[RESOLU] IE 8 se lance tout seul (pub) - rapport HijackThis

Helloword · le 26 mars 2011

Bonjour,

Depuis plusieurs mois, une page de pub lance IE (il me semble que ces pages sont en portugais et d'origine brésilienne).

Ainsi j'ai eu pendant plusieurs semaines "http://www.dell.com.br/", j'ai eu aussi des sites de voyages...

Cette page s'ouvre plusieurs fois par session.

Je précise que parfois certaines de ces pages de publicité ne s'ouvrent pas (c'est par période) mais elles apparaissent malgré tout dans l'historique d'IE (il doit alors y avoir un dysfonctionnement, mais lorsque la page de pub change, la nouvelle arrive à lancer IE automatiquement).

J'ai lancé plusieurs fois, Malwarebytes' Anti-Malware, Spybot - Search & Destroy, mais aussi Kaspersky, sans qu'aucun problème apparent ne soit trouvé!

J'ai aussi utilisé AD-Remover (scanne et nettoyage) également sans succés!

J'ai mis à jour IE (de 6 à 8 ) , mais cela n'a rien changé...

J'ai aussi mis Firefox en navigateur par défaut mais la publicité a continué de lancer IE ...

En désespoir de cause, je me permets de soumettre un rapport HijackThis afin qu'une solution puisse être trouvé à mon problème.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:51:25, on 26/03/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Apps\ActivBoard\nhksrv.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Cable e ADSL Speed\NtwCA.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PyGrenouille\pygrenouille.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Azurus\Bureau\HiJackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: ::1 localhost

O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CASpeed] "C:\Program Files\Cable e ADSL Speed\NtwCA.exe" /HIDE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [update Service] C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe /startup

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: PyGrenouille.lnk = C:\PyGrenouille\pygrenouille.exe

O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} (F-Secure Online Scanner Launcher) - http://download.s p.f-s ecure.com/ol s /f-s ecure-rtm/re s ource s /f s launcher.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://u s hou s ecall02.trendmicro.com/hou s ecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} (F-Secure Online Scanner Launcher) - http://download.s p.f-s ecure.com/ol s /f-s ecure-rtm/re s ource s /f s launcher.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://s ecurity.s ymantec.com/s s cv6/S haredContent/vc/bin/Av S niff.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} - http://ac s .panda s oftware.com/active s can/cab s /a s 2 s tubie.cab

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.mypix.com/importer/newconf/aurigma5.8.1.0/ImageUploader5.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/re s ource s /s canner/s ource s /fr/s can8/o s can8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.micro s oft.com/window s update/v6/V5Control s /en/x86/client/wuweb_s ite.cab?1246089656342

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://s ecurity.s ymantec.com/s s cv6/S haredContent/common/bin/cab s a.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://ac s .panda s oftware.com/active s can/cab s /a s 2 s tubie.cab

O16 - DPF: {C237A80A-4C55-4C68-BAA9-CBE4408D12B2} (F-Secure Online Scanner 4.0 Launcher) - http://download.s p.f-s ecure.com/ol s /f-s ecure-rtm/re s ource s /f s launcher.cab

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Apps\ActivBoard\nhksrv.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

--

End of file - 6745 bytes

Je précise qu'actuellement, depuis environs 2 semaines, la page de pub n'arrive pas à s'ouvrir, mais je reçois le message d'erreur suivant:

"Erreur de script dans internet explorer

Une erreur est survenue dans le script de cette page.

Ligne: 7800

Caractère: 1

Erreur: Objet requis

Code: 0

URL: http://www.clickon.com.br/clickon-client-http-deal/assets/virtual/H4sIAAAAAAAAAIXNUQrCMAyA4fogXkREhDUO3KOH6Wo2p9samlScZ$002fJq3sF10IEv8y38fEneH7V$002bKbU6K6U26gCGGYWBrW9IjA2tCwyFzvVRF0DeiZOBUN9Y6WX7U6PfL3usKrQyyW2SYghZ$002fDCjFKLaJVW2xt7Lxl9mNpfosr$002fXsg6ZTY3T81Pith0HMnKFR65zwADWdaFvyPUMFDlQX1fNc9z6AgY$002bVJRGAQAA.js "

J'ai remarqué que ce message d'erreur réapparaissait (dès lors que je le ferme) très exactement toutes les 10 minutes (par exemple 11h 42'34" puis si je le ferme 11h52'34"...). Cette pub virale a donc une petite horloge qui la relance régulièrement.

Je remercie par avance celle ou celui qui arrivera à m'aider à résoudre ce problème.

Modifié le 7 avril 2011 par Helloword

lance_yien · le 2 avril 2011

Bonjour Helloword,

Très Important!

>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

>>> Que faire durant ce nettoyage, merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

>>> Que faire à la réception de nouvelles instructions,

Lire la totalité du message.
Télécharger et enregistrer les utilitaires DIRECTEMENT sur le Bureau ou les déplacer (tout de suite après par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller".
Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau.
Prendre l'habitude de désactiver tous les programmes de protection au début de chaque nouvelle étape et de les réactiver à la fin.
Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.

>>> Comment répondre:

- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).

- Coller le contenu des rapports SANS y ajouter AUCUN formatage de texte (en citation, code, couleur etc...).

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

OTL (par OldTimer) depuis ici ou ici.
Security Check (par screen317) depuis ici ou ici.

>>> Utiliser OTL: Brancher et allumer tous les médias amovibles (Disques externes, clés USB etc...).

Fermer toutes les applications et fenêtres ouvertes et double-cliquer sur OTL.exe.

Copiez/ Collez ces lignes (commençant par netsvcs) dans l'espace sous "Personnalisation":

netsvcs
drivers32

%SYSTEMDRIVE%\*.*

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\drivers\*.sys /90

CREATERESTOREPOINT

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

SAVEMBR:0

Sans rien changer, cliquer sur le bouton bleu Analyse et laisser faire.

A la fin du scan, 2 rapports seront créés: OTL.txt (qui s'ouvre dans le bloc-note) et Extras.txt (qui sera minimisé dans la Barre des tâches).

Copier/ Coller le contenu de chaque rapport, un seul par message parce qu'ils sont souvent très longs et dépassent la limite autorisée par le forum.

>>> Utiliser SecurityCheck: Fermer tout et double-cliquer sur "SecurityCheck.exe" pour lancer le programme.

Appuyer sur une touche comme demandé et suivre les indications.

Note: Si un des programmes de sécurité demande la permission d'accéder à Internet depuis dig.exe, acceptez.

Le Rapport checkup.txt s'ouvre à la fin. Poster son contenu.

Ce rapport ne sera pas enregistré automatiquement. Si vous voulez en garder une copie, cliquez sur "Fichier" => "Enregistrer sous", choisissez un endroit (Bureau par exemple) et cliquez sur "Enregistrer" en bas à droite.

Poster son contenu.

Rapports demandés:

OTL.txt
Extras.txt
checkup.txt

Helloword · le 2 avril 2011

Bonjour lance_yien,

Je vous remercie pour votre intervention.

Voici les rapports que vous avez demandé :

OTL:

OTL logfile created on: 02/04/2011 15:01:46 - Run 3

OTL by OldTimer - Version 3.2.22.3 Folder = C:\Documents and Settings\Azurus\Bureau

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 67,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free

Paging file location(s): C:\pagefile.sys 1000 1900 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 76,32 Gb Total Space | 3,99 Gb Free Space | 5,22% Space Free | Partition Type: NTFS

Computer Name: AZURUS | User Name: Azurus | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2011/04/02 12:41:33 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Azurus\Bureau\OTL.exe

PRC - [2011/03/31 20:04:54 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe

PRC - [2010/08/17 14:39:03 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe

PRC - [2010/08/17 14:38:55 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

PRC - [2010/01/14 23:11:14 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

PRC - [2009/11/26 08:29:12 | 000,091,648 | ---- | M] (grenouille.com) -- C:\PyGrenouille\pygrenouille.exe

PRC - [2008/04/14 04:34:03 | 001,037,824 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

PRC - [2007/05/15 15:55:46 | 001,550,896 | ---- | M] (Nero AG) -- C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

PRC - [2004/04/15 11:05:40 | 001,949,696 | ---- | M] (Kerio Technologies) -- C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

PRC - [2004/04/15 11:05:14 | 002,510,848 | ---- | M] (Kerio Technologies) -- C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

PRC - [2003/06/20 09:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

PRC - [2002/11/21 16:02:34 | 000,154,624 | ---- | M] (Network Cable e ADSL Speed) -- C:\Program Files\Cable e ADSL Speed\NtwCA.exe

PRC - [2002/05/16 12:17:32 | 000,139,264 | ---- | M] (H+H Software GmbH) -- C:\Program Files\Virtual CD v4 SDK\System\vcssecs.exe

PRC - [2001/11/29 16:09:28 | 000,045,056 | ---- | M] ( ) -- C:\WINDOWS\system32\slserv.exe

PRC - [2001/08/06 06:41:48 | 000,028,672 | ---- | M] () -- C:\APPS\ActivBoard\nhksrv.exe

========== Modules (SafeList) ==========

MOD - [2011/04/02 12:41:33 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Azurus\Bureau\OTL.exe

MOD - [2010/08/23 18:12:39 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll

========== Win32 Services (SafeList) ==========

SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)

SRV - [2011/03/31 20:04:54 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)

SRV - [2010/08/17 14:39:03 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)

SRV - [2007/05/16 09:27:28 | 000,271,920 | ---- | M] (Nero AG) [On_Demand | Stopped] -- C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)

SRV - [2007/05/15 15:55:46 | 001,550,896 | ---- | M] (Nero AG) [Auto | Running] -- C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe -- (InCDsrv)

SRV - [2004/04/15 11:05:40 | 001,949,696 | ---- | M] (Kerio Technologies) [Auto | Running] -- C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe -- (KPF4)

SRV - [2003/06/20 09:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe -- (MDM)

SRV - [2002/05/16 12:17:32 | 000,139,264 | ---- | M] (H+H Software GmbH) [Auto | Running] -- C:\Program Files\Virtual CD v4 SDK\System\vcssecs.exe -- (VCSSecS) Virtual CD v4 Security service (SDK - Version)

SRV - [2001/11/29 16:09:28 | 000,045,056 | ---- | M] ( ) [Auto | Running] -- C:\WINDOWS\System32\slserv.exe -- (SLService)

SRV - [2001/08/06 06:41:48 | 000,028,672 | ---- | M] () [Auto | Running] -- C:\APPS\ActivBoard\nhksrv.exe -- (nhksrv)

========== Driver Services (SafeList) ==========

DRV - [2011/03/31 20:04:54 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)

DRV - [2011/02/23 22:01:09 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)

DRV - [2010/06/17 16:28:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2010/06/17 16:27:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)

DRV - [2009/06/30 11:37:16 | 000,028,552 | ---- | M] (Panda Security, S.L.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\pavboot.sys -- (pavboot)

DRV - [2009/06/25 19:10:01 | 000,008,552 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\asctrm.sys -- (ASCTRM)

DRV - [2008/07/09 14:49:06 | 000,819,072 | ---- | M] (DiBcom SA) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mod7700.sys -- (mod7700)

DRV - [2008/04/13 20:46:22 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)

DRV - [2008/04/13 20:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)

DRV - [2007/10/19 15:32:58 | 000,013,824 | ---- | M] (DiBcom S.A.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\modrc.sys -- (MODRC)

DRV - [2007/05/15 15:55:36 | 000,118,576 | ---- | M] (Nero AG) [File_System | Disabled | Running] -- C:\WINDOWS\system32\drivers\InCDfs.sys -- (InCDfs)

DRV - [2007/05/15 15:55:36 | 000,038,576 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\InCDRm.sys -- (incdrm)

DRV - [2007/05/15 15:55:36 | 000,037,040 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\InCDPass.sys -- (InCDPass)

DRV - [2006/02/21 20:46:26 | 001,505,792 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)

DRV - [2005/11/30 10:51:28 | 000,031,232 | ---- | M] ( ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\usbdtv.sys -- (usbdtv)

DRV - [2005/11/30 10:51:28 | 000,022,016 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\dtvfw.sys -- (DTVFW)

DRV - [2004/04/15 11:02:56 | 000,147,456 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\fwdrv.sys -- (fwdrv)

DRV - [2003/03/27 14:38:44 | 000,127,145 | ---- | M] (Analog Devices Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\adiusbaw.sys -- (adiusbaw)

DRV - [2003/03/25 18:02:12 | 000,046,455 | ---- | M] (Analog Deivces) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\adildr.sys -- (ADILOADER) General Purpose USB Driver (adildr.sys)

DRV - [2002/09/20 18:43:18 | 000,231,983 | ---- | M] (SigmaTel Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\stac97nh.sys -- (STAC97NH)

DRV - [2002/09/20 18:42:32 | 000,296,179 | ---- | M] (SigmaTel Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\stac97na.sys -- (STAC97NA)

DRV - [2002/06/07 12:38:40 | 000,049,232 | ---- | M] (H+H Software GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\vcsmpdrv.sys -- (vcsmpdrv)

DRV - [2002/03/26 16:34:22 | 000,045,568 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\R8139n51.sys -- (rtl8139)

DRV - [2002/01/28 02:43:00 | 000,067,698 | ---- | M] (Logitech) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LMouFlt2.sys -- (LMouFlt2)

DRV - [2002/01/28 02:43:00 | 000,050,994 | ---- | M] (Logitech) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\L8042Pr2.sys -- (l8042pr2)

DRV - [2002/01/28 02:43:00 | 000,005,842 | ---- | M] (Logitech) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LKbdFlt2.sys -- (LKbdFlt2)

DRV - [2001/12/20 09:02:12 | 000,006,656 | ---- | M] (Netropa Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\Msikbd2k.sys -- (msikbd2k)

DRV - [2001/12/05 14:48:12 | 000,322,948 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\slntamr.sys -- (Slntamr)

DRV - [2001/11/29 16:09:32 | 001,432,836 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\v90drv.sys -- (V90drv)

DRV - [2001/11/29 16:09:28 | 000,033,028 | ---- | M] (Vireo Software) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\slwdmsup.sys -- (SlWdmSup)

DRV - [2001/11/29 16:09:26 | 000,175,160 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\slnthal.sys -- (SlNtHal)

DRV - [2001/11/29 16:09:20 | 000,607,732 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ntmtlfax.sys -- (NtMtlFax)

DRV - [2001/11/29 16:09:18 | 002,383,460 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mtlstrm.sys -- (Mtlstrm)

DRV - [2001/11/29 16:09:14 | 000,172,708 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mtlmnt5.sys -- (Mtlmnt5)

DRV - [2001/08/17 22:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)

DRV - [2001/08/17 21:52:24 | 000,038,144 | ---- | M] (HighPoint Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\DRIVERS\hpt3xx.sys -- (hpt3xx)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.useDBForOrder: true

FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.4

FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3

FF - prefs.js..extensions.enabledItems: piclens@cooliris.com:1.12.0.36949

FF - prefs.js..keyword.URL: "http://redirecterror.sfr.fr/?q="'>http://redirecterror.sfr.fr/?q="

FF - user.js..keyword.URL: "http://redirecterror.sfr.fr/?q="

FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/03/22 22:04:57 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/03/22 22:04:57 | 000,000,000 | ---D | M]

[2009/06/27 14:09:41 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Azurus\Application Data\Mozilla\Extensions

[2011/04/02 09:51:02 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Azurus\Application Data\Mozilla\Firefox\Profiles\3apdoppw.default\extensions

[2011/04/02 09:51:02 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Documents and Settings\Azurus\Application Data\Mozilla\Firefox\Profiles\3apdoppw.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}

[2010/10/02 12:38:44 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Documents and Settings\Azurus\Application Data\Mozilla\Firefox\Profiles\3apdoppw.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}(2)

[2011/03/26 18:13:29 | 000,000,000 | ---D | M] (Cooliris) -- C:\Documents and Settings\Azurus\Application Data\Mozilla\Firefox\Profiles\3apdoppw.default\extensions\piclens@cooliris.com

[2011/04/02 09:53:09 | 000,001,598 | ---- | M] () -- C:\Documents and Settings\Azurus\Application Data\Mozilla\Firefox\Profiles\3apdoppw.default\searchplugins\ixquick---francais.xml

[2011/03/08 00:31:53 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions

[2011/01/23 19:45:41 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\{7c5c0f58-e061-457d-9033-77307f5ed00c}

File not found (No name found) --

() (No name found) -- C:\DOCUMENTS AND SETTINGS\Azurus\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\3APDOPPW.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI

[2011/03/22 22:04:40 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Program Files\Mozilla Firefox\components\browsercomps.dll

[2010/08/12 17:45:05 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll

[2011/03/22 22:04:45 | 000,001,516 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml

[2011/03/22 22:04:45 | 000,002,252 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\bing.xml

[2011/03/22 22:04:45 | 000,001,822 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\cnrtl-tlfi-fr.xml

[2011/03/22 22:04:45 | 000,001,154 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml

[2006/09/10 13:35:08 | 000,000,748 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\MediaDICO-fr.xml

[2011/03/22 22:04:46 | 000,001,426 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml

[2011/03/22 22:04:46 | 000,000,956 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml

O1 HOSTS File: ([2011/04/02 11:07:41 | 000,431,145 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: ::1 localhost

O1 - Hosts: 127.0.0.1 www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

O1 - Hosts: 127.0.0.1 008i.com

O1 - Hosts: 127.0.0.1 www.008k.com

O1 - Hosts: 127.0.0.1 008k.com

O1 - Hosts: 127.0.0.1 www.00hq.com

O1 - Hosts: 127.0.0.1 00hq.com

O1 - Hosts: 127.0.0.1 010402.com

O1 - Hosts: 127.0.0.1 www.032439.com

O1 - Hosts: 127.0.0.1 032439.com

O1 - Hosts: 127.0.0.1 www.0scan.com

O1 - Hosts: 127.0.0.1 0scan.com

O1 - Hosts: 127.0.0.1 1000gratisproben.com

O1 - Hosts: 127.0.0.1 www.1000gratisproben.com

O1 - Hosts: 127.0.0.1 1001namen.com

O1 - Hosts: 127.0.0.1 www.1001namen.com

O1 - Hosts: 127.0.0.1 100888290cs.com

O1 - Hosts: 127.0.0.1 www.100888290cs.com

O1 - Hosts: 127.0.0.1 www.100sexlinks.com

O1 - Hosts: 127.0.0.1 100sexlinks.com

O1 - Hosts: 127.0.0.1 10sek.com

O1 - Hosts: 127.0.0.1 www.10sek.com

O1 - Hosts: 127.0.0.1 www.1-2005-search.com

O1 - Hosts: 14856 more lines...

O2 - BHO: (Objet d'aide à la navigation SFR) - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll (SFR)

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKLM..\Run: [CASpeed] C:\Program Files\Cable e ADSL Speed\NtwCA.exe (Network Cable e ADSL Speed)

O4 - HKCU..\Run: [update Service] C:\Program Files\Fichiers communs\Teknum Systems\update.exe (Teknum Systems AS)

O4 - Startup: C:\Documents and Settings\Azurus\Menu Démarrer\Programmes\Démarrage\PyGrenouille.lnk = C:\PyGrenouille\pygrenouille.exe (grenouille.com)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 57344

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 57344

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O9 - Extra Button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\APPS\IECustom\script.htm ()

O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab'>http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab'>http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab (F-Secure Online Scanner Launcher)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} http://ushousecall02.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab (Trend Micro ActiveX Scan Agent 6.6)

O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab (F-Secure Online Scanner Launcher)

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab (Symantec AntiVirus scanner)

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab'>http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab (Reg Error: Key error.)

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} http://www.mypix.com/importer/newconf/aurigma5.8.1.0/ImageUploader5.cab (Image Uploader Control)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab (BDSCANONLINE Control)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1246089656342 (WUWebControl Class)

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab (Symantec RuFSI Utility Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab (ActiveScan 2.0 Installer Class)

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?39991.0464699074 (Reg Error: Key error.)

O16 - DPF: {C237A80A-4C55-4C68-BAA9-CBE4408D12B2} http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab (F-Secure Online Scanner 4.0 Launcher)

O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} http://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)

O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Fichiers communs\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)

O24 - Desktop Components:0 (Ma page d'accueil) - About:Home

O24 - Desktop WallPaper: C:\Documents and Settings\Azurus\Local Settings\Application Data\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Documents and Settings\Azurus\Local Settings\Application Data\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 1

O33 - MountPoints2\{58f8eb94-1f2d-11e0-b1c6-0020ed5a62c3}\Shell - "" = AutoRun

O33 - MountPoints2\{58f8eb94-1f2d-11e0-b1c6-0020ed5a62c3}\Shell\AutoRun\command - "" = E:\unlock.exe autoplay=true

O34 - HKLM BootExecute: (autocheck autochk *) - File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found

NetSvcs: AppMgmt - File not found

NetSvcs: Ias - File not found

NetSvcs: Iprip - File not found

NetSvcs: Irmon - File not found

NetSvcs: NWCWorkstation - File not found

NetSvcs: Nwsapagent - File not found

NetSvcs: WmdmPmSp - File not found

Drivers32: msacm.ac3acm - C:\WINDOWS\System32\ac3acm.acm (fccHandler)

Drivers32: msacm.dvacm - C:\Program Files\Fichiers communs\Ulead Systems\Vio\DVACM.acm (Ulead Systems, Inc.)

Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)

Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)

Drivers32: msacm.lameacm - C:\WINDOWS\System32\lameACM.acm (http://www.mp3dev.org/)

Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)

Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)

Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)

Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)

Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)

Drivers32: VIDC.FFDS - C:\WINDOWS\System32\ff_vfw.dll ()

Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()

Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()

Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)

Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)

Drivers32: VIDC.XVID - C:\WINDOWS\System32\xvidvfw.dll ()

Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)

CREATERESTOREPOINT

Restore point Set: OTL Restore Point (16902109354000384)

PhysicalDisk0 MBR saved to C:\PhysicalMBR.bin

========== Files/Folders - Created Within 30 Days ==========

[2011/04/02 12:41:30 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\Azurus\Bureau\OTL.exe

[2011/03/31 23:35:43 | 000,000,000 | RH-D | C] -- C:\Documents and Settings\Azurus\Recent

[2011/03/28 23:29:37 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\DVDFab 8

[2011/03/28 23:29:24 | 000,000,000 | ---D | C] -- C:\Program Files\DVDFab 8

[2011/03/26 12:16:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy

[2011/03/26 12:15:54 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy

[2011/03/21 18:50:24 | 000,000,000 | ---D | C] -- C:\Program Files\Ad-Remover

[2011/03/13 17:43:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Azurus\Mes documents\Downloads

[2011/03/13 17:40:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\SRWare Iron

[2011/03/13 17:40:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Azurus\Local Settings\Application Data\Chromium

[2011/03/13 17:40:30 | 000,000,000 | ---D | C] -- C:\Program Files\SRWare Iron

[2011/03/07 19:14:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Azurus\Application Data\Avira

[2009/12/17 21:33:24 | 000,047,360 | ---- | C] (VSO Software) -- C:\Documents and Settings\Azurus\Application Data\pcouffin.sys

[2009/06/25 19:46:58 | 000,031,232 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\usbdtv.sys

[2009/06/25 19:46:57 | 000,022,016 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\dtvfw.sys

[1980/01/01 00:00:00 | 001,432,836 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\v90drv.sys

[1980/01/01 00:00:00 | 000,175,160 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\slnthal.sys

[1980/01/01 00:00:00 | 000,045,056 | ---- | C] ( ) -- C:\WINDOWS\System32\slserv.exe

[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2011/04/02 15:02:26 | 000,000,512 | ---- | M] () -- C:\PhysicalMBR.bin

[2011/04/02 14:55:45 | 000,000,438 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{F6387BE2-1304-4543-97D1-60C27EE378AE}.job

[2011/04/02 14:42:46 | 000,879,081 | ---- | M] () -- C:\Documents and Settings\Azurus\Bureau\SecurityCheck.exe

[2011/04/02 12:41:33 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Azurus\Bureau\OTL.exe

[2011/04/02 11:07:41 | 000,431,145 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts

[2011/04/02 09:20:22 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2011/04/02 09:20:19 | 1610,141,696 | -HS- | M] () -- C:\hiberfil.sys

[2011/04/01 23:25:16 | 000,001,170 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2011/03/31 20:04:54 | 000,137,656 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys

[2011/03/30 22:41:47 | 000,247,808 | ---- | M] () -- C:\Documents and Settings\Azurus\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2011/03/30 22:41:47 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini

[2011/03/30 22:20:18 | 3760,037,892 | ---- | M] () -- C:\Documents and Settings\Azurus\Bureau\Des R et des A - ARLES L'heritage enfoui du Rhone.mpg

[2011/03/28 23:29:37 | 000,000,691 | ---- | M] () -- C:\Documents and Settings\Azurus\Application Data\Microsoft\Internet Explorer\Quick Launch\DVDFab 8.lnk

[2011/03/28 23:29:37 | 000,000,673 | ---- | M] () -- C:\Documents and Settings\Azurus\Bureau\DVDFab 8.lnk

[2011/03/27 15:16:18 | 000,000,480 | -H-- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for Azurus.job

[2011/03/27 09:54:58 | 000,692,224 | ---- | M] () -- C:\WINDOWS\System32\perfh00C.dat

[2011/03/27 09:54:58 | 000,441,432 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2011/03/27 09:54:58 | 000,130,086 | ---- | M] () -- C:\WINDOWS\System32\perfc00C.dat

[2011/03/27 09:54:58 | 000,071,176 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2011/03/27 09:54:55 | 000,510,324 | ---- | M] () -- C:\WINDOWS\System32\perfh040.dat

[2011/03/27 09:54:55 | 000,084,526 | ---- | M] () -- C:\WINDOWS\System32\perfc040.dat

[2011/03/26 12:20:06 | 000,431,013 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110402-110741.backup

[2011/03/26 12:16:04 | 000,000,954 | ---- | M] () -- C:\Documents and Settings\Azurus\Application Data\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk

[2011/03/23 20:37:59 | 044,887,780 | ---- | M] () -- C:\Documents and Settings\Azurus\Bureau\catalogue.pdf

[2011/03/21 18:50:25 | 000,001,557 | ---- | M] () -- C:\Documents and Settings\Azurus\Bureau\AD-R.lnk

[2011/03/13 17:40:43 | 000,000,700 | ---- | M] () -- C:\Documents and Settings\Azurus\Application Data\Microsoft\Internet Explorer\Quick Launch\SRWare Iron.lnk

[2011/03/13 17:40:43 | 000,000,682 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\SRWare Iron.lnk

[2011/03/10 00:36:13 | 145,910,573 | ---- | M] () -- C:\Documents and Settings\Azurus\Bureau\Joseph Haydn, La Création.mp3

[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011/04/02 14:56:52 | 000,000,512 | ---- | C] () -- C:\PhysicalMBR.bin

[2011/04/02 14:42:44 | 000,879,081 | ---- | C] () -- C:\Documents and Settings\Azurus\Bureau\SecurityCheck.exe

[2011/03/30 20:39:35 | 3760,037,892 | ---- | C] () -- C:\Documents and Settings\Azurus\Bureau\Des R et des A - ARLES L'heritage enfoui du Rhone.mpg

[2011/03/28 23:29:37 | 000,000,691 | ---- | C] () -- C:\Documents and Settings\Azurus\Application Data\Microsoft\Internet Explorer\Quick Launch\DVDFab 8.lnk

[2011/03/28 23:29:37 | 000,000,673 | ---- | C] () -- C:\Documents and Settings\Azurus\Bureau\DVDFab 8.lnk

[2011/03/26 12:16:04 | 000,000,954 | ---- | C] () -- C:\Documents and Settings\Azurus\Application Data\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk

[2011/03/23 20:37:26 | 044,887,780 | ---- | C] () -- C:\Documents and Settings\Azurus\Bureau\catalogue.pdf

[2011/03/22 22:05:00 | 000,000,733 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Mozilla Firefox.lnk

[2011/03/21 19:12:19 | 1610,141,696 | -HS- | C] () -- C:\hiberfil.sys

[2011/03/21 18:50:25 | 000,001,557 | ---- | C] () -- C:\Documents and Settings\Azurus\Bureau\AD-R.lnk

[2011/03/13 17:40:43 | 000,000,700 | ---- | C] () -- C:\Documents and Settings\Azurus\Application Data\Microsoft\Internet Explorer\Quick Launch\SRWare Iron.lnk

[2011/03/13 17:40:43 | 000,000,682 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\SRWare Iron.lnk

[2011/03/10 00:36:56 | 145,910,573 | ---- | C] () -- C:\Documents and Settings\Azurus\Bureau\Joseph Haydn, La Création.mp3

[2010/08/14 10:14:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\psnupd.dat

[2010/01/31 18:07:36 | 000,000,036 | ---- | C] () -- C:\Documents and Settings\Azurus\Local Settings\Application Data\housecall.guid.cache

[2009/12/17 21:33:24 | 000,087,608 | ---- | C] () -- C:\Documents and Settings\Azurus\Application Data\inst.exe

[2009/12/17 21:33:24 | 000,007,887 | ---- | C] () -- C:\Documents and Settings\Azurus\Application Data\pcouffin.cat

[2009/12/17 21:33:24 | 000,001,144 | ---- | C] () -- C:\Documents and Settings\Azurus\Application Data\pcouffin.inf

[2009/12/06 20:00:32 | 000,000,041 | -HS- | C] () -- C:\Documents and Settings\All Users\Application Data\.zreglib

[2009/11/09 20:16:44 | 000,000,036 | ---- | C] () -- C:\WINDOWS\TSNPL.dat

[2009/11/01 19:19:43 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini

[2009/11/01 19:19:40 | 000,881,664 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll

[2009/11/01 19:19:40 | 000,205,824 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll

[2009/11/01 19:19:37 | 000,085,504 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll

[2009/11/01 18:46:19 | 000,178,176 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll

[2009/07/26 15:14:09 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini

[2009/07/23 23:22:27 | 000,510,324 | ---- | C] () -- C:\WINDOWS\System32\perfh040.dat

[2009/07/23 23:22:27 | 000,084,526 | ---- | C] () -- C:\WINDOWS\System32\perfc040.dat

[2009/06/27 16:50:34 | 000,000,131 | ---- | C] () -- C:\Documents and Settings\Azurus\Local Settings\Application Data\fusioncache.dat

[2009/06/27 14:09:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat

[2009/06/27 11:16:03 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat

[2009/06/25 20:34:00 | 000,000,041 | ---- | C] () -- C:\WINDOWS\msiosd.ini

[2009/06/25 20:32:19 | 000,000,154 | ---- | C] () -- C:\WINDOWS\adidsl.ini

[2009/06/25 20:32:19 | 000,000,021 | ---- | C] () -- C:\WINDOWS\Fast800.ini

[2009/06/25 20:32:17 | 000,127,456 | ---- | C] () -- C:\WINDOWS\System32\ipdetect.exe

[2009/06/25 20:32:17 | 000,126,976 | ---- | C] () -- C:\WINDOWS\System32\coclassfast.dll

[2009/06/25 20:32:17 | 000,000,342 | ---- | C] () -- C:\WINDOWS\adiras.ini

[2009/06/25 20:32:16 | 000,143,360 | ---- | C] () -- C:\WINDOWS\autoclk.exe

[2009/06/25 20:32:16 | 000,046,892 | ---- | C] () -- C:\WINDOWS\System32\adadix16.dll

[2009/06/25 20:32:16 | 000,022,395 | ---- | C] () -- C:\WINDOWS\System32\drivers\fpga.bin

[2009/06/25 19:46:22 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll

[2009/06/25 19:30:54 | 000,247,808 | ---- | C] () -- C:\Documents and Settings\Azurus\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2009/06/25 19:19:43 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini

[2009/06/25 19:12:15 | 000,000,385 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[2009/06/25 19:08:08 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\msiosd32.dll

[2009/06/25 19:07:57 | 000,090,112 | R--- | C] () -- C:\WINDOWS\bwUnin-6.1.0.145L.exe

[2009/06/25 19:01:57 | 000,006,550 | ---- | C] () -- C:\WINDOWS\jautoexp.dat

[2009/06/25 18:59:51 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\setuplib.dll

[2009/06/25 18:59:51 | 000,086,275 | ---- | C] () -- C:\WINDOWS\System32\waitwnd.exe

[2009/06/25 18:59:39 | 000,109,056 | ---- | C] () -- C:\WINDOWS\System32\LGUICOM.DLL

[2009/06/25 18:59:39 | 000,000,443 | ---- | C] () -- C:\WINDOWS\Cmousecc.ini

[2006/05/25 01:22:06 | 000,053,248 | ---- | C] () -- C:\WINDOWS\bdoscandel.exe

[2006/02/13 13:29:26 | 000,121,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat

[2005/03/14 14:38:28 | 000,000,469 | ---- | C] () -- C:\WINDOWS\bdoscandellang.ini

[2004/04/15 11:02:56 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\drivers\fwdrv.sys

[2004/01/09 17:47:56 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\avisynth_c.dll

[2002/10/21 12:11:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini

[2002/09/10 12:07:59 | 000,000,829 | ---- | C] () -- C:\WINDOWS\orun32.ini

[2002/09/10 11:59:01 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat

[2002/09/10 11:50:52 | 000,021,892 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

[2002/09/10 11:43:48 | 000,004,207 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2002/09/10 11:42:41 | 000,117,360 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2002/09/10 11:36:47 | 000,692,224 | ---- | C] () -- C:\WINDOWS\System32\perfh00C.dat

[2002/09/10 11:36:47 | 000,322,810 | ---- | C] () -- C:\WINDOWS\System32\perfi00C.dat

[2002/09/10 11:36:47 | 000,130,086 | ---- | C] () -- C:\WINDOWS\System32\perfc00C.dat

[2002/09/10 11:36:47 | 000,034,108 | ---- | C] () -- C:\WINDOWS\System32\perfd00C.dat

[2002/09/10 11:35:59 | 000,441,432 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat

[2002/09/10 11:35:59 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat

[2002/09/10 11:35:59 | 000,071,176 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat

[2002/09/10 11:35:59 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat

[2002/09/10 11:35:42 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

[2002/09/10 11:35:25 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat

[2002/09/10 11:35:25 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin

[2002/09/10 11:35:01 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat

[2002/09/10 11:34:15 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin

[2002/07/23 16:47:16 | 000,005,282 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI

[2002/05/24 01:00:00 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\lockout.dll

[2002/05/24 01:00:00 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\lockres.dll

[2001/09/17 12:00:00 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\tsseCryp.dll

[2001/09/05 15:00:38 | 000,004,481 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.DAT

[2001/09/05 15:00:26 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.BIN

[2001/08/31 15:33:58 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\VxDMDcDlg.dll

[1980/01/01 00:00:00 | 002,383,460 | ---- | C] () -- C:\WINDOWS\System32\drivers\mtlstrm.sys

[1980/01/01 00:00:00 | 000,607,732 | ---- | C] () -- C:\WINDOWS\System32\drivers\ntmtlfax.sys

[1980/01/01 00:00:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\sllights.exe

[1980/01/01 00:00:00 | 000,322,948 | ---- | C] () -- C:\WINDOWS\System32\drivers\slntamr.sys

[1980/01/01 00:00:00 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\slextspk.dll

[1980/01/01 00:00:00 | 000,172,708 | ---- | C] () -- C:\WINDOWS\System32\drivers\mtlmnt5.sys

[1980/01/01 00:00:00 | 000,151,552 | ---- | C] () -- C:\WINDOWS\System32\amr_cpl.dll

[1980/01/01 00:00:00 | 000,073,728 | ---- | C] () -- C:\WINDOWS\smcfg.exe

========== Custom Scans ==========

< %SYSTEMDRIVE%\*.* >

[2011/03/21 18:52:59 | 000,003,832 | ---- | M] () -- C:\Ad-Report-CLEAN[1].txt

[2011/03/21 19:11:27 | 000,003,674 | ---- | M] () -- C:\Ad-Report-CLEAN[2].txt

[2011/03/21 18:51:25 | 000,003,633 | ---- | M] () -- C:\Ad-Report-SCAN[1].txt

[2009/06/25 19:02:02 | 000,000,198 | RHS- | M] () -- C:\BOOT.BAK

[2009/06/27 11:28:30 | 000,000,296 | RHS- | M] () -- C:\BOOT.INI

[2001/08/28 12:00:00 | 000,004,952 | RHS- | M] () -- C:\Bootfont.bin

[2010/08/21 16:37:45 | 000,000,885 | ---- | M] () -- C:\cleannavi.txt

[2001/08/28 12:00:00 | 000,239,920 | RHS- | M] () -- C:\cmldr

[2009/06/25 22:47:00 | 000,000,289 | ---- | M] () -- C:\Crypto.log

[2009/06/25 18:56:24 | 000,003,973 | ---- | M] () -- C:\DWNLOG.TXT

[2011/04/02 09:20:19 | 1610,141,696 | -HS- | M] () -- C:\hiberfil.sys

[2009/06/25 19:43:15 | 000,000,000 | RHS- | M] () -- C:\IO.SYS

[2010/05/02 23:33:32 | 000,000,127 | ---- | M] () -- C:\mbam-error.txt

[2009/06/25 18:56:24 | 000,003,973 | ---- | M] () -- C:\MCDLOG.TXT

[2009/06/25 19:43:15 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS

[2009/06/27 11:23:41 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM

[2009/06/27 12:07:25 | 000,252,240 | RHS- | M] () -- C:\ntldr

[2011/04/02 09:20:17 | 1048,576,000 | -HS- | M] () -- C:\pagefile.sys

[2011/04/02 15:02:26 | 000,000,512 | ---- | M] () -- C:\PhysicalMBR.bin

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.dll /lockedfiles >

[2009/03/08 05:31:44 | 000,348,160 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\dxtmsft.dll

[2009/03/08 05:31:38 | 000,216,064 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\dxtrans.dll

< %systemroot%\Tasks\*.job /lockedfiles >

< %systemroot%\System32\config\*.sav >

[2002/09/10 11:42:10 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav

[2002/09/10 11:42:10 | 000,614,400 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav

[2002/09/10 11:42:10 | 000,401,408 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

< %systemroot%\system32\drivers\*.sys /90 >

[2011/02/23 22:01:09 | 000,061,960 | ---- | M] (Avira GmbH) -- C:\WINDOWS\system32\drivers\avgntflt.sys

[2011/03/31 20:04:54 | 000,137,656 | ---- | M] (Avira GmbH) -- C:\WINDOWS\system32\drivers\avipbb.sys

[2011/02/15 23:25:48 | 000,047,360 | ---- | M] (VSO Software) -- C:\WINDOWS\system32\drivers\pcouffin.sys

< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >

< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-03-24 22:53:11

========== Alternate Data Streams ==========

@Alternate Data Stream - 24 bytes -> C:\WINDOWS:B6AC6944246462E4

< End of report >

Extras :

OTL Extras logfile created on: 02/04/2011 12:42:20 - Run 1

OTL by OldTimer - Version 3.2.22.3 Folder = C:\Documents and Settings\Azurus\Bureau

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 67,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free

Paging file location(s): C:\pagefile.sys 1000 1900 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 76,32 Gb Total Space | 4,02 Gb Free Space | 5,27% Space Free | Partition Type: NTFS

Computer Name: AZURUS | User Name: Azurus | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

exefile [open] -- "%1" %*

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Program Files\eMule\emule.exe" = C:\Program Files\eMule\emule.exe:*:Enabled:eMule -- (http://www.emule-project.net)

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{09B44E78-A988-4BC0-962F-63ECD3333708}" = Packard Bell Companion

"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel

"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter

"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{1FF7993C-23B1-4C91-B1F6-09D13C57A06A}_is1" = VirtualDub 1.8.8 Fr

"{26019AC3-711C-4041-9379-3C7D52FAA8B3}" = Savvy TV

"{27CC6AB1-E72B-4179-AF1A-EAE507EBAF51}_is1" = ConvertHelper 2.2

"{350C97B8-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup

"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker

"{4AE3A0CB-87B0-4F51-BECD-3D1F8DFDD62F}" = SAGEM F@st 800-840

"{5404E185-BD7C-4A72-ABD0-91A411A05726}" = Ulead VideoStudio 6 SE DVD

"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml

"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053

"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD

"{8315396A-5EA1-419D-BEC4-978284BDF556}" = Kerio Personal Firewall

"{8855FF30-19CE-4CB1-A654-87B38369CCE1}" = VERITAS RecordNow DX

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{911B040C-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{A16E2D86-7D92-48F4-9649-6029C96D4D8F}" = Cegetel ADSL

"{A20A58C4-6784-4B4B-86CC-94E2E3671036}" = Nero 7 Ultra Edition

"{AC76BA86-7AD7-1036-7B44-A91000000001}" = Adobe Reader 9.1.2 - Français

"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9

"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter

"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy

"{C59CF2CE-B302-4833-AA35-E0E07D8EBC52}_is1" = SRWare Iron 10.0.650.0

"{D642E38E-0D24-486C-9A2D-E316DD696F4B}" = Microsoft XML Parser

"{D6E6B04E-0498-4794-B272-2EDE12E02837}_is1" = VirtualDub Plugin Pack 1.0.0.6 Fr

"ActiveScan 2.0" = Panda ActiveScan 2.0

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Ad-Remover" = Ad-Remover par C_XX

"Ashampoo UnInstaller Platinum Suite" = Ashampoo UnInstaller Platinum Suite

"ATI Display Driver" = ATI Display Driver

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"AviSynth" = AviSynth 2.5

"BitLord" = BitLord 1.1

"CCleaner" = CCleaner (remove only)

"CDex" = CDex extraction audio

"Centre des Monuments Nationaux" = Centre des Monuments Nationaux Screen Saver

"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters

"DivX Setup.divx.com" = Configuration DivX

"DVDFab 8_is1" = DVDFab 8.0.7.3 (29/01/2011)

"eMule" = eMule

"Free FLV Converter_is1" = Free FLV Converter V 6.91.0

"Free M4a to MP3 Converter_is1" = Free M4a to MP3 Converter 5.9

"HijackThis" = HijackThis 2.0.2

"ie8" = Windows Internet Explorer 8

"KLiteCodecPack_is1" = K-Lite Codec Pack 5.3.0 (Full)

"LameACM" = Lame ACM MP3 Codec

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"Monkey's Audio_is1" = Monkey's Audio

"Mozilla Firefox 4.0 (x86 fr)" = Mozilla Firefox 4.0 (x86 fr)

"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP

"PyGrenouille_is1" = PyGrenouille- - 1.14.1.255

"QuicktimeAlt_is1" = QuickTime Alternative 1.81

"Revo Uninstaller" = Revo Uninstaller 1.85

"SFR_Kit" = SFR - Kit de connexion

"ST6UNST #1" = Cable e ADSL Speed

"Trend Micro HouseCall 6.6" = HouseCall 6.6

"VLC media player" = VideoLAN VLC media player 0.8.6a

"Windows Media Format Runtime" = Windows Media Format 11 runtime

"Windows Media Player" = Lecteur Windows Media 11

"Windows XP Service" = Windows XP Service Pack 3

"WinRAR archiver" = WinRAR archiver

"WMFDist11" = Windows Media Format 11 runtime

"wmp11" = Windows Media Player 11

"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0

========== Last 10 Event Log Errors ==========

[ Application Events ]

Error - 03/04/2010 04:47:27 | Computer Name = Azurus | Source = Application Hang | ID = 1002

Description = Application bloquée mpc-hc.exe, version 1.3.1311.0, module bloqué

hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Error - 03/04/2010 04:47:33 | Computer Name = Azurus | Source = Application Hang | ID = 1001

Description = Détecteur d'erreurs 1530124906.

Error - 20/04/2010 11:47:52 | Computer Name = Azurus | Source = Application Hang | ID = 1002

Description = Application bloquée avcenter.exe, version 9.0.0.20, module bloqué

hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Error - 21/04/2010 09:09:11 | Computer Name = Azurus | Source = Application Error | ID = 1000

Description = Application défaillante , version 0.0.0.0, module défaillant unknown,

version 0.0.0.0, adresse de défaillance 0x00000000.

Error - 26/04/2010 08:34:50 | Computer Name = Azurus | Source = Application Hang | ID = 1002

Description = Application bloquée iexplore.exe, version 6.0.2900.5512, module bloqué

hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Error - 03/05/2010 11:19:51 | Computer Name = Azurus | Source = crypt32 | ID = 131080

Description = Échec de la récupération de la mise à jour automatique du numéro de

séquence de la liste racine tierce partie à partir de : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

avec l'erreur : L'adresse ou le nom de serveur n'a pas pu être résolu

Error - 15/05/2010 10:41:34 | Computer Name = Azurus | Source = Application Hang | ID = 1002

Description = Application bloquée MPEG_Streamclip.exe, version 1.2.0.0, module bloqué

hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Error - 26/05/2010 14:10:59 | Computer Name = Azurus | Source = Application Hang | ID = 1002

Description = Application bloquée MyCDPro.exe, version 4.5.0.0, module bloqué hungapp,

version 0.0.0.0, adresse de blocage 0x00000000.

Error - 26/05/2010 15:19:37 | Computer Name = Azurus | Source = Application Hang | ID = 1002

Description = Application bloquée CDex.exe, version 1.0.0.1, module bloqué hungapp,

version 0.0.0.0, adresse de blocage 0x00000000.

Error - 29/05/2010 07:53:50 | Computer Name = Azurus | Source = Application Hang | ID = 1002

Description = Application bloquée VirtualDub.exe, version 1.8.8.0, module bloqué

hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

[ System Events ]

Error - 31/03/2011 15:51:09 | Computer Name = Azurus | Source = Service Control Manager | ID = 7000

Description = Le service General Purpose USB Driver (adildr.sys) n'a pas pu démarrer

en raison de l'erreur : %%1058

Error - 31/03/2011 15:51:10 | Computer Name = Azurus | Source = NetBT | ID = 4311

Description = L'initialisation a échoué car le pilote de périphérique n'a pas pu

être créé.

Error - 31/03/2011 15:51:10 | Computer Name = Azurus | Source = NetBT | ID = 4311

Description = L'initialisation a échoué car le pilote de périphérique n'a pas pu

être créé.

Error - 31/03/2011 15:52:27 | Computer Name = Azurus | Source = System Error | ID = 1003

Description = Code erreur 000000d1, paramètre 1 00000060, paramètre 2 00000002,

paramètre 3 00000000, paramètre 4 f77b2d6e.

Error - 01/04/2011 17:25:24 | Computer Name = Azurus | Source = Service Control Manager | ID = 7000

Description = Le service General Purpose USB Driver (adildr.sys) n'a pas pu démarrer

en raison de l'erreur : %%1058

Error - 01/04/2011 17:25:27 | Computer Name = Azurus | Source = NetBT | ID = 4311

Description = L'initialisation a échoué car le pilote de périphérique n'a pas pu

être créé.

Error - 01/04/2011 17:25:27 | Computer Name = Azurus | Source = NetBT | ID = 4311

Description = L'initialisation a échoué car le pilote de périphérique n'a pas pu

être créé.

Error - 02/04/2011 03:20:31 | Computer Name = Azurus | Source = Service Control Manager | ID = 7000

Description = Le service General Purpose USB Driver (adildr.sys) n'a pas pu démarrer

en raison de l'erreur : %%1058

Error - 02/04/2011 03:20:34 | Computer Name = Azurus | Source = NetBT | ID = 4311

Description = L'initialisation a échoué car le pilote de périphérique n'a pas pu

être créé.

Error - 02/04/2011 03:20:34 | Computer Name = Azurus | Source = NetBT | ID = 4311

Description = L'initialisation a échoué car le pilote de périphérique n'a pas pu

être créé.

< End of report >

Et enfin checkup :

Results of screen317's Security Check version 0.99.10

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Avira AntiVir Personal - Free Antivirus

Kerio Personal Firewall

Avira successfully updated!

```````````````````````````````

Anti-malware/Other Utilities Check:

MVPS Hosts File

Malwarebytes' Anti-Malware

HijackThis 2.0.2

CCleaner (remove only)

Adobe Flash Player 10.2.152.32

Adobe Reader 9.1.2 - Français

Out of date Adobe Reader installed!

Mozilla Firefox (x86 fr..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

Kerio Personal Firewall 4 kpf4ss.exe

Kerio Personal Firewall 4 kpf4gui.exe

``````````End of Log````````````

Je vous précise que j'ai fait un premier scanne avec OTL, mais en oubliant de le personnaliser ! J'ai donc refait un autre scanne avec vos lignes de personnalisation, mais si OTL a bien créé un nouveau fichier OTL.txt, il n'a pas créé un nouveau Extras.txt. La copie du fichier Extras.txt que je vous ai cité, provient donc du premier scanne (sans personnalisation).

J'espère que tout ces éléments vous permettront de trouver le malware qui lance ces fenêtres de publicité.

Merci beaucoup pour l'intérêt que vous porter à ce problème.

Modifié le 2 avril 2011 par Helloword

lance_yien · le 2 avril 2011

>> En effet le fichier Extra.txt n'est produit que lors de la 1ère utilisation.

>> Merci de relire la note "Très important" de mon 1er message et appliquer toute les recommandations qui y figurent et respecter les instructions spécifique à chaque étape (souvent en rouge) comme coller directement les rapports sans balises citation ou code ni aucun formatage de texte (les pirate utilisent tellement de subtilités dans les noms de leurs fichiers qu'il nous est très difficile de déchiffrer).

==

Drive C: | 76,32 Gb Total Space | 4,02 Gb Free Space | 5,27% Space Free | Partition Type: NTFS

Il va falloir faire du ménage dans ton Disque Dure pour avoir au moins les 15% d'espace libre minimum recommandé.

Tu feras ça quand on aura fini ensemble mais tu peux déjà désinstaller ceux-là (c'est une recommandation parce que je ne vois vraiment pas l'utilité des deux 1ers et le 3ème est un utilitaire qu'il ne faut pas garder installé):

Teknum Systems (si présent dans Ajout/Suppression de programmes).

PyGrenouille (si présent dans Ajout/Suppression de programmes).

Ad-Remover (depuis son icône sur le Bureau).

eMule: Lire Le danger des P2P

Lancer OTL et copier la liste suivante (commençant par :OTL) et la coller dans l'espace sous "Personnalisation" (les : au début et le ] à la fin sont très important, merci de vérifier).

:OTL

[2011/01/23 19:45:41 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\{7c5c0f58-e061-457d-9033-77307f5ed00c}

File not found (No name found) --

() (No name found) -- C:\DOCUMENTS AND SETTINGS\Azurus\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\3APDOPPW.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI

O4 - HKCU..\Run: [update Service] C:\Program Files\Fichiers communs\Teknum Systems\update.exe (Teknum Systems AS)

O4 - Startup: C:\Documents and Settings\Azurus\Menu Démarrer\Programmes\Démarrage\PyGrenouille.lnk = C:\PyGrenouille\pygrenouille.exe (grenouille.com)

O33 - MountPoints2\{58f8eb94-1f2d-11e0-b1c6-0020ed5a62c3}\Shell - "" = AutoRun

O33 - MountPoints2\{58f8eb94-1f2d-11e0-b1c6-0020ed5a62c3}\Shell\AutoRun\command - "" = E:\unlock.exe autoplay=true

[2011/03/27 15:16:18 | 000,000,480 | -H-- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for Azurus.job

@Alternate Data Stream - 24 bytes -> C:\WINDOWS:B6AC6944246462E4

:Services

:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Program Files\eMule\emule.exe" = -

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"BitLord" = -

"eMule" = -

:Files

C:\PyGrenouille

C:\Program Files\Fichiers communs\Teknum Systems

C:\Program Files\eMule

C:\WINDOWS\tasks\*.job

C:\*.sqm

:Commands

[EMPTYTEMP]

[EMPTYFLASH]

[RESETHOSTS]

ATTENTION: Les lignes en bleu concernent les programmes à supprimer. N'inclus pas dans la liste ceux que tu veux garder pour une raison ou une autre.

Cliquer sur le bouton rouge Correction et laisser faire.

Si un ou plusieurs fichiers ne peuvent pas être supprimés normalement, le programme demandera de redémarrer la machine pour finir le processus, cliquer sur Oui.

A la fin un rapport s'ouvre dans le bloc-note. Copier son contenu et le coller dans une nouvelle réponse. Fermer le rapport et OTL.

Rapports demandés:

OTL.txt

Un changement quelconques? Autres symptômes à vérifier?

Helloword · le 2 avril 2011

Je vous remercie pour votre aide.

J'ai copié votre citation et cliqué sur correction, le logiciel s'est bien lancé puis il m'a proposé de redémarré l'ordinateur. Au bout de 20-25 min j'étais toujours sur la fenêtre bleu informant que l'extinction de l'ordinateur est en cours ...

J'ai alors éteins manuellement l'ordinateur. A son redémarrage, j'ai eu le rapport OTL suivant:

All processes killed

========== OTL ==========

C:\Program Files\Mozilla Firefox\extensions\{7c5c0f58-e061-457d-9033-77307f5ed00c} folder moved successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Update Service not found.

C:\Program Files\Fichiers communs\Teknum Systems\update.exe moved successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{58f8eb94-1f2d-11e0-b1c6-0020ed5a62c3}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{58f8eb94-1f2d-11e0-b1c6-0020ed5a62c3}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{58f8eb94-1f2d-11e0-b1c6-0020ed5a62c3}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{58f8eb94-1f2d-11e0-b1c6-0020ed5a62c3}\ not found.

File E:\unlock.exe autoplay=true not found.

C:\WINDOWS\tasks\Norton Security Scan for Azurus.job moved successfully.

ADS C:\WINDOWS:B6AC6944246462E4 deleted successfully.

========== SERVICES/DRIVERS ==========

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\eMule\emule.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\BitLord not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\eMule not found.

========== FILES ==========

C:\Program Files\Fichiers communs\Teknum Systems folder moved successfully.

C:\Program Files\eMule\webserver folder moved successfully.

C:\Program Files\eMule\Temp folder moved successfully.

C:\Program Files\eMule\skins folder moved successfully.

C:\Program Files\eMule\logs folder moved successfully.

C:\Program Files\eMule\lang folder moved successfully.

C:\Program Files\eMule\Incoming folder moved successfully.

C:\Program Files\eMule\config folder moved successfully.

C:\Program Files\eMule folder moved successfully.

C:\WINDOWS\tasks\User_Feed_Synchronization-{F6387BE2-1304-4543-97D1-60C27EE378AE}.job moved successfully.

File\Folder C:\*.sqm not found.

========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

User: Azurus

->Temp folder emptied: 7775896 bytes

->Temporary Internet Files folder emptied: 6242360 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 101443875 bytes

->Flash cache emptied: 2919 bytes

User: LocalService

->Temp folder emptied: 115616 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: Propriétaire

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 146878 bytes

Total Files Cleaned = 110,00 mb

[EMPTYFLASH]

User: All Users

User: Default User

User: Azurus

->Flash cache emptied: 0 bytes

User: LocalService

User: NetworkService

User: Propriétaire

Total Flash Files Cleaned = 0,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

OTL by OldTimer - Version 3.2.22.3 log created on 04022011_173201

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Au bout de quelques minutes j'ai eu à nouveau le message d'erreur suivant:

"Erreur de script dans internet explorer

Une erreur est survenue dans le script de cette page.

Ligne: 7800

Caractère: 1

Erreur: Objet requis

Code: 0

URL: http://www.clic k on.c...002bVJRGAQAA.j s "

c'est à dire que la page de publicité a tenté de se lancer...

Je précise que lorsque j'ai utilisé AD-Remover (fonction nettoyage), j'ai rencontré le même problème lorsqu'il proposait de redémarrer l’ordinateur (obligation de l'éteindre manuellement) .

Enfin, aujourd'hui j'ai découvert en suivant vos conseils que j'ai des problèmes pour lancer le Panneau de configuration (l'ordinateur se plante). Je n'arrive à le lancer qu'après avoir ouvert le gestionnaire des taches Windows, cliquer sur fermer la session et enfin, lorsque je relance la session, je clique tout de suite sur Panneau de configuration ...

Je ne sais pas si cela va de paire avec ce problèmes de publicité ?

lance_yien · le 3 avril 2011

Bonjour Helloword,

- Les 20-25 min d'attente ce n'est rien du tout surtout que ton DD est plein ce qui signifie que l'accès aux dossiers est très difficile.

Pour ton cas ce n'était grave puisque OTL a fini ce qu'il a à faire mais ça aurait pu te créer de gros problèmes sur ta machine. J'ai vu des temps d'attentes de plusieurs heures pour que l'utilitaire finisse de redémarrer le PC.

- Pour le message d'erreur, est-ce que tu l'as aussi bien avec IE qu'avec FF ou seulement avec un seul des deux ou (peut-être) au démarrage de Windows.

- Pour le reste (Panneau de config...) on essayera une réparation de Windows plus tard. As-tu le CD/DVD d'installation ou une partition de récupération?

--

Fais ceci,

>>> Réinitialiser les paramètre d'internet Aller ICI. Cliquer sur le bouton Fix It (sous Aidez-moi) et suivre les instructions pour réinitialiser les paramètres d'Internet Explorer.

>>> Restaurer les paramètres Proxy:

- Sous Internet Explorer: Lancer IE et cliquer sur Outils => Options Internet => Connexions => Paramètres réseau => Décocher TOUT.

- Sous Firefox: Lancer FF et cliquer sur Outils => Options... => Avancé.

Cliquer sur l'onglet Réseau => Connexion => "Paramètres".

Sélectionner l'option "Pas de proxy...".

Éteindre le PC puis le redémarrer (après 30 à 45 seconde) et dis-moi si tu as toujours cette page de pub.

Modifié le 3 avril 2011 par lance_yien

Helloword · le 3 avril 2011

Bonjour lance_yien,

Je te remercie vraiment pour ton aide.

Le message d'erreur ne concerne que IE (comme la pub d'ailleurs).

J'ai effectué la réinitialisation des paramètres d'IE et la restauration des paramètres proxy hélas sans succès, j'ai toujours le même message d'erreur prouvant qu'un malware a essayé de lancer une fenêtre de pub (actuellement depuis une quinzaine de jour, cette dernière n'arrive pas à s’ouvrir, en échange j'ai ce message d'erreur qui apparaît).

Est-il possible de faire une surveillance de fond pour essayer de voir quel logiciel essaye de lancer la fenêtre de pub ?

Merci

lance_yien · le 3 avril 2011

Pas obligé que ça soit un logiciel, UN SEUL fichier infectieux suffit (et que nous n'avons pas encore localisé).

On continue la recherche et je compte sur toi pour laisser le temps aux utilitaire de finir leur job

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

ComboFix© (par sUBs) depuis ici ou ici
DeFogger (par jpshortstuff) depuis ici

>>> Désactiver les drivers d'émulation CD pour éviter toute interférence avec nos outils: Fermer toutes le fenêtres et applications ouvertes et double-cliquer sur Defogger.exe (Vista/W7 cliquer-droi => "Exécuter en tant qu'administrateur").

Cliquer sur le bouton Disable.

Cliquer sur Yes pour continuer puis, au message "Finished!", cliquer sur OK

Si le programme demande de redémarrer la machine, cliquer sur OK

Ne pas réactiver ces drivers sans y être invité.

>>> Utiliser ComboFix: Fermer toutes les applications et fenêtres ouvertes, désactiver antivirus/ pare-feu/ antispyware et cliquer ComboFix.exe. Suivre les instructions.

Accepter l'Agrément de la licence et l'installation de la Console de Récupération (proposée sous XP si pas installée).

NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer).

Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\)

Poster son contenu.

Helloword · le 3 avril 2011

Après avoir bien respecté tes consignes (en particulier laisser le temps à Combofix de bien bosser ;-) ), je t'adresse ci-dessous (sans encart de citation), le rapport de Combofix :

ComboFix 11-04-02.03 - Azurus 03/04/2011 15:25:50.1.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1535.1066 [GMT 2:00]

Lancé depuis: c:\documents and settings\Azurus\Bureau\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\Azurus\Application Data\inst.exe

c:\documents and settings\Azurus\Mes documents\Favoris\Thumbs.db

c:\program files\Free Media Database

c:\program files\Free Media Database\db_icon.ico

c:\program files\Free Media Database\Uninstall.exe

c:\pygrenouille\PyGrenouille.exe

c:\windows\ST6UNST.000

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-03-03 au 2011-04-03 ))))))))))))))))))))))))))))))))))))

.

2011-04-02 15:32 . 2011-04-02 15:32 -------- d-----w- C:\_OTL

2011-04-02 12:56 . 2011-04-02 15:15 512 ----a-w- C:\PhysicalMBR.bin

2011-03-28 21:29 . 2011-03-29 17:54 -------- d-----w- c:\program files\DVDFab 8

2011-03-28 16:39 . 2011-03-28 16:39 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2011-03-26 10:15 . 2011-03-26 10:17 -------- d-----w- c:\program files\Spybot - Search & Destroy

2011-03-22 20:04 . 2011-03-22 20:04 781272 ----a-w- c:\program files\Mozilla Firefox\mozsqlite3.dll

2011-03-22 20:04 . 2011-03-22 20:04 1874904 ----a-w- c:\program files\Mozilla Firefox\mozjs.dll

2011-03-22 20:04 . 2011-03-22 20:04 728024 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll

2011-03-22 20:04 . 2011-03-22 20:04 15832 ----a-w- c:\program files\Mozilla Firefox\mozalloc.dll

2011-03-22 20:04 . 2011-03-22 20:04 142296 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll

2011-03-22 20:04 . 2011-03-22 20:04 1893336 ----a-w- c:\program files\Mozilla Firefox\d3dx9_42.dll

2011-03-22 20:04 . 2011-03-22 20:04 1975768 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_42.dll

2011-03-22 20:04 . 2011-03-22 20:04 142296 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll

2011-03-13 15:40 . 2011-03-13 15:40 -------- d-----w- c:\documents and settings\Azurus\Local Settings\Application Data\Chromium

2011-03-13 15:40 . 2011-03-13 15:40 -------- d-----w- c:\program files\SRWare Iron

2011-03-07 17:14 . 2011-03-07 17:14 -------- d-----w- c:\documents and settings\Azurus\Application Data\Avira

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-31 18:04 . 2011-02-18 19:52 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-02-23 20:01 . 2011-02-18 19:52 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-02-18 19:35 . 2009-12-17 19:33 47360 ----a-w- c:\documents and settings\Azurus\Application Data\pcouffin.sys

2011-02-15 21:25 . 2009-12-17 19:33 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys

2011-02-09 13:54 . 2004-08-19 23:09 270848 ------w- c:\windows\system32\sbe.dll

2011-02-09 13:54 . 2004-08-19 23:09 186880 ------w- c:\windows\system32\encdec.dll

2011-02-02 07:59 . 2002-09-10 09:48 2067456 ----a-w- c:\windows\system32\mstscax.dll

2011-01-27 11:57 . 2002-09-10 09:48 677888 ----a-w- c:\windows\system32\mstsc.exe

2011-01-21 14:44 . 2002-09-10 09:36 441344 ----a-w- c:\windows\system32\shimgvw.dll

2011-01-12 10:59 . 2011-01-12 10:59 1409 ----a-w- c:\windows\QTFont.for

2011-01-07 14:09 . 2002-09-10 09:34 290048 ----a-w- c:\windows\system32\atmfd.dll

2011-03-22 20:04 . 2011-03-22 20:04 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="c:\ati technologies\ATI Control Panel\atiptaxx.exe" [2002-08-27 290816]

"CASpeed"="c:\program files\Cable e ADSL Speed\NtwCA.exe" [2002-11-21 154624]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\Azurus\Menu D‚marrer\Programmes\D‚marrage\

PyGrenouille.lnk - c:\pygrenouille\pygrenouille.exe [N/A]

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk

backup=c:\windows\pss\DSLMON.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACTIVBOARD]

2002-06-19 16:51 192512 ----a-w- c:\apps\ActivBoard\MMKeybd.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

2007-05-16 07:27 153136 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]

2007-05-15 13:55 1057328 ----a-w- c:\program files\Nero\Nero 7\InCD\InCD.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2007-03-01 13:57 153136 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]

2007-05-15 13:55 1628208 ----a-w- c:\program files\Nero\Nero 7\InCD\NBHGui.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UIWatcher]

2005-02-04 19:36 747520 ----a-w- c:\program files\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [06/02/2011 17:32 28552]

R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [15/04/2004 11:02 147456]

R1 msikbd2k;Multimedia Keyboard Filter Driver;c:\windows\system32\drivers\Msikbd2k.sys [25/06/2009 19:08 6656]

R1 vcsmpdrv;vcsmpdrv;c:\windows\system32\drivers\vcsmpdrv.sys [25/06/2009 19:13 49232]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [18/02/2011 21:52 135336]

R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);c:\program files\Virtual CD v4 SDK\System\vcssecs.exe [25/06/2009 19:13 139264]

R3 STAC97NA;SigmaTel 3D Environmental Audio;c:\windows\system32\drivers\stac97na.sys [01/01/1980 296179]

R3 STAC97NH;STAC97NH;c:\windows\system32\drivers\stac97nh.sys [01/01/1980 231983]

R3 usbdtv;DVB-T TV Tuner;c:\windows\system32\drivers\usbdtv.sys [25/06/2009 19:46 31232]

S2 nhksrv;Netropa NHK Server;c:\apps\ActivBoard\nhksrv.exe [25/06/2009 19:08 28672]

S3 DTVFW;DVB-T USB adapter firmware;c:\windows\system32\drivers\dtvfw.sys [25/06/2009 19:46 22016]

S3 MODRC;DiBcom Infrared Receiver;c:\windows\system32\drivers\modrc.sys [19/07/2009 19:54 13824]

S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [01/01/1980 1432836]

.

Contenu du dossier 'Tâches planifiées'

.

2011-04-03 c:\windows\Tasks\User_Feed_Synchronization-{F6387BE2-1304-4543-97D1-60C27EE378AE}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]

.

------- Examen supplémentaire -------

.

uStart Page = about:blank

IE: {{1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - c:\apps\IECustom\script.htm

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Azurus\Application Data\Mozilla\Firefox\Profiles\3apdoppw.default\

FF - prefs.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=

FF - prefs.js: network.proxy.type - 0

FF - user.js: keyword.URL - hxxp://redirecterror.sfr.fr/?q=

.

- - - - ORPHELINS SUPPRIMES - - - -

.

Toolbar-Locked - (no file)

MSConfigStartUp-FlashPlayerUpdate - c:\windows\system32\Macromed\Flash\FlashUtil10e.exe

MSConfigStartUp-Update Service - c:\progra~1\FICHIE~1\TEKNUM~1\update.exe

MSConfigStartUp-Windows Update - ssms.exe

AddRemove-eMule - c:\program files\eMule\Uninstall.exe

AddRemove-HandyBits EasyCrypto Deluxe - c:\program files\Fichiers communs\Teknum Systems\tsUninst.exe

AddRemove-New DJ - c:\apps\Audioneer\NewDJ\DeIsL1.isu

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-04-03 15:30

Windows 5.1.2600 Service Pack 3 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\æHôwæ*]

"DisplayName"="\09"

"DeviceDesc"="\09"

"ProviderName"=""

"MFG"="?"

"ReinstallString"="2002, 6.13.10.6166"

"DeviceInstanceIds"=multi:"\00"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'winlogon.exe'(652)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\WINSPOOL.DRV

.

Heure de fin: 2011-04-03 15:33:42

ComboFix-quarantined-files.txt 2011-04-03 13:33

.

Avant-CF: 4 080 709 632 octets libres

Après-CF: 4 032 974 848 octets libres

.

- - End Of File - - 3998307EC864BD05CAB5DDB36A4F836B

Merci beaucoup

lance_yien · le 3 avril 2011

Si ta pub est toujours là (malgré ce que ComboFix a supprimé ), imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau SystemLook (par jpshortstuff) depuis ici ou ici.

Double-cliquer sur SystemLook.exe et y copier/ coller le texte suivant (commençant par :filefind).

:filefind
*clickon*
:regfind
clickon

Cliquer sur le bouton Look et attendre que l'analyse se termine.

A la fin, un rapport s'ouvre dans le bloc-note et sera enregistré sur le Bureau sous le nom de "SystemLook.txt". Copier/ coller son contenu dans la prochaine réponse.

Connexion

Pas encore inscrit ?

[RESOLU] IE 8 se lance tout seul (pub) - rapport HijackThis

Messages recommandés

Helloword

lance_yien

Helloword

lance_yien

Helloword

lance_yien

Helloword

lance_yien

Helloword

lance_yien

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer