 

DRV - File not found -- -- (redbook [system | Running])

 

DRV - File not found -- -- (RTLE8023x64 [On_Demand | Running])

 

DRV - [2007/11/17 17:41:26 | 00,022,432 | ---- | M] (SiSoftware) -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Sandra.sys -- (SANDRA [On_Demand | Stopped])

 

DRV - File not found -- -- (sbp2port [boot | Running])

 

DRV - File not found -- -- (Secdrv [Auto | Running])

 

DRV - File not found -- -- (serenum [On_Demand | Running])

 

DRV - File not found -- -- (Serial [system | Running])

 

DRV - File not found -- -- (snapman [boot | Running])

 

DRV - File not found -- -- (sptd [boot | Running])

 

DRV - File not found -- -- (sr [boot | Running])

 

DRV - [2009/03/16 09:04:53 | 00,121,548 | ---- | M] () -- C:\Documents and Settings\Administrator\Application Data\drivers\wfsintwq.sys -- (srosa [system | Stopped])

 

DRV - File not found -- -- (Srv [On_Demand | Running])

 

DRV - File not found -- -- (swenum [On_Demand | Running])

 

DRV - File not found -- -- (sysaudio [On_Demand | Running])

 

DRV - File not found -- -- (Tcpip [system | Running])

 

DRV - File not found -- -- (TermDD [system | Running])

 

DRV - File not found -- -- (Update [On_Demand | Running])

 

DRV - File not found -- -- (usbehci [On_Demand | Running])

 

DRV - File not found -- -- (usbhub [On_Demand | Running])

 

DRV - File not found -- -- (usbprint [On_Demand | Running])

 

DRV - File not found -- -- (USBSTOR [On_Demand | Running])

 

DRV - File not found -- -- (usbuhci [On_Demand | Running])

 

DRV - File not found -- -- (VgaSave [system | Running])

 

DRV - File not found -- -- (vmm [system | Running])

 

DRV - File not found -- -- (VolSnap [boot | Running])

 

DRV - File not found -- -- (VPCNetS2 [On_Demand | Running])

 

DRV - File not found -- -- (Wanarp [On_Demand | Running])

 

DRV - [2007/02/18 13:00:00 | 00,023,552 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\wdmaud.drv -- (wdmaud [On_Demand | Running])

 

 

 

========== Standard Registry (SafeList) ==========

 

 

 

 

 

========== Internet Explorer ==========

 

 

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL =

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

 

 

 

 

 

 

 

 

 

 

 

 

 

IE - HKU\S-1-5-21-1967997339-1459969702-4195594450-500\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm

 

IE - HKU\S-1-5-21-1967997339-1459969702-4195594450-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

 

IE - HKU\S-1-5-21-1967997339-1459969702-4195594450-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?p...&ar=msnhome

 

IE - HKU\S-1-5-21-1967997339-1459969702-4195594450-500\S-1-5-21-1967997339-1459969702-4195594450-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\S-1-5-21-1967997339-1459969702-4195594450-500\S-1-5-21-1967997339-1459969702-4195594450-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

 

 

 

========== FireFox ==========

 

 

 

 

 

FF - HKLM\software\mozilla\Firefox\Extensions\\{20a82645-c095-46ed-80e3-08825760534b}: C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION\ [2009/03/14 19:54:07 | 00,000,000 | ---D | M]

 

FF - HKLM\software\mozilla\Mozilla Firefox 2.0.0.14\extensions\\Components: C:\PROGRAM FILES (X86)\MOZILLA FIREFOX\COMPONENTS [2008/04/19 07:41:27 | 00,000,000 | ---D | M]

 

FF - HKLM\software\mozilla\Mozilla Firefox 2.0.0.14\extensions\\Plugins: C:\PROGRAM FILES (X86)\MOZILLA FIREFOX\PLUGINS [2008/04/19 10:04:03 | 00,000,000 | ---D | M]

 

 

 

[2008/09/11 08:20:49 | 00,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Application Data\mozilla\Firefox\Profiles\4lc7ieqy.default\extensions

 

[2008/11/14 16:01:43 | 00,000,000 | ---D | M] -- C:\Program Files (x86)\mozilla firefox\extensions

 

[2008/04/19 07:41:27 | 00,000,000 | ---D | M] -- C:\Program Files (x86)\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

 

[2008/07/18 10:14:44 | 00,000,000 | ---D | M] -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

 

[2008/04/14 11:52:53 | 00,000,000 | ---D | M] -- C:\Program Files (x86)\mozilla firefox\extensions\[email protected]

 

[2008/04/19 07:41:24 | 00,067,696 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\jar50.dll

 

[2008/04/19 07:41:24 | 00,054,376 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\jsd3250.dll

 

[2008/04/19 07:41:24 | 00,034,952 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\myspell.dll

 

[2008/04/19 07:41:24 | 00,046,720 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\spellchk.dll

 

[2008/04/19 07:41:24 | 00,172,144 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\xpinstal.dll

 

[2006/09/06 19:27:53 | 00,001,529 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazon-france.xml

 

[2006/06/03 21:11:43 | 00,001,072 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-france.xml

 

[2007/01/17 23:05:32 | 00,002,368 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\google.xml

 

[2006/09/06 21:56:53 | 00,000,760 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\MediaDICO-fr.xml

 

[2006/09/13 22:56:35 | 00,001,203 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-fr.xml

 

[2006/09/11 20:46:49 | 00,000,664 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-france.xml

 

 

 

O1 HOSTS File: (734 bytes) - C:\WINDOWS\System32\drivers\etc\Hosts

 

O1 - Hosts: 127.0.0.1 localhost

 

O2 - BHO: (Aide pour le lien d'Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

 

O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll (Sun Microsystems, Inc.)

 

O3 - HKU\S-1-5-21-1967997339-1459969702-4195594450-500\..\Toolbar\ShellBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\SysWOW64\browseui.dll (Microsoft Corporation)

 

O3 - HKU\S-1-5-21-1967997339-1459969702-4195594450-500\..\Toolbar\WebBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\SysWOW64\browseui.dll (Microsoft Corporation)

 

O3 - HKU\S-1-5-21-1967997339-1459969702-4195594450-500\..\Toolbar\WebBrowser: (no name) - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - C:\WINDOWS\syswow64\SHELL32.dll (Microsoft Corporation)

 

O4 - HKLM..\Run: [OSSelectorReinstall] C:\Program Files (x86)\Common Files\Acronis\Partition Suite\oss_reinstall.exe ()

 

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe" (Sun Microsystems, Inc.)

 

O4 - HKLM..\Run: [Windows Messanger Control Center] algd.exe ()

 

O4 - HKU\S-1-5-21-1967997339-1459969702-4195594450-500..\Run: [drvsyskit] C:\Documents and Settings\Administrator\Application Data\drivers\winupgro.exe ()

 

O4 - HKU\.DEFAULT..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe File not found

 

O4 - HKU\S-1-5-18..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe File not found

 

O4 - HKU\S-1-5-19..\RunOnce: [NeroHomeFirstStart] "C:\Program Files\Fichiers communs\Nero\Lib\NMFirstStart.exe" (Nero AG)

 

O4 - HKU\S-1-5-19..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe File not found

 

O4 - HKU\S-1-5-20..\RunOnce: [NeroHomeFirstStart] "C:\Program Files\Fichiers communs\Nero\Lib\NMFirstStart.exe" (Nero AG)

 

O4 - HKU\S-1-5-20..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe File not found

 

O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\FireBox Control Panel.lnk = C:\Program Files (x86)\PreSonus\1394AudioDriver_FireBox\FireBox.exe (PreSonus Audio Electronics)

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceActiveDesktopOn = 0

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption =

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext =

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: scforceoption = 0

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0

 

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

 

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

 

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

 

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

 

O7 - HKU\S-1-5-21-1967997339-1459969702-4195594450-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

 

O9 - Extra 'Tools' menuitem : Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\npjpi160_07.dll (Sun Microsystems, Inc.)

 

O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (Microsoft Corporation)

 

O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (Microsoft Corporation)

 

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [mdnsNSP] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)

 

O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.

 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupdate/...b?1237054137156 (WUWebControl Class)

 

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-...indows-i586.cab (Java Plug-in 1.6.0_07)

 

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flash...t/ultrashim.cab (Reg Error: Key error.)

 

O16 - DPF: {CAFEEFAC-0014-0002-0016-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl...indows-i586.cab (Java Plug-in 1.4.2_16)

 

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-...indows-i586.cab (Java Plug-in 1.6.0_03)

 

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-...indows-i586.cab (Java Plug-in 1.6.0_07)

 

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-...indows-i586.cab (Java Plug-in 1.6.0_07)

 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab (Shockwave Flash Object)

 

O18 - Protocol\Handler\dvd {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\SysWOW64\msvidctl.dll (Microsoft Corporation)

 

O18 - Protocol\Handler\gopher {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\SysWOW64\urlmon.dll (Microsoft Corporation)

 

O18 - Protocol\Handler\its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SysWOW64\itss.dll (Microsoft Corporation)

 

O18 - Protocol\Handler\mhtml {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\SysWOW64\inetcomm.dll (Microsoft Corporation)

 

O18 - Protocol\Handler\ms-its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SysWOW64\itss.dll (Microsoft Corporation)

 

O18 - Protocol\Handler\sysimage {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SysWOW64\mshtml.dll (Microsoft Corporation)

 

O18 - Protocol\Handler\tv {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\SysWOW64\msvidctl.dll (Microsoft Corporation)

 

O18 - Protocol\Handler\wia {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\SysWOW64\wiascr.dll (Microsoft Corporation)

 

O18 - Protocol\Filter: - text/webviewhtml - C:\WINDOWS\syswow64\SHELL32.dll (Microsoft Corporation)

 

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\system32\Explorer.exe (Microsoft Corporation)

 

O20 - HKLM Winlogon: System - (lsass.exe) - File not found

 

O20 - Winlogon\Notify\ScCertProp: DllName - wlnotify.dll - File not found

 

O20 - Winlogon\Notify\Schedule: DllName - wlnotify.dll - File not found

 

O20 - Winlogon\Notify\SensLogn: DllName - WlNotify.dll - File not found

 

O20 - Winlogon\Notify\wlballoon: DllName - wlnotify.dll - File not found

 

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - C:\WINDOWS\syswow64\SHELL32.dll (Microsoft Corporation)

 

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - C:\WINDOWS\syswow64\SHELL32.dll (Microsoft Corporation)

 

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\SysWOW64\stobject.dll (Microsoft Corporation)

 

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - C:\WINDOWS\SysWOW64\browseui.dll (Microsoft Corporation)

 

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - C:\WINDOWS\SysWOW64\browseui.dll (Microsoft Corporation)

 

O32 - HKLM CDRom: AutoRun - 1

 

O32 - AutoRun File - [2007/11/02 23:01:53 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

 

O32 - AutoRun File - [2009/03/16 09:07:24 | 00,000,288 | RHS- | M] () - I:\autorun.inf -- [ FAT32 ]

 

O33 - MountPoints2\{2ad0aed7-f8e6-11dd-a306-001a4d5036a9}\Shell\AutoRun\command - "" = I:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe -- [2008/07/18 09:14:28 | 00,173,590 | RHS- | M] ()

 

O33 - MountPoints2\{2ad0aed7-f8e6-11dd-a306-001a4d5036a9}\Shell\open\command - "" = I:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe -- [2008/07/18 09:14:28 | 00,173,590 | RHS- | M] ()

 

O33 - MountPoints2\{60ad2b53-b58d-11dc-953a-e70359a9883d}\Shell\AutoRun\command - "" = J:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe -- File not found

 

O33 - MountPoints2\{60ad2b53-b58d-11dc-953a-e70359a9883d}\Shell\open\command - "" = J:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe -- File not found

 

 

 

========== Files/Folders - Created Within 30 Days ==========

 

 

 

[3 C:\WINDOWS\*.tmp files]

 

[2009/03/16 09:05:17 | 00,499,712 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\Administrator\Desktop\OTListIt2.exe

 

[2009/03/16 09:05:15 | 00,000,626 | ---- | C] () -- C:\Documents and Settings\Administrator\Desktop\bagle.rtf

 

[2009/03/14 20:27:11 | 03,888,054 | ---- | C] () -- C:\Documents and Settings\Administrator\Desktop\Sans titre.bmp

 

[2009/03/14 19:52:33 | 00,000,000 | ---D | C] -- C:\WINDOWS\SxsCaPendDel

 

[2009/03/14 19:09:39 | 00,000,000 | -H-D | C] -- C:\Documents and Settings\Administrator\Application Data\m

 

[2009/03/14 19:09:38 | 00,023,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wuapi.dll.mui

 

[2009/03/14 16:16:53 | 00,000,000 | ---D | C] -- C:\Program Files (x86)\Brainworx Music

 

[2009/03/14 16:08:03 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Application Data\Waves Preferences

 

[2009/03/14 16:05:38 | 00,000,000 | ---D | C] -- C:\Program Files (x86)\PSP MixPack 1.8 Demo

 

[2009/03/14 16:04:55 | 00,000,000 | ---D | C] -- C:\Program Files (x86)\PSP VintageWarmer

 

[2009/03/14 14:19:35 | 00,000,000 | -H-D | C] -- C:\Documents and Settings\Administrator\Application Data\drivers

 

[2009/03/12 09:22:44 | 00,000,005 | ---- | C] () -- C:\WINDOWS\cofpeaka.ini

 

[2009/03/10 18:31:32 | 00,000,000 | ---D | C] -- C:\Program Files (x86)\Extreme Sample Converter 3

 

[2009/03/10 18:30:39 | 00,000,000 | ---D | C] -- D:\USER\DRUMS NKI

 

[2009/03/08 16:38:32 | 00,000,000 | ---D | C] -- D:\USER\Native Instruments

 

[2009/03/08 16:38:32 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Local Settings\Application Data\Native Instruments

 

[2009/03/08 16:37:50 | 01,777,664 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\gdiplus.dll

 

[2009/03/08 16:11:51 | 00,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Native Instruments

 

[2009/03/07 16:35:34 | 00,069,632 | ---- | C] (Native Instruments Software GmbH) -- C:\WINDOWS\System32\NI_DFD_KOMPAKT.dll

 

[2009/03/07 16:35:34 | 00,069,632 | ---- | C] (Native Instruments Software GmbH) -- C:\WINDOWS\System32\NI_DFD_1_2_9.dll

 

[2009/03/07 16:35:34 | 00,069,632 | ---- | C] (Native Instruments Software GmbH) -- C:\WINDOWS\System32\NI_DFD_1_2_7.dll

 

[2009/03/07 16:35:34 | 00,069,632 | ---- | C] (Native Instruments Software GmbH) -- C:\WINDOWS\System32\NI_DFD_1_2_4.dll

 

[2009/03/07 16:35:34 | 00,069,632 | ---- | C] (Native Instruments Software GmbH) -- C:\WINDOWS\System32\NI_DFD.dll

 

[2009/03/07 16:35:14 | 00,065,536 | ---- | C] (Native Instruments Software GmbH) -- C:\WINDOWS\System32\NI_DFD_1_2_8.dll

 

[2009/03/07 16:35:14 | 00,000,000 | ---D | C] -- C:\Program Files (x86)\Native Instruments

 

[2009/03/07 15:58:40 | 00,000,005 | ---- | C] () -- C:\WINDOWS\cofpeaac.ini

 

[2009/03/06 18:10:23 | 00,054,156 | -H-- | C] () -- C:\WINDOWS\QTFont.qfn

 

[2009/03/06 18:10:23 | 00,001,409 | ---- | C] () -- C:\WINDOWS\QTFont.for

 

[2009/03/02 09:18:58 | 00,000,865 | ---- | C] () -- C:\Documents and Settings\Administrator\Desktop\FireBox Mixer.lnk

 

[2009/02/28 18:42:42 | 00,000,000 | ---D | C] -- C:\Program Files (x86)\Syncrosoft

 

 

 

========== Files - Modified Within 30 Days ==========

 

 

 

[2 C:\WINDOWS\System32\*.tmp files]

 

[3 C:\WINDOWS\*.tmp files]

 

[2009/03/16 10:04:12 | 00,297,072 | RHS- | M] () -- C:\ntldr

 

[2009/03/16 10:04:12 | 00,047,772 | RHS- | M] () -- C:\ntdetect.com

 

[2009/03/16 10:04:12 | 00,004,952 | RHS- | M] () -- C:\bootfont.bin

 

[2009/03/16 10:04:12 | 00,000,326 | -HS- | M] () -- C:\boot.ini

 

[2009/03/16 09:04:36 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

 

[2009/03/16 09:04:36 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

 

[2009/03/16 08:31:34 | 00,000,626 | ---- | M] () -- C:\Documents and Settings\Administrator\Desktop\bagle.rtf

 

[2009/03/16 08:30:44 | 00,499,712 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Administrator\Desktop\OTListIt2.exe

 

[2009/03/14 20:27:11 | 03,888,054 | ---- | M] () -- C:\Documents and Settings\Administrator\Desktop\Sans titre.bmp

 

[2009/03/14 19:57:46 | 00,000,970 | ---- | M] () -- C:\WINDOWS\imsins.BAK

 

[2009/03/14 19:56:10 | 01,197,274 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI

 

[2009/03/14 19:12:17 | 01,084,416 | ---- | M] () -- C:\WINDOWS\System32\drivers\down\486000.exe

 

[2009/03/14 19:12:06 | 00,950,268 | ---- | M] () -- C:\WINDOWS\System32\drivers\down\475296.exe

 

[2009/03/14 19:11:03 | 00,869,376 | ---- | M] () -- C:\WINDOWS\System32\drivers\down\410828.exe

 

[2009/03/14 16:14:36 | 00,000,048 | ---- | M] () -- C:\WINDOWS\System32\w3data.vss

 

[2009/03/14 16:14:36 | 00,000,048 | ---- | M] () -- C:\WINDOWS\System32\msvcsv60.dll

 

[2009/03/14 16:14:36 | 00,000,048 | ---- | M] () -- C:\WINDOWS\msocreg32.dat

 

[2009/03/14 16:05:17 | 00,659,456 | ---- | M] (Indigo Rose Corporation) -- C:\WINDOWS\iun6002.exe

 

[2009/03/14 15:40:10 | 00,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn

 

[2009/03/14 15:22:52 | 00,024,576 | RHS- | M] () -- C:\bootwiz.sys

 

[2009/03/12 09:22:44 | 00,000,005 | ---- | M] () -- C:\WINDOWS\cofpeaka.ini

 

[2009/03/07 15:58:40 | 00,000,005 | ---- | M] () -- C:\WINDOWS\cofpeaac.ini

 

[2009/03/06 18:22:41 | 00,001,409 | ---- | M] () -- C:\WINDOWS\QTFont.for

 

[2009/03/02 09:18:58 | 00,000,865 | ---- | M] () -- C:\Documents and Settings\Administrator\Desktop\FireBox Mixer.lnk

 

[2009/02/23 12:23:24 | 00,117,248 | ---- | M] () -- C:\Documents and Settings\Administrator\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

 

< End of report >

Lien vers le commentaire
Partager sur d’autres sites

Et le deuxième "Extras"

 

OTListIt Extras logfile created on: 16/03/2009 09:07:24 - Run 1

OTListIt2 by OldTimer - Version 2.0.5.2 Folder = C:\Documents and Settings\Administrator\Desktop

Windows Server 2003 Service Pack 2 (Version = 5.2.3790) - Type = NTWorkstation

Internet Explorer (Version = 7.0.5730.13)

Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

 

4,00 Gb Total Physical Memory | 3,47 Gb Available Physical Memory | 86,86% Memory free

4,00 Gb Paging File | 4,00 Gb Available in Paging File | 100,00% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092;

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files (x86)

Drive C: | 33,83 Gb Total Space | 10,01 Gb Free Space | 29,60% Space Free | Partition Type: NTFS

Drive D: | 217,88 Gb Total Space | 33,37 Gb Free Space | 15,32% Space Free | Partition Type: NTFS

E: Drive not present or media not loaded

F: Drive not present or media not loaded

Drive G: | 100,01 Gb Total Space | 15,26 Gb Free Space | 15,26% Space Free | Partition Type: NTFS

Drive H: | 198,08 Gb Total Space | 52,39 Gb Free Space | 26,45% Space Free | Partition Type: NTFS

Drive I: | 4,11 Gb Total Space | 1,19 Gb Free Space | 29,00% Space Free | Partition Type: FAT32

Drive J: | 232,89 Gb Total Space | 38,78 Gb Free Space | 16,65% Space Free | Partition Type: NTFS

 

Computer Name: USER-751A7B4E9C

Current User Name: Administrator

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: All users

Output = Standard

File Age = 30 Days

Company Name Whitelist: On

 

========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.hta [@ = htafile] -- C:\WINDOWS\SysWOW64\mshta.exe (Microsoft Corporation)

.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)

.reg [@ = regfile] -- C:\WINDOWS\system32\regedit.exe (Microsoft Corporation)

 

========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

"DisableNotifications" = 0

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List

"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007

"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008

 

========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

File not found -- %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

File not found -- C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019

[2006/11/18 06:23:38 | 01,556,480 | ---- | M] (Nero AG) -- C:\Program Files (x86)\Common Files\Ahead\Nero Web\SetupX.exe:*:Disabled:MSI starter

[2007/12/13 02:31:58 | 00,213,176 | ---- | M] (SiSoftware) -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe:*:Enabled:SiSoftware Database Agent Service

[2007/12/13 02:32:20 | 01,619,136 | ---- | M] (SiSoftware) -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service

[2007/07/25 00:17:08 | 00,229,376 | ---- | M] (Apple Inc.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe:*:Disabled:Bonjour

[2008/02/19 22:10:26 | 19,897,640 | ---- | M] (Apple Inc.) -- C:\Program Files (x86)\iTunes\iTunes.exe:*:Disabled:iTunes

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0FC65BD2-FB46-4E89-AEB9-C5CB53E4BC1F}_is1" = JkDefrag 3.26 Fr

"{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}" = QuickTime

"{2300EE96-0A41-4FAB-BD03-989EC44577A0}" = Partition Suite

"{25BADF94-7F64-4820-9CEF-2BBC087C1E98}" = Behringer FCB1010 MIDI PC Editor Utility

"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3

"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7

"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup

"{3C5C86D6-5C7D-4D5D-A6AB-39FDE5167AC1}" = PHLUMX v0.8

"{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}" = Bonjour

"{648C1BFD-6A70-46D8-B855-F84D95C2DC34}" = CSR

"{64983871-5B22-4F33-9CB3-FB53E26581E8}" = Blue Cat's Remote Control - VST (Demo)

"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update

"{7148F0A8-6813-11D6-A77B-00B0D0142160}" = Java 2 Runtime Environment, SE v1.4.2_16

"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable

"{80FD852F-5AAC-4129-B931-06AAFFA43138}" = iTunes

"{97C82B44-D408-4F14-9252-47FC1636D23E}_is1" = IZArc 3.81

"{98FDD1DA-DF13-455F-82C3-5AED34B2F741}" = BC Manager 1.0

"{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}" = MIDI-OX

"{AC76BA86-7AD7-1036-7B44-A81000000003}" = Adobe Reader 8.1.0 - Français

"{B2DC3F08-2EB2-49A5-AA24-15DFC8B1CB83}" = @BIOS

"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver

"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1

"{D642E38E-0D24-486C-9A2D-E316DD696F4B}" = Microsoft XML Parser

"{F0E057C7-3D5D-49C8-AE9E-ACD757B9DC45}" = huskervu

"{F0E8F94D-6E68-4B35-92DF-3AA6DC6A6768}" = Safari

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"{F2DF7839-7B71-4E34-BB8D-552E182082C9}" = Movavi Video Converter 6

"{F87DA817-8D53-42CC-AA45-93A100341036}" = Nero 7 Essentials

"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX

"Antress Modern Plugins v2.70" = Antress Modern Plugins v2.70

"EffectChainer_is1" = EffectChainer 1.02

"Free Easy Burner_is1" = Free Easy Burner V 2.0

"GSpot 2.21 Fr_is1" = GSpot 2.21 Fr

"Live 6.0.10" = Live 6.0.10

"Live 7.0.14" = Live 7.0.14

"LoopBe1" = LoopBe1 - Internal MIDI Port

"MediaCoder" = MediaCoder 0.6.0

"MediaInfo" = MediaInfo 0.7.6.3

"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1

"MIDIsport2x2" = Midisport 2x2 1.0.1.0

"Mozilla Firefox (2.0.0.14)" = Mozilla Firefox (2.0.0.14)

"Mp3tag" = Mp3tag v2.39

"Nebula2free" = AcusticaAudio Nebula2free

"Neuromixer AVmixer Pro_is1" = Neuromixer AVmixer Pro v1.2

"Pluggo 3.5.4" = Pluggo 3.5.4

"PreSonus 1394 Audio Driver v2.46 (FireBox) Setup" = PreSonus 1394 Audio Driver v2.46 (FireBox)

"Steinberg LM-4 MarkII v1.1" = Steinberg LM-4 MarkII v1.1

"StormGate3 1.0_is1" = StormGate3 1.0

"SUPER ©" = SUPER © Version 2008.bld.30 (Mar 22, 2008)

"Tag&Rename_is1" = Tag&Rename 3.3.5

"VLC media player" = VideoLAN VLC media player 0.8.6c

 

 

========== HKEY_CURRENT_USER Uninstall List ==========

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"QUICKMEDIACONVERTER" = Converter

 

========== HKEY_USERS Uninstall List ==========

 

[HKEY_USERS\S-1-5-21-1967997339-1459969702-4195594450-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"QUICKMEDIACONVERTER" = Converter

 

========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 07/03/2009 09:11:14 | Computer Name = USER-751A7B4E9C | Source = Application Hang | ID = 1002

Description = Application bloquée Live 7.0.14.exe, version 1.0.0.1, module bloqué

hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

 

Error - 07/03/2009 09:26:16 | Computer Name = USER-751A7B4E9C | Source = Application Hang | ID = 1002

Description = Application bloquée Live 7.0.14.exe, version 1.0.0.1, module bloqué

hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

 

Error - 07/03/2009 10:27:13 | Computer Name = USER-751A7B4E9C | Source = Application Hang | ID = 1002

Description = Application bloquée Live 7.0.14.exe, version 1.0.0.1, module bloqué

hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

 

Error - 07/03/2009 13:28:01 | Computer Name = USER-751A7B4E9C | Source = Application Hang | ID = 1002

Description = Application bloquée Live 7.0.14.exe, version 1.0.0.1, module bloqué

hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

 

Error - 10/03/2009 11:26:33 | Computer Name = USER-751A7B4E9C | Source = Application Hang | ID = 1002

Description = Application bloquée Live 7.0.14.exe, version 1.0.0.1, module bloqué

hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

 

Error - 10/03/2009 13:27:10 | Computer Name = USER-751A7B4E9C | Source = Application Hang | ID = 1002

Description = Application bloquée Live 7.0.14.exe, version 1.0.0.1, module bloqué

hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

 

Error - 12/03/2009 04:46:17 | Computer Name = USER-751A7B4E9C | Source = Application Hang | ID = 1002

Description = Application bloquée Live 7.0.14.exe, version 1.0.0.1, module bloqué

hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

 

Error - 13/03/2009 04:47:26 | Computer Name = USER-751A7B4E9C | Source = Application Hang | ID = 1002

Description = Application bloquée Live 7.0.14.exe, version 1.0.0.1, module bloqué

hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

 

Error - 14/03/2009 11:04:21 | Computer Name = USER-751A7B4E9C | Source = Application Hang | ID = 1002

Description = Application bloquée irsetup.exe, version 5.0.1.4, module bloqué hungapp,

version 0.0.0.0, adresse de blocage 0x00000000.

 

Error - 14/03/2009 14:50:58 | Computer Name = USER-751A7B4E9C | Source = EventSystem | ID = 4609

Description = Le système d'événements de COM+ a détecté un code de renvoi erroné

lors de son traitement interne. Le HRESULT est 800706F7 à partir de la ligne 62

de d:\nt\com\complus\src\events\tier1\eventsystemobj.cpp. Contactez les services

du Support Technique Microsoft pour signaler cette erreu

 

[ System Events ]

Error - 14/03/2009 15:16:10 | Computer Name = USER-751A7B4E9C | Source = Application Popup | ID = 1060

Description = Le chargement de \SystemRoot\SysWow64\drivers\pfc.sys a été bloqué

en raison d'une incompatibilité avec cet ordinateur. Contactez l'éditeur de votre

logiciel

pour obtenir une version compatible du pilote.

 

Error - 14/03/2009 15:16:10 | Computer Name = USER-751A7B4E9C | Source = Application Popup | ID = 1060

Description = Le chargement de \SystemRoot\SysWow64\drivers\pfc.sys a été bloqué

en raison d'une incompatibilité avec cet ordinateur. Contactez l'éditeur de votre

logiciel

pour obtenir une version compatible du pilote.

 

Error - 14/03/2009 15:16:35 | Computer Name = USER-751A7B4E9C | Source = Application Popup | ID = 1060

Description = Le chargement de \??\C:\Documents and Settings\Administrator\Application

Data\dr a été bloqué en raison d'une incompatibilité avec cet ordinateur. Contactez

l'éditeur de votre logiciel pour obtenir une version compatible du pilote.

 

Error - 14/03/2009 15:16:35 | Computer Name = USER-751A7B4E9C | Source = Application Popup | ID = 1060

Description = Le chargement de \??\C:\Documents and Settings\Administrator\Application

Data\dr a été bloqué en raison d'une incompatibilité avec cet ordinateur. Contactez

l'éditeur de votre logiciel pour obtenir une version compatible du pilote.

 

Error - 14/03/2009 15:17:33 | Computer Name = USER-751A7B4E9C | Source = Service Control Manager | ID = 7001

Description = Le service Wireless Configuration dépend du service NDIS Usermode

I/O Protocol qui n'a pas pu démarrer en raison de l'erreur : %%1058

 

Error - 16/03/2009 04:04:57 | Computer Name = USER-751A7B4E9C | Source = Application Popup | ID = 1060

Description = Le chargement de \SystemRoot\SysWow64\drivers\pfc.sys a été bloqué

en raison d'une incompatibilité avec cet ordinateur. Contactez l'éditeur de votre

logiciel

pour obtenir une version compatible du pilote.

 

Error - 16/03/2009 04:04:57 | Computer Name = USER-751A7B4E9C | Source = Application Popup | ID = 1060

Description = Le chargement de \SystemRoot\SysWow64\drivers\pfc.sys a été bloqué

en raison d'une incompatibilité avec cet ordinateur. Contactez l'éditeur de votre

logiciel

pour obtenir une version compatible du pilote.

 

Error - 16/03/2009 04:04:57 | Computer Name = USER-751A7B4E9C | Source = Application Popup | ID = 1060

Description = Le chargement de \??\C:\Documents and Settings\Administrator\Application

Data\dr a été bloqué en raison d'une incompatibilité avec cet ordinateur. Contactez

l'éditeur de votre logiciel pour obtenir une version compatible du pilote.

 

Error - 16/03/2009 04:04:57 | Computer Name = USER-751A7B4E9C | Source = Application Popup | ID = 1060

Description = Le chargement de \??\C:\Documents and Settings\Administrator\Application

Data\dr a été bloqué en raison d'une incompatibilité avec cet ordinateur. Contactez

l'éditeur de votre logiciel pour obtenir une version compatible du pilote.

 

Error - 16/03/2009 04:06:16 | Computer Name = USER-751A7B4E9C | Source = Service Control Manager | ID = 7001

Description = Le service Wireless Configuration dépend du service NDIS Usermode

I/O Protocol qui n'a pas pu démarrer en raison de l'erreur : %%1058

 

 

< End of report >

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ces rapports :P

 

J'avais mal lu pour le système 64 (XP et non Vista), mais l'approche sera la même car l'infection réagit différemment sous 64 Bits vs 32 Bits, peu importe le système (XP, Vista ou Seven). Bagle ne s'est que partiellement installé et c'est très bien.

 

J'ai une grosse journée aujourd'hui mais je ne t'oublie pas. Je repasserai dès que possible avec la suite des manipulations. D'ici là, essaie de ne pas connecter la machine à internet sauf pour nécessité absolue, car Bagle installe une porte dérobée et se sert des machines infectées (par contrôle à distance) pour spammer et/ou distribuer des fichiers infectés.

 

À très bientôt..

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...