[Résolu] Processus en double (rapport Hijack

[Le sioux]

Re

 

Pour le fichier il doit être absent, c'est OK.

 

Important : Tant que tu ne seras pas sur d'avoir éradiqué le ver, n'ouvre aucun de tes disques ou périphériques externes en te servant du double clic, sous peine de relancer l'infection.

Fais plutôt un clic droit sur l'icône du DD que tu veux ouvrir et clic sur "Explorer".

 

Télécharge UsbFix de Chiquitine29 sur ton Bureau.

• L'outil peut faire réagir l'antivirus. Dans ce cas, tu ignores les alertes ou tu désactives temporairement ton antivirus.(aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm )
  
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
  
• Double-clique sur UsbFix sur ton Bureau.
  
• Choisis la langue française en tapant F
  
• Choisis l'option 2 / Suppression.
  
• Ton Bureau va disparaitre et ton PC va redémarrer.
  
• Après redémarrage, laisse UsbFix scanner ton PC, ne touche à rien.
  
• Une fois le scan terminé, poste le rapport UsbFix.txt qui va s'ouvrir automatiquement
  

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

 

@ suivre.

[legeant]

Bonjour, voila le rapport USBFIX

Je pense à une chose, mon fils branche sa PSP ou mais sa carte SD, aurait il fallu mettre l'une ou l'autre.

 

 

############################## | UsbFix V6.039 |

 

User : Patron (Administrateurs) # MAISON-NUJIX17N

Update on 08/10/2009 by Chiquitine29, C_XX & Chimay8

Start at: 06:07:52 | 09/10/2009

Website : http://pagesperso-orange.fr/NosTools/index.html

 

Intel® Pentium® 4 CPU 3.00GHz

Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Enabled

AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

 

C:\ -> Disque fixe local # 186,31 Go (122,98 Go free) # NTFS

D:\ -> Disque fixe local # 74,53 Go (37,72 Go free) [sauvegarde] # NTFS

G:\ -> Disque CD-ROM

H:\ -> Disque CD-ROM

I:\ -> Disque amovible

J:\ -> Disque amovible

K:\ -> Disque amovible

L:\ -> Disque amovible

O:\ -> Disque amovible # 3,84 Go (3,17 Go free) [CLE USB 4GO] # FAT32

 

############################## | Processus actifs |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\snmp.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Dit.exe

C:\Program Files\RAM Idle LE\RAM_XP.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\OpenOffice.org 3\program\soffice.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

C:\Program Files\OpenOffice.org 3\program\soffice.bin

C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

################## | Fichiers # Dossiers infectieux |

 

Supprimé ! O:\autorun.inf

Supprimé ! O:\t8s2x.exe

 

################## | Registre # Clés Run infectieuses |

 

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

 

################## | Registre # Mountpoints2 |

 

Supprimé ! HKCU\...\Explorer\MountPoints2\{bfed06f4-0f9b-11dd-bc06-00e04c035621}\Shell\AutoRun\Command

 

################## | Listing des fichiers présent |

 

[20/04/2008 22:33|--a------|0] C:\AUTOEXEC.BAT

[11/07/2008 10:45|--ahs----|216] C:\boot.ini

[24/04/2003 14:00|-rahs----|4952] C:\Bootfont.bin

[24/05/2009 09:48|--a------|14661] C:\ComboFix.txt

[20/04/2008 22:33|--a------|0] C:\CONFIG.SYS

[20/04/2008 22:33|-rahs----|0] C:\IO.SYS

[20/04/2008 22:33|-rahs----|0] C:\MSDOS.SYS

[22/04/2008 21:42|-rahs----|47564] C:\NTDETECT.COM

[19/06/2008 17:13|-rahs----|252240] C:\ntldr

[?|?|?] C:\pagefile.sys

[08/10/2009 21:50|--a------|4863] C:\rapport.txt

[05/07/2008 17:41|---------|87] C:\Setup.log

[24/06/2008 08:59|---h-----|268] C:\sqmdata00.sqm

[24/06/2008 08:59|---h-----|244] C:\sqmnoopt00.sqm

[09/10/2009 06:11|--a------|3584] C:\UsbFix.txt

[19/09/2009 12:49|--a------|2398148] D:\20091909_103316_Patron.nbi

[23/06/2008 22:53|--a------|6144] O:\Resume-1214254422578.pdf

[23/06/2008 22:55|--a------|15346] O:\AR-1214254517968.pdf

[01/07/2008 10:20|---------|193940] O:\DSC00059.JPG

[01/07/2008 10:18|--a------|233647] O:\DSC00055.JPG

[01/07/2008 10:19|--a------|284310] O:\DSC00056.JPG

[01/07/2008 10:19|--a------|295078] O:\DSC00057.JPG

[10/02/2009 12:50|--a------|428640] O:\Setup.exe

[01/07/2008 10:20|--a------|526411] O:\MOV00060.3GP

[13/02/2009 06:32|--a------|13455] O:\Document.rtf

[01/07/2008 10:18|---------|148872] O:\DSC00054.JPG

[10/03/2009 19:06|--a------|565] O:\cmde jeux micromania.rtf

[07/09/2009 09:40|--a------|74799] O:\KALITEXT000005677744.pdf

[11/09/2009 12:25|--a------|8124808] O:\Firefox Setup 3.5.3.exe

[18/04/2009 18:52|--a------|515528] O:\dfsetup102.exe

[14/09/2009 08:38|--a------|152012024] O:\OOo_3.1.1_Win32Intel_install_wJRE_fr.exe

[14/09/2009 08:43|--a------|19266786] O:\OOo_3.1.1_Win32Intel_langpack_fr.exe

[19/06/2009 18:20|--a------|1618] O:\BOOTEX.LOG

[12/03/2009 17:27|--a------|912530] O:\ramidlLE.exe

[15/06/2009 08:49|--a------|439296] O:\Mise a jour HP.doc

[02/07/2009 23:12|--a------|1262020] O:\P1020294.JPG

[02/07/2009 23:12|--a------|1182916] O:\P1020293.JPG

[02/07/2009 23:11|--a------|1617259] O:\P1020292.JPG

[02/07/2009 23:11|--a------|1692821] O:\P1020291.JPG

[02/07/2009 23:10|--a------|1938885] O:\P1020290.JPG

[02/07/2009 23:10|--a------|1785274] O:\P1020289.JPG

[02/07/2009 23:10|--a------|1677759] O:\P1020288.JPG

[02/07/2009 23:10|--a------|1933810] O:\P1020287.JPG

[01/09/2009 17:19|-r-hs----|51712] O:\EQ.exe

[08/11/2008 12:10|--a------|2322336] O:\DSC01179.JPG

[08/11/2008 12:10|--a------|2687565] O:\DSC01180.JPG

[08/11/2008 12:11|--a------|2264300] O:\DSC01181.JPG

[08/11/2008 12:11|--a------|2018074] O:\DSC01182.JPG

[08/11/2008 12:11|--a------|2285398] O:\DSC01183.JPG

[08/11/2008 12:12|--a------|2937377] O:\DSC01184.JPG

[08/11/2008 12:12|--a------|2825080] O:\DSC01185.JPG

[08/11/2008 12:12|--a------|2551576] O:\DSC01186.JPG

[08/11/2008 12:13|--a------|2514595] O:\DSC01187.JPG

[08/11/2008 12:13|--a------|1869703] O:\DSC01188.JPG

[08/11/2008 12:13|--a------|2315996] O:\DSC01189.JPG

[12/11/2008 20:17|--a------|10458] O:\avance Anthony.odt

 

################## | Vaccination |

 

# C:\autorun.inf -> Folder created by UsbFix.

# D:\autorun.inf -> Folder created by UsbFix.

# O:\autorun.inf -> Folder created by UsbFix.

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\DOCUME~1\Patron\Bureau\UsbFix_Upload_Me_MAISON-NUJIX17N.zip : http://forum-aide-contre-virus.be/usbfix/choix_fichier.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # UsbFix V6.039 ! |

[Le sioux]

Bonjour legeant

 

Je pense à une chose, mon fils branche sa PSP ou mais sa carte SD, aurait il fallu mettre l'une ou l'autre.

Cela aurait été souhaitable de mettre les 2 pour être sur.

Cela dit je crois que les PSP et les iPod sont les seuls non touchés par cette sorte d'infection, mais je ne peux l'affirmer.

Tu peux brancher également ces deux supports USB et relancer UsbFix option 2, ajoute en ce cas le rapport généré par l'outil dans ta prochaine réponse.

 

Dans le rapport d'UsbFix je vois dans la partie "Listing des fichiers présents" dans ta clef usb O :

O:\EQ.exe

qui me parait très suspect...

Cependant certains jeux comme Everquest , The Steel Warrior par exemple, utilisent aussi ce nom de set up, si c'était le cas, tu re-téléchargeras ce set up car je l'incorpore au script de suppression pour l'outil que je vais te faire utiliser.

 

et

O:\Setup.exe

pour lequel je préfère vérifier.

 

1) OTM de Old_Timer

• Télécharge OTM de Old_Timer sur ton Bureau.
  
• Laisse ta clef O branchée sur le même port USB.
  
• Double clique sur OTM.exe afin de lancer l'outil.
  
• Copie la liste qui se trouve en citation ci-dessous :
  

:services

jnv4_mib

 

:reg

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Local Page"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{08C06D61-F1F3-4799-86F8-BE1A89362C85}"=""

 

:files

O:\EQ.exe

C:\WINDOWS\system32\tmp.txt

C:\Program Files\F-Secure Internet Security

C:\Documents and Settings\Patron\Application Data\F-Secure

C:\Documents and Settings\All Users\Application Data\f-secure

 

:commands

[emptytemp]

[reboot]

• et colle-la dans le cadre de gauche de OTM : "Paste instructions for item to be moved".
  
• Clique sur le bouton MoveIt!
  
• Attends la fin du travail de l'outil puis ferme OTM.
  

Note: Un redémarrage du PC pourra être nécessaire, clique sur Oui/Yes quand cela te sera demandé.

 

2) VirusTotal

 

Peux tu faire ceci stp : Rends toi sur VirusTotal

• Clique sur "Parcourir" et sélectionne le fichier en gras :
   

  O:\Setup.exe

   
  
• Recherche le fichier à analyser, puis clique ensuite sur " Envoyer le fichier".
  
• Si VirusTotal dit que le fichier a déjà été analysé, clique sur "Ré-analyser le fichier maintenant".
  
• Il faut patienter car tu es sur une file d'attente.
  
• Le rapport ne sera complet que lorsque tu verras la mention "Terminé"sur la droite.
  
• Tuto : http://forum.pcastuces.com/scan_chez_virus_total-f31s15.htm (Merci à Philae)
  
• Note : Il est possible que tu aies besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés".
  Aide toi de B ) ici http://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.
  
• Re-cache les fichiers et dossiers cachés par la suite pour éviter de faire des bêtises
  

--> Poste en réponse :

 

* Le rapport de Virus Total

 

* Le rapport de OTM (contenu du fichier Lecteur\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) [Lecteur représente la partition depuis laquelle OTM a été lancé, généralement C:]

 

* Un nouveau rapport RSIT.

 

@ suivre.

[legeant]

Bonjour Le Sioux

Merci de l'aide que tu apportes sur les forums.

Pour ce qui de la PSP, je ne peux la brancher mon fils ne sait pas ou sont les câbles !!

Je n'irai pas plus loin pour l'instand sur le sujet... les momes

Bon bon, voici le rapport de virustotal

 

Fichier Setup.exe reçu le 2009.10.09 17:57:50 (UTC)

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 0/41 (0%)

en train de charger les informations du serveur...

Votre fichier est dans la file d'attente, en position: 1.

L'heure estimée de démarrage est entre 40 et 57 secondes.

Ne fermez pas la fenêtre avant la fin de l'analyse.

L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.

Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.

Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,

les résultats seront affichés au fur et à mesure de leur génération.

Formaté Formaté

Impression des résultats Impression des résultats

Votre fichier a expiré ou n'existe pas.

Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

 

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.

Email:

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.41 2009.10.09 -

AhnLab-V3 5.0.0.2 2009.10.09 -

AntiVir 7.9.1.35 2009.10.09 -

Antiy-AVL 2.0.3.7 2009.10.09 -

Authentium 5.1.2.4 2009.10.09 -

Avast 4.8.1351.0 2009.10.08 -

AVG 8.5.0.420 2009.10.04 -

BitDefender 7.2 2009.10.09 -

CAT-QuickHeal 10.00 2009.10.09 -

ClamAV 0.94.1 2009.10.09 -

Comodo 2548 2009.10.09 -

DrWeb 5.0.0.12182 2009.10.09 -

eSafe 7.0.17.0 2009.10.08 -

eTrust-Vet 35.1.7059 2009.10.09 -

F-Prot 4.5.1.85 2009.10.09 -

F-Secure 8.0.14470.0 2009.10.09 -

Fortinet 3.120.0.0 2009.10.09 -

GData 19 2009.10.09 -

Ikarus T3.1.1.72.0 2009.10.09 -

Jiangmin 11.0.800 2009.10.08 -

K7AntiVirus 7.10.866 2009.10.09 -

Kaspersky 7.0.0.125 2009.10.09 -

McAfee 5766 2009.10.09 -

McAfee+Artemis 5766 2009.10.09 -

McAfee-GW-Edition 6.8.5 2009.10.09 -

Microsoft 1.5101 2009.10.09 -

NOD32 4494 2009.10.09 -

Norman 6.01.09 2009.10.09 -

nProtect 2009.1.8.0 2009.10.09 -

Panda 10.0.2.2 2009.10.09 -

PCTools 4.4.2.0 2009.10.09 -

Prevx 3.0 2009.10.09 -

Rising 21.50.44.00 2009.10.09 -

Sophos 4.45.0 2009.10.09 -

Sunbelt 3.2.1858.2 2009.10.09 -

Symantec 1.4.4.12 2009.10.09 -

TheHacker 6.5.0.2.033 2009.10.07 -

TrendMicro 8.950.0.1094 2009.10.09 -

VBA32 3.12.10.11 2009.10.09 -

ViRobot 2009.10.9.1978 2009.10.09 -

VirusBuster 4.6.5.0 2009.10.09 -

Information additionnelle

File size: 428640 bytes

MD5...: 9f2e40a7c44c039a0d05239e1228b994

SHA1..: 7e8214c8f64e4494bd1c58d6c30e2a89e4dd21da

SHA256: c1bbb679d6f2150d4192d36a5e83684d97c671515d43e779c156c83d78345970

ssdeep: 12288:KkftKBhtE3vMtv7NyqGe/Pt4jF7n9FJ8zYC7DLhPxoVgH:ZKB3av4v78q7

e7nPJ8EC75SaH

PEiD..: -

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x6b24

timedatestamp.....: 0x4549b114 (Thu Nov 02 08:49:24 2006)

machinetype.......: 0x14c (I386)

 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xa9a0 0xaa00 6.52 9027eddea617e4af17e1c53f3d882826

.data 0xc000 0x2260 0x600 6.60 912fc07307cc0631d195e48f9ad9fb5a

.rsrc 0xf000 0x5b000 0x5a400 7.87 0e4a0eafcd56c7ae6428f357c76411ed

.reloc 0x6a000 0xc48 0xe00 4.83 dcff5be00da2f83ac21b521394e422cc

 

( 7 imports )

> ADVAPI32.dll: FreeSid, AllocateAndInitializeSid, EqualSid, GetTokenInformation, OpenProcessToken, AdjustTokenPrivileges, LookupPrivilegeValueA, RegCloseKey, RegDeleteValueA, RegOpenKeyExA, RegQueryValueExA, RegQueryInfoKeyA, RegSetValueExA, RegCreateKeyExA

> KERNEL32.dll: LocalFree, LocalAlloc, GetLastError, GetCurrentProcess, lstrlenA, _lclose, _llseek, _lopen, WritePrivateProfileStringA, GetWindowsDirectoryA, CreateDirectoryA, GetFileAttributesA, GetModuleFileNameA, GetSystemDirectoryA, RemoveDirectoryA, FindClose, FindNextFileA, DeleteFileA, SetFileAttributesA, lstrcmpA, FindFirstFileA, ExpandEnvironmentStringsA, GlobalFree, GlobalUnlock, GlobalLock, GlobalAlloc, IsDBCSLeadByte, GetShortPathNameA, GetPrivateProfileStringA, GetPrivateProfileIntA, CompareStringA, GetVersion, CloseHandle, FreeResource, LockResource, LoadResource, SizeofResource, FindResourceA, ReadFile, WriteFile, SetFilePointer, SetFileTime, LocalFileTimeToFileTime, DosDateTimeToFileTime, CreateFileA, SetCurrentDirectoryA, GetTempFileNameA, GetVolumeInformationA, FormatMessageA, GetProcAddress, ExitProcess, LoadLibraryExA, GetVersionExA, GetExitCodeProcess, WaitForSingleObject, CreateProcessA, GetTempPathA, GetSystemInfo, CreateMutexA, SetEvent, CreateEventA, CreateThread, ResetEvent, TerminateThread, GetDriveTypeA, GetModuleHandleW, LoadLibraryA, FreeLibrary, InterlockedExchange, Sleep, InterlockedCompareExchange, GetStartupInfoA, RtlUnwind, SetUnhandledExceptionFilter, GetModuleHandleA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, EnumResourceLanguagesA, MulDiv, GetDiskFreeSpaceA, GetCurrentDirectoryA

> GDI32.dll: GetDeviceCaps

> USER32.dll: SendDlgItemMessageA, GetDlgItem, SetForegroundWindow, SetWindowTextA, MessageBoxA, DialogBoxIndirectParamA, ShowWindow, EnableWindow, GetDlgItemTextA, GetDC, ReleaseDC, SetWindowPos, SendMessageA, PeekMessageA, MsgWaitForMultipleObjects, DispatchMessageA, CallWindowProcA, GetWindowLongA, SetWindowLongA, CharPrevA, CharUpperA, CharNextA, ExitWindowsEx, EndDialog, GetDesktopWindow, LoadStringA, SetDlgItemTextA, MessageBeep, GetWindowRect, GetSystemMetrics

> msvcrt.dll: _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _terminate@@YAXXZ, _controlfp, __setusermatherr, _ismbblead, _XcptFilter, _amsg_exit, _initterm, _acmdln, _exit, _cexit, __getmainargs, memcpy, memset, _vsnprintf, exit

> COMCTL32.dll: -

> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

 

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

packers (F-Prot): CAB

sigcheck:

publisher....: Microsoft Corporation

copyright....: © Microsoft Corporation. All rights reserved.

product......: Microsoft_ Windows_ Operating System

description..: Win32 Cabinet Self-Extractor

original name: WEXTRACT.EXE

internal name: Wextract

file version.: 6.0.6000.16386 (vista_rtm.061101-2205)

comments.....: n/a

signers......: Microsoft Corporation

Microsoft Code Signing PCA

Microsoft Root Authority

signing date.: 4:27 AM 1/31/2008

verified.....: -

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

 

Maintenant OTM

 

All processes killed

========== SERVICES/DRIVERS ==========

 

Service\Driver jnv4_mib deleted successfully.

========== REGISTRY ==========

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\Local Page not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\Local Page not found.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\\"{08C06D61-F1F3-4799-86F8-BE1A89362C85}"|"" /E : value set successfully!

========== FILES ==========

O:\EQ.exe moved successfully.

C:\WINDOWS\system32\tmp.txt moved successfully.

C:\Program Files\F-Secure Internet Security\Common\custom moved successfully.

C:\Program Files\F-Secure Internet Security\Common moved successfully.

C:\Program Files\F-Secure Internet Security\Anti-Virus moved successfully.

C:\Program Files\F-Secure Internet Security moved successfully.

C:\Documents and Settings\Patron\Application Data\F-Secure\Spam Control moved successfully.

C:\Documents and Settings\Patron\Application Data\F-Secure moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\setup moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\logs\ORSP Client moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\logs\FSMA moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\logs\FSFW moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\logs\DAAS2 moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\logs\custom moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\logs moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\Daas2\revocation moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\Daas2\keys moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\Daas2\crl moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\Daas2\cert moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\Daas2\acl moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure\Daas2 moved successfully.

C:\Documents and Settings\All Users\Application Data\f-secure moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: All Users

 

User: Anthony

->Temp folder emptied: 14625963 bytes

->Temporary Internet Files folder emptied: 2919799 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 72169737 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: François

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

->FireFox cache emptied: 9760289 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 67 bytes

 

User: Patron

->Temp folder emptied: 363 bytes

->Temporary Internet Files folder emptied: 5660047 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 97779007 bytes

 

%systemdrive% .tmp files removed: 0 bytes

C:\WINDOWS\msdownld.tmp folder deleted successfully.

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

Windows Temp folder emptied: 49152 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 193,59 mb

 

 

OTM by OldTimer - Version 3.0.0.6 log created on 10092009_194625

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

 

 

Et enfin le RSIT

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by Patron at 2009-10-09 20:11:30

Microsoft Windows XP Édition familiale Service Pack 3

System drive C: has 126 GB (66%) free of 191 GB

Total RAM: 1535 MB (77% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:11:58, on 09/10/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\snmp.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Dit.exe

C:\Program Files\RAM Idle LE\RAM_XP.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\OpenOffice.org 3\program\soffice.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

C:\Program Files\OpenOffice.org 3\program\soffice.bin

C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Patron\Bureau\RSIT.exe

C:\Program Files\Trend Micro\HijackThis\Patron.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.windows.fr/ie8/bienvenue

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [RAM Idle Professional] C:\Program Files\RAM Idle LE\RAM_XP.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe

O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe

O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/fichier...ion_3_0_1_0.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7F92FD6E-C789-4033-ABB1-F4FAEC43AB80}: NameServer = 86.64.145.140 84.103.237.140

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

 

--

End of file - 7302 bytes

 

======Scheduled tasks folder======

 

C:\WINDOWS\tasks\User_Feed_Synchronization-{B8F8BE9C-6195-4467-A9D1-6DAA494C8E33}.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-09-14 41760]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-09-14 73728]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}]

EpsonToolBandKicker Class - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2004-02-10 339968]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{EE5D279F-081B-4404-994D-C6B60AAEBA6D} - EPSON Web-To-Page - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2004-02-10 339968]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Dit"=C:\WINDOWS\Dit.exe [2003-12-29 94208]

"StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2008-08-29 61440]

"RAM Idle Professional"=C:\Program Files\RAM Idle LE\RAM_XP.exe [2006-01-17 135168]

"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-09-14 149280]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

"NBJ"=C:\Program Files\Ahead\Nero BackItUp\NBJ.exe [2006-09-15 2048000]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe [2005-06-23 57344]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]

C:\Program Files\Ahead\InCD\InCD.exe [2006-03-23 1398272]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

C:\Program Files\Ahead\Nero BackItUp\NBJ.exe [2006-09-15 2048000]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nero DriveSpeed]

C:\PROGRA~1\Ahead\NEROTO~1\DRIVES~1.EXE [2005-10-31 602112]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

C:\WINDOWS\system32\NeroCheck.exe [2006-01-12 155648]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ORAHSSSessionManager]

[]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]

C:\Program Files\Home Cinema\PowerCinema\PCMService.exe [2004-02-19 61440]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystrayORAHSS]

[]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Search.lnk]

C:\PROGRA~1\WI459E~1\WINDOW~1.EXE [2008-05-26 123904]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WLSetupSvc"=3

"InCDsrv"=2

"FTRTSVC"=2

 

C:\Documents and Settings\Patron\Menu Démarrer\Programmes\Démarrage

OpenOffice.org 3.1.lnk - C:\Program Files\OpenOffice.org 3\program\quickstart.exe

RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

TransBar.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe

UberIcon.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

Y'z Shadow.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

Yahoo! Widgets.lnk - C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]

C:\WINDOWS\system32\Ati2evxx.dll [2009-01-14 155648]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"=C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2009-05-24 304128]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=255

"NoDriveAutoRun"=FFFFFFFF

"HonorAutoRunSetting"=1

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"HonorAutoRunSetting"=

"NoDriveAutoRun"=

"NoDriveTypeAutoRun"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\WINDOWS\system32\mmc.exe"="C:\WINDOWS\system32\mmc.exe:*:Enabled:Microsoft Management Console"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\Program Files\Freeciv-2.1.3-gtk2\civserver.exe"="C:\Program Files\Freeciv-2.1.3-gtk2\civserver.exe:*:Disabled:civserver"

"C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\Photoshop Album Starter Edition.exe"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\Photoshop Album Starter Edition.exe:*:Disabled:Adobe Photoshop Album Edition Découverte 3.0"

"C:\Program Files\Sony\Media Manager for PSP\MediaManager.exe"="C:\Program Files\Sony\Media Manager for PSP\MediaManager.exe:*:Enabled:Media Manager for PSP 3.0"

"C:\Program Files\ENJOY Plus!\ENJOY Plus!.exe"="C:\Program Files\ENJOY Plus!\ENJOY Plus!.exe:*:Disabled:ENJOY Plus!"

"C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:Enabled:Microsoft Fax Console"

"C:\Program Files\Sierra Entertainment\Empire Earth III\EE3.exe"="C:\Program Files\Sierra Entertainment\Empire Earth III\EE3.exe:*:Disabled:Empire Earth III"

"C:\Program Files\Steam\SteamApps\oximor\counter-strike source\hl2.exe"="C:\Program Files\Steam\SteamApps\oximor\counter-strike source\hl2.exe:*:Disabled:hl2"

"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Disabled:Windows Live Messenger (Phone)"

"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009\WNt500x86\RpcSandraSrv.exe"="C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

======List of files/folders created in the last 1 months======

 

2009-10-09 19:46:25 ----D---- C:\_OTM

2009-10-09 06:11:07 ----RASHD---- C:\autorun.inf

2009-10-08 23:34:29 ----A---- C:\UsbFix.txt

2009-10-08 23:33:53 ----D---- C:\UsbFix

2009-10-08 19:26:55 ----D---- C:\rsit

2009-10-07 19:15:28 ----D---- C:\Documents and Settings\All Users\Application Data\fssg

2009-09-30 23:34:01 ----D---- C:\WINDOWS\ERUNT

2009-09-30 22:53:25 ----D---- C:\Program Files\ToniArts

2009-09-30 20:45:48 ----D---- C:\Program Files\Trend Micro

2009-09-30 20:05:50 ----A---- C:\rapport.txt

2009-09-27 13:49:52 ----A---- C:\WINDOWS\SchedLgU.Txt

2009-09-26 17:51:55 ----A---- C:\WINDOWS\system32\tempBatFile.bat

2009-09-20 11:50:54 ----D---- C:\Documents and Settings\Patron\Application Data\OpenOffice.org

2009-09-14 18:40:44 ----D---- C:\Program Files\JRE

2009-09-14 18:40:08 ----D---- C:\Program Files\OpenOffice.org 3

2009-09-14 18:37:56 ----SHD---- C:\Config.Msi

2009-09-14 18:35:25 ----A---- C:\WINDOWS\system32\javaws.exe

2009-09-14 18:35:25 ----A---- C:\WINDOWS\system32\javaw.exe

2009-09-14 18:35:25 ----A---- C:\WINDOWS\system32\java.exe

2009-09-14 18:35:25 ----A---- C:\WINDOWS\system32\deploytk.dll

 

======List of files/folders modified in the last 1 months======

 

2009-10-09 20:11:36 ----D---- C:\WINDOWS\Prefetch

2009-10-09 20:10:57 ----A---- C:\WINDOWS\ModemLog_Creatix V.9X DSP Data Fax Modem.txt

2009-10-09 19:51:37 ----D---- C:\Program Files\Mozilla Firefox

2009-10-09 19:50:24 ----D---- C:\WINDOWS\Temp

2009-10-09 19:50:00 ----D---- C:\WINDOWS\system32\CatRoot2

2009-10-09 19:47:21 ----D---- C:\WINDOWS

2009-10-09 19:46:34 ----RD---- C:\Program Files

2009-10-09 19:46:31 ----D---- C:\WINDOWS\system32

2009-10-09 08:57:43 ----SHD---- C:\RECYCLER

2009-10-08 19:01:51 ----D---- C:\WINDOWS\system32\drivers

2009-10-08 18:35:37 ----HD---- C:\Program Files\InstallShield Installation Information

2009-10-08 18:35:35 ----D---- C:\Program Files\epson

2009-10-07 19:18:09 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI

2009-09-30 23:35:22 ----RSHDC---- C:\WINDOWS\system32\dllcache

2009-09-30 22:58:28 ----SHD---- C:\WINDOWS\Installer

2009-09-30 22:58:28 ----D---- C:\WINDOWS\system32\config

2009-09-30 22:58:28 ----D---- C:\WINDOWS\security

2009-09-27 11:17:43 ----D---- C:\WINDOWS\system32\LogFiles

2009-09-23 05:39:25 ----HD---- C:\WINDOWS\inf

2009-09-19 10:00:33 ----D---- C:\WINDOWS\Debug

2009-09-14 18:42:08 ----RSD---- C:\WINDOWS\assembly

2009-09-14 18:40:58 ----RSD---- C:\WINDOWS\Fonts

2009-09-14 18:39:06 ----D---- C:\Program Files\OpenOffice.org 2.3

2009-09-14 18:34:59 ----D---- C:\Program Files\Java

2009-09-13 16:54:50 ----AC---- C:\WINDOWS\NeroDigital.ini

2009-09-13 12:38:20 ----D---- C:\Documents and Settings\Patron\Application Data\OpenOffice.org2

2009-09-13 08:32:18 ----D---- C:\Program Files\Microsoft Silverlight

2009-09-12 08:23:37 ----D---- C:\WINDOWS\ie8updates

2009-09-12 08:23:33 ----HD---- C:\WINDOWS\$hf_mig$

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys []

R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]

R1 InCDPass;InCDPass; C:\WINDOWS\System32\DRIVERS\InCDPass.sys [2006-03-23 29440]

R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\incdrm.sys [2006-03-23 33536]

R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40576]

R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2008-04-14 14720]

R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-07-16 28520]

R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-20 55656]

R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800]

R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2009-01-14 3455488]

R3 Cap7134;MEDION (7134) WDM Video Capture; C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 350752]

R3 CardReaderFilter;Card Reader Filter; \??\C:\WINDOWS\system32\Drivers\USBCRFT.SYS []

R3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys [2006-06-09 1373120]

R3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-13 10368]

R3 Intels51;Creatix V.9X DSP Data Fax Modem; C:\WINDOWS\System32\DRIVERS\ctxs51.sys [2003-05-22 670203]

R3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2003-04-24 12288]

R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824]

R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2003-12-05 10368]

R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3; C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 24704]

R3 PRISM_A00;PRISM 802.11g Driver; C:\WINDOWS\System32\DRIVERS\PRISMA00.sys [2004-01-16 380736]

R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-13 32128]

R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208]

R3 usbhub;Concentrateur USB2; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]

R3 usbstor;Pilote de stockage de masse USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-13 20608]

R3 wbscr;Winbond Smartcard Reader for I/O; C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 19928]

R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792]

R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDfs.sys [2006-03-23 102016]

S3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS []

S3 catchme;catchme; \??\C:\DOCUME~1\Patron\LOCALS~1\Temp\catchme.sys []

S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]

S3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service; C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2007-07-05 42496]

S3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service; C:\WINDOWS\System32\DRIVERS\fetnd5b.sys [2002-10-29 40960]

S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]

S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]

S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]

S3 PCAMPR5;PCAMPR5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\PCAMPR5.SYS []

S3 PCANDIS5;PCANDIS5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []

S3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2008-02-25 105088]

S3 rtl8139;Pilote NT de carte Realtek PCI Fast Ethernet à base RTL8139(A/B/C); C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992]

S3 SANDRA;SANDRA; C:\WINDOWS\system32\drivers\SANDRA.sys []

S3 se57bus;Sony Ericsson Device 087 driver (WDM); C:\WINDOWS\system32\DRIVERS\se57bus.sys [2006-11-30 61536]

S3 se57mdfl;Sony Ericsson Device 087 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\se57mdfl.sys [2006-11-30 9360]

S3 se57mdm;Sony Ericsson Device 087 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\se57mdm.sys [2006-11-30 97088]

S3 se57mgmt;Sony Ericsson Device 087 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\se57mgmt.sys [2006-11-30 88624]

S3 se57nd5;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (NDIS); C:\WINDOWS\system32\DRIVERS\se57nd5.sys [2006-11-30 18704]

S3 se57obex;Sony Ericsson Device 087 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\se57obex.sys [2006-11-30 86432]

S3 se57unic;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (WDM); C:\WINDOWS\system32\DRIVERS\se57unic.sys [2006-11-30 90800]

S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]

S3 SRS_SSCFilter;SRS Labs Audio Sandbox (WDM); C:\WINDOWS\system32\drivers\srs_sscfilter_i386.sys [2007-07-26 39808]

S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]

S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]

S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]

S3 WINFLASH;WINFLASH; \??\H:\Tools\WinFlash\WinFlash.sys []

S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]

S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]

S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-07-16 108289]

R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-20 185089]

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2009-01-14 598016]

R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-09-14 153376]

R2 SNMP;Service SNMP; C:\WINDOWS\System32\snmp.exe [2008-04-14 33280]

R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]

S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2009-01-13 593920]

S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800]

S3 aspnet_state;Service d'état ASP.NET; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]

S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]

S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]

S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]

S3 SNMPTRAP;Service d'interruption SNMP; C:\WINDOWS\System32\snmptrap.exe [2008-04-14 8704]

S3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]

S3 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]

S3 WSearch;Windows Search; C:\WINDOWS\system32\SearchIndexer.exe [2008-05-26 439808]

S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

S4 InCDsrv;InCD Helper; C:\Program Files\Ahead\InCD\InCDsrv.exe [2006-03-23 880128]

S4 NetTcpPortSharing;Service de partage de ports Net.Tcp; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

S4 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

 

-----------------EOF-----------------

[Le sioux]

Bonsoir legeant

 

OK, bien joué.

 

Pour tes soucis que tu décris en début de sujet:

 

J'ai trouvé le processus SVCHOST64.EXE que je crois avoir détruit, je l'ai fait manuellement.

Mais je m'aperçois que j'ai des processus en double dont

ati2evxx.exe

et

yahoowidgets.exe

aussi celui la mais avec un suffixe différent

soffice.bin

soffice.exe

Pas de trace visible de SVCHOST64.EXE dans les rapports.

Processus ati --> carte graphique ATI

Processus soffice --> Open Office , tu peux une fois OpenOffice lancé, faire un clic droit sur son icône dans la barre des tâches en bas à droite et cliquer sur "Quitter le démarrage rapide".

Pour yahoowidgets.exe , je le vois en effet en double, mais cela ne m'inquiètes pas.

 

Je vais regarder le rapport RSIT de plus prêt.

 

En attendant fais cela stp :

 

Désinstallation d'USBFix :

• Double-clique sur le raccourci UsbFix présent sur ton bureau
  
• Au menu principal choisis l'option " F " pour français et tape sur [Entrée] .
  
• Au second menu Choisis l'option " 5 " ( Désinstaller ) et tape sur [Entrée]
  
• Fais redémarrer ton PC puis supprime le dossier en gras C:\UsbFix
  

On va faire une ptite manip standart MBAM et CCLeaner.

Ne re-télécharge pas MBAM, mets le simplement à jour.

 

1) Télécharge et installe

 

-- CCleaner

http://www.ccleaner.com/download/builds.aspx

Choisis de préférence la version SLIM-No Toolbar.

Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.

Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".

Pour les autres paramètres, laisse-le avec ses réglages par défaut.

 

-- Malwarebyte's Anti-Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tuto : http://forum.pcastuces.com/malwarebytes_an...oriel-f31s3.htm

A la fin de l'installation, veille à ce que l'option « Mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK.

S'il ne s'est pas lancé tout seul, double-clique sur l'icône de Malwarebyte's Anti-Malware sur ton Bureau.

Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK

Laisse les Mises à jour se télécharger.

 

2) Scan avec Malwarebyte's Anti-Malware

 

(Relance Malwarebyte’s Anti-Malware si celui-ci s’est refermé )

Onglet "Recherche" >>> coche Exécuter un examen rapide >>> puis clique sur Lancer l’examen.

A la fin du scan >>> clique sur Afficher les résultats

Suppression des éléments détectés >>>> clique sur Supprimer la sélection ou supprimer tout

S'il t'es demandé de redémarrer >>> clique sur "Yes"

--> Un rapport de scan s'ouvre, enregistre sur ton Bureau.

Puis ferme Malwarebyte's Anti-Malware

 

3) Suppression de fichiers inutiles avec CCleaner

 

Lance CCleaner en double-cliquant sur son raccourci sur ton Bureau.

Puis dans le menu Nettoyeur

Clique sur Analyse (laisse travailler cela peut durer longtemps la 1ere fois)

Clique sur le bouton Nettoyer .

Clique une seconde fois sur le bouton Nettoyer puis ferme CCleaner.

 

4) Rapports

 

Poste en réponse le rapport de Malwarebyte's Anti-Malware que tu as sauvegardé sur ton Bureau.

 

Dis moi aussi comment se porte le PC ?

 

@ suivre.

[legeant]

Bonjour Le Sioux

Pendant que je charge Malwarebyte's, j'ai le temps de la réflexion, ha le bonheur du bas débit c'est que tu réfléchis.

- Pour ce qui est de "Pas de trace visible de SVCHOST64.EXE" il n'apparaissait que sur les sessions invités et celle ci bien sur non pas les droits d'administrateur jamais sur la session que j'ai appelé "patron".

- pour le processus ATI quand on ouvre une session admin ou invité l'impression est que une fois les principaux processus en route l'écran se fige un instant très court. voir noirci, pendant quelque seconde on ne peut rien faire. J'avais aussi dans l'idée que yahoowinget faisait la même puisse que faisant parti de l'habillage faux vista.

Le fond de ma pensé était qu'il y avait un souci depuis un upgrade vers Catalyst pour la carte, car, pour moi il y a donc ATI 2 fois plus CCC.exe

Bon sur ce, j'attends la fin du téléchargement et je fais ta procédure.

@ plus.

[Le sioux]

Bonjour legeant

 

* Pour :

- Pour ce qui est de "Pas de trace visible de SVCHOST64.EXE" il n'apparaissait que sur les sessions invités et celle ci bien sur non pas les droits d'administrateur jamais sur la session que j'ai appelé "patron".

- pour le processus ATI quand on ouvre une session admin ou invité

/!\ Je t'arrêtes tout de suite, attention, tu me parles de session invité ou limité ? /!\

 

/!\Il ne faut pas utiliser la session invité, c'est dangereux. /!\

 

Utilise ta Session administrateur (on pourra reparler de ses dangers si tu le souhaites) ou limité mais pas le compte invité.

 

Pour bloquer Le compte invité on peut utiliser ZebProtect :

(Application ne nécessitant pas d'installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto http://www.zebulon.fr/articles/zebprotect.php

 

* Pour :

Le fond de ma pensé était qu'il y avait un souci depuis un upgrade vers Catalyst pour la carte, car, pour moi il y a donc ATI 2 fois plus CCC.exe

En fin de sujet, tu pourras aller faire un tour chez Tous les drivers, installer le pluging et lancer une détection afin de voir si c'est possible de faire une mise à jour qui règlerait ce problème.

Mais : /!\ Attention, tout d'abord, on en finit ensemble et on purge la restauration pour l'assainir afin de créer un point de restauration clean avant de tenter des expériences avec tes drivers, cela te permettra de revenir sur ce point de restauration en cas de soucis. Si on utilisait la restauration maintenant on annulerait toute une partie de notre travail fait ensemble jusqu'ici/!\

 

* Pour :

J'avais aussi dans l'idée que yahoowinget faisait la même puisse que faisant parti de l'habillage faux vista.

Je ne connais pas yahoowinget mais attention avec les logiciels de "relooking XP", ils peuvent provoquer des instabilités et/ou bugs

 

J'attends ton rapport de MBAM.

 

@ plus.

Modifié le 10 octobre 2009 par Le sioux

[legeant]

Bonjour Le Sioux

Pour : Je t'arrêtes tout de suite, attention, tu me parles de session invité ou limité ?

J'ai deux sessions en invité qui sont limités, pas de droit d'installation de logiciel par exemple, l'admin c'est ma session Patron.

Aussi, pendant la mise à jour de MBAM l'antivirus a réagit, voila le rapport et la je fais un scan au cas ou...

Dans le fichier 'C:\System Volume Information\_restore{6523859A-2529-40DF-8127-496B0C73D7FC}\RP260\A0094504.exe'

un virus ou un programme indésirable 'SPR/Tool.Reboot.F' [riskware] a été détecté.

Action exécutée : Refuser l'accès

 

Aussi le rapport de MBAM

@ plus.

 

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2935

Windows 5.1.2600 Service Pack 3

 

10/10/2009 10:13:44

mbam-log-2009-10-10 (10-13-43).txt

 

Type de recherche: Examen rapide

Eléments examinés: 117365

Temps écoulé: 7 minute(s), 17 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[legeant]

Pour le reste, je suis à la lettre tes directives, manquerait plus que je te fasse perdre le temps que tu m'accordes, et je travaille bel et bien depuis nos échanges en administrateur, ma session Patron.

[Le sioux]

Re hello

 

Pour le reste, je suis à la lettre tes directives, manquerait plus que je te fasse perdre le temps que tu m'accordes, et je travaille bel et bien depuis nos échanges en administrateur, ma session Patron.

Cool

 

Pour : Je t'arrêtes tout de suite, attention, tu me parles de session invité ou limité ?

J'ai deux sessions en invité qui sont limités, pas de droit d'installation de logiciel par exemple, l'admin c'est ma session Patron.

****** Attention invité, limité ne pas confondre ! *****

Comme dit plus haut, il na faut pas utiliser le compte invite.

Tu peux utiliser un ou plusieurs comptes limitées et ton compte administrateur

 

Aussi, pendant la mise à jour de MBAM l'antivirus a réagit, voila le rapport et la je fais un scan au cas ou...

Dans le fichier 'C:\System Volume Information\_restore{6523859A-2529-40DF-8127-496B0C73D7FC}\RP260\A0094504.exe'

un virus ou un programme indésirable 'SPR/Tool.Reboot.F' [riskware] a été détecté.

Action exécutée : Refuser l'accès

Cela se trouve dans la restauration, tu aurais du répondre à Antivir : "Mettre en quarantaine" ou "Supprimer".

 

* Pour Ccleaner :

• Tu peux le garder et l'utiliser fonction "Nettoyeur" sans modération , re-coche seulement dans avancés "Ne pas effacer fichiers...48h"
  
• Un petit complément d’info sur celui-ci :http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
  
• Attention toutefois à l'utilisation de la fonction Erreur , sauvegarder les changements faits dans le Registre par sécurité.
  

* Pour Malwarebytes' Anti-Malware:

• C'est un bon scan anti malware que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .
  
• Tuto Malwarebyte's Anti-Malware: http://forum.pcastuces.com/malwarebytes_an...oriel-f31s3.htm
  
• Regarde ce test de Malekal_Morte http://forum.malekal.com/viewtopic.php?f=45&t=8765.
  
• Il faut penser à Vider la quarantaine de MalwareByte's Anti-Malware :
  
• Double-clique sur le raccourci de MalwareByte's Anti-Malware présent sur ton Bureau afin de le lancer, puis
  
• Clique sur "Quarantaine", clique sur "Supprimer", puis ferme MalwareByte's Anti-Malware.
  

Plutôt qu'un scan en ligne, comme tu me dis avoir une connexion de "campagne" on va faire une vérification avec Antivir :

 

1) Mets à jours et vérifie la configuration d'Antivir

• Double-clique sur Antivir dans ta barre des tâches, puis "Démarrer la mise à jour"
  
• Vérifie qu'il soit paramètre comme indiqué ici :
  http://forum.pcastuces.com/configuration_a...free-f31s44.htm ( en vidéo ici http://tutoriels-video.zebulon.fr/38-confi...-d-antivir.html )
  

2) Scan Antivirus et nettoyage avec Avira Antivir

• Lance Avira Antivir en faisant un double-clic sur le raccourci d’Antivir sur ton Bureau (ou via clic droit sur Antivir dans ta barre des tâches puis « Démarrer Antivir ») ou encore via Démarrer /Tous les programmes /Antivir Personnal Edition Classique / puis « Démarrer Antivir » )
  
• Clique sur Protection Locale (colonne à gauche) puis dans « Controler » vérifie à Recherche de RootKits et Sélection manuelle(en développant avec la petite croix devant chacun d'eux) que tous tes disques durs soient bien cochés, puis clique sur la loupe ("Démarrer la recherche avec le profil choisi" en dessous de statut)
  
• Une fenêtre va s’ouvrir « Luke Filewalker » .. le scan va démarrer.
  
• Mets tout ce qu'il trouve en "Quarantaine" Tu peux automatiser ce type d'action en cochant une case, comme ci dessous :
   
  
   
  
• Une fois le scan achevé, s'il a trouvé quelque chose, clique sur "Réparer", puis sur "Rapport", sauvegarde celui-ci sur ton Bureau afin de le retrouver facilement et ferme les deux fenêtres d'Antivir.
  

--> Poster par la suite le rapport d'Antivir (que tu as sauvegardé sur ton Bureau).

 

@ suivre

Modifié le 10 octobre 2009 par Le sioux