multiples instances d'IE ouvertes pour rien, lenteur, coupure de

[Pchink]

Salut Mark,

 

Merci pour ta réponse, je comprends qu'avec le décalage horraire (je suis basé au Canada et d'après ce que je vois, vous êtes en France ?), je ne m'attendais pas à recevoir de réponse tout de suite

 

Bref, j'ai fais un peu de recherche de mon côté et j'ai trouvé sur un autre forum une solution pour effacer le Whistler bootkit (le programme s'appelle bootkit_remover de esage labs), j'ai roulé le scan du programme, et fixé la mbr de mon disque principal et maintenant tout semble fonctionner normalement (je n'ai plus de fenêtre d'IE qui me balance des pubs et le son ne couple plus). La seule chose qui m'inquiète maintenant est de savoir si la mbr de mon 2e disque dur est aussi infectée (le bootkit_remover que j'ai roulé semble effectuer les tests uniquement sur le drive C).

 

J'ai une question par contre; j'ai trouvé des clés de registre concernant un certain driver catchme.sys et d'après ce que je comprends, ceci est un keylogger ? J'ai regardé le répertoire où une des clés de catchme pointait et le fichier catchme.sys ne s'y trouve pas...est-ce qu'il y a un moyen de vérifier si je suis infecté par ça aussi ?

 

Encore une fois, merci beaucoup pour votre aide!

[Mark]

Salut Pchink,

 

Je suis au Québec, donc minuit ici

 

L'outil d'eSage est bon aussi, mais tout dépend des conditions. Ok dans ton cas, d'après ce que vois dans les rapports, mais certains sites n'ont pas toute l'information nécessaire, malheureusement, et peuvent faire planter des machines avec cet outil-là... Bref, il faut être guidé pour utiliser des outils de ce calibre, car on joue directement dans les entrailles de la machine.

 

Ça devrait être bon pour le lecteur système à présent mais, oui, il faut nettoyer l'autre disque aussi. Je te donne la procédure ci-bas. Petite note : j'ai dû retoucher ma procédure (message précédent) car j'avais loupé une étape ; tu es débarqué tellement rapidement que je l'ai fait alors que tu rédigeais ta réponse. Je vais donc te remettre la procédure complète, pour l'autre disque cette fois-ci.

 

Pour catchme.sys : pas de soucis, c'est un outil tout à fait légitime qui est incorporé dans plusieurs gros outil dont ComboFix. N'y touche pas, il sera désinstallé plus tard.

 

Sans plus tarder, voici la procédure pour l'autre disque. Suis les étapes une à une :

===

 

Cette procédure a été préparée pour Pchink : ne pas faire tourner cet outil sans être guidé par un bénévole formé.

 

Relance l'outil MBRCheck.exe (et non celui d'eSage) :

 

Tu verras ceci :

Found non-standard or infected MBR.

 

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Tape la lettre Y puis valide avec la touche [Entrée]

 

Ensuite, tu auras ceci :

Options:

 

[1] Dump the MBR of a physical disk to file.

 

[2] Restore the MBR of a physical disk with a standard boot code.

 

[3] Exit.

Choisis l'option 2 (tape le chiffre) et appuie sur [Entrée]

 

Ensuite, tu verras ceci :

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):

Tape le chiffre 1 puis valide avec [Entrée]

 

Tu auras maintenant un choix à faire, avec des codes de MBR :

Available MBR codes:

 

[ 0] Default (Windows XP)

 

[ 1] Windows XP

 

[ 2] Windows Server 2003

 

[ 3] Windows Vista

 

[ 4] Windows 2008

 

[ 5] Windows 7

 

[-1] Cancel

Tape le chiffre "1" puis valide avec [Entrée]

 

Ensuite, tu verras ceci :

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:

Ici, tu dois taper YES (en minuscules ça va aussi) puis valide avec [Entrée]

 

En principe, tu devrais maintenant voir ceci (ajouté au bout de la ligne) :

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!

...suivi de "Please reboot your computer to complete the fix."

 

Redémarre la machine. Copie/colle le contenu du rapport texte dans ta réponse (le même, qui est sur ton Bureau).

 

@++

 

Mark

[Pchink]

MBRCheck, version 1.1.1

 

© 2010, AD

 

 

 

\\.\C: --> \\.\PhysicalDrive0

 

\\.\D: --> \\.\PhysicalDrive0

 

\\.\F: --> \\.\PhysicalDrive1

 

 

 

Size Device Name MBR Status

 

--------------------------------------------

 

465 GB \\.\PhysicalDrive0 Windows XP MBR code detected

 

279 GB \\.\PhysicalDrive1 Known-bad MBR code detected (Whistler / Black Internet)!

 

 

 

 

 

Found non-standard or infected MBR.

 

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

 

Options:

 

[1] Dump the MBR of a physical disk to file.

 

[2] Restore the MBR of a physical disk with a standard boot code.

 

[3] Exit.

 

 

 

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): Available MBR codes:

 

[ 0] Default (Windows XP)

 

[ 1] Windows XP

 

[ 2] Windows Server 2003

 

[ 3] Windows Vista

 

[ 4] Windows 2008

 

[ 5] Windows 7

 

[-1] Cancel

 

 

 

Please select the MBR code to write to this drive:

 

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!

 

Please reboot your computer to complete the fix.

 

 

 

 

 

Done! Press ENTER to exit...

[Mark]

Super

 

Juste une autre petite note : la procédure de Thanos avec cet outil aurait pu fonctionner si YES avait été tapé plutôt que seulement la lettre Y (dans la séquence donnée). C'est ma faute de toute façon car j'avais mal informé Thanos au départ. Pas grave, finalement, car l'outil a simplement stoppé sa démarche.

 

Pour en terminer avec cette infection, tu devras repasser ComboFix :

 

> Lance-le par double-clic

> S'il te propose de télécharger une version à jour : accepte, puis il se lancera automatiquement.

> Lorsqu'il aura complété sa routine, copie/colle son rapport ici, s'il te plaît. Le rapport est aussi sauvegardé à "C:\ComboFix.txt"

 

Et finalement, repasse l'outil MBRCheck.exe mais ne choisis aucune option de réparation (il ne devrait pas en offrir, de toute façon). Lorqu'il aura terminé, il affichera :

Done! Press ENTER to exit...

Appuie sur [Entrée] pour le fermer.

 

..puis copie/colle le contenu de son rapport également.

 

@++

 

Mark

[Pchink]

Alors voilà pour les derniers rapports:

 

 

ComboFix 10-07-23.02 - Louis Huppé 2010-07-24 0:59.3.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.2.1033.18.3071.2561 [GMT -4:00]

Lancé depuis: c:\documents and settings\Louis Huppé\Desktop\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: Eset NOD32 antivirus system 2.51 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

FW: Online Armor Firewall *disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\TEMP\logishrd\LVPrcInj01.dll

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-06-24 au 2010-07-24 ))))))))))))))))))))))))))))))))))))

.

 

2010-07-24 03:35 . 2010-07-24 03:35 -------- d-----w- c:\program files\Avira

2010-07-24 03:35 . 2010-07-24 03:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2010-07-24 03:35 . 2010-03-01 14:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-07-24 03:35 . 2010-02-16 18:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-07-24 03:35 . 2009-05-11 16:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-07-24 03:35 . 2009-05-11 16:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-07-22 05:10 . 2010-07-22 05:10 -------- d-sh--w- c:\documents and settings\NetworkService\PrivacIE

2010-07-22 05:01 . 2010-07-22 05:01 -------- d-----w- C:\rsit

2010-07-22 03:31 . 2010-07-22 03:31 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE

2010-07-21 01:23 . 2010-07-21 01:23 -------- d-----w- c:\program files\Trend Micro

2010-07-18 22:12 . 2010-07-19 14:03 -------- d-----w- c:\documents and settings\All Users\Application Data\OnlineArmor

2010-07-18 22:12 . 2010-07-07 16:25 22600 ----a-w- c:\windows\system32\drivers\OAmon.sys

2010-07-18 22:12 . 2010-07-07 16:25 28232 ----a-w- c:\windows\system32\drivers\OAnet.sys

2010-07-18 22:12 . 2010-07-07 16:25 236104 ----a-w- c:\windows\system32\drivers\OADriver.sys

2010-07-18 22:12 . 2010-07-18 22:12 -------- d-----w- c:\program files\Emsisoft

2010-07-18 22:04 . 2010-07-24 04:40 -------- d-----w- c:\windows\system32\NtmsData

2010-07-18 18:21 . 2010-07-18 18:22 -------- d-----w- c:\program files\ERUNT

2010-07-18 00:21 . 2010-07-18 17:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-07-18 00:21 . 2010-07-18 00:23 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-07-17 20:55 . 2010-07-17 20:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Creative

2010-07-17 20:55 . 2010-07-17 20:55 -------- d-----w- c:\program files\Common Files\Creative Labs Shared

2010-07-17 19:12 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe

2010-07-14 02:11 . 2010-07-14 02:14 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Adobe

2010-07-11 19:41 . 2010-07-11 19:41 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE

2010-07-11 19:41 . 2010-07-11 19:41 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2010-07-09 01:33 . 2010-07-09 01:33 -------- d-----w- c:\program files\TeamSpeak 3 Client

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-22 04:02 . 2010-01-19 05:54 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-07-19 13:59 . 2008-04-12 04:49 -------- d-----w- c:\program files\ESET

2010-07-18 22:25 . 2008-05-04 17:11 -------- d-----w- c:\program files\MagicISO

2010-07-18 00:25 . 2010-04-02 15:50 -------- d-----w- c:\program files\Guitar Pro 6

2010-07-17 21:02 . 2008-04-12 04:21 -------- d-----w- c:\program files\Messenger Plus! Live

2010-07-17 20:55 . 2008-04-12 02:42 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-07-17 20:55 . 2008-05-19 03:27 445016 ----a-w- c:\windows\system32\wrap_oal.dll

2010-07-17 20:55 . 2008-05-19 03:27 109144 ----a-w- c:\windows\system32\OpenAL32.dll

2010-07-11 20:02 . 2008-05-19 03:27 -------- d-----w- c:\program files\Creative

2010-07-11 19:59 . 2008-04-12 04:17 -------- dcsh--w- c:\program files\Common Files\WindowsLiveInstaller

2010-07-11 19:59 . 2010-06-04 13:20 -------- d-----w- c:\program files\QuickTime

2010-07-11 19:59 . 2008-12-01 00:14 -------- d-----r- c:\program files\Skype

2010-07-11 19:59 . 2008-06-01 22:14 -------- d-----w- c:\program files\MSN Webcam Recorder

2010-07-11 19:59 . 2008-07-03 03:31 -------- d-----w- c:\program files\Winamp

2010-06-14 14:31 . 2008-04-12 02:17 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe

2010-06-07 09:51 . 2008-05-03 03:17 -------- d-----w- c:\program files\Microsoft Silverlight

2010-06-04 15:11 . 2010-06-04 15:11 -------- d-----w- c:\documents and settings\All Users\Application Data\WindSolutions

2010-06-04 14:23 . 2010-06-04 14:23 16504 ---ha-w- c:\windows\system32\mlfcache.dat

2010-06-04 13:30 . 2009-03-12 20:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple

2010-06-04 13:22 . 2010-06-04 13:21 -------- d-----w- c:\program files\iTunes

2010-06-04 13:22 . 2010-06-04 13:21 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

2010-06-04 13:21 . 2010-06-04 13:21 -------- d-----w- c:\program files\iPod

2010-06-04 13:21 . 2009-03-12 20:05 -------- d-----w- c:\program files\Common Files\Apple

2010-06-04 13:21 . 2010-06-04 13:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer

2010-06-04 13:19 . 2010-06-04 13:18 -------- d-----w- c:\program files\Apple Software Update

2010-06-04 13:17 . 2010-06-04 13:17 -------- d-----w- c:\program files\Bonjour

2010-05-06 10:41 . 2007-07-27 12:00 916480 ----a-w- c:\windows\system32\wininet.dll

2010-05-02 05:22 . 2007-07-27 12:00 1851264 ----a-w- c:\windows\system32\win32k.sys

2010-04-29 19:39 . 2010-01-19 06:49 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 19:39 . 2010-01-19 06:49 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-28 19:45 . 2010-04-28 19:45 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe

2003-12-18 15:33 . 2008-07-20 23:54 20102 ----a-w- c:\program files\Readme.txt

2003-09-03 11:46 . 2008-07-20 23:54 10960 ----a-w- c:\program files\EULA.txt

.

 

((((((((((((((((((((((((((((( SnapShot@2010-07-22_05.16.02 )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-07-24 03:35 . 2009-05-11 14:12 28520 c:\windows\system32\drivers\ssmdrv.sys

+ 2008-04-12 02:22 . 2010-07-23 23:21 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

- 2008-04-12 02:22 . 2010-07-22 05:10 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat

+ 2008-04-12 02:22 . 2010-07-23 23:21 32768 c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat

- 2008-04-12 02:22 . 2010-07-22 05:10 32768 c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat

+ 2008-04-12 02:22 . 2010-07-23 23:21 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2008-04-12 02:22 . 2010-07-22 05:10 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

"Google Update"="c:\documents and settings\Louis Huppé\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-04-28 136176]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-10-19 204288]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]

"SkyTel"="SkyTel.EXE" [2008-04-07 1826816]

"RTHDCPL"="RTHDCPL.EXE" [2008-04-07 16859136]

"SoundMan"="SOUNDMAN.EXE" [2008-04-07 86016]

"AlcWzrd"="ALCWZRD.EXE" [2008-04-07 2808832]

"CTxfiHlp"="CTXFIHLP.EXE" [2007-04-09 19968]

"LogitechCommunicationsManager"="c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]

"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-05-20 98304]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]

"CTHelper"="CTHELPER.EXE" [2010-03-18 19456]

"@OnlineArmor GUI"="c:\program files\Emsisoft\Online Armor\oaui.exe" [2010-07-07 6854984]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\progra~1\Emsisoft\ONLINE~1\oaevent.dll" [2010-07-07 924488]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2008-05-02 06:42 72208 ----a-w- c:\program files\Common Files\Logitech\Bluetooth\LBTWLgn.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MIDI4"=diomidi.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"d:\\Steam\\steamapps\\common\\x-com terror from the deep\\runme.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"d:\\Steam\\steamapps\\common\\dawn of war gold\\W40k.exe"=

"d:\\Steam\\steamapps\\common\\dawn of war gold\\W40kWA.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"d:\\Steam\\steamapps\\common\\xcom ufo defense\\dosbox.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"d:\\Steam\\steamapps\\common\\mass effect\\Binaries\\MassEffect.exe"=

"d:\\Steam\\steamapps\\common\\plants vs zombies\\PlantsVsZombies.exe"=

"d:\\Steam\\steamapps\\common\\torchlight\\Torchlight.exe"=

"d:\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=

"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"d:\\Steam\\steamapps\\common\\defensegridtheawakening\\DefenseGrid.exe"=

"d:\\Steam\\steamapps\\common\\left 4 dead 2\\left4dead2.exe"=

"d:\\Steam\\steamapps\\u_p\\counter-strike source\\hl2.exe"=

 

R0 DigiFilter;DigiFilter;c:\windows\system32\drivers\DigiFilt.sys [2008-04-12 16384]

R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [2010-07-18 236104]

R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [2010-07-18 22600]

R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [2010-07-18 28232]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-07-23 135336]

R2 OAcat;Online Armor Helper Service;c:\program files\Emsisoft\Online Armor\oacat.exe [2010-07-18 1283400]

R3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [2010-03-18 99416]

R3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [2010-03-18 555096]

R3 ctgame;Game Port;c:\windows\system32\drivers\ctgame.sys [2010-03-18 18904]

R3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [2010-03-18 566360]

R3 SvcOnlineArmor;Online Armor;c:\program files\Emsisoft\Online Armor\oasrv.exe [2010-07-18 3364680]

S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [2010-03-18 99416]

S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [2010-07-17 79360]

S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [2010-03-18 555096]

S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [2010-03-18 100952]

S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [2010-03-18 100952]

S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [2010-03-18 566360]

S3 dalwdmservice;dal service;c:\windows\system32\drivers\Dalwdm.sys [2008-04-12 109056]

S3 DualCoreCenter;DualCoreCenter;\??\c:\program files\ATI Technologies\ATI.ACE\NTGLM7X.sys --> c:\program files\ATI Technologies\ATI.ACE\NTGLM7X.sys [?]

S3 MBX2DFU;MBX2DFU;c:\windows\system32\drivers\mbx2dfu.sys [2008-04-12 15488]

S3 MBX2MIDK;Digidesign Mbox 2 Midi Driver;c:\windows\system32\drivers\mbx2midk.sys [2008-04-12 15232]

S3 RushTopDevice2;RushTopDevice2;\??\c:\program files\ATI Technologies\ATI.ACE\RushTop.sys --> c:\program files\ATI Technologies\ATI.ACE\RushTop.sys [?]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2008-05-04 717296]

.

Contenu du dossier 'Tâches planifiées'

 

2010-07-24 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 15:50]

.

.

------- Examen supplémentaire -------

.

uInternet Settings,ProxyOverride = *.local

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Louis Huppé\Application Data\Mozilla\Firefox\Profiles\sa9vo2md.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.ca

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-07-24 01:09

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CTxfiHlp = CTXFIHLP.EXE?

CTHelper = CTHELPER.EXE?

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9c,83,9d,00,5e,95,18,4a,a1,9c,7f,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9c,83,9d,00,5e,95,18,4a,a1,9c,7f,\

 

[HKEY_USERS\S-1-5-21-1547161642-1336601894-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:11,d6,c5,cc,e5,0b,1a,6b,5c,d8,99,9e,24,0f,cb,8c,5a,3a,07,90,fc,74,3a,

50,63,d6,4e,da,f1,31,f1,75,d1,80,d8,a3,d0,33,1a,32,8a,91,94,36,2d,16,64,8e,\

"??"=hex:ab,67,17,8e,06,b6,50,b2,6f,3c,b5,de,17,fd,8a,58

 

[HKEY_USERS\S-1-5-21-1547161642-1336601894-725345543-1003\Software\SecuROM\License information*]

"datasecu"=hex:75,51,ca,8c,79,fe,f8,f7,43,92,77,04,42,07,84,a2,74,14,a5,fd,bd,

7f,77,f7,09,81,f7,b0,a4,56,e4,20,62,2b,e5,9d,cd,74,52,ab,d3,0c,ea,e9,bf,1f,\

"rkeysecu"=hex:7e,41,58,24,fb,73,06,8b,b2,cb,c4,3e,0b,a2,d5,88

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(548)

c:\windows\system32\Ati2evxx.dll

c:\program files\common files\logitech\bluetooth\LBTWlgn.dll

c:\program files\common files\logitech\bluetooth\LBTServ.dll

 

- - - - - - - > 'explorer.exe'(4812)

c:\windows\system32\WININET.dll

c:\program files\Logitech\SetPoint\GameHook.dll

c:\program files\Logitech\SetPoint\lgscroll.dll

c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\MSVCR80.dll

c:\windows\system32\ctagent.dll

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Avira\AntiVir Desktop\avshadow.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\program files\Creative\Shared Files\CTAudSvc.exe

c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe

c:\windows\SOUNDMAN.EXE

c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PnkBstrB.exe

c:\windows\system32\CTHELPER.EXE

c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\program files\Windows Media Player\WMPNetwk.exe

c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

c:\program files\Logitech\SetPoint\SetPoint.exe

c:\program files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe

c:\program files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE

c:\program files\iPod\bin\iPodService.exe

c:\program files\Common Files\Logishrd\LQCVFX\COCIManager.exe

.

**************************************************************************

.

Heure de fin: 2010-07-24 01:12:30 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-07-24 05:12

ComboFix2.txt 2010-07-22 05:17

 

Avant-CF: 82 117 591 040 bytes free

Après-CF: 82 205 347 840 bytes free

 

- - End Of File - - 448F3DA1F083E6BBCBDC861F0084FFD6

 

 

 

 

MBRCheck, version 1.1.1

 

© 2010, AD

 

 

 

\\.\C: --> \\.\PhysicalDrive0

 

\\.\D: --> \\.\PhysicalDrive0

 

\\.\F: --> \\.\PhysicalDrive1

 

 

 

Size Device Name MBR Status

 

--------------------------------------------

 

465 GB \\.\PhysicalDrive0 Windows XP MBR code detected

 

279 GB \\.\PhysicalDrive1 Windows XP MBR code detected

 

 

 

 

 

Done! Press ENTER to exit...

[Mark]

Merci pour les rapports

 

Ça m'a l'air bon, mais je vais laisser Thanos jeter un oeil sur tout ça.

 

Bonne nuit

 

 

Mark

[Pchink]

Cool! Un gros merci pour ton aide, c'est très apprécié!

[Thanos]

salut Pchink,Mark

 

Un grand merci à Mark pour son intervention

Pchink: je repasse en fin d'après midi pour faire un peu de nettoyage sur ton pc

[Thanos]

re!

 

Ok: à la lecture des rapports, aucune autre infection présente

Qu'en est il des problèmes rencontrés en début de discussion ?

 

• Passe par le Menu Démarrer > Exécuter ( pour cela utilise la combinaison de touches [Touche Windows]+[R]) et copie/colle ceci =>
   
  ComboFix /uninstall (il y a un espace entre x et / si tu recopies la commande manuellement)
   
  
• Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc et la restauration système sera purgée.

 

Notes importantes :

 

Tu as dû constater qu'au démarrage, un choix t'est proposé à présent: Démarrer Windows ou Lancer la Console de Récupération. C'est ComboFix qui l'a installée par sécurité. Parfois, il arrive que des fichiers importants de Windows soient corrompus/effacés et c'est là que l'installation de cette Console prend tout son intérêt.

Elle permet de faire une multitude de chose: effacer des fichiers infectés - remplacer des fichiers légitimes etc....

pour plus d'informations sur la Console de Récupération, lis ce topic >> http://www.zebulon.fr/dossiers/61-console-...cuperation.html

 

• Windows ne laisse que très peu de temps pour choisir de démarrer sur le système ou sur la console. (2 secondes par défaut). C'est très court pour réagir.
  
• Pour allonger un peu ce temps de réaction, va dans le panneau de configuration, double-clique sur Système puis clique sur Avancé/Propriétés système. Clique sur Démarrage et récupération/paramètres.
  
• Change la valeur indiquée à "Afficher la liste des système d'exploitation pendant x secondes": augmente la à 8 secondes.
  
  
• Clique alors sur "Modifier".
  
• Le fichier boot.ini va s'ouvrir en forme de fichier texte.
  
• N'y touche pas, ferme la fenêtre en cliquant sur la croix en haut à droite.
  
• Clique ensuite sur /ok/appliquer/ok.
  
• Tu disposeras désormais de 8 secondes à chaque démarrage du pc pour choisir de démarrer soit sur la console de récupération soit sur le système.
  
• Si tu ne touche à rien pendant ce laps de temps, Windows bootera sur le système.
  
• Et si tu souhaites démarrer de suite sur le système, interromps le décompte en pressant la touche Enter du clavier

 

Tu peux aussi supprimer le fichier MBRCheck

 

Il faut mettre la Console Java de Sun à jour car c'est important pour la sécurité du pc.

 

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

• Décompresse le fichier sur ton bureau (clic droit > Extraire tout)
  
• Double-clique sur le répertoire JavaRa obtenu
  
• Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher)
  
• Une boite va s'ouvrir te demandant de sélectionner le langage, fais ton choix puis clique sur Selectionner.
  
• Clique sur Recherche de mises à jour
  
• Sélectionne Metre à jour via jucheck.exe puis clique sur Rechercher
  
• Autorise le processus à se connecter s'il te le demande, clique sur Installer et suis les instructions d'installation. Cela prendra quelques minutes.
  
• Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Effacer les anciennes versions
  
• Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
  
• Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse: le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log)
  
• Ferme l'application
  

Note: Tu pourras conserver ce petit programme car il permet d'automatiser la mise à jour de la Console Java ainsi que la désinstallation des anciennes versions.

Si JavaRa te dit que tu possèdes la dernière version de Java, télécharge la dernière version depuis leur site >> Téléchargement gratuit du logiciel Java - Sun Microsystems

Tu peux utiliser Javara pour nettoyer les anciennes versions (utilise le bouton Remove Older Versions) puis installe la dernière.

[Pchink]

Salut Thanos,

 

JavaRa a planté vers la fin de l'exécution (après avoir installé la dernière version de Java et effacé les anciennes versions)

 

Voici tout de même le contenu (probablement incomplet du log):

 

 

JavaRa 1.15 Removal Log.

 

Report follows after line.

 

------------------------------------

 

The JavaRa removal process was started on Sat Jul 24 15:32:17 2010

 

Found and removed: C:\Program Files\Java\jre1.6.0_06

 

Found and removed: C:\Program Files\Java\jre1.6.0_07

 

Found and removed: C:\Documents and Settings\Louis Huppé\Application Data\Sun\Java\jre1.6.0_11

 

Found and removed: C:\Documents and Settings\Louis Huppé\Application Data\Sun\Java\jre1.6.0_13

 

Found and removed: C:\Documents and Settings\Louis Huppé\Application Data\Sun\Java\jre1.6.0_15

 

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610006

 

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610006

 

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610006

 

Found and removed: SOFTWARE\Classes\JavaPlugin.160_06

 

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_06

 

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_06

 

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610006

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610006

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610006

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160060}

 

Found and removed: Software\Classes\JavaPlugin.160_06

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

 

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_06

 

Found and removed: Software\JavaSoft\Java2D\1.6.0_06

 

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_06

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

 

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

 

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_07

 

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_07

 

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610007

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610007

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160070}

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.6.0_06\

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.6.0_06\bin\

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.6.0_07\bin\

 

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Common Files\Java\Update\Base Images\jre1.6.0.b105\patch-jre1.6.0_06.b02\