[OK] Infection win32

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nicop » 04 Fév 2010, 08:15

OTL Extras logfile created on: 04/02/2010 07:56:48 - Run 4
OTL by OldTimer - Version 3.1.25.2 Folder = C:\Documents and Settings\Propriétaire\Bureau
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

1 023,00 Mb Total Physical Memory | 604,00 Mb Available Physical Memory | 59,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 78,81 Gb Total Space | 43,11 Gb Free Space | 54,70% Space Free | Partition Type: NTFS
Drive D: | 107,49 Gb Total Space | 106,98 Gb Free Space | 99,52% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive J: | 971,42 Mb Total Space | 60,52 Mb Free Space | 6,23% Space Free | Partition Type: FAT

Computer Name: WOENNEN
Current User Name: Propriétaire
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)

[HKEY_USERS\S-1-5-21-1004336348-73586283-725345543-1003\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
https [open] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Program Files\Internet Explorer\iexplore.exe" (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"15483:TCP" = 15483:TCP:*:Enabled:spport
"19475:TCP" = 19475:TCP:*:Enabled:spport
"7100:TCP" = 7100:TCP:*:Enabled:spport
"22874:TCP" = 22874:TCP:*:Enabled:spport
"27058:TCP" = 27058:TCP:*:Enabled:spport
"13308:TCP" = 13308:TCP:*:Enabled:spport
"6724:TCP" = 6724:TCP:*:Enabled:spport
"14911:TCP" = 14911:TCP:*:Enabled:spport
"24477:TCP" = 24477:TCP:*:Enabled:spport
"10575:TCP" = 10575:TCP:*:Enabled:spport
"8646:TCP" = 8646:TCP:*:Enabled:spport
"22224:TCP" = 22224:TCP:*:Enabled:spport
"6811:TCP" = 6811:TCP:*:Enabled:spport
"9118:TCP" = 9118:TCP:*:Enabled:spport
"16380:TCP" = 16380:TCP:*:Enabled:spport
"20074:TCP" = 20074:TCP:*:Enabled:spport
"25312:TCP" = 25312:TCP:*:Enabled:spport
"6653:TCP" = 6653:TCP:*:Enabled:spport
"10447:TCP" = 10447:TCP:*:Enabled:spport
"16639:TCP" = 16639:TCP:*:Enabled:spport
"15299:TCP" = 15299:TCP:*:Enabled:spport
"15306:TCP" = 15306:TCP:*:Enabled:spport
"11712:TCP" = 11712:TCP:*:Enabled:spport
"12117:TCP" = 12117:TCP:*:Enabled:spport
"26611:TCP" = 26611:TCP:*:Enabled:spport
"28529:TCP" = 28529:TCP:*:Enabled:spport
"26692:TCP" = 26692:TCP:*:Enabled:spport
"25351:TCP" = 25351:TCP:*:Enabled:spport
"25607:TCP" = 25607:TCP:*:Enabled:spport
"14935:TCP" = 14935:TCP:*:Enabled:spport
"5759:TCP" = 5759:TCP:*:Enabled:spport
"12154:TCP" = 12154:TCP:*:Enabled:spport
"15504:TCP" = 15504:TCP:*:Enabled:spport
"28136:TCP" = 28136:TCP:*:Enabled:spport
"14270:TCP" = 14270:TCP:*:Enabled:spport
"12257:TCP" = 12257:TCP:*:Enabled:spport
"12740:TCP" = 12740:TCP:*:Enabled:spport
"8106:TCP" = 8106:TCP:*:Enabled:spport
"8248:TCP" = 8248:TCP:*:Enabled:spport
"12620:TCP" = 12620:TCP:*:Enabled:spport
"14026:TCP" = 14026:TCP:*:Enabled:spport
"29437:TCP" = 29437:TCP:*:Enabled:spport
"29303:TCP" = 29303:TCP:*:Enabled:spport
"18596:TCP" = 18596:TCP:*:Enabled:spport
"14261:TCP" = 14261:TCP:*:Enabled:spport
"20477:TCP" = 20477:TCP:*:Enabled:spport
"10395:TCP" = 10395:TCP:*:Enabled:spport
"27306:TCP" = 27306:TCP:*:Enabled:spport
"16554:TCP" = 16554:TCP:*:Enabled:spport

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe" = C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe" = C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\CyberLink\PCM4Everio\PCM4Everio.exe" = C:\Program Files\CyberLink\PCM4Everio\PCM4Everio.exe:*:Enabled:CyberLink PowerCinema NE for Everio -- File not found
"C:\Program Files\CyberLink\PCM4Everio\EverioService.exe" = C:\Program Files\CyberLink\PCM4Everio\EverioService.exe:*:Enabled:CyberLink PowerCinema NE for Everio Resident Program -- File not found
"C:\Program Files\Microsoft Games\Age of Mythology\aomx.exe" = C:\Program Files\Microsoft Games\Age of Mythology\aomx.exe:*:Enabled:Age of Mythology - The Titans Expansion -- (Ensemble Studios)
"C:\Program Files\Metin2_France\metin2.bin" = C:\Program Files\Metin2_France\metin2.bin:*:Enabled:metin2 -- ()
"C:\Program Files\Bonjour\mDNSResponder.exe" = C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour -- (Apple Inc.)
"C:\Documents and Settings\Nils\Local Settings\Application Data\Chat Republic Games\Superstar Racing\ChatRepublicPlayer.exe" = C:\Documents and Settings\Nils\Local Settings\Application Data\Chat Republic Games\Superstar Racing\ChatRepublicPlayer.exe:*:Disabled:Chat Republic Games Player -- File not found
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe" = C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe" = C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare -- (Microsoft Corporation)
"c:\windows\temp\nodesetsups.exe" = c:\windows\temp\nodesetsups.exe:*:Enabled:Microsoft Update -- File not found
"C:\Program Files\iTunes\iTunes.exe" = C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}" = Google Earth
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = DVD Suite
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Outil de téléchargement Windows Live
"{2075CB0A-D26F-4DAA-B424-5079296B43BA}" = Windows Live FolderShare
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 17
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java(TM) SE Runtime Environment 6
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C940c-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3B7E7EF8-1680-4894-9D35-86BAB9EEB6AC}" = OpenOffice.org 2.2
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{4634B21A-CC07-4396-890C-2B8168661FEA}" = Windows Live Writer
"{46ABBC54-1872-4AA3-95E2-F2C063A63F31}" = Installation Windows Live
"{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}" = Microsoft Search Enhancement Pack
"{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}" = Microsoft Office Live Add-in 1.3
"{5DD76286-9BE7-4894-A990-E905E91AC818}" = Windows Live Mail
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6E298B0A-558C-4138-0096-740677B382CD}" = LSDA Le Retour du Roi tm
"{770F1BEC-2871-4E70-B837-FB8525FFA3B1}" = Windows Live Messenger
"{79D5997E-BF79-48BB-8B41-9BE59C15C2D7}" = OmniPage SE 2.0
"{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}" = Windows Live Call
"{85309D89-7BE9-4094-BB17-24999C6118FC}" = ArcSoft PhotoStudio 5.5
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{9112040C-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003
"{91175441-4E5D-4e13-B116-828FD352CDB2}" = Canon MP170
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{95120000-0122-040C-0000-0000000FF1CE}" = Microsoft Office Outlook Connector
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5}" = iTunes
"{AAB93551-3FFE-42B2-8315-96252BBC1036}" = Nero 7 Essentials
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1036-7B44-A81200000003}" = Adobe Reader 8.1.2 - Français
"{B131E59D-202C-43C6-84C9-68F0C37541F1}" = Galerie de photos Windows Live
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CF9CD37C-E29A-11D5-AE3D-005004B8E30C}" = Digital Photo Navigator 1.5
"{D5D81435-B8DE-4CAF-867F-7998F2B92CFC}" = Windows Live Contrôle parental
"{D6E4E5D6-7693-4BB4-95BA-21F38FAFEE90}" = Safari
"{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}" = Assistant de connexion Windows Live
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{E63E34A7-E552-412B-9E40-FD6FC5227ABA}_is1" = Uniblue RegistryBooster 2010
"{E88CF118-873D-4865-835C-D090606A44A3}" = Tony Hawk's Pro Skater 4
"{EF1394D4-9FB6-4F1F-9A09-20FF3033AE14}" = Tony Hawk's Underground 2
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F7D27C70-90F5-49B9-B188-0A133C0CE353}" = Windows Live Toolbar
"4StoryFR_is1" = 4Story 1.2
"7-Zip" = 7-Zip 4.44 beta
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Age of Empires 2.0" = Microsoft Age of Empires II
"Age of Mythology Expansion Pack 1.0" = Age of Mythology Gold
"avast!" = avast! Antivirus
"CCleaner" = CCleaner
"dngoeof" = Favorit
"Dofus 1.28.0" = Dofus 1.28.0
"Easy-PhotoPrint" = Canon Utilities Easy-PhotoPrint
"Easy-WebPrint" = Easy-WebPrint
"ERUNT_is1" = ERUNT 1.1j
"GameSpy Arcade" = GameSpy Arcade
"Google Updater" = Outil de mise à jour Google
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{EF1394D4-9FB6-4F1F-9A09-20FF3033AE14}" = Tony Hawk's Underground 2
"jv16 PowerTools_is1" = jv16 PowerTools 1.3
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MP Navigator 2.0" = Canon MP Navigator 2.0
"MSNINST" = MSN
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service" = Windows XP Service Pack 3
"WinLiveSuite_Wave3" = Installation Windows Live

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-21-1004336348-73586283-725345543-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Notification de cadeaux MSN" = Notification de cadeaux MSN

========== Last 10 Event Log Errors ==========

[ Antivirus Events ]
Error - 15/01/2010 14:57:00 | Computer Name = WOENNEN | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
C:\DOCUMENTS AND SETTINGS\NILS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\FEEDS\FEEDSSTORE.FEEDSDB-MS
failed, 00000005.

Error - 15/01/2010 15:12:00 | Computer Name = WOENNEN | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
C:\DOCUMENTS AND SETTINGS\NILS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\FEEDS\FEEDSSTORE.FEEDSDB-MS
failed, 00000005.

Error - 15/01/2010 15:27:00 | Computer Name = WOENNEN | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
C:\DOCUMENTS AND SETTINGS\NILS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\FEEDS\FEEDSSTORE.FEEDSDB-MS
failed, 00000005.

Error - 15/01/2010 15:42:00 | Computer Name = WOENNEN | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
C:\DOCUMENTS AND SETTINGS\NILS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\FEEDS\FEEDSSTORE.FEEDSDB-MS
failed, 00000005.

Error - 15/01/2010 15:57:00 | Computer Name = WOENNEN | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
C:\DOCUMENTS AND SETTINGS\NILS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\FEEDS\FEEDSSTORE.FEEDSDB-MS
failed, 00000005.

Error - 15/01/2010 16:12:00 | Computer Name = WOENNEN | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
C:\DOCUMENTS AND SETTINGS\NILS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\FEEDS\FEEDSSTORE.FEEDSDB-MS
failed, 00000005.

Error - 15/01/2010 16:27:00 | Computer Name = WOENNEN | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
C:\DOCUMENTS AND SETTINGS\NILS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\FEEDS\FEEDSSTORE.FEEDSDB-MS
failed, 00000005.

Error - 15/01/2010 16:43:00 | Computer Name = WOENNEN | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
C:\DOCUMENTS AND SETTINGS\NILS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\FEEDS\FEEDSSTORE.FEEDSDB-MS
failed, 00000005.

Error - 15/01/2010 16:58:00 | Computer Name = WOENNEN | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
C:\DOCUMENTS AND SETTINGS\NILS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\FEEDS\FEEDSSTORE.FEEDSDB-MS
failed, 00000005.

Error - 15/01/2010 17:13:00 | Computer Name = WOENNEN | Source = avast! | ID = 33554522
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of
C:\DOCUMENTS AND SETTINGS\NILS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\FEEDS\FEEDSSTORE.FEEDSDB-MS
failed, 00000005.

[ Application Events ]
Error - 03/10/2009 04:06:14 | Computer Name = WOENNEN | Source = MsiInstaller | ID = 10005
Description = Produit : Windows Live Mail -- Windows Installer a rencontré une erreur
inattendue lors de l'installation de ce package. Il s'agit peut-être d'un problème
lié au package. Le code d'erreur est 2762. Les arguments sont : , ,

Error - 03/10/2009 04:06:18 | Computer Name = WOENNEN | Source = MsiInstaller | ID = 10005
Description = Produit : Windows Live Communications Platform -- Windows Installer
a rencontré une erreur inattendue lors de l'installation de ce package. Il s'agit
peut-être d'un problème lié au package. Le code d'erreur est 2762. Les arguments
sont : , ,

Error - 03/10/2009 04:06:18 | Computer Name = WOENNEN | Source = MsiInstaller | ID = 10005
Description = Produit : Windows Live Communications Platform -- Windows Installer
a rencontré une erreur inattendue lors de l'installation de ce package. Il s'agit
peut-être d'un problème lié au package. Le code d'erreur est 2762. Les arguments
sont : , ,

[ System Events ]
Error - 03/02/2010 02:36:53 | Computer Name = WOENNEN | Source = Service Control Manager | ID = 7034
Description = Le service NVIDIA Display Driver Service s'est terminé de façon inattendue
pour la 1ème fois.

Error - 03/02/2010 02:50:49 | Computer Name = WOENNEN | Source = Service Control Manager | ID = 7000
Description = Le service Gestionnaire de mise à jour Winsudate n'a pas pu démarrer
en raison de l'erreur : %%2

Error - 03/02/2010 02:50:53 | Computer Name = WOENNEN | Source = sr | ID = 1
Description = Le filtre de restauration du système à rencontré l'erreur inattendue
'0xC0000001' pendant le traitement du fichier '' sur le volume 'HarddiskVolume1'.
Ceci a entraîné l'arrêt de la surveillance du volume.

Error - 03/02/2010 03:00:01 | Computer Name = WOENNEN | Source = Service Control Manager | ID = 7034
Description = Le service NVIDIA Display Driver Service s'est terminé de façon inattendue
pour la 1ème fois.

Error - 03/02/2010 03:02:27 | Computer Name = WOENNEN | Source = Service Control Manager | ID = 7031
Description = Le service Apple Mobile Device s'est terminé de manière inattendue.
Ceci s'est produit 1 fois. L'action corrective suivante va être effectuée dans
60000 millisecondes : Redémarrer le service.

Error - 03/02/2010 03:02:27 | Computer Name = WOENNEN | Source = Service Control Manager | ID = 7034
Description = Le service Service Bonjour s'est terminé de façon inattendue pour
la 1ème fois.

Error - 03/02/2010 03:02:27 | Computer Name = WOENNEN | Source = Service Control Manager | ID = 7034
Description = Le service Cyberlink RichVideo Service(CRVS) s'est terminé de façon
inattendue pour la 1ème fois.

Error - 03/02/2010 03:02:28 | Computer Name = WOENNEN | Source = Service Control Manager | ID = 7034
Description = Le service SeaPort s'est terminé de façon inattendue pour la 1ème
fois.

Error - 03/02/2010 03:02:28 | Computer Name = WOENNEN | Source = Service Control Manager | ID = 7034
Description = Le service Service de l’iPod s'est terminé de façon inattendue pour
la 1ème fois.

Error - 03/02/2010 03:02:28 | Computer Name = WOENNEN | Source = Service Control Manager | ID = 7034
Description = Le service Java Quick Starter s'est terminé de façon inattendue pour
la 1ème fois.


<End>
Avatar de l’utilisateur
nicop
 
Messages: 371
Inscription: 21 Jan 2005, 11:00
Localisation: Pyrénées

Messagede nicop » 13 Fév 2010, 21:27

Up
merci
Avatar de l’utilisateur
nicop
 
Messages: 371
Inscription: 21 Jan 2005, 11:00
Localisation: Pyrénées

Messagede nickW » 14 Fév 2010, 01:09

Bonsoir,

Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires (sécurisation & optimisation) à appliquer:


ImageUn conseil important:
Il faut créer un nouveau point de restauration système.
Après nettoyage du PC, il faut vider les fichiers stockés dans les dossiers de la Restauration système, puis créer un nouveau point de restauration qui sera utilisable en cas de problème.
Méthode:
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
Explications détaillées:
http://assiste.com.free.fr/p/comment/co ... ation.html


ImageUn conseil important:
Il faut installer un vrai pare-feu.
Voir ICI et ICI. (Note: ces pages ne sont plus à jour)
Voir également: ici et ici


ImageUn conseil:
Avast! n'est plus un bon antivirus (en tout cas dans sa version gratuite)!
Le logiciel antivirus Avira Antivir Personal est actuellement bien plus "réactif" vis à vis des nouveaux nuisibles que avast!
Une version française est disponible.
Présentation: http://assiste.com.free.fr/p/logitheque/antivir.html
Présentation sur libellules.ch: http://www.libellules.ch/tuto_antivir.php
Site officiel: http://www.free-av.com/fr/products/1/av ... virus.html
Téléchargement: http://www.free-av.com/en/download/download_servers.php
Prendre le fichier Avira AntiVir Personal - FREE Antivirus, Version 9
Date: 2010-01-15, version: 9.0.0.74

Image


ImageUn conseil important:
Installer la nouvelle version de Java de Sun.

Version actuelle: Java SE Runtime Environment (JRE) 6 Update 18 - JRE 6 Update 18
*- http://java.sun.com/javase/downloads/index.jsp

Dans le paragraphe "Java Platform, Standard Edition", cliquer sur le bouton Image (Download JRE).

Sur la page suivante, dans le paragraphe "Provide Information, then Continue to Download", choisir la plateforme (Windows), cocher la case située devant "I agree to the Java SE Runtime Environment 6u18 with JavaFX 1 License Agreement.", puis cliquer sur le bouton Continue >>

Sur la nouvelle page, sous "Windows Offline Installation", télécharger le fichier jre-6u18-windows-i586.exe, 15,20 MB

Après l'installation de la nouvelle version, il est impératif de désinstaller toutes les versions obsolètes dont les failles sont utilisées par les "malveillants".
Page d'Assiste: http://assiste.com.free.fr/p/abc/c/anti_java.html

Pour la suppression des anciennes versions:
JavaRa (de Fred de Vries et Paul McLain)
Télécharger JavaRa depuis cette page: http://raproducts.org/
(Dans l'article JavaRa, cliquer sur Download Windows Binary (.zip file)).
Enregistrer le fichier JavaRa.zip sur le Bureau.
Créer un nouveau dossier nommé JavaRa et y décompresser la totalité de l'archive (clic droit, puis Extraire tout).
Ouvrir le dossier JavaRa puis faire un double clic sur JavaRa.exe pour lancer l'outil.

Sous "Select the language of your choice below" choisir (via la liste déroulante) Français et cliquer sur le bouton Select.

Cliquer sur le bouton Effacer les anciennes versions et valider ce choix en cliquant sur Oui ("Êtes-vous sûr de vouloir poursuivre?").

Cliquer deux fois sur OK.
Un rapport va s'afficher dans le Bloc-notes. Fermer le Bloc-notes.
Fermer JavaRa.


ImageUn conseil:
Désactiver la fonction de lancement automatique ("autorun") sur les lecteurs amovibles.
Voir ce sujet de Gof:
Guide sécurisation Windows face aux menaces infectieuses USB
http://assiste.forum.free.fr/viewtopic.php?t=25228
Lire également (de Gof):
Les infections se propageant par les supports amovibles : USB, Flash, etc.
http://forum.zebulon.fr/infections-par- ... 31959.html
... et sa synthèse ici


ImageUn conseil:
La version gratuite de MBAM (Malwarebytes' Anti-Malware) reste utilisable pour effectuer des analyses à la demande.
Tu peux donc choisir de la laisser installée, et de l'utiliser de temps en temps (pour faire du "nettoyage") en faisant une mise à jour manuelle avant de demander l'examen.


ImageUn conseil:
Penser aux mises à jour.

Adobe Reader 9.3: http://get.adobe.com/fr/reader/
Si tu veux absolument conserver Adobe Reader, je te conseille d'essayer Adobe Reader SpeedUp 1.36
Sinon, il existe un autre programme pour lire des fichiers PDF, bien moins gourmand en ressources, et gratuit:
Foxit Reader: http://www.foxitsoftware.com/pdf/rd_intro.php
Important: Refuser l'installation de la barre d'outils Foxit Toolbar (= Ask Toolbar)
Note: une importante faille de sécurité a été découverte dans Adobe Reader versions 8.1.2 et antérieures.

OpenOffice.org 3.2.0: http://fr.openoffice.org/


ImageUn conseil:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Version téléchargeable (clic droit sur le lien): http://assiste.com.free.fr/ftp/Startups-vf.chm
Image Note: Le site n'est pas à jour, il faut utiliser la version téléchargeable.
Sont dans ce cas:

O4 - HKLM..\Run: [QuickTime Task] C:\Program Files\QuickTime\qttask.exe (Apple Inc.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)--->mise à jour automatique: mieux vaut la faire soi-même

Si tu décides de les désactiver, tu peux utiliser la méthode "msconfig" ou installer Autoruns [voir ici et ici] (sauf indications particulières dans la liste de Pacman).
Une autre solution est de vérifier dans le programme s'il n'existe pas une option de lancement automatique au démarrage de Windows que l'on peut désactiver.


ImageUn conseil:
Image Il est préférable de supprimer OTL (fichier téléchargé OTL.exe et fichiers résultats OTL.Txt et Extras.Txt situés sur le Bureau, ainsi que s'il(s) existe(nt) le(s) fichier(s) de travail OTL-*.txt).
Note: S'il existe, le dossier SystemDrive\_OTL contient des sauvegardes. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer ce dossier.
Image Il est préférable de supprimer The Avenger (fichier téléchargé avenger.zip, exécutable avenger.exe, fichier(s) de travail aven*.txt, SystemDrive\backup.reg, SystemDrive\zip.exe, SystemDrive\cleanup.exe, SystemDrive\cleanup.bat, et fichier rapport SystemDrive\avenger.txt).
Note: The Avenger a également sauvegardé les modifications qu'il a effectuées dans le fichier archive %SystemDrive%\avenger\backup.zip. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer cette archive puis le dossier vide %SystemDrive%\avenger.
Image Il est préférable de supprimer rkill (fichier rkill téléchargé, situé sur le Bureau).
Image Il est préférable de supprimer Gmer (fichier téléchargé C:\fcpb16qk.exe et fichiers rapports gmer-******.txt).
Image Il est préférable de supprimer JavaRa (fichier téléchargé JavaRa.zip, dossier JavaRa et fichier résultat SystemDrive\JavaRa.log)
Image Vider les quarantaines de l'antivirus et de l'anti-spyware.



Voilì, voilò, voilà.

Salut,

PS:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nicop » 14 Fév 2010, 15:57

Bonjour nickW,

J'ai lancé pas mal de programmes, et le PC tourne du tonnerre pour l'instant :D

Cependant, j'ai trois points à éclaircir :

1 : Je n'arrive pas à supprimer le dossier "_OTL" sur C:. Pas de message d'erreur, mais le dossier ne disparaît pas....?

2 : le fichier atapy.sys est toujours présent sur à la racine de C:
Que dois-je en faire ?

3 : J'ai voulu effacer les traces d'un ancien antivirus : F-secure. J'ai d'abord utilisé l'outil adequat de chez F-secure. Il semble que ça n'ait pas vraiment marché. J'ai cherché avec jv16 les clés le concernant et les ai effacées. Mais il reste le dossier d'installation dans "Program Files", impossible à supprimer, même en mode sans échec : quand j'essaye, il me dit : impossible de supprimer une dll (fpshx.dll), car elle est en lecture seule ou utilisée. Comment faire ?

Merci
Avatar de l’utilisateur
nicop
 
Messages: 371
Inscription: 21 Jan 2005, 11:00
Localisation: Pyrénées

Messagede nickW » 17 Fév 2010, 01:44

Bonsoir,

1/ Pour supprimer le dossier OTL, tu peux faire ceci:
Relancer OTL.exe (si tu l'as supprimé, le retélécharger depuis http://oldtimer.geekstogo.com/OTL.exe et le placer sur le Bureau), puis cliquer sur le bouton CleanUp.


2/ Tu peux supprimer le fichier atapi.sys qui se trouve à la racine du disque système (dans C:\).


3/ As-tu essayé de modifier l'attribut "Lecture seule" (via clic droit ---->Propriétés) du fichier fpshx.dll ?
Si cela n'est pas suffisant, il faut utiliser un programme qui va déverrouiller le fichier fpshx.dll ainsi que le dossier d'installation de F-Secure (C:\Program Files\AntivirusFirewall).
Télécharger unlocker depuis la page: http://ccollomb.free.fr/unlocker/
Pendant l'installation, ne pas installer Unlocker Assistant et refuser l'installation des raccourcis eBay (décocher "eBay shortcuts").

Puis faire un clic droit sur le dossier C:\Program Files\AntivirusFirewall et choisir Unlocker.
Dans la liste qui s'est affichée, cliquer sur Unlock.

Le dossier devrait alors être "supprimable".

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nicop » 17 Fév 2010, 09:37

Ce coup-ci c'est bon, tout est nickel. Tu vas faire une heureuse.

Merci pour ta patience et à la prochaine.

nicop

:D :D :D :D :D
Avatar de l’utilisateur
nicop
 
Messages: 371
Inscription: 21 Jan 2005, 11:00
Localisation: Pyrénées

Précédente

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 46 invités