programme indésirable 'JS/FakeAlert.btq (Résolu)

avenirasur · le 31 janvier 2010

Bonjour et merci d'avance de l'aide que vous pourrez m'apporter,

Le 20 janvier j'ai reçu un courriel d'une personne connue... j'ai ouvert le fichier (RAR) sans me méfier. Avira a détecté un "virus" et a bloqué l'accès. Cependant, j'ai eu une petite fenêtre Windows m'indiquant que je devais télécharger "internet security 2010" moyennant finances !!! Je n'ai bien sûr pas donné suite ayant eu connaissance sur divers forums qu'il ne fallait jamais.

J’ai essayé de rechercher sur divers forums « des » solutions mais malgré quelques essais je ne suis arrivé à rien…

J'ai lancé Malwarebytes qui a trouvé "beaucoup" de choses... et les a mis en quarantaine.

20/01/2010 09:23:59

mbam-log-2010-01-20 (09-23-59).txt

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 251142

Temps écoulé: 1 hour(s), 24 minute(s), 47 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 7

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 8

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> Not selected for removal.

HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> Not selected for removal.

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\Users\jean-françois\Desktop\emoticons\ScroundSave Setup.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.

C:\Users\jean-françois\AppData\Roaming\mvhgkr.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\Windows\System32\helper32.dll (Trojan.FakeAlert) -> Delete on reboot.

C:\Windows\System32\Winlogon32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Windows\System32\41.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Users\jean-françois\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rarype32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Users\jean-françois\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\Windows\System32\IS15.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3607

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18865

21/01/2010 09:20:47

mbam-log-2010-01-21 (09-20-47).txt

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 249161

Temps écoulé: 1 hour(s), 21 minute(s), 22 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

J’ai lancé Avira qui a aussi « fait » quelques « nettoyages »:

Action de Avira le 20/01/2010 à 08h35

Dans le fichier 'C:\Windows\System32\warning.html'

un virus ou un programme indésirable 'JS/FakeAlert.btq' [virus] a été détecté.

Action exécutée : Déplacer le fichier en quarantaine

Action de Avira le 20/01/2010 à 16h12

Dans le fichier 'C:\Users\jean-françois\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HF64XIE2\SetupIS2010[1].exe'

un virus ou un programme indésirable 'TR/Fakealert.EC' [trojan] a été détecté.

Action exécutée : Refuser l'accès

Action de Avira le 20/01/2010 à 16h43

Dans le fichier 'C:\Users\jean-françois\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HF64XIE2\SetupIS2010[1].exe'

un virus ou un programme indésirable 'TR/Fakealert.EC' [trojan] a été détecté.

Action exécutée : Supprimer le fichier

Je n'ai plus la petite fenêtre... mais Windows m'inonde de messages :

- Windows doit maintenant redémarrer car le service Plug and Play s'est terminé de façon inattendue

- Windows doit maintenant redémarrer car le service lanceur de processus serveur DCOM s'est terminé de façon inattendue

- Processus hôte pour les services Windows a cessé de fonctionner et a été arrêté

puis, Windows redémarre après environ 1 minute.

J’ai pu constater également :

- que ces actions se produisent quand je suis connecté internet (pas seulement sous IE, dès que mon ordinateur se connecte !). Si je ne suis pas connecté… pas de redémarrage et pas de petits messages d’alerte !

- qu’après une recherche Google, lorsque je clique sur le lien choisi, je suis d’abord redirigé vers une page « autre »!

- de temps en temps aussi, un écran bleu en anglais que je n’ai pas le temps de lire puis redémarrage.

En vous remerciant…. J’attends votre aide. Cordialement

26/01/2010 18:16:41

mbam-log-2010-01-26 (18-16-41).txt

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 250622

Temps écoulé: 1 hour(s), 19 minute(s), 38 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3601

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18865

Modifié le 4 février 2010 par avenirasur

Apollo · le 31 janvier 2010

Bonjour,

Il fallait passer plus tôt

Faut pas laisser traîner ce genre d'infections, car elles sont coriaces et peuvent se transmettre.

Télécharge TDSSKiller.zip de Kaspersky et enregistre le sur ton bureau.

Clique droit sur le fichier et choisis Extraire tout.
Un dossier va s'ouvrir à l'écran contenant le fichier TDSSkiller.exe.
Double-clique sur tdsskiller.exe pour le lancer.
Une fenêtre noire va s'ouvrir et le scan va commencer. Laisse le faire sans l'interrompre.
A la fin il te sera demandé d'appuyer sur une touche pour continuer.
Appuie sur une touche du clavier et la fenêtre noire va se fermer.
Double-clique sur Ordinateur puis sur C: et recherche un fichier dont le nom commence par TDSSKiller...
Double-clique dessus pour l'ouvrir et copie-colle l'intégralité de son contenu dans ta prochaine réponse.

NB: Pendant la procédure, si TDSSKiller fait apparaître ce message:
Hidden service detected: H8SRTd.sys
Type "delete" (without quotes) to delete it: 14:30:08:000 0256
, tape delete et valide.

*** Poste également un log RSIT après ça stp: (en deux posts si c'est trop long)

Pour Info.txt, héberge-le ici en lui donnant une "vie" d'1 week stp: http://www.senduit.com/ (Expire in --> change en 1 week) copie/colle le lien généré sur le forum.

@++

Modifié le 31 janvier 2010 par Apollo

avenirasur · le 31 janvier 2010

Bonjour et Merci,

Je sais que j'aurai dû demander de l'aide plus tôt.... mais on croit toujours pouvoir se débrouiller seul !!!! Et puis, le temps de retrouver le bon site d'aide...

Enfin, pour essayer de corriger mon erreur voilà le rapport TDSSKiller :

10:43:17:075 5440 TDSS rootkit removing tool 2.2.2 Jan 13 2010 08:42:25

10:43:17:075 5440 ================================================================================

10:43:17:075 5440 SystemInfo:

10:43:17:075 5440 OS Version: 6.0.6002 ServicePack: 2.0

10:43:17:075 5440 Product type: Workstation

10:43:17:075 5440 ComputerName: PC-DE-JEAN-FRAN

10:43:17:075 5440 UserName: jean-françois

10:43:17:075 5440 Windows directory: C:\Windows

10:43:17:075 5440 Processor architecture: Intel x86

10:43:17:075 5440 Number of processors: 2

10:43:17:075 5440 Page size: 0x1000

10:43:17:091 5440 Boot type: Normal boot

10:43:17:091 5440 ================================================================================

10:43:17:091 5440 UnloadDriverW: NtUnloadDriver error 2

10:43:17:091 5440 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2

10:43:17:091 5440 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\drivers\klmd.sys) returned status 00000000

10:43:17:309 5440 UtilityInit: KLMD drop and load success

10:43:17:309 5440 KLMD_OpenDevice: Trying to open KLMD Device(KLMD201000)

10:43:17:309 5440 UtilityInit: KLMD open success

10:43:17:309 5440 UtilityInit: Initialize success

10:43:17:309 5440

10:43:17:309 5440 Scanning Services ...

10:43:17:309 5440 CreateRegParser: Registry parser init started

10:43:17:309 5440 CreateRegParser: DisableWow64Redirection error

10:43:17:309 5440 wfopen_ex: Trying to open file C:\Windows\system32\config\system

10:43:17:309 5440 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\config\system) returned status C0000043

10:43:17:309 5440 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

10:43:17:309 5440 wfopen_ex: Trying to KLMD file open

10:43:17:309 5440 KLMD_CreateFileW: Trying to open file C:\Windows\system32\config\system

10:43:17:309 5440 wfopen_ex: File opened ok (Flags 2)

10:43:17:387 5440 CreateRegParser: HIVE_ADAPTER(C:\Windows\system32\config\system) init success: 2356A90

10:43:17:387 5440 wfopen_ex: Trying to open file C:\Windows\system32\config\software

10:43:17:387 5440 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\config\software) returned status C0000043

10:43:17:387 5440 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

10:43:17:387 5440 wfopen_ex: Trying to KLMD file open

10:43:17:387 5440 KLMD_CreateFileW: Trying to open file C:\Windows\system32\config\software

10:43:17:387 5440 wfopen_ex: File opened ok (Flags 2)

10:43:17:387 5440 CreateRegParser: HIVE_ADAPTER(C:\Windows\system32\config\software) init success: 2356AB8

10:43:17:387 5440 CreateRegParser: EnableWow64Redirection error

10:43:17:387 5440 CreateRegParser: RegParser init completed

10:43:17:762 5440 GetAdvancedServicesInfo: Raw services enum returned 463 services

10:43:17:777 5440 fclose_ex: Trying to close file C:\Windows\system32\config\system

10:43:17:777 5440 fclose_ex: Trying to close file C:\Windows\system32\config\software

10:43:17:777 5440

10:43:17:777 5440 Scanning Kernel memory ...

10:43:17:777 5440 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk

10:43:17:777 5440 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 85DDF7E8

10:43:17:777 5440 DetectCureTDL3: KLMD_GetDeviceObjectList returned 2 DevObjects

10:43:17:777 5440

10:43:17:777 5440 DetectCureTDL3: DEVICE_OBJECT: 88103AC8

10:43:17:777 5440 KLMD_GetLowerDeviceObject: Trying to get lower device object for 88103AC8

10:43:17:777 5440 DetectCureTDL3: DEVICE_OBJECT: 87E846E8

10:43:17:777 5440 KLMD_GetLowerDeviceObject: Trying to get lower device object for 87E846E8

10:43:17:777 5440 KLMD_ReadMem: Trying to ReadMemory 0x87E846E8[0x38]

10:43:17:777 5440 DetectCureTDL3: DRIVER_OBJECT: 86C83118

10:43:17:777 5440 KLMD_ReadMem: Trying to ReadMemory 0x86C83118[0xA8]

10:43:17:777 5440 KLMD_ReadMem: Trying to ReadMemory 0x880DB5B8[0x1E]

10:43:17:777 5440 DetectCureTDL3: DRIVER_OBJECT name: \Driver\USBSTOR, Driver Name: USBSTOR

10:43:17:777 5440 DetectCureTDL3: IrpHandler (0) addr: 8EFC8FC8

10:43:17:777 5440 DetectCureTDL3: IrpHandler (1) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (2) addr: 8EFC9040

10:43:17:777 5440 DetectCureTDL3: IrpHandler (3) addr: 8EFC90B8

10:43:17:777 5440 DetectCureTDL3: IrpHandler (4) addr: 8EFC90B8

10:43:17:777 5440 DetectCureTDL3: IrpHandler (5) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (6) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (7) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler ( addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (9) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (10) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (11) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (12) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (13) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (14) addr: 8EFC8BC4

10:43:17:777 5440 DetectCureTDL3: IrpHandler (15) addr: 8EFBC7E4

10:43:17:777 5440 DetectCureTDL3: IrpHandler (16) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (17) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (18) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (19) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (20) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (21) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (22) addr: 8EFC759C

10:43:17:777 5440 DetectCureTDL3: IrpHandler (23) addr: 8EFC47A2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (24) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (25) addr: 822379D2

10:43:17:777 5440 DetectCureTDL3: IrpHandler (26) addr: 822379D2

10:43:17:777 5440 KLMD_ReadMem: Trying to ReadMemory 0x8EFBEF26[0x400]

10:43:17:777 5440 TDL3_StartIoHookDetect: CheckParameters: 4, 8EFC3000, 0

10:43:17:777 5440 TDL3_FileDetect: Processing driver: USBSTOR

10:43:17:777 5440 TDL3_FileDetect: Processing driver file: C:\Windows\system32\DRIVERS\USBSTOR.SYS

10:43:17:777 5440 KLMD_CreateFileW: Trying to open file C:\Windows\system32\DRIVERS\USBSTOR.SYS

10:43:17:824 5440 TDL3_FileDetect: C:\Windows\system32\DRIVERS\USBSTOR.SYS - Verdict: Clean

10:43:17:824 5440

10:43:17:824 5440 DetectCureTDL3: DEVICE_OBJECT: 86465AC8

10:43:17:824 5440 KLMD_GetLowerDeviceObject: Trying to get lower device object for 86465AC8

10:43:17:824 5440 DetectCureTDL3: DEVICE_OBJECT: 85774610

10:43:17:824 5440 KLMD_GetLowerDeviceObject: Trying to get lower device object for 85774610

10:43:17:824 5440 DetectCureTDL3: DEVICE_OBJECT: 85866C90

10:43:17:824 5440 KLMD_GetLowerDeviceObject: Trying to get lower device object for 85866C90

10:43:17:824 5440 KLMD_ReadMem: Trying to ReadMemory 0x85866C90[0x38]

10:43:17:824 5440 DetectCureTDL3: DRIVER_OBJECT: 86B4B348

10:43:17:824 5440 KLMD_ReadMem: Trying to ReadMemory 0x86B4B348[0xA8]

10:43:17:824 5440 KLMD_ReadMem: Trying to ReadMemory 0x85774958[0x38]

10:43:17:824 5440 KLMD_ReadMem: Trying to ReadMemory 0x8576EAE0[0xA8]

10:43:17:824 5440 KLMD_ReadMem: Trying to ReadMemory 0x84DB9A88[0x20]

10:43:17:824 5440 DetectCureTDL3: DRIVER_OBJECT name: \Driver\nvstor32, Driver Name: nvstor32

10:43:17:824 5440 DetectCureTDL3: IrpHandler (0) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (1) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (2) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (3) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (4) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (5) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (6) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (7) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler ( addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (9) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (10) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (11) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (12) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (13) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (14) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (15) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (16) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (17) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (18) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (19) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (20) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (21) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (22) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (23) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (24) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (25) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: IrpHandler (26) addr: 857F0856

10:43:17:824 5440 DetectCureTDL3: All IRP handlers pointed to one addr: 857F0856

10:43:17:824 5440 KLMD_ReadMem: Trying to ReadMemory 0x857F0856[0x400]

10:43:17:824 5440 TDL3_IrpHookDetect: CheckParameters: 4, FFDF0308, 333, 121, 3, 109

10:43:17:824 5440 Driver "nvstor32" Irp handler infected by TDSS rootkit ... 10:43:17:824 5440 KLMD_WriteMem: Trying to WriteMemory 0x857F08CF[0xD]

10:43:17:824 5440 cured

10:43:17:824 5440 KLMD_ReadMem: Trying to ReadMemory 0x857F0701[0x400]

10:43:17:824 5440 TDL3_StartIoHookDetect: CheckParameters: 9, FFDF0308, 1

10:43:17:824 5440 Driver "nvstor32" StartIo handler infected by TDSS rootkit ... 10:43:17:824 5440 TDL3_StartIoHookCure: Number of patches 1

10:43:17:824 5440 KLMD_WriteMem: Trying to WriteMemory 0x857F080A[0x6]

10:43:17:824 5440 cured

10:43:17:824 5440 TDL3_FileDetect: Processing driver: nvstor32

10:43:17:824 5440 TDL3_FileDetect: Processing driver file: C:\Windows\system32\DRIVERS\nvstor32.sys

10:43:17:824 5440 KLMD_CreateFileW: Trying to open file C:\Windows\system32\DRIVERS\nvstor32.sys

10:43:17:840 5440 TDL3_FileDetect: C:\Windows\system32\DRIVERS\nvstor32.sys - Verdict: Infected

10:43:17:840 5440 File C:\Windows\system32\DRIVERS\nvstor32.sys infected by TDSS rootkit ... 10:43:17:840 5440 TDL3_FileCure: Processing driver file: C:\Windows\system32\DRIVERS\nvstor32.sys

10:43:20:741 5440 FileCallback: Backup candidate found: C:\Windows\system32\DriverStore\FileRepository\nvstor32.inf_99d8b088\nvstor32.sys:110624, checking..

10:43:20:773 5440 ValidateDriverFile: Stage 1 passed

10:43:20:773 5440 VerifyFileVersionInfo: NV exclusion

10:43:20:773 5440 ValidateDriverFile: Stage 2 passed

10:43:20:975 5440 DigitalSignVerifyByHandle: Embedded DS result: 00000000

10:43:20:975 5440 ValidateDriverFile: Stage 3 passed

10:43:20:975 5440 FileCallback: File validated successfully, restore information prepared

10:43:23:487 5440 FindDriverFileBackup: Backup copy found in DriverStore

10:43:23:487 5440 TDL3_FileCure: Backup copy found, using it..

10:43:23:487 5440 TDL3_FileCure: Dumping cured buffer to file C:\Windows\system32\drivers\tskCBF7.tmp

10:43:23:487 5440 TDL3_FileCure: New / Old Image paths: (system32\drivers\tskCBF7.tmp, system32\drivers\nvstor32.sys)

10:43:23:487 5440 TDL3_FileCure: KLMD jobs schedule success

10:43:23:487 5440 will be cured on next reboot

10:43:23:487 5440 UtilityBootReinit: Reboot required for cure complete..

10:43:23:487 5440 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\drivers\klmdb.sys) returned status 00000000

10:43:23:503 5440 UtilityBootReinit: KLMD drop success

10:43:23:503 5440 KLMD_ApplyPendList: Pending buffer(3B4D_7E49, 632) dropped successfully

10:43:23:503 5440 UtilityBootReinit: Cure on reboot scheduled successfully

10:43:23:503 5440

10:43:23:503 5440 Completed

10:43:23:503 5440

10:43:23:503 5440 Results:

10:43:23:503 5440 Memory objects infected / cured / cured on reboot: 2 / 2 / 0

10:43:23:503 5440 Registry objects infected / cured / cured on reboot: 0 / 0 / 0

10:43:23:503 5440 File objects infected / cured / cured on reboot: 1 / 0 / 1

10:43:23:503 5440

10:43:23:503 5440 UnloadDriverW: NtUnloadDriver error 1

10:43:23:503 5440 KLMD_Unload: UnloadDriverW(klmd21) error 1

10:43:23:518 5440 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\drivers\klmd.sys) returned status 00000000

10:43:23:518 5440 UtilityDeinit: KLMD(ARK) unloaded successfully

Je ne sais pas ce qu'est un log RSIT

Merci.

Apollo · le 31 janvier 2010

Re,

Oulà, oui il était temps d'intervenir, tu avais une grosse saleté nommée TDSS.

Dis-moi quel est le numéro de série d'Antivir stp. (9.xxx).

Le pc a redémarré? Sinon fais-le avant de poursuivre.

Pour RSIT, fais comme ceci:

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Sous VISTA: clic droit/exécuter en temps qu'administrateur.
Clique Continue à l'écran Disclaimer.
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Pour Info.txt, héberge-le ici en lui donnant une "vie" d'1 week stp: http://www.senduit.com/ (Expire in --> change en 1 week) , copie/colle le lien généré sur le forum.

@++

avenirasur · le 31 janvier 2010

Re,

Avira 9.0.0.75

Je fais le reste...

Merci

avenirasur · le 31 janvier 2010

Voilà...

L'ordinateur avait redémarré après TDSSKiller comme demandé !

Mais je ne l'ai pas fait redémarrer après ce rédémarrage...

Aurais-je dû le faire ?

Voilà le rapport log.txt :

Logfile of random's system information tool 1.06 (written by random/random)

Run by jean-françois at 2010-01-31 11:39:01

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2

System drive C: has 31 GB (58%) free of 53 GB

Total RAM: 2814 MB (57% free)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:39:48, on 31/01/2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18882)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\BOINC\boinctray.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Windows\ehome\ehtray.exe

C:\Windows\System32\rundll32.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\BOINC\boincmgr.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\InstantTimeZone\InstantTimeZone.exe

C:\PyGrenouille\pygrenouille.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\IncrediMail\bin\IMApp.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files\BOINC\boinc.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Windows\system32\taskeng.exe

C:\ProgramData\BOINC\projects\www.worldcommunitygrid.org\wcg_hcc1_img_6.06_windows_intelx86

C:\ProgramData\BOINC\projects\www.worldcommunitygrid.org\wcg_hpf2_rosetta_6.03_windows_intelx86

C:\Windows\system32\Macromed\Flash\FlashUtil10d.exe

C:\Users\jean-françois\Desktop\RSIT.exe

C:\Program Files\trend micro\jean-françois.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr&source=iglk

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Ordinateur de Jef

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll

O2 - BHO: &Google Notebook - {CCCCCCD3-666F-4F81-8B69-745DE9F6D897} - C:\Program Files\Google\Google Notebook\gnotes1.0.2.19--781589860.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Google Bloc-notes - {CCCCCCDB-4DDB-4703-95D4-DD2C526397BF} - C:\Program Files\Google\Google Notebook\gnotes1.0.2.19--781589860.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [boinctray] "C:\Program Files\BOINC\boinctray.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\Windows\TEMP\E_S8325.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [boincmgr] "C:\Program Files\BOINC\boincmgr.exe" /a /s

O4 - HKCU\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [FreeGo] C:/Program Files/FreeGo/FreeGo.exe

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Startup: PyGrenouille.lnk = C:\PyGrenouille\pygrenouille.exe

O4 - Global Startup: InstantTimeZone.lnk = C:\Program Files\InstantTimeZone\InstantTimeZone.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: eBuyClub - {B00A2A69-AEB9-4466-A3D3-D965CCF868B6} - (no file)

O9 - Extra 'Tools' menuitem: eBuyClub - {B00A2A69-AEB9-4466-A3D3-D965CCF868B6} - (no file)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O13 - Gopher Prefix:

O15 - Trusted Zone: http://www.netclub.fr

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/dow...llerControl.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://ushousecall02.trendmicro.com/housec...ivex/hcImpl.cab

O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secu.../fslauncher.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/...e/wlscctrl2.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (Ma-Config control) - http://config.zebulon.fr/plugins/MaConfig_4_0_1_3.cab

O16 - DPF: {879B2534-D838-4D5C-9884-00B543C3FEAF} - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe

O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S30RP1.EXE

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe

O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--

End of file - 11327 bytes

======Scheduled tasks folder======

C:\Windows\tasks\Defraggler Volume C Task.job

C:\Windows\tasks\Google Software Updater.job

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

C:\Windows\tasks\User_Feed_Synchronization-{6A7EAD54-9F7E-4614-9C99-49D4F51B44B3}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]

Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-12-21 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

Google Toolbar Helper - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2010-01-10 279664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]

Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll [2010-01-10 812528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CCCCCCD3-666F-4F81-8B69-745DE9F6D897}]

&Google Notebook - C:\Program Files\Google\Google Notebook\gnotes1.0.2.19--781589860.dll [2008-06-20 311296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}]

EpsonToolBandKicker Class - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - Acer eDataSecurity Management - C:\Windows\system32\eDStoolbar.dll [2007-01-02 151552]

{EE5D279F-081B-4404-994D-C6B60AAEBA6D} - EPSON Web-To-Page - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]

{CCCCCCDB-4DDB-4703-95D4-DD2C526397BF} - Google Bloc-notes - C:\Program Files\Google\Google Notebook\gnotes1.0.2.19--781589860.dll [2008-06-20 311296]

{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2010-01-10 279664]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2006-10-23 815104]

"Acer Tour Reminder"=C:\Acer\AcerTour\Reminder.exe [2007-01-14 151552]

"NvSvc"=C:\Windows\system32\nvsvc.dll [2006-12-20 90191]

"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2006-12-20 7766016]

"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2006-12-20 81920]

"boinctray"=C:\Program Files\BOINC\boinctray.exe [2008-11-17 58112]

"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-10-11 149280]

"Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2009-12-11 948672]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-19 125952]

"EPSON Stylus DX5000 Series"=C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE [2006-09-22 139264]

"IncrediMail"=C:\Program Files\IncrediMail\bin\IncMail.exe [2009-09-07 251336]

"boincmgr"=C:\Program Files\BOINC\boincmgr.exe [2008-11-17 3916544]

"ISUSPM Startup"=C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe [2005-08-11 249856]

"msnmsgr"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883856]

"FreeGo"=C:/Program Files/FreeGo/FreeGo.exe []

"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-07-04 68856]

"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

InstantTimeZone.lnk - C:\Program Files\InstantTimeZone\InstantTimeZone.exe

C:\Users\jean-françois\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

PyGrenouille.lnk - C:\PyGrenouille\pygrenouille.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

"FilterAdministratorToken"=1

"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoActiveDesktopChanges"=0

"NoSetActiveDesktop"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"BindDirectlyToPropertySetStorage"=

"NoActiveDesktopChanges"=

"NoSetActiveDesktop"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{424435d8-d7df-11dd-a1dd-0016d3540c3b}]

shell\AutoRun\command - F:\t8g.exe

shell\open\command - F:\t8g.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{424435de-d7df-11dd-a1dd-0016d3540c3b}]

shell\AutoRun\command - H:\t8g.exe

shell\open\command - H:\t8g.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f05124ac-d6ab-11dd-a935-0016d3540c3b}]

shell\AutoRun\command - F:\LaunchU3.exe

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1

.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2010-01-31 11:39:01 ----D---- C:\rsit

2010-01-31 11:39:01 ----D---- C:\Program Files\trend micro

2010-01-31 10:43:17 ----A---- C:\TDSSKiller.2.2.2_31.01.2010_10.43.17_log.txt

2010-01-29 17:26:52 ----A---- C:\Windows\ntbtlog.txt

2010-01-25 15:50:06 ----D---- C:\Program Files\ZHPDiag

2010-01-24 19:39:01 ----D---- C:\UsbFix

2010-01-24 18:15:12 ----D---- C:\ToolBar SD

2010-01-22 16:23:04 ----D---- C:\Windows\avxoscan

2010-01-22 07:39:45 ----A---- C:\Windows\system32\mshtml.dll

2010-01-22 07:39:43 ----A---- C:\Windows\system32\ieframe.dll

2010-01-22 07:39:41 ----A---- C:\Windows\system32\wininet.dll

2010-01-22 07:39:41 ----A---- C:\Windows\system32\urlmon.dll

2010-01-22 07:39:41 ----A---- C:\Windows\system32\iertutil.dll

2010-01-22 07:39:40 ----A---- C:\Windows\system32\occache.dll

2010-01-22 07:39:40 ----A---- C:\Windows\system32\msfeeds.dll

2010-01-22 07:39:40 ----A---- C:\Windows\system32\iedkcs32.dll

2010-01-22 07:39:39 ----A---- C:\Windows\system32\msfeedssync.exe

2010-01-22 07:39:39 ----A---- C:\Windows\system32\msfeedsbs.dll

2010-01-22 07:39:39 ----A---- C:\Windows\system32\jsproxy.dll

2010-01-22 07:39:39 ----A---- C:\Windows\system32\ieUnatt.exe

2010-01-22 07:39:39 ----A---- C:\Windows\system32\ieui.dll

2010-01-22 07:39:39 ----A---- C:\Windows\system32\iesysprep.dll

2010-01-22 07:39:39 ----A---- C:\Windows\system32\iesetup.dll

2010-01-22 07:39:39 ----A---- C:\Windows\system32\iernonce.dll

2010-01-22 07:39:39 ----A---- C:\Windows\system32\iepeers.dll

2010-01-22 07:39:39 ----A---- C:\Windows\system32\ie4uinit.exe

2010-01-17 17:39:26 ----D---- C:\Program Files\Hercules

2010-01-17 10:38:56 ----A---- C:\Windows\system32\fmod.dll

2010-01-17 10:38:55 ----A---- C:\Windows\system32\dsetup.dll

2010-01-17 10:38:51 ----D---- C:\Program Files\Atmosphere Lite

2010-01-16 18:46:08 ----D---- C:\Program Files\Didacticiel_astro

2010-01-16 18:44:33 ----A---- C:\Windows\system32\Wing32.dll

2010-01-16 18:44:33 ----A---- C:\Windows\system32\Swedll32.dll

2010-01-16 18:44:16 ----D---- C:\Program Files\Common Files\DBase_Ena

2010-01-16 18:44:15 ----D---- C:\Program Files\Andromede4

2010-01-16 18:43:24 ----A---- C:\Windows\unin040c.exe

2010-01-13 12:26:37 ----D---- C:\ProgramData\Lauyan

2010-01-13 12:26:37 ----D---- C:\Program Files\Lauyan

2010-01-13 07:45:15 ----A---- C:\Windows\system32\t2embed.dll

2010-01-13 07:45:15 ----A---- C:\Windows\system32\fontsub.dll

2010-01-09 19:00:48 ----D---- C:\Users\jean-françois\AppData\Roaming\Icones

======List of files/folders modified in the last 1 months======

2010-01-31 11:39:06 ----D---- C:\Windows\Temp

2010-01-31 11:39:01 ----D---- C:\Program Files

2010-01-31 11:25:03 ----D---- C:\ProgramData\BOINC

2010-01-31 10:52:06 ----D---- C:\Windows\inf

2010-01-31 10:52:06 ----AD---- C:\Windows\System32

2010-01-31 10:52:06 ----A---- C:\Windows\system32\PerfStringBackup.INI

2010-01-31 10:48:06 ----D---- C:\Windows\Tasks

2010-01-31 10:46:56 ----D---- C:\Windows\system32\Tasks

2010-01-31 10:44:49 ----AD---- C:\Windows\system32\drivers

2010-01-31 09:55:31 ----D---- C:\Windows\system32\catroot2

2010-01-31 09:37:28 ----SD---- C:\Windows\Downloaded Program Files

2010-01-31 09:37:27 ----SHD---- C:\Windows\Installer

2010-01-31 09:37:23 ----D---- C:\Program Files\ma-config.com

2010-01-31 09:37:22 ----D---- C:\ProgramData\ma-config.com

2010-01-31 07:38:18 ----AD---- C:\Windows

2010-01-30 15:28:13 ----D---- C:\ProgramData\Google Updater

2010-01-30 10:01:34 ----HD---- C:\ProgramData

2010-01-29 10:10:31 ----D---- C:\ProgramData\Spybot - Search & Destroy

2010-01-29 07:31:13 ----HD---- C:\Program Files\InstallShield Installation Information

2010-01-29 07:29:37 ----D---- C:\Windows\system32\catroot

2010-01-27 15:30:09 ----D---- C:\Program Files\Google

2010-01-27 07:22:06 ----D---- C:\Windows\winsxs

2010-01-27 07:22:06 ----D---- C:\Program Files\Internet Explorer

2010-01-26 16:34:47 ----D---- C:\Program Files\adslTV

2010-01-25 10:35:04 ----D---- C:\Program Files\ShoppingBarreEbuyClub

2010-01-25 07:36:55 ----SHD---- C:\$RECYCLE.BIN

2010-01-22 07:43:10 ----D---- C:\Windows\system32\migration

2010-01-21 03:46:51 ----SHD---- C:\System Volume Information

2010-01-20 19:03:14 ----D---- C:\Windows\Logs

2010-01-20 09:38:27 ----D---- C:\Program Files\Spybot - Search & Destroy

2010-01-20 09:25:50 ----D---- C:\Program Files\Microsoft Silverlight

2010-01-20 09:25:42 ----D---- C:\Windows\Panther

2010-01-17 18:32:57 ----D---- C:\Windows\OvtCam

2010-01-16 20:46:53 ----SD---- C:\Users\jean-françois\AppData\Roaming\Microsoft

2010-01-16 18:44:32 ----RSD---- C:\Windows\Fonts

2010-01-16 18:44:16 ----D---- C:\Program Files\Common Files

2010-01-16 10:56:39 ----D---- C:\Windows\Debug

2010-01-16 09:30:06 ----D---- C:\ProgramData\Messenger Plus!

2010-01-16 09:27:45 ----D---- C:\Program Files\Messenger Plus! Live

2010-01-14 11:12:06 ----N---- C:\Windows\system32\MpSigStub.exe

2010-01-14 08:05:17 ----D---- C:\Program Files\Common Files\Adobe

2010-01-14 08:05:16 ----D---- C:\ProgramData\Adobe

2010-01-14 08:05:11 ----D---- C:\Program Files\Adobe

2010-01-13 07:48:47 ----D---- C:\Program Files\Windows Mail

2010-01-12 08:22:45 ----D---- C:\Windows\SoftwareDistribution

2010-01-11 10:46:44 ----D---- C:\Windows\BUVC_AP

2010-01-11 09:12:59 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

2010-01-11 09:12:56 ----D---- C:\Windows\Prefetch

2010-01-05 01:17:46 ----A---- C:\Windows\system32\mrt.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]

R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]

R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-09-03 28520]

R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-12-11 56816]

R2 int15;int15; \??\C:\Acer\Empowering Technology\eRecovery\int15.sys [2006-12-07 76584]

R2 mdmxsdk;mdmxsdk; C:\Windows\system32\DRIVERS\mdmxsdk.sys [2006-06-19 12672]

R2 XAudio;XAudio; C:\Windows\system32\DRIVERS\xaudio.sys [2006-08-05 8192]

R3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2009-09-05 1183744]

R3 Cam5607;Acer OrbiCam; C:\Windows\System32\Drivers\BisonC07.sys [2005-11-29 792368]

R3 CmBatt;Pilote pour Batterie à méthode de contrôle ACPI Microsoft; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-19 14208]

R3 dc3d;USBCCGP filter driver (dc3d); C:\Windows\system32\DRIVERS\dc3d.sys [2009-01-15 15360]

R3 DKbFltr;Dritek Keyboard Filter Driver; C:\Windows\system32\DRIVERS\DKbFltr.sys [2006-11-03 21264]

R3 HSF_DPV;HSF_DPV; C:\Windows\system32\DRIVERS\HSX_DPV.sys [2006-11-08 986624]

R3 HSXHWAZL;HSXHWAZL; C:\Windows\system32\DRIVERS\HSXHWAZL.sys [2006-11-08 206848]

R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2006-11-09 1647976]

R3 NTIDrvr;Upper Class Filter Driver; C:\Windows\system32\DRIVERS\NTIDrvr.sys [2006-12-10 6144]

R3 NuidFltr;NUID filter driver; C:\Windows\system32\DRIVERS\NuidFltr.sys [2009-05-09 14736]

R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\Windows\system32\DRIVERS\nvmfdx32.sys [2007-11-18 1040544]

R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2006-12-20 4448160]

R3 nvsmu;nvsmu; C:\Windows\system32\DRIVERS\nvsmu.sys [2006-09-15 11520]

R3 SynTP;Synaptics TouchPad Driver; C:\Windows\system32\DRIVERS\SynTP.sys [2006-10-23 179896]

R3 tifm21;tifm21; C:\Windows\system32\drivers\tifm21.sys [2006-07-06 168448]

R3 usbscan;Pilote de scanneur USB; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-19 35328]

R3 winachsf;winachsf; C:\Windows\system32\DRIVERS\HSX_CNXT.sys [2006-11-08 659968]

R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-19 11264]

R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]

S3 APL531;Hercules Blog Webcam; C:\Windows\System32\Drivers\BLvid.sys [2006-12-08 275072]

S3 BCM43XV;Pilote de la carte réseau extensible Broadcom 802.11; C:\Windows\system32\DRIVERS\bcmwl6.sys [2006-11-02 464384]

S3 camfilt;camfilt; C:\Windows\System32\Drivers\camfilt.sys []

S3 driverhardwarev2;driverhardwarev2; \??\C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys [2009-12-18 14336]

S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]

S3 fbxusb;Carte réseau virtuelle FreeBox USB; C:\Windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]

S3 HdAudAddService;Microsoft 1.1 UAA Function Driver for High Definition Audio Service; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]

S3 HSFHWAZL;HSFHWAZL; C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2006-11-02 200704]

S3 hxctlflt;hxctlflt; C:\Windows\System32\Drivers\hxctlflt.sys [2009-02-09 99968]

S3 ialm;ialm; C:\Windows\system32\DRIVERS\igdkmd32.sys [2006-10-19 1380864]

S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]

S3 MSPCLOCK;Microsoft Streaming Clock Proxy; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]

S3 MSPQM;Microsoft Streaming Quality Manager Proxy; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]

S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]

S3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2006-11-02 44544]

S3 s616bus;Sony Ericsson Device 616 driver (WDM); C:\Windows\system32\DRIVERS\s616bus.sys [2007-04-03 83208]

S3 s616mdfl;Sony Ericsson Device 616 USB WMC Modem Filter; C:\Windows\system32\DRIVERS\s616mdfl.sys [2007-04-03 15112]

S3 s616mdm;Sony Ericsson Device 616 USB WMC Modem Driver; C:\Windows\system32\DRIVERS\s616mdm.sys [2007-04-03 108680]

S3 s616mgmt;Sony Ericsson Device 616 USB WMC Device Management Drivers (WDM); C:\Windows\system32\DRIVERS\s616mgmt.sys [2007-04-03 100360]

S3 s616nd5;Sony Ericsson Device 616 USB Ethernet Emulation SEMC616 (NDIS); C:\Windows\system32\DRIVERS\s616nd5.sys [2007-04-03 23176]

S3 s616obex;Sony Ericsson Device 616 USB WMC OBEX Interface; C:\Windows\system32\DRIVERS\s616obex.sys [2007-04-03 98568]

S3 s616unic;Sony Ericsson Device 616 USB Ethernet Emulation SEMC616 (WDM); C:\Windows\system32\DRIVERS\s616unic.sys [2007-04-03 99080]

S3 usbaudio;Pilote USB audio (WDM); C:\Windows\system32\drivers\usbaudio.sys [2009-04-10 73216]

S3 usbvideo;Périphérique vidéo USB (WDM); C:\Windows\System32\Drivers\usbvideo.sys [2006-11-02 132352]

S3 WSVD;WSVD; \??\C:\Windows\system32\drivers\WSVD.sys [2006-09-19 80744]

S4 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2006-11-02 82432]

S4 UIUSys;Conexant Setup API; C:\Windows\system32\DRIVERS\UIUSYS.SYS []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-09-03 108289]

R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-09-03 185089]

R2 Diskeeper;Diskeeper; C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe [2007-10-16 1094936]

R2 eDataSecurity Service;eDSService.exe; C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe [2007-01-02 457512]

R2 eLockService;eLock Service; C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe [2006-12-22 24576]

R2 eNet Service;eNet Service; C:\Acer\Empowering Technology\eNet\eNet Service.exe [2006-12-28 126976]

R2 EPSON_PM_RPCV4_01;EPSON V3 Service4(01); C:\ProgramData\EPSON\EPW!3 SSRP\E_S30RP1.EXE [2006-04-18 102400]

R2 eRecoveryService;eRecovery Service; C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe [2006-12-28 49152]

R2 eSettingsService;eSettings Service; C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe [2007-01-02 24576]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe [2010-01-27 1181328]

R2 LightScribeService;LightScribeService Direct Disc Labeling Service; c:\Program Files\Common Files\LightScribe\LSSrvc.exe [2006-10-19 61440]

R2 MDM;Machine Debug Manager; C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]

R2 MobilityService;MobilityService; C:\Acer\Mobility Center\MobilityService.exe [2006-11-24 107008]

R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared Files\RichVideo.exe [2006-07-20 262247]

R2 SBSDWSCService;SBSD Security Center Service; C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]

R2 TuneUp.ProgramStatisticsSvc;@%SystemRoot%\System32\TUProgSt.exe,-1; C:\Windows\System32\TUProgSt.exe [2009-11-21 604488]

R2 UxTuneUp;@%SystemRoot%\System32\uxtuneup.dll,-4096; C:\Windows\System32\svchost.exe [2008-01-19 21504]

R2 WMIService;ePower Service; C:\Acer\Empowering Technology\ePower\ePowerSvc.exe [2007-01-02 135168]

R2 XAudioService;XAudioService; C:\Windows\system32\DRIVERS\xaudio.exe [2006-08-05 386560]

S2 gupdate;Google Update Service (gupdate); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-09-03 133104]

S2 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-22 183280]

S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-19 21504]

S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe [2005-11-14 69632]

S3 maconfservice;Ma-Config Service; C:\Program Files\ma-config.com\maconfservice.exe [2009-12-17 243056]

S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]

S3 TuneUp.Defrag;@%SystemRoot%\System32\TuneUpDefragService.exe,-1; C:\Windows\System32\TuneUpDefragService.exe [2009-11-21 361288]

-----------------EOF-----------------

et le lien pour info.txt : http://senduit.com/5b9351

... Voila plus d'1 heure que le PC ne redémarre pas tout seul alors qu'il le faisait toutes les 35 a 40 minute !!!

Merci.

Apollo · le 31 janvier 2010

Re,

On va faire une vérif qui ne sera en aucun cas inutile:

Si vous êtes sous Vista:Désactiver provisoirement l'UAC

Connecte tes supports amovibles comme clés usb, carte flash, disque externe, lecteur mp3, etc.

Télécharge USBFix de C_XX & El Desaparecido sur ton Bureau.

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

Double-clique pour l'exécuter.

Double-clique sur le raccourci pour exécuter l'outil

Sélectionne 1 puis laisse l'outil travailler

Poste le rapport stp.

------------------------------------------

Relance USB Fix et choisis cette fois l'option 2, valide par Entrée (Enter).

Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.

Le nettoyage va prendre quelques minutes... Appuyer sur OK sur la fenêtre d'informations.

Le fix peut avoir besoin de redémarrer l'ordinateur, un message vous en avertit, vous devez appuyer sur une touche.

Au redémarrage, le fix se relance... laissez l'opération s'effectuer.

Un rapport de nettoyage vous est proposé... appuyez sur une touche pour ouvrir ce rapport.

Colle le rapport ici stp.

--------------------------------------------------------------

Envoi de fichier.zip demandé dans le rapport: http://forum-aide-contre-virus.be/usbfix/choix_fichier.php

@++

avenirasur · le 31 janvier 2010

Re,

J'ai réactivé l'UAC, je pense que c'est ce qu'il fallait faire.

Je n'ai que 2clés USB que j'ai bien connectées...

Donc, le 1er rapport avec l'option 1 de USBfix :

############################## | UsbFix V6.083 |

User : jean-françois (Administrateurs) # PC-DE-JEAN-FRAN

Update on 30/01/2010 by El Desaparecido , C_XX & Chimay8

Start at: 15:24:59 | 31/01/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

AMD Turion 64 X2 Mobile Technology TL-50

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2

Internet Explorer 8.0.6001.18882

Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 51,99 Go (29,94 Go free) [ACER] # NTFS

D:\ -> Disque fixe local # 51,98 Go (31,94 Go free) [ACERDATA] # NTFS

E:\ -> Disque CD-ROM

F:\ -> Disque amovible # 1,92 Go (1,31 Go free) # FAT32

G:\ -> Disque amovible

H:\ -> Disque amovible # 998,97 Mo (339,56 Mo free) # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe 412

C:\Windows\system32\csrss.exe 488

C:\Windows\system32\wininit.exe 540

C:\Windows\system32\csrss.exe 552

C:\Windows\system32\services.exe 588

C:\Windows\system32\lsass.exe 608

C:\Windows\system32\lsm.exe 616

C:\Windows\system32\winlogon.exe 656

C:\Windows\system32\svchost.exe 792

C:\Windows\system32\svchost.exe 872

C:\Windows\System32\svchost.exe 928

C:\Windows\System32\svchost.exe 1004

C:\Windows\System32\svchost.exe 1040

C:\Windows\system32\svchost.exe 1060

C:\Windows\system32\svchost.exe 1192

C:\Windows\system32\SLsvc.exe 1208

C:\Windows\system32\svchost.exe 1240

C:\Windows\system32\svchost.exe 1404

C:\Windows\System32\spoolsv.exe 1768

C:\Program Files\Avira\AntiVir Desktop\sched.exe 1796

C:\Windows\system32\svchost.exe 1808

C:\Windows\system32\Dwm.exe 200

C:\Windows\system32\taskeng.exe 272

C:\Windows\system32\taskeng.exe 420

C:\Windows\Explorer.EXE 1436

C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1624

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe 1632

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 1828

C:\Program Files\BOINC\boinctray.exe 1928

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 2012

C:\Program Files\Java\jre6\bin\jusched.exe 1252

C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe 636

C:\Windows\System32\rundll32.exe 2096

C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe 2388

C:\Windows\ehome\ehtray.exe 2428

C:\Program Files\BOINC\boincmgr.exe 2468

C:\Windows\ehome\ehmsas.exe 2504

C:\Program Files\Windows Live\Messenger\msnmsgr.exe 2512

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 2536

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 2568

C:\Program Files\InstantTimeZone\InstantTimeZone.exe 2600

C:\PyGrenouille\pygrenouille.exe 2620

C:\Acer\Empowering Technology\eNet\eNet Service.exe 2752

C:\Program Files\IncrediMail\bin\IMApp.exe 2788

C:\ProgramData\EPSON\EPW!3 SSRP\E_S30RP1.EXE 2876

c:\Program Files\Common Files\LightScribe\LSSrvc.exe 2992

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE 3048

C:\Acer\Mobility Center\MobilityService.exe 3076

C:\Program Files\CyberLink\Shared Files\RichVideo.exe 3132

C:\Windows\system32\svchost.exe 3180

C:\Windows\System32\TUProgSt.exe 3280

C:\Windows\System32\svchost.exe 3300

C:\Windows\system32\DRIVERS\xaudio.exe 3356

C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe 3456

C:\Windows\system32\WUDFHost.exe 3500

C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe 3544

C:\Acer\Empowering Technology\ePower\ePowerSvc.exe 3660

C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 3828

C:\Windows\system32\wbem\wmiprvse.exe 3968

C:\Windows\system32\wbem\wmiprvse.exe 4044

C:\Program Files\Windows Live\Contacts\wlcomm.exe 2520

C:\Windows\system32\wbem\unsecapp.exe 2576

C:\Windows\system32\wbem\unsecapp.exe 4280

C:\Program Files\BOINC\boinc.exe 4872

C:\Program Files\FreeGo\FreeGo.exe 5408

C:\Program Files\Internet Explorer\iexplore.exe 4484

C:\Program Files\Internet Explorer\iexplore.exe 5032

C:\ProgramData\BOINC\projects\www.worldcommunitygrid.org\wcg_hcc1_img_6.06_windows_intelx86 4972

C:\ProgramData\BOINC\projects\www.worldcommunitygrid.org\wcg_hpf2_rosetta_6.03_windows_intelx86 5460

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe 4596

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe 5132

################## | Elements infectieux |

################## | Registre |

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{424435d8-d7df-11dd-a1dd-0016d3540c3b}

shell\AutoRun\command =F:\t8g.exe

shell\open\Command =F:\t8g.exe

HKCU\..\..\Explorer\MountPoints2\{424435de-d7df-11dd-a1dd-0016d3540c3b}

shell\AutoRun\command =H:\t8g.exe

shell\open\Command =H:\t8g.exe

HKCU\..\..\Explorer\MountPoints2\{f05124ac-d6ab-11dd-a935-0016d3540c3b}

shell\AutoRun\command =F:\LaunchU3.exe

################## | ! Fin du rapport # UsbFix V6.083 ! |

et le 2ème rapport avec l'option 2 de USBfix :

############################## | UsbFix V6.083 |

User : jean-françois (Administrateurs) # PC-DE-JEAN-FRAN

Update on 30/01/2010 by El Desaparecido , C_XX & Chimay8

Start at: 15:30:50 | 31/01/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

AMD Turion 64 X2 Mobile Technology TL-50

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2

Internet Explorer 8.0.6001.18882

Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 51,99 Go (29,83 Go free) [ACER] # NTFS

D:\ -> Disque fixe local # 51,98 Go (31,94 Go free) [ACERDATA] # NTFS

E:\ -> Disque CD-ROM

F:\ -> Disque amovible # 1,92 Go (1,31 Go free) # FAT32

G:\ -> Disque amovible

H:\ -> Disque amovible # 998,97 Mo (339,56 Mo free) # FAT

############################## | Processus actifs |

C:\Windows\System32\smss.exe 412

C:\Windows\system32\csrss.exe 488

C:\Windows\system32\wininit.exe 540

C:\Windows\system32\csrss.exe 552

C:\Windows\system32\services.exe 588

C:\Windows\system32\lsass.exe 604

C:\Windows\system32\lsm.exe 612

C:\Windows\system32\winlogon.exe 660

C:\Windows\system32\svchost.exe 800

C:\Windows\system32\svchost.exe 880

C:\Windows\System32\svchost.exe 916

C:\Windows\System32\svchost.exe 1004

C:\Windows\System32\svchost.exe 1088

C:\Windows\system32\svchost.exe 1104

C:\Windows\system32\svchost.exe 1204

C:\Windows\system32\SLsvc.exe 1220

C:\Windows\system32\svchost.exe 1284

C:\Windows\system32\svchost.exe 1428

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe 1664

C:\Windows\System32\spoolsv.exe 1792

C:\Program Files\Avira\AntiVir Desktop\sched.exe 1824

C:\Windows\system32\svchost.exe 1844

C:\Windows\system32\taskeng.exe 1952

C:\Windows\system32\taskeng.exe 2032

C:\Program Files\Google\Update\GoogleUpdate.exe 432

C:\Windows\system32\Dwm.exe 532

C:\Windows\Explorer.EXE 1692

C:\Windows\system32\runonce.exe 704

C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1372

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe 1652

C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe 784

C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe 2076

C:\Acer\Empowering Technology\eNet\eNet Service.exe 2152

C:\ProgramData\EPSON\EPW!3 SSRP\E_S30RP1.EXE 2232

C:\Program Files\Google\Update\GoogleUpdate.exe 2252

c:\Program Files\Common Files\LightScribe\LSSrvc.exe 2284

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE 2340

C:\Acer\Mobility Center\MobilityService.exe 2396

C:\Program Files\CyberLink\Shared Files\RichVideo.exe 2460

C:\Windows\system32\svchost.exe 2524

C:\Windows\System32\TUProgSt.exe 2560

C:\Windows\System32\svchost.exe 2636

C:\Windows\system32\DRIVERS\xaudio.exe 2692

C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe 2732

C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe 2776

C:\Windows\system32\WUDFHost.exe 2804

C:\Windows\system32\PresentationSettings.exe 2916

C:\Acer\Empowering Technology\ePower\ePowerSvc.exe 3024

C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 3108

C:\Windows\system32\wbem\wmiprvse.exe 3160

C:\Windows\system32\wbem\wmiprvse.exe 3268

C:\Windows\system32\wbem\unsecapp.exe 3424

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-3623136210-3339324036-2068823087-1000

Supprimé ! D:\$Recycle.Bin\S-1-5-21-3623136210-3339324036-2068823087-1000

################## | Registre |

Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{424435d8-d7df-11dd-a1dd-0016d3540c3b}\Shell\AutoRun\Command

Supprimé ! HKCU\...\Explorer\MountPoints2\{424435de-d7df-11dd-a1dd-0016d3540c3b}\Shell\AutoRun\Command

Supprimé ! HKCU\...\Explorer\MountPoints2\{f05124ac-d6ab-11dd-a935-0016d3540c3b}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[08/03/2007 18:19|--a------|3247] C:\-20070308.log

[31/01/2010 15:29|--a------|144661] C:\aaw7boot.log

[10/12/2006 11:17|--a------|74] C:\autoexec.000

[07/01/2009 17:51|--a------|118] C:\autoexec.bat

[10/04/2009 22:36|-rahs----|333257] C:\bootmgr

[18/09/2006 22:43|--a------|10] C:\config.sys

[12/08/2007 09:38|-rahs----|0] C:\IO.SYS

[12/08/2007 09:38|--a------|7] C:\ISACER.id

[12/08/2007 09:38|-rahs----|0] C:\MSDOS.SYS

[29/02/2004 16:44|--a------|52576] C:\orange.bmp

[02/03/2007 23:08|--ahs----|5133] C:\Patch.rev

[10/12/2006 11:05|-rahs----|133] C:\preload.rev

[08/03/2007 18:16|--a------|450] C:\RHDSetup.log

[31/01/2010 10:43|--a------|24818] C:\TDSSKiller.2.2.2_31.01.2010_10.43.17_log.txt

[06/01/2009 18:05|--a------|0] C:\Trace.log

[31/01/2010 15:36|--a------|4765] C:\UsbFix.txt

[02/12/2006 08:24|--a------|4] C:\wps.dat

[?|?|?] D:\pagefile.sys

[17/07/2008 15:39|--a------|497152] F:\Exemple de Bulletin de Salaire calcul‚ sur la base du niveau 2 de la grille de salaire.doc

[10/07/2007 11:12|--a------|33280] F:\CRAM (10-07-2007).doc

[17/07/2008 12:03|--a------|40560] F:\simulation impots Maman base revenu 2008.pdf

[23/07/2008 12:47|--a------|34816] F:\CRAM (23-07-2008).doc

[21/11/2008 09:01|--a------|3048] F:\Mon IncrediMail Premium.html

[05/12/2008 13:08|--a------|3183182] F:\cdbxp_setup_4.2.3.1110.exe

[01/11/2008 10:27|--a------|495156] F:\D‚claration Revenuis Catherine.pdf

[22/01/2009 11:38|--a------|5900800] F:\Direct Assurances Cathy.doc

[27/01/2009 12:30|--a------|59635] F:\horaires train marine aller.pdf

[27/01/2009 12:09|--a------|115354] F:\train marine 08-02-2009.pdf

[27/01/2009 12:21|--a------|118189] F:\train marine 22-02-2009.pdf

[27/01/2009 12:27|--a------|74672] F:\horaires train marine retour.pdf

[03/03/2009 11:36|--a------|27136] F:\CAVAMAC (03-03-2009).doc

[17/04/2009 11:56|--a------|183296] F:\08_Meditation_avec_la_Pure_Lumiere_Blanche_du_Christ.doc

[17/04/2009 11:55|--a------|90112] F:\DESIMPLANTATION_DEPACTISATION.doc

[30/03/2008 11:06|--a------|138791336] F:\Office2003SP3-KB923618-FullFile-FRA.exe

[31/03/2008 16:20|--a------|124688] F:\drivfbxusb.exe

[11/10/2007 11:33|--a------|34304] H:\Cagnes sur mer le 6 octobre 2007 Marine.doc

[07/06/2007 16:18|--a------|124688] H:\drivfbxusb.exe

[21/11/2008 09:01|--a------|3048] H:\Mon IncrediMail Premium.html

[30/10/2009 08:33|--a------|9363416] H:\f-secure-easy-clean_f-secure_easy_clean_1.0.14351.0_francais_303372.exe

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.

# D:\autorun.inf -> Dossier créé par UsbFix.

# F:\autorun.inf -> Dossier créé par UsbFix.

# H:\autorun.inf -> Dossier créé par UsbFix.

################## | ! Fin du rapport # UsbFix V6.083 ! |

J'espère.... j'espère

Pendant ma "pause déjeuner" , Avira s'est lancé pour son scan automatique. A tout hazard, son rapport :

Avira AntiVir Personal

Date de création du fichier de rapport : dimanche 31 janvier 2010 14:00

La recherche porte sur 1712238 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows Vista

Version de Windows : (Service Pack 2) [6.0.6002]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : PC-DE-JEAN-FRAN

Informations de version :

BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 20/11/2009 12:31:53

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 12:31:52

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 12:31:52

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 12:33:17

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 14:52:18

VBASE004.VDF : 7.10.3.76 2048 Bytes 26/01/2010 14:52:18

VBASE005.VDF : 7.10.3.77 2048 Bytes 26/01/2010 14:52:19

VBASE006.VDF : 7.10.3.78 2048 Bytes 26/01/2010 14:52:19

VBASE007.VDF : 7.10.3.79 2048 Bytes 26/01/2010 14:52:19

VBASE008.VDF : 7.10.3.80 2048 Bytes 26/01/2010 14:52:19

VBASE009.VDF : 7.10.3.81 2048 Bytes 26/01/2010 14:52:19

VBASE010.VDF : 7.10.3.82 2048 Bytes 26/01/2010 14:52:19

VBASE011.VDF : 7.10.3.83 2048 Bytes 26/01/2010 14:52:20

VBASE012.VDF : 7.10.3.84 2048 Bytes 26/01/2010 14:52:20

VBASE013.VDF : 7.10.3.85 2048 Bytes 26/01/2010 14:52:20

VBASE014.VDF : 7.10.3.122 172544 Bytes 29/01/2010 12:31:19

VBASE015.VDF : 7.10.3.123 2048 Bytes 29/01/2010 12:31:19

VBASE016.VDF : 7.10.3.124 2048 Bytes 29/01/2010 12:31:19

VBASE017.VDF : 7.10.3.125 2048 Bytes 29/01/2010 12:31:19

VBASE018.VDF : 7.10.3.126 2048 Bytes 29/01/2010 12:31:19

VBASE019.VDF : 7.10.3.127 2048 Bytes 29/01/2010 12:31:19

VBASE020.VDF : 7.10.3.128 2048 Bytes 29/01/2010 12:31:19

VBASE021.VDF : 7.10.3.129 2048 Bytes 29/01/2010 12:31:19

VBASE022.VDF : 7.10.3.130 2048 Bytes 29/01/2010 12:31:19

VBASE023.VDF : 7.10.3.131 2048 Bytes 29/01/2010 12:31:19

VBASE024.VDF : 7.10.3.132 2048 Bytes 29/01/2010 12:31:20

VBASE025.VDF : 7.10.3.133 2048 Bytes 29/01/2010 12:31:20

VBASE026.VDF : 7.10.3.134 2048 Bytes 29/01/2010 12:31:20

VBASE027.VDF : 7.10.3.135 2048 Bytes 29/01/2010 12:31:20

VBASE028.VDF : 7.10.3.136 2048 Bytes 29/01/2010 12:31:20

VBASE029.VDF : 7.10.3.137 2048 Bytes 29/01/2010 12:31:20

VBASE030.VDF : 7.10.3.138 2048 Bytes 29/01/2010 12:31:20

VBASE031.VDF : 7.10.3.139 8192 Bytes 29/01/2010 12:31:20

Version du moteur : 8.2.1.154

AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 12:33:37

AESCRIPT.DLL : 8.1.3.12 823675 Bytes 23/01/2010 12:33:36

AESCN.DLL : 8.1.4.0 127348 Bytes 29/01/2010 14:52:51

AESBX.DLL : 8.1.1.1 246132 Bytes 20/11/2009 12:31:52

AERDL.DLL : 8.1.3.4 479605 Bytes 01/12/2009 12:31:01

AEPACK.DLL : 8.2.0.5 422262 Bytes 14/01/2010 12:33:30

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 03/09/2009 08:50:24

AEHEUR.DLL : 8.1.1.1 2322805 Bytes 29/01/2010 14:52:50

AEHELP.DLL : 8.1.10.0 237942 Bytes 14/01/2010 12:33:02

AEGEN.DLL : 8.1.1.85 369012 Bytes 29/01/2010 14:52:34

AEEMU.DLL : 8.1.1.0 393587 Bytes 03/10/2009 07:50:25

AECORE.DLL : 8.1.10.0 184695 Bytes 29/01/2010 14:52:29

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 27/09/2009 08:47:22

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 03/09/2009 08:50:24

RCTEXT.DLL : 9.0.73.0 88321 Bytes 20/11/2009 12:31:52

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Disques durs locaux

Fichier de configuration......................: c:\program files\avira\antivir desktop\alldiscs.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: arrêt

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Sélection de fichiers intelligente

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Début de la recherche : dimanche 31 janvier 2010 14:00

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'IncMail.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wcg_hpf2_rosetta_6.03_windows_intelx86' - '1' module(s) sont contrôlés

Processus de recherche 'wcg_hcc1_img_6.06_windows_intelx86' - '1' module(s) sont contrôlés

Processus de recherche 'boinc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'boincmgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FlashUtil10d.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleToolbarUser_32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AAWTray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ImApp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'pygrenouille.exe' - '1' module(s) sont contrôlés

Processus de recherche 'InstantTimeZone.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'boinctray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés

Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SDWinSec.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ePowerSvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'capuserv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'eRecoveryService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'XAudio.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TUProgSt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MobilityService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'E_S30RP1.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'eNet Service.exe' - '1' module(s) sont contrôlés

Processus de recherche 'eLockServ.exe' - '1' module(s) sont contrôlés

Processus de recherche 'eDSService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'DkService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AAWService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'76' processus ont été contrôlés avec '76' modules

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

[iNFO] Veuillez relancer la recherche avec les droits d'administrateur

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '43' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <ACER>

C:\Users\jean-françois\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\G6EXKWI9\sdkmc[1].js

[RESULTAT] Contient le code suspect : HEUR/HTML.Malware

Recherche débutant dans 'D:\' <ACERDATA>

D:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

Début de la désinfection :

C:\Users\jean-françois\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\G6EXKWI9\sdkmc[1].js

[RESULTAT] Contient le code suspect : HEUR/HTML.Malware

[REMARQUE] Le résultat positif a été classé comme suspect.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bd08f3a.qua' !

Fin de la recherche : dimanche 31 janvier 2010 15:08

Temps nécessaire: 1:01:10 Heure(s)

La recherche a été effectuée intégralement

20944 Les répertoires ont été contrôlés

402364 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

1 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

1 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

402362 Fichiers non infectés

4778 Les archives ont été contrôlées

1 Avertissements

2 Consignes

Merci

Apollo · le 31 janvier 2010

Re

Parfait!

Je n'ai que 2clés USB que j'ai bien connectées...

Et tu as bien fait, ton pc et tes clés usb sont à présents sains et protégés contre ce genre d'agression USB.

Tu devrais dire à tes amis/famille d'en faire autant, et avec n'importe lequel des supports amovibles. (clés usb, cartes Flash, lecteur mp3, Disques durs externes...etc.)

Plus il y a de monde au courant et plus cette infection reculera.

-------------------------------------------

Tu peux mettre TDSSKiller à la corbeille puis vider celle-ci.

---------------------------

Désinstalle USBFIX en le lançant et en choisissant son option 5 et valider par Enter.

-----------------------------------

Désactiver puis réactiver la restauration système de Vista puis créer un nouveau point de restauration comme expliqué par Marie : Vista: désactiver la restauration du sytème

-----------------------------------

Télécharger ATF Cleaner par Atribune.

Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)

Double-clique ATF-Cleaner.exe afin de lancer le programme.
--> Sous Vista/Seven: Clic droit/exécuter en temps qu'administrateur.

Sous l'onglet Main, choisis : Select All
Cliquer sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All
Cliquer le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All
Cliquer le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

-------------------------------

Courage, encore un peu de boulot puis cela touche à sa fin.

Poste un dernier log RSIT après avoir fait tout ce qui précède pour voir les corrections restant à effectuer dans les applications à risque stp.

@++

avenirasur · le 31 janvier 2010

Bonsoir,

Bon, je crois avoir tout fait !

Pour RSIT il n'y a pas de "info.txt" seulement log.txt :

Logfile of random's system information tool 1.06 (written by random/random)

Run by jean-françois at 2010-01-31 20:01:21

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2

System drive C: has 30 GB (57%) free of 53 GB

Total RAM: 2814 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:01:37, on 31/01/2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18882)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\BOINC\boinctray.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\BOINC\boincmgr.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\InstantTimeZone\InstantTimeZone.exe

C:\PyGrenouille\pygrenouille.exe

C:\Program Files\IncrediMail\bin\IMApp.exe

C:\Windows\System32\mobsync.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\BOINC\boinc.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Windows\system32\taskeng.exe

C:\ProgramData\BOINC\projects\www.worldcommunitygrid.org\wcg_hcc1_img_6.06_windows_intelx86

C:\ProgramData\BOINC\projects\www.worldcommunitygrid.org\wcg_hpf2_rosetta_6.03_windows_intelx86

C:\Users\jean-françois\Desktop\RSIT.exe

C:\Program Files\trend micro\jean-françois.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer