Un méchant dans le PC?

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Un méchant dans le PC?

Messagede phrq » 02 Mar 2010, 01:02

Bonjour

Je sollicite votre aide, car j'ai bien l'impression que mon PC est infecté par un méchant.

Les symptômes:

1) Hier, un utilitaire de soi disant protection s'est installé tout seul au démarrage du pc. Dans la confusion, je n'ai même pas pensé à noter son nom. (C'était en 2 mots: security quelque chose. ) Il était du même tonneau que des utilitaires genre Tune Up utilities.
Plus rien ne s'affichait sur le bureau, sauf la barre en bas. En essayant de lancer n'importe quel programme depuis le menu démarrer, il le bloquait en disant qu'il était infecté.

Pour l'éradiquer, je suis allé en mode sans échec, et l'ai supprimé de la liste de démarrage avec l'utilitaire de CCleaner, puis ai viré l'executable répondant au doux nom de 04427522.exe dans Documents and settings
Pardon d'être aussi imprécis, mais je n'ai pas eu la présence d'esprit, là encore de noter le chemin exact

2) Depuis le pc fonctionne normalement, sauf que le démarrage est plus lent.
En regardant dans le gestionnaire des tâches, je m'aperçois que les processus inactifs su système, au lieu des classiques 99% lorsque la machine n'est pas sollicitée, n'est plus ici que de 49%. Les 50% manquants sont accaparés en permanence par un svchost.exe

Merci d'avance pour votre aide

Philippe




Voici le rapport mbam:



Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3811
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

02/03/2010 00:29:13
mbam-log-2010-03-02 (00-29-05).txt

Type de recherche: Examen rapide
Eléments examinés: 121521
Temps écoulé: 7 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Philippe\Menu Démarrer\Programmes\Démarrage\winesm32.exe (Trojan.Inject) -> No action taken.
C:\WINDOWS\system32\drivers\kpwkpbhk.sys (HackTool.Agent) -> No action taken.
C:\A1.tmp (Trojan.Agent) -> No action taken.
C:\A5.tmp (Trojan.Agent) -> No action taken.
C:\AB.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Philippe\Application Data\avdrn.dat (Malware.Trace) -> No action taken.


Les rapports OTL.exe et extras .txt dans les messages suivants
phrq
 
Messages: 140
Inscription: 07 Nov 2006, 18:38

Messagede phrq » 02 Mar 2010, 01:04

Le rapport OTL.txt:

OTL logfile created on: 02/03/2010 00:34:59 - Run 2
OTL by OldTimer - Version 3.1.32.0 Folder = C:\Documents and Settings\Philippe\Bureau
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 67,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 47,85 Gb Total Space | 14,40 Gb Free Space | 30,09% Space Free | Partition Type: NTFS
Drive D: | 47,85 Gb Total Space | 20,69 Gb Free Space | 43,23% Space Free | Partition Type: NTFS
Drive E: | 47,85 Gb Total Space | 16,69 Gb Free Space | 34,88% Space Free | Partition Type: NTFS
Drive F: | 46,35 Gb Total Space | 42,95 Gb Free Space | 92,67% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ALNATH2
Current User Name: Philippe
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard

========== Processes (SafeList) ==========

PRC - [2010/03/02 00:02:49 | 000,551,424 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Philippe\Bureau\OTL.exe
PRC - [2009/12/10 09:33:11 | 001,054,792 | ---- | M] (G Data Software AG) -- C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
PRC - [2009/11/26 12:50:52 | 000,302,152 | ---- | M] (G Data Software AG) -- C:\Program Files\Fichiers communs\G DATA\GDScan\GDScan.exe
PRC - [2009/11/25 02:07:32 | 001,251,488 | ---- | M] (G Data Software AG) -- C:\Program Files\G DATA\TotalCare\AVK\AVKWCtl.exe
PRC - [2009/11/25 02:05:05 | 001,547,104 | ---- | M] (G Data Software AG) -- C:\Program Files\G DATA\TotalCare\Firewall\GDFwSvc.exe
PRC - [2009/09/24 09:51:18 | 001,124,936 | ---- | M] (G DATA Software AG) -- C:\Program Files\G DATA\TotalCare\Firewall\GDFirewallTray.exe
PRC - [2009/09/07 08:07:50 | 000,925,768 | ---- | M] (G Data Software AG) -- C:\Program Files\G DATA\TotalCare\AVKTray\AVKTray.exe
PRC - [2009/08/12 08:04:48 | 000,397,896 | ---- | M] (G Data Software AG) -- C:\Program Files\G DATA\TotalCare\AVK\AVKService.exe
PRC - [2008/04/14 03:34:03 | 001,037,824 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008/02/17 21:26:45 | 000,151,552 | ---- | M] (Acronis) -- C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
PRC - [2008/02/17 21:26:45 | 000,061,440 | ---- | M] (Acronis) -- C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
PRC - [2007/09/29 15:37:08 | 000,617,472 | ---- | M] (Astase) -- C:\Program Files\Astase\UltraBackup\4.9\bin\thpassiveclientsvc.exe
PRC - [2007/08/31 19:58:50 | 000,357,800 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
PRC - [2004/02/11 19:21:30 | 000,327,793 | ---- | M] (Executive Software International, Inc.) -- C:\Program Files\Executive Software\Diskeeper\DkService.exe
PRC - [2002/12/04 10:52:48 | 000,237,568 | ---- | M] (Nikon Corporation) -- C:\Program Files\Nikon\NkView6\NkvMon.exe


========== Modules (SafeList) ==========

MOD - [2010/03/02 00:02:49 | 000,551,424 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Philippe\Bureau\OTL.exe
MOD - [2008/10/07 13:33:00 | 001,486,848 | ---- | M] () -- C:\WINDOWS\system32\nview.dll
MOD - [2008/10/07 13:33:00 | 000,327,680 | ---- | M] (NVIDIA Corporation) -- C:\WINDOWS\system32\nvwrsfr.dll
MOD - [2008/10/07 13:33:00 | 000,081,920 | ---- | M] (NVIDIA Corporation) -- C:\WINDOWS\system32\nvwddi.dll


========== Win32 Services (SafeList) ==========

SRV - File not found [Auto | Stopped] -- -- (nSvcLog)
SRV - File not found [Auto | Stopped] -- -- (ForcewareWebInterface)
SRV - File not found [Auto | Stopped] -- -- (ForceWare Intelligent Application Manager (IAM)) ForceWare Intelligent Application Manager (IAM)
SRV - [2009/12/10 09:33:11 | 001,054,792 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe -- (AVKProxy)
SRV - [2009/11/26 12:50:52 | 000,302,152 | ---- | M] (G Data Software AG) [On_Demand | Running] -- C:\Program Files\Fichiers communs\G DATA\GDScan\GDScan.exe -- (GDScan)
SRV - [2009/11/25 02:07:32 | 001,251,488 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Program Files\G DATA\TotalCare\AVK\AVKWCtl.exe -- (AVKWCtl)
SRV - [2009/11/25 02:05:05 | 001,547,104 | ---- | M] (G Data Software AG) [On_Demand | Running] -- C:\Program Files\G DATA\TotalCare\Firewall\GDFwSvc.exe -- (GDFwSvc)
SRV - [2009/10/21 11:28:04 | 000,865,352 | ---- | M] (G Data Software AG) [On_Demand | Stopped] -- C:\Program Files\G DATA\TotalCare\AVKBackup\AVKBackupService.exe -- (Service G Data Backup)
SRV - [2009/08/12 08:04:48 | 000,397,896 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Program Files\G DATA\TotalCare\AVK\AVKService.exe -- (AVKService)
SRV - [2009/04/20 02:44:06 | 000,918,600 | ---- | M] (G Data Software AG) [On_Demand | Stopped] -- C:\Program Files\G DATA\TotalCare\AVKTuner\AVKTunerService.exe -- (G Data Tuner Service)
SRV - [2009/02/14 23:22:12 | 006,558,336 | ---- | M] () [On_Demand | Stopped] -- c:\wamp\bin\mysql\mysql5.1.32\bin\mysqld.exe -- (wampmysqld)
SRV - [2008/12/09 23:10:14 | 000,024,636 | ---- | M] (Apache Software Foundation) [On_Demand | Stopped] -- c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe -- (wampapache)
SRV - [2008/11/17 08:05:32 | 000,195,752 | ---- | M] (CybelSoft) [On_Demand | Stopped] -- C:\Program Files\ma-config.com\maconfservice.exe -- (maconfservice)
SRV - [2008/02/19 22:30:01 | 000,069,632 | ---- | M] (Macromedia) [On_Demand | Stopped] -- C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe -- (Macromedia Licensing Service)
SRV - [2008/02/17 21:26:45 | 000,151,552 | ---- | M] (Acronis) [Auto | Running] -- C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2007/09/29 15:37:08 | 000,617,472 | ---- | M] (Astase) [Auto | Running] -- C:\Program Files\Astase\UltraBackup\4.9\bin\thpassiveclientsvc.exe -- (thpassivesvc)
SRV - [2007/09/29 15:35:44 | 001,927,168 | ---- | M] (Astase) [Disabled | Stopped] -- C:\Program Files\Astase\UltraBackup\4.9\bin\tbsd.exe -- (ThalliumServer)
SRV - [2007/05/16 09:41:18 | 000,029,704 | ---- | M] (TuneUp Software GmbH) [Auto | Running] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2005/11/14 01:06:04 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2004/02/11 19:21:30 | 000,327,793 | ---- | M] (Executive Software International, Inc.) [Auto | Running] -- C:\Program Files\Executive Software\Diskeeper\DkService.exe -- (Diskeeper)


========== Driver Services (SafeList) ==========

DRV - [2010/01/08 21:12:58 | 000,068,976 | ---- | M] (G Data Software) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\GRD.sys -- (GRD)
DRV - [2010/01/08 20:29:47 | 000,028,616 | ---- | M] (G Data Software AG) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\GDBehave.sys -- (GDBehave)
DRV - [2010/01/08 20:20:42 | 000,055,624 | ---- | M] (G Data Software AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\MiniIcpt.sys -- (GDMnIcpt)
DRV - [2010/01/08 20:20:31 | 000,034,632 | ---- | M] (G Data Software AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HookCentre.sys -- (HookCentre)
DRV - [2010/01/08 20:18:59 | 000,051,784 | ---- | M] (G DATA Software AG) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\GDTdiIcpt.sys -- (GDTdiInterceptor)
DRV - [2010/01/08 20:18:59 | 000,022,528 | ---- | M] (G DATA Software AG) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\GDNdisIc.sys -- (GDNdisIc)
DRV - [2008/11/17 08:06:38 | 000,015,360 | ---- | M] (Ma-Config.com) [Kernel | On_Demand | Stopped] -- C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys -- (driverhardwarev2)
DRV - [2008/10/07 13:33:00 | 006,133,856 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2008/04/13 20:46:20 | 000,048,128 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\61883.sys -- (61883)
DRV - [2008/04/13 20:46:20 | 000,038,912 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avc.sys -- (Avc)
DRV - [2008/04/13 20:46:10 | 000,051,200 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\msdv.sys -- (MSDV)
DRV - [2008/04/13 19:56:06 | 000,088,320 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx)
DRV - [2008/04/13 19:53:09 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2008/04/13 19:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2008/02/22 17:53:00 | 000,016,168 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\GEARAspiWDM.sys -- (GearAspiWDM)
DRV - [2008/02/17 21:26:43 | 000,210,400 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\timntr.sys -- (timounter)
DRV - [2008/02/17 21:26:43 | 000,081,280 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\snapman.sys -- (snapman)
DRV - [2008/02/17 21:26:43 | 000,028,768 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter)
DRV - [2007/11/13 11:25:54 | 000,020,480 | ---- | M] (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\secdrv.sys -- (Secdrv)
DRV - [2007/08/21 09:12:59 | 000,021,760 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\point32.sys -- (Point32)
DRV - [2006/10/19 05:44:48 | 000,007,680 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2006/04/14 20:09:06 | 000,013,056 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006/04/14 20:09:04 | 000,034,176 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006/04/14 20:08:56 | 000,101,888 | ---- | M] (NVIDIA Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\nvtcp.sys -- (NVTCP)
DRV - [2005/07/26 07:01:56 | 000,415,360 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvapu.sys -- (nvnforce) Service for NVIDIA(R) nForce(TM)
DRV - [2005/07/26 06:58:30 | 000,053,376 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvax.sys -- (nvax) Service for NVIDIA(R) nForce(TM)
DRV - [2005/01/20 14:13:20 | 000,024,911 | ---- | M] (DiamondCS) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\procguard.sys -- (procguard)
DRV - [2004/11/17 19:05:38 | 002,297,664 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2004/08/05 13:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb)
DRV - [2004/08/05 13:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx)
DRV - [2004/08/05 13:00:00 | 000,017,792 | ---- | M] (Parallel Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ptilink.sys -- (Ptilink)
DRV - [2001/08/17 23:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/


IE - HKU\.DEFAULT\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-1957994488-1547161642-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://alnath.nuxit.net/mesliens.htm
IE - HKU\S-1-5-21-1957994488-1547161642-1801674531-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-1957994488-1547161642-1801674531-1003\S-1-5-21-1957994488-1547161642-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "http://alnath.nuxit.net/mesliens.htm"
FF - prefs.js..extensions.enabledItems: {9AA46F4F-4DC7-4c06-97AF-5035170633FE}:20.1.0.4
FF - prefs.js..extensions.enabledItems: {d57c9ff1-6389-48fc-b770-f78bd89b6e8a}:1.33
FF - prefs.js..extensions.enabledItems: {c45c406e-ab73-11d8-be73-000a95be3b12}:1.1.8


FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010/02/26 09:29:18 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010/02/23 09:24:52 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2009/09/01 13:37:26 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins [2008/12/15 13:08:14 | 000,000,000 | ---D | M]

[2008/08/26 10:54:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Mozilla\Extensions
[2010/03/01 09:38:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\c0sjk2fz.default\extensions
[2010/01/26 11:49:27 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\c0sjk2fz.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009/07/01 10:51:12 | 000,000,000 | ---D | M] (Web Developer) -- C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\c0sjk2fz.default\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}
[2010/01/07 12:06:34 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\c0sjk2fz.default\extensions\{d57c9ff1-6389-48fc-b770-f78bd89b6e8a}
[2010/03/01 09:38:21 | 000,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions
[2010/01/22 09:51:06 | 000,000,000 | ---D | M] (G Data Filtre Internet) -- C:\Program Files\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}
[2009/10/16 19:24:07 | 000,001,516 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml
[2009/10/16 19:24:07 | 000,001,822 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\cnrtl-tlfi-fr.xml
[2009/10/16 19:24:07 | 000,000,757 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml
[2009/10/16 19:24:07 | 000,001,426 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml
[2009/10/16 19:24:07 | 000,000,652 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml

O1 HOSTS File: ([2010/01/19 09:28:41 | 000,262,724 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.1001-search.info
O1 - Hosts: 127.0.0.1 1001-search.info
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.123topsearch.com
O1 - Hosts: 127.0.0.1 123topsearch.com
O1 - Hosts: 127.0.0.1 www.132.com
O1 - Hosts: 127.0.0.1 132.com
O1 - Hosts: 127.0.0.1 www.136136.net
O1 - Hosts: 127.0.0.1 136136.net
O1 - Hosts: 9118 more lines...
O2 - BHO: (G Data WebFilter) - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA\TotalCare\Webfilter\AVKWebIE.dll (G Data Software AG)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (G Data WebFilter) - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA\TotalCare\Webfilter\AVKWebIE.dll (G Data Software AG)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [G DATA AntiVirus Trayapplication] C:\Program Files\G DATA\TotalCare\AVKTray\AVKTray.exe (G Data Software AG)
O4 - HKLM..\Run: [GDFirewallTray] C:\Program Files\G DATA\TotalCare\Firewall\GDFirewallTray.exe (G DATA Software AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [QuickTime Task] C:\Program Files\QuickTime\qttask.exe (Apple Inc.)
O4 - HKU\S-1-5-21-1957994488-1547161642-1801674531-1003..\Run: [ccleaner] C:\Program Files\CCleaner\CCleaner.exe (Piriform Ltd)
O4 - HKU\S-1-5-21-1957994488-1547161642-1801674531-1003..\Run: [Google Update] C:\Documents and Settings\Philippe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe (Google Inc.)
O4 - HKU\S-1-5-21-1957994488-1547161642-1801674531-1003..\Run: [QuickTime Task] C:\Program Files\QuickTime\qttask.exe (Apple Inc.)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk.disabled ()
O4 - Startup: C:\Documents and Settings\Philippe\Menu Démarrer\Programmes\Démarrage\winesm32.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1957994488-1547161642-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\npjpi160_04.dll (Sun Microsystems, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_04)
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_04)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_04)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/s ... wflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 195.238.2.21 195.238.2.22
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/02/17 16:41:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2008/02/17 23:59:17 | 000,000,000 | ---D | M]
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: UxTuneUp - C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software GmbH)
NetSvcs: WmdmPmSp - File not found

========== Files/Folders - Created Within 30 Days ==========

[2010/03/02 00:13:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010/03/02 00:10:50 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Philippe\Bureau\Nouveau dossier
[2010/03/02 00:09:55 | 000,000,000 | ---D | C] -- C:\Program Files\ERUNT
[2010/03/02 00:07:13 | 000,791,393 | ---- | C] (Lars Hederer ) -- C:\Documents and Settings\Philippe\Bureau\erunt-setup.exe
[2010/03/02 00:05:48 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Philippe\Application Data\Malwarebytes
[2010/03/02 00:05:42 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010/03/02 00:05:40 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Malwarebytes
[2010/03/02 00:05:38 | 000,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010/03/02 00:05:36 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2010/03/02 00:04:24 | 005,115,824 | ---- | C] (Malwarebytes Corporation ) -- C:\Documents and Settings\Philippe\Bureau\mbam-setup.exe
[2010/03/02 00:02:47 | 000,551,424 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\Philippe\Bureau\OTL.exe
[2010/03/01 18:30:29 | 000,000,000 | RH-D | C] -- C:\Documents and Settings\Philippe\Recent
[2010/02/24 20:56:17 | 000,000,000 | ---D | C] -- C:\Program Files\Fichiers communs\Ciel
[2010/02/24 20:55:54 | 000,000,000 | ---D | C] -- C:\Données Ciel
[2010/02/24 20:55:54 | 000,000,000 | ---D | C] -- C:\Program Files\Ciel
[2010/02/24 20:55:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Ciel
[2010/02/24 20:53:48 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Philippe\Bureau\Ciel Auto Entrepreneur
[2010/02/05 00:02:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Google
[2010/02/04 23:59:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Philippe\Application Data\Google
[2010/02/04 23:57:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Google
[2010/02/01 23:32:48 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Philippe\Bureau\Villers-la-vigne
[2010/02/01 10:54:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\phpDesigner
[2010/02/01 10:54:05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Philippe\Application Data\phpDesigner
[2010/02/01 10:50:48 | 031,360,704 | ---- | C] (MPSOFTWARE ) -- C:\Documents and Settings\Philippe\Bureau\phpdesigner_7_0_setup.exe
[2008/06/11 13:44:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Apple
[2008/03/05 23:14:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft
[2008/02/17 16:45:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft
[2008/02/17 16:41:01 | 000,000,000 | --SD | M] -- C:\Documents and Settings\NetworkService\Application Data\Microsoft
[2008/02/17 16:41:01 | 000,000,000 | --SD | M] -- C:\Documents and Settings\LocalService\Application Data\Microsoft
[7 C:\*.tmp files -> C:\*.tmp -> ]
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[13 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010/03/02 00:38:11 | 000,792,064 | ---- | M] () -- C:\WINDOWS\System32\drivers\kpwkpbhk.sys
[2010/03/02 00:09:57 | 000,000,599 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\ERUNT.lnk
[2010/03/02 00:07:13 | 000,791,393 | ---- | M] (Lars Hederer ) -- C:\Documents and Settings\Philippe\Bureau\erunt-setup.exe
[2010/03/02 00:07:00 | 000,001,058 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010/03/02 00:05:45 | 000,000,703 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk
[2010/03/02 00:05:00 | 000,001,158 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1957994488-1547161642-1801674531-1003UA.job
[2010/03/02 00:04:33 | 005,115,824 | ---- | M] (Malwarebytes Corporation ) -- C:\Documents and Settings\Philippe\Bureau\mbam-setup.exe
[2010/03/02 00:02:49 | 000,551,424 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Philippe\Bureau\OTL.exe
[2010/03/01 23:31:26 | 000,000,024 | ---- | M] () -- C:\Documents and Settings\Philippe\Application Data\avdrn.dat
[2010/03/01 18:30:22 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010/03/01 18:30:02 | 000,195,534 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010/03/01 18:29:58 | 000,001,054 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010/03/01 18:29:57 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010/03/01 18:29:54 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010/03/01 17:14:55 | 011,534,336 | ---- | M] () -- C:\Documents and Settings\Philippe\ntuser.dat
[2010/03/01 15:05:01 | 000,001,106 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1957994488-1547161642-1801674531-1003Core.job
[2010/03/01 00:10:08 | 000,000,184 | -HS- | M] () -- C:\Documents and Settings\Philippe\ntuser.ini
[2010/02/27 23:55:36 | 000,000,116 | ---- | M] () -- C:\WINDOWS\System32\fjhdyfhsn.bat
[2010/02/26 09:26:56 | 000,000,908 | ---- | M] () -- C:\WINDOWS\win.ini
[2010/02/24 20:56:31 | 000,001,766 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Ciel Auto-entrepreneur Facile.lnk
[2010/02/23 22:39:11 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2010/02/23 11:44:50 | 007,315,660 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\FP205-PFQX2559ZA-English.pdf
[2010/02/10 11:57:54 | 017,733,253 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\accident2-2scan.png
[2010/02/10 11:57:29 | 019,266,093 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\accident2-1scan.png
[2010/02/10 07:46:20 | 000,006,343 | ---- | M] () -- D:\Mes documents\absence Sophie2.rtf
[2010/02/09 13:35:37 | 000,205,796 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\ecconergie facture100209.pdf
[2010/02/06 14:27:13 | 000,258,044 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\accident1-2.pdf
[2010/02/06 14:25:19 | 000,405,122 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\accident1-1.pdf
[2010/02/04 23:59:16 | 000,001,922 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Google Earth.lnk
[2010/02/03 13:20:43 | 000,076,042 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\liste pediatres.pdf
[2010/02/02 17:45:01 | 000,001,552 | RHS- | M] () -- C:\Documents and Settings\Philippe\Local Settings\Application Data\SCPSS.DLL
[2010/02/01 10:51:51 | 031,360,704 | ---- | M] (MPSOFTWARE ) -- C:\Documents and Settings\Philippe\Bureau\phpdesigner_7_0_setup.exe
[2010/01/31 01:45:13 | 000,000,008 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat
[7 C:\*.tmp files -> C:\*.tmp -> ]
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[13 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010/03/02 00:09:56 | 000,000,599 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\ERUNT.lnk
[2010/03/02 00:05:45 | 000,000,703 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk
[2010/02/28 18:54:52 | 000,000,016 | ---- | C] () -- C:\Documents and Settings\NetworkService\Application Data\rbuwzv.dat
[2010/02/27 23:55:48 | 000,792,064 | ---- | C] () -- C:\WINDOWS\System32\drivers\kpwkpbhk.sys
[2010/02/27 23:55:36 | 000,000,116 | ---- | C] () -- C:\WINDOWS\System32\fjhdyfhsn.bat
[2010/02/27 23:55:31 | 000,000,024 | ---- | C] () -- C:\Documents and Settings\Philippe\Application Data\avdrn.dat
[2010/02/24 20:56:31 | 000,001,766 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Ciel Auto-entrepreneur Facile.lnk
[2010/02/23 11:44:50 | 007,315,660 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\FP205-PFQX2559ZA-English.pdf
[2010/02/10 11:57:18 | 019,266,093 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\accident2-1scan.png
[2010/02/10 11:57:18 | 017,733,253 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\accident2-2scan.png
[2010/02/10 07:46:18 | 000,006,343 | ---- | C] () -- D:\Mes documents\absence Sophie2.rtf
[2010/02/09 13:34:43 | 000,205,796 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\ecconergie facture100209.pdf
[2010/02/06 14:27:12 | 000,258,044 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\accident1-2.pdf
[2010/02/06 14:25:17 | 000,405,122 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\accident1-1.pdf
[2010/02/04 23:59:16 | 000,001,922 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Google Earth.lnk
[2010/02/04 23:57:32 | 000,001,058 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010/02/04 23:57:31 | 000,001,054 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010/02/03 13:20:41 | 000,076,042 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\liste pediatres.pdf
[2010/01/26 22:59:44 | 000,130,120 | ---- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
[2010/01/23 14:15:34 | 000,001,552 | RHS- | C] () -- C:\Documents and Settings\Philippe\Local Settings\Application Data\SCPSS.DLL
[2009/03/25 14:44:10 | 000,006,525 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2009/02/20 06:14:15 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2008/12/15 13:44:02 | 000,262,724 | ---- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\hosts.bak
[2008/12/15 13:44:02 | 000,003,072 | ---- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Config.nt.bak
[2008/12/15 13:44:02 | 000,002,009 | ---- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Autoexec.nt.bak
[2008/09/01 14:17:26 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008/02/25 00:15:29 | 000,011,776 | ---- | C] () -- C:\Documents and Settings\Philippe\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/02/20 12:49:38 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\Dtctrace.dll
[2008/02/18 14:30:41 | 000,000,151 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008/02/18 10:23:38 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2008/02/18 10:20:28 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2008/02/18 10:20:26 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2008/02/17 23:55:31 | 000,000,131 | ---- | C] () -- C:\Documents and Settings\Philippe\Local Settings\Application Data\fusioncache.dat
[2008/02/17 21:26:43 | 000,037,888 | ---- | C] () -- C:\WINDOWS\System32\setupnt.dll
[2007/12/27 07:45:10 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\lame_wou.dll
[2007/12/05 01:41:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007/12/05 01:41:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007/12/05 01:41:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007/12/05 01:41:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007/12/05 01:41:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007/10/15 12:14:55 | 000,059,904 | ---- | C] () -- C:\WINDOWS\System32\zlib1.dll
[2007/10/15 12:14:54 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\sltsHash.dll
[2007/10/15 12:13:13 | 000,380,928 | ---- | C] () -- C:\WINDOWS\System32\OpenSSL.dll
[2007/10/02 06:35:50 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\image_utils.dll
[2007/10/02 06:35:28 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\zlib.dll
[2007/10/02 06:34:24 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\wmf2png.dll
[2005/09/14 23:04:28 | 000,002,548 | ---- | C] () -- C:\Documents and Settings\Philippe\Local Settings\Application Data\scpsv.dll

========== LOP Check ==========

[2009/05/21 10:58:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Cavomatic
[2010/02/24 20:56:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Ciel
[2008/02/19 23:55:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\EmbeddedThalliumBackup
[2010/01/08 20:20:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\G DATA
[2010/01/28 09:47:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Innovative Solutions
[2008/12/04 22:46:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ma-config.com
[2008/02/19 21:17:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Nikon
[2010/02/01 10:54:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\phpDesigner
[2008/12/15 14:27:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP
[2008/02/18 15:33:19 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TuneUp Software
[2008/06/18 10:35:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Alien Skin
[2009/12/25 00:42:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Cavomatic 2
[2010/03/01 23:46:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\FileZilla
[2009/12/14 23:01:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\GetRightToGo
[2008/02/17 21:28:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Micro Application
[2009/12/14 22:55:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\NCH Swift Sound
[2008/03/25 10:05:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Nikon
[2008/02/18 21:09:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Opera
[2010/02/01 11:05:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\phpDesigner
[2008/12/03 22:09:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\SystemRequirementsLab
[2008/02/18 20:19:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Thunderbird
[2008/02/18 15:33:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\TuneUp Software
[2009/03/12 22:53:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\vghd
[2010/02/12 00:39:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\XnView

========== Purity Check ==========



========== Custom Scans ==========


<SYSTEMDRIVE>


<MD5>
[2004/08/05 13:00:00 | 018,779,217 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2008/09/24 11:01:28 | 023,892,017 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2008/09/24 11:01:28 | 023,892,017 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008/04/13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008/04/13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
[2004/08/03 23:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\$NtServicePackUninstall$\agp440.sys

<MD5>
[2004/08/05 13:00:00 | 018,779,217 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2008/09/24 11:01:28 | 023,892,017 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008/09/24 11:01:28 | 023,892,017 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008/04/13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\Documents and Settings\Philippe\Bureau\Maintenance\Driver Max\Sauvergarde drivers 280110\hdc\primary_ide_channel\atapi.sys
[2008/04/13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\Documents and Settings\Philippe\Bureau\Maintenance\Driver Max\Sauvergarde drivers 280110\hdc\secondary_ide_channel\atapi.sys
[2008/04/13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008/04/13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004/08/05 13:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys

<MD5>
[2004/08/05 13:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=21E83876A6287F15538EF187D286FE11 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
[2008/04/14 03:33:24 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=4EC800BDF80521B0207BD2301DFC7D14 -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008/04/14 03:33:24 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=4EC800BDF80521B0207BD2301DFC7D14 -- C:\WINDOWS\system32\eventlog.dll

<MD5>
[2008/04/14 03:33:34 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=04821179C3171554C1BD1F9888A113E2 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008/04/14 03:33:34 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=04821179C3171554C1BD1F9888A113E2 -- C:\WINDOWS\system32\netlogon.dll
[2004/08/05 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=FAF07FDCDE76000621A28D19F8E2E8EB -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll

<MD5>
[2006/04/24 17:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) MD5=C03E15101F6D9E82CD9B0E7D715F5DE3 -- C:\NVIDIA\nForceWin2KXP\6.86\IDE\Win2K\sata_ide\nvata.sys
[2006/04/24 17:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) MD5=C03E15101F6D9E82CD9B0E7D715F5DE3 -- C:\NVIDIA\nForceWin2KXP\6.86\IDE\WinXP\sata_ide\nvata.sys
[2006/04/24 17:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) MD5=C03E15101F6D9E82CD9B0E7D715F5DE3 -- C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\nvata.sys
[2006/04/24 17:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) MD5=C03E15101F6D9E82CD9B0E7D715F5DE3 -- C:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\nvata.sys
[2005/05/17 17:45:08 | 000,092,800 | ---- | M] (NVIDIA Corporation) MD5=DCE353985C988BFB7E84FD942068151F -- C:\WINDOWS\system32\drivers\nvata.sys
[2005/05/17 17:45:08 | 000,092,800 | ---- | M] (NVIDIA Corporation) MD5=DCE353985C988BFB7E84FD942068151F -- C:\WINDOWS\system32\ReinstallBackups\0006\DriverFiles\nvata.sys

<MD5>
[2006/04/24 17:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) MD5=C03E15101F6D9E82CD9B0E7D715F5DE3 -- C:\NVIDIA\nForceWin2KXP\6.86\IDE\Win2K\legacy\nvatabus.sys
[2006/04/24 17:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) MD5=C03E15101F6D9E82CD9B0E7D715F5DE3 -- C:\NVIDIA\nForceWin2KXP\6.86\IDE\Win2K\sataraid\nvatabus.sys
[2006/04/24 17:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) MD5=C03E15101F6D9E82CD9B0E7D715F5DE3 -- C:\NVIDIA\nForceWin2KXP\6.86\IDE\WinXP\legacy\nvatabus.sys
[2006/04/24 17:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) MD5=C03E15101F6D9E82CD9B0E7D715F5DE3 -- C:\NVIDIA\nForceWin2KXP\6.86\IDE\WinXP\sataraid\nvatabus.sys
[2006/04/24 17:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) MD5=C03E15101F6D9E82CD9B0E7D715F5DE3 -- C:\WINDOWS\system32\drivers\nvatabus.sys

<MD5>
[2008/04/14 03:33:40 | 000,187,392 | ---- | M] (Microsoft Corporation) MD5=973B36634C544948C663E8269AA1B3A3 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008/04/14 03:33:40 | 000,187,392 | ---- | M] (Microsoft Corporation) MD5=973B36634C544948C663E8269AA1B3A3 -- C:\WINDOWS\system32\scecli.dll
[2004/08/05 13:00:00 | 000,186,368 | ---- | M] (Microsoft Corporation) MD5=DEC0397F35D027874804EC72979D03CC -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll

<systemroot>

<systemroot>
[13 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

<systemroot>

========== Alternate Data Streams ==========

@Alternate Data Stream - 120 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34
<End>
phrq
 
Messages: 140
Inscription: 07 Nov 2006, 18:38

Messagede phrq » 02 Mar 2010, 01:04

Extras.txt

OTL Extras logfile created on: 02/03/2010 00:34:59 - Run 2
OTL by OldTimer - Version 3.1.32.0 Folder = C:\Documents and Settings\Philippe\Bureau
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 67,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 47,85 Gb Total Space | 14,40 Gb Free Space | 30,09% Space Free | Partition Type: NTFS
Drive D: | 47,85 Gb Total Space | 20,69 Gb Free Space | 43,23% Space Free | Partition Type: NTFS
Drive E: | 47,85 Gb Total Space | 16,69 Gb Free Space | 34,88% Space Free | Partition Type: NTFS
Drive F: | 46,35 Gb Total Space | 42,95 Gb Free Space | 92,67% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ALNATH2
Current User Name: Philippe
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found

[HKEY_USERS\S-1-5-21-1957994488-1547161642-1801674531-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- Reg Error: Key error.
http [open] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\SimpleCopier\simplecopier.exe" = C:\Program Files\SimpleCopier\simplecopier.exe:*:Enabled:SimpleCopier -- (Neogie Software)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe" = C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe:*:Enabled:Apache HTTP Server -- File not found
"C:\Program Files\SimpleCopier\simplecopier.exe" = C:\Program Files\SimpleCopier\simplecopier.exe:*:Enabled:SimpleCopier -- (Neogie Software)
"C:\Program Files\Opera\opera.exe" = C:\Program Files\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01000A03-E058-11D3-9C13-0000E220DC33}" = MiraScan V4.03
"{02DFF6B1-1654-411C-8D7B-FD6052EF016F}" = Apple Software Update
"{05BB2EC5-6BEF-4DDC-9E75-BEE7B161157A}" = Macromedia Dreamweaver MX 2004
"{10CA154D-A9D5-4CE9-B739-2361518108C7}" = Diskeeper Home Edition
"{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}" = QuickTime
"{2EAF7E61-068E-11DF-953C-005056806466}" = Google Earth
"{2F353D44-73BB-4971-B31D-F7642E9E9531}" = Macromedia Flash MX 2004
"{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java(TM) 6 Update 4
"{350C940c-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3A4EE7A4-356E-43B7-A4A3-9C55B22A05B3}" = Ma-Config.com
"{40589552-3892-409E-B92C-9F5032A4B2F0}" = Safari
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{8C5FAD77-F678-4758-A296-C12F08D179E0}" = Microsoft IntelliPoint 6.2
"{90AF040C-6000-11D3-8CFE-0150048383C9}" = Microsoft Office PowerPoint Viewer 2003
"{939740B5-0064-4779-854A-8C1086181C05}" = Macromedia FreeHand MXa
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{97C82B44-D408-4F14-9252-47FC1636D23E}_is1" = IZArc 3.81
"{9A394342-4A68-4EBA-85A6-55B559F4E700}" = Microsoft .NET Framework 1.1 French Language Pack
"{9AE4AC96-A5F4-4F19-9D13-066C8B3CE034}" = Nikon Scan
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A5BA14E0-7384-11D4-BAE7-00409631A2C8}" = Macromedia Extension Manager
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AAB84E83-C8DF-4752-9DFC-2E2A48EE5E9F}" = Nikon View 6
"{AF86BA3B-B465-4E12-B771-E12208FDB89B}" = Ciel Auto-entrepreneur Facile 1.40
"{B087B0C3-F595-485A-B86B-73326BA8693A}" = OpenOffice.org 2.3
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{C8BB4912-12D9-42AE-B571-E580D8CD1B5B}" = TuneUp Utilities 2007
"{C8D55041-A13C-4620-8DF4-9C5A9C16908D}" = G Data TotalCare
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E583ED6F-BD99-4066-A420-C815BF692B69}" = Macromedia Fireworks MX 2004
"{E5B72007-07C9-4E67-B29E-696073F45704}" = DropMyRights
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FB8148DD-C575-4B0A-9F6C-0CFC46937930}" = Opera 10.10
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop Elements 2.0" = Adobe Photoshop Elements 2.0
"Adobe Shockwave Player" = Adobe Shockwave Player 11
"Astase UltraBackup 2007_is1" = Astase UltraBackup 2007
"CCleaner" = CCleaner
"Cloneur Expert" = Cloneur Expert
"Defraggler" = Defraggler (remove only)
"DMX5_is1" = DriverMax 5
"ERUNT_is1" = ERUNT 1.1j
"FileZilla Client" = FileZilla Client 3.3.0.1
"Foxit Reader" = Foxit Reader
"HijackThis" = HijackThis 2.0.2
"hp deskjet 970c series" = hp deskjet 970c series (Supprimer uniquement)
"hp deskjet 970c series_Driver" = hp deskjet 970c series
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"Jigs@w Puzzle Promo Creator_is1" = Jigs@w Puzzle Promo Creator 2.1
"KeePass Password Safe_is1" = KeePass Password Safe 1.09
"MagicScore_is1" = MagicScore
"MAGIX Video deluxe SE F" = MAGIX Video deluxe SE 6.0.5.0 (F)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MozBackup_is1" = MozBackup 1.4.7
"Mozilla Firefox (3.5.8)" = Mozilla Firefox (3.5.8)
"Mozilla Thunderbird (2.0.0.23)" = Mozilla Thunderbird (2.0.0.23)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Navilog1_is1" = Navilog1 3.5.9
"Nero - Burning Rom!UninstallKey" = Nero OEM
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"PrintPratic" = PrintPratic
"RealVNC_is1" = VNC Free Edition 4.1.3
"Services Off-line de Home'Bank_is1" = Services Off-line de Home'Bank 4.04
"SetBrowser" = SetBrowser (remove only)
"SimpleCopier_is1" = SimpleCopier
"Speechi" = Speechi
"SystemRequirementsLab" = System Requirements Lab
"Uninstall" = Uninstall
"WampServer 2_is1" = WampServer 2.0
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Lecteur Windows Media 11
"Windows XP Service" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XnView_is1" = XnView 1.91.5

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-21-1957994488-1547161642-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"CAVOMATIC" = Cavomatic
"CAVOMATIC 2" = Cavomatic 2
"CAVOMATICCavomatic Version complète" = Cavomatic
"Google Chrome" = Google Chrome

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 28/01/2010 06:07:48 | Computer Name = ALNATH2 | Source = MySQL | ID = 100
Description = Invalid (old?) table or database name 'Nouveau dossier' For more information,
see Help and Support Center at http://www.mysql.com.

Error - 28/01/2010 06:07:48 | Computer Name = ALNATH2 | Source = MySQL | ID = 100
Description = Invalid (old?) table or database name 'zmed-anesth' For more information,
see Help and Support Center at http://www.mysql.com.

Error - 28/01/2010 06:07:48 | Computer Name = ALNATH2 | Source = MySQL | ID = 100
Description = Invalid (old?) table or database name 'zzmed-anesth030209' For more
information, see Help and Support Center at http://www.mysql.com.

Error - 28/01/2010 06:07:55 | Computer Name = ALNATH2 | Source = MySQL | ID = 100
Description = Invalid (old?) table or database name 'Nouveau dossier' For more information,
see Help and Support Center at http://www.mysql.com.

Error - 28/01/2010 06:07:55 | Computer Name = ALNATH2 | Source = MySQL | ID = 100
Description = Invalid (old?) table or database name 'zmed-anesth' For more information,
see Help and Support Center at http://www.mysql.com.

Error - 28/01/2010 06:07:55 | Computer Name = ALNATH2 | Source = MySQL | ID = 100
Description = Invalid (old?) table or database name 'zzmed-anesth030209' For more
information, see Help and Support Center at http://www.mysql.com.

Error - 28/01/2010 06:14:09 | Computer Name = ALNATH2 | Source = MySQL | ID = 100
Description = Invalid (old?) table or database name 'Nouveau dossier' For more information,
see Help and Support Center at http://www.mysql.com.

Error - 28/01/2010 06:14:09 | Computer Name = ALNATH2 | Source = MySQL | ID = 100
Description = Invalid (old?) table or database name 'zmed-anesth' For more information,
see Help and Support Center at http://www.mysql.com.

Error - 28/01/2010 06:14:09 | Computer Name = ALNATH2 | Source = MySQL | ID = 100
Description = Invalid (old?) table or database name 'zzmed-anesth030209' For more
information, see Help and Support Center at http://www.mysql.com.

Error - 28/01/2010 06:40:28 | Computer Name = ALNATH2 | Source = MySQL | ID = 100
Description = Invalid (old?) table or database name 'Nouveau dossier' For more information,
see Help and Support Center at http://www.mysql.com.

[ System Events ]
Error - 28/02/2010 18:48:17 | Computer Name = ALNATH2 | Source = DCOM | ID = 10005
Description = DCOM a reçu l'erreur "%1084" lors de la mise en route du service EventSystem
avec les arguments "" pour démarrer le serveur : {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 28/02/2010 18:49:38 | Computer Name = ALNATH2 | Source = Service Control Manager | ID = 7000
Description = Le service Forceware Web Interface n'a pas pu démarrer en raison de
l'erreur : %%3

Error - 28/02/2010 18:49:38 | Computer Name = ALNATH2 | Source = Service Control Manager | ID = 7000
Description = Le service ForceWare user log service n'a pas pu démarrer en raison
de l'erreur : %%2

Error - 28/02/2010 18:49:38 | Computer Name = ALNATH2 | Source = Service Control Manager | ID = 7000
Description = Le service ForceWare Intelligent Application Manager (IAM) n'a pas
pu démarrer en raison de l'erreur : %%2

Error - 01/03/2010 04:23:15 | Computer Name = ALNATH2 | Source = Service Control Manager | ID = 7000
Description = Le service Forceware Web Interface n'a pas pu démarrer en raison de
l'erreur : %%3

Error - 01/03/2010 04:23:15 | Computer Name = ALNATH2 | Source = Service Control Manager | ID = 7000
Description = Le service ForceWare user log service n'a pas pu démarrer en raison
de l'erreur : %%2

Error - 01/03/2010 04:23:15 | Computer Name = ALNATH2 | Source = Service Control Manager | ID = 7000
Description = Le service ForceWare Intelligent Application Manager (IAM) n'a pas
pu démarrer en raison de l'erreur : %%2

Error - 01/03/2010 13:30:16 | Computer Name = ALNATH2 | Source = Service Control Manager | ID = 7000
Description = Le service Forceware Web Interface n'a pas pu démarrer en raison de
l'erreur : %%3

Error - 01/03/2010 13:30:16 | Computer Name = ALNATH2 | Source = Service Control Manager | ID = 7000
Description = Le service ForceWare user log service n'a pas pu démarrer en raison
de l'erreur : %%2

Error - 01/03/2010 13:30:16 | Computer Name = ALNATH2 | Source = Service Control Manager | ID = 7000
Description = Le service ForceWare Intelligent Application Manager (IAM) n'a pas
pu démarrer en raison de l'erreur : %%2


<End>
phrq
 
Messages: 140
Inscription: 07 Nov 2006, 18:38

Messagede phrq » 02 Mar 2010, 10:41

Bonjour

A quelque chose malheur est bon: le méchant vient de se réinstaller, et je l'ai à nouveau éradiqué de la même façon. Cette fois, j'ai pris des notes:

- Le méchant s'appelle Security Tool (Ben voyons... ;-)

- L'executable s'est logé de façon tout à fait classique à cet endroit:
c:/Documents and settings/All Users/Application Data/29132825/29132825.exe

Merci à vous

Philippe
phrq
 
Messages: 140
Inscription: 07 Nov 2006, 18:38

Messagede nickW » 02 Mar 2010, 19:05

Bonsoir,

Premiers nettoyages:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet, et des redémarrages sont possibles).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur").
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.



Étape 1: rkill (de Grinler), téléchargement
Remarque importante:
rkill est parfois, à tort, détecté comme nuisible. Si nécessaire, désactiver l'antivirus lors de son téléchargement.

Télécharger rkill depuis l'un des liens ci-dessous:

Lien 1
Lien 2
Lien 3
Lien 4

Enregistrer le fichier sur le Bureau.


Étape 2: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus.
Image G-Data TotalCare: clic droit sur l'icône de sécurité dans la SysBarre (à coté de l'horloge), choisir "Désactiver l'outil de surveillance", durée: 1 heure


Étape 3: rkill (de Grinler), exécution
Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

Ne pas faire redémarrer le PC jusqu'à la fin de l'étape 4 si MBAM le demande.


Étape 4: Malwarebytes' Anti-Malware, nettoyage
Fermer toutes les fenêtres de programme ouvertes.
Lancer Malwarebytes' Anti-Malware via le Menu Démarrer.
Si et seulement si Malwarebytes' Anti-Malware ne peut plus s'exécuter (il a été détruit par le nuisible),
[color="#FFFFFF"].....[/color]*- Télécharger l'exécutable depuis le lien: http://mbam.malwarebytes.org/program/random.php
[color="#FFFFFF"]et enregistrer ce fichier au nom aléatoire dans le dossier C:\Program Files\Malwarebytes' Anti-Malware
[color="#FFFFFF"].....[/color]*- Ouvrir le dossier C:\Program Files\Malwarebytes' Anti-Malware et faire un double clic sur le fichier au nom aléatoire qui vient d'être ainsi téléchargé.

Dans l'onglet Paramètres, vérifier que toutes les cases sont cochées sauf "Créer une option dans le menu contextuel pour analyser des fichiers (clic droit)".
Dans l'onglet Mise à jour, cliquer sur le bouton Recherche de mise à jour et installer toutes les mises à jour trouvées.
Dans l'onglet Recherche, cocher le bouton radio situé devant "Exécuter un examen rapide" puis cliquer sur le bouton Rechercher.
Attendre sans rien faire d'autre la fin de la recherche; dans la fenêtre annonçant la fin de l'analyse, cliquer sur OK; puis cliquer sur le bouton "Afficher les résultats".

Si des éléments nuisibles ont été détectés, cliquer sur le bouton "Supprimer la sélection"
Attendre patiemment sans rien faire d'autre la fin du nettoyage.
Un redémarrage est parfois nécessaire. Accepter.
Une fenêtre du Bloc-notes s'ouvre pour afficher le rapport. Fermer le Bloc-notes.
Cliquer sur le bouton "Quitter" pour fermer Malwarebytes' Anti-Malware.


Étape 5: Fichier hosts
SecurityTool modifie le fichier hosts et change les permissions sur ce fichier.

1/ Remise en place des permissions:
Création du fichier hostsperm-fr.bat
Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans cette fenêtre du Bloc-notes.
Code: Tout sélectionner
@echo off
echo,Y|cacls "%WinDir%\system32\drivers\etc\hosts" /G "Tout le monde":f


Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché), comme ceci:
Image

Enregistrer le fichier sous le nom de hostsperm-fr.bat
Attention: l'extension doit être .bat , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.." comme ceci:
Image

Si l'extension est .bat.txt, renommer le fichier en .bat
Le fichier ainsi créé doit avoir cette icône: Image
Fermer le Bloc-notes.

Utilisation du fichier hostsperm-fr.bat
Faire un double clic sur hostsperm-fr.bat
Une petite fenêtre à fond noir va s'ouvrir et se refermer très rapidement.

2/ Réinitialisation du fichier hosts
Renommer le fichier actuel C:\Windows\System32\Drivers\etc\hosts en hosts.non

Télécharger le fichier hosts Microsoft par défaut depuis:
http://download.bleepingcomputer.com/mi ... s-xp/hosts
et le placer dans le dossier C:\Windows\System32\Drivers\etc


Étape 6: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antivirus.


Étape 7: OTL (de OldTimer), analyse rapide
Fermer toutes les fenêtres de programme ouvertes.

Faire un double clic sur OTL.exe pour lancer l'outil.

L'écran principal de OTL s'affiche:
Image

Cliquer sur le bouton Quick Scan:
Image


Laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log).
Fermer le Bloc-notes.
Fermer la fenêtre de OTL.


Étape 8: Résultats
Envoyer en réponse:
*- le rapport de rkill (contenu du fichier rkill.log situé dans le dossier SystemDrive\)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
*- le rapport de Malwarebytes' Anti-Malware (contenu du fichier mbam-log-****-**-** (**-**-**).txt situé dans le dossier SystemDrive\Documents and Settings\<tonprofil>\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs où ****-** (**-**-**) représente la date [année-mois-jour] et l'heure [hh-mn-ss])
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Envoyer ensuite en réponse dans un message distinct (à cause de la longueur du log):
*- le rapport principal de OTL (contenu du fichier OTL.Txt situé sur le Bureau).
Le rapport envoyé sur le forum doit se terminer par une ligne contenant <End>. Si ce n'est pas le cas, il est incomplet, et doit alors être découpé en plusieurs messages.

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede phrq » 03 Mar 2010, 11:03

Bonjour NickW

Merci de ta réponse.

Je viens d'appliquer la procédure à la lettre. Elle s'est déroulée sans anicroche

Voici le rapport rkill:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Philippe on 03/03/2010 at 10:17:25.


Processes terminated by Rkill or while it was running:


C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\G Data\TotalCare\AVKTray\AVKTray.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Documents and Settings\Philippe\Bureau\rkill.pif


Rkill completed on 03/03/2010 at 10:17:28.




Le rapport mbam, à présent:


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3817
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

03/03/2010 10:35:38
mbam-log-2010-03-03 (10-35-38).txt

Type de recherche: Examen rapide
Eléments examinés: 121263
Temps écoulé: 13 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Philippe\Menu Démarrer\Programmes\Démarrage\winesm32.exe (Trojan.Inject) -> Delete on reboot.
C:\WINDOWS\system32\drivers\kpwkpbhk.sys (HackTool.Agent) -> Delete on reboot.
C:\A1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\A5.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\AB.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Philippe\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
phrq
 
Messages: 140
Inscription: 07 Nov 2006, 18:38

Messagede phrq » 03 Mar 2010, 11:08

Le rapport OTL, à présent:


OTL logfile created on: 03/03/2010 10:53:19 - Run 3
OTL by OldTimer - Version 3.1.32.0 Folder = C:\Documents and Settings\Philippe\Bureau
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 70,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 47,85 Gb Total Space | 14,32 Gb Free Space | 29,92% Space Free | Partition Type: NTFS
Drive D: | 47,85 Gb Total Space | 20,69 Gb Free Space | 43,23% Space Free | Partition Type: NTFS
Drive E: | 47,85 Gb Total Space | 16,69 Gb Free Space | 34,88% Space Free | Partition Type: NTFS
Drive F: | 46,35 Gb Total Space | 42,95 Gb Free Space | 92,67% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
Drive I: | 465,75 Gb Total Space | 223,55 Gb Free Space | 48,00% Space Free | Partition Type: NTFS

Computer Name: ALNATH2
Current User Name: Philippe
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan

========== Processes (SafeList) ==========

PRC - [2010/03/02 00:02:49 | 000,551,424 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Philippe\Bureau\OTL.exe
PRC - [2009/12/10 09:33:11 | 001,054,792 | ---- | M] (G Data Software AG) -- C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
PRC - [2009/11/26 12:50:52 | 000,302,152 | ---- | M] (G Data Software AG) -- C:\Program Files\Fichiers communs\G DATA\GDScan\GDScan.exe
PRC - [2009/11/25 02:07:32 | 001,251,488 | ---- | M] (G Data Software AG) -- C:\Program Files\G DATA\TotalCare\AVK\AVKWCtl.exe
PRC - [2009/11/25 02:05:05 | 001,547,104 | ---- | M] (G Data Software AG) -- C:\Program Files\G DATA\TotalCare\Firewall\GDFwSvc.exe
PRC - [2009/09/24 09:51:18 | 001,124,936 | ---- | M] (G DATA Software AG) -- C:\Program Files\G DATA\TotalCare\Firewall\GDFirewallTray.exe
PRC - [2009/09/07 08:07:50 | 000,925,768 | ---- | M] (G Data Software AG) -- C:\Program Files\G DATA\TotalCare\AVKTray\AVKTray.exe
PRC - [2009/08/12 08:04:48 | 000,397,896 | ---- | M] (G Data Software AG) -- C:\Program Files\G DATA\TotalCare\AVK\AVKService.exe
PRC - [2008/04/14 03:34:03 | 001,037,824 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008/02/17 21:26:45 | 000,151,552 | ---- | M] (Acronis) -- C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
PRC - [2008/02/17 21:26:45 | 000,061,440 | ---- | M] (Acronis) -- C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
PRC - [2007/09/29 15:37:08 | 000,617,472 | ---- | M] (Astase) -- C:\Program Files\Astase\UltraBackup\4.9\bin\thpassiveclientsvc.exe
PRC - [2007/08/31 19:58:50 | 000,357,800 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
PRC - [2004/02/11 19:21:30 | 000,327,793 | ---- | M] (Executive Software International, Inc.) -- C:\Program Files\Executive Software\Diskeeper\DkService.exe
PRC - [2002/12/04 10:52:48 | 000,237,568 | ---- | M] (Nikon Corporation) -- C:\Program Files\Nikon\NkView6\NkvMon.exe


========== Modules (SafeList) ==========

MOD - [2010/03/02 00:02:49 | 000,551,424 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Philippe\Bureau\OTL.exe
MOD - [2008/10/07 13:33:00 | 001,486,848 | ---- | M] () -- C:\WINDOWS\system32\nview.dll
MOD - [2008/10/07 13:33:00 | 000,327,680 | ---- | M] (NVIDIA Corporation) -- C:\WINDOWS\system32\nvwrsfr.dll
MOD - [2008/10/07 13:33:00 | 000,081,920 | ---- | M] (NVIDIA Corporation) -- C:\WINDOWS\system32\nvwddi.dll


========== Win32 Services (SafeList) ==========

SRV - File not found [Auto | Stopped] -- -- (nSvcLog)
SRV - File not found [Auto | Stopped] -- -- (ForcewareWebInterface)
SRV - File not found [Auto | Stopped] -- -- (ForceWare Intelligent Application Manager (IAM)) ForceWare Intelligent Application Manager (IAM)
SRV - [2009/12/10 09:33:11 | 001,054,792 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe -- (AVKProxy)
SRV - [2009/11/26 12:50:52 | 000,302,152 | ---- | M] (G Data Software AG) [On_Demand | Running] -- C:\Program Files\Fichiers communs\G DATA\GDScan\GDScan.exe -- (GDScan)
SRV - [2009/11/25 02:07:32 | 001,251,488 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Program Files\G DATA\TotalCare\AVK\AVKWCtl.exe -- (AVKWCtl)
SRV - [2009/11/25 02:05:05 | 001,547,104 | ---- | M] (G Data Software AG) [On_Demand | Running] -- C:\Program Files\G DATA\TotalCare\Firewall\GDFwSvc.exe -- (GDFwSvc)
SRV - [2009/10/21 11:28:04 | 000,865,352 | ---- | M] (G Data Software AG) [On_Demand | Stopped] -- C:\Program Files\G DATA\TotalCare\AVKBackup\AVKBackupService.exe -- (Service G Data Backup)
SRV - [2009/08/12 08:04:48 | 000,397,896 | ---- | M] (G Data Software AG) [Auto | Running] -- C:\Program Files\G DATA\TotalCare\AVK\AVKService.exe -- (AVKService)
SRV - [2009/04/20 02:44:06 | 000,918,600 | ---- | M] (G Data Software AG) [On_Demand | Stopped] -- C:\Program Files\G DATA\TotalCare\AVKTuner\AVKTunerService.exe -- (G Data Tuner Service)
SRV - [2009/02/14 23:22:12 | 006,558,336 | ---- | M] () [On_Demand | Stopped] -- c:\wamp\bin\mysql\mysql5.1.32\bin\mysqld.exe -- (wampmysqld)
SRV - [2008/12/09 23:10:14 | 000,024,636 | ---- | M] (Apache Software Foundation) [On_Demand | Stopped] -- c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe -- (wampapache)
SRV - [2008/11/17 08:05:32 | 000,195,752 | ---- | M] (CybelSoft) [On_Demand | Stopped] -- C:\Program Files\ma-config.com\maconfservice.exe -- (maconfservice)
SRV - [2008/02/19 22:30:01 | 000,069,632 | ---- | M] (Macromedia) [On_Demand | Stopped] -- C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe -- (Macromedia Licensing Service)
SRV - [2008/02/17 21:26:45 | 000,151,552 | ---- | M] (Acronis) [Auto | Running] -- C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2007/09/29 15:37:08 | 000,617,472 | ---- | M] (Astase) [Auto | Running] -- C:\Program Files\Astase\UltraBackup\4.9\bin\thpassiveclientsvc.exe -- (thpassivesvc)
SRV - [2007/09/29 15:35:44 | 001,927,168 | ---- | M] (Astase) [Disabled | Stopped] -- C:\Program Files\Astase\UltraBackup\4.9\bin\tbsd.exe -- (ThalliumServer)
SRV - [2007/05/16 09:41:18 | 000,029,704 | ---- | M] (TuneUp Software GmbH) [Auto | Running] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2005/11/14 01:06:04 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2004/02/11 19:21:30 | 000,327,793 | ---- | M] (Executive Software International, Inc.) [Auto | Running] -- C:\Program Files\Executive Software\Diskeeper\DkService.exe -- (Diskeeper)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://alnath.nuxit.net/mesliens.htm
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "http://alnath.nuxit.net/mesliens.htm"
FF - prefs.js..extensions.enabledItems: {9AA46F4F-4DC7-4c06-97AF-5035170633FE}:20.1.0.4
FF - prefs.js..extensions.enabledItems: {d57c9ff1-6389-48fc-b770-f78bd89b6e8a}:1.33
FF - prefs.js..extensions.enabledItems: {c45c406e-ab73-11d8-be73-000a95be3b12}:1.1.8


FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010/02/26 09:29:18 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010/02/23 09:24:52 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2009/09/01 13:37:26 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins [2008/12/15 13:08:14 | 000,000,000 | ---D | M]

[2008/08/26 10:54:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Mozilla\Extensions
[2010/03/02 10:52:48 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\c0sjk2fz.default\extensions
[2010/01/26 11:49:27 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\c0sjk2fz.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009/07/01 10:51:12 | 000,000,000 | ---D | M] (Web Developer) -- C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\c0sjk2fz.default\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12}
[2010/01/07 12:06:34 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Philippe\Application Data\Mozilla\Firefox\Profiles\c0sjk2fz.default\extensions\{d57c9ff1-6389-48fc-b770-f78bd89b6e8a}
[2010/03/02 10:52:48 | 000,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions
[2010/01/22 09:51:06 | 000,000,000 | ---D | M] (G Data Filtre Internet) -- C:\Program Files\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE}
[2009/10/16 19:24:07 | 000,001,516 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml
[2009/10/16 19:24:07 | 000,001,822 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\cnrtl-tlfi-fr.xml
[2009/10/16 19:24:07 | 000,000,757 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml
[2009/10/16 19:24:07 | 000,001,426 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml
[2009/10/16 19:24:07 | 000,000,652 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml

O1 HOSTS File: ([2010/03/03 10:36:04 | 000,000,734 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (G Data WebFilter) - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA\TotalCare\Webfilter\AVKWebIE.dll (G Data Software AG)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (G Data WebFilter) - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA\TotalCare\Webfilter\AVKWebIE.dll (G Data Software AG)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [G DATA AntiVirus Trayapplication] C:\Program Files\G DATA\TotalCare\AVKTray\AVKTray.exe (G Data Software AG)
O4 - HKLM..\Run: [GDFirewallTray] C:\Program Files\G DATA\TotalCare\Firewall\GDFirewallTray.exe (G DATA Software AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [QuickTime Task] C:\Program Files\QuickTime\qttask.exe (Apple Inc.)
O4 - HKCU..\Run: [ccleaner] C:\Program Files\CCleaner\CCleaner.exe (Piriform Ltd)
O4 - HKCU..\Run: [Google Update] C:\Documents and Settings\Philippe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe (Google Inc.)
O4 - HKCU..\Run: [QuickTime Task] C:\Program Files\QuickTime\qttask.exe (Apple Inc.)
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk.disabled ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\npjpi160_04.dll (Sun Microsystems, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_04)
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_04)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_04)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/s ... wflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 195.238.2.21 195.238.2.22
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/02/17 16:41:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*

========== Files/Folders - Created Within 14 Days ==========

[2010/03/03 10:37:38 | 000,000,000 | RH-D | C] -- C:\Documents and Settings\Philippe\Recent
[2010/03/02 00:13:01 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010/03/02 00:10:50 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Philippe\Bureau\Nouveau dossier
[2010/03/02 00:09:55 | 000,000,000 | ---D | C] -- C:\Program Files\ERUNT
[2010/03/02 00:07:13 | 000,791,393 | ---- | C] (Lars Hederer ) -- C:\Documents and Settings\Philippe\Bureau\erunt-setup.exe
[2010/03/02 00:05:48 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Philippe\Application Data\Malwarebytes
[2010/03/02 00:05:42 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010/03/02 00:05:40 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Malwarebytes
[2010/03/02 00:05:38 | 000,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010/03/02 00:05:36 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2010/03/02 00:04:24 | 005,115,824 | ---- | C] (Malwarebytes Corporation ) -- C:\Documents and Settings\Philippe\Bureau\mbam-setup.exe
[2010/03/02 00:02:47 | 000,551,424 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\Philippe\Bureau\OTL.exe
[2010/02/24 20:56:17 | 000,000,000 | ---D | C] -- C:\Program Files\Fichiers communs\Ciel
[2010/02/24 20:55:54 | 000,000,000 | ---D | C] -- C:\Données Ciel
[2010/02/24 20:55:54 | 000,000,000 | ---D | C] -- C:\Program Files\Ciel
[2010/02/24 20:55:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Ciel
[2010/02/24 20:53:48 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Philippe\Bureau\Ciel Auto Entrepreneur
[2010/02/05 00:02:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Google
[2010/02/04 23:57:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Google
[2010/02/01 23:32:48 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Philippe\Bureau\Villers-la-vigne
[2008/06/11 13:44:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Apple
[2008/03/05 23:14:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft
[2008/02/17 16:45:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft
[2008/02/17 16:41:01 | 000,000,000 | --SD | M] -- C:\Documents and Settings\NetworkService\Application Data\Microsoft
[2008/02/17 16:41:01 | 000,000,000 | --SD | M] -- C:\Documents and Settings\LocalService\Application Data\Microsoft
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\*.tmp files -> C:\*.tmp -> ]
[13 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 14 Days ==========

[2010/03/03 10:46:07 | 000,000,083 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\hostsperm-fr.bat
[2010/03/03 10:37:33 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010/03/03 10:37:17 | 000,195,534 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010/03/03 10:37:13 | 000,001,054 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010/03/03 10:37:11 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010/03/03 10:37:09 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010/03/03 10:36:18 | 011,534,336 | ---- | M] () -- C:\Documents and Settings\Philippe\ntuser.dat
[2010/03/03 10:36:04 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010/03/03 10:07:01 | 000,001,058 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010/03/03 10:05:00 | 000,001,158 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1957994488-1547161642-1801674531-1003UA.job
[2010/03/03 00:08:48 | 000,000,184 | -HS- | M] () -- C:\Documents and Settings\Philippe\ntuser.ini
[2010/03/02 23:39:21 | 000,363,008 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\rkill.pif
[2010/03/02 15:05:00 | 000,001,106 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1957994488-1547161642-1801674531-1003Core.job
[2010/03/02 00:09:57 | 000,000,599 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\ERUNT.lnk
[2010/03/02 00:07:13 | 000,791,393 | ---- | M] (Lars Hederer ) -- C:\Documents and Settings\Philippe\Bureau\erunt-setup.exe
[2010/03/02 00:05:45 | 000,000,703 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk
[2010/03/02 00:04:33 | 005,115,824 | ---- | M] (Malwarebytes Corporation ) -- C:\Documents and Settings\Philippe\Bureau\mbam-setup.exe
[2010/03/02 00:02:49 | 000,551,424 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Philippe\Bureau\OTL.exe
[2010/02/26 09:26:56 | 000,000,908 | ---- | M] () -- C:\WINDOWS\win.ini
[2010/02/24 20:56:31 | 000,001,766 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Ciel Auto-entrepreneur Facile.lnk
[2010/02/23 22:39:11 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2010/02/23 11:44:50 | 007,315,660 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\FP205-PFQX2559ZA-English.pdf
[2010/02/10 11:57:54 | 017,733,253 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\accident2-2scan.png
[2010/02/10 11:57:29 | 019,266,093 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\accident2-1scan.png
[2010/02/10 07:46:20 | 000,006,343 | ---- | M] () -- D:\Mes documents\absence Sophie2.rtf
[2010/02/09 13:35:37 | 000,205,796 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\ecconergie facture100209.pdf
[2010/02/06 14:27:13 | 000,258,044 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\accident1-2.pdf
[2010/02/06 14:25:19 | 000,405,122 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\accident1-1.pdf
[2010/02/04 23:59:16 | 000,001,922 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Google Earth.lnk
[2010/02/03 13:20:43 | 000,076,042 | ---- | M] () -- C:\Documents and Settings\Philippe\Bureau\liste pediatres.pdf
[2010/02/02 17:45:01 | 000,001,552 | RHS- | M] () -- C:\Documents and Settings\Philippe\Local Settings\Application Data\SCPSS.DLL
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\*.tmp files -> C:\*.tmp -> ]
[13 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010/03/03 10:46:07 | 000,000,083 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\hostsperm-fr.bat
[2010/03/02 23:39:17 | 000,363,008 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\rkill.pif
[2010/03/02 00:09:56 | 000,000,599 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\ERUNT.lnk
[2010/03/02 00:05:45 | 000,000,703 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk
[2010/02/28 18:54:52 | 000,000,016 | ---- | C] () -- C:\Documents and Settings\NetworkService\Application Data\rbuwzv.dat
[2010/02/24 20:56:31 | 000,001,766 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Ciel Auto-entrepreneur Facile.lnk
[2010/02/23 11:44:50 | 007,315,660 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\FP205-PFQX2559ZA-English.pdf
[2010/02/10 11:57:18 | 019,266,093 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\accident2-1scan.png
[2010/02/10 11:57:18 | 017,733,253 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\accident2-2scan.png
[2010/02/10 07:46:18 | 000,006,343 | ---- | C] () -- D:\Mes documents\absence Sophie2.rtf
[2010/02/09 13:34:43 | 000,205,796 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\ecconergie facture100209.pdf
[2010/02/06 14:27:12 | 000,258,044 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\accident1-2.pdf
[2010/02/06 14:25:17 | 000,405,122 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\accident1-1.pdf
[2010/02/04 23:59:16 | 000,001,922 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Google Earth.lnk
[2010/02/04 23:57:32 | 000,001,058 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010/02/04 23:57:31 | 000,001,054 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010/02/03 13:20:41 | 000,076,042 | ---- | C] () -- C:\Documents and Settings\Philippe\Bureau\liste pediatres.pdf
[2010/01/26 22:59:44 | 000,130,120 | ---- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
[2010/01/23 14:15:34 | 000,001,552 | RHS- | C] () -- C:\Documents and Settings\Philippe\Local Settings\Application Data\SCPSS.DLL
[2009/03/25 14:44:10 | 000,006,525 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2009/02/20 06:14:15 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2008/12/15 13:44:02 | 000,003,072 | ---- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Config.nt.bak
[2008/12/15 13:44:02 | 000,002,009 | ---- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Autoexec.nt.bak
[2008/12/15 13:44:02 | 000,000,734 | ---- | C] () -- C:\Documents and Settings\LocalService\Local Settings\Application Data\hosts.bak
[2008/09/01 14:17:26 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008/02/25 00:15:29 | 000,011,776 | ---- | C] () -- C:\Documents and Settings\Philippe\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/02/20 12:49:38 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\Dtctrace.dll
[2008/02/18 14:30:41 | 000,000,151 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008/02/18 10:23:38 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2008/02/18 10:20:28 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2008/02/18 10:20:26 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2008/02/17 23:55:31 | 000,000,131 | ---- | C] () -- C:\Documents and Settings\Philippe\Local Settings\Application Data\fusioncache.dat
[2008/02/17 21:26:43 | 000,037,888 | ---- | C] () -- C:\WINDOWS\System32\setupnt.dll
[2007/12/27 07:45:10 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\lame_wou.dll
[2007/12/05 01:41:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007/12/05 01:41:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007/12/05 01:41:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007/12/05 01:41:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007/12/05 01:41:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007/10/15 12:14:55 | 000,059,904 | ---- | C] () -- C:\WINDOWS\System32\zlib1.dll
[2007/10/15 12:14:54 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\sltsHash.dll
[2007/10/15 12:13:13 | 000,380,928 | ---- | C] () -- C:\WINDOWS\System32\OpenSSL.dll
[2007/10/02 06:35:50 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\image_utils.dll
[2007/10/02 06:35:28 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\zlib.dll
[2007/10/02 06:34:24 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\wmf2png.dll
[2005/09/14 23:04:28 | 000,002,548 | ---- | C] () -- C:\Documents and Settings\Philippe\Local Settings\Application Data\scpsv.dll

========== LOP Check ==========

[2009/05/21 10:58:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Cavomatic
[2010/02/24 20:56:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Ciel
[2008/02/19 23:55:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\EmbeddedThalliumBackup
[2010/01/08 20:20:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\G DATA
[2010/01/28 09:47:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Innovative Solutions
[2008/12/04 22:46:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ma-config.com
[2008/02/19 21:17:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Nikon
[2010/02/01 10:54:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\phpDesigner
[2008/12/15 14:27:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP
[2008/02/18 15:33:19 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TuneUp Software
[2008/06/18 10:35:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Alien Skin
[2009/12/25 00:42:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Cavomatic 2
[2010/03/02 23:29:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\FileZilla
[2009/12/14 23:01:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\GetRightToGo
[2008/02/17 21:28:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Micro Application
[2009/12/14 22:55:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\NCH Swift Sound
[2008/03/25 10:05:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Nikon
[2008/02/18 21:09:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Opera
[2010/02/01 11:05:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\phpDesigner
[2008/12/03 22:09:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\SystemRequirementsLab
[2008/02/18 20:19:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\Thunderbird
[2008/02/18 15:33:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\TuneUp Software
[2009/03/12 22:53:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\vghd
[2010/02/12 00:39:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Philippe\Application Data\XnView

========== Purity Check ==========



========== Alternate Data Streams ==========

@Alternate Data Stream - 120 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34
<End>


Grand merci :-)
Une précision: à ce stade les 50% de ressources qui étaient détournées dans un svchost.exe ont été libérées.
phrq
 
Messages: 140
Inscription: 07 Nov 2006, 18:38

Messagede nickW » 04 Mar 2010, 01:24

Bonsoir,

Encore un p'tit nettoyage:


Étape 1: OTL (de OldTimer), préparation du nettoyage
Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK

Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C

Code: Tout sélectionner
rien

:otl
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found

:Files
C:\Documents and Settings\NetworkService\Application Data\rbuwzv.dat

:Commands
[emptytemp]



Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom fix.txt <---- ne pas modifier le nom du fichier
Fermer le Bloc-notes.

Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur: phrq.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 2: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus.
Image G-Data TotalCare: clic droit sur l'icône de sécurité dans la SysBarre (à coté de l'horloge), choisir "Désactiver l'outil de surveillance", durée: 15 minutes


Étape 3: OTL (de OldTimer), nettoyage

Faire un double clic sur OTL.exe pour lancer l'outil.

L'écran principal de OTL s'affiche:
Image

Cliquer sur le bouton Run Fix: Image

Il y a ouverture d'une petite fenêtre "Information": Image

Cliquer sur le bouton Yes.

A partir de la nouvelle fenêtre "Ouvrir", naviguer jusqu'au dossier de sauvegarde du fichier fix.txt puis cliquer sur le bouton Ouvrir.

Le contenu du fichier fix.txt est ainsi inséré dans le panneau "Custom Scans/Fixes" Image

Fermer toutes les fenêtres de programme ouvertes autres que OTL (navigateur, traitement de texte, etc...): un redémarrage du PC va se produire.

Cliquer de nouveau sur le bouton Run Fix: Image

Note: Lorsque le redémarrage est demandé, cliquer sur Oui/Yes

Lorsque l'outil a terminé son travail, il y a affichage dans une petite fenêtre du message "Fix Complete! Click OK to open the fix log". Cliquer sur OK puis fermer OTL.


Étape 4: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antivirus.


Étape 5: Résultats
Envoyer en réponse:
*- le rapport de correction de OTL (contenu du fichier SystemDrive\_OTL\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede phrq » 04 Mar 2010, 09:38

Bonjour NickW

Merci de ta réponse

Cette nouvelle procédure s'est bien déroulée.

Deux précisions, avant d'insérer le rapport OTL:

1) CCleaner est installé sur cette machine, et il effectue un nettoyage à chaque démarrage de la machine. (Tu l'avais sans doute vu) J'ai simplement omis de le désactiver lors du redémarrage lors du nettoyage. J'ignore si cela est de nature à perturber le bon déroulement de la procédure.

2) Ce matin, au démarrage de la machine, (avant d'appliquer cette procédure, donc), un certain Winesm32.exe a essayé de se lancer au démarrage de la machine. Il a heureusement été bloqué par Gdata. Il semble que ce soit aussi un méchant. Cela a-t-il qq chose à voir avec cette procédure, ou bien est-ce un autre problème?

Merci à toi

Philippe


Ci dessous le rapport de correction OTL.

All processes killed
Error: Unable to interpret <rien> in the current context!
========== OTL ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.
========== FILES ==========
C:\Documents and Settings\NetworkService\Application Data\rbuwzv.dat moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 14503226 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 535103 bytes

User: Philippe
->Temp folder emptied: 68162 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 13 bytes
->FireFox cache emptied: 108766986 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 242896 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 4851 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2338282 bytes
%systemroot%\System32 .tmp files removed: 4935680 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 125,00 mb
phrq
 
Messages: 140
Inscription: 07 Nov 2006, 18:38

Messagede nickW » 05 Mar 2010, 01:36

Bonsoir,

Lorsque tu as exécuté rkill suivi de MBAM, ce dernier a-t-il fait redémarrer le PC?


Pourrais-tu effectuer les manips ci-dessous:


Étape 1: Gmer
Télécharger le programme exécutable (fichier .exe) depuis la page http://www.gmer.net/#files
Cliquer sur le bouton Download EXE.
Enregistrer le fichier à la racine du disque système (généralement C: ) en notant son nom (qui est aléatoire).


Étape 2: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus.
Image G-Data TotalCare: clic droit sur l'icône de sécurité dans la SysBarre (à coté de l'horloge), choisir "Désactiver l'outil de surveillance", durée: 1 heure


Étape 3: rkill (de Grinler), exécution
Note: si tu as supprimé rkill, le re-télécharger comme indiqué dans mon message du Mar 02 03 2010 à 19 05 (Étape 1).

Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

Ne pas faire redémarrer le PC jusqu'à la fin de l'étape 4 si MBAM le demande.


Étape 4: Malwarebytes' Anti-Malware, nettoyage
Fermer toutes les fenêtres de programme ouvertes.
Lancer Malwarebytes' Anti-Malware via le Menu Démarrer.
Si et seulement si Malwarebytes' Anti-Malware ne peut plus s'exécuter (il a été détruit par le nuisible),
[color="#FFFFFF"].....[/color]*- Télécharger l'exécutable depuis le lien: http://mbam.malwarebytes.org/program/random.php
[color="#FFFFFF"]et enregistrer ce fichier au nom aléatoire dans le dossier C:\Program Files\Malwarebytes' Anti-Malware
[color="#FFFFFF"].....[/color]*- Ouvrir le dossier C:\Program Files\Malwarebytes' Anti-Malware et faire un double clic sur le fichier au nom aléatoire qui vient d'être ainsi téléchargé.

Dans l'onglet Paramètres, vérifier que toutes les cases sont cochées sauf "Créer une option dans le menu contextuel pour analyser des fichiers (clic droit)".
Dans l'onglet Mise à jour, cliquer sur le bouton Recherche de mise à jour et installer toutes les mises à jour trouvées.
Dans l'onglet Recherche, cocher le bouton radio situé devant "Exécuter un examen rapide" puis cliquer sur le bouton Rechercher.
Attendre sans rien faire d'autre la fin de la recherche; dans la fenêtre annonçant la fin de l'analyse, cliquer sur OK; puis cliquer sur le bouton "Afficher les résultats".

Si des éléments nuisibles ont été détectés, cliquer sur le bouton "Supprimer la sélection"
Attendre patiemment sans rien faire d'autre la fin du nettoyage.
Un redémarrage est parfois nécessaire. Accepter.
Une fenêtre du Bloc-notes s'ouvre pour afficher le rapport. Fermer le Bloc-notes.
Cliquer sur le bouton "Quitter" pour fermer Malwarebytes' Anti-Malware.


Étape 5: Gmer

Important: si MBAM a fait redémarrer le PC et si G-Data TotalCare s'est réactivé, il faut le re-désactiver.

Fermer absolument toutes les applications, les connexions et les navigateurs.

Faire un double clic sur le fichier au nom aléatoire téléchargé précédemment.

Attendre quelques instants le chargement du pilote et les premières recherches.

Si l'outil affiche un message "WARNING !!! GMER has found system modification ... Do You want to fully scan your system ?", cliquer sur NO.

Vérifier que toutes les cases de la colonne de droite sont cochées sauf
Sections
les lecteurs autres que C:\
"Show all"

comme ceci:
Image

puis cliquer sur le bouton Scan.

Attendre sans rien faire d'autre (... c'est un peu long...).
Les clés de Registre & fichiers scannés s'affichent en bas de la fenêtre.

Lorsque l'outil a terminé (il n'y a plus de défilement en bas de la fenêtre), cliquer sur le bouton Save ....

Une fenêtre du Bloc-notes va s'ouvrir, contenant le fichier rapport.
Note: Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier sur le Bureau sous le nom gmer-100304.txt.
Fermer la fenêtre Gmer (clic sur OK).


Étape 6: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antivirus.


Étape 7: OTL (de OldTimer), analyse rapide
Fermer toutes les fenêtres de programme ouvertes.

Faire un double clic sur OTL.exe pour lancer l'outil.

L'écran principal de OTL s'affiche:
Image

Cliquer sur le bouton Quick Scan:
Image


Laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log).
Fermer le Bloc-notes.
Fermer la fenêtre de OTL.


Étape 8: Résultats
Envoyer en réponse:
*- le rapport de rkill (contenu du fichier rkill.log situé dans le dossier SystemDrive\)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
*- le rapport de Malwarebytes' Anti-Malware (contenu du fichier mbam-log-****-**-** (**-**-**).txt situé dans le dossier SystemDrive\Documents and Settings\<tonprofil>\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs où ****-** (**-**-**) représente la date [année-mois-jour] et l'heure [hh-mn-ss])
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
*- le rapport de Gmer (contenu du fichier gmer-100304.txt)<----ce rapport est souvent très long; vérifier qu'il est complet; si nécessaire le découper en plusieurs messages -- en utilisant toujours le bouton Répondre.

Envoyer ensuite en réponse dans un message distinct (à cause de la longueur du log):
*- le rapport principal de OTL (contenu du fichier OTL.Txt situé sur le Bureau).
Le rapport envoyé sur le forum doit se terminer par une ligne contenant <End>. Si ce n'est pas le cas, il est incomplet, et doit alors être découpé en plusieurs messages.

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 26 invités