Rootkit détécté par avg 8?

Bonsoir,

Venant de finir un scan de mon ordinateur, AVG 8 me signale dans la section rootkit un élément :
C:\Windows\System32\Drivers\a2pw6w3c.SYS; Infection : "Pilote masqué"; résultat : "L'objet est masqué".

Pas plus de précisions et quand j'essaie de le mettre en quarantaine il me marque "accès refusé".

J'ai donc essayé de me renseigner sur un virus, un rootkit etc... de ce nom sur le net, mais rien... J'ai meme essayé de le détecter avec Rootkit Revealer mais il a planté au bout de 2h...

Faut il que je m'en inquiète? et si oui, que faire?

(Pour info, mon système est Vista avec toutes mises à jour et AVG Internet Security)

Bonjour,
En attendant qu'un Helper (spécialiste en désinfection) vienne à ton secours télécharge ce logiciel
Ici : http://www.commentcamarche.net/telecharger/telecharger-34055379-malwarebyte-s(...)
Tu l'installe ,faire une mise à jour ,puis redémarrer ton pc en mode sans échec et là lancer malwareByte examen complet laisser faire et supprimer tout ce qu'il aura trouvé sans aucun risque et redémarrer ton pc en mode normale
Tiens moi au courant du résultat STP
Merci et bonne soirée

Salut, fais un scan HijackThis s'il te plaît.

Salut,
Merci de t'occuper de mon cas rubised.
J'ai fais ce que tu m'as dis mais il n'as rien détécté :
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1226
Windows 6.0.6001 Service Pack 1

02/10/2008 20:02:32
mbam-log-2008-10-02 (20-02-32).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 263756
Temps écoulé: 59 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Une autre idée?

Salut, fais un scan HijackThis s'il te plaît, et poste le rapport de malwareByte.

Salut Master G,
Voila le scan HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:08, on 02/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Hp\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c(...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c(...)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{80C057C7-8215-4450-91D6-D285BC57DF70}: NameServer = 192.168.0.5
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgfws8.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 9243 bytes

Tu est sous Vista?

Voilà tu desactives l'UAC (User Account Control), tu coches cette ligne puis clique sur fix checked et redémarre :
"O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe"

Vérifie qu'il n'est plus la en refaisant un scan.

Pour le reste c'est à toi de voir :
"R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c(...)"
-Redirection vers le site de HP lors de l'ouverture d'IE.

"O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)"
-Une barre d'outils sans nom, à supprimer dans le doute

"O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0""
- A toi de voir si tu veux le virer (il se lance au démarrage"). Si oui, va dans "démarrer" -> "tous les programmes" -> "démarrage" et fais un peu de ménage

"O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe"
-N'est pas nécessaire, donc tu peux virer.

"O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe"
-A toi de voir si tu veux l'enlever.


Ensuite, fais un scan en ligne avec Kaspersky et poste le rapport: http://webscanner.kaspersky.fr/



Merci Naheulbeuk pour la modération

Oui je suis sous Vista
Pour cette ligne je suppose qu'elle provient de Tune Up Utilities.
Est ce que le logiciel pourra encore fonctionner correctement aprés?

J'utilise Firefox.
OK Je n'ai rien dans le dossier démarrage, pas même Youcam qui controle ma Webcam intégrée...

J'ai vu que ce programme se lance au démarrage, mais je n'ai pas trés bien compris son utilité (mise en réseau local automatique et recherche des imprimantes et dossiers partagés pas Apple), j'avais laissé dans le doute.


Ok

Je fais un scan et je le poste, mais je ne comprends tjrs pas qu'est ce que c'est que ce rootkit qui se cache??

-Pour "Tune Up Utilities" à toi de voir.
-Autant pour moi pour la webcam ya pas de soucis.
-En effet maintenant que tu le dis, "Bonjour" est utile, mea culpa : http://www.commentcamarche.net/forum/affich-1911456-bonjour-service

Pour le pilote masqué, certains pilotes ne sont pas considérés comme "fonctionnels" si ils n'obtiennent pas une certification de la part de 'Crosoft il me semble.
D'autre part, des rootkits se font passer pour des pilotes donc, autant en être sûr(incroyable la seule source sur Google à propos de ce .sys est ton topic !).

En attendant peux-tu regarder les propriétés de ce fichier .sys (date de modification, etc...) ? Ca serait pas un "d" minuscule ? : C:\Windows\System32\Drivers\a2pw6w3c.SYS

Je n'ai pas accès à ce fichier...
J'ai essayé de désactiver les options de fichiers cachés et fichiers système, mais je ne le trouve toujours pas.

Pour l'adresse, c'est celle que me sort l'antivirus dans son rapport; rien de plus, pas de nom spécial de virus, pas de propriétés...

Je lance un antivirus avant de partir cet après midi et je posterai les résultats de l'analyse on-line.

PS : je sais pas ce que mon pc a depuis 2 redémarrage, le DD tourne à pleine vitesse tout le temps, même offline et pourtant rien ne tourne.

bonjour, master G cette ligne est légitime

"O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe"

Ouep on a vu ca , j'étais tombé sur un site mal informé sur Google.

Donc j'attend le scan de kaspersky. Ton infection n'est pas anodine et j'aimerai bien savoir si le .sys n'est pas accompagné d'autres "joyeusetées".

Ah, petit problème le scan Kaspersky n'est pas encore compatible avec Vista...
Je lancerais un scan Panda On line si possible demain.

Effectivement...
Bon courage pour le scan, en esperant qu'il trouve quelques fichiers suspects

groupe,

Pour le Scan en ligne Kaspersky.

À ce lien il est aussi disponible pour Vista, UAC et antivirus résident désactiver.
IExplorer et Firefox ! sont acceptés.

Bonsoir tout le monde,
Je viens enfin de finir un scan Kaspersky, résultat rien du tout :

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Saturday, October 4, 2008
Operating System: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Saturday, October 04, 2008 15:53:58
Records in database: 1289382
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
F:\
G:\

Scan statistics:
Files scanned: 236092
Threat name: 0
Infected objects: 0
Suspicious objects: 0
Duration of the scan: 02:49:02

No malware has been detected. The scan area is clean.

The selected area was scanned.


Qu'est ce que je fais maintenant?
J'aimerais bien au moins avoir un accès manuel à ce fichier *.sys

(Rootkits
"Fichier;""Infection"";""Résultat"""
"C:\Windows\System32\Drivers\a2pw6w3c.SYS;""Pilote masqué"";""L'objet est masqué""")

C'est encore moi,
je relance un scan AVG en ce moment et il m'a déjà détécté un rootkit (ou du moins pilote masqué)...
Je ne sais pas encore si c'est le même ou un nouveau mais il a changé de nom :
maintenant c'est "C:\Windows\System32\Drivers\axmmj77g.sys"

Ca me semble encore plus suspect...

Bonsoir,

Tu est allé voir si tu pouvais voir ce dernier et regarder ses propriétés?

Essaye sur VirusTotal : http://www.virustotal.com/fr/ en allant chercher ce .sys.

Si cela ne fonctionne pas car il n'est pas visible fais ceci :

Bonjour,
Je viens de rentrer, voici le rapport de Combofix (j'ai du l'executer en mode normal parceque je n'arrivais pas à le lancer en mode sans échec) :

ComboFix 08-10-04.07 - Laurene 2008-10-06 12:51:28.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.2106 [GMT 2:00]
Lancé depuis: C:\Users\Laurene\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\KBL.LOG

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-06 au 2008-10-06 ))))))))))))))))))))))))))))))))))))
.

2008-10-04 12:21 . 2008-10-04 12:21 <REP> d-------- C:\Windows\Sun
2008-10-04 10:34 . 2008-10-04 10:34 107,888 --a------ C:\Windows\System32\CmdLineExt.dll
2008-10-04 00:10 . 2008-10-04 00:10 <REP> d-------- C:\Users\Laurene\AppData\Roaming\GTek
2008-10-02 18:35 . 2008-10-02 18:35 <REP> d-------- C:\Users\Laurene\AppData\Roaming\Malwarebytes
2008-10-02 18:35 . 2008-10-02 18:35 <REP> d-------- C:\Users\All Users\Malwarebytes
2008-10-02 18:35 . 2008-10-02 18:35 <REP> d-------- C:\ProgramData\Malwarebytes
2008-10-02 18:35 . 2008-10-02 18:35 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-02 18:35 . 2008-09-10 00:04 38,528 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys
2008-10-02 18:35 . 2008-09-10 00:03 17,200 --a------ C:\Windows\System32\drivers\mbam.sys
2008-10-01 21:59 . 2008-10-01 21:59 <REP> d-------- C:\Program Files\Trend Micro
2008-10-01 20:16 . 2008-10-01 20:19 100,074,304 --a------ C:\Windows\System32\ZFYE
2008-09-29 20:20 . 2008-09-29 20:20 <REP> d-------- C:\Program Files\Axon Data
2008-09-28 19:59 . 2008-09-28 19:59 <REP> d-------- C:\Program Files\Shareaza
2008-09-19 18:35 . 2008-09-19 18:35 <REP> d-------- C:\Program Files\Apple Software Update
2008-09-19 18:34 . 2008-09-19 18:34 <REP> d-------- C:\Users\Laurene\AppData\Roaming\Apple Computer
2008-09-19 18:33 . 2008-09-19 18:33 <REP> d----c--- C:\Windows\System32\DRVSTORE
2008-09-19 18:33 . 2008-04-17 13:12 107,368 --a------ C:\Windows\System32\GEARAspi.dll
2008-09-19 18:33 . 2008-04-17 13:12 15,464 --a------ C:\Windows\System32\drivers\GEARAspiWDM.sys
2008-09-19 18:32 . 2008-09-19 18:33 <REP> d-------- C:\Users\All Users\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-19 18:32 . 2008-09-19 18:33 <REP> d-------- C:\ProgramData\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-19 18:32 . 2008-09-19 18:33 <REP> d-------- C:\Program Files\iTunes
2008-09-19 18:32 . 2008-09-19 18:32 <REP> d-------- C:\Program Files\iPod
2008-09-19 18:31 . 2008-09-19 18:31 <REP> d-------- C:\Program Files\Bonjour
2008-09-19 18:22 . 2008-09-19 18:32 <REP> d-------- C:\Users\All Users\Apple Computer
2008-09-19 18:22 . 2008-09-19 18:32 <REP> d-------- C:\ProgramData\Apple Computer
2008-09-19 18:22 . 2008-09-19 18:23 <REP> d-------- C:\Program Files\QuickTime
2008-09-19 18:22 . 2008-09-19 18:29 <REP> d-------- C:\Program Files\Common Files\Apple
2008-09-18 19:05 . 2008-09-18 19:05 <REP> d-------- C:\Program Files\Sims 2 Categorizer
2008-09-15 21:20 . 2008-09-15 21:21 6,534 --a------ C:\WirelessDiagLog.csv
2008-09-14 23:21 . 2008-09-14 23:21 <REP> d-------- C:\Users\Laurene\AppData\Roaming\Intel
2008-09-12 11:03 . 2008-09-12 11:02 695,212 --a------ C:\Windows\unins000.exe
2008-09-12 11:03 . 2008-09-12 11:03 20,866 --a------ C:\Windows\unins000.dat
2008-09-11 21:09 . 2008-08-27 17:55 6,281,760 --a------ C:\Windows\RtHDVCpl.exe
2008-09-11 21:09 . 2008-08-27 17:55 2,303,008 --a------ C:\Windows\System32\RtkAPO.dll
2008-09-11 21:09 . 2008-08-27 17:15 2,163,032 --a------ C:\Windows\System32\drivers\RTKVHDA.sys
2008-09-11 21:09 . 2008-08-27 17:55 1,206,816 --a------ C:\Windows\RtlUpd.exe
2008-09-11 21:09 . 2008-08-27 17:55 806,432 --a------ C:\Windows\System32\RtkPgExt.dll
2008-09-11 21:09 . 2008-08-27 17:55 547,360 --a------ C:\Windows\System32\RTSndMgr.cpl
2008-09-11 21:09 . 2006-12-13 10:30 339,968 --a------ C:\Windows\System32\SRSTSXT.dll
2008-09-11 21:09 . 2008-08-27 17:55 285,216 --a------ C:\Windows\System32\RtkApoApi.dll
2008-09-11 21:09 . 2007-07-25 09:33 135,168 --a------ C:\Windows\System32\SRSWOW.dll
2008-09-11 21:09 . 2008-08-27 17:55 41,504 --a------ C:\Windows\System32\RtkCoInst.dll
2008-09-11 20:57 . 2008-07-29 15:42 528,384 --a------ C:\Windows\RtlExUpd.dll
2008-09-11 20:11 . 2008-10-06 12:32 76,951 --a------ C:\Users\All Users\nvModes.dat
2008-09-11 20:11 . 2008-10-06 12:32 76,951 --a------ C:\ProgramData\nvModes.dat
2008-09-11 19:52 . 2008-09-11 19:52 <REP> d-------- C:\Program Files\NVidia Geforce Drivers
2008-09-11 18:49 . 2008-09-11 18:49 <REP> d-------- C:\Users\Laurene\AppData\Roaming\SystemRequirementsLab
2008-09-11 18:49 . 2008-09-11 19:02 <REP> d-------- C:\Program Files\SystemRequirementsLab
2008-09-10 11:28 . 2008-07-31 03:13 4,240,384 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-09-10 11:28 . 2008-08-02 03:01 625,152 --a------ C:\Windows\System32\drivers\dxgkrnl.sys
2008-09-10 11:28 . 2008-06-26 05:29 565,248 --a------ C:\Windows\System32\emdmgmt.dll
2008-09-10 11:28 . 2008-06-26 05:29 303,616 --a------ C:\Windows\System32\wmpeffects.dll
2008-09-10 11:28 . 2008-05-08 21:21 211,968 --a------ C:\Windows\System32\drivers\mrxsmb10.sys
2008-09-10 11:28 . 2008-05-20 04:07 148,480 --a------ C:\Windows\System32\drivers\nwifi.sys
2008-09-10 11:28 . 2008-06-26 05:29 45,056 --a------ C:\Windows\System32\dataclen.dll
2008-09-10 11:28 . 2008-08-02 05:26 36,864 --a------ C:\Windows\System32\cdd.dll
2008-09-10 11:28 . 2008-07-31 05:32 28,160 --a------ C:\Windows\System32\Apphlpdm.dll
2008-09-09 10:50 . 2008-09-09 10:51 <REP> d-------- C:\Program Files\Sims 2 CEP
2008-09-08 14:22 . 2008-09-09 10:56 <REP> d-------- C:\Program Files\Sims2Pack Clean Installer
2008-09-08 14:08 . 2008-09-08 14:09 <REP> d-------- C:\Program Files\No-Folder-Created
2008-09-08 14:07 . 2008-09-08 14:07 <REP> d-------- C:\Program Files\Sims 2 NPC Replacer
2008-09-08 14:07 . 2008-09-18 19:04 249,856 --------- C:\Windows\Setup1.exe
2008-09-08 14:07 . 2008-09-18 19:04 73,216 --a------ C:\Windows\ST6UNST.EXE
2008-09-08 14:03 . 2008-09-08 14:03 <REP> d-------- C:\Program Files\The Sims Compressorizer
2008-09-06 16:33 . 2008-09-06 17:02 <REP> d-------- C:\Program Files\MagicISO
2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\Windows\System32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\Windows\System32\QuickTime.qts

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-03 22:13 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-03 22:10 --------- d-----w C:\Program Files\Hp
2008-10-03 22:10 --------- d-----w C:\Program Files\Hewlett-Packard
2008-10-03 22:06 --------- d-----w C:\Users\Laurene\AppData\Roaming\Hewlett-Packard
2008-10-03 07:39 --------- d-----w C:\ProgramData\NVIDIA
2008-09-12 09:24 --------- d-----w C:\Program Files\EA GAMES
2008-09-11 19:09 319,456 ----a-w C:\Windows\DIFxAPI.dll
2008-09-11 19:09 --------- d-----w C:\Program Files\Realtek
2008-09-10 19:09 54,503 ----a-w C:\Users\Laurene\AppData\Roaming\nvModes.dat
2008-09-10 09:51 --------- d-----w C:\ProgramData\Microsoft Help
2008-08-31 21:47 --------- d-----w C:\Users\Laurene\AppData\Roaming\InstallShield
2008-08-31 21:44 --------- d-----w C:\ProgramData\Roaming
2008-08-31 21:43 --------- d-----w C:\Program Files\Common Files\Intel
2008-08-31 21:43 --------- d-----w C:\Program Files\Cisco
2008-08-31 21:42 --------- d-----w C:\ProgramData\Intel
2008-08-31 21:42 --------- d-----w C:\Program Files\Intel
2008-08-31 19:36 319,488 ----a-w C:\Windows\HideWin.exe
2008-08-31 18:34 --------- d-----w C:\ProgramData\ma-config.com
2008-08-31 18:34 --------- d-----w C:\Program Files\ma-config.com
2008-08-31 14:33 0 ---ha-w C:\Windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2008-08-31 11:03 --------- d-----w C:\Users\Laurene\AppData\Roaming\SPORE Creature Creator
2008-08-30 23:02 --------- d-----w C:\Program Files\Electronic Arts
2008-08-30 09:51 --------- d-----w C:\Program Files\SimPE
2008-08-29 08:18 87,336 ----a-w C:\Windows\System32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\Windows\System32\dnssd.dll
2008-08-25 14:24 --------- d-----w C:\Program Files\Common Files\Adobe
2008-08-24 12:38 174 --sha-w C:\Program Files\desktop.ini
2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Sidebar
2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Photo Gallery
2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Mail
2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Journal
2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Defender
2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Collaboration
2008-08-24 12:27 --------- d-----w C:\Program Files\Windows Calendar
2008-08-24 12:16 82,432 ----a-w C:\Windows\System32\axaltocm.dll
2008-08-24 12:16 101,888 ----a-w C:\Windows\System32\ifxcardm.dll
2008-08-24 12:04 --------- d-----w C:\Program Files\Microsoft Works
2008-08-24 12:03 --------- d-----w C:\Program Files\Microsoft.NET
2008-08-24 11:25 307,968 ----a-w C:\Windows\System32\TuneUpDefragService.exe
2008-08-24 11:25 --------- d-----w C:\Users\Laurene\AppData\Roaming\TuneUp Software
2008-08-24 11:25 --------- d-----w C:\ProgramData\TuneUp Software
2008-08-24 11:25 --------- d-----w C:\Program Files\TuneUp Utilities 2008
2008-08-24 11:24 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-08-23 17:22 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-08-22 13:44 269,312 ----a-w C:\Windows\System32\es.dll
2008-08-21 16:08 --------- d-----w C:\Program Files\Real Player
2008-08-21 16:07 --------- d-----w C:\Program Files\Common Files\xing shared
2008-08-21 16:07 --------- d-----w C:\Program Files\Common Files\Real
2008-08-21 16:04 61,440 ----a-w C:\Windows\System32\winipsec.dll
2008-08-21 16:04 361,984 ----a-w C:\Windows\System32\IPSECSVC.DLL
2008-08-21 16:04 28,672 ----a-w C:\Windows\System32\FwRemoteSvr.dll
2008-08-21 16:04 272,896 ----a-w C:\Windows\System32\polstore.dll
2008-08-21 16:01 2,048 ----a-w C:\Windows\System32\tzres.dll
2008-08-21 15:58 --------- d-----w C:\ProgramData\Apple
2008-08-21 15:53 801,280 ----a-w C:\Windows\System32\NaturalLanguage6.dll
2008-08-21 15:53 6,917,120 ----a-w C:\Windows\System32\NlsLexicons0c1a.dll
2008-08-21 15:53 4,495,360 ----a-w C:\Windows\System32\NlsData0816.dll
2008-08-21 15:53 4,495,360 ----a-w C:\Windows\System32\NlsData0416.dll
2008-08-21 15:53 4,495,360 ----a-w C:\Windows\System32\NlsData0414.dll
2008-08-21 15:53 2,643,456 ----a-w C:\Windows\System32\NlsData000c.dll
2008-08-21 15:53 2,342,912 ----a-w C:\Windows\System32\NlsData000d.dll
2008-08-21 15:53 1,965,056 ----a-w C:\Windows\System32\NlsData0c1a.dll
2008-08-21 15:53 1,965,056 ----a-w C:\Windows\System32\NlsData081a.dll
2008-08-21 15:53 1,965,056 ----a-w C:\Windows\System32\NlsData000f.dll
2008-08-21 15:52 827,392 ----a-w C:\Windows\System32\wininet.dll
2008-08-21 15:50 988,216 ----a-w C:\Windows\System32\winload.exe
2008-08-21 15:50 927,288 ----a-w C:\Windows\System32\winresume.exe
2008-08-21 15:50 615,992 ----a-w C:\Windows\System32\ci.dll
2008-08-21 15:50 6,656 ----a-w C:\Windows\System32\kbd106n.dll
2008-08-21 15:50 46,592 ----a-w C:\Windows\System32\setbcdlocale.dll
2008-08-21 15:50 40,960 ----a-w C:\Windows\System32\srclient.dll
2008-08-21 15:50 378,368 ----a-w C:\Windows\System32\srcore.dll
2008-08-21 15:50 318,464 ----a-w C:\Windows\System32\rstrui.exe
2008-08-21 15:50 19,000 ----a-w C:\Windows\System32\kd1394.dll
2008-08-21 15:50 14,848 ----a-w C:\Windows\System32\srdelayed.exe
2008-08-21 15:49 2,032,128 ----a-w C:\Windows\System32\win32k.sys
2008-08-21 15:49 --------- d-----w C:\Program Files\Java
2008-08-21 15:48 541,696 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-08-21 15:48 295,936 ----a-w C:\Windows\System32\gdi32.dll
2008-08-21 15:48 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-08-21 15:48 14,848 ----a-w C:\Windows\System32\wshrm.dll
2008-08-21 15:48 113,664 ----a-w C:\Windows\system32\drivers\rmcast.sys
2008-08-21 15:47 1,695,744 ----a-w C:\Windows\System32\gameux.dll
2008-08-21 15:46 84,480 ----a-w C:\Windows\System32\INETRES.dll
2008-08-21 15:46 738,304 ----a-w C:\Windows\System32\inetcomm.dll
2008-08-21 15:45 428,544 ----a-w C:\Windows\System32\EncDec.dll
2008-08-21 15:45 293,376 ----a-w C:\Windows\System32\psisdecd.dll
2008-08-21 15:45 1,314,816 ----a-w C:\Windows\System32\quartz.dll
2008-08-21 15:44 --------- d-----w C:\Program Files\MSXML 4.0
2008-08-21 15:28 97,928 ----a-w C:\Windows\system32\drivers\avgldx86.sys
2008-08-21 15:28 69,128 ----a-w C:\Windows\system32\drivers\avgwfpx.sys
2008-08-21 15:28 12,936 ----a-w C:\Windows\system32\drivers\avgrkx86.sys
2008-08-21 15:28 10,520 ----a-w C:\Windows\System32\avgrsstx.dll
2008-08-21 15:28 --------- d-----w C:\ProgramData\avg8
2008-08-21 15:28 --------- d-----w C:\Program Files\AVG
2008-08-21 15:05 --------- d-----w C:\Program Files\Windows Live
2008-08-21 15:00 --------- d-----w C:\ProgramData\WLInstaller
2008-08-21 14:56 83,456 ----a-w C:\Windows\System32\wudriver.dll
2008-08-21 14:56 563,912 ----a-w C:\Windows\System32\wuapi.dll
2008-08-21 14:56 53,448 ----a-w C:\Windows\System32\wuauclt.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPStart"="C:\Program Files\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]
"SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe" [2007-01-17 634880]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-07-25 174616]
"QPService"="C:\Program Files\HP\QuickPlay\QPService.exe" [2007-09-30 181544]
"QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-19 202032]
"OnScreenDisplay"="C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
"UCam_Menu"="C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-08-16 218408]
"hpWirelessAssistant"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
"WAWifiMessage"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-21 1235736]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-02-27 13515296]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-02-27 92704]
"HP Health Check Scheduler"="c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
"RtHDVCpl"="RtHDVCpl.exe" [2008-08-27 C:\Windows\RtHDVCpl.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3codecp"= l3codecp.acm
"VIDC.YV12"= yv12vfw.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"LightScribe Control Panel"=C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe"
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-575567480-1073619249-4270210281-1001]
"EnableNotifications"=dword:00000001
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{4757DF27-BB99-458F-80CB-DB0364C8F28F}"= UDP:C:\Program Files\Common Files\AOL\Loader\aolload.exe:AOL Loader
"{419E922C-2259-4F5C-8434-B5F1D2E96D3A}"= TCP:C:\Program Files\Common Files\AOL\Loader\aolload.exe:AOL Loader
"{ECCE1CEF-E35A-4D98-B328-225A47D70E75}"= C:\Program Files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{AE8B5FA8-04A4-406E-AB65-66B1366E6B81}"= C:\Program Files\HP\QuickPlay\QP.exe:Quick Play
"{BDDE6130-A573-453E-BFA5-DFF5A71F2B41}"= C:\Program Files\HP\QuickPlay\QPService.exe:Quick Play Resident Program
"{5682FD1A-F5F1-41A8-A341-D3E44829A9B7}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{6A348062-FC9D-4D1A-BE67-BD8EBC2FAF82}"= C:\Program Files\AVG\AVG8\avgemc.exe:avgemc.exe
"{7A3605B6-0528-4686-9515-1E7493A35D36}"= C:\Program Files\AVG\AVG8\avgupd.exe:avgupd.exe
"{09ADA532-671C-406C-8C7A-6965076E68CF}"= C:\Program Files\AVG\AVG8\avgnsx.exe:avgnsx.exe
"{8626C980-D4B0-45B2-B480-86A926B63BBE}"= UDP:48113:LocalSubnet:LocalSubnet:maconfig_tcp
"{CDDC3A47-0F46-411D-B470-61F66B1328AF}"= TCP:48113:LocalSubnet:LocalSubnet:maconfig_udp
"{1C71B780-3A6C-4705-ABA2-7A3A7A54CFEE}"= UDP:C:\Program Files\ma-config.com\maconfservice.exe:maconfservice
"{471DD3A9-F841-45DD-809E-6EE0971A3AB8}"= TCP:C:\Program Files\ma-config.com\maconfservice.exe:maconfservice
"{2EACC3E0-A04E-40B0-B89E-F7489C1AA001}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{EA3AB409-0351-438C-9ECF-316A69830168}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{B30820A1-C379-4546-A8E0-A7504E7095E4}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{A915C9C8-60E1-4C13-8C15-87BABF5FA529}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 AvgRkx86;avgrkx86.sys;C:\Windows\system32\Drivers\avgrkx86.sys [2008-08-21 12936]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\Windows\system32\Drivers\avgldx86.sys [2008-08-21 97928]
R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-08-21 875288]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-21 231704]
R2 avgfws8;AVG8 Firewall;C:\PROGRA~1\AVG\AVG8\avgfws8.exe [2008-08-21 1220888]
R2 QPCapSvc;QuickPlay Background Capture Service (QBCS);C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe [2007-09-30 271760]
R2 QPSched;QuickPlay Task Scheduler (QTS);C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe [2007-09-30 112016]
R2 UxTuneUp;TuneUp Extension de thème;C:\Windows\System32\svchost.exe [2008-01-19 21504]
R3 AvgWfpX;AVG8 Firewall Driver x86;C:\Windows\system32\Drivers\avgwfpx.sys [2008-08-21 69128]
R3 HpqRemHid;HP Remote Control HID Device;C:\Windows\system32\DRIVERS\HpqRemHid.sys [2007-07-11 7168]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;C:\Windows\system32\DRIVERS\NETw5v32.sys [2008-06-26 3662848]
S3 GameConsoleService;GameConsoleService;C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe [2007-07-24 181800]
S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-07-25 191656]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\Windows\System32\TuneUpDefragService.exe [2008-08-24 307968]
S4 JMPXQUQYVX;JMPXQUQYVX;C:\Users\Laurene\AppData\Local\Temp\JMPXQUQYVX.exe [ ]
S4 SERVWZCPVM;SERVWZCPVM;C:\Users\Laurene\AppData\Local\Temp\SERVWZCPVM.exe [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f87aeb1c-66d6-11dd-a369-001e68611d9b}]
\shell\AutoRun\command - G:\Autorun.exe

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Common Files\LightScribe\LSRunOnce.exe"
.
Contenu du dossier 'Tâches planifiées'

2008-09-11 C:\Windows\Tasks\User_Feed_Synchronization-{A9A140EA-964E-4F4B-A29A-BFC0FFB856A5}.job
- C:\Windows\system32\msfeedssync.exe [2008-01-19 09:33]
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Users\Laurene\AppData\Roaming\Mozilla\Firefox\Profiles\mg8tilnh.Laurene\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/ig?hl=fr&source=iglk
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Program Files\ma-config.com\nphardwaredetection.dll
FF -: plugin - C:\Program Files\Real Player\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real Player\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real Player\Netscape6\nprpjplug.dll
FF -: plugin - C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF -: plugin - C:\Users\Laurene\AppData\Roaming\Mozilla\Firefox\Profiles\mg8tilnh.Laurene\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-06 12:55:58
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-10-06 12:57:56
ComboFix-quarantined-files.txt 2008-10-06 10:57:36

Avant-CF: 19 161 034 752 octets libres
Après-CF: 19,265,179,648 octets libres

305 --- E O F --- 2008-10-03 07:44:20

Salut,

Ca y'est ils sont visibles sur le log, par contre ComboFix ne les a pas viré.
Je t'écris la manip' dès que j'ai un peu de temps.

Moi je ne les ai pas trouvés dans ce rapport?!
(a2pw6w3c.SYS / axmmj77g.sys)


Edit: je refais un scan et le fichier a encore changé de nom "aehb0zz8.SYS" .....

Se peut-il que le rootkit change de nom aléatoirement à chaque redémarrage par exemple?

Dans ce cas je devrais faire un scan AVG, puis tous les autres (hijackthis...) dans la foulée, non?

Salut,
Saloperie de raccourci pour fermer un onglet ! (Opera quand tu nous tiens!)
Mon message était presque écris en entier T_T

Bon allez on recommence... (1h de parti en poussière)

Maconfig.com est un service de touslesdrivers.com je crois et il ne me semble pas poser trop de problémes...

Je l'ai mis car je le retrouvai souvent dans des logs.
Enfin, laisse-le si il ne te pose pas de soucis, on verra bien.

Alors tout d'abord :

aucun pb :
Information additionnelle
File size: 107368 bytes
MD5...: 005ee82babf1d2d32188a75bedf500a4
SHA1..: 97d30f06a806a2208bcb89958b6017e24122e816
SHA256: 47a1ccbce460fc833afe4992f55452227dc70d46434d2c95582c78abb6539a50
SHA512: a0b5bc37e1abd99453e3f354446a3c109cae30667130f2bdaa996400d178af17
975953bee843808bc704297dffa896170c2a974b6f84c1961db57e94d212a840
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10008bfb
timedatestamp.....: 0x479f07c4 (Tue Jan 29 11:02:28 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x12403 0x12600 6.46 77e504aa8940a5a26f5500e2d6387f68
.rdata 0x14000 0x32af 0x3400 5.27 a827d3d0b2c987e220961bde9856846d
.data 0x18000 0x2e20 0x1000 2.62 76824f0f64ec7b0b8a598ffc4c8d2dbd
.rsrc 0x1b000 0x5c0 0x600 4.26 f46024b1b145174ce012311a72782954
.reloc 0x1c000 0x195c 0x1a00 4.37 c0a68991bd3624eb79ad3ec2ccb83217

( 2 imports )
> KERNEL32.dll: CreateFileA, SetEvent, GetLastError, FreeLibrary, GlobalAlloc, CreateFileW, QueryDosDeviceA, GetDriveTypeA, GlobalLock, CreateMutexA, WaitForSingleObject, ReleaseMutex, DeviceIoControl, GlobalUnlock, GlobalFree, CloseHandle, LoadLibraryA, GetVersionExA, RaiseException, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, RtlUnwind, WideCharToMultiByte, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetModuleHandleW, GetProcAddress, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, HeapCreate, HeapDestroy, VirtualFree, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, VirtualAlloc, HeapReAlloc, Sleep, HeapSize, ExitProcess, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, WriteFile, GetStdHandle, GetModuleFileNameA, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, InitializeCriticalSectionAndSpinCount, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, GetConsoleCP, GetConsoleMode, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, FlushFileBuffers
> ADVAPI32.dll: OpenServiceA, StartServiceA, CloseServiceHandle, RegOpenKeyExW, RegCreateKeyExA, RegQueryValueExA, RegCloseKey, RegQueryValueExW, OpenSCManagerA

( 8 exports )
GASPIBlockDevice, GASPIGetDriveLetter, GASPIGetMaxTransferSize, GASPINotifyMediaChange, GASPISetTimeout, GetASPI32SupportInfo, InstallDevices, SendASPI32CommandNo pb :
Information additionnelle
File size: 15464 bytes
MD5...: ab8a6a87d9d7255c3884d5b9541a6e80
SHA1..: dcd8ca6f82db7938e30c0d4dd9a2a9f1253ed5d7
SHA256: d073b5d8a06efa6415e8f22dfe486de913113ae23f59cfc5eef1b3e694ce86f3
SHA512: d93a70e88c1dddbe8538edcfb2682a40a4e5f8c841f7bcf6a0d1963d63dd8fd9
9a0fef658cce14ca242405111b011f6a4b4c58b57e6b506fc664ecacbebe4943
PEiD..: -
TrID..: File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11e09
timedatestamp.....: 0x47fbc45a (Tue Apr 08 19:15:38 2008)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x1014 0x1080 6.25 084d1ba76d916157fa224cffd68c8803
.rdata 0x1500 0x123 0x180 4.05 c01b510f09605daec5354013fa9ef80e
.data 0x1680 0x19c 0x200 0.24 cea5497367bdba8ba5441970535272b4
PAGE 0x1880 0x48a 0x500 5.64 7d405f278a8031fc4f69c113a9e2c90f
INIT 0x1d80 0x44a 0x480 5.50 bf3d6de31388526773e2ca3a70fc71bd
.rsrc 0x2200 0x380 0x380 3.36 56242084ab6df59edaef1cd0a63b2693
.reloc 0x2580 0x15c 0x180 4.99 4034516e24d27fb2edd4d9795c7bf270

( 1 imports )
> ntoskrnl.exe: KeInitializeEvent, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, IoAttachDeviceToDeviceStack, RtlCompareUnicodeString, IoGetDeviceProperty, KeSetEvent, InterlockedIncrement, InterlockedDecrement, IofCompleteRequest, IoGetCurrentProcess, IofCallDriver, KeWaitForSingleObject, IoReportTargetDeviceChange, IoBuildDeviceIoControlRequest, ExFreePool, ExAllocatePoolWithTag, memcpy, RtlQueryRegistryValues, memset, IoDeleteDevice, IoAttachDevice, ZwClose, _wcsnicmp, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, swprintf, IoFreeIrp, IoAllocateIrp, IoDetachDevice, PoStartNextPowerIrp, PoCallDriver, KeTickCount, KeBugCheckEx

( 0 exports )
No pb :
Information additionnelle
File size: 45056 bytes
MD5...: e4c2a84bc3ed47da2958614dd3e1d181
SHA1..: e06b0fdfcaf28a60bd319ca40cdc9d752acea737
SHA256: fa27f1649935cc001aa9cde1d99b6b0048aa0155d8290967ce1aedadf26ba4aa
SHA512: 72d0d8b87dd148730a1a58493bb133c9de9cdefd0acc8108c98a9d9562cad33a
2b2e15f517c1c6051ffc88eb1ba871700575e587fab7a4e91df2013a6f7117ce
PEiD..: -
TrID..: File type identification
DirectShow filter (90.9%)
Win32 Executable Generic (3.8%)
Win32 Dynamic Link Library (generic) (3.4%)
Generic Win/DOS Executable (0.9%)
DOS Executable Generic (0.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x23a834b8
timedatestamp.....: 0x48630b5c (Thu Jun 26 03:22:04 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x322b 0x3400 6.25 d7bdbc758cdafcef0ae84e813dcb5079
.data 0x5000 0x364 0x200 0.28 38a465ab13e516ac4d90e19854e125b5
.rsrc 0x6000 0x71f8 0x7200 5.70 5d124ef2a73af61d932aa9f86a7d5d3f
.reloc 0xe000 0x3b0 0x400 4.86 04b75ef88d4218b133bf4a0d6be73883

( 9 imports )
> msvcrt.dll: _initterm, _amsg_exit, _adjust_fdiv, malloc, _except_handler4_common, _XcptFilter, free, memcpy, memset
> POWRPROF.dll: CallNtPowerInformation, IsPwrHibernateAllowed
> KERNEL32.dll: FindResourceExW, LoadResource, GetCurrentProcessId, GetLastError, HeapAlloc, GetProcessHeap, HeapFree, InterlockedIncrement, InterlockedDecrement, CompareFileTime, DeleteFileW, RemoveDirectoryW, SetFileAttributesW, CompareStringW, GetSystemDirectoryW, GlobalMemoryStatusEx, CloseHandle, CreateProcessW, SystemTimeToFileTime, GetSystemTime, lstrlenW, lstrcmpW, FindClose, FindNextFileW, FindFirstFileW, GetFileAttributesW, InterlockedExchange, Sleep, InterlockedCompareExchange, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, SetUnhandledExceptionFilter, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, LockResource
> USER32.dll: LoadStringW
> ADVAPI32.dll: RegQueryValueExW, CloseServiceHandle, OpenServiceW, OpenSCManagerW, RegCloseKey, QueryServiceStatus, RegOpenKeyExW, RegEnumKeyExW
> ole32.dll: CoInitializeEx, CoCreateInstance, CoUninitialize, CoTaskMemFree, CoTaskMemAlloc
> OLEAUT32.dll: -
> SHELL32.dll: SHGetFolderPathW
> SHLWAPI.dll: StrCmpNIW, -, -, PathAppendW, StrCmpW, -, PathCombineW, SHGetValueW

( 2 exports )
DllCanUnloadNow, DllGetClassObject


no pb :
Information additionnelle
File size: 36864 bytes
MD5...: 99d8d5af1826a4cb454b865223540449
SHA1..: ab77d9bae47ed907722ff5abe3918d4093ab90e2
SHA256: bb79dbd0b387c0ad54c21dc55db72a0be4074a1f86387ae468416ce0b5b1025c
SHA512: 573011daf823b3e4aec41650eb2f318d57fb954418f1c2315cd2c175e3a7a205
223aea1fead2d77d1d4bc7767b1509b904ac717c129e7bebb892314db747e272
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6f407b7a
timedatestamp.....: 0x4893d3d9 (Sat Aug 02 03:26:17 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x71f8 0x7200 6.32 e2e5c014e024635d7896ca53d4fb6f67
.rdata 0x9000 0x1b0 0x200 3.33 4279efd7740abacb312019a496ba7741
.data 0xa000 0x30c 0x400 4.19 2e7574b080de4942c21be913429d7488
INIT 0xb000 0x710 0x800 4.88 abd88b0dbf0cf09b31f44d388e2d16af
.rsrc 0xc000 0x3f0 0x400 3.34 0b1d684c35869e2e09c83f27206a1e06
.reloc 0xd000 0x624 0x800 5.30 fd58b6441f6ebbf88598d7daf77156b0

( 4 imports )
> WIN32K.SYS: EngDeleteRgn, CLIPOBJ_bEnum, CLIPOBJ_cEnumStart, EngGetRgnData, EngCombineRgn, EngSetRectRgn, EngRectInRgn, EngGetRgnBox, EngCreateRectRgn, EngQueryW32kCddInterface, EngDeleteSurface, EngUnlockSurface, EngAssociateSurface, EngCreateDeviceSurface, EngLockSurface, EngCreateBitmap, EngDeletePalette, EngCreatePalette, EngAllocMem, EngCopyBits, EngEqualRgn, EngStrokePath, PATHOBJ_vGetBounds, EngTransparentBlt, EngAlphaBlend, EngGradientFill, EngStretchBlt, EngOffsetRgn, EngBitBlt, EngTextOut, EngLineTo, EngFillPath, EngStrokeAndFillPath, EngStretchBltROP, EngPlgBlt, EngBugCheckEx, PALOBJ_cGetColors, EngFreeMem
> ntoskrnl.exe: ExFreePoolWithTag, MmFreePagesFromMdl, MmMapLockedPagesSpecifyCache, MmAllocatePagesForMdl, KeInitializeEvent, KeGetCurrentThread, ExReleaseFastMutexUnsafeAndLeaveCriticalRegion, ExEnterCriticalRegionAndAcquireFastMutexUnsafe, KeWaitForSingleObject, KeSetEvent, IofCallDriver, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, RtlInitUnicodeString, ExAllocatePoolWithTag, PsGetProcessImageFileName, PsGetCurrentProcess, MmUnmapLockedPages, KeSetActualBasePriorityThread, ZwClose, PsCreateSystemThread, ObOpenObjectByPointer, KeClearEvent, ObfDereferenceObject, ZwQuerySystemInformation
> HAL.dll: KeGetCurrentIrql
> watchdog.sys: WdLogEvent5, SMgrGdiCallout, WdLogServiceEntry5

( 0 exports )
no pb :
Information additionnelle
File size: 28160 bytes
MD5...: 860c0fec03daa99bed61791aa6da232e
SHA1..: a40e905b8ccafe60f534fba961700e6f9e8ec905
SHA256: cdacace79842f2081de3d8f1b20b5e612a37d803e8ed8faee8d3af5fabda8671
SHA512: 3fa761f6e005b8bd8c4a6c0b63bd918fe8987dd0e07dc5fb21ecc2b35ea19c16
9962c20992422b2f04a5fea94dd2757aa5657db00ece792f873f72e29fb882c2
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x26403573
timedatestamp.....: 0x48913071 (Thu Jul 31 03:24:33 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x33b4 0x3400 6.40 40afd3b24ef6f0f286a41fe0bb8a2b47
.data 0x5000 0x380 0x200 0.28 8f276bc8493006369d128a007b63541f
.rsrc 0x6000 0x2e58 0x3000 5.10 fc62262d7ae143d3016fd2018702ee41
.reloc 0x9000 0x36a 0x400 4.82 10f426a62b824f30e92bbca8920bb111

( 11 imports )
> msvcrt.dll: _except_handler4_common, _adjust_fdiv, _amsg_exit, _initterm, free, malloc, _XcptFilter, memset, memcpy, _wcsnicmp, _vsnwprintf
> ntdll.dll: RtlFreeUnicodeString, RtlStringFromGUID
> KERNEL32.dll: GetSystemTimeAsFileTime, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, InterlockedCompareExchange, Sleep, InterlockedExchange, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSectionAndSpinCount, HeapAlloc, GetProcessHeap, HeapFree, CloseHandle, CreateDirectoryW, GetTempPathW, WaitForSingleObject, CreateProcessW
> wdi.dll: WdiSetResolution, WdiGetParameterByName, WdiGetParameterData, WdiGetDiagnosticModuleId, WdiAddParameter, WdiSetProblemDetectionResult, WdiGetEvent
> ADVAPI32.dll: GetTokenInformation
> SHELL32.dll: ShellExecuteW, Shell_NotifyIconW
> USER32.dll: SetWindowTextW, SetDlgItemTextW, SetForegroundWindow, mouse_event, SendDlgItemMessageW, LoadIconW, DestroyWindow, SetWindowLongW, EndDialog, GetWindowLongW, SendMessageW, DefWindowProcW, PostMessageW, CreateWindowExW, RegisterWindowMessageW, PostQuitMessage, GetMessageW, DispatchMessageW, DestroyIcon, RegisterClassW, UnregisterClassW, GetDlgItem, DialogBoxParamW, EnableWindow, LoadStringW
> GDI32.dll: CreateFontIndirectW, GetObjectW
> WTSAPI32.dll: WTSQueryUserToken
> wer.dll: WerReportSetUIOption, WerReportSetParameter, WerReportCreate, WerReportCloseHandle, WerReportAddFile, WerReportSubmit
> apphelp.dll: SdbGrabMatchingInfo

( 3 exports )
WdiDiagnosticModuleMain, WdiGetDiagnosticModuleInterfaceVersion, WdiHandleInstance

no pb :
Information additionnelle
File size: 361984 bytes
MD5...: 47b8f37aa18b74d8c2e1bc1a7a2c8f8a
SHA1..: 2b00ddf8b6bced76854ee1fb53ca6716b2aff896
SHA256: fae64867ce80439735f88a9988243667bde84486b5a768b650e55e1519c85c03
SHA512: a1f5e43246d37ea36e5a64cd754c2778d2e853311b06ac22d2b1b5a46e51ca44
5eb50f7fea293970cf6f3fb45d6d5e3690f669accc63723e1f3376da3360d9d5
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6ef41409
timedatestamp.....: 0x4859d252 (Thu Jun 19 03:28:18 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5141d 0x51600 6.53 5da3d3fc1a264f1ed886ad054169be92
.data 0x53000 0xa60 0xa00 2.17 b4fd3917158a770ce1086d5ad2b5403c
.rsrc 0x54000 0x1240 0x1400 3.15 5754ecb46f297bcd5a171235dfae6655
.reloc 0x56000 0x4c78 0x4e00 6.78 2f633607d66729a997952efe3247b0ed

( 15 imports )
> msvcrt.dll: wcsstr, wcschr, _wtol, _snwscanf_s, _mkgmtime, memset, _wcsicmp, memcpy, _XcptFilter, malloc, free, _except_handler4_common, _onexit, _lock, __dllonexit, _unlock, _adjust_fdiv, _amsg_exit, _initterm, _vsnwprintf
> KERNEL32.dll: SetHandleInformation, CreateEventW, InitializeCriticalSectionAndSpinCount, GetModuleHandleW, GetCurrentProcess, GetLastError, CloseHandle, FormatMessageW, LeaveCriticalSection, EnterCriticalSection, ResetEvent, SetEvent, LoadLibraryA, GetTickCount, WaitForMultipleObjects, DeleteCriticalSection, GetProcAddress, FreeLibrary, InterlockedCompareExchange, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, QueryPerformanceCounter, DelayLoadFailureHook, InterlockedIncrement, HeapAlloc, GetProcessHeap, HeapFree, InterlockedDecrement, Sleep, InterlockedExchange, WideCharToMultiByte, LocalFree
> ADVAPI32.dll: EventWrite, RegSetValueExW, RegDeleteValueW, RegEnumKeyExW, RegDeleteKeyW, RegOpenKeyExW, RegisterServiceCtrlHandlerExW, RegCreateKeyExW, SetServiceStatus, EventRegister, EventUnregister, UnregisterTraceGuids, RegisterTraceGuidsW, GetTraceLoggerHandle, GetTraceEnableLevel, GetTraceEnableFlags, RegOpenKeyW, RegQueryValueExW, RegCloseKey, AllocateAndInitializeSid, FreeSid, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetLengthSid, InitializeAcl, AddAccessAllowedAce, AddAccessDeniedAce, GetAce, SetSecurityDescriptorDacl, GetSecurityDescriptorLength, MakeSelfRelativeSD, OpenProcessToken, LookupPrivilegeValueW, AdjustTokenPrivileges, TraceMessage
> AUTHZ.dll: AuthziInitializeAuditEvent, AuthziInitializeAuditEventType, AuthziInitializeAuditParams, AuthziFreeAuditEventType, AuthzFreeAuditEvent, AuthziLogAuditEvent, AuthzAccessCheck
> ole32.dll: CoInitializeEx, CoCreateInstance, CoUninitialize
> RPCRT4.dll: UuidCreate, RpcRevertToSelf, RpcImpersonateClient, RpcEpUnregister, RpcServerInqDefaultPrincNameW, RpcServerRegisterAuthInfoW, RpcServerUseProtseqW, RpcServerRegisterIfEx, UuidIsNil, RpcEpRegisterW, NdrServerCall2, RpcGetAuthorizationContextForClient, RpcFreeAuthorizationContext, RpcStringFreeW, RpcBindingInqAuthClientW, RpcStringBindingParseW, RpcBindingToStringBindingW, RpcServerInqBindings, RpcServerUnregisterIfEx, RpcBindingVectorFree, I_RpcBindingIsClientLocal
> IPHLPAPI.DLL: NhGetInterfaceNameFromGuid, GetAdaptersAddresses
> WS2_32.dll: -, WSASocketW, WSACreateEvent, -, WSAIoctl, WSAEventSelect, WSAResetEvent, -, -, WSACloseEvent, -, -, -
> CRYPT32.dll: CertStrToNameW
> USERENV.dll: FreeGPOListW, GetGPOListW, RefreshPolicy
> fwpuclnt.dll: IPsecGetStatistics0, FwpmEngineClose0, IkeextGetConfigParameters0, IkeextSetConfigParameters0, FwpmEngineOpen0, IkeextGetStatistics0, IkeextSaDestroyEnumHandle0, FwpmFreeMemory0, IkeextSaEnum0, IkeextSaCreateEnumHandle0, IPsecSaDestroyEnumHandle0, IPsecSaEnum0, IPsecSaCreateEnumHandle0, IkeextSaDeleteById0, IPsecSaContextDeleteById0, IPsecSaContextEnum0, IPsecSaContextCreateEnumHandle0, FwpmIPsecTunnelAdd0, FwpmTransactionAbort0, FwpmProviderAdd0, FwpmTransactionBegin0, FwpmTransactionCommit0, FwpmProviderContextAdd0, FwpmProviderContextDeleteByKey0, FwpmFilterAdd0, FwpmFilterDeleteByKey0, FwpmIPsecTunnelDeleteByKey0
> OLEAUT32.dll: -, -
> FirewallAPI.dll: FWChangeNotificationDestroy, FWChangeNotificationCreate
> FwRemoteSvr.DLL: FwRpcAPIsShutdown, FwRpcAPIsInitialize
> WLDAP32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 1 exports )
SpdServiceMain

no pb :
Information additionnelle
File size: 28672 bytes
MD5...: 988963e9e07787e1d8f99dc1f452213d
SHA1..: 934fa735102a02a656c79966afb8aae477d4adc5
SHA256: da549366a0529a9b6378889599d3ffa57201f598c27c7527bba36046c3f09d23
SHA512: 50fd7b05ccba7922474af185caec52de6ad531407f1644ade99d3b94f8857023
d138db516bbece4566fc063b801f2fdec38d1434c373a87e92474f19ab76f22c
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4a391230
timedatestamp.....: 0x4791a6b1 (Sat Jan 19 07:28:49 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5988 0x5a00 6.12 96bec92d351f42c634f67eaac9bc02aa
.data 0x7000 0x458 0x600 0.89 07fbcb13e509c2312e848e8ff54f5a54
.rsrc 0x8000 0x438 0x600 2.58 67f7d01b04d410c650a71e0948e8d4a3
.reloc 0x9000 0x568 0x600 6.29 fdf5b7e89848f4c1773e87e6ca6bc3e9

( 5 imports )
> msvcrt.dll: malloc, free, _initterm, _amsg_exit, _adjust_fdiv, _XcptFilter, memcpy, memset, _except_handler4_common
> KERNEL32.dll: Sleep, CloseHandle, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, LocalFree, GetTickCount, QueryPerformanceCounter, InterlockedCompareExchange, InterlockedExchange, GetCurrentThread, GetLastError
> ADVAPI32.dll: OpenThreadToken, ConvertStringSecurityDescriptorToSecurityDescriptorW, TraceMessage, AccessCheck
> RPCRT4.dll: RpcEpUnregister, RpcBindingToStringBindingW, I_RpcBindingIsClientLocal, RpcBindingInqAuthClientW, RpcServerUseProtseqW, NdrServerCall2, RpcRevertToSelf, RpcImpersonateClient, RpcServerUnregisterIfEx, RpcBindingVectorFree, RpcStringBindingParseW, RpcStringFreeW, RpcServerRegisterAuthInfoW, RpcServerInqDefaultPrincNameW, RpcEpRegisterW, RpcServerInqBindings, RpcServerRegisterIfEx
> FirewallAPI.dll: FWEnumPhase1SAs, FWEnumCryptoSets, FWEnumPhase2SAs, FWDeleteCryptoSet, FWSetCryptoSet, FWAddCryptoSet, FWEnumAuthenticationSets, FWSetAuthenticationSet, FWDeleteAuthenticationSet, FWAddAuthenticationSet, FWEnumConnectionSecurityRules, FWDeleteAllConnectionSecurityRules, FWDeleteConnectionSecurityRule, FWSetConnectionSecurityRule, FWAddConnectionSecurityRule, FWDeletePhase1SAs, FWDeletePhase2SAs, FWDeleteAllCryptoSets, FWDeleteAllAuthenticationSets, FWClosePolicyStore, FWOpenPolicyStore, FWSetGlobalConfig, FWGetGlobalConfig, FWSetConfig, FWGetConfig, FWSetFirewallRule, FWAddFirewallRule, FWDeleteAllFirewallRules, FWDeleteFirewallRule, FWEnumFirewallRules, FWRestoreDefaults, FwFree, FwAlloc

( 2 exports )
FwRpcAPIsInitialize, FwRpcAPIsShutdown




Pour cette partie je le ferais ce soir là j'ai pas le temps...

C:\Users\Laurene\AppData\Roaming\GTek\HP\HPNetworkAssistant\device_lib\Netgear moved successfully.
C:\Users\Laurene\AppData\Roaming\GTek\HP\HPNetworkAssistant\device_lib\Linksys moved successfully.
C:\Users\Laurene\AppData\Roaming\GTek\HP\HPNetworkAssistant\device_lib\Dlink moved successfully.
C:\Users\Laurene\AppData\Roaming\GTek\HP\HPNetworkAssistant\device_lib\Buffalo moved successfully.
C:\Users\Laurene\AppData\Roaming\GTek\HP\HPNetworkAssistant\device_lib\Belkin moved successfully.
C:\Users\Laurene\AppData\Roaming\GTek\HP\HPNetworkAssistant\device_lib moved successfully.
C:\Users\Laurene\AppData\Roaming\GTek\HP\HPNetworkAssistant moved successfully.
C:\Users\Laurene\AppData\Roaming\GTek\HP moved successfully.
C:\Users\Laurene\AppData\Roaming\GTek moved successfully.
C:\Windows\System32\ZFYE moved successfully.
C:\Program Files\Axon Data\AxCrypt\etc moved successfully.
C:\Program Files\Axon Data\AxCrypt\1.6.4.4 moved successfully.
C:\Program Files\Axon Data\AxCrypt moved successfully.
C:\Program Files\Axon Data moved successfully.
C:\Users\All Users\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\x86 moved successfully.
C:\Users\All Users\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86 moved successfully.
C:\Users\All Users\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} moved successfully.
File/Folder C:\ProgramData\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} not found.
C:\Windows\unins000.exe moved successfully.
C:\Windows\unins000.dat moved successfully.
C:\Windows\System32\SRSWOW.dll unregistered successfully.
C:\Windows\System32\SRSWOW.dll moved successfully.
C:\Program Files\No-Folder-Created moved successfully.
C:\Windows\Setup1.exe moved successfully.
C:\Windows\ST6UNST.EXE moved successfully.
C:\Windows\HideWin.exe moved successfully.
C:\Program Files\Common Files\xing shared\mpeg encode moved successfully.
C:\Program Files\Common Files\xing shared moved successfully.
C:\Windows\System32\NaturalLanguage6.dll unregistered successfully.
File move failed. C:\Windows\System32\NaturalLanguage6.dll scheduled to be moved on reboot.
File/Folder C:\Users\Laurene\AppData\Local\Temp\JMPXQUQYVX.exe not found.
File/Folder C:\Users\Laurene\AppData\Local\Temp\SERVWZCPVM.exe not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10072008_101725

Files moved on Reboot...
C:\Windows\System32\NaturalLanguage6.dll unregistered successfully.
File move failed. C:\Windows\System32\NaturalLanguage6.dll scheduled to be moved on reboot.



Pour info,
C:\Users\Laurene\AppData\Roaming\GTek\HP\HPNetworkAssistant : assistant HP
C:\Program Files\Axon Data\AxCrypt : logiciel de cryptage
C:\Program Files\No-Folder-Created : c'etait un rajout pour les sims 2 je crois

Donc je n'ai plus ces differentes fonctionnalités pour le moment...

Bonjour,



Il ne sont visiblement pas présents. Néanmoins vide ton dossier "Temp" et vide ta corbeille.

Rerere bonjour,
voila maintenant que tout est fait je fais quoi ?! Je relance un scan AVG? (surement que le fichier est toujours là avec un autre nom...)

*satanés fichiers*

Salut,

Relance un scan AVG en mode sans échec.

Bon courage.

Le scan AVG n'a rien donné :

Scanner de ligne de commande Anti-Virus AVG 8.0
Copyright (c) 1992 - 2008 AVG Technologies
Version du programme 8.0.145, moteur 8.0.0
Base de données virale : version 270.7.6/1711 2008-10-06

C:\boot\bcd Fichier verrouillé. Non analysé.
C:\boot\BCD.LOG Fichier verrouillé. Non analysé.
C:\Documents and Settings\ Fichier verrouillé. Non analysé.
C:\pagefile.sys Fichier verrouillé. Non analysé.
C:\Program Files\Windows NT\Accessoires\ Fichier verrouillé. Non analysé.
C:\ProgramData\Bureau\ Fichier verrouillé. Non analysé.
C:\ProgramData\Desktop\ Fichier verrouillé. Non analysé.
C:\ProgramData\Documents\ Fichier verrouillé. Non analysé.
C:\ProgramData\Favoris\ Fichier verrouillé. Non analysé.
C:\ProgramData\Favorites\ Fichier verrouillé. Non analysé.
C:\ProgramData\Menu Démarrer\ Fichier verrouillé. Non analysé.
C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\200cb28f052eadc11508c32e87535984_6bd86f2c-84eb-43e0-bbe1-74b0574d652a Fichier verrouillé. Non analysé.
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\ Fichier verrouillé. Non analysé.
C:\ProgramData\Modèles\ Fichier verrouillé. Non analysé.
C:\ProgramData\Templates\ Fichier verrouillé. Non analysé.
C:\System Volume Information\ Fichier verrouillé. Non analysé.
C:\Users\Default\AppData\Local\Historique\ Fichier verrouillé. Non analysé.
C:\Users\Default\AppData\Local\History\ Fichier verrouillé. Non analysé.
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\ Fichier verrouillé. Non analysé.
C:\Users\Default\Documents\Ma musique\ Fichier verrouillé. Non analysé.
C:\Users\Default\Documents\Mes images\ Fichier verrouillé. Non analysé.
C:\Users\Default\Documents\Mes vidéos\ Fichier verrouillé. Non analysé.
C:\Users\Default\Documents\My Music\ Fichier verrouillé. Non analysé.
C:\Users\Default\Documents\My Pictures\ Fichier verrouillé. Non analysé.
C:\Users\Default\Documents\My Videos\ Fichier verrouillé. Non analysé.
C:\Users\Default\Modèles\ Fichier verrouillé. Non analysé.
C:\Users\Default\NetHood\ Fichier verrouillé. Non analysé.
C:\Users\Default\PrintHood\ Fichier verrouillé. Non analysé.
C:\Users\Default\Recent\ Fichier verrouillé. Non analysé.
C:\Users\Default\Templates\ Fichier verrouillé. Non analysé.
C:\Users\Default\Voisinage d'impression\ Fichier verrouillé. Non analysé.
C:\Users\Default\Voisinage réseau\ Fichier verrouillé. Non analysé.
C:\Users\Laurene\AppData\Local\Historique\ Fichier verrouillé. Non analysé.
C:\Users\Laurene\AppData\Local\Microsoft\Windows\UsrClass.dat Fichier verrouillé. Non analysé.
C:\Users\Laurene\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 Fichier verrouillé. Non analysé.
C:\Users\Laurene\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 Fichier verrouillé. Non analysé.
C:\Users\Laurene\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\ Fichier verrouillé. Non analysé.
C:\Users\Laurene\Documents\Ma musique\ Fichier verrouillé. Non analysé.
C:\Users\Laurene\Documents\Mes images\ Fichier verrouillé. Non analysé.
C:\Users\Laurene\Documents\Mes vidéos\ Fichier verrouillé. Non analysé.
C:\Users\Laurene\Modèles\ Fichier verrouillé. Non analysé.
C:\Users\Laurene\NTUSER.DAT Fichier verrouillé. Non analysé.
C:\Users\Laurene\ntuser.dat.LOG1 Fichier verrouillé. Non analysé.
C:\Users\Laurene\ntuser.dat.LOG2 Fichier verrouillé. Non analysé.
C:\Users\Laurene\Voisinage d'impression\ Fichier verrouillé. Non analysé.
C:\Users\Laurene\Voisinage réseau\ Fichier verrouillé. Non analysé.
C:\Users\Public\Documents\Ma musique\ Fichier verrouillé. Non analysé.
C:\Users\Public\Documents\Mes images\ Fichier verrouillé. Non analysé.
C:\Users\Public\Documents\Mes vidéos\ Fichier verrouillé. Non analysé.
C:\Users\Public\Documents\My Music\ Fichier verrouillé. Non analysé.
C:\Users\Public\Documents\My Pictures\ Fichier verrouillé. Non analysé.
C:\Users\Public\Documents\My Videos\ Fichier verrouillé. Non analysé.
C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat Fichier verrouillé. Non analysé.
C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat Fichier verrouillé. Non analysé.
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT Fichier verrouillé. Non analysé.
C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1 Fichier verrouillé. Non analysé.
C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG2 Fichier verrouillé. Non analysé.
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT Fichier verrouillé. Non analysé.
C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1 Fichier verrouillé. Non analysé.
C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG2 Fichier verrouillé. Non analysé.
C:\Windows\System32\catroot2\edb.log Fichier verrouillé. Non analysé.
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb Fichier verrouillé. Non analysé.
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb Fichier verrouillé. Non analysé.
C:\Windows\System32\config\COMPONENTS Fichier verrouillé. Non analysé.
C:\Windows\System32\config\COMPONENTS.LOG1 Fichier verrouillé. Non analysé.
C:\Windows\System32\config\COMPONENTS.LOG2 Fichier verrouillé. Non analysé.
C:\Windows\System32\config\DEFAULT Fichier verrouillé. Non analysé.
C:\Windows\System32\config\DEFAULT.LOG1 Fichier verrouillé. Non analysé.
C:\Windows\System32\config\DEFAULT.LOG2 Fichier verrouillé. Non analysé.
C:\Windows\System32\config\RegBack\COMPONENTS Fichier verrouillé. Non analysé.
C:\Windows\System32\config\RegBack\DEFAULT Fichier verrouillé. Non analysé.
C:\Windows\System32\config\RegBack\SAM Fichier verrouillé. Non analysé.
C:\Windows\System32\config\RegBack\SECURITY Fichier verrouillé. Non analysé.
C:\Windows\System32\config\RegBack\SOFTWARE Fichier verrouillé. Non analysé.
C:\Windows\System32\config\RegBack\SYSTEM Fichier verrouillé. Non analysé.
C:\Windows\System32\config\SAM Fichier verrouillé. Non analysé.
C:\Windows\System32\config\SAM.LOG1 Fichier verrouillé. Non analysé.
C:\Windows\System32\config\SAM.LOG2 Fichier verrouillé. Non analysé.
C:\Windows\System32\config\SECURITY Fichier verrouillé. Non analysé.
C:\Windows\System32\config\SECURITY.LOG1 Fichier verrouillé. Non analysé.
C:\Windows\System32\config\SECURITY.LOG2 Fichier verrouillé. Non analysé.
C:\Windows\System32\config\SOFTWARE Fichier verrouillé. Non analysé.
C:\Windows\System32\config\SOFTWARE.LOG1 Fichier verrouillé. Non analysé.
C:\Windows\System32\config\SOFTWARE.LOG2 Fichier verrouillé. Non analysé.
C:\Windows\System32\config\SYSTEM Fichier verrouillé. Non analysé.
C:\Windows\System32\config\SYSTEM.LOG1 Fichier verrouillé. Non analysé.
C:\Windows\System32\config\SYSTEM.LOG2 Fichier verrouillé. Non analysé.
C:\Windows\System32\drivers\sptd.sys Fichier verrouillé. Non analysé.
C:\Windows\System32\LogFiles\WMI\RtBackup\ Fichier verrouillé. Non analysé.
D:\System Volume Information\ Fichier verrouillé. Non analysé.
E:\System Volume Information\ Fichier verrouillé. Non analysé.

------------------------------------------------------------
Objets analysés : 1119452
Infections trouvées : 0
PUP trouvés : 0
Infections réparées : 0
PUP réparés : 0
Avertissements : 0
------------------------------------------------------------

Bonsoir,

Télécharge IceSword : http://www.01net.com/telecharger/windows/Utilitaire/optimiseurs_et_tests/fich(...)

Fais des captures d'écran des différentes sections, puis poste les dans ta prochaine réponse. Si tu as des soucis, demande-moi.Pour faire simple, considère ce logiciel comme un explorateur avancé de Windows.

http://www.malekal.com/tutorial_IceSword.php : le tutorial

Edit : Enumère les fichiers en rouge également.

Salut,
Je n'arrive pas à ouvrir IceSword.exe
Il me mets "Initialize Failed[1] !"
J'ai essayé en tant qu'administrateur et de le re-télécharger mais ça ne change rien...

Bonsoir,

Bon pas grave, essaye avec GMER.

Télécharge GMER ici : http://www.gmer.net/files.php
Lance gmer.exe. Sur la "Rootkit Tab", sélectionne seulement les options: Files + ADS + Show all et clique sur le bouton "Scan".

Note tous les fichiers en rouge.
Sur l'onglet "Settings" choisis ces options :



Récupère le rapport ici : C:\WINDOWS\gmer.log.
Poste le tout dans ta prochaine réponse.

Bonsoir,
J'ai téléchargé et lancé GMER, et après un scna il me dit : aucun fichier trouvé, pas de modification systéme, un truc comme ça...

Et je n'ai pas d'onglets settings (donc pas de fichiers log)

En me baladant dans la partie "Modules", je trouve un fichier lancé qui correspond à mon fichier .sys qui a encore changé de nom (je dois lancer un début de scan AVG à chaque fois pour trouver le nouveau nom)


enfin un indice...

Bonsoir,

# Redémarre le PC en mode sans échec :
Tu n' auras pas accès à Internet pendant le "mode sans échec". Aussi, copie/colle toute cette procédure dans un fichier texte et mets-la sur le "bureau" pour l'avoir à ta disposition.
Ferme toutes les fenêtres et applications.
Redémarre ton ordinateur, puis tapote sur la touche F8 (F5 sur certains PC) avant l’apparition du logo Windows, un menu va apparaître, tu devra choisir de démarrer en mode sans échec.

# Double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
Copie le texte ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

C:\Windows\System32\Drivers\aten7xui.SYS
C:\Windows\System32\Drivers\a2pw6w3c.SYS
C:\Windows\System32\Drivers\axmmj77g.sys

Clique sur MoveIt! pour lancer la suppression.
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit et redémarre ton PC.
Copie-colle le rapport dans ta réponse : il est situé sur --> C:\_OTMoveIt\MovedFiles.

Comme je le pensais, rien trouvé :

Le fichier a du chager de nom entre temps...

PS : je viens de remarquer que la 1ére lettre est tjs "a" et le nom fait 8 lettres/chiffres du genre "a*******.SYS"

Cherche son nom, et dès que tu le trouves, met la procédure OTMoveIT en application directement, et donne le résultat.

Ca ne marche pas.

OTMove It n'arrive pas à le supprimer et veut l'enlever au reboot, mais après redémarrage le fichier n'est plus retrouvé... (il change de nom avant que le logiciel l'enléve)




PS bonne nuit, moi j'en peux plus...