Infection par trojan

[fabulous gian]

Bonjour à tous,

 

J'ai été infecté par un trojan il y a quelques jours et mon antivirus Avira n'arrive pas à s'en débarasser. Le fichier est mis en quarantaine mais pas de suppression. Le cheval en question est le suivant : TR/Agent.iyj.840.

 

Ne sachant pas quoi faire, je m'adresse à vous afin de savoir quelle est la marche à suivre pour me débarasser de ce malware. Je vous joint ci dessous le rapport étendu d'Avira sur le trojan en question en espérant que ça soit une piste de départ.

 

Numéro de série : 2207655569-ISECE-0000001

Plateforme : Windows Vista

Version de Windows : (Service Pack 1) [6.0.6001]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur :

Informations de version :

BUILD.DAT : 9.0.0.69 32528 Bytes 22/01/2010 23:23:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 23/04/2010 09:14:11

AVSCAN.DLL : 9.0.3.0 49409 Bytes 23/04/2010 09:14:10

LUKE.DLL : 9.0.3.2 209665 Bytes 23/04/2010 09:14:45

LUKERES.DLL : 9.0.2.0 13569 Bytes 23/04/2010 09:14:45

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:13:19

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 09:13:21

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 09:13:27

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 09:13:31

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 09:13:36

VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 09:13:42

VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 09:13:42

VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 09:13:42

VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 09:13:42

VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 09:13:42

VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 09:13:42

VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 09:13:42

VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 09:13:42

VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 09:13:43

VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 09:13:43

VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 09:13:43

VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 09:13:43

VBASE017.VDF : 7.10.6.179 2048 Bytes 22/04/2010 09:13:43

VBASE018.VDF : 7.10.6.180 2048 Bytes 22/04/2010 09:13:43

VBASE019.VDF : 7.10.6.181 2048 Bytes 22/04/2010 09:13:44

VBASE020.VDF : 7.10.6.182 2048 Bytes 22/04/2010 09:13:44

VBASE021.VDF : 7.10.6.183 2048 Bytes 22/04/2010 09:13:44

VBASE022.VDF : 7.10.6.184 2048 Bytes 22/04/2010 09:13:44

VBASE023.VDF : 7.10.6.185 2048 Bytes 22/04/2010 09:13:44

VBASE024.VDF : 7.10.6.186 2048 Bytes 22/04/2010 09:13:44

VBASE025.VDF : 7.10.6.187 2048 Bytes 22/04/2010 09:13:44

VBASE026.VDF : 7.10.6.188 2048 Bytes 22/04/2010 09:13:44

VBASE027.VDF : 7.10.6.189 2048 Bytes 22/04/2010 09:13:44

VBASE028.VDF : 7.10.6.190 2048 Bytes 22/04/2010 09:13:44

VBASE029.VDF : 7.10.6.191 2048 Bytes 22/04/2010 09:13:44

VBASE030.VDF : 7.10.6.192 2048 Bytes 22/04/2010 09:13:44

VBASE031.VDF : 7.10.6.197 65536 Bytes 23/04/2010 19:25:51

Version du moteur : 8.2.1.224

AEVDF.DLL : 8.1.2.0 106868 Bytes 23/04/2010 15:25:28

AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 23/04/2010 15:25:28

AESCN.DLL : 8.1.5.0 127347 Bytes 23/04/2010 09:13:52

AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 15:25:29

AERDL.DLL : 8.1.4.6 541043 Bytes 23/04/2010 09:13:52

AEPACK.DLL : 8.2.1.1 426358 Bytes 23/04/2010 09:13:51

AEOFFICE.DLL : 8.1.0.41 201083 Bytes 23/04/2010 09:13:50

AEHEUR.DLL : 8.1.1.24 2613623 Bytes 23/04/2010 09:13:50

AEHELP.DLL : 8.1.11.3 242039 Bytes 23/04/2010 09:13:47

AEGEN.DLL : 8.1.3.7 373106 Bytes 23/04/2010 09:13:46

AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 15:25:26

AECORE.DLL : 8.1.13.1 188790 Bytes 23/04/2010 09:13:45

AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 15:25:26

AVWINLL.DLL : 9.0.0.3 18177 Bytes 23/04/2010 09:14:14

AVPREF.DLL : 9.0.3.0 44289 Bytes 23/04/2010 09:14:10

AVREP.DLL : 8.0.0.7 159784 Bytes 23/04/2010 09:15:00

AVREG.DLL : 9.0.0.0 36609 Bytes 23/04/2010 09:14:10

AVARKT.DLL : 9.0.0.3 292609 Bytes 23/04/2010 09:13:55

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 23/04/2010 09:13:57

SQLITE3.DLL : 3.6.1.0 326401 Bytes 23/04/2010 09:14:50

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 23/04/2010 09:14:49

NETNT.DLL : 9.0.0.0 11521 Bytes 23/04/2010 09:14:45

RCIMAGE.DLL : 9.0.0.25 2902785 Bytes 23/04/2010 09:12:38

RCTEXT.DLL : 9.0.73.0 92929 Bytes 23/04/2010 09:12:38

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Catégories de dangers divergentes.............: +PFS,

 

Début de la recherche : samedi 24 avril 2010 09:58

 

La recherche d'objets cachés commence.

'107422' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés

Processus de recherche 'FlashUtil10c.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HPHC_Service.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'PresentationFontCache.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avwebgrd.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avmailc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés

Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WDSmartWareBackgroundService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WDDMService.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CTDevSrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avfwsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ONENOTEM.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'WDSmartWare.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WDDMStatus.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SoftAuto.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HPAdvisor.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpsysdrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'65' processus ont été contrôlés avec '65' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

[iNFO] Veuillez relancer la recherche avec les droits d'administrateur

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '47' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <PC PIETRO ET MARIE>

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Windows\Temp\cbs7835.tmp

[RESULTAT] Contient le cheval de Troie TR/Agent.iyj.840

Recherche débutant dans 'D:\' <FACTORY_IMAGE>

 

Début de la désinfection :

C:\Windows\Temp\cbs7835.tmp

[RESULTAT] Contient le cheval de Troie TR/Agent.iyj.840

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c45c2c6.qua' !

 

 

Fin de la recherche : samedi 24 avril 2010 12:05

Temps nécessaire: 2:00:39 Heure(s)

 

La recherche a été effectuée intégralement

 

25051 Les répertoires ont été contrôlés

611194 Des fichiers ont été contrôlés

1 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

1 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

611191 Fichiers non infectés

6513 Les archives ont été contrôlées

2 Avertissements

3 Consignes

107422 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

 

 

D'avance merci pour votre aide.

 

FG

[Gof]

Bonjour fabulous gian

 

Messages: 2

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Fais un clic droit sur le fichier obtenu RSIT.exe afin de lancer RSIT en tant qu'Administrateur
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

[fabulous gian]

Bonjour Gof et merci beaucoup pour l'aide que tu vas m'apporter. J'ai parcouru le forum auparavant et j'ai pu lire et voir que l'éradication de certains virus ou trojan prenait du temps.

 

Tu trouveras ci-dessous les 2 rapports (d'abord log.txt puis info.txt).

 

J'attends la suite des instructions.

Fabulous Gian

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by Pietro et Marie at 2010-04-25 14:08:53

Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1

System drive C: has 131 GB (44%) free of 294 GB

Total RAM: 1918 MB (33% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:09:35, on 25/04/2010

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v8.00 (8.00.6001.18904)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Hewlett-Packard\HP Odometer\hpsysdrv.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Creative\Software Update 3\SoftAuto.exe

C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe

C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe

C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

C:\Program Files\OpenOffice.org 3\program\soffice.exe

C:\Program Files\OpenOffice.org 3\program\soffice.bin

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\WerCon.exe

C:\Windows\system32\wuauclt.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\Pietro et Marie\Desktop\RSIT.exe

C:\Program Files\trend micro\Pietro et Marie.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...rio&pf=cndt

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...rio&pf=cndt

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...rio&pf=cndt

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {2A7D2DDE-F206-474F-B7A2-968925D83DA7} - c:\windows\system32\puqvucd.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [hpsysdrv] c:\program files\hewlett-packard\HP odometer\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe

O4 - HKLM\..\Run: [updateP2GoShortCut] "c:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "c:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"

O4 - HKLM\..\Run: [updateLBPShortCut] "c:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "c:\Program Files\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"

O4 - HKLM\..\Run: [updatePDIRShortCut] "c:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" "c:\Program Files\CyberLink\PowerDirector" UpdateWithCreateOnce "SOFTWARE\CyberLink\PowerDirector\7.0"

O4 - HKLM\..\Run: [updatePSTShortCut] "c:\Program Files\CyberLink\CyberLink DVD Suite Deluxe\MUITransfer\MUIStartMenu.exe" "c:\Program Files\CyberLink\CyberLink DVD Suite Deluxe" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"

O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [HPADVISOR] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe view=DOCKVIEW,SYSTRAY

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [softAuto.exe] "C:\Program Files\Creative\Software Update 3\SoftAuto.exe"

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\eyed.tmp\svchost.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\eyed.tmp\svchost.exe (User 'Default user')

O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: WDDMStatus.lnk = C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe

O4 - Global Startup: WDSmartWare.lnk = C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} (Module de délivrance de certificat MINEFI) - https://static.impots.gouv.fr/abos/static/s...te/certdgi1.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photo...NPUplden-us.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{84DD8846-44BB-41FB-B923-A90BD35275E5}: NameServer = 208.67.222.222 208.67.220.220

O23 - Service: Avira Pare-feu (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe

O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avi ra GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE

O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe

O23 - Service: Creative Centrale Media Server (CTUPnPSv) - Creative Technology Ltd - C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe

O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\HP Game Console\GameConsoleService.exe

O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: WD SmartWare Drive Manager (WDDMService) - WDC - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe

O23 - Service: WD SmartWare Background Service (WDSmartWareBackgroundService) - Memeo - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe

 

--

End of file - 9291 bytes

 

======Scheduled tasks folder======

 

C:\Windows\tasks\PCDRScheduledMaintenance.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]

Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A7D2DDE-F206-474F-B7A2-968925D83DA7}]

c:\windows\system32\puqvucd.dll [2008-01-21 109568]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2010-04-21 41760]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]

"hpsysdrv"=c:\program files\hewlett-packard\HP odometer\hpsysdrv.exe [2008-11-20 62768]

"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2009-03-09 13687328]

"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2009-03-09 92704]

"HP Health Check Scheduler"=c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe [2008-12-04 75016]

"UpdateP2GoShortCut"=c:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe [2008-12-03 218408]

"UpdateLBPShortCut"=c:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe [2008-12-03 218408]

"UpdatePDIRShortCut"=c:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe [2008-12-03 218408]

"UpdatePSTShortCut"=c:\Program Files\CyberLink\CyberLink DVD Suite Deluxe\MUITransfer\MUIStartMenu.exe [2009-02-02 210216]

"HP Software Update"=c:\Program Files\HP\HP Software Update\HPWuSchd2.exe [2008-12-08 54576]

"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

"SunJavaUpdateSched"=C:\Program Files\Common Files\Java\Java Update\jusched.exe [2010-01-11 246504]

"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2010-04-23 209153]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-21 1233920]

"HPADVISOR"=C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe [2009-04-04 1644088]

"msnmsgr"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883856]

"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-21 202240]

"SoftAuto.exe"=C:\Program Files\Creative\Software Update 3\SoftAuto.exe [2008-08-13 405504]

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

WDDMStatus.lnk - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe

WDSmartWare.lnk - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe

 

C:\Users\Pietro et Marie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

OneNote 2007 - Capture d'écran et lancement.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

OpenOffice.org 3.2.lnk - C:\Program Files\OpenOffice.org 3\program\quickstart.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{E54729E8-BB3D-4270-9D49-7389EA579090}"=C:\Windows\system32\EZUPBH~1.DLL [2009-06-01 52272]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableLockWorkstation"=0

"DisableTaskMgr"=0

"DisableChangePassword"=0

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

"EnableUIADesktopToggle"=0

"HideFastUserSwitching"=0

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoLogoff"=0

"NoClose"=0

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47d6943e-0be7-11df-abac-0026180dab32}]

shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\NoLimit.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d3cbc51f-00ed-11df-bd93-0026180dab32}]

shell\AutoRun\command - "I:\WD SmartWare.exe" autoplay=true

 

 

======File associations======

 

.js - edit - C:\Windows\System32\Notepad.exe %1

.js - open - C:\Windows\System32\WScript.exe "%1" %*

 

======List of files/folders created in the last 1 months======

 

2010-04-25 14:08:54 ----D---- C:\Program Files\trend micro

2010-04-25 14:08:53 ----D---- C:\rsit

2010-04-24 12:07:15 ----D---- C:\Users\Pietro et Marie\AppData\Roaming\Avira

2010-04-23 11:24:14 ----D---- C:\Program Files\Avira

2010-04-23 09:39:06 ----D---- C:\Windows\system32\MpEngineStore

2010-04-23 08:49:24 ----A---- C:\Windows\system32\2A7D2DDE-F206-474F-B7A2-968925D83DA7.txt

2010-04-22 23:20:17 ----D---- C:\Program Files\Audio Converter File

2010-04-21 18:16:00 ----D---- C:\Users\Pietro et Marie\AppData\Roaming\OpenOffice.org

2010-04-21 17:54:14 ----D---- C:\Program Files\JRE

2010-04-21 17:53:41 ----D---- C:\Program Files\OpenOffice.org 3

2010-04-21 17:53:27 ----D---- C:\ProgramData\Sun

2010-04-21 17:53:25 ----D---- C:\Program Files\Common Files\Java

2010-04-21 17:53:08 ----A---- C:\Windows\system32\javaws.exe

2010-04-21 17:53:08 ----A---- C:\Windows\system32\javaw.exe

2010-04-21 17:53:08 ----A---- C:\Windows\system32\java.exe

2010-04-21 17:53:08 ----A---- C:\Windows\system32\deploytk.dll

2010-04-21 17:52:48 ----D---- C:\Program Files\Java

2010-04-21 17:51:19 ----D---- C:\Program Files\Open Office

2010-04-21 15:30:27 ----D---- C:\Users\Pietro et Marie\AppData\Roaming\Template

2010-04-18 08:56:44 ----A---- C:\Windows\system32\browserchoice.exe

2010-04-17 09:36:50 ----A---- C:\Windows\system32\MRT.INI

2010-04-17 00:00:02 ----A---- C:\Windows\system32\vbscript.dll

2010-04-16 23:59:57 ----A---- C:\Windows\system32\iphlpsvc.dll

2010-04-16 23:58:59 ----A---- C:\Windows\system32\wintrust.dll

2010-04-16 23:58:44 ----A---- C:\Windows\system32\cabview.dll

2010-04-08 21:12:35 ----D---- C:\Windows\Minidump

2010-04-07 20:51:58 ----A---- C:\Windows\system32\mshtml.dll

2010-04-07 20:51:57 ----A---- C:\Windows\system32\ieframe.dll

2010-04-07 20:51:55 ----A---- C:\Windows\system32\urlmon.dll

2010-04-07 20:51:55 ----A---- C:\Windows\system32\iertutil.dll

2010-04-07 20:51:54 ----A---- C:\Windows\system32\wininet.dll

2010-04-07 20:51:54 ----A---- C:\Windows\system32\occache.dll

2010-04-07 20:51:54 ----A---- C:\Windows\system32\mstime.dll

2010-04-07 20:51:54 ----A---- C:\Windows\system32\msfeeds.dll

2010-04-07 20:51:54 ----A---- C:\Windows\system32\ieUnatt.exe

2010-04-07 20:51:54 ----A---- C:\Windows\system32\ieui.dll

2010-04-07 20:51:54 ----A---- C:\Windows\system32\iepeers.dll

2010-04-07 20:51:54 ----A---- C:\Windows\system32\iedkcs32.dll

2010-04-07 20:51:53 ----A---- C:\Windows\system32\msfeedssync.exe

2010-04-07 20:51:53 ----A---- C:\Windows\system32\msfeedsbs.dll

2010-04-07 20:51:53 ----A---- C:\Windows\system32\jsproxy.dll

2010-04-07 20:51:53 ----A---- C:\Windows\system32\iesysprep.dll

2010-04-07 20:51:53 ----A---- C:\Windows\system32\iesetup.dll

2010-04-07 20:51:53 ----A---- C:\Windows\system32\iernonce.dll

2010-04-07 20:51:53 ----A---- C:\Windows\system32\ie4uinit.exe

 

======List of files/folders modified in the last 1 months======

 

2010-04-25 14:09:07 ----D---- C:\Windows\Temp

2010-04-25 14:08:54 ----RD---- C:\Program Files

2010-04-25 14:07:37 ----D---- C:\Windows\System32

2010-04-25 14:07:37 ----D---- C:\Windows\inf

2010-04-25 14:07:37 ----A---- C:\Windows\system32\PerfStringBackup.INI

2010-04-23 22:20:24 ----D---- C:\Users\Pietro et Marie\AppData\Roaming\vlc

2010-04-23 19:03:31 ----SD---- C:\ProgramData\Microsoft

2010-04-23 19:01:39 ----SD---- C:\Users\Pietro et Marie\AppData\Roaming\Microsoft

2010-04-23 17:47:42 ----D---- C:\Windows

2010-04-23 15:19:03 ----D---- C:\Program Files\NiouzeFire

2010-04-23 11:24:45 ----D---- C:\Windows\system32\drivers

2010-04-23 11:24:40 ----D---- C:\Windows\system32\catroot

2010-04-23 11:24:30 ----D---- C:\Windows\Prefetch

2010-04-23 11:24:14 ----D---- C:\ProgramData\Avira

2010-04-23 11:23:05 ----SHD---- C:\Windows\Installer

2010-04-22 16:42:26 ----D---- C:\Program Files\uTorrent

2010-04-22 16:42:24 ----D---- C:\Users\Pietro et Marie\AppData\Roaming\uTorrent

2010-04-22 16:41:59 ----D---- C:\Program Files\URUSoft

2010-04-21 17:55:23 ----RSD---- C:\Windows\assembly

2010-04-21 17:54:29 ----RSD---- C:\Windows\Fonts

2010-04-21 17:53:27 ----HD---- C:\ProgramData

2010-04-21 17:53:25 ----D---- C:\Program Files\Common Files

2010-04-20 20:17:47 ----D---- C:\Users\Pietro et Marie\AppData\Roaming\dvdcss

2010-04-18 11:36:11 ----D---- C:\ProgramData\Microsoft Help

2010-04-18 08:56:57 ----D---- C:\Windows\winsxs

2010-04-17 21:24:13 ----SD---- C:\Windows\Downloaded Program Files

2010-04-17 21:12:06 ----D---- C:\Users\Pietro et Marie\AppData\Roaming\VSO

2010-04-17 15:14:17 ----SHD---- C:\System Volume Information

2010-04-17 09:46:56 ----D---- C:\Windows\system32\catroot2

2010-04-17 09:44:46 ----D---- C:\Program Files\Windows Mail

2010-04-08 03:17:29 ----D---- C:\Windows\system32\migration

2010-04-08 03:17:29 ----D---- C:\Program Files\Internet Explorer

2010-04-06 19:52:54 ----A---- C:\Windows\system32\mrt.exe

2010-03-28 04:05:31 ----D---- C:\Program Files\Movie Maker

2010-03-27 19:43:18 ----A---- C:\Windows\system32\ezsvc7x.dll

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 avfwot;avfwot; C:\Windows\system32\DRIVERS\avfwot.sys [2010-04-23 97608]

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2010-04-23 11608]

R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2010-04-23 96104]

R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2010-04-23 28520]

R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2010-04-23 56816]

R3 avfwim;AvFw Packet Filter Miniport; C:\Windows\system32\DRIVERS\avfwim.sys [2010-04-23 69632]

R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2009-02-11 2324512]

R3 NVENETFD;NVIDIA nForce 10/100 Mbps Ethernet ; C:\Windows\system32\DRIVERS\nvmfdx32.sys [2008-08-01 1052704]

R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2009-03-09 7764960]

R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]

S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]

S3 LVUSBSta;Logitech USB Monitor Filter; C:\Windows\system32\drivers\lvusbsta.sys [2005-01-31 22016]

S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]

S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]

S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]

S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]

S3 PCDSRVC{4F253FFC-7957E8FC-06000000}_0;PCDSRVC{4F253FFC-7957E8FC-06000000}_0 - PCDR Kernel Mode Service Helper Driver; \??\c:\program files\pc-doctor for windows\pcdsrvc.pkms [2009-02-02 20848]

S3 PID_0928;Logitech QuickCam Express(PID_0928); C:\Windows\system32\DRIVERS\LV561AV.SYS [2005-01-31 211712]

S3 WDC_SAM;WD SCSI Pass Thru driver; C:\Windows\system32\DRIVERS\wdcsam.sys [2009-02-13 11520]

S3 WpdUsb;WpdUsb; C:\Windows\system32\DRIVERS\wpdusb.sys [2008-01-21 39936]

S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]

S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]

S4 nvrd32;NVIDIA nForce RAID Driver; C:\Windows\system32\drivers\nvrd32.sys [2008-11-12 133152]

S4 nvsmu;nvsmu; C:\Windows\system32\drivers\nvsmu.sys [2008-05-22 15360]

S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2008-01-21 11264]

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 AntiVirFirewallService;Avira Pare-feu; C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe [2010-04-23 388865]

R2 AntiVirMailService;Avira AntiVir MailGuard; C:\Program Files\Avira\AntiVir Desktop\avmailc.exe [2010-04-23 194817]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2010-04-23 108289]

R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2010-04-23 185089]

R2 AntiVirWebService;Avira AntiVir WebGuard; C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE [2010-04-23 434945]

R2 CTDevice_Srv;CT Device Query service; C:\Program Files\Creative\Shared Files\CTDevSrv.exe [2007-04-02 61440]

R2 ezSharedSvc;Easybits Shared Services for Windows; C:\Windows\system32\svchost.exe [2008-01-21 21504]

R2 HP Health Check Service;HP Health Check Service; c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe [2008-12-04 94208]

R2 LightScribeService;LightScribeService Direct Disc Labeling Service; c:\Program Files\Common Files\LightScribe\LSSrvc.exe [2009-03-17 73728]

R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2009-03-09 207392]

R2 WDDMService;WD SmartWare Drive Manager; C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe [2009-11-13 110592]

R2 WDSmartWareBackgroundService;WD SmartWare Background Service; C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe [2009-06-16 20480]

S2 peapytwq;Bluetooth Serial Communications Helper; C:\Windows\System32\svchost.exe [2008-01-21 21504]

S3 CTUPnPSv;Creative Centrale Media Server; C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe [2008-05-21 64000]

S3 GameConsoleService;GameConsoleService; C:\Program Files\HP Games\HP Game Console\GameConsoleService.exe [2008-12-09 242424]

S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]

S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]

 

-----------------EOF-----------------

 

 

info.txt logfile of random's system information tool 1.06 2010-04-25 14:09:40

 

======Uninstall list======

 

-->"C:\Program Files\HP Games\Agatha Christie - Death on the Nile\Uninstall.exe"

-->"C:\Program Files\HP Games\Bejeweled 2 Deluxe\Uninstall.exe"

-->"C:\Program Files\HP Games\Bejeweled Twist\Uninstall.exe"

-->"C:\Program Files\HP Games\Blasterball 3\Uninstall.exe"

-->"C:\Program Files\HP Games\Build-a-lot 2\Uninstall.exe"

-->"C:\Program Files\HP Games\Cake Mania\Uninstall.exe"

-->"C:\Program Files\HP Games\Chocolatier\Uninstall.exe"

-->"C:\Program Files\HP Games\Chuzzle Deluxe\Uninstall.exe"

-->"C:\Program Files\HP Games\Diner Dash 2 Restaurant Rescue\Uninstall.exe"

-->"C:\Program Files\HP Games\Diner Dash Hometown Hero\Uninstall.exe"

-->"C:\Program Files\HP Games\Diner Dash\Uninstall.exe"

-->"C:\Program Files\HP Games\Farm Frenzy\Uninstall.exe"

-->"C:\Program Files\HP Games\FATE\Uninstall.exe"

-->"C:\Program Files\HP Games\HP Game Console\Uninstall.exe"

-->"C:\Program Files\HP Games\Insaniquarium Deluxe\Uninstall.exe"

-->"C:\Program Files\HP Games\Magic Academy\Uninstall.exe"

-->"C:\Program Files\HP Games\Mah Jong Quest\Uninstall.exe"

-->"C:\Program Files\HP Games\Mahjongg Artifacts\Uninstall.exe"

-->"C:\Program Files\HP Games\Mystery P.I. - The Lottery Ticket\Uninstall.exe"

-->"C:\Program Files\HP Games\Peggle\Uninstall.exe"

-->"C:\Program Files\HP Games\Polar Bowler\Uninstall.exe"

-->"C:\Program Files\HP Games\Polar Golfer\Uninstall.exe"

-->"C:\Program Files\HP Games\Polar Pool\Uninstall.exe"

-->"C:\Program Files\HP Games\Slingo Deluxe\Uninstall.exe"

-->"C:\Program Files\HP Games\StoneLoops of Jurassica\Uninstall.exe"

-->"C:\Program Files\HP Games\Sudoku Quest\Uninstall.exe"

-->"C:\Program Files\HP Games\The Ancient Quest of Saqqarah\Uninstall.exe"

-->"C:\Program Files\HP Games\The Treasures of Montezuma\Uninstall.exe"

-->"C:\Program Files\HP Games\Turbo Pizza\Uninstall.exe"

-->"C:\Program Files\HP Games\Virtual Villagers - The Secret City\Uninstall.exe"

-->"C:\Program Files\HP Games\Zuma Deluxe\Uninstall.exe"

-->"C:\ProgramData\{26D901A1-2540-4430-81DC-0317F01BD7BE}\setup.exe" REMOVE=TRUE MODIFY=FALSE

Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{B3C2C1CD-6B77-4A96-B670-F734AC2A1CBC}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE

ActiveCheck component for HP Active Support Library-->MsiExec.exe /X{254C37AA-6B72-4300-84F6-98A82419187E}

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe

Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe

Adobe Reader 9.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}

Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}

Avira Premium Security Suite-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE

Creative Centrale-->"C:\ProgramData\{FD5A90D4-3211-4B2D-ABDE-9FE81DCE4EB9}\Setup.exe" REMOVE=TRUE MODIFY=FALSE

Creative Centrale-->C:\ProgramData\{FD5A90D4-3211-4B2D-ABDE-9FE81DCE4EB9}\Setup.exe

Creative Software Update-->C:\ProgramData\{26D901A1-2540-4430-81DC-0317F01BD7BE}\setup.exe

CyberLink DVD Suite Deluxe-->"C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.exe" /z-uninstall

CyberLink DVD Suite Deluxe-->"C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.exe" /z-uninstall

Documentation Creative ZEN MX-->"C:\Program Files\Creative\Creative ZEN MX\UGRemove.exe" /Product_Name:ZENMXUG

DVD Shrink 3.2-->"C:\Program Files\DVD Shrink\unins000.exe"

FormatFactory 2.20-->C:\Program Files\FreeTime\FormatFactory\uninst.exe

HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""

HP Active Support Library-->"C:\Program Files\InstallShield Installation Information\{0295F89F-F698-4101-9A7D-49F407EC2D82}\setup.exe" -runfromtemp -l0x0409 -removeonly

HP Advisor-->MsiExec.exe /X{73A43E42-3658-4DD9-8551-FACDA3632538}

HP Customer Experience Enhancements-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B84739A3-F943-47E4-95D8-96381EF5AC48}\setup.exe" -l0x9 -removeonly

HP Games-->"C:\Program Files\HP Games\Uninstall.exe"

HP Recovery Manager RSS-->MsiExec.exe /X{A0640EC2-B97E-4FC1-AD14-227C9E386BB4}

HP Total Care Setup-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{784BEA84-FA66-4B19-BB80-7B545F248AC6}\setup.exe" -l0x9 -removeonly

HP Update-->MsiExec.exe /X{47F36D92-E58E-456D-B73C-3382737E4C42}

HPAsset component for HP Active Support Library-->MsiExec.exe /X{669D4A35-146B-4314-89F1-1AC3D7B88367}

INDEX EDUCATION - Client PRONOTE 2009-->C:\Program Files\InstallShield Installation Information\{B213D0D7-7190-4D49-A72C-5DC57CA70D69}\setup.exe -runfromtemp -l0x040c -uninst -removeonly

Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe

Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}

Java 6 Update 18-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216018FF}

LabelPrint-->"C:\Program Files\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\setup.exe" /z-uninstall

LabelPrint-->"C:\Program Files\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\setup.exe" /z-uninstall

Lexibar Spanish-->"C:\Program Files\Lexicool\Lexibar\unins000.exe"

LightScribe System Software-->MsiExec.exe /X{7F10292C-A190-4176-A665-A1ED3478DF86}

Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe

Magic Desktop-->C:\Windows\system32\ezMDUninstall.exe

Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}

Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe

Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}

Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}

Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}

Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}

Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}

Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {B165D3C2-40AE-4D39-86F7-E5C87C4264C0}

Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-00A1-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}

Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}

Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}

Microsoft Office Home and Student 2007-->MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}

Microsoft Office OneNote MUI (French) 2007-->MsiExec.exe /X{90120000-00A1-040C-0000-0000000FF1CE}

Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}

Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}

Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}

Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}

Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}

Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}

Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}

Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}

Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}

Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {14809F99-C601-4D4A-9391-F1E8FAA964C5}

Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}

Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}

Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}

Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}

Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {187308AB-5FA7-4F14-9AB9-D290383A10D9}

Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}

Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}

Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}

Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148-->MsiExec.exe /X{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}

Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}

Microsoft Works-->MsiExec.exe /I{3B160861-7250-451E-B5EE-8B92BF30A710}

Mise à jour Microsoft Office Excel 2007 Help (KB963678)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {B761869A-B85C-40E2-994C-A1CE78AC8F2C}

Mise à jour Microsoft Office Powerpoint 2007 Help (KB963669)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {C3DCA38E-005E-41BA-A52A-7C3429F351C3}

Mise à jour Microsoft Office Word 2007 Help (KB963665)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {81536A04-DBFB-4DB3-978F-0F284590C223}

Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}

Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe

MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}

NiouzeFire 0.8.0-->"C:\Program Files\NiouzeFire\unins000.exe"

NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI

OpenOffice.org 3.2-->MsiExec.exe /I{4EE2EF4B-25D3-4D44-8384-A2B96F811F55}

Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}

Outils de diagnostic du matériel-->C:\Program Files\PC-Doctor for Windows\uninst.exe

Power2Go-->"C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\setup.exe" /z-uninstall

Power2Go-->"C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\setup.exe" /z-uninstall

PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall

PowerDirector-->"C:\Program Files\InstallShield Installation Information\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\setup.exe" /z-uninstall

Python 2.6 pywin32-212-->"C:\program files\Python\Removepywin32.exe" -u "C:\program files\Python\pywin32-wininst.log"

Python 2.6.1-->MsiExec.exe /I{9CC89170-000B-457D-91F1-53691F85B223}

QuickPar 0.9-->C:\Program Files\QuickPar\uninst.exe

Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -removeonly

Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}

Security Update for 2007 Microsoft Office System (KB978380)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {667A88D1-0369-4070-A62A-70672D68A9BF}

Security Update for Microsoft Office Excel 2007 (KB978382)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {6DE3DABF-0203-426B-B330-7287D1003E86}

Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}

Security Update for Microsoft Office system 2007 (972581)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}

Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}

Security Update for Microsoft Office system 2007 (KB974234)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}

Security Update for Microsoft Office Visio Viewer 2007 (KB973709)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}

Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}

Update for 2007 Microsoft Office System (KB981715)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {661B3F32-FFE4-4606-AE3A-DFA11DCC0D79}

Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""

Update for Microsoft Office InfoPath 2007 (KB976416)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {432C5EE4-8096-4FF1-95E1-65219365DFF7}

Update for Microsoft Office OneNote 2007 (KB980729)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {329050A9-EF80-40F9-B633-74508F54C1FF}

Update for Microsoft Office Word 2007 (KB974561)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {0CDDBAA2-2111-4A0E-A1B0-76C40C635331}

Version d'évaluation de Microsoft Office Home and Student 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL

VLC media player 1.0.1-->C:\Program Files\VideoLAN\VLC\uninstall.exe

VSO Image Resizer 3.0.1.2-->"C:\Program Files\VSO\Image Resizer\unins000.exe"

WD SmartWare-->MsiExec.exe /X{232DB76D-4751-41A9-9EC2-CDC0DAC1FAB6}

Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}

Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}

Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}

yEnc32 (remove only)-->"C:\Program Files\yEnc32\uninstall.exe"

 

======Security center information======

 

AS: Windows Defender

 

======System event log======

 

Computer Name: PC-Marie-Pietro

Event Code: 3004

Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.

Pour plus d’informations, consultez les données suivantes :

Non applicable

ID d’analyse : {52CB50F8-7B38-4864-865F-FFBB32139576}

Utilisateur : PC-Marie-Pietro\Pietro et Marie

Nom : Unknown

ID :

ID de gravité :

ID de catégorie :

Chemin d’accès trouvé : lsp:C:\Program Files\Avira\AntiVir Desktop\avsda.dll;file:C:\Program Files\Avira\AntiVir Desktop\avsda.dll

Type d’alerte : Logiciel non classifié

Type de détection :

Record Number: 93180

Source Name: Microsoft-Windows-Windows Defender

Time Written: 20100423055726.000000-000

Event Type: Avertissement

User:

 

Computer Name: PC-Marie-Pietro

Event Code: 3004

Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.

Pour plus d’informations, consultez les données suivantes :

Non applicable

ID d’analyse : {653C2942-5E30-40D7-A897-51FEAB10544B}

Utilisateur : PC-Marie-Pietro\Pietro et Marie

Nom : Unknown

ID :

ID de gravité :

ID de catégorie :

Chemin d’accès trouvé : lsp:C:\Program Files\Avira\AntiVir Desktop\avsda.dll;file:C:\Program Files\Avira\AntiVir Desktop\avsda.dll

Type d’alerte : Logiciel non classifié

Type de détection :

Record Number: 93184

Source Name: Microsoft-Windows-Windows Defender

Time Written: 20100423055732.000000-000

Event Type: Avertissement

User:

 

Computer Name: PC-Marie-Pietro

Event Code: 3004

Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.

Pour plus d’informations, consultez les données suivantes :

Non applicable

ID d’analyse : {2BB853C7-268D-43B3-8781-2D8512B27720}

Utilisateur : PC-Marie-Pietro\Pietro et Marie

Nom : Unknown

ID :

ID de gravité :

ID de catégorie :

Chemin d’accès trouvé : lsp:C:\Program Files\Avira\AntiVir Desktop\avsda.dll;file:C:\Program Files\Avira\AntiVir Desktop\avsda.dll

Type d’alerte : Logiciel non classifié

Type de détection :

Record Number: 93188

Source Name: Microsoft-Windows-Windows Defender

Time Written: 20100423055739.000000-000

Event Type: Avertissement

User:

 

Computer Name: PC-Marie-Pietro

Event Code: 3004

Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.

Pour plus d’informations, consultez les données suivantes :

Non applicable

ID d’analyse : {4F6AFC39-F23B-4196-843C-598A2017BAA4}

Utilisateur : PC-Marie-Pietro\Pietro et Marie

Nom : Unknown

ID :

ID de gravité :

ID de catégorie :

Chemin d’accès trouvé : lsp:C:\Program Files\Avira\AntiVir Desktop\avsda.dll;file:C:\Program Files\Avira\AntiVir Desktop\avsda.dll

Type d’alerte : Logiciel non classifié

Type de détection :

Record Number: 93189

Source Name: Microsoft-Windows-Windows Defender

Time Written: 20100423055740.000000-000

Event Type: Avertissement

User:

 

Computer Name: PC-Marie-Pietro

Event Code: 6008

Message: L'arrêt système précédant à 08:44:51 le 23/04/2010 n'était pas prévu.

Record Number: 93198

Source Name: EventLog

Time Written: 20100423064724.000000-000

Event Type: Erreur

User:

 

=====Application event log=====

 

Computer Name: PC-Marie-Pietro

Event Code: 4113

Message: AntiVir a détecté dans le fichier C:\Windows\System32\tbdpjfgk.dll un code suspect avec la désignation 'TR/Dldr.FakeAl.FN.1'!

Record Number: 10979

Source Name: Avira AntiVir

Time Written: 20100425120406.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-Marie-Pietro

Event Code: 1000

Message: Application défaillante iexplore.exe, version 8.0.6001.18904, horodatage 0x4b835fec, module défaillant ntdll.dll, version 6.0.6001.18000, horodatage 0x4791a7a6, code d’exception 0xc0000005, décalage d’erreur 0x00059ff8, ID du processus 0x1548, heure de début de l’application 0x01cae46fb1145c57.

Record Number: 10982

Source Name: Application Error

Time Written: 20100425120630.000000-000

Event Type: Erreur

User:

 

Computer Name: PC-Marie-Pietro

Event Code: 12290

Message: Avertissement du service de cliché instantané des volumes : ASR writer Error 0x80070057. hr = 0x00000000.

 

Opération :

Événement PrepareForBackup

Événement PrepareForBackup

 

Contexte :

Contexte d’exécution: ASR Writer

Contexte d’exécution: Writer

ID de classe du rédacteur: {be000cbe-11fe-4426-9c58-531aa6355fc4}

Nom du rédacteur: ASR Writer

ID d’instance du rédacteur: {ad468a29-4fb1-489a-a828-f4da041c4128}

Record Number: 10984

Source Name: VSS

Time Written: 20100425120707.000000-000

Event Type: Avertissement

User:

 

Computer Name: PC-Marie-Pietro

Event Code: 16387

Message: Échec de la création du cliché instantané en raison d’une erreur signalée par ASR Writer. Plus d’infos : Paramètre incorrect. (0x80070057).

Record Number: 10985

Source Name: SPP

Time Written: 20100425120708.000000-000

Event Type: Erreur

User:

 

Computer Name: PC-Marie-Pietro

Event Code: 8193

Message: Échec de la création d’un point de restauration sur le volume (Processus = C:\Windows\system32\svchost.exe -k netsvcs ; Description = Windows Update ; Hr = 0x800423f4).

Record Number: 10986

Source Name: System Restore

Time Written: 20100425120708.000000-000

Event Type: Erreur

User:

 

=====Security event log=====

 

Computer Name: PC-Marie-Pietro

Event Code: 5038

Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

 

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys

Record Number: 16063

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20100425120932.532482-000

Event Type: Échec de l'audit

User:

 

Computer Name: PC-Marie-Pietro

Event Code: 5038

Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

 

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys

Record Number: 16064

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20100425120932.680482-000

Event Type: Échec de l'audit

User:

 

Computer Name: PC-Marie-Pietro

Event Code: 5038

Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

 

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys

Record Number: 16065

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20100425120932.805482-000

Event Type: Échec de l'audit

User:

 

Computer Name: PC-Marie-Pietro

Event Code: 5038

Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

 

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys

Record Number: 16066

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20100425120932.938482-000

Event Type: Échec de l'audit

User:

 

Computer Name: PC-Marie-Pietro

Event Code: 5038

Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

 

Nom du fichier : \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys

Record Number: 16067

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20100425120933.074482-000

Event Type: Échec de l'audit

User:

 

======Environment variables======

 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"FP_NO_HOST_CHECK"=NO

"OS"=Windows_NT

"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Python

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

"PROCESSOR_ARCHITECTURE"=x86

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"USERNAME"=SYSTEM

"windir"=%SystemRoot%

"PROCESSOR_LEVEL"=15

"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 127 Stepping 2, AuthenticAMD

"PROCESSOR_REVISION"=7f02

"NUMBER_OF_PROCESSORS"=1

"TRACE_FORMAT_SEARCH_PATH"=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat

"DFSTRACINGON"=FALSE

"OnlineServices"=Online Services

"Platform"=HPD

"PCBRAND"=Presario

"MSWorksProductCode"={3B160861-7250-451E-B5EE-8B92BF30A710}

 

-----------------EOF-----------------

Modifié le 25 avril 2010 par fabulous gian

[Gof]

Re

 

Rien de très méchant, mais l'infection est présente en effet. Je te fais télécharger et utiliser un outil générique qui devrait traiter tout cela sans soucis. Tu pourras par la suite le conserver. Si jamais ce n'est pas suffisant, on peaufinera autrement.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

• Fais un clic droit sur le fichier téléchargé pour lancer le processus d'installation, et sélectionne Exécuter en tant qu'Administrateur
  
• Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

[fabulous gian]

Gof,

 

Merci pour ta rapidité.

Après analyse de MBAM, voici le rapport :

 

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 4033

 

Windows 6.0.6001 Service Pack 1

Internet Explorer 8.0.6001.18904

 

25/04/2010 14:50:11

mbam-log-2010-04-25 (14-50-11).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 106595

Temps écoulé: 6 minute(s), 55 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2a7d2dde-f206-474f-b7a2-968925d83da7} (Trojan.BHO.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{2a7d2dde-f206-474f-b7a2-968925d83da7} (Trojan.BHO.H) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\Windows\System32\puqvucd.dll (Trojan.BHO.H) -> Delete on reboot.

 

 

J'attends de nouveau tes instructions

Fabulous Gian

[Gof]

Ok, on poursuit alors, il en reste.

 

• Télécharge OTM (de Old_Timer) sur ton Bureau.
  
• Fais en clic droit et sélectionne "Exécuter en tant qu'Administrateur" sur OTM.exe pour le lancer.
  
• Copie-colle dans le cadre de gauche de Paste Instructions for Items to be moved les instructions ci-dessous (je les ai mises en bleues)
  

• :Files
  C:\Windows\TEMP\eyed.tmp\svchost.exe
  C:\Windows\TEMP\eyed.tmp
  c:\windows\system32\puqvucd.dll
   
  :Reg
  [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47d6943e-0be7-11df-abac-0026180dab32}]
  

 

• Clique sur MoveIt! pour lancer la suppression.
  
• Le résultat apparaitra dans le cadre Results. Copie le résultat.
  
• Clique sur Exit pour fermer.
  
• Colle le résultat dans ta prochain réponse.
  

 

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes. Et poste le rapport situé dans C:\_OTM\MovedFiles sous le nom [nombres_nombres].log

[fabulous gian]

Gof,

 

Voici le rapport :

 

Error: Unable to interpret <Files> in the current context!

Error: Unable to interpret <C:\Windows\TEMP\eyed.tmp\svchost.exe> in the current context!

Error: Unable to interpret <C:\Windows\TEMP\eyed.tmp> in the current context!

Error: Unable to interpret <c:\windows\system32\puqvucd.dll> in the current context!

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47d6943e-0be7-11df-abac-0026180dab32}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47d6943e-0be7-11df-abac-0026180dab32}\ not found.

 

OTM by OldTimer - Version 3.1.10.2 log created on 04252010_153151

 

FG

[Gof]

Tu as du oublier le : (les deux points) devant le mot File dans ton copier-coller. Peux tu recommencer la manipulation je te prie

[fabulous gian]

Bien sur! Voici le rapport :

 

========== FILES ==========

File/Folder C:\Windows\TEMP\eyed.tmp\svchost.exe not found.

File/Folder C:\Windows\TEMP\eyed.tmp not found.

File/Folder c:\windows\system32\puqvucd.dll not found.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47d6943e-0be7-11df-abac-0026180dab32}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47d6943e-0be7-11df-abac-0026180dab32}\ not found.

 

OTM by OldTimer - Version 3.1.10.2 log created on 04252010_154644

[Gof]

Merci. Je suis un âne ... Rhalala, c'est ça quand on en fait plus depuis un moment... On ne réagit pas sur l'évidence !

 

On change la manipulation, on a à faire à quelque chose de plus sérieux.

 

Fais les deux manipulations suivantes je te prie, après avoir désactivé les outils outils de sécurité qui pourraient gêner.

 

Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

• Ferme tes travaux en court, car l'outil va tout fermer lorsqu'il s'exécutera.
  
• Fais un clic droit pour l'exécuter en tant qu'administrateur (combofix.exe)
  
• Lorsque l'analyse sera complétée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  

 

Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files

• - Clique sur le bouton "Download EXE"
  - Sauvegarde-le sur ton Bureau
  - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.
  - Ferme les fenêtres de navigateur ouvertes
  - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) en faisant toujours un clic droit
  - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
  - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :
  

• • Sections
    
  • IAT/EAT
    
  • Devices
    
  • **Assure-toi que "Show All" est décoché**
    

• - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)
  - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
  - Nomme le fichier"fab.txt" et sauvegarde-le sur le Bureau ;
  - Copie/colle le contenu de ce rapport dans ta réponse.