suite Haribot!IK,Hupigon!IK,DelfInject!IK impression

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

suite Haribot!IK,Hupigon!IK,DelfInject!IK impression

Messagede barsala » 03 Sep 2009, 09:27

Bonjour,

Merci de vous intéresser à ce sujet.
Voici les rapports demandés:
Les symptômes constatés et supposés provenant d'infection, symptômes vraiment pas courants...:
- impossibilité d'imprimer un fichier attaché reçu dans un email le 10 août
- idem pour les copies de ce fichier dans Star Office 8 (et OpenOffice 3.1) que ces copies soient intégrales, partielles ou retravaillées (avec d'importants ajouts de texte);
- idem pour les copies d'autres fichiers crées depuis cette date alors que les fichiers plus anciens peuvent être imprimés.
- idem pour les tentatives d'impression avec 2 autres imprimantes dont une d'un autre ordinateur

- peut être sans rapport avec ce qui précède = quelques jours après le 10/08 le programme Dragon Speaking Naturally 10 (que j'utilise depuis plusieurs années sans incident version 9 et 10) refuse de s'ouvrir : il ne trouve plus les composants nécessaires (éléments audio et drivers). Je le désinstalle et réinstalle. Il fonctionne mais le lendemain même scénario. Depuis la deuxième désinstallation i fonctionne sans problème.

Les scans rapides hebdomadaires de A-Squared Anti malware hébdomadaire ne signalent rien (depuis je les ai programmés journaliers).
Un scan détaillés (que je fait manuellement tous les 2 ou 3 semaines) détecte 7 fichiers dot
- BackDoor.win32.Haribot!IK
- virus.win32.Hupigon!IK
- Riskware.win32.DelfInject!IK


Un hiJackThis indique: Extrait de scan HiJack 300809 fichiers douteux:
O2 - BHO: (no name) - {7C7A8947-5935-4430-AC0E-E7D04697414E} - (no file)
O2 - BHO: (no name) - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - (no file)
C:\WINDOWS\system32\NOTEPAD.EXE

Depuis une mise à jour de A_Squared a signalé que 2 fichiers ont été signalé par erreur -faux positifs) dont le NOTEPAD.exe

Une petite différence constatée lorsque j'ai copié/colle le fichier du 10/08 et un autre créé depuis sur mon autre ordinateur : je pouvais créer de nouveaux fichiers textes avec star Office ou OpenOffice et les imprimer. Ce qui m'est impossible sur le premier ordinateur.
************************************
Fichier mbam-log:
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2551
Windows 5.1.2600 Service Pack 2

03/09/2009 09:31:56
mbam-log-2009-09-03 (09-31-47).txt

Type de recherche: Examen rapide
Eléments examinés: 83781
Temps écoulé: 2 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.
--------------------------------------------------------------
Autre fichiers suite dans un autre message
barsala
 
Messages: 11
Inscription: 31 Aoû 2009, 11:34

suite des logs

Messagede barsala » 03 Sep 2009, 09:29

Bonjour,
OTL logfile created on: 03/09/2009 09:37:31 - Run 1
OTL by OldTimer - Version 3.0.10.7 Folder = C:\Documents and Settings\utilisateur\Bureau
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

1,87 Gb Total Physical Memory | 1,20 Gb Available Physical Memory | 64,01% Memory free
3,72 Gb Paging File | 3,13 Gb Available in Paging File | 84,18% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 74,52 Gb Total Space | 57,28 Gb Free Space | 76,86% Space Free | Partition Type: NTFS
Drive D: | 232,88 Gb Total Space | 215,50 Gb Free Space | 92,54% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ORDINATEURB
Current User Name: utilisateur
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard

========== Processes (SafeList) ==========

PRC - [2009/08/26 05:02:31 | 00,715,392 | ---- | M] (COMODO) -- C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
PRC - [2009/08/29 13:56:35 | 00,980,512 | ---- | M] (Emsi Software GmbH) -- C:\Program Files\a-squared Anti-Malware\a2service.exe
PRC - [2007/10/07 17:08:40 | 00,427,288 | ---- | M] (Acronis) -- C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
PRC - [2009/06/01 10:25:38 | 00,600,944 | ---- | M] () -- C:\Program Files\iolo\common\lib\ioloServiceManager.exe
PRC - [2009/07/08 15:47:32 | 00,152,984 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Java\jre6\bin\jqs.exe
PRC - [2007/09/17 01:07:00 | 00,155,716 | ---- | M] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvsvc32.exe
PRC - [2007/10/08 11:19:10 | 00,493,200 | ---- | M] () -- C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
PRC - [2005/01/28 13:44:28 | 00,038,912 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\wdfmgr.exe
PRC - [2006/03/02 14:00:00 | 00,013,824 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\wscntfy.exe
PRC - [2006/03/02 14:00:00 | 01,036,288 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Explorer.EXE
PRC - [2009/06/12 11:10:46 | 17,887,232 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\RTHDCPL.EXE
PRC - [2004/05/12 15:18:56 | 00,241,664 | ---- | M] (Hewlett-Packard Company) -- C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
PRC - [2009/04/10 09:52:40 | 01,277,952 | ---- | M] (Nuance Communications, Inc.) -- C:\Program Files\Nuance\PDF Create 5\pdfcreate5hook.exe
PRC - [2005/02/16 16:15:20 | 00,081,920 | ---- | M] (InstallShield Software Corporation) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
PRC - [2007/10/07 17:01:08 | 02,620,336 | ---- | M] (Acronis) -- C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
PRC - [2007/10/07 17:36:58 | 00,904,880 | ---- | M] (Acronis) -- C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
PRC - [2007/10/07 17:08:54 | 00,140,568 | ---- | M] (Acronis) -- C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
PRC - [2004/08/19 16:22:10 | 01,667,584 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Messenger\msmsgs.exe
PRC - [2008/09/10 15:32:08 | 00,210,208 | ---- | M] (Acresso Corporation) -- C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\11\ISUSPM.exe
PRC - [2006/02/19 04:21:22 | 00,288,472 | ---- | M] (Hewlett-Packard Development Company, L.P.) -- C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
PRC - [2009/04/23 06:48:54 | 07,424,000 | ---- | M] (OpenOffice.org) -- C:\Program Files\OpenOffice.org 3\program\soffice.exe
PRC - [2004/05/27 14:24:28 | 00,280,576 | ---- | M] (L'Aventure Multimedia) -- C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\MediaDICO36.EXE
PRC - [2009/04/23 06:48:56 | 07,418,368 | ---- | M] (OpenOffice.org) -- C:\Program Files\OpenOffice.org 3\program\soffice.bin
PRC - [2004/06/02 15:10:06 | 00,217,171 | ---- | M] (L'Aventure Multimedia) -- C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\Rac36.EXE
PRC - [2006/02/19 05:29:46 | 00,139,264 | ---- | M] (Hewlett-Packard Development Company, L.P.) -- C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
PRC - [2006/02/19 05:24:52 | 00,239,320 | ---- | M] (Hewlett-Packard Development Company, L.P.) -- C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
PRC - [2009/07/31 01:41:08 | 00,908,280 | ---- | M] (Mozilla Corporation) -- C:\Program Files\Mozilla Firefox\firefox.exe
PRC - [2009/08/26 05:02:38 | 01,796,368 | ---- | M] (COMODO) -- C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
PRC - [2009/08/29 13:56:30 | 03,209,360 | ---- | M] (Emsi Software GmbH) -- C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe
PRC - [2009/09/03 09:08:07 | 00,514,048 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\utilisateur\Bureau\OTL.exe
PRC - [2006/03/03 21:03:22 | 00,065,536 | ---- | M] (HP) -- C:\WINDOWS\System32\HPZinw12.exe

========== Win32 Services (SafeList) ==========

SRV - [2009/08/29 13:56:35 | 00,980,512 | ---- | M] (Emsi Software GmbH) -- C:\Program Files\a-squared Anti-Malware\a2service.exe -- (a2AntiMalware [Auto | Running])
SRV - [2007/10/07 17:08:40 | 00,427,288 | ---- | M] (Acronis) -- C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc [Auto | Running])
SRV - [2003/02/20 19:19:38 | 00,032,768 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe -- (aspnet_state [On_Demand | Stopped])
SRV - [2009/08/26 05:02:31 | 00,715,392 | ---- | M] (COMODO) -- C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent [Auto | Running])
SRV - [2006/03/02 14:00:00 | 00,038,912 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll -- (helpsvc [Auto | Running])
SRV - [2005/05/20 10:37:12 | 00,081,920 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\System32\spool\drivers\w32x86\3\HPBPRO.EXE -- (HP Port Resolver [On_Demand | Stopped])
SRV - [2004/10/16 05:31:06 | 00,073,728 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\System32\spool\drivers\w32x86\3\HPBOID.EXE -- (HP Status Server [On_Demand | Stopped])
SRV - [2009/06/01 10:25:38 | 00,600,944 | ---- | M] () -- C:\Program Files\iolo\common\lib\ioloServiceManager.exe -- (ioloFileInfoList [Auto | Running])
SRV - [2009/06/01 10:25:38 | 00,600,944 | ---- | M] () -- C:\Program Files\iolo\common\lib\ioloServiceManager.exe -- (ioloSystemService [Auto | Running])
SRV - [2009/07/08 15:47:32 | 00,152,984 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Java\jre6\bin\jqs.exe -- (JavaQuickStarterService [Auto | Running])
SRV - [2007/09/17 01:07:00 | 00,155,716 | ---- | M] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvsvc32.exe -- (NVSvc [Auto | Running])
SRV - [2006/03/03 21:03:10 | 00,069,632 | ---- | M] (HP) -- C:\WINDOWS\System32\HPZipm12.exe -- (Pml Driver HPZ12 [On_Demand | Stopped])
SRV - [2007/10/08 11:19:10 | 00,493,200 | ---- | M] () -- C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe -- (TryAndDecideService [Auto | Running])
SRV - [2005/01/28 13:44:28 | 00,038,912 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\wdfmgr.exe -- (UMWdf [Auto | Running])

========== Driver Services (SafeList) ==========

DRV - [2008/08/05 20:10:12 | 01,684,736 | ---- | M] (Creative) -- C:\WINDOWS\System32\drivers\Ambfilt.sys -- (Ambfilt [On_Demand | Stopped])
DRV - [2006/06/18 23:40:44 | 00,043,520 | ---- | M] (Advanced Micro Devices) -- C:\WINDOWS\System32\DRIVERS\AmdK8.sys -- (AmdK8 [System | Running])
DRV - [2009/08/26 05:02:43 | 00,132,168 | ---- | M] (COMODO) -- C:\WINDOWS\System32\DRIVERS\cmdguard.sys -- (cmdGuard [System | Running])
DRV - [2009/08/26 05:02:43 | 00,025,160 | ---- | M] (COMODO) -- C:\WINDOWS\System32\DRIVERS\cmdhlp.sys -- (cmdHlp [System | Running])
DRV - [2004/10/27 15:21:36 | 00,138,240 | ---- | M] (Windows (R) Server 2003 DDK provider) -- C:\WINDOWS\System32\DRIVERS\HDAudBus.sys -- (HDAudBus [On_Demand | Running])
DRV - [2009/08/26 05:02:44 | 00,087,104 | ---- | M] (COMODO) -- C:\WINDOWS\System32\DRIVERS\inspect.sys -- (Inspect [Boot | Running])
DRV - [2009/06/16 18:15:52 | 05,095,936 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\System32\drivers\RtkHDAud.sys -- (IntcAzAudAddService [On_Demand | Running])
DRV - [2006/01/04 15:41:48 | 01,389,056 | ---- | M] (Creative Technology Ltd.) -- C:\WINDOWS\System32\drivers\Monfilt.sys -- (Monfilt [On_Demand | Stopped])
DRV - [2004/08/13 12:56:20 | 00,005,810 | R--- | M] () -- C:\WINDOWS\System32\DRIVERS\ASACPI.sys -- (MTsensor [On_Demand | Running])
DRV - [2007/09/17 01:07:00 | 06,853,088 | ---- | M] (NVIDIA Corporation) -- C:\WINDOWS\System32\DRIVERS\nv4_mini.sys -- (nv [On_Demand | Running])
DRV - [2006/07/11 15:38:28 | 00,057,856 | R--- | M] (NVIDIA Corporation) -- C:\WINDOWS\System32\DRIVERS\NVENETFD.sys -- (NVENETFD [On_Demand | Running])
DRV - [2006/07/11 15:38:30 | 00,020,480 | R--- | M] (NVIDIA Corporation) -- C:\WINDOWS\System32\DRIVERS\nvnetbus.sys -- (nvnetbus [On_Demand | Running])
DRV - [2006/03/02 14:00:00 | 00,017,792 | ---- | M] (Parallel Technologies, Inc.) -- C:\WINDOWS\System32\DRIVERS\ptilink.sys -- (Ptilink [On_Demand | Running])
DRV - [2005/08/19 03:00:00 | 00,046,080 | ---- | M] (Sonic Solutions) -- C:\WINDOWS\System32\Drivers\PxHelp20.sys -- (PxHelp20 [Boot | Running])
DRV - [2006/03/02 14:00:00 | 00,027,440 | ---- | M] () -- C:\WINDOWS\System32\DRIVERS\secdrv.sys -- (Secdrv [On_Demand | Stopped])
DRV - [2009/07/29 17:34:45 | 00,129,248 | ---- | M] (Acronis) -- C:\WINDOWS\system32\DRIVERS\snapman.sys -- (snapman [Boot | Running])
DRV - [2001/08/23 17:20:50 | 00,006,912 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\DRIVERS\serscan.sys -- (StillCam [On_Demand | Running])
DRV - [2009/07/29 17:34:37 | 00,368,736 | ---- | M] (Acronis) -- C:\WINDOWS\system32\DRIVERS\tdrpman.sys -- (tdrpman [Boot | Running])
DRV - [2009/07/29 17:34:52 | 00,044,384 | ---- | M] (Acronis) -- C:\WINDOWS\System32\DRIVERS\tifsfilt.sys -- (tifsfilter [Auto | Running])
DRV - [2009/07/29 17:34:52 | 00,441,760 | ---- | M] (Acronis) -- C:\WINDOWS\system32\DRIVERS\timntr.sys -- (timounter [Boot | Running])

========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm






IE - HKU\S-1-5-21-1085031214-606747145-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Page_Transitions = 1
IE - HKU\S-1-5-21-1085031214-606747145-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
IE - HKU\S-1-5-21-1085031214-606747145-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-1085031214-606747145-725345543-1004\S-1-5-21-1085031214-606747145-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.selectedEngine: "Exalead"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "about:blank"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}:6.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: foxmarks@kei.com:3.3.2
FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.2

FF - HKLM\software\mozilla\Firefox\extensions\\jqs@sun.com: C:\Program Files\Java\jre6\lib\deploy\jqs\ff [2009/07/08 15:47:33 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.2\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2009/08/07 09:47:12 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.2\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2009/08/07 09:47:10 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2009/08/28 17:57:31 | 00,000,000 | ---D | M]

[2009/07/06 17:00:21 | 00,000,000 | ---D | M] -- C:\Documents and Settings\utilisateur\Application Data\mozilla\Extensions
[2009/07/06 17:00:21 | 00,000,000 | ---D | M] -- C:\Documents and Settings\utilisateur\Application Data\mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
[2009/09/02 12:57:37 | 00,000,000 | ---D | M] -- C:\Documents and Settings\utilisateur\Application Data\mozilla\Firefox\Profiles\w7fnxgg0.default\extensions
[2009/07/07 10:33:29 | 00,000,000 | ---D | M] -- C:\Documents and Settings\utilisateur\Application Data\mozilla\Firefox\Profiles\w7fnxgg0.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
[2009/07/06 23:01:57 | 00,000,000 | ---D | M] -- C:\Documents and Settings\utilisateur\Application Data\mozilla\Firefox\Profiles\w7fnxgg0.default\extensions\fftoolbar@exalead.com
[2009/08/28 17:57:05 | 00,000,000 | ---D | M] -- C:\Documents and Settings\utilisateur\Application Data\mozilla\Firefox\Profiles\w7fnxgg0.default\extensions\foxmarks@kei.com
[2009/07/08 10:03:03 | 00,000,513 | ---- | M] () -- C:\Documents and Settings\utilisateur\Application Data\Mozilla\FireFox\Profiles\w7fnxgg0.default\searchplugins\exalead.xml
[2009/07/06 23:02:15 | 00,001,620 | ---- | M] () -- C:\Documents and Settings\utilisateur\Application Data\Mozilla\FireFox\Profiles\w7fnxgg0.default\searchplugins\mozilla-add-ons.xml
[2009/09/02 12:57:37 | 00,000,000 | ---D | M] -- C:\Program Files\mozilla firefox\extensions
[2009/08/07 09:47:11 | 00,000,000 | ---D | M] -- C:\Program Files\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
[2009/07/08 10:44:15 | 00,000,000 | ---D | M] -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}
[2009/07/08 15:47:39 | 00,000,000 | ---D | M] -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
[2009/07/31 01:41:10 | 00,023,544 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browserdirprovider.dll
[2009/07/31 01:41:10 | 00,137,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\brwsrcmp.dll
[2009/07/08 15:47:32 | 00,410,984 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeploytk.dll
[2009/07/31 01:41:11 | 00,065,016 | ---- | M] (mozilla.org) -- C:\Program Files\mozilla firefox\plugins\npnul32.dll
[2009/02/27 12:13:42 | 00,103,792 | ---- | M] (Adobe Systems Inc.) -- C:\Program Files\mozilla firefox\plugins\nppdf32.dll
[2009/07/31 00:44:21 | 00,001,516 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazon-france.xml
[2009/07/31 00:44:21 | 00,001,822 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\cnrtl-tlfi-fr.xml
[2009/07/31 00:44:21 | 00,000,757 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-france.xml
[2009/07/31 01:41:07 | 00,002,371 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\google.xml
[2009/07/31 00:44:21 | 00,001,426 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-fr.xml
[2009/07/31 00:44:21 | 00,000,652 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-france.xml

O1 HOSTS File: (819 bytes) - C:\WINDOWS\System32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 192.168.1.21 HP000D9D14E5F8
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (no name) - {7C7A8947-5935-4430-AC0E-E7D04697414E} - No CLSID value found.
O2 - BHO: (no name) - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - No CLSID value found.
O2 - BHO: (ZeonIEEventHelper Class) - {DA986D7D-CCAF-47B2-84FE-BFA1549BEBF9} - C:\Program Files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll (Zeon Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (Nuance PDF) - {E3286BF1-E654-42FF-B4A6-5E111731DF6B} - C:\Program Files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll (Zeon Corporation)
O3 - HKU\S-1-5-21-1085031214-606747145-725345543-1004\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis)
O4 - HKLM..\Run: [a-squared] C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe (Emsi Software GmbH)
O4 - HKLM..\Run: [COMODO Internet Security] C:\Program Files\COMODO\COMODO Internet Security\cfp.exe (COMODO)
O4 - HKLM..\Run: [HP Component Manager] C:\Program Files\HP\hpcoretech\hpcmpmgr.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [ISUSPM Startup] C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [ISUSScheduler] C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [PDF5 Registry Controller] C:\Program Files\Nuance\PDF Create 5\RegistryController.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [PDFHook] C:\Program Files\Nuance\PDF Create 5\pdfcreate5hook.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [RTHDCPL] C:\WINDOWS\RTHDCPL.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKU\S-1-5-21-1085031214-606747145-725345543-1004..\Run: [ISUSPM] C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\11\ISUSPM.exe (Acresso Corporation)
O4 - HKU\S-1-5-21-1085031214-606747145-725345543-1004..\Run: [MediaDICO36] C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\LanceMediaDICO36.exe (L'Aventure Multimedia)
O4 - HKU\S-1-5-21-1085031214-606747145-725345543-1004..\Run: [MSMSGS] C:\Program Files\Messenger\msmsgs.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-1085031214-606747145-725345543-1004..\Run: [OpAgent] File not found
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Development Company, L.P.)
O4 - Startup: C:\Documents and Settings\utilisateur\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption =
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext =
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1085031214-606747145-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Ajouter au fichier PDF existant - C:\Program Files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Ajouter le contenu des liens sélectionnés à un fichier PDF existant - C:\Program Files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Ajouter le contenu du lien à un fichier PDF existant - C:\Program Files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Créer des fichiers PDF à partir des liens sélectionnés - C:\Program Files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Créer fichier PDF - C:\Program Files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: Créer un fichier PDF depuis le contenu du lien - C:\Program Files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll (Zeon Corporation)
O8 - Extra context menu item: eBay Search - Reg Error: Value error. File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (Microsoft Corporation)
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_13)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.27.40.240 212.27.40.241
O18 - Protocol\Handler\cetihpz {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll (Hewlett-Packard Company)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp - No CLSID value found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\WINDOWS\system32\guard32.dll) - C:\WINDOWS\System32\guard32.dll (COMODO)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\Explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Ma page d'accueil) - About:Home
O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis)
O31 - SafeBoot: AlternateShell - cmd.exe
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/07/06 15:43:27 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck) - File not found
O34 - HKLM BootExecute: (autochk) - C:\WINDOWS\System32\autochk.exe (Microsoft Corporation)
O34 - HKLM BootExecute: (*) - File not found

========== Files/Folders - Created Within 30 Days ==========

[2009/09/03 09:23:58 | 00,000,000 | ---D | C] -- C:\Documents and Settings\utilisateur\Application Data\Malwarebytes
[2009/09/03 09:23:57 | 00,000,735 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk
[2009/09/03 09:23:54 | 00,038,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2009/09/03 09:23:53 | 00,019,096 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2009/09/03 09:23:53 | 00,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2009/09/03 09:23:53 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Malwarebytes
[2009/09/03 09:23:15 | 03,942,048 | ---- | C] (Malwarebytes Corporation ) -- C:\Documents and Settings\utilisateur\Bureau\mbam-setup(2).exe
[2009/09/03 09:15:09 | 00,781,909 | ---- | C] () -- C:\Documents and Settings\utilisateur\Bureau\RSIT.exe
[2009/09/03 09:14:52 | 00,514,048 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\utilisateur\Bureau\OTL.exe
[2009/08/30 16:05:55 | 00,000,000 | ---D | C] -- C:\Program Files\trend micro
[2009/08/30 16:05:52 | 00,000,000 | ---D | C] -- C:\rsit
[2009/08/29 11:51:02 | 00,000,903 | ---- | C] () -- C:\Documents and Settings\utilisateur\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.1.lnk
[2009/08/29 11:50:18 | 00,000,000 | ---D | C] -- C:\Documents and Settings\utilisateur\Application Data\OpenOffice.org
[2009/08/29 11:49:14 | 00,000,897 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\OpenOffice.org 3.1.lnk
[2009/08/29 11:48:14 | 00,000,000 | ---D | C] -- C:\Program Files\JRE
[2009/08/29 11:48:09 | 00,000,000 | ---D | C] -- C:\Program Files\OpenOffice.org 3
[2009/08/29 11:47:29 | 00,000,000 | ---D | C] -- C:\Documents and Settings\utilisateur\Bureau\OpenOffice.org 3.1 (fr) Installation Files
[2009/08/27 11:47:04 | 00,000,000 | ---D | C] -- C:\Documents and Settings\utilisateur\Application Data\vlc
[2009/08/27 11:32:43 | 00,000,000 | ---D | C] -- C:\Program Files\VideoLAN
[2009/08/14 10:49:56 | 00,021,447 | ---- | C] () -- C:\Documents and Settings\utilisateur\Mes documents\lapins -entérocolite-140809.odt
[2009/08/07 09:47:13 | 00,001,641 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Mozilla Firefox.lnk
[2009/08/06 17:00:55 | 00,001,590 | ---- | C] () -- C:\Documents and Settings\utilisateur\Bureau\Lamy CD-Rom.lnk
[2009/08/06 17:00:55 | 00,000,040 | ---- | C] () -- C:\WINDOWS\System32\lamylevcd.ini
[2009/08/06 17:00:44 | 00,000,000 | -H-D | C] -- C:\Program Files\Zero G Registry
[2009/08/06 17:00:44 | 00,000,000 | ---D | C] -- C:\Program Files\LamyCD
[2009/08/06 17:00:18 | 00,000,000 | ---- | C] () -- C:\WINDOWS\System32\hardware.inf
[2009/08/06 08:47:44 | 00,000,000 | ---D | C] -- C:\Documents and Settings\utilisateur\Application Data\Macrovision
[2009/08/04 10:51:41 | 00,001,647 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Dictionnaire le Littré.lnk
[2009/08/04 10:51:35 | 00,000,000 | ---D | C] -- C:\Program Files\Dictionnaire le Littré 2.0
[2009/07/23 15:05:49 | 00,000,130 | ---- | C] () -- C:\WINDOWS\cfplogvw.INI
[2009/07/18 15:29:56 | 00,000,018 | ---- | C] () -- C:\WINDOWS\Winzip32.ini
[2009/07/16 17:53:19 | 00,940,896 | ---- | C] () -- C:\WINDOWS\System32\Incinerator.dll
[2009/07/16 17:48:36 | 00,074,703 | ---- | C] () -- C:\WINDOWS\System32\mfc45.dll
[2009/07/08 17:02:31 | 00,000,391 | ---- | C] () -- C:\WINDOWS\MAXLINK.INI
[2009/07/08 16:04:59 | 00,001,994 | ---- | C] () -- C:\WINDOWS\MediaR36.ini
[2009/07/08 16:04:10 | 00,000,040 | ---- | C] () -- C:\WINDOWS\NAVIGMA.INI
[2009/07/08 15:30:26 | 00,077,824 | R--- | C] () -- C:\WINDOWS\System32\HPZIDS01.dll
[2009/07/08 13:54:11 | 00,000,161 | ---- | C] () -- C:\WINDOWS\System32\AddPort.ini
[2009/07/08 13:53:03 | 00,000,765 | ---- | C] () -- C:\WINDOWS\hpntwksetup.ini
[2009/07/06 16:26:30 | 00,017,368 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini
[2009/07/06 16:26:20 | 00,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2009/07/06 15:49:52 | 00,017,330 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009/07/06 15:49:51 | 00,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2007/09/17 01:07:00 | 01,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007/09/17 01:07:00 | 01,478,656 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007/09/17 01:07:00 | 01,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007/09/17 01:07:00 | 00,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007/09/17 01:07:00 | 00,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006/03/02 14:00:00 | 00,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2006/03/02 14:00:00 | 00,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2006/03/02 14:00:00 | 00,000,512 | ---- | C] () -- C:\WINDOWS\win.ini
[2006/03/02 14:00:00 | 00,000,231 | ---- | C] () -- C:\WINDOWS\system.ini
[2001/07/07 03:00:00 | 00,003,279 | ---- | C] () -- C:\WINDOWS\System32\HPTCPMON.INI

========== Files - Modified Within 30 Days ==========

[1 C:\WINDOWS\System32\*.tmp files]
[5 C:\WINDOWS\*.tmp files]
[2009/09/03 09:35:56 | 00,000,314 | ---- | M] () -- C:\Documents and Settings\utilisateur\Bureau\Bureau.lnk
[2009/09/03 09:23:57 | 00,000,735 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk
[2009/09/03 09:22:43 | 03,942,048 | ---- | M] (Malwarebytes Corporation ) -- C:\Documents and Settings\utilisateur\Bureau\mbam-setup(2).exe
[2009/09/03 09:08:07 | 00,514,048 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\utilisateur\Bureau\OTL.exe
[2009/09/03 08:14:31 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2009/09/03 08:14:28 | 00,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2009/09/03 08:14:26 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2009/09/02 18:13:31 | 00,002,539 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Dragon NaturallySpeaking 10.0.lnk
[2009/09/02 15:13:46 | 00,001,435 | ---- | M] () -- C:\Documents and Settings\utilisateur\Application Data\SAS7_000.DAT
[2009/09/01 11:24:15 | 00,070,656 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\notepad.exe
[2009/09/01 11:24:15 | 00,070,656 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\NOTEPAD.EXE
[2009/08/30 16:03:43 | 00,781,909 | ---- | M] () -- C:\Documents and Settings\utilisateur\Bureau\RSIT.exe
[2009/08/29 13:41:21 | 00,154,768 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009/08/29 13:22:44 | 00,030,064 | ---- | M] () -- C:\Documents and Settings\utilisateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
[2009/08/29 11:51:02 | 00,000,903 | ---- | M] () -- C:\Documents and Settings\utilisateur\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.1.lnk
[2009/08/29 11:49:14 | 00,000,897 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\OpenOffice.org 3.1.lnk
[2009/08/26 22:43:41 | 00,179,792 | ---- | M] (COMODO) -- C:\WINDOWS\System32\guard32(3).dll
[2009/08/26 05:02:45 | 00,179,792 | ---- | M] (COMODO) -- C:\WINDOWS\System32\guard32.dll
[2009/08/26 05:02:44 | 00,087,104 | ---- | M] (COMODO) -- C:\WINDOWS\System32\drivers\inspect.sys
[2009/08/26 05:02:43 | 00,132,168 | ---- | M] (COMODO) -- C:\WINDOWS\System32\drivers\cmdguard.sys
[2009/08/26 05:02:43 | 00,025,160 | ---- | M] (COMODO) -- C:\WINDOWS\System32\drivers\cmdhlp.sys
[2009/08/14 10:49:56 | 00,021,447 | ---- | M] () -- C:\Documents and Settings\utilisateur\Mes documents\lapins -entérocolite-140809.odt
[2009/08/07 09:47:13 | 00,001,641 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Mozilla Firefox.lnk
[2009/08/06 17:00:56 | 00,000,040 | ---- | M] () -- C:\WINDOWS\System32\lamylevcd.ini
[2009/08/06 17:00:55 | 00,001,590 | ---- | M] () -- C:\Documents and Settings\utilisateur\Bureau\Lamy CD-Rom.lnk
[2009/08/06 17:00:18 | 00,000,000 | ---- | M] () -- C:\WINDOWS\System32\hardware.inf
[2009/08/04 10:51:41 | 00,001,647 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Dictionnaire le Littré.lnk

========== Alternate Data Streams ==========

@Alternate Data Stream - 241 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:9B013599
@Alternate Data Stream - 212 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:F35A93AD
@Alternate Data Stream - 126 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:FED912DB
<End>
barsala
 
Messages: 11
Inscription: 31 Aoû 2009, 11:34

suite bis

Messagede barsala » 03 Sep 2009, 09:30

Suite OTL extra
OTL Extras logfile created on: 03/09/2009 09:37:31 - Run 1
OTL by OldTimer - Version 3.0.10.7 Folder = C:\Documents and Settings\utilisateur\Bureau
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

1,87 Gb Total Physical Memory | 1,20 Gb Available Physical Memory | 64,01% Memory free
3,72 Gb Paging File | 3,13 Gb Available in Paging File | 84,18% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 74,52 Gb Total Space | 57,28 Gb Free Space | 76,86% Space Free | Partition Type: NTFS
Drive D: | 232,88 Gb Total Space | 215,50 Gb Free Space | 92,54% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ORDINATEURB
Current User Name: utilisateur
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"J:\setup\HPZNET01.EXE" = J:\setup\HPZNET01.EXE:*:Enabled:hpznet01.exe -- File not found
"J:\setup\HPONICIFS01.EXE" = J:\setup\HPONICIFS01.EXE:*:Enabled:hponicifs01.exe -- File not found
"C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe" = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe" = C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe" = C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- File not found
"C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe" = C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- File not found
"C:\Program Files\HP\Digital Imaging\bin\hposid01.exe" = C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe" = C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe -- ()
"C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe" = C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe -- (Hewlett-Packard)
"C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe" = C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe" = C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard)
"C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- File not found
"C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe" = C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe -- (Hewlett-Packard)
"C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe" = C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe -- ( )
"C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe" = C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe" = C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Program Files\LamyCD\jre\bin\javaw.exe" = C:\Program Files\LamyCD\jre\bin\javaw.exe:*:Enabled:javaw -- ()


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{068724F8-D8BE-4B43-8DDD-B9FE9E49FD76}" = Scansoft PDF Create
"{0A65A3BD-54B5-4d0d-B084-7688507813F5}" = SlideShow
"{0FA44E79-CD7D-4E8D-A2EE-26FE05F509B6}" = OpenOffice.org 3.1
"{11B0F8D4-FD80-4800-ABA8-50D28FF769AF}" = e-Carte Bleue La Banque Postale
"{15C0AF59-4877-49B6-B8C6-A61CE54515F5}" = cp_OnlineProjectsConfig
"{2405665A-16C9-4D3A-B70E-F006220E1472}" = Overland
"{2575CF76-C88A-4B97-AC0F-62FFA453FD08}_is1" = Dictionnaire le Littré 2.0
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 13
"{2F507E05-EAFD-4E36-9345-474FD0DBECF8}" = StarOffice 8
"{2F58D60D-2BFD-4467-9B4D-64E7355C329D}" = Sonic_PrimoSDK
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java(TM) SE Runtime Environment 6
"{33BF0960-DBA3-4187-B6CC-C969FCFA2D25}" = SkinsHP1
"{34A59AC3-6C5C-4A09-A7F5-369A37176C8A}" = AiOSoftware
"{34AFE453-F544-4269-89C9-CAB7F0744963}" = Nuance OmniPage 17
"{350C940c-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{363790D2-DA98-41DD-9C9F-69FA36B169DE}" = PanoStandAlone
"{3CF78481-FB7B-4B51-99A2-D5E0CD0B3AAF}" = HPSystemDiagnostics
"{41A79195-ADA2-4D5B-AFFB-0491D2E5E85D}" = SetupTurfMethodes
"{41E776A5-9B12-416D-9A12-B4F7B044EBED}" = CP_Package_Basic1
"{4A5A427F-BA39-4BF0-9A47-9999FBE60C9F}" = Visual C++ Runtime for Dragon NaturallySpeaking
"{53EE9E42-CECB-4C92-BF76-9CA65DAF8F1C}" = FullDPAppQFolder
"{55FD1D5A-7AEF-4DA3-8FAF-A71B2A52FFC7}_is1" = iolo technologies' System Mechanic
"{597D73A8-5FDB-4bc1-9893-40B54459F1BC}" = ProductContext
"{5C52CED3-D45C-4DA9-932F-B91BD44BB461}" = Adabas D 13.01.00
"{66910000-8B30-4973-A159-6371345AFFA5}" = WebReg
"{6696D9A4-28A8-4F5A-8E9A-2E8974C8C39C}" = RandMap
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{68763C27-235D-4165-A961-FDEA228CE504}" = AiOSoftwareNPI
"{6909F917-5499-482e-9AA1-FAD06A99F231}" = Toolbox
"{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7C03270C-4FAB-4F5C-B10D-52FEDA190790}" = DocumentViewerQFolder
"{7E7B7865-6C80-4373-8BC1-C2EB9431F9DE}" = ProductContextNPI
"{7F22ADCE-3549-49C2-BC16-07B692F57EFF}" = 2600_Help
"{8331C3EA-0C91-43AA-A4D4-27221C631139}" = Status
"{851DE017-C00B-4A50-B413-4C05740AF56E}" = Nuance PDF Create! 5
"{8777AC6D-89F9-4793-8266-DE406F343E89}" = QFolder
"{8CE4E6E9-9D55-43FB-9DDB-688C976BFC05}" = Unload
"{996512CF-F35B-48DE-9291-557FA5316967}" = ScannerCopy
"{9A394342-4A68-4EBA-85A6-55B559F4E700}" = Microsoft .NET Framework 1.1 French Language Pack
"{9F15F5AD-AA10-46d9-B34D-AF2945DC65A6}" = 2600Trb
"{A1062847-0846-427A-92A1-BB8251A91E91}" = HP PSC & OfficeJet 4.2
"{A29800BA-0BF1-4E63-9F31-DF05A87F4104}" = InstantShareDevices
"{A4EA3AB4-E78C-4286-96DF-26035507CE55}" = AiO_Scan
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AC76BA86-7AD7-1036-7B44-A91000000001}" = Adobe Reader 9.1 - Français
"{B023185F-F1EF-4F97-B0BD-AE6D802226D1}" = NVIDIA WDM Drivers
"{B2157760-AA3C-4E2E-BFE6-D20BC52495D9}" = cp_PosterPrintConfig
"{B3B4CD34-6C20-4b28-A231-FEC55B42C579}" = c6100_Help
"{B410328C-0E8C-4DD2-9DB4-DE7766D0DFE0}" = Micro Application - 36 Dictionnaires et Recueils de Correspondance
"{B6286A44-7505-471A-A72B-04EC2DB2F442}" = CueTour
"{B69CFE29-FD03-4E0A-87A7-6ED97F98E5B3}" = CP_Panorama1Config
"{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}" = HP Photosmart, Officejet and Deskjet 7.0.A
"{C7F54CF8-D6FB-4E0A-93A3-E68AE0D6C476}" = SolutionCenter
"{C8574AE5-370F-4246-A301-B85A2CC89A5E}" = C6100
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{DBC20735-34E6-4E97-A9E5-2066B66B243D}" = TrayApp
"{E5343B27-55DF-40BD-9FCF-A643C1331E8A}" = Acronis True Image Home
"{E7712E53-7A7F-46EB-AA13-70D5987D30F2}" = Dragon NaturallySpeaking 10
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F157460F-720E-482f-8625-AD7843891E5F}" = InstantShareDevicesMFC
"{F25BDABF-5489-43fb-AF7A-F67F0566A51A}" = 2700
"{F3760724-B29D-465B-BC53-E5D72095BCC4}" = Scan
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FB15E224-67C3-491F-9F5C-F257BC418412}" = Destinations
"3BEF1AFDE8303306594E2ADA27520E6E700820AE" = Package de pilotes Windows - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Ask Toolbar_is1" = Ask Toolbar
"a-squared Anti-Malware_is1" = a-squared Anti-Malware 4.5
"CCleaner" = CCleaner (remove only)
"COMODO Internet Security" = COMODO Internet Security
"Gimp Pack Mode_is1" = Gimp Pack Mode 2.6.2
"HijackThis" = HijackThis 2.0.2
"HP Imaging Device Functions" = HP Imaging Device Functions 7.0
"HP Photo & Imaging" = HP Photosmart Premier Software 6.5
"HP Solution Center & Imaging Support Tools" = HP Solution Center 7.0
"IrfanView" = IrfanView (remove only)
"Lamy CD-Rom" = Lamy CD-Rom
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox (3.5.2)" = Mozilla Firefox (3.5.2)
"Mozilla Thunderbird (2.0.0.23)" = Mozilla Thunderbird (2.0.0.23)
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NVIDIA Drivers" = NVIDIA Drivers
"PhotoFiltre Studio" = PhotoFiltre Studio
"Windows Media Format Runtime" = Windows Media Format Runtime

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-21-1085031214-606747145-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"InstallShield_{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 09/08/2009 12:03:16 | Computer Name = ORDINATEURB | Source = Application Error | ID = 1004
Description = Application défaillante svchost.exe, version 5.1.2600.2180, module
défaillant unknown, version 0.0.0.0, adresse de défaillance 0x00b296bc.

Error - 09/08/2009 12:03:24 | Computer Name = ORDINATEURB | Source = Application Error | ID = 1004
Description = Application défaillante svchost.exe, version 5.1.2600.2180, module
défaillant unknown, version 0.0.0.0, adresse de défaillance 0x00b296bc.

Error - 10/08/2009 02:42:48 | Computer Name = ORDINATEURB | Source = Application Error | ID = 1000
Description = Application défaillante svchost.exe, version 5.1.2600.2180, module
défaillant unknown, version 0.0.0.0, adresse de défaillance 0x00b296bc.

Error - 10/08/2009 23:32:25 | Computer Name = ORDINATEURB | Source = Application Error | ID = 1000
Description = Application défaillante svchost.exe, version 5.1.2600.2180, module
défaillant unknown, version 0.0.0.0, adresse de défaillance 0x00b296bc.

Error - 10/08/2009 23:34:39 | Computer Name = ORDINATEURB | Source = Application Error | ID = 1004
Description = Application défaillante svchost.exe, version 5.1.2600.2180, module
défaillant unknown, version 0.0.0.0, adresse de défaillance 0x00b296bc.

Error - 10/08/2009 23:34:48 | Computer Name = ORDINATEURB | Source = Application Error | ID = 1004
Description = Application défaillante svchost.exe, version 5.1.2600.2180, module
défaillant unknown, version 0.0.0.0, adresse de défaillance 0x00b296bc.

Error - 11/08/2009 03:01:04 | Computer Name = ORDINATEURB | Source = Application Error | ID = 1000
Description = Application défaillante svchost.exe, version 5.1.2600.2180, module
défaillant unknown, version 0.0.0.0, adresse de défaillance 0x00b296bc.

Error - 11/08/2009 03:01:27 | Computer Name = ORDINATEURB | Source = Application Error | ID = 1004
Description = Application défaillante svchost.exe, version 5.1.2600.2180, module
défaillant unknown, version 0.0.0.0, adresse de défaillance 0x00b296bc.

Error - 11/08/2009 08:02:32 | Computer Name = ORDINATEURB | Source = Application Error | ID = 1000
Description = Application défaillante svchost.exe, version 5.1.2600.2180, module
défaillant unknown, version 0.0.0.0, adresse de défaillance 0x00b296bc.

Error - 11/08/2009 13:14:15 | Computer Name = ORDINATEURB | Source = Application Error | ID = 1004
Description = Application défaillante svchost.exe, version 5.1.2600.2180, module
défaillant unknown, version 0.0.0.0, adresse de défaillance 0x00b296bc.

[ System Events ]
Error - 31/08/2009 16:28:09 | Computer Name = ORDINATEURB | Source = Service Control Manager | ID = 7022
Description = Le service Acquisition d'image Windows (WIA) est en attente de démarrage.

Error - 31/08/2009 16:29:11 | Computer Name = ORDINATEURB | Source = Service Control Manager | ID = 7034
Description = Le service Acquisition d'image Windows (WIA) s'est terminé de façon
inattendue pour la 1ème fois.

Error - 01/09/2009 04:48:39 | Computer Name = ORDINATEURB | Source = Service Control Manager | ID = 7022
Description = Le service Acquisition d'image Windows (WIA) est en attente de démarrage.

Error - 01/09/2009 04:49:22 | Computer Name = ORDINATEURB | Source = Service Control Manager | ID = 7034
Description = Le service Acquisition d'image Windows (WIA) s'est terminé de façon
inattendue pour la 1ème fois.

Error - 02/09/2009 01:58:43 | Computer Name = ORDINATEURB | Source = Service Control Manager | ID = 7022
Description = Le service Acquisition d'image Windows (WIA) est en attente de démarrage.

Error - 02/09/2009 01:59:25 | Computer Name = ORDINATEURB | Source = Service Control Manager | ID = 7034
Description = Le service Acquisition d'image Windows (WIA) s'est terminé de façon
inattendue pour la 1ème fois.

Error - 03/09/2009 02:16:04 | Computer Name = ORDINATEURB | Source = Service Control Manager | ID = 7022
Description = Le service Acquisition d'image Windows (WIA) est en attente de démarrage.

Error - 03/09/2009 02:16:47 | Computer Name = ORDINATEURB | Source = Service Control Manager | ID = 7034
Description = Le service Acquisition d'image Windows (WIA) s'est terminé de façon
inattendue pour la 1ème fois.


<End>
barsala
 
Messages: 11
Inscription: 31 Aoû 2009, 11:34

Messagede nickW » 04 Sep 2009, 01:14

Bonsoir,


1/ Quelles sont les caractéristiques des fichiers

C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\System32\dllcache\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE

Clic droit sur le fichier, choisir Propriétés, puis noter:
*- Dans l'onglet Général: Taille, Créé le et Modifié le
*- Dans l'onglet Version: Entreprise, Version du fichier



2/ Quel est le format des fichiers que tu ne peux pas imprimer (quelle est leur extension)?



3/ Que se passe-t-il exactement lors d'une "non-impression"?
*- message d'erreur
*- autre

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

réponse

Messagede barsala » 04 Sep 2009, 21:21

nickW a écrit:Bonsoir,

Bonsoir,
J'ai été absent pendant environ 24 h. Je reprends le clavier après voir cherché les réponses


1/ Quelles sont les caractéristiques des fichiers

C:\WINDOWS\NOTEPAD.EXE
Créé le 6 juillet 2006 (première utilisation de l'ordinateur), modifié le 6 juillet 2006 - 69 ko
éditeur Microsoft version 5.1.2600.2180

C:\WINDOWS\System32\dllcache\notepad.exe
pas trouvé


C:\WINDOWS\system32\NOTEPAD.EXE
pas trouvé dans cette forme (en majuscule)
mais trouvé notepad :
Application bloc note
création 2 mars 2006 modifié 2 mars 2006 - 69 ko -
éditeur Microsoft version 5.1.2600.2180

A partir de la fonction démarrer/rechercher trouvé en plus :
NOTEPAD - C\windows - 69 ko application date modification 01/09/200

notepad - c:\windows\Help\ - 28 ko-fichier HTML compilé modification 04/09/09

notepad - C:\WINDOWS Help - 12,4 ko - fichier d'aide - modification 04/09/09

NOTEPAD. EXE - 2 DAE2DE6.pf - C:\WINDOWS\prefetch 15 ko - modifié 03/09/09

NOTEPAD. EXE - 2F2D61E1.pf - C:\WINDOWS\prefetch 15 ko - modifié 03/09/09

J'ai également eu :
notepad.exe dll\cache
mais dans une deuxième recherche ce fichier n'est pas réapparu et je ne l'ai pas trouvé dans l'explorer (masqué ?).


Clic droit sur le fichier, choisir Propriétés, puis noter:
*- Dans l'onglet Général: Taille, Créé le et Modifié le
*- Dans l'onglet Version: Entreprise, Version du fichier



2/ Quel est le format des fichiers que tu ne peux pas imprimer (quelle est leur extension)?
= ODT et RTF (format courant d Open Office ou Star office).
L'un d'eux est désigné comme application MFC Word Pad cré le 17/08/09

Je n'ai plus les premiers fichiers car je les avait dans ma messagerie mais j'ai supprimé cette messagerie , donc effacé tous ces messages en mémoires, pour éviter d'infecter d'autre intenautes en correspondant avec eux. Quoique de ces recherches il apparait que l'infection a semble t il commencé avant le 10 aout, donc le fichier attaché que je soupçonnai n'a été que le premier a subit le blocage.



3/ Que se passe-t-il exactement lors d'une "non-impression"?
*- message d'erreur
= Aucun message d'erreur

*- autre
= le silence de l'imprimante : elle ne bouge pas, pas d'entraînement de feuille de papier ni de bruit précurseur.
= lorsque j'ouvre la fenêtre "imprimante" dans laquelle doivent se trouver les fichiers en file d'attente d'impression elle est vide.
= c'est la même chose pour les autres imprimantes essayées.

Déjà signalé : Dragon Speaking Naturally a refusé de s'ouvrir 2 jours de suite vers la mi août car il ne trouvait plus les éléments nécessaires pour fonctionner : carte audio et autres . Pourtant ces éléments étaient en place et déclarés comme n'ayant fonctionnant correctement. J'ai du 2 fois le réinstaller avec la procédure d'apprentissage. Cela n'est jamais arrivé en 3 ans d'utilisation. Mais c'est peut être un événement indépendant du problème.

Pour info ces trois derniers jours A-Squared a trouvé chaque jour un autre fichier qualifié de haut danger (--> en quarantaine pour le moment).
Deux de ces fichiers portaient en fin de nom !IK

Cordialement

A suivre,
barsala
 
Messages: 11
Inscription: 31 Aoû 2009, 11:34

Messagede nickW » 06 Sep 2009, 23:38

Bonsoir,


1/ Quels sont les nom et emplacement des fichiers signalés comme infectés?


2A/ Quel est l'état du service Spouleur d'impression
Ouvrir la console de gestion des services:
Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK

Descendre jusqu'à Spouleur d'impression
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINDOWS\system32\spoolsv.exe
Quel est le Type de démarrage?
Quel est le Statut du service?


2B/ Quel est l'état du service Appel de procédure distante (RPC)
avec comme fichier exécutable C:\WINDOWS\system32\svchost -k rpcss
(mêmes procédures/questions)



3/ Si tu ouvres un fichier texte (extension .txt) dans le Bloc-notes, peux-tu l'imprimer?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede barsala » 07 Sep 2009, 17:51

nickW a écrit:Bonsoir,

Bonjour,


1/ Quels sont les nom et emplacement des fichiers signalés comme infectés?

= Tous mes documents de travail sont sur le deuxième disque dur D:\ donc aussi les documents textes que je n'arrive pas à imprimer et tous les documents ou fichiers personnels que je conserve sur cet autre disque dur avec deux dossiers Téléchargement et téléchargé dans lesquels je place les programmes téléchargés (je ne les mets pas sur le bureau). Le disque C:\ ne contient que les programmes installés et leurs éventuelles bases de fonctionnement.

2A/ Quel est l'état du service Spouleur d'impression
Ouvrir la console de gestion des services:
Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK

= Je l'ai vidé dès le deuxième jour. Mais je viens de vérifier.

Descendre jusqu'à Spouleur d'impression
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\WINDOWS\system32\spoolsv.exe

= oui.


Quel est le Type de démarrage?

= automatique

Quel est le Statut du service?

= démarré.


2B/ Quel est l'état du service Appel de procédure distante (RPC)

= démarré, automatique

avec comme fichier exécutable C:\WINDOWS\system32\svchost -k rpcss
(mêmes procédures/questions)

= oui.

= Mais depuis des mois j'ai un problème : windows me donne, à chaque ouverture, un message d'erreur : il a fermé un fichier de ce nom et me demande à envoyer un message à sa base. Que je refuse la plus part du temps par lassitude.



3/ Si tu ouvres un fichier texte (extension .txt) dans le Bloc-notes, peux-tu l'imprimer?

= Oui , de même avec WordPad que j'utilise pour les fichiers plus longs ou dont je veux garder la mise en page.

J'ai également découvert que je pouvais copier-coller l'un des messages que je n'arrive pas à imprimer dans un émail et me l'envoyer en HTML = je peux alors l'imprimer. Je ne peux vérifier si cela fonctionne avec le premier fichier qui n'a pu être imprimé (le fichier attaché à un émail) car j'ai effacé toute ma messagerie en espérant ainsi éviter de contaminer mes autres correspondants. Je n'utilise pas le carnet d'adresse pour éviter qu'il serve de façon malveillante. Je garde un message de chaque correspondant ou je note son adresse sur un cahier.De même je refuse d conserver en archive les mots de passe : je les saisis à chaque fois (j'ai plusieurs adresses : accessoirement cela constitue un travail de mémoire contre Alzheimer...)

D'autre part j'ai tenté de faire des scans en ligne (Panda, F-Secure, Kaspersky. Je me suis arrêté à ces trois là car à chaque fois le scan a soit bloqué soit refusé de démarrer... J'avais pourtant pris la précaution de fermer l'anti virus A-Squared et le firewall COMODO. Puis de télécharger , quand ils me le demandaient : active X ou autres programmes. J'ai fait 5 tentatives avec PANDA (c'est long !) car il donne des indications sur l'état d'avancement du scan. A chaque fois il a bloqué sur 33 % d'avancement avec un nombres de fichiers scannés approximativement identique (bien que progressant très légèrement : 428006, 429550 puis 429581) et comme il indique le nom du dernier fichier j'ai effacé ce fichier: le premier était un fichier du programme d'installation de CCleaner.

Aujourd'hui windows a refusé d'ouvrir les fichiers ODT (texte OpenOffice) de StarOffice signalant qu'il n'étaient pas compatibles avec le système 32 de windows ??? J'ai constaté que Writer de Star Office ne faisait plus parti de la liste déroulante des programmes permettant d'ouvrir un fichier, même lorsque je faisait une recherche manuelle puis après quelques tentatives le dossier "programme" de star Office a lui même disparu de cette liste déroulante... ? J'ai désinstallé Star Office puis l'ai réinstallé et le problème ne s'est pas renouvelé.

Cela devient un roman fleuve, hélas.

Merci de continuer à m'aider.

Cordialement.

A suivre,
barsala
 
Messages: 11
Inscription: 31 Aoû 2009, 11:34

Messagede nickW » 08 Sep 2009, 14:05

Bonjour,


Remarque initiale:
barsala a écrit:J'avais pourtant pris la précaution de fermer l'anti virus A-Squared et le firewall COMODO

A-Squared n'est pas un antivirus.



Tu me donnes une description de l'organisation de tes partitions, alors que je te demandais le nom et l'emplacement des fichiers que A-Squared détecte comme infectés.
barsala a écrit:Pour info ces trois derniers jours A-Squared a trouvé chaque jour un autre fichier qualifié de haut danger (--> en quarantaine pour le moment).
Deux de ces fichiers portaient en fin de nom !IK



barsala a écrit:Mais depuis des mois j'ai un problème : windows me donne, à chaque ouverture, un message d'erreur : il a fermé un fichier de ce nom et me demande à envoyer un message à sa base. Que je refuse la plus part du temps par lassitude.
Pourrais-tu recopier l'intégralité du message exact envoyé par Windows à chaque démarrage?


Recherche de processus cachés:
Étape 1: RootRepeal (de AD)
Télécharger RootRepeal via un clic droit sur l'un des liens ci-dessous:
http://ad13.geekstogo.com/RootRepeal.zip
http://rootrepeal.googlepages.com/RootRepeal.zip
http://rootrepeal.psikotick.com/RootRepeal.zip
Enregistrer le fichier sur le Bureau.
Créer un nouveau dossier nommé RootRepeal à la racine du disque système (généralement C:\)

Décompresser l'archive téléchargée dans ce nouveau dossier RootRepeal


Étape 2: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antimalware.
Image A-Squared: clic droit sur l'icône dans la SysBarre (à coté de l'horloge), puis choisir "Quitter le gardien"


Étape 3: RootRepeal (de AD)
Dans l'Explorateur, ouvrir le dossier RootRepeal
Faire un double clic sur RootRepeal.exe pour lancer l'outil.

Cliquer sur l'onglet Report (en bas de la fenêtre) comme ceci:
Image

Cliquer sur le bouton Scan
Image

Dans la nouvelle fenêtre Select Scan, cocher:
+ Drivers
+ Files
+ Processes
+ SSDT
+ Stealth Objects
+ Hidden Services


Cliquer sur le bouton OK
Dans la nouvelle fenêtre Select Drives, cocher le lecteur système (C:\)
Image

Cliquer sur le bouton OK pour lancer l'analyse

Note: Cette analyse prend un certain temps. NE PAS LANCER d'autres programmes tant qu'elle est active.

Lorsque l'analyse est terminée, le bouton Save Report sera disponible.
Image

Cliquer sur ce bouton Save Report et enregistrer le fichier rapport dans le dossier RootRepeal sous le nom RootRepeal-090908.txt

Ouvrir le menu File, cliquer sur Exit pour fermer le programme.


Étape 4: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antimalware.


Étape 5: Résultats
Envoyer en réponse:
*- le rapport de RootRepeal (contenu du fichier RootRepeal-090908.txt)
Ce rapport peut être très long. Bien vérifier qu'il est complet dans le message envoyé. Si nécessaire, le découper en plusieurs messages.

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suite Haribot!IK,Hupigon!IK,DelfInject!IK impression

Messagede barsala » 08 Sep 2009, 18:39

Bonjour,

Si A-Squared AntiMalware n'est pas un anti virus j'ai fait une erreur en le prenant pour tel. S'il ne comporte pas toutes les fonctions d'un anti virus cela pourrait il expliquer les entrées de backdoor , ?
Il y a 18 mois j'ai abandonné BitDéfender qui avait laissé passer 3 backdoor en 2 mois.
Ensuite j'ai eu Kaspersky suite mais il est beaucoup trop envahissant ...
Est il préférable que je change pour un "vrai" antivirus ?

Je ne peux donner les emplacements des fichiers suspects car ils ont été mis aussitôt détectés en quarantaine par A-Squared. Là ils sont indiqués sommairement :
C:\System Volum Information RiskWare.win32.DelfInject!IK
idem pour HareBot!IK
Hier une mise jour à restauré plusieurs fichiers mis en quarantaine qui se sont avérés être des faux positifs.
Du coup Hupigon a disparu de la quarantaine.

Quand je fais une recherche par démarrer\recherche je n'obtiens aucun résultat.

Je viens de faire une recherche dans le registre par regedit.
Pour DelfInject!IK j'obtiens 2 résultats :

Poste de travail\HKEY_CURRENT_USER\Software\microsoft\Search Assistant\ACMru\5603
dans la fenêtre : -ab (par defaut) REG_SZ valeur non définie
- 000 REG_SZ DelfInject!IK
- 001 REG_SZ NOTEPAD.EXE
- 002 REG_SZ notepad
- 003 REG_SZ mbam.log
- 004 REG_SZ Iceows

Poste de travail\HKEY_USERS\S-1-5-21\1085031214-606747145-725345543-1004\Software\microsoft\Search Assistant\ACMru\5603

Aucune réponse de recherche dans le registre pour HariBot
J'ai néanmoins fait une recherche pour Hupigon!IK et je n'ai obtenu aucune réponse.

Ci après le rapport RootRepeal :

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/09/08 18:35
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP2
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB5FE5000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xBADD6000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB46FA000 Size: 49152 File Visible: No Signed: -
Status: -

SSDT
-------------------
#: 011 Function Name: NtAdjustPrivilegesToken
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62faf4a

#: 031 Function Name: NtConnectPort
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fa454

#: 037 Function Name: NtCreateFile
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62faaee

#: 041 Function Name: NtCreateKey
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fb4c6

#: 046 Function Name: NtCreatePort
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fa132

#: 050 Function Name: NtCreateSection
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fc1d6

#: 052 Function Name: NtCreateSymbolicLinkObject
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fc4ae

#: 053 Function Name: NtCreateThread
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62f9cf8

#: 063 Function Name: NtDeleteKey
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fb130

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fb2e0

#: 068 Function Name: NtDuplicateObject
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62f9a5a

#: 097 Function Name: NtLoadDriver
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fbe58

#: 105 Function Name: NtMakeTemporaryObject
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fa6d8

#: 116 Function Name: NtOpenFile
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fad32

#: 122 Function Name: NtOpenProcess
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62f978a

#: 125 Function Name: NtOpenSection
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fa968

#: 128 Function Name: NtOpenThread
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62f9902

#: 192 Function Name: NtRenameKey
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fb88c

#: 200 Function Name: NtRequestWaitReplyPort
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fa250

#: 210 Function Name: NtSecureConnectPort
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fbbf4

#: 240 Function Name: NtSetSystemInformation
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fc006

#: 247 Function Name: NtSetValueKey
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fb68c

#: 249 Function Name: NtShutdownSystem
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fa672

#: 255 Function Name: NtSystemDebugControl
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fa85c

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62f9ffc

#: 258 Function Name: NtTerminateThread
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62f9eca

Shadow SSDT
-------------------
#: 013 Function Name: NtGdiBitBlt
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fe28a

#: 122 Function Name: NtGdiDeleteObjectApp
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fe9ae

#: 227 Function Name: NtGdiMaskBlt
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fe3be

#: 233 Function Name: NtGdiOpenDCW
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fe86e

#: 237 Function Name: NtGdiPlgBlt
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fe4fe

#: 292 Function Name: NtGdiStretchBlt
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fe632

#: 310 Function Name: NtUserBlockInput
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fe10a

#: 319 Function Name: NtUserCallHwndParamLock
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fd35c

#: 383 Function Name: NtUserGetAsyncKeyState
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fddda

#: 389 Function Name: NtUserGetClipboardData
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fe76c

#: 414 Function Name: NtUserGetKeyboardState
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fdb48

#: 416 Function Name: NtUserGetKeyState
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fdc8a

#: 460 Function Name: NtUserMessageCall
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fd82c

#: 465 Function Name: NtUserMoveWindow
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fd094

#: 475 Function Name: NtUserPostMessage
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fd4de

#: 476 Function Name: NtUserPostThreadMessage
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fd68a

#: 491 Function Name: NtUserRegisterRawInputDevices
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fdf2a

#: 502 Function Name: NtUserSendInput
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fd9ee

#: 509 Function Name: NtUserSetClipboardViewer
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fe020

#: 529 Function Name: NtUserSetParent
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fd204

#: 549 Function Name: NtUserSetWindowsHookEx
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fea14

#: 552 Function Name: NtUserSetWinEventHook
Status: Hooked by "C:\WINDOWS\System32\DRIVERS\cmdguard.sys" at address 0xb62fec48

==EOF==

............................................................

Merci.

Cordialement
barsala
 
Messages: 11
Inscription: 31 Aoû 2009, 11:34

Suite et oubli!

Messagede barsala » 08 Sep 2009, 19:29

Bonjour,

J'ai oublié d'indiquer le message d"erreur à l'ouverture de Windows

Au passage : dans le registre HKEY_Users l'indication S-1-5-21 est le numéro de version de Star Office.


Le message d'erreur:
A signaler qu'il n'apparaît pas lorsque j'utilise démarrer\redemarrer

........................................................
Prévention de l'exécution des données - Microsoft Windows
Pour protéger votre ordinateur, Windows a fermé ce programme.
nom : Generic Host Process for Win32 Services
éditeur Microsoft
Fermer le message

La prévention de l'exécution des données vous aide à vous protéger des virus et autres risques de sécurité.
..............................................................................................

Fenêtre suivante:
............................................................................................
Cette erreur s'est produite le 08/09/2009 à 19:46:50
Veuillez signaler ce problème à Microsoft

Pour afficher les données de ce rapport d'erreur cliquer ici:
Signature de l'erreur:
Event Type: BEX P1: svchost.exe P2:5-1-2600-2180 P3:41107ed6
P4: unknow P5:0.0.0.0 P6: 00000000 P7:00b296bc
P8:c0000005 P9:00000008

Les fichiers suivants seront inclus dans ce rapport d'erreur:
C\DOCUME~1~\UTILIS~1\LOCAL~\temp\WERe5b3.dir00\svchost.exe.mdmp
C\...........................id...................................................\appcompat.txt



Fin de l'oubli.

Cordialement
barsala
 
Messages: 11
Inscription: 31 Aoû 2009, 11:34

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 19 invités