|
|
Auteur
|
Message
|
1
2
|
|
|
|
bonjour,
j'ai rebooté mon PC et il devient escargot. Donc virus me dis je.
j'ai voulu alors lancer bitdefender et .... planté l'AV ! BDSS en rideau.
j'ai donc voulu faire reparer et là, msi package qui ne fonctionne plus ;
impossible de le desinstaller ou le reinstaller (tjs msi package HS).
je reboot et demande acces mode sans echec et ... retour boot ! impossible de faire acces mode sans echec ....
Ayant un cd original (BD security 08), je ne me suis pas genee pour aller en prendre un sur la mule pensant que mon Cd etait HS et idem :-( impossible de desinstaller/reparer/installer.
je liquide a la main softwin (avec regcleaner pour finir)
là, je lance CCleaner mais .... marche pas (ne se lance pas)
je lance mozilla pour vous parler et il met 3 plombes pour se lancer
mon UC est à 100% mais au moins, j'ai acces.
lisant les sujets sur les PC lents je telecharge Hijack et lorsque je le lance, impossible :erreur 'appli win 32 non valide' ....
je veux regader les fichiers temp via local setting et O surprise ; plus de dossier local setting !!
je telecharge un AV gratuit AVG et mise a jour et je le lance ..
il scanne 1 fichier a la seconde (et encore )!!!! sachant que je me rappelle avoir scanné avec BD plus de 500k fichiers, il va me falloir une semaine pour scanner mon PC. Là il scanne encore
Heu, il y a t il un moyen pour moi de scanner plus vite sachant que je suis 100% UC sans rien qui tourne (du yoyo se produit mais 100% en general) ?
ou dois je vous recontacter dans une semaine LoL lorsque AVG aura fini de scanner (et encore si le PC ne s'eteint pas entre temps car faudra tout recommencer)
merci à vous
fifi, 19 ans
-->Message édité par fifi19 le 26/06/2008 21:14:56<--
|
|
|
|
|
Bonjour
ton infection ressemble à Bagle. C'est une infection qui vient d'un crack pourri venu du peer2peer.
En va tester ceci :
ELIBAGLA :
* Télécharge ELIBAGLA (by SATINFO) en bas de cette page : http://www.zonavirus.com/datos/descargas/95/elibagla.asp
* Cliquez sur le bouton Descargar Elibagla pour télécharger le fichier, placez le sur votre bureau.
* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\ (ou la partition contenant le système d'exploitation)
* Vérifiez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
* Cliquez sur le bouton Explorar pour lancer l'analyse, à la fin du scan, un rapport est généré, nommé infosat.txt, il est en outre sauvegardé sous la racine : C:\infosat.txt
|
|
|
|
|
merci de la reponse.
J'ai TL lelogiciel (50ko) et je le lance.
executer ---> oui fais je
il apparait dans le gestionnaire de tache (elibagla.exe) et ....
disparait aussitot et rien ne se produit sur le PC ....
"* Double-cliquez dessus pour l'ouvrir
* Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\ (ou la partition contenant le système d'exploitation) "
Je peux faire le premier couplet mais pas le second !
merci
|
|
|
|
|
essaie de :
renomme Elibagla en mdelk.exe
Ensuite double-clique sur Elibagla.exe renommé
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt
|
|
|
|
|
et bien non, renommé ne permet pas de faire mieux
j'ai jste un poil mieux car je vois une fenetre s'ouvrir une seconde (comme si il decompressait des fichiers) et pouf plus rien.
|
|
|
|
|
tu as tenté de renommer hijackthis ?
Hijackthis :
Télécharge HiJackThis (Merjin) et installe-le.
Renomme-le en Scanner.
Ferme toutes les fenêtres.
Cliques sur « Do a system Scan Only and Save a Logfile »
Un rapport apparaît à l’écran.
Copie/Colle l’ensemble du rapport ici.
|
|
|
|
|
erreur d'envoi.
phrase intacte et à jour ci dessous !
-->Message édité par fifi19 le 24/06/2008 15:50:22<--
|
|
|
|
|
je ne connais pas BD. J'ai un peu du mal à te suivre merci de ne pas trop utiliser le sms.
Qui te fait un scan virus du logiciel ?
désactive ton antivirus pour empecher le scan lors de ton telechargement.
ta derniere phrase n est pas fini
|
|
|
|
|
bon ; du nouveau.
Lorsque je TL le logiciel espagnol ou Hijack, il me fait un scan virus du logiciel et pour empecher cela, j'ai voulu desinstaller AVG deja et de nouveau, comme pour BD (au fait, BD etait a jour d'il y a 3 jours et je scanne tous les fichiers que je TL du net et que j'ouvre donc ce truc est passé a travers BD !!), impossible de desinstaller ; j'ai donc decidé a la main de retirer les processus AVG et lç est apparu un process hldrrr.exe et j'ai vu sur le net de passer par killbox.
J'ai fait cela (la manip de retirer les fichiers) et depuis, j'ai pu lancer elibagle !!!!!
A noter que rootkit .. cette option de scan dans AVG etait grisee et impossible a lancer
bon, au moins, il marche là
je peux aussi faire hijack maintenant je suppose !!
voici le resultat :
Tue Jun 24 14:16:40 2008
EliBagle v11.51 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Tue Jun 24 14:55:00 2008
EliBagle v11.51 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.51
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Tue Jun 24 14:55:36 2008
EliBagle v11.51 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\SROSA.SYS --> Acceso Denegado, Bagle (rootkit) (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 3475
Nº Total de Ficheros: 38652
Nº de Ficheros Analizados: 10885
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
|
|
|
|
|
ton mode sans echec est réparé.
Redemarre en mode sans echec
puis relance Elibagla
redemarre en mode normal
poste le rapport accompagné d'un nouveau rapport hijackthis
|
|
|
|
|
Un gros merci !
desolée pour le post intermediaire, j'ai du appuyer par erreur sur une touche :-(
c'est AVG qui scanne ce qui rentre et que j'ai voulu desinstaller et bitdefender a du merder qqpart :-( (ou moi mais bon)
rapport Elibagla :
Tue Jun 24 14:16:40 2008
EliBagle v11.51 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Tue Jun 24 14:55:00 2008
EliBagle v11.51 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.51
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Tue Jun 24 14:55:36 2008
EliBagle v11.51 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\SROSA.SYS --> Acceso Denegado, Bagle (rootkit) (Reiniciar para completar la Limpieza)
Nº Total de Directorios: 3475
Nº Total de Ficheros: 38652
Nº de Ficheros Analizados: 10885
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Tue Jun 24 15:32:12 2008
EliBagle v11.51 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.51
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
Tue Jun 24 15:32:30 2008
EliBagle v11.51 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Junio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\downld\106531.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\110343.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\119859.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\29615484.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\29647093.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\88437.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\89140.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\downld\95750.EXE --> Eliminado Bagle
Nº Total de Directorios: 3480
Nº Total de Ficheros: 38702
Nº de Ficheros Analizados: 10899
Nº de Ficheros Infectados: 8
Nº de Ficheros Limpiados: 8
rapport Hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:44:01, on 24/06/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\runservice.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Emmanuelle\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://users.iptelecom.net.ua/~codecs/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_s(...)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb(...)
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82E07104-99DC-4381-AF02-500C8ADC242C}: NameServer = 10.128.129.1,192.168.15.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: sockspy.dll,avgrsstx.dll
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
--
End of file - 5626 bytes
|
|
|
|
|
lors de la désinstallation d'un antivirus ou parefeu il est parfois necessaire d'arreter les services de celui ci avant de le désinstaller via le panneau de configuration.
Notamment celui ci :
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
Démarrer > Exécuter et taper Services.msc puis OK
Choisir le mode "Etendu" (onglets inférieurs)
Grâce à la barre de défilement (à droite) rechercher le service suivant:
BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L.
Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).
Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,
puis dérouler le Type de Démarrage pour le modifier en Désactivé
Cliquer sur Appliquer puis OK
regarde si tu as toujours bitfender dans ton panneau de configuration pour le désinstaller.
ensuite
MalwareByte's Anti-Malware
télécharge MalwareByte's Anti-Malware et installe le.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
- Assure toi qu'il se soit bien mis à jour avant de passer à la suite.
- Aide : Tutoriel MABM
Redémarre en mode sans échec :
o Redémarre ton ordinateur
o Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
o A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
o Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
o Choisis ton compte.
* Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
* Une fois le scan terminé,clique sur "Supprimer la sélection".
Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera
Redemarre en mode normal
Deckard's System Scanner
Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.
1. ferme toutes les applications et fenêtres
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
* tu devras cliquer 2 fois sur le OK des boîtes de dialogue
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
* quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
main.txt <- ouvert en premier plan et en plein écran
extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
S'il s'agit d'une utilisation supplémentaire de DSS :
* tu n'auras pas de boîte de dialogue (pas de OK)
* quand le traitement est terminé, un fichier texte s'affiche :
main.txt <- ouvert en premier plan et en plein écran[
4. copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
5. copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
6. n'oublie pas de réactiver les protections si elles ont été stoppées.
Aide : http://bibou0007.com/outils-specifiques-f78/tutorial-deckard-s-system-scanner(...)
Poste les rapports de DSS (un rapport hijackthis est inclus dans les rapports DSS).
J'attends :
ton rapport malawarebyte antispyware
ton rapport main.txt et extra.txt de DSS
|
|
|
|
|
rebonjour !
premier rapport malware :
Malwarebytes' Anti-Malware 1.18
Version de la base de données: 885
17:15:39 24/06/2008
mbam-log-6-24-2008 (17-15-32).txt
Type de recherche: Examen complet (C:\|H:\|)
Eléments examinés: 100749
Temps écoulé: 15 minute(s), 32 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 36
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> No action taken.
Fichier(s) infecté(s):
C:\Documents and Settings\Emmanuelle\Local Settings\Temporary Internet Files\Content.IE5\678RABUD\b64[1].jpg (Worm.Bagle) -> No action taken.
C:\Documents and Settings\Emmanuelle\Local Settings\Temporary Internet Files\Content.IE5\TTIDMO3R\b64[1].jpg (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{D2C2C052-0C59-4650-8C88-DD33070AFF64}\RP4\A0000146.exe (Worm.Bagle) -> No action taken.
C:\System Volume Information\_restore{D2C2C052-0C59-4650-8C88-DD33070AFF64}\RP4\A0000148.exe (Worm.Bagle) -> No action taken.
C:\WINDOWS\system32\drivers\downld\114093.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\133421.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\136781.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\144890.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\14965109.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\15076328.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\15105406.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\15133343.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\15185171.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\158421.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\187843.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\203375.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\292593.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\295000.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\29669578.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\29785671.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\29816234.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\29843609.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\29896312.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\320765.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\325984.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\346515.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\354546.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\367437.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\405187.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\80093.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\801234.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\829687.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\857812.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\86984.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\880953.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\downld\928796.exe (Trojan.Agent) -> No action taken.
2e rapport malware (apres suppression) ---------------------------------
Malwarebytes' Anti-Malware 1.18
Version de la base de données: 885
17:15:42 24/06/2008
mbam-log-6-24-2008 (17-15-42).txt
Type de recherche: Examen complet (C:\|H:\|)
Eléments examinés: 100749
Temps écoulé: 15 minute(s), 32 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 36
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Documents and Settings\Emmanuelle\Local Settings\Temporary Internet Files\Content.IE5\678RABUD\b64[1].jpg (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Documents and Settings\Emmanuelle\Local Settings\Temporary Internet Files\Content.IE5\TTIDMO3R\b64[1].jpg (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2C2C052-0C59-4650-8C88-DD33070AFF64}\RP4\A0000146.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D2C2C052-0C59-4650-8C88-DD33070AFF64}\RP4\A0000148.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\114093.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\133421.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\136781.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\144890.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\14965109.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\15076328.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\15105406.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\15133343.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\15185171.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\158421.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\187843.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\203375.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\292593.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\295000.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\29669578.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\29785671.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\29816234.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\29843609.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\29896312.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\320765.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\325984.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\346515.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\354546.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\367437.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\405187.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\80093.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\801234.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\829687.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\857812.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\86984.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\880953.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\928796.exe (Trojan.Agent) -> Quarantined and deleted successfully.
je fais maintenant Deckard systeme
|
|
|
|
|
1er doc DSS : Main
Deckard's System Scanner v20071014.68
Run by Emmanuelle on 2008-06-24 17:28:22
Computer is in Normal Mode.
--------------------------------------------------------------------------------
-- System Restore --------------------------------------------------------------
Successfully created a Deckard's System Scanner Restore Point.
-- Last 4 Restore Point(s) --
4: 2008-06-24 15:28:27 UTC - RP6 - Deckard's System Scanner Restore Point
3: 2008-06-24 14:24:42 UTC - RP5 - BitDefender Antivirus Plus v10 désinstallé
2: 2008-06-24 12:10:28 UTC - RP4 - Removed AVG Free 8.0
1: 2008-06-24 11:51:23 UTC - RP3 - Point de vérification système
Backed up registry hives.
Performed disk cleanup.
System Drive C: has 0.43 GiB (less than 15%) free.
-- HijackThis (run as Emmanuelle.exe) --------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:29:10, on 24/06/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\runservice.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Emmanuelle\Bureau\dss.exe
C:\DOCUME~1\Emmanuelle\Bureau\Emmanuelle.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://users.iptelecom.net.ua/~codecs/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_s(...)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb(...)
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82E07104-99DC-4381-AF02-500C8ADC242C}: NameServer = 10.128.129.1,192.168.15.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: sockspy.dll,avgrsstx.dll,
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
--
End of file - 5422 bytes
-- File Associations -----------------------------------------------------------
.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*
.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*
-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------
R0 sfdrv01 (StarForce Protection Environment Driver (version 1.x)) - c:\windows\system32\drivers\sfdrv01.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfsync02 (StarForce Protection Synchronization Driver (version 2.x)) - c:\windows\system32\drivers\sfsync02.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfsync03 (StarForce Protection Synchronization Driver (version 3.x)) - c:\windows\system32\drivers\sfsync03.sys <Not Verified; Protection Technology; StarForce Protection System>
R0 sfvfs02 (StarForce Protection VFS Driver (version 2.x)) - c:\windows\system32\drivers\sfvfs02.sys <Not Verified; Protection Technology; StarForce Protection System>
R1 PQNTDrv - c:\windows\system32\drivers\pqntdrv.sys <Not Verified; PowerQuest Corporation; PowerQuest product>
R1 SSHDRV51 - c:\windows\system32\drivers\sshdrv51.sys
R1 SSHDRV76 - c:\windows\system32\drivers\sshdrv76.sys <Not Verified; ; ProtectCD>
R1 SSHDRV85 - c:\windows\system32\drivers\sshdrv85.sys <Not Verified; ; ProtectCD>
R2 Machnm32 (Machnm32 Driver) - c:\windows\system32\machnm32.sys
R3 SampleScanner (Ultima2000 Scanner) - c:\windows\system32\drivers\gt680x.sys <Not Verified; ; USB Scanner Driver>
S0 VClone - c:\windows\system32\drivers\vclone.sys (file missing)
S3 basic2 - c:\windows\system32\drivers\basic2.sys (file missing)
S3 dtscsi - c:\windows\system32\drivers\dtscsi.sys (file missing)
S3 Rksample - c:\windows\system32\drivers\rksample.sys (file missing)
S3 winachsf - c:\windows\system32\drivers\hsf_cnxt.sys (file missing)
-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------
R2 LicCtrlService (LicCtrl Service) - c:\windows\runservice.exe
S3 NBService - c:\program files\nero\nero 7\nero backitup\nbservice.exe
-- Device Manager: Disabled ----------------------------------------------------
No disabled devices found.
-- Files created between 2008-05-24 and 2008-06-24 -----------------------------
2008-06-24 17:17:40 0 d-------- C:\WINDOWS\system32\drivers\downld
2008-06-24 16:48:08 0 d-------- C:\Documents and Settings\Emmanuelle\Application Data\Malwarebytes
2008-06-24 16:48:06 0 d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-24 16:48:06 0 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-24 14:55:00 0 d-------- C:\Muestras
2008-06-24 10:43:31 0 dr-h----- C:\Documents and Settings\Emmanuelle\Recent
2008-06-24 00:07:38 0 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-23 22:27:05 0 d--h----- C:\$AVG8.VAULT$
2008-06-23 21:58:48 0 d-------- C:\WINDOWS\system32\drivers\Avg
2008-06-23 21:58:42 0 d-------- C:\Program Files\AVG
2008-06-23 21:58:42 0 d-------- C:\Documents and Settings\All Users\Application Data\avg8
2008-06-23 20:30:20 684032 --a------ C:\WINDOWS\system32\drivers\mdelk.exe
2008-06-23 12:22:18 0 d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
2008-06-20 17:10:53 0 d--h----- C:\WINDOWS\$hf_mig$
2008-06-19 01:24:15 0 d-------- C:\Program Files\Elaborate Bytes
2008-06-18 01:13:54 0 d-------- C:\WINDOWS\Logs
2008-06-18 00:59:23 0 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-16 21:37:09 0 d-------- C:\Documents and Settings\All Users\Application Data\nView_Profiles
2008-06-13 00:29:02 0 d-------- C:\Program Files\XP Codec Pack
2008-06-12 01:59:26 0 d-------- C:\WINDOWS\RegisteredPackages
2008-06-11 18:56:18 0 d-------- C:\Program Files\Okidata
2008-06-10 12:01:07 0 d-------- C:\Documents and Settings\All Users\Application Data\PC Drivers HeadQuarters
2008-06-08 12:51:01 0 d-------- C:\Documents and Settings\Emmanuelle\Application Data\vlc
2008-06-08 02:22:17 0 d-------- C:\Program Files\Microsoft Silverlight
2008-06-08 02:04:30 0 d-------- C:\Program Files\Windows Live
2008-05-30 11:57:34 0 d-------- C:\Documents and Settings\Emmanuelle\Application Data\TaoUSign
2008-05-27 00:55:00 0 d-------- C:\Program Files\Windows Live Safety Center
2008-05-25 19:08:05 0 d-------- C:\Program Files\HyperLobbyPro3
2008-05-25 18:54:25 98304 --a------ C:\WINDOWS\system32CmdLineExt.dll <Not Verified; Sony DADC Austria AG.; >
2008-05-25 18:48:28 0 d-------- C:\Documents and Settings\Emmanuelle\Application Data\teamspeak2
2008-05-25 18:48:02 0 d-------- C:\Program Files\Teamspeak2_RC2
2008-05-24 00:12:39 1 --a------ C:\WINDOWS\system32\SI.bin
-- Find3M Report ---------------------------------------------------------------
2008-06-24 17:17:34 1217 --ahs---- C:\WINDOWS\system32\mmf.sys
2008-06-24 15:42:20 513492 --a------ C:\WINDOWS\system32\perfh00C.dat
2008-06-24 15:42:20 85696 --a------ C:\WINDOWS\system32\perfc00C.dat
2008-06-23 23:57:18 0 d-------- C:\Program Files\eMule
2008-06-23 20:58:12 0 d-------- C:\Program Files\Fichiers communs
2008-06-23 20:28:42 81984 --a------ C:\WINDOWS\system32\bdod.bin
2008-06-23 12:19:36 0 d-------- C:\Program Files\Fichiers communs\InstallShield
2008-06-21 20:39:23 0 d--h----- C:\Program Files\InstallShield Installation Information
2008-06-18 09:46:50 0 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-06-01 02:03:12 0 d-------- C:\Documents and Settings\Emmanuelle\Application Data\Mozilla
2008-06-01 02:02:06 0 d--hs--c- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-05-23 16:11:28 0 d-------- C:\Program Files\Microsoft Visual Studio 8
2008-05-23 02:07:24 0 d-------- C:\Program Files\Messenger
2008-05-23 02:07:12 0 d-------- C:\Program Files\Movie Maker
2008-05-23 02:05:50 0 d-------- C:\Program Files\Windows NT
2008-05-22 21:01:28 0 d-------- C:\Program Files\SystemRequirementsLab
2008-05-22 21:01:28 0 d-------- C:\Documents and Settings\Emmanuelle\Application Data\SystemRequirementsLab
2008-05-22 20:40:39 0 d-------- C:\Program Files\MSI
2008-05-22 14:56:26 30720 --a------ C:\WINDOWS\EWhiteu12.dat
2008-05-22 14:56:26 28 --a------ C:\WINDOWS\AErroru3.dat
2008-05-22 14:56:23 30720 --a------ C:\WINDOWS\EDarku12.dat
2008-05-22 14:56:21 3 --a------ C:\WINDOWS\EOffsetu.dat
2008-05-22 14:56:21 3 --a------ C:\WINDOWS\EGain6.dat
2008-05-22 14:56:21 6 --a------ C:\WINDOWS\EExpou.dat
2008-05-20 01:13:21 592 --a------ C:\WINDOWS\chgkey.vbs
2008-05-19 00:27:49 0 d-------- C:\Program Files\Google
2008-05-18 20:39:37 0 d-------- C:\Documents and Settings\Emmanuelle\Application Data\DAEMON Tools
2008-05-18 10:31:14 0 d-------- C:\Program Files\NVIDIA Corporation
2008-05-13 08:50:05 0 d-------- C:\Documents and Settings\Emmanuelle\Application Data\Media Player Classic
2008-05-11 22:05:53 0 d-------- C:\Documents and Settings\Emmanuelle\Application Data\InstallShield
2008-05-02 22:46:00 1630208 --a------ C:\WINDOWS\system32\nwiz.exe
2008-05-02 22:46:00 1019904 --a------ C:\WINDOWS\system32\nvwimg.dll
2008-05-02 22:46:00 1703936 --a------ C:\WINDOWS\system32\nvwdmcpl.dll
2008-05-02 22:46:00 466944 --a------ C:\WINDOWS\system32\nvshell.dll
2008-05-02 22:46:00 1486848 --a------ C:\WINDOWS\system32\nview.dll
2008-05-02 22:46:00 1339392 --a------ C:\WINDOWS\system32\nvdspsch.exe
2008-05-02 22:46:00 442368 --a------ C:\WINDOWS\system32\nvappbar.exe
2008-05-02 22:46:00 425984 --a------ C:\WINDOWS\system32\keystone.exe
-- Registry Dump ---------------------------------------------------------------
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [02/05/2008 22:46]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe" [03/08/2005 07:05]
"nwiz"="nwiz.exe" [02/05/2008 22:46 C:\WINDOWS\system32\nwiz.exe]
"amd_dc_opt"="C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [17/11/2006 16:49]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [14/04/2008 04:33]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"=0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sockspy.dll,avgrsstx.dll,
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^SATARAID5.lnk]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ScanPanel.lnk]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG8_TRAY]
C:\PROGRA~1\AVG\AVG8\avgtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BPS Spyware Remover]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detector]
DevDetect.exe -autorun
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\drvsyskit]
C:\WINDOWS\system32\drivers\hldrrr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus Photo R300 Series]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen 2.6]
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveMonitor]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NewsUpd]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nTrayFw]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray]
"C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UIUCU]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PnkBstrA"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs eaphost
dot3svc dot3svc
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
napagent
hkmsvc
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13dbbc37-f13b-11db-ab46-806d6172696f}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Fichiers communs\LightScribe\LSRunOnce.exe"
-- End of Deckard's System Scanner: finished at 2008-06-24 17:31:29 ------------
J'ai mis en exergue le truc hdlrrr.exe !
le 2é txt de DSS (le "extra")
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------
-- System Information ----------------------------------------------------------
Microsoft Windows XP Professionnel (build 2600) SP 3.0
Architecture: X86; Language: French
CPU 0: AMD Athlon(tm) 64 Processor 3500+
Percentage of Memory in Use: 13%
Physical Memory (total/avail): 3071.48 MiB / 2646.65 MiB
Pagefile Memory (total/avail): 4956.32 MiB / 4706.96 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1909 MiB
A: is Removable (No Media)
C: is Fixed (NTFS) - 57.57 GiB total, 0.43 GiB free.
D: is CDROM (No Media)
H: is Fixed (NTFS) - 19.12 GiB total, 0.31 GiB free.
\\.\PHYSICALDRIVE0 - Hitachi HDS721680PLA380 - 76.69 GiB - 2 partitions
\PARTITION0 (bootable) - Système de fichiers installable - 57.57 GiB - C:
\PARTITION1 - Étendu avec Inter. 13 étendue - 19.12 GiB - H:
-- Security Center -------------------------------------------------------------
AUOptions is set to notify before download.
-- Environment Variables -------------------------------------------------------
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Emmanuelle\Application Data
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=STEPHI
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\Emmanuelle
LOGONSERVER=\\STEPHI
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\WBEM
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 47 Stepping 0, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=2f00
ProgramFiles=C:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\Emmanuelle\LOCALS~1\Temp
TMP=C:\DOCUME~1\Emmanuelle\LOCALS~1\Temp
USERDOMAIN=STEPHI
USERNAME=Emmanuelle
USERPROFILE=C:\Documents and Settings\Emmanuelle
windir=C:\WINDOWS
__COMPAT_LAYER=EnableNXShowUI
-- User Profiles ---------------------------------------------------------------
Emmanuelle [I](admin)[/I]
Administrateur [I](admin)[/I]
-- Add/Remove Programs ---------------------------------------------------------
--> "C:\Program Files\Creative\CTSetup\CTSetup.exe"
--> C:\Program Files\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
--> C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Creative\Audio2K\CTMixer.isu"
--> C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Creative\Audio2K\Midi.isu"
--> C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Creative\Audio2K\PlayCenter\Player.isu"
--> C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Creative\Audio2K\Recorder\Recorder.isu"
--> C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Creative\Audio2K\WaveStudio\Wstudio.isu"
--> C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Creative\Uninstall\Installer.isu"
--> C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
--> C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
--> C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
--> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
--> C:\WINDOWS\UNRecode.exe /UNINSTALL
--> MsiExec /X{65F1CF63-31E0-450B-96F3-4A88BE7361A6}
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {BEE75E01-DD3F-4D5F-B96C-609E6538D419}
2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-0015-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-0019-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {430971B1-C31E-45DA-81E0-72C095BAB72C}
2007 Microsoft Office Suite Service Pack 1 (SP1) --> msiexec /package {90120000-0044-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
3114 SATARAID5 --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8E4CF4E6-062E-11D8-BCF1-005004748D87}\Setup.exe" -l0x9
Absolute Patience --> C:\Program Files\Absolute Patience\uninstall.exe
ACDSee 7.0 PowerPack --> MsiExec.exe /I{B0625F16-B742-4F75-9FD8-20B47ACC7DE2}
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81200000003}
AGEIA PhysX v7.07.09 --> MsiExec.exe /X{65F1CF63-31E0-450B-96F3-4A88BE7361A6}
ARTEC --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0303CD4A-D909-4F03-9799-E25D84D7EC9F}\Setup.exe"
Athlon 64 Processor Driver --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe" -l0x40c
AVG Free 8.0 --> C:\Program Files\AVG\AVG8\setup.exe /UNINSTALL
BitDefender Antivirus Plus v10 --> MsiExec.exe /I{10FFFFFD-E5EA-4AA7-902F-2B057ACF7C8A}
Canon S820D --> C:\WINDOWS\system32\CNMCP3S.EXE -@C:\WINDOWS\IsUn040c.exe -f"C:\BJPrinter\CNMWINDOWS\Canon S820D Installer\Inst\DeIsL1.isu" -pCanon S820D-c"C:\BJPrinter\CNMWINDOWS\Canon S820D Installer\Inst\bjinst.dll
CCleaner (remove only) --> "C:\Program Files\CCleaner\uninst.exe"
Dual-Core Optimizer --> MsiExec.exe /X{BCA02FAD-2C86-4C8C-A815-51C09F4E51FF}
eMule --> "C:\Program Files\eMule\Uninstall.exe"
Gadwin PrintScreen --> C:\Program Files\Gadwin Systems\PrintScreen\Uninstall.exe
HijackThis 2.0.2 --> "C:\Documents and Settings\Emmanuelle\Bureau\HijackThis.exe" /uninstall
Huffyuv AVI lossless video codec (Remove Only) --> rundll.exe setupx.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\HUFFYUV.INF
Hyper Lobby Pro Client version 3.9.111 --> "C:\WINDOWS\lsb_un20.exe" /C=UC /N=Hyper Lobby Pro Client version 3.9.111
IL-2 Sturmovik 1946 --> C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{79438F1E-DEC3-443D-9DCD-FECE2D68C605} /l1036
Java 2 Runtime Environment, SE v1.4.2_04 --> MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142040}
K-Lite Codec Pack 2.84 Full --> "C:\Program Files\K-Lite Codec Pack\unins000.exe"
Malwarebytes' Anti-Malware --> "C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Marvell Miniport Driver --> MsiExec.exe /X{C950420B-4182-49EA-850A-A6A2ABF06C6B}
Microsoft Office Access MUI (French) 2007 --> MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007 --> MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007 --> MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Language Pack 2007 Service Pack 1 (SP1) --> msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {EC50B538-CBE1-42E6-B7FE-87AA540AADFB}
Microsoft Office Outlook MUI (French) 2007 --> MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007 --> MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint Viewer 2003 --> MsiExec.exe /X{90AF0409-6000-11D3-8CFE-0150048383C9}
Microsoft Office Professional Plus 2007 --> "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007 --> MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007 --> MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007 --> MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007 --> MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007 --> MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Silverlight --> MsiExec.exe /I{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mise à jour de sécurité pour Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB951376-v2) --> "C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mozilla Firefox (3.0) --> C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero 7 Essentials --> MsiExec.exe /X{1DED92A7-05FA-4736-8AEA-1BE2363F1036}
NeroDigital MPEG-1/2/4 & AVC decoder v2.02 --> RunDLL32.exe advpack.dll,LaunchINFSection nevideo.inf, UnInstall
neroxml --> MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers --> C:\WINDOWS\system32\nvuaudio.exe UninstallGUI
NvMixer --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D7A6C517-11F2-419F-B5BB-27772B939698}\Setup.exe" -uninstall
OKI Color Swatch Utility --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A344F95E-E51A-450C-8F84-C940BF61903E}\setup.exe" -l0x40c -removeonly -removeonly
OpenAL --> "C:\Program Files\OpenAL\OpenALwEAX.exe" /U
PowerQuest PartitionMagic 8.0 --> C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}
Security Update for Excel 2007 (KB946974) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {85E83E2E-AF9B-439B-B4F9-EB9B7EF6A00E}
Security Update for Microsoft Office Publisher 2007 (KB950114) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {F9C3CDBA-1F00-4D4D-959D-75C9D3ACDD85}
Security Update for Microsoft Office system 2007 (KB951808) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {8F375E11-4FD6-4B89-9E2B-A76D48B51E00}
Security Update for Microsoft Office Word 2007 (KB950113) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {AD72BABE-C733-4FCF-9674-4314466191B9}
Security Update for Office 2007 (KB947801) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {02B5A17B-01BE-4BA6-95F1-1CBB46EBC76E}
Security Update for Outlook 2007 (KB946983) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {66B9496E-C0C3-4065-9868-85CCA92126C3}
Sound Blaster AUDIOPCI128 --> C:\Program Files\Creative\Uninstall\CTUNINST.EXE /U:UNINST1.INI
Sound Blaster PCI128 Drivers --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{509291FD-CFC8-11D6-A285-00A0CC51B2FE}\Setup.exe" -l0x40c /remove
System Requirements Lab --> C:\Program Files\SystemRequirementsLab\Uninstall.exe
TeamSpeak 2 RC2 --> "C:\Program Files\Teamspeak2_RC2\unins000.exe"
Update for Office 2007 (KB946691) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {A420F522-7395-4872-9882-C591B4B92278}
Update for Outlook 2007 Junk Email Filter (kb950378) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {F6296086-AED5-4EC0-938B-08EA0254F20E}
VideoLAN VLC media player 0.8.6h --> C:\Program Files\VideoLAN\VLC\uninstall.exe
VobSub v2.05 (Remove Only) --> "C:\Program Files\Gabest\VobSub\uninstall.exe"
Windows Communication Foundation --> MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Live installer --> MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
Windows Live Messenger --> MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
Windows Live OneCare safety scanner --> RunDll32.exe "C:\Program Files\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Windows Presentation Foundation --> MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Presentation Foundation Language Pack (FRA) --> MsiExec.exe /X{6901DD22-527A-41EF-9059-E81FEDE9E494}
Windows Workflow Foundation --> MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows Workflow Foundation FR Language Pack --> MsiExec.exe /I{B84C141C-9A13-44BE-9A69-301D7B11D836}
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR archiver --> C:\Program Files\WinRAR\uninstall.exe
XML Paper Specification Shared Components Pack 1.0 -->
XP Codec Pack --> C:\Program Files\XP Codec Pack\Uninstall.exe
-- Application Event Log -------------------------------------------------------
Event Record #/Type3949 / Error
Event Submitted/Written: 06/24/2008 04:24:41 PM
Event ID/Source: 11721 / MsiInstaller
Event Description:
Produit: BitDefender Antivirus Plus v10 -- Erreur 1721. Il y a un problème avec ce paquet Windows Installer. Un programme nécessaire à l'installation n'a pas pu être exécuté. Contactez le support ou le revendeur. Action: bdss_stop.A3A0E6C7_153B_4FA6_86D1_CAAF9947919D, emplacement: C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe, commande: stop
Event Record #/Type3926 / Error
Event Submitted/Written: 06/24/2008 00:18:31 AM
Event ID/Source: 0 / pctsSvc.exe
Event Description:
Le processus de service n'a pas pu se connecter au contrôleur de service
Event Record #/Type3894 / Error
Event Submitted/Written: 06/23/2008 09:36:59 PM
Event ID/Source: 11920 / MsiInstaller
Event Description:
Produit: BitDefender Antivirus Plus v10 -- Erreur 1920. Le service 'BitDefender Scan Server' (BDSS) n'a pas démarré. Vérifiez si vous avez assez d'autorité pour démarrer les services système.
Event Record #/Type3871 / Error
Event Submitted/Written: 06/23/2008 09:35:57 PM
Event ID/Source: 11721 / MsiInstaller
Event Description:
Produit: BitDefender Antivirus Plus v10 -- Erreur 1721. Il y a un problème avec ce paquet Windows Installer. Un programme nécessaire à l'installation n'a pas pu être exécuté. Contactez le support ou le revendeur. Action: bdss_stop.A3A0E6C7_153B_4FA6_86D1_CAAF9947919D, emplacement: C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe, commande: stop
Event Record #/Type3870 / Warning
Event Submitted/Written: 06/23/2008 09:34:59 PM
Event ID/Source: 1015 / MsiInstaller
Event Description:
La connexion au serveur est impossible. Erreur : 0x800401F0
-- Security Event Log ----------------------------------------------------------
No Errors/Warnings found.
-- System Event Log ------------------------------------------------------------
Event Record #/Type10595 / Error
Event Submitted/Written: 06/24/2008 05:18:55 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger :
bdpredir
Event Record #/Type10594 / Error
Event Submitted/Written: 06/24/2008 05:18:55 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Le service BDRSDRV n'a pas pu démarrer en raison de l'erreur :
%%2
Event Record #/Type10593 / Error
Event Submitted/Written: 06/24/2008 05:18:55 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Le service Configuration automatique sans fil dépend du service NDIS mode utilisateur E/S Protocole qui n'a pas pu démarrer en raison de l'erreur :
%%1058
Event Record #/Type10587 / Error
Event Submitted/Written: 06/24/2008 05:16:10 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1084" lors de la mise en route du service EventSystem avec les arguments ""
pour démarrer le serveur :
{1BE1F766-5536-11D1-B726-00C04FB926AF}
Event Record #/Type10586 / Error
Event Submitted/Written: 06/24/2008 05:15:36 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1084" lors de la mise en route du service StiSvc avec les arguments ""
pour démarrer le serveur :
{A1F4E726-8CF1-11D1-BF92-0060081ED811}
-- End of Deckard's System Scanner: finished at 2008-06-24 17:31:29 ------------
et voilà
merci beaucoup
|
|
|
|
|
Supprimer tous fichiers executables provenant de source douteux et désinstalle tous logiciels qui ont utilisés ces executables.
L'infection n'est réinstallé ou n'a pas été supprimé par l'outil d'après le rapport.
Nous allons utiliser un outil puissant.
Attention à être bien attentif.
Télécharge Combofix (by sUbs)
/!\ Télécharge le en suivant ce tuto /!\
http://bibou0007.com/outils-specifiques-f78/tutorial-pour-renommer-combofix-t(...)
NOTE : Sauvegarde-le sur le bureau - pas ailleurs / Désactive tes protections résidentes durant son utilisation / Déconnecte toi de Internet. SURTOUT NE PAS TOUCHER AU PC PENDANT L'ANALYSE.
# Double Clic sur Combofix. QUI a été impérativement renommé
# Quand une question te sera posée, réponds par la touche 1 et valide par Entrée.
# Laisse toi guider et ne touche à rien, sinon le PC risque de freezer.
# Lorsque l'analyse est terminée, un rapport sera créé.
# Redémarre en mode normal et poste-le (C:\Combofix.txt).
Aide: Un guide et un tutoriel sur l'utilisation de ComboFix
-->Message édité par Laddy le 25/06/2008 07:43:45<--
|
|
|
|
|
Bonjour Lydda,
ci joint le rapport
je n'ai pas fait de console de recup cart le tuto disait que ce n'etait qu'une option et toi meme n'a rien precisé donc je me suis dit ....
Par contre, tu as demandé de taper sur la touche "1" mais on ne m'a jamais rien demandé donc je n'ai jamais eu a choisir qqchose a part le debut avec le disclaimer
ComboFix 08-06-20.4 - Emmanuelle 2008-06-25 9:18:36.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2629 [GMT 2:00]
Endroit: C:\Documents and Settings\Emmanuelle\Bureau\lydda2.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\tmp55.tmp
C:\WINDOWS\winhelp.ini
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SROSA
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-25 to 2008-06-25 ))))))))))))))))))))))))))))))))))))
.
2008-06-25 09:22 . 2008-06-25 09:22 <REP> d-------- C:\WINDOWS\system32\drivers\downld
2008-06-24 21:30 . 2008-06-24 21:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg8
2008-06-24 17:28 . 2008-06-24 17:28 <REP> d-------- C:\Deckard
2008-06-24 16:48 . 2008-06-24 16:48 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-24 16:48 . 2008-06-24 16:48 <REP> d-------- C:\Documents and Settings\Emmanuelle\Application Data\Malwarebyt | | |
