Virus Internet Security [résolu]

[Tienos]

Bonjour à toute la communauté,

 

Vous allez me dire : "ce sujet a déjà été traité plusieurs fois, merci de ne pas faire des topics doublons" !!!

 

Malheureusement chacun de ces sujets ne correspond pas à mon cas.

 

Explication de mon problème :

 

Mon amie apporte son ordinateur qui apparaît infesté par Vista Internet Security.

- J'essaie de me connecter au net et pas moyen d'avoir accès à Mozilla ni à IE.

- J'essaie de lui lancer Malwarebytes que je lui avais déjà installé mais là encore je ne peux pas lancer l'application !

- Je regarde dans le gestionnaire de processus et regarde le lieu de av.exe sauf que ce programme ne figure pas à cette destination (ni dossier, ni dossier caché)

- Je lance CCleaner mais sans aucun succès

- Je lance Glary Utilities mais sans succès non plus

 

Donc je fais appel à la communauté Zebulonienne pour m'aider dans cette tâche car franchement je suis complètement perdu. Je n'ai bien sûr pas envie de faire un formatage maintenant car les examens approchent et les nombreux documents dont j'ai besoin son sur cet ordinateur !

 

Merci d'avance pour l'aide apportée !

Modifié le 26 février 2010 par Tienos

[pear]

Bonjour,

 

Téléchargez les logiciels suivants pour les lancer l'un après l'autre.

Vous en posterez les rapports ensuite, en fin de procédures

 

Télécharger load_tdsskiller de Loup Blanc sur le Bureau

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lancer load_tdsskiller en double-cliquant dessus :
  l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
  
• Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
  
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
  (le fichier est également présent ici : C:\tdsskiller\report.txt)
  
• Redémarrer le PC
  

 

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

il y aura 'un rapport là: %SystemDrive%\rkill.log

donnant la liste de tous les processus arrêtés.

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

 

 

Téléchargez cet outil de diagnostic.

 

Téléchargez Random's system information tool (RSIT) par random/random et sauvegardez-le sur le Bureau.

 

Double-cliquez sur RSIT.exe afin de lancer RSIT.

* Cliquez Continue à l'écran Disclaimer.

* Si l'outil HIjackThis (version à jour) n'est pas présent ou détecté sur l'ordinateur, RSIT le télécharge et vous acceptez la licence.

* L'analyse terminée, deux fichiers texte s'ouvriront.:

Poster le contenu de log.txt (qui sera affiché)

ainsi que de info.txt (qui sera réduit dans la Barre des Tâches).

* Si ces deux rapports n'apparaissent pas, vous les trouverez dans le dossier C:\rsit

Si les rapports sont trop lourds, postez les en plusieurs fois

[Tienos]

Je vais tâcher de faire tout ça rapidement. Par contre je n'accède pas facilement à internet sur l'autre PC à cause de ce virus ou de ce rogue enfin je sais pas trop quoi ^^.

 

Quel est le moyen le plus simple de pouvoir accéder à ces sites sans que ça plante ?

[pear]

Si vous avez une autre machine, saine, utilisez la.

Avec une clé usb , vous ferez les transferts vers le pc malade.

[Tienos]

Petit problème : je n'arrive à lancer aucune application sur l'ordinateur ! J'obtiens une fenêtre disant :

 

Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément !

 

En gros je ne peux pas lancer un .exe ! Je peux pas non plus faire executer : regedit.

 

Edition :

 

J'arrive à accéder aux différents exe en faisant : clique droit -> executer comme administrateur !

Je commence donc le tuto

Modifié le 23 février 2010 par Tienos

[Tienos]

Voici les résultats obtenus :

 

Tdsskiller : aucun rapport obtenu

 

Rkill :

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as cl‚mence on 23/02/2010 at 22:08:56.

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\Windows\system32\DllHost.exe

C:\Windows\system32\DllHost.exe

C:\Users\clémence\Desktop\rkill.com

 

 

Rkill completed on 23/02/2010 at 22:09:02.

 

MBAM :

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3510

Windows 6.0.6000

Internet Explorer 7.0.6000.16982

 

24/02/2010 07:36:21

mbam-log-2010-02-24 (07-36-21).txt

 

Type de recherche: Examen complet (C:\|D:\|F:\|)

Eléments examinés: 269339

Temps écoulé: 2 hour(s), 38 minute(s), 53 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 32

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

F:\FOUND.000\FILE1028.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1040.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1052.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1064.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1076.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1088.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1100.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1112.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1124.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1136.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1148.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1160.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1172.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1184.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1196.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1208.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1220.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1232.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1244.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1256.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1268.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1280.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1292.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1304.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1316.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1328.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1340.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1352.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1364.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1376.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1388.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

F:\FOUND.000\FILE1400.CHK (Worm.Brontok) -> Quarantined and deleted successfully.

 

RSTIL :

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by clémence at 2010-02-24 07:49:19

Microsoft® Windows Vista™ Édition Familiale Premium

System drive C: has 19 GB (21%) free of 94 GB

Total RAM: 1918 MB (57% free)

 

 

======Scheduled tasks folder======

 

C:\Windows\tasks\GlaryInitialize.job

C:\Windows\tasks\Malwarebytes' Scheduled Update for clémence.job

C:\Windows\tasks\User_Feed_Synchronization-{08BC8AEB-892A-480A-B95B-1F995F3831A5}.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{053F9267-DC04-4294-A72C-58F732D338C0}]

HP Print Clips - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll [2007-03-02 177768]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

Aide pour le lien d'Adobe PDF Reader - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]

AVG Safe Search - C:\Program Files\AVG\AVG8\avgssie.dll [2009-12-12 1111320]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]

Search Helper - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll [2009-05-19 137600]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]

Java Plug-In SSV Helper - C:\Program Files\Java\jre6\bin\ssv.dll [2009-01-04 320920]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]

AVG Security Toolbar BHO - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll [2009-11-25 1230080]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-01-04 34816]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]

Windows Live Toolbar Helper - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - AVG Security Toolbar - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll [2009-11-25 1230080]

{21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2007-04-10 4431872]

"SMSERIAL"=C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe [2006-11-22 630784]

"NeroFilterCheck"=C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [2007-02-26 153136]

"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-01-04 136600]

"AVG8_TRAY"=C:\PROGRA~1\AVG\AVG8\avgtray.exe [2009-12-12 2043160]

"HP Software Update"=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [2007-03-11 49152]

"LXDDCATS"=rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXDDtime.dll,_RunDLLEntry@16 []

"Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2010-01-07 1394000]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-13 1232896]

"StartCCC"=c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2006-11-10 90112]

"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2006-11-02 201728]

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE

 

C:\Users\clémence\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

OpenOffice.org 2.0.lnk - C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLS"="avgrsstx.dll"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=145

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]

shell\AutoRun\command - G:\LaunchU3.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2716c859-83ab-11dc-b4af-00030d65ab6c}]

shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{55224f4a-8e9b-11dc-8c4e-00030d65ab6c}]

shell\AutoRun\command - G:\LaunchU3.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bb6b985e-ff70-11de-baff-00030d65ab6c}]

shell\AUTopLaY\command - F:\rrnsh.pif

shell\AutoRun\command - F:\rrnsh.pif

shell\explORE\command - F:\rrnsh.pif

shell\OpEn\command - F:\rrnsh.pif

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9203eb7-1b25-11df-accf-00030d65ab6c}]

shell\AutoRun\command - setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd604168-da8f-11de-8e36-00030d65ab6c}]

shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL BTS com.exE

 

 

======File associations======

 

.exe - open - "C:\Users\clémence\AppData\Local\av.exe" /START "%1" %*

 

======List of files/folders created in the last 1 months======

 

2010-02-24 07:49:20 ----D---- C:\Program Files\trend micro

2010-02-24 07:49:19 ----D---- C:\rsit

2010-02-23 22:14:04 ----A---- C:\Windows\is-0K5H9.exe

2010-02-23 22:04:10 ----A---- C:\TDSSKiller.2.2.4_23.02.2010_22.04.10_log.txt

2010-02-23 22:03:59 ----D---- C:\tdsskiller

2010-02-23 21:29:46 ----A---- C:\Windows\system32\tzres.dll

2010-02-23 21:26:38 ----A---- C:\Windows\system32\secproc_isv.dll

2010-02-23 21:26:38 ----A---- C:\Windows\system32\secproc.dll

2010-02-23 21:26:37 ----A---- C:\Windows\system32\RMActivate_ssp_isv.exe

2010-02-23 21:26:37 ----A---- C:\Windows\system32\RMActivate_ssp.exe

2010-02-23 21:26:37 ----A---- C:\Windows\system32\RMActivate_isv.exe

2010-02-23 21:26:37 ----A---- C:\Windows\system32\RMActivate.exe

2010-02-23 21:26:32 ----A---- C:\Windows\system32\secproc_ssp_isv.dll

2010-02-23 21:26:32 ----A---- C:\Windows\system32\secproc_ssp.dll

2010-02-23 21:26:32 ----A---- C:\Windows\system32\msdrm.dll

2010-02-18 20:09:51 ----D---- C:\Users\clémence\AppData\Roaming\QuickScan

2010-02-16 22:23:01 ----D---- C:\Program Files\Spycheck Fast AntiSpyware

2010-02-16 19:15:32 ----D---- C:\Users\clémence\AppData\Roaming\Malwarebytes

2010-02-16 19:15:23 ----D---- C:\ProgramData\Malwarebytes

2010-02-16 19:15:22 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

2010-02-11 10:30:56 ----A---- C:\Windows\system32\tcpipcfg.dll

2010-02-11 10:30:56 ----A---- C:\Windows\system32\netiougc.exe

2010-02-11 10:30:49 ----A---- C:\Windows\system32\tsbyuv.dll

2010-02-11 10:30:49 ----A---- C:\Windows\system32\quartz.dll

2010-02-11 10:30:49 ----A---- C:\Windows\system32\msyuv.dll

2010-02-11 10:30:49 ----A---- C:\Windows\system32\msvidc32.dll

2010-02-11 10:30:49 ----A---- C:\Windows\system32\msvfw32.dll

2010-02-11 10:30:49 ----A---- C:\Windows\system32\msrle32.dll

2010-02-11 10:30:49 ----A---- C:\Windows\system32\mciavi32.dll

2010-02-11 10:30:49 ----A---- C:\Windows\system32\iyuv_32.dll

2010-02-11 10:30:49 ----A---- C:\Windows\system32\avifil32.dll

2010-02-11 10:30:48 ----A---- C:\Windows\system32\avicap32.dll

2010-02-01 18:43:06 ----A---- C:\ProgramData\SPL75FC.tmp

2010-01-28 11:55:38 ----A---- C:\ProgramData\SPLA2FD.tmp

2010-01-25 18:07:02 ----D---- C:\logs

 

======List of files/folders modified in the last 1 months======

 

2010-02-24 07:49:22 ----D---- C:\Windows\Prefetch

2010-02-24 07:49:20 ----RD---- C:\Program Files

2010-02-24 07:49:13 ----D---- C:\Windows\Temp

2010-02-24 07:44:38 ----D---- C:\Program Files\Mozilla Firefox

2010-02-24 07:38:37 ----D---- C:\Windows\system32\drivers

2010-02-24 07:38:37 ----D---- C:\Windows\Panther

2010-02-24 02:35:11 ----D---- C:\Windows\tracing

2010-02-24 01:38:38 ----SHD---- C:\System Volume Information

2010-02-23 22:23:49 ----D---- C:\Windows\System32

2010-02-23 22:23:49 ----D---- C:\Windows\inf

2010-02-23 22:23:49 ----A---- C:\Windows\system32\PerfStringBackup.INI

2010-02-23 22:16:02 ----D---- C:\Windows

2010-02-23 22:14:06 ----D---- C:\Windows\Tasks

2010-02-23 22:14:06 ----D---- C:\Windows\system32\Tasks

2010-02-23 21:42:27 ----D---- C:\Windows\system32\fr-FR

2010-02-23 21:42:25 ----RSD---- C:\Windows\Fonts

2010-02-23 21:40:11 ----D---- C:\Windows\winsxs

2010-02-23 21:37:49 ----D---- C:\Windows\system32\catroot

2010-02-23 21:26:00 ----D---- C:\Windows\system32\catroot2

2010-02-21 14:11:42 ----D---- C:\Users\clémence\AppData\Roaming\OpenOffice.org2

2010-02-18 20:31:14 ----D---- C:\Windows\system32\wbem

2010-02-18 20:29:52 ----D---- C:\Windows\system32\config

2010-02-18 20:29:35 ----D---- C:\Windows\system32\spool

2010-02-18 20:29:34 ----D---- C:\ProgramData\HP Product Assistant

2010-02-18 20:29:34 ----D---- C:\Program Files\Glary Utilities

2010-02-18 20:29:33 ----D---- C:\Windows\registration

2010-02-18 19:55:13 ----SD---- C:\ProgramData\Microsoft

2010-02-16 22:23:06 ----SHD---- C:\Windows\Installer

2010-02-16 21:08:40 ----HD---- C:\Windows\PIF

2010-02-16 19:15:23 ----HD---- C:\ProgramData

2010-02-15 20:39:11 ----D---- C:\Windows\Debug

2010-02-15 16:32:28 ----D---- C:\Users\clémence\AppData\Roaming\Adobe

2010-02-15 13:32:01 ----HD---- C:\$AVG8.VAULT$

2010-02-12 16:46:15 ----D---- C:\Windows\system32\migration

2010-02-12 16:46:15 ----D---- C:\Program Files\Windows Mail

2010-02-09 21:43:08 ----D---- C:\Downloads

2010-02-01 20:26:20 ----A---- C:\Windows\system32\mrt.exe

2010-02-01 15:37:23 ----D---- C:\Program Files\lx_Cats

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 AvgLdx86;AVG Free AVI Loader Driver x86; C:\Windows\System32\Drivers\avgldx86.sys [2009-09-01 335240]

R1 AvgMfx86;AVG Free On-access Scanner Minifilter Driver x86; C:\Windows\System32\Drivers\avgmfx86.sys [2009-09-01 27784]

R1 AvgTdiX;AVG8 Network Redirector; C:\Windows\System32\Drivers\avgtdix.sys [2009-05-20 108552]

R1 StarOpen;StarOpen; C:\Windows\system32\drivers\StarOpen.sys [2006-07-24 5632]

R3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2007-02-01 690176]

R3 CmBatt;Pilote pour Batterie à méthode de contrôle ACPI Microsoft; C:\Windows\system32\DRIVERS\CmBatt.sys [2007-11-16 14208]

R3 GEARAspiWDM;GEARAspiWDM; C:\Windows\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664]

R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-04-10 1764960]

R3 R300;R300; C:\Windows\system32\DRIVERS\atikmdag.sys [2007-02-02 2385920]

R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2007-01-15 70144]

R3 smserial;smserial; C:\Windows\system32\DRIVERS\smserial.sys [2006-11-22 982272]

R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2006-11-02 82560]

S3 Dot4;Pilote MS IEEE-1284.4; C:\Windows\system32\DRIVERS\Dot4.sys [2006-11-02 131584]

S3 Dot4Print;Pilote de classe Imprimante pour IEEE-1284.4; C:\Windows\system32\DRIVERS\Dot4Prt.sys [2006-11-02 16384]

S3 dot4usb;MS Dot4USB Filter Dot4USB Filter; C:\Windows\system32\DRIVERS\dot4usb.sys [2006-11-02 36864]

S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2006-11-02 5632]

S3 fssfltr;FssFltr; C:\Windows\system32\DRIVERS\fssfltr.sys [2009-08-05 54632]

S3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]

S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2006-11-02 8192]

S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2006-11-02 5888]

S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2006-11-02 5504]

S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2006-11-02 6016]

S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM); C:\Windows\system32\DRIVERS\ss_bus.sys [2007-05-02 83592]

S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter; C:\Windows\system32\DRIVERS\ss_mdfl.sys [2007-05-02 15112]

S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers; C:\Windows\system32\DRIVERS\ss_mdm.sys [2007-05-02 109704]

S3 usbbus;LGE Mobile Composite USB Device; C:\Windows\system32\DRIVERS\lgusbbus.sys [2008-03-26 12800]

S3 UsbDiag;LGE Mobile USB Serial Port; C:\Windows\system32\DRIVERS\lgusbdiag.sys [2008-03-26 19840]

S3 USBModem;LGE Mobile USB Modem; C:\Windows\system32\DRIVERS\lgusbmodem.sys [2008-03-26 24832]

S3 usbscan;Pilote de scanneur USB; C:\Windows\system32\DRIVERS\usbscan.sys [2006-11-02 35328]

S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2006-11-02 39936]

S4 iaStor;Intel AHCI Controller; C:\Windows\system32\drivers\iastor.sys [2006-05-11 247808]

S4 nvatabus;nvatabus; C:\Windows\system32\drivers\nvatabus.sys [2006-07-14 105088]

S4 viamraid;viamraid; C:\Windows\system32\drivers\viamraid.sys [2006-03-31 100992]

S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2007-10-31 110592]

R2 Ati External Event Utility;Ati External Event Utility; C:\Windows\system32\Ati2evxx.exe [2007-02-02 565248]

R2 avg8emc;AVG Free8 E-mail Scanner; C:\PROGRA~1\AVG\AVG8\avgemc.exe [2009-09-01 908056]

R2 avg8wd;AVG Free8 WatchDog; C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2009-09-01 297752]

R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:\Program Files\Bonjour\mDNSResponder.exe [2006-02-28 229376]

R2 hpqddsvc;Service HP CUE DeviceDiscovery; C:\Windows\system32\svchost.exe [2006-11-02 22016]

R2 lxdd_device;lxdd_device; C:\Windows\system32\lxddcoms.exe [2007-02-13 537520]

R2 Net Driver HPZ12;Net Driver HPZ12; C:\Windows\System32\svchost.exe [2006-11-02 22016]

R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\Windows\System32\svchost.exe [2006-11-02 22016]

R2 SeaPort;SeaPort; C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-05-19 240512]

R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler; C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe [2006-12-08 204800]

R3 hpqcxs08;hpqcxs08; C:\Windows\system32\svchost.exe [2006-11-02 22016]

S2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique; C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe []

S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-04-08 654848]

S3 fsssvc;Service Windows Live Contrôle parental; C:\Program Files\Windows Live\Family Safety\fsssvc.exe [2009-08-05 704864]

S3 iPod Service;Service de l'iPod; C:\Program Files\iPod\bin\iPodService.exe [2007-12-11 504104]

S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe [2007-02-26 267824]

 

-----------------EOF-----------------

 

info.txt logfile of random's system information tool 1.06 2010-02-24 07:50:09

 

======Uninstall list======

 

-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER

-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL

-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL

-->C:\Windows\UNNeroShowTime.exe /UNINSTALL

-->C:\Windows\UNNeroVision.exe /UNINSTALL

-->C:\Windows\UNRecode.exe /UNINSTALL

-->MsiExec.exe /I{C4CBAD7E-DF4A-4FEC-AC17-8BC709AFB844}

32 Bit HP CIO Components Installer-->MsiExec.exe /I{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}

Adobe After Effects CS3 Presets-->MsiExec.exe /I{193EAFD0-1BAF-4FB4-B18F-79D5D6A4B285}

Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}

Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}

Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}

Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}

Adobe BridgeTalk Plugin CS3-->MsiExec.exe /I{B73CFB12-C814-4638-AFFD-7E3AAFAF0B4E}

Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}

Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}

Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}

Adobe Color Common Settings-->C:\Program Files\Common Files\Adobe\Installers\6c8e2cb4fd241c55406016127a6ab2e\Setup.exe

Adobe Color Common Settings-->MsiExec.exe /I{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}

Adobe Color EU Recommended Settings-->MsiExec.exe /I{73B5D990-04EA-4751-B10F-5534770B91F2}

Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}

Adobe Color NA Extra Settings-->MsiExec.exe /I{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}

Adobe Creative Suite 3 Master Collection-->MsiExec.exe /I{5D2398DF-3022-4820-93BA-F1175FBEA9CA}

Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}

Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}

Adobe ExtendScript Toolkit 2-->C:\Program Files\Common Files\Adobe\Installers\5bc0f8414ec36c555a3e7e5ec2e225e\Setup.exe

Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{1BCEA516-B4C5-4B2D-BFA0-AB7910BAD862}

Adobe Extension Manager CS3-->MsiExec.exe /I{BE5F3842-8309-4754-92D5-83E02E6077A3}

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe

Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe

Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}

Adobe Help Viewer CS3-->MsiExec.exe /I{7ACFB90E-8FD0-4397-AD3A-5195412623A3}

Adobe Illustrator CS3-->MsiExec.exe /I{6E08CE13-C2AB-4749-9335-5900B958929E}

Adobe InDesign CS2-->msiexec /I{7F4C8163-F259-49A0-A018-2857A90578BC}

Adobe InDesign CS3 Icon Handler-->MsiExec.exe /I{EA7B3CC4-366D-4CF6-8350-FD7A7034116E}

Adobe InDesign CS3-->MsiExec.exe /I{FE8327F9-3AC1-4586-8C7E-3DEE2BC92441}

Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}

Adobe MotionPicture Color Files-->MsiExec.exe /I{6B708481-748A-4EB4-97C1-CD386244FF77}

Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}

Adobe Photoshop CS2-->msiexec /I {236BB7C4-4419-42FD-040C-1E257A25E34D}

Adobe Photoshop CS3-->MsiExec.exe /I{C1FA4B3B-1625-4922-9C9D-780E8FCE161A}

Adobe Photoshop Elements 5.0-->msiexec /I {A7B609FB-83D8-4FC3-8477-1BC65ECFE85B}

Adobe Reader 8.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}

Adobe Setup-->MsiExec.exe /I{1628F6BD-5ED1-4FD1-B90F-C106AF4E00F0}

Adobe Setup-->MsiExec.exe /I{64C1FA9A-FA94-4B6E-B3E4-8573738E4AD1}

Adobe Setup-->MsiExec.exe /I{D504303A-717D-414C-BA9F-FE01093E2EF8}

Adobe SING CS3-->MsiExec.exe /I{B671CBFD-4109-4D35-9252-3062D3CCB7B2}

Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}

Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}

Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}

Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}

Adobe Video Profiles-->MsiExec.exe /I{845A8DB9-8802-4FD3-9FE3-938A6C46A2EC}

Adobe WAS CS3-->MsiExec.exe /I{C5BD220A-EFE8-48A5-B70E-9503D535FACE}

Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}

Adobe XMP DVA Panels CS3-->MsiExec.exe /I{0224CACC-994D-45F8-B973-D65056EA9C2F}

Adobe XMP Panels CS3-->MsiExec.exe /I{D5A31AB1-345D-47C7-A87B-036A669F6DF1}

AHV content for Acrobat and Flash-->MsiExec.exe /I{6BBAA81D-6A7E-43AD-8889-2F002DCAAFDD}

Ajouter ou supprimer Adobe Creative Suite 3 Master Collection-->C:\Program Files\Common Files\Adobe\Installers\b5d5789539ea1f004a4defceea74312\Setup.exe

Apple Mobile Device Support-->MsiExec.exe /I{B5C209B1-8DDB-4642-A573-375B951514CB}

Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}

Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe

Assistant de connexion Windows Live-->MsiExec.exe /I{D3116CC7-24DC-4CA3-9CE1-23FED836E9F2}

ATI Uninstaller-->C:\Program Files\ATI\CIM\Bin\Atisetup.exe -uninstall all

Audacity 1.2.6-->"C:\Program Files\Audacity\unins000.exe"

AVG Free 8.5-->C:\Program Files\AVG\AVG8\setup.exe /UNINSTALL

CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"

DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC

DivX Content Uploader-->C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER

DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER

DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER

DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN

FirstSteps Diagnostics-->MsiExec.exe /X{94D66D71-12F0-48A5-B46A-D4B835A0F1B7}

Galerie de photos Windows Live-->MsiExec.exe /X{B131E59D-202C-43C6-84C9-68F0C37541F1}

Glary Utilities 2.15.0.728-->"C:\Program Files\Glary Utilities\unins000.exe"

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""

HP Smart Web Printing-->MsiExec.exe /X{415CDA53-9100-476F-A7B2-476691E117C7}

HP Solution Center 9.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat

HP Update-->MsiExec.exe /X{8C6027FD-53DC-446D-BB75-CACD7028A134}

HPSSupply-->MsiExec.exe /X{487B0B9B-DCD4-440D-89A0-A6EDE1A545A3}

Inkscape 0.45.1-->"C:\Program Files\Inkscape\uninst.exe"

Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe

Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}

iTunes-->MsiExec.exe /I{18388EF8-E0A3-442B-8BFE-E2F1B3D05C91}

Java 2 Runtime Environment, SE v1.4.2_15-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142150}

Java 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}

Java 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}

Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}

Lexmark 2500 Series-->C:\Program Files\Lexmark 2500 Series\Install\x86\Uninst.exe

LG PC Suite II-->C:\Program Files\InstallShield Installation Information\{14DCD95A-EBA3-4BF0-B7EF-533852E99BE6}\setup.exe -runfromtemp -l0x040c -removeonly

LG USB Modem driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C3ABE126-2BB2-4246-BFE1-6797679B3579}\setup.exe" -l0x40c LG -removeonly

Lightroom-->MsiExec.exe /I{D4134B0B-EA9B-4835-A77A-60BEE6277101}

Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins001.exe"

Messenger Plus! Live-->"C:\Program Files\Messenger Plus\Uninstall.exe"

Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}

Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe

Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}

Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}

Microsoft Office 2000 CD-ROM 2-->MsiExec.exe /I{0004040C-78E1-11D2-B60F-006097C998E7}

Microsoft Office 2000 Professional-->MsiExec.exe /I{0001040C-78E1-11D2-B60F-006097C998E7}

Microsoft Search Enhancement Pack-->MsiExec.exe /X{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}

Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}

Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}

Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}

Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}

Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe

Motorola SM56 Data Fax Modem-->rundll32.exe sm56co6a.dll,SM56UnInstaller

Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe

MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}

MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}

MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}

MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}

MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}

Nero 7 Essentials-->MsiExec.exe /X{81CD6232-10F5-4832-B3DA-1B88B1571036}

Neuf - Kit de connexion-->C:\Program Files\Neuf\Kit\uninstall.exe

OpenOffice.org 2.0-->MsiExec.exe /I{518E7702-18C9-4CF7-9BC2-EEEA9E252763}

Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}

PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}

QuickTime-->MsiExec.exe /I{E0D51394-1D45-460A-B62D-383BC4F8B335}

Realtek High Definition Audio Driver-->RtlUpd.exe -r -m

SAMSUNG Mobile Modem Driver Set-->C:\Windows\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe

Samsung Mobile phone USB driver Software-->C:\Windows\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe

SAMSUNG Mobile USB Modem 1.0 Software-->C:\Windows\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe

SAMSUNG Mobile USB Modem Software-->C:\Windows\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe

Samsung PC Studio 3 USB Driver Installer-->"C:\Program Files\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -runfromtemp -l0x040c -removeonly

Samsung PC Studio 3-->"C:\Program Files\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -runfromtemp -l0x040c -removeonly

Scribus 1.3.4-->C:\Program Files\Scribus 1.3.4\uninst.exe

Spycheck Fast AntiSpyware-->MsiExec.exe /I{0B6441E4-A2E8-4703-9448-F0B9DC722643}

Unity Web Player-->C:\Program Files\Unity\WebPlayer\Uninstall.exe

Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""

Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}

Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}

Windows Live Contrôle parental-->MsiExec.exe /X{D5D81435-B8DE-4CAF-867F-7998F2B92CFC}

Windows Live FolderShare-->MsiExec.exe /X{2075CB0A-D26F-4DAA-B424-5079296B43BA}

Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}

Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}

Windows Live Movie Maker-->MsiExec.exe /X{53B20C18-D8D4-4588-8737-9BBFE303C354}

Windows Live Toolbar-->MsiExec.exe /X{F7D27C70-90F5-49B9-B188-0A133C0CE353}

Windows Live Writer-->MsiExec.exe /X{4634B21A-CC07-4396-890C-2B8168661FEA}

 

======Security center information======

 

AV: AVG Anti-Virus Free

AS: AVG Anti-Virus Free (disabled)

AS: Windows Defender

 

======System event log======

 

Computer Name: PC-de-clémence

Event Code: 6

Message: IRQARB : le BIOS ACP ne contient pas un IRQ pour le périphérique dans le connecteur PCI 4, fonction 0. Contactez le fabricant de votre ordinateur pour une assistance technique.

Record Number: 196263

Source Name: ACPI

Time Written: 20100224063747.933615-000

Event Type: Erreur

User:

 

Computer Name: PC-de-clémence

Event Code: 6

Message: IRQARB : le BIOS ACP ne contient pas un IRQ pour le périphérique dans le connecteur PCI 7, fonction 0. Contactez le fabricant de votre ordinateur pour une assistance technique.

Record Number: 196264

Source Name: ACPI

Time Written: 20100224063747.933615-000

Event Type: Erreur

User:

 

Computer Name: PC-de-clémence

Event Code: 6

Message: IRQARB : le BIOS ACP ne contient pas un IRQ pour le périphérique dans le connecteur PCI 6, fonction 0. Contactez le fabricant de votre ordinateur pour une assistance technique.

Record Number: 196265

Source Name: ACPI

Time Written: 20100224063747.996016-000

Event Type: Erreur

User:

 

Computer Name: PC-de-clémence

Event Code: 7000

Message: Le service Parallel port driver n'a pas pu démarrer en raison de l'erreur :

Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé.

Record Number: 196310

Source Name: Service Control Manager

Time Written: 20100224063957.000000-000

Event Type: Erreur

User:

 

Computer Name: PC-de-clémence

Event Code: 7000

Message: Le service Planificateur LiveUpdate automatique n'a pas pu démarrer en raison de l'erreur :

Le chemin d'accès spécifié est introuvable.

Record Number: 196318

Source Name: Service Control Manager

Time Written: 20100224063957.000000-000

Event Type: Erreur

User:

 

=====Application event log=====

 

Computer Name: PC-de-clémence

Event Code: 1001

Message: Échec de détection du produit ‘{94D66D71-12F0-48A5-B46A-D4B835A0F1B7}’, fonctionnalité ‘FirstSteps’ lors de la demande du composant ‘{BF0F3FFD-3704-4E5E-A780-AF38F0CAB6F9}’

Record Number: 1350898

Source Name: MsiInstaller

Time Written: 20100223211728.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-clémence

Event Code: 1004

Message: Échec de détection du produit ‘{94D66D71-12F0-48A5-B46A-D4B835A0F1B7}’, fonctionnalité ‘FirstSteps’, composant ‘{5611776D-FD86-43BE-A476-53575C1C3FD7}. La ressource ‘C:\firststeps\OnlineDiagnostic\Logfiles\’ n’existe pas.

Record Number: 1350927

Source Name: MsiInstaller

Time Written: 20100224063950.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-clémence

Event Code: 1001

Message: Échec de détection du produit ‘{94D66D71-12F0-48A5-B46A-D4B835A0F1B7}’, fonctionnalité ‘FirstSteps’ lors de la demande du composant ‘{BF0F3FFD-3704-4E5E-A780-AF38F0CAB6F9}’

Record Number: 1350928

Source Name: MsiInstaller

Time Written: 20100224063950.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-clémence

Event Code: 1004

Message: Échec de détection du produit ‘{94D66D71-12F0-48A5-B46A-D4B835A0F1B7}’, fonctionnalité ‘FirstSteps’, composant ‘{5611776D-FD86-43BE-A476-53575C1C3FD7}. La ressource ‘C:\firststeps\OnlineDiagnostic\Logfiles\’ n’existe pas.

Record Number: 1350930

Source Name: MsiInstaller

Time Written: 20100224063951.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-clémence

Event Code: 1001

Message: Échec de détection du produit ‘{94D66D71-12F0-48A5-B46A-D4B835A0F1B7}’, fonctionnalité ‘FirstSteps’ lors de la demande du composant ‘{BF0F3FFD-3704-4E5E-A780-AF38F0CAB6F9}’

Record Number: 1350931

Source Name: MsiInstaller

Time Written: 20100224063951.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

=====Security event log=====

 

Computer Name: PC-de-clémence

Event Code: 4672

Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

 

Sujet :

ID de sécurité : S-1-5-18

Nom du compte : SYSTEM

Domaine du compte : AUTORITE NT

ID d’ouverture de session : 0x3e7

 

Privilèges : SeAssignPrimaryTokenPrivilege

SeTcbPrivilege

SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeAuditPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege

Record Number: 50854

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20090814215617.821940-000

Event Type: Succès de l'audit

User:

 

Computer Name: PC-de-clémence

Event Code: 4648

Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

 

Sujet :

ID de sécurité : S-1-5-18

Nom du compte : PC-DE-CLÉMENCE$

Domaine du compte : WORKGROUP

ID d’ouverture de session : 0x3e7

GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

 

Compte dont les informations d’identification ont été utilisées :

Nom du compte : SYSTEM

Domaine du compte : AUTORITE NT

GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

 

Serveur cible :

Nom du serveur cible : localhost

Informations supplémentaires : localhost

 

Informations sur le processus :

ID du processus : 0x278

Nom du processus : C:\Windows\System32\services.exe

 

Informations sur le réseau :

Adresse du réseau : -

Port : -

 

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.

Record Number: 50855

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20090814215618.383540-000

Event Type: Succès de l'audit

User:

 

Computer Name: PC-de-clémence

Event Code: 4624

Message: L’ouverture de session d’un compte s’est correctement déroulée.

 

Sujet :

ID de sécurité : S-1-5-18

Nom du compte : PC-DE-CLÉMENCE$

Domaine du compte : WORKGROUP

ID d’ouverture de session : 0x3e7

 

Type d’ouverture de session : 5

 

Nouvelle ouverture de session :

ID de sécurité : S-1-5-18

Nom du compte : SYSTEM

Domaine du compte : AUTORITE NT

ID d’ouverture de session : 0x3e7

GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

 

Informations sur le processus :

ID du processus : 0x278

Nom du processus : C:\Windows\System32\services.exe

 

Informations sur le réseau :

Nom de la station de travail :

Adresse du réseau source : -

Port source : -

 

Informations détaillées sur l’authentification :

Processus d’ouverture de session : Advapi

Package d’authentification : Negotiate

Services en transit : -

Nom du package (NTLM uniquement) : -

Longueur de la clé : 0

 

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

 

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

 

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

 

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

 

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

 

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.

- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .

- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.

- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.

- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.

Record Number: 50856

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20090814215618.383540-000

Event Type: Succès de l'audit

User:

 

Computer Name: PC-de-clémence

Event Code: 4672

Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

 

Sujet :

ID de sécurité : S-1-5-18

Nom du compte : SYSTEM

Domaine du compte : AUTORITE NT

ID d’ouverture de session : 0x3e7

 

Privilèges : SeAssignPrimaryTokenPrivilege

SeTcbPrivilege

SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeAuditPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege

Record Number: 50857

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20090814215618.383540-000

Event Type: Succès de l'audit

User:

 

Computer Name: PC-de-clémence

Event Code: 4648

Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

 

Sujet :

ID de sécurité : S-1-5-18

Nom du compte : PC-DE-CLÉMENCE$

Domaine du compte : WORKGROUP

ID d’ouverture de session : 0x3e7

GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

 

Compte dont les informations d’identification ont été utilisées :

Nom du compte : clémence

Domaine du compte : PC-de-clémence

GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

 

Serveur cible :

Nom du serveur cible : localhost

Informations supplémentaires : localhost

 

Informations sur le processus :

ID du processus : 0x2b8

Nom du processus : C:\Windows\System32\winlogon.exe

 

Informations sur le réseau :

Adresse du réseau : 127.0.0.1

Port : 0

 

Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.

Record Number: 50858

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20090814215624.647140-000

Event Type: Succès de l'audit

User:

 

======Environment variables======

 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"FP_NO_HOST_CHECK"=NO

"OS"=Windows_NT

"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;c:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Samsung\Samsung PC Studio 3\

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

"PROCESSOR_ARCHITECTURE"=x86

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"USERNAME"=SYSTEM

"windir"=%SystemRoot%

"PROCESSOR_LEVEL"=15

"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 72 Stepping 2, AuthenticAMD

"PROCESSOR_REVISION"=4802

"NUMBER_OF_PROCESSORS"=2

"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip

"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

 

-----------------EOF-----------------

 

Voilà les informations ! Par contre j'ai toujours le problème pour lire les exe. Je pense même que le virus n'a pas été supprimé mais qu'il est en quelque sorte désactivé à cause du fait que je n'arrive pas à lancer les exe !

[pear]

Hijackthis n'apparait pa dan s votre rapport.

Vous avez un 64 bits ?

 

 

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Pour cela,sous Xp :

Copier/coller ,dans le bloc notes,ce qui suit ,(en vert)sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Sous Vista/7

Copier/coller ce qui suiten vertdans le bloc notes,sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers]

"DisableAutoplay"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Fichier ->Enregistrez sous..

Clic sur bureau à gauche

Dans type de fichier->Tous les fichiers

Dans Nom-> regis.reg.

Allez sur le bureau

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre

[/color]

 

 

Télécharger Usb Fix de C_XX & Chiquitine29, sur le bureau

 

Installez le.

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

TéléchargerOpen-Config de Lopp Blanc

Si vous êtes sous Vista et 7, si l'UAC est activé il faut le lancer en mode "Administrateur".

 

en vert c'est bon, en rouge on peut déverrouiller.

Un clic sur le bouton "Déverrouiller la configuration" va permettre de corriger tous les points en rouge,

 

Si vous êtes Sous Vista:

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

 

Lancer l'installation avec les paramètres par défault

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

 

Ensuite,

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

 

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option 3 (vaccination)

 

 

[Tienos]

Tout a été fait sauf l'exécution de usbfix car l'application ne veut pas se lancer que ce soit administrateur ou pas !

Je ne comprends pas le 64bits :S !

 

EDIT 1 : J'ai bidouillé un truc ce qui fait que j'ai réussi à lancer l'application

 

EDIT 2 :

 

############################## | UsbFix V6.097 |

 

User : clémence (Administrateurs) # PC-DE-CLÉMENCE

Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8

Start at: 19:12:28 | 24/02/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

AMD Turion 64 X2 Mobile Technology TL-56

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #

Internet Explorer 7.0.6000.16982

Windows Firewall Status : Enabled

AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]

 

C:\ -> Disque fixe local # 92,21 Go (18,74 Go free) [sYSTEM] # NTFS

D:\ -> Disque fixe local # 45,12 Go (45,02 Go free) [DATA] # NTFS

E:\ -> Disque CD-ROM

F:\ -> Disque amovible # 3,78 Go (2,04 Go free) [CLÉMENCE] # FAT32

 

############################## | Processus actifs |

 

C:\Windows\System32\smss.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\wininit.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\Ati2evxx.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\Ati2evxx.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\lxddcoms.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\Windows\system32\svchost.exe

C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\SearchIndexer.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\Program Files\AVG\AVG8\avgcsrvx.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\taskeng.exe

C:\Windows\servicing\TrustedInstaller.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\WUDFHost.exe

C:\Windows\system32\wbem\wmiprvse.exe

 

################## | Elements infectieux |

 

C:\Windows\System32\autorun.inf

C:\Driver\Desktop.ini

C:\driver

F:\autorun.inf

 

################## | Registre |

 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]

 

################## | Mountpoints2 |

 

HKCU\..\..\Explorer\MountPoints2\G

shell\AutoRun\command =G:\LaunchU3.exe

 

HKCU\..\..\Explorer\MountPoints2\{1aa6284b-e97a-11de-8c5a-00030d65ab6c}

shell\AutoRun\command =

shell\open\Command =

 

HKCU\..\..\Explorer\MountPoints2\{2716c859-83ab-11dc-b4af-00030d65ab6c}

shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

 

HKCU\..\..\Explorer\MountPoints2\{34f0256e-ebe6-11de-a4de-00030d65ab6c}

shell\AutoRun\command =

 

HKCU\..\..\Explorer\MountPoints2\{55224f4a-8e9b-11dc-8c4e-00030d65ab6c}

shell\AutoRun\command =G:\LaunchU3.exe

 

HKCU\..\..\Explorer\MountPoints2\{bb6b985e-ff70-11de-baff-00030d65ab6c}

shell\AUTopLaY\CoMmaNd =F:\rrnsh.pif

shell\AutoRun\command =F:\rrnsh.pif

shell\explORE\ComMand =F:\rrnsh.pif

shell\OpEn\ComMand =F:\rrnsh.pif

 

HKCU\..\..\Explorer\MountPoints2\{e9203eb7-1b25-11df-accf-00030d65ab6c}

shell\AutoRun\command =setup.exe

 

################## | Vaccin |

 

 

################## | ! Fin du rapport # UsbFix V6.097 ! |

Modifié le 24 février 2010 par Tienos

[Tienos]

Dernier rapport !

 

############################## | UsbFix V6.097 |

 

User : clémence (Administrateurs) # PC-DE-CLÉMENCE

Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8

Start at: 19:22:52 | 24/02/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

AMD Turion 64 X2 Mobile Technology TL-56

Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #

Internet Explorer 7.0.6000.16982

Windows Firewall Status : Enabled

AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]

 

C:\ -> Disque fixe local # 92,21 Go (18,75 Go free) [sYSTEM] # NTFS

D:\ -> Disque fixe local # 45,12 Go (45,02 Go free) [DATA] # NTFS

E:\ -> Disque CD-ROM

F:\ -> Disque amovible # 3,78 Go (2,04 Go free) [CLÉMENCE] # FAT32

 

############################## | Processus actifs |

 

C:\Windows\System32\smss.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\wininit.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\Ati2evxx.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\Ati2evxx.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\runonce.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\lxddcoms.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Windows\system32\svchost.exe

C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\SearchIndexer.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\Program Files\AVG\AVG8\avgcsrvx.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\system32\WUDFHost.exe

C:\Windows\system32\taskeng.exe

 

################## | Elements infectieux |

 

Supprimé ! C:\Windows\System32\autorun.inf

Supprimé ! C:\Driver\Desktop.ini

Supprimé ! C:\driver

Supprimé ! C:\$Recycle.Bin\S-1-5-21-1113784292-3689321465-4024778571-1000

Supprimé ! C:\$Recycle.Bin\S-1-5-21-2152478756-3922319563-605102323-500

Supprimé ! C:\$Recycle.Bin\S-1-5-21-4283897892-1156154913-2601182381-500

Supprimé ! D:\$Recycle.Bin\S-1-5-21-1113784292-3689321465-4024778571-1000

Supprimé ! D:\$Recycle.Bin\S-1-5-21-4283897892-1156154913-2601182381-500

Supprimé ! F:\autorun.inf

Supprimé ! F:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

 

################## | Registre |

 

Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]

 

################## | Mountpoints2 |

 

Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command

Supprimé ! HKCU\...\Explorer\MountPoints2\{1aa6284b-e97a-11de-8c5a-00030d65ab6c}\Shell\AutoRun\Command

Supprimé ! HKCU\...\Explorer\MountPoints2\{2716c859-83ab-11dc-b4af-00030d65ab6c}\Shell\AutoRun\Command

Supprimé ! HKCU\...\Explorer\MountPoints2\{34f0256e-ebe6-11de-a4de-00030d65ab6c}\Shell\AutoRun\Command

Supprimé ! HKCU\...\Explorer\MountPoints2\{55224f4a-8e9b-11dc-8c4e-00030d65ab6c}\Shell\AutoRun\Command

Supprimé ! HKCU\...\Explorer\MountPoints2\{bb6b985e-ff70-11de-baff-00030d65ab6c}\Shell\AUTopLaY\Command

Supprimé ! HKCU\...\Explorer\MountPoints2\{e9203eb7-1b25-11df-accf-00030d65ab6c}\Shell\AutoRun\Command

 

################## | Listing des fichiers présent |

 

[06/12/2006 09:23|--a------|15] C:\appinst.cmd

[18/09/2006 22:43|--a------|24] C:\autoexec.bat

[02/11/2006 10:53|-rahs----|438840] C:\bootmgr

[24/05/2007 15:50|-ra-s----|8192] C:\BOOTSECT.BAK

[18/09/2006 22:43|--a------|10] C:\config.sys

[?|?|?] C:\hiberfil.sys

[21/10/2007 18:33|-rahs----|0] C:\IO.SYS

[21/10/2007 18:33|-rahs----|0] C:\MSDOS.SYS

[24/02/2010 18:52|--a------|366] C:\open-config.rest

[?|?|?] C:\pagefile.sys

[23/02/2010 22:09|--a------|424] C:\rkill.log

[09/11/2006 15:05|--a------|42] C:\sort-d.txt

[23/02/2010 22:04|--a------|14822] C:\TDSSKiller.2.2.4_23.02.2010_22.04.10_log.txt

[24/02/2010 19:31|--a------|4638] C:\UsbFix.txt

[14/11/2006 08:42|--a------|15] C:\vtype.cmd

[16/02/2010 22:18|--a------|15501440] D:\spycheck_antispyware.zip

[06/01/2010 10:32|--a------|23552] F:\Modification culture professionnelle.doc

[21/01/2010 11:47|--a------|112993565] F:\encart cool attitude.psb

[11/01/2010 11:35|--a------|4261376] F:\Connaissances de la meuse.DOC

[20/10/2007 10:52|--a------|61757165] F:\ENCART PUB.psd

[20/10/2007 10:46|-r-hs----|40960] F:\BTS COM.exe

[30/12/2009 16:01|--a------|67931791] F:\fly.psd

[12/01/2010 16:23|--a------|38400] F:\FICHE DE SYNTHESEcogito.doc

[30/12/2009 18:39|--a------|4316514] F:\fly verso copie.jpg

[30/12/2009 15:28|--a------|4205501] F:\fly copie.jpg

[30/12/2009 18:38|--a------|72969123] F:\fly verso.psb

[15/02/2010 13:23|--a------|175104] F:\CV CB.doc

[08/02/2010 12:33|--a------|788993] F:\ENCART PUB copie.jpg

[07/10/2007 15:11|--a------|14907353] F:\BRIOCHIN2.psd

[07/10/2007 15:11|--a------|1849400] F:\BRIOCHIN2 copie.jpg

[09/02/2010 15:19|--a------|69420744] F:\ENCART PUB2.psd

[09/02/2010 18:45|--a------|61919320] F:\photo laurianne nadege.psd

[09/02/2010 18:48|--a------|1522653] F:\100_3496.jpgon a test‚

[09/02/2010 18:49|--a------|1511179] F:\on a test‚ 2.jpg

[04/03/2009 11:47|--a------|19456] F:\lettre de motivation iscom.doc

[06/01/2010 08:48|--a------|11923854] F:\picnic.bmp

[06/01/2010 08:55|--a------|389971] F:\picnic 2.jpg

[06/01/2010 08:56|--a------|10640895] F:\picnic 2.eps

 

################## | Vaccination |

 

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

 

################## | Upload |

 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-cl‚mence.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Merci pour votre contribution .

 

################## | ! Fin du rapport # UsbFix V6.097 ! |

 

Tout à l'air de bien fonctionner. Une dernière vérification ou pas ?

 

En tout cas merci beaucoup pour toutes les informations

[pear]

Bonsoir,

Sécurisation de Windows contre les infections par support amovibles

 

Cet outil va aider les utilisateurs à configurer Windows pour désactiver les fonctions Autorun ou Autoplay ,

 

Il suffit de cliquer sur les boutons radio et d'enregistrer les modifications pour que celles concernant l'utilisateur courant soient actives (pour les autres, le redémarrage est nécessaire)

Dans l'onglet Configuration Autorun, il est maintenant possible de paramétrer précisément les valeur de NoDriveTypeAutorun et de NoDriveAutorun.

Par exemple, vous pouvez autoriser la fonction Autorun sur les lecteurs CD/DVD (NoDriveTypeAutorun) et choisir lequel sera autorisé (NoDriveAutorun).

Dans HonorAutoRunSetting sélectionner la case Activé

Si c'est indiqué Non configuré et qu'aucune mise à jour n'apparaît dans la fenêtre blanche à droite deHonorAutoRunSetting ,

Sous Xp

Télécharger KB967715

Sous Visat

Exécuter en tant qu'Administrateur

Télécharger KB950582

Relancez Usb-Set

Nettoyage des anciens supports non connectés et de la désactivation de la reconnaissance des nouveaux périphériques de stockage USB

Avant de désactiver la reconnaissance des nouveaux périphériques, il faut nettoyer la base de registre de tous ceux qui ont été inscrit précédemment.

L'idéal est de nettoyer tous les supports, puis de reconnecter ceux que l'on désir conserver actif et pour finir désactiver la fonction de reconnaissance.

 

On peut sans problème supprimer tous les périphériques détectés, ils seront réinstallés sans aucune difficulté.

Pour un nettoyage complet, cocher les quatre cases correspondant chacune à élément ajouté pour chaque périphérique installé :

Pour chaque support installé, on trouve :

une ligne périphérique

une ligne disque

Une ou plusieurs ligne Volume (cela dépend du nombre de partitions sur le support)

Une ou plusieurs clé de registre correspondants aux volumes monté et aux points de montage.

 

Pour ce qui est des MountPoints2, il est possible que certains ne soient pas désinstallés par la fonction de nettoyage, c'est pour ça que cette section est toujours présente.

 

Vacciner tous les lecteurs présents ou installer la vaccination automatique de tous les support insérés sur le PC

Dans cette section, vous avez la possibilité de vacciner tous les lecteurs présents (fixes ou amovibles) , de lancer/arrêter/installer la vaccination automatique.

exclure 'un(des) lecteur(s) spécifique(s) de la vaccination automatique.

Note:( Panda Vaccine n'est pas pris en charge)

 

L'Installation du résident va permettre de lancer la vaccination automatique à chaque démarrage de Windows, tout nouveau support inséré sera détecté et la vaccination sera proposée.

Pour l'instant la vaccination sera toujours proposée, même si le lecteur est déjà vacciné, mais la détection des vaccins est prévue pour éviter ce désagrément.

A chaque vaccination d'un lecteur, des informations seront enregistrées dans le fichier vaccin et dans un fichier local, permettant une traçabilité de la vaccination.