présence du malware wmpscfgs.exe

[Bacter]

Bonsoir,

Me voilà bien ennuyé avec cet exe (wmpscfgs.exe) qui s'ouvre tout seul.

Il semble (au moins) vouloir s'exécuter à partir d'Internet Explorer...

Après avoir fait passer "Malwarebytes' Anti-Malware" mis à jour, voilà mon rapport HijackThis :

=========================================

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:39:42, on 24/01/2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18882)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe

C:\Windows\System32\rundll32.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Spybot - Search & Destroy\teatimer.exe

C:\Windows\System32\rundll32.exe

C:\Windows\ehome\ehmsas.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\explorer.exe

C:\Users\Alain\Roaming\Downloads\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\PROGRA~1\E-BOOK~1\FLIPVI~1\fvbho140.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: geneanetx - {81CAB1B5-6895-4DD4-84C5-DDA7311277FF} - C:\Program Files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\geneabarre-fr-ie.dll

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: GeneaBarre, la barre d'outils de GeneaNet - {486E390A-7713-433F-A882-8B52263E595A} - C:\Program Files\GeneaBarre\GeneaBarre, la barre d'outils de GeneaNet\geneabarre-fr-ie.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask .exe" -atboottime

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe

O4 - HKLM\..\Run: [service Scheduler2 Acronis] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [FileHippo.com] "C:\Program Files\filehippo.com\UpdateChecker.exe" /background

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe

O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O13 - Gopher Prefix:

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: app_dll.dll

O23 - Service: Service Scheduler2 Acronis (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apache2.2 - Apache Software Foundation - C:\Site local\xampp\apache\bin\apache.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe

O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

 

--

End of file - 10065 bytes

==========================================================================

Par avance, merci pour votre aide (un dimanche soir en plus !)

Bacter

[Apollo]

Bonsoir,

 

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Teatimer dans la barre de tâches!

Ne fais pas l'impasse sur cette étape, car ça peut faire échouer la procédure de désinfection !

 

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

Ou ici: http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous Vista: Désactiver provisoirement l'UAC comme expliqué ICI

 

Double-clique (Clic droit/exécuter comme administrateur pour Vista) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

TUTO: http://pagesperso-orange.fr/NosTools/tuto_adr_3.html

 

Tape S (Scanner) Valide par la touche Enter.

 

 

Appuyer sur n'importe quelle touche lorsque cela sera demandé et le rapport apparaitra.

 

Le rapport se trouve aussi sous C:\Ad-Report.

Copie/colle-le dans ta réponse stp.

 

-----------------------------------------------------------------------------------------------

 

2) Double-clique (Clic droit/exécuter comme administrateur pour Vista) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

TUTO: http://pagesperso-orange.fr/NosTools/tuto_adr_3.html

 

Tape L (Nettoyer) Valide par la touche Enter.

 

Le bureau va disparaitre, c'est normal!

 

Appuyer sur n'importe quelle touche lorsque cela sera demandé et le rapport apparaitra.

 

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

 

Réactiver l'UAC de Vista. (Si Vista bien sûr!).

 

La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.

 

NB: Désinstalle Ad-Remover en le lançant puis en tapant D , et valider par la touche Enter.

 

 

------------------------------------------------

 

3) Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Poste également un nouveau log Hijackthis stp.

 

Ca fera donc 4 rapports stp.

 

@++

[Bacter]

Bonsoir Apollo et merci pour ton aide.

 

C'est parti pour le scan avec AD-REMOVER...

Dès que j'ai du nouveau, j'envoie mes 4 rapports.

 

@+++ Bacter

[Bacter]

Bonjour Apollo,

Voilà mes rapports :

 

1) après le scan AD-REMOVER=====================

======= RAPPORT D'AD-REMOVER 1.1.4.6_I | UNIQUEMENT XP/VISTA/7 =======

.

Mis à jour par C_XX le 24.01.2010 à 14:33

Contact: AdRemover.contact@gmail.com

Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

.

Lancé à: 22:38:10, 24/01/2010 | Mode Normal | Option: SCAN

Exécuté de: C:\Ad-Remover\

Système d'exploitation: Microsoft® Windows Vista™ HomePremium Service Pack 2 v6.0.6002

Nom du PC: PC-DE-ALAIN | Utilisateur actuel: Alain

.

============== ÉLÉMENT(S) TROUVÉ(S) ==============

.

Service: *RelevantKnowledge*

 

C:\Users\Alain\AppData\Roaming\Mozilla\FireFox\Profiles\99v4fmt6.default\extensions\{486E390A-7713-433F-A882-8B52263E595A}

C:\Program Files\AskBarDis

C:\Program Files\GeneaBarre

C:\Users\Alain\AppData\Local\koyaqgq.bat

C:\Users\Alain\AppData\Local\koyaqgq.dat

.

HKCU\software\appdatalow\AskBarDis

HKLM\software\classes\AskIBar.PopSwatterBarButton

HKLM\software\classes\AskIBar.PopSwatterBarButton.1

HKLM\software\classes\AskIBar.PopSwatterSettingsControl

HKLM\software\classes\AskIBar.PopSwatterSettingsControl.1

HKLM\software\classes\AskToolBar.SettingsPlugin

HKLM\software\classes\AskToolBar.SettingsPlugin.1

HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}

HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}

HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}

HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}

HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}

HKLM\Software\Classes\CLSID\{486E390A-7713-433F-A882-8B52263E595A}

HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}

HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}

HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}

HKLM\Software\Classes\CLSID\{81CAB1B5-6895-4DD4-84C5-DDA7311277FF}

HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}

HKLM\software\classes\ComObject.DeskbarEnabler

HKLM\software\classes\ComObject.DeskbarEnabler.1

HKLM\software\classes\geneanetx.IEToolbar

HKLM\software\classes\geneanetx.IEToolbar.1

HKLM\software\classes\Toolbar3.geneanetx

HKLM\software\classes\Toolbar3.geneanetx.1

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{81CAB1B5-6895-4DD4-84C5-DDA7311277FF}

HKLM\software\microsoft\windows\currentversion\uninstall\Ask Toolbar_is1

HKU\s-1-5-21-3204508973-2915221486-491596837-1000\software\appdatalow\AskBarDis

.

============== Scan additionnel ==============

.

.

* Mozilla FireFox Version 3.5.7 [fr] *

.

Nom du profil: 99v4fmt6.default (Alain)

.

(Alain, prefs.js) Browser.download.dir, C:\Users\Alain\Downloads

(Alain, prefs.js) Browser.download.lastDir, C:\Users\Alain\Documents

(Alain, prefs.js) Browser.search.defaultenginename, Yahoo

(Alain, prefs.js) Browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch

(Alain, prefs.js) Browser.search.selectedEngine, Google

(Alain, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/

(Alain, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12,{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14,{20a82645-c095-46ed-80e3-08825760534b}:0.0.0,{ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0,{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}:6.0.18,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7

(Alain, prefs.js) Keyword.URL, hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=

.

.

(Alain, prefs.js) Browser.download.dir, C:\Users\Alain\Downloads

(Alain, prefs.js) Browser.download.lastDir, D:\ENDNOTE\EndNote X3

(Alain, prefs.js) Browser.search.defaultenginename, Search the web

(Alain, prefs.js) Browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch

(Alain, prefs.js) Browser.search.selectedEngine, Search the web

(Alain, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/

(Alain, prefs.js) Extensions.enabledItems, {1018e4d6-728f-4b20-ad56-37578a4de76b}:3.3.14,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12,{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0,SkipScreen@SkipScreen:0.1.07012009,{B13721C7-F507-4982-B2E5-502A71474FED}:3.3.0.3493,{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}:1.2.1,{c45c406e-ab73-11d8-be73-000a95be3b12}:1.1.8,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5

(Alain, prefs.js) Keyword.URL, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

.

.

* Internet Explorer Version 8.0.6001.18882 *

.

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

.

Start Page: hxxp://www.google.fr/

Use Custom Search URL: 1 (0x1)

SEARCH PAGE: hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*hxxp://fr.yahoo.com

Do404Search: 01000000

Show_ToolBar: yes

Enable Browser Extensions: yes

Start Page Redirect Cache: hxxp://fr.msn.com/?ocid=iehp

Start Page Redirect Cache AcceptLangs: fr

Search Bar: Preserve

.

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

.

Start Page: hxxp://fr.fr.acer.yahoo.com

Default_Page_URL: hxxp://fr.fr.acer.yahoo.com

Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Delete_Temp_Files_On_Exit: yes

.

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

.

Tabs: res://ieframe.dll/tabswelcome.htm

.

============== Suspect (Cracks, Serials, ...) ==============

.

C:\Users\Alain\Favorites\Images\Terragen\Colok Traductions - D‚tails du Fichier Terragen 0.9 Patch fran‡ais.URL

.

===================================

.

545 Octet(s) - C:\Ad-Report-SCAN[1].log

5798 Octet(s) - C:\Ad-Report-SCAN[2].log

.

16 Fichier(s) - C:\Users\Alain\AppData\Local\Temp

22 Fichier(s) - C:\Windows\Temp

129 Fichier(s) - C:\Windows\Prefetch

.

3 Fichier(s) - C:\Ad-Remover\BACKUP

0 Fichier(s) - C:\Ad-Remover\QUARANTINE

.

Fin à: 23:00:57 | 24/01/2010 - SCAN[2]

.

============== E.O.F ==============

.

2) Après le 1 er nettoyage [CLEAN 1] de AD - REMOVER=============

======= RAPPORT D'AD-REMOVER 1.1.4.6_I | UNIQUEMENT XP/VISTA/7 =======

.

Mis à jour par C_XX le 24.01.2010 à 14:33

Contact: AdRemover.contact@gmail.com

Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

.

Lancé à: 23:05:40, 24/01/2010 | Mode Normal | Option: CLEAN

Exécuté de: C:\Ad-Remover\

Système d'exploitation: Microsoft® Windows Vista™ HomePremium Service Pack 2 v6.0.6002

Nom du PC: PC-DE-ALAIN | Utilisateur actuel: Alain

.

============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============

.

Service: *RelevantKnowledge*

 

C:\Users\Alain\AppData\Roaming\Mozilla\FireFox\Profiles\99v4fmt6.default\extensions\{486E390A-7713-433F-A882-8B52263E595A}

C:\Program Files\AskBarDis

C:\Program Files\GeneaBarre

C:\Users\Alain\AppData\Local\koyaqgq.bat

C:\Users\Alain\AppData\Local\koyaqgq.dat

 

(!) -- Fichiers temporaires supprimés.

 

.

HKCU\software\appdatalow\AskBarDis

HKLM\software\classes\AskIBar.PopSwatterBarButton

HKLM\software\classes\AskIBar.PopSwatterBarButton.1

HKLM\software\classes\AskIBar.PopSwatterSettingsControl

HKLM\software\classes\AskIBar.PopSwatterSettingsControl.1

HKLM\software\classes\AskToolBar.SettingsPlugin

HKLM\software\classes\AskToolBar.SettingsPlugin.1

HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}

HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}

HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}

HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}

HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}

HKLM\Software\Classes\CLSID\{486E390A-7713-433F-A882-8B52263E595A}

HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}

HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}

HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}

HKLM\Software\Classes\CLSID\{81CAB1B5-6895-4DD4-84C5-DDA7311277FF}

HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}

HKLM\software\classes\ComObject.DeskbarEnabler

HKLM\software\classes\ComObject.DeskbarEnabler.1

HKLM\software\classes\geneanetx.IEToolbar

HKLM\software\classes\geneanetx.IEToolbar.1

HKLM\software\classes\Toolbar3.geneanetx

HKLM\software\classes\Toolbar3.geneanetx.1

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{81CAB1B5-6895-4DD4-84C5-DDA7311277FF}

HKLM\software\microsoft\windows\currentversion\uninstall\Ask Toolbar_is1

.

============== Scan additionnel ==============

.

.

* Mozilla FireFox Version 3.5.7 [fr] *

.

Nom du profil: 99v4fmt6.default (Alain)

.

(Alain, prefs.js) Browser.download.dir, C:\Users\Alain\Downloads

(Alain, prefs.js) Browser.download.lastDir, C:\Users\Alain\Documents

(Alain, prefs.js) Browser.search.defaultenginename, Yahoo

(Alain, prefs.js) Browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch

(Alain, prefs.js) Browser.search.selectedEngine, Google

(Alain, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/

(Alain, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12,{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14,{20a82645-c095-46ed-80e3-08825760534b}:0.0.0,{ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0,{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}:6.0.18,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7

(Alain, prefs.js) Keyword.URL, hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=

.

.

(Alain, prefs.js) Browser.download.dir, C:\Users\Alain\Downloads

(Alain, prefs.js) Browser.download.lastDir, D:\ENDNOTE\EndNote X3

(Alain, prefs.js) Browser.search.defaultenginename, Search the web

(Alain, prefs.js) Browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch

(Alain, prefs.js) Browser.search.selectedEngine, Search the web

(Alain, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/

(Alain, prefs.js) Extensions.enabledItems, {1018e4d6-728f-4b20-ad56-37578a4de76b}:3.3.14,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12,{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0,SkipScreen@SkipScreen:0.1.07012009,{B13721C7-F507-4982-B2E5-502A71474FED}:3.3.0.3493,{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}:1.2.1,{c45c406e-ab73-11d8-be73-000a95be3b12}:1.1.8,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5

(Alain, prefs.js) Keyword.URL, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

.

.

* Internet Explorer Version 8.0.6001.18882 *

.

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

.

Start Page: hxxp://fr.msn.com/

Use Custom Search URL: 1 (0x1)

Do404Search: 01000000

Show_ToolBar: yes

Enable Browser Extensions: yes

Start Page Redirect Cache: hxxp://fr.msn.com/?ocid=iehp

Start Page Redirect Cache AcceptLangs: fr

Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

.

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

.

Start Page: hxxp://fr.msn.com/

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Search bar: hxxp://search.msn.com/spbasic.htm

.

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

.

Tabs: res://ieframe.dll/tabswelcome.htm

.

============== Suspect (Cracks, Serials, ...) ==============

.

C:\Users\Alain\Favorites\Images\Terragen\Colok Traductions - D‚tails du Fichier Terragen 0.9 Patch fran‡ais.URL

.

===================================

.

5944 Octet(s) - C:\Ad-Report-CLEAN[1].log

545 Octet(s) - C:\Ad-Report-SCAN[1].log

6136 Octet(s) - C:\Ad-Report-SCAN[2-b].log

6136 Octet(s) - C:\Ad-Report-SCAN[2].log

.

14 Fichier(s) - C:\Users\Alain\AppData\Local\Temp

21 Fichier(s) - C:\Windows\Temp

0 Fichier(s) - C:\Windows\Prefetch

.

23 Fichier(s) - C:\Ad-Remover\BACKUP

18 Fichier(s) - C:\Ad-Remover\QUARANTINE

.

Fin à: 23:16:58 | 24/01/2010 - CLEAN[1]

.

============== E.O.F ==============

 

2bis Après le 2 ème passage [CLEAN 2] pour le nettoyage de AD - REMOVER===========

======= RAPPORT D'AD-REMOVER 1.1.4.6_I | UNIQUEMENT XP/VISTA/7 =======

.

Mis à jour par C_XX le 24.01.2010 à 14:33

Contact: AdRemover.contact@gmail.com

Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

.

Lancé à: 23:34:13, 24/01/2010 | Mode Normal | Option: CLEAN

Exécuté de: C:\Ad-Remover\

Système d'exploitation: Microsoft® Windows Vista™ HomePremium Service Pack 2 v6.0.6002

Nom du PC: PC-DE-ALAIN | Utilisateur actuel: Alain

.

============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============

.

 

 

(!) -- Fichiers temporaires supprimés.

 

.

.

============== Scan additionnel ==============

.

.

* Mozilla FireFox Version 3.5.7 [fr] *

.

Nom du profil: 99v4fmt6.default (Alain)

.

(Alain, prefs.js) Browser.download.dir, C:\Users\Alain\Downloads

(Alain, prefs.js) Browser.download.lastDir, C:\Users\Alain\Documents

(Alain, prefs.js) Browser.search.defaultenginename, Yahoo

(Alain, prefs.js) Browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch

(Alain, prefs.js) Browser.search.selectedEngine, Google

(Alain, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/

(Alain, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12,{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14,{20a82645-c095-46ed-80e3-08825760534b}:0.0.0,{ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0,{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}:6.0.18,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7

(Alain, prefs.js) Keyword.URL, hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=

.

.

(Alain, prefs.js) Browser.download.dir, C:\Users\Alain\Downloads

(Alain, prefs.js) Browser.download.lastDir, D:\ENDNOTE\EndNote X3

(Alain, prefs.js) Browser.search.defaultenginename, Search the web

(Alain, prefs.js) Browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch

(Alain, prefs.js) Browser.search.selectedEngine, Search the web

(Alain, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/

(Alain, prefs.js) Extensions.enabledItems, {1018e4d6-728f-4b20-ad56-37578a4de76b}:3.3.14,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12,{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0,SkipScreen@SkipScreen:0.1.07012009,{B13721C7-F507-4982-B2E5-502A71474FED}:3.3.0.3493,{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}:1.2.1,{c45c406e-ab73-11d8-be73-000a95be3b12}:1.1.8,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5

(Alain, prefs.js) Keyword.URL, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

.

.

* Internet Explorer Version 8.0.6001.18882 *

.

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

.

Start Page: hxxp://fr.msn.com/

Use Custom Search URL: 1 (0x1)

Do404Search: 01000000

Show_ToolBar: yes

Enable Browser Extensions: yes

Start Page Redirect Cache: hxxp://fr.msn.com/?ocid=iehp

Start Page Redirect Cache AcceptLangs: fr

Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

.

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

.

Start Page: hxxp://fr.msn.com/

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Search bar: hxxp://search.msn.com/spbasic.htm

.

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

.

Tabs: res://ieframe.dll/tabswelcome.htm

.

============== Suspect (Cracks, Serials, ...) ==============

.

C:\Users\Alain\Favorites\Images\Terragen\Colok Traductions - D‚tails du Fichier Terragen 0.9 Patch fran‡ais.URL

.

===================================

.

6414 Octet(s) - C:\Ad-Report-CLEAN[1].log

3999 Octet(s) - C:\Ad-Report-CLEAN[2].log

545 Octet(s) - C:\Ad-Report-SCAN[1].log

6136 Octet(s) - C:\Ad-Report-SCAN[2-b].log

6136 Octet(s) - C:\Ad-Report-SCAN[2].log

.

14 Fichier(s) - C:\Users\Alain\AppData\Local\Temp

22 Fichier(s) - C:\Windows\Temp

0 Fichier(s) - C:\Windows\Prefetch

.

24 Fichier(s) - C:\Ad-Remover\BACKUP

18 Fichier(s) - C:\Ad-Remover\QUARANTINE

.

Fin à: 23:43:47 | 24/01/2010 - CLEAN[2]

.

============== E.O.F ==============

.

 

3) Après examen complet de toutes les unités par Malwarebytes' Anti-Malware (MBAM)===========

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3628

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18882

 

25/01/2010 08:15:07

mbam-log-2010-01-25 (08-15-07).txt

 

Type de recherche: Examen complet (C:\|D:\|F:\|)

Eléments examinés: 500162

Temps écoulé: 8 hour(s), 4 minute(s), 35 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 1

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 6

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

F:\Fichiers téléchargés\ADOBE\Adobe Premiere Elements 7.0\déZippé\keygen.exe (Malware.Tool) -> Quarantined and deleted successfully.

F:\Fichiers téléchargés\Nero\Nero 8.3.2.1b FR\Nero\keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.

F:\Fichiers téléchargés\DIVERS à CLASSER\registry-doktor-06fr.exe (Rogue.Installer) -> Quarantined and deleted successfully.

F:\Fichiers téléchargés\WINDOWS\Windows 7\Windows 7 Keygen\Windows 7 Ultimate Keygen.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Users\Alain\AppData\Local\Temp\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Program Files\Internet Explorer\wmpscfgs.exe (Trojan.Agent) -> Delete on reboot.

 

 

l'ordinateur est arrêté et redémarre

4)Nouveau rapport HijacThis===========

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:38:28, on 25/01/2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18882)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Windows\System32\rundll32.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Acronis\TrueImageHome\trueimagemonitor.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\filehippo.com\updatechecker.exe

C:\Windows\ehome\ehmsas.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Users\Alain\Roaming\Downloads\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\PROGRA~1\E-BOOK~1\FLIPVI~1\fvbho140.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)

O3 - Toolbar: (no name) - {486E390A-7713-433F-A882-8B52263E595A} - (no file)

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask .exe" -atboottime

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe

O4 - HKLM\..\Run: [service Scheduler2 Acronis] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [FileHippo.com] "C:\Program Files\filehippo.com\UpdateChecker.exe" /background

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O13 - Gopher Prefix:

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: app_dll.dll

O23 - Service: Service Scheduler2 Acronis (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apache2.2 - Apache Software Foundation - C:\Site local\xampp\apache\bin\apache.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe

O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

 

--

End of file - 9060 bytes

==============FIN============================

 

 

Voilà, c'est fait, je pense exactement comme tu me l'avais demandé.

Y a-t-il des anomalies ? Que dois-je faire maintenant ?

Bonne journée et @++++ Bacter

 

P.S. j'oubliais :

 

1) Spybot: dois-je recocher la case: "Résident Teatimer" ?

 

2) Je réactive l'UAC de Vista

Modifié le 25 janvier 2010 par Bacter

[Bacter]

rebonjour Apollo,

Après avoir réactivé l'UAC de Vista, wmpscfgs.exe se manifeste comme avant !

Que puis-je tenter d'autre ?

@++++ Bacter

 

Voilà une réponse provisoire à mon problème. Après avoir fait un scan de SUPERAntiSpyware Free Edition, j'ai retrouvé un PC fonctionnel.

Le rapport de quarantaine de SUPERSAntiSpyware est le suivant :

 

UPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 01/25/2010 at 02:37 PM

 

Application Version : 4.33.1000

 

Core Rules Database Version : 4513

Trace Rules Database Version: 2325

 

Scan type : Quick Scan

Total Scan Time : 00:56:27

 

Memory items scanned : 863

Memory threats detected : 2

Registry items scanned : 619

Registry threats detected : 5

File items scanned : 40158

File threats detected : 10

 

Trojan.Agent/Gen

C:\WINDOWS\SYSTEM32\APP_DLL.DLL

C:\WINDOWS\SYSTEM32\APP_DLL.DLL

C:\PROGRAM FILES\INCODE SOLUTIONS\REMOVEIT PRO V7 ENTERPRISE\REMOVEIT.EXE

C:\PROGRAM FILES\INCODE SOLUTIONS\REMOVEIT PRO V7 ENTERPRISE\REMOVEIT.EXE

[Acer Tour Reminder] C:\ACER\ACERTOUR\REMINDER.EXE

C:\ACER\ACERTOUR\REMINDER.EXE

[FileHippo.com] C:\PROGRAM FILES\FILEHIPPO.COM\UPDATECHECKER.EXE

C:\PROGRAM FILES\FILEHIPPO.COM\UPDATECHECKER.EXE

[RemoveIT Pro v7Ent] C:\PROGRAM FILES\INCODE SOLUTIONS\REMOVEIT PRO V7 ENTERPRISE\REMOVEIT.EXE

[Acer Tour Reminder] C:\ACER\ACERTOUR\REMINDER.EXE

HKU\S-1-5-21-3204508973-2915221486-491596837-1000\Software\MailBlocker

C:\AD-REMOVER\RUNDLL32.EXE

C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\REMOVEIT PRO V7 (TRIAL)\REMOVEIT PRO V7 ENTERPRISE (TRIAL).LNK

C:\SITE LOCAL\XAMPP\APACHE\RUNDLL32.EXE

C:\USERS\ALAIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\UPDATE CHECKER.LNK

C:\USERS\ALAIN\DESKTOP\OUTILS\UPDATE CHECKER.LNK

 

Trojan.RootKit/Gen

C:\USERS\ALAIN\BVWC.EXE

=======================================================================

Dans cette superbe liste ci-dessus, tout n'est certainement pas à supprimer... mais, je ne vois pas où est initié wmpscfgs.exe (il apparait dans Internet Explorer) ou ce qui pourrait le faire apparaitre.

Avant de faire le ménage, puis-je te demander ton avis ?

De toutes façons, je vais regarder si tout fonctionne correctement (ce qui semble être le cas pour le moment).

Après je mettrai le sujet en [Résolu]

Par avance, merci pour ton aide Apollo.

@+++ Bacter

Modifié le 25 janvier 2010 par Bacter

[Bacter]

Bonsoir Apollo,

Juste un petit "up" pour savoir si je mets le sujet en [Réglé]

@+++++ Bacter