Au secours, virus !!

jruku · Message par **jruku** » 20 juil. 2009, 23:54

Salut tous,
Un virus s'est installé sur mon PC sous vista après que j'ai tenté d'installer un .exe que pour le coup je soupçonne foireux.
Vista s'est fermé tout seul et à la réouverture j'ai eu un message d'Avast me disant qu'un programme essayait de le fermer (Avast) et d'accéder à la Base de Registre. J'ai demandé à Avast de ne pas se fermer mais rien n'y a fait.
Maintenant je ne peux plus lancer Avast, je n'ai plus de connexion internet (les réseaux ne sont pas détectés) et j'ai essayé de restaurer le système mais les deux essais avec deux points de restauration différents ont échoué.

Pensez-vous qu'il y ait des solutions avant de réinstaller le système ?

Merci d'avance.

Message par **nardino** » 20 juil. 2009, 23:58

Bonsoir,

"On réfléchit et on clique après pas le contraire" Maxime Malekalienne trop souvent ignorée.

Télécharge FindyKill de Chiquitine :
http://sd-1.archive-host.com/membres/up ... dyKill.exe

Installe le programme en cliquant sur le fichier FindyKill.exe
Clique sur [Next]
Coche "I agree whith the above terms and conditions", [Next] et [Next]
Accepte la création du dossier en cliquant sur [Oui] et clique sur [Start] puis [Exit]
Un dossier sera créé : C:\FindyKill
L'icône suivante apparaît sur ton bureau :

Clic sur cette icône et dans la fenêtre, tape F en bas après <F,C,E,Q> : pour afficher en français, valide par [Entrer]

Pour la détection tape 1 et valide par [Entrer]

Laisse faire le scan, qui va durer quelques instants.
Celui-ci terminé un rapport va s'ouvrir.
Poste ce dernier par copier-coller dans ta réponse.
Le rapport sera enregistré automatiquement ici : C:\FindyKill.txt

@+

jruku · Message par **jruku** » 21 juil. 2009, 00:36

Merci Nardino de ta réponse. Ton lien est mort, j'ai trouvé Findykill ailleurs, c'est une v5.004. Bref...
Voici ce que j'ai récupéré :

############################## | FindyKill V5.004 |

# User : Jluc (Administrateurs) # ASUS-JLUC
# Update on 17/07/09 by Chiquitine29
# Start at: 22:44:10 | 20/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 CPU T7200 @ 2.00GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090528-0] 4.8.1335 [ Enabled | Updated ]

# C:\ # Disque fixe local # 178,85 Go (46,5 Go free) [VistaOS] # NTFS
# D:\ # Disque fixe local # 119,23 Go (100,21 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 3,8 Go (3,54 Go free) # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ATK Hotkey\ASLDRSrv.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Program Files\P4G\BatteryLife.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ACEngSvr.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\StkCSrv.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Windows\System32\oopmagentts.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Innovative Solutions\DriverMax\devices.exe
C:\Users\Jluc\AppData\Roaming\drivers\winupgro.exe
C:\Windows\system32\svchost.exe
C:\Users\Jluc\AppData\Roaming\m\flec006.exe
C:\Program Files\ASUS\Asus MultiFrame\MultiFrame.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

############################## | Processus infectieux stoppés |

"C:\Users\Jluc\AppData\Roaming\drivers\winupgro.exe" (3056)
"C:\Users\Jluc\AppData\Roaming\m\flec006.exe" (3076)

################## | C: |

Présent ! F:\autorun.inf

################## | C:\Windows |

Présent ! C:\Windows\Prefetch\97999.EXE-B21D046C.pf
Présent ! C:\Windows\Prefetch\FLEC006.EXE-4FBE6F8F.pf
Présent ! C:\Windows\Prefetch\SERIAL.EXE-5BBAE2F3.pf

################## | C:\Windows\system32 |

Présent ! C:\Windows\system32\mdelk.exe

################## | C:\Windows\system32\drivers |

################## | C:\Users\Jluc\AppData\Roaming |

Présent ! C:\Users\Jluc\AppData\Roaming\drivers
Présent ! C:\Users\Jluc\AppData\Roaming\drivers\111wfs1intwq.sys
Présent ! C:\Users\Jluc\AppData\Roaming\drivers\11s11ro1s1a2.sys
Présent ! C:\Users\Jluc\AppData\Roaming\drivers\downld
Présent ! C:\Users\Jluc\AppData\Roaming\drivers\winupgro.exe
Présent ! C:\Users\Jluc\AppData\Roaming\m
Présent ! C:\Users\Jluc\AppData\Roaming\m\flec006.exe

################## | C:\Users\Jluc\Temporary Internet Files |

Présent ! C:\Users\Jluc\Local Settings\Temporary Internet Files\Content.IE5\2GXG6RNQ\b64[1].jpg
Présent ! C:\Users\Jluc\Local Settings\Temporary Internet Files\Content.IE5\47BFIHI4\b64_3[1].jpg

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_111111s1ro1s1a]
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
Présent ! [HKCU\Software\bisoft]
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKU\S-1-5-21-3475997095-3332038614-222242337-1000\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-3475997095-3332038614-222242337-1000\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Présent ! [HKU\S-1-5-21-3475997095-3332038614-222242337-1000\Software\bisoft]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\serial]
Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
Présent ! [HKU\S-1-5-21-3475997095-3332038614-222242337-1000\Software\Local AppWizard-Generated Applications\serial]
Présent ! [HKU\S-1-5-21-3475997095-3332038614-222242337-1000\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# (!) Uac = 0x0

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |

Message par **nardino** » 21 juil. 2009, 00:53

Bonsoir.

Relance FindyKill, F, et choisi 2 pour lancer la désinfection.

Poste le nouveau rapport.

Remarque.
Sous Vista il faut procéder à l'élévation des privilèges par clic droit sur l'icône et "Exécuter en tant qu'administrateur.

Voilà ce qu'on risque à télécharger et installer des programmes de cracks ou keygen.

@+

jruku · Message par **jruku** » 21 juil. 2009, 01:28

Voilà, fait et extrait ceci :

############################## | FindyKill V5.004 |

# User : Jluc (Administrateurs) # ASUS-JLUC
# Update on 17/07/09 by Chiquitine29
# Start at: 23:14:39 | 20/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 CPU T7200 @ 2.00GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090528-0] 4.8.1335 [ Enabled | Updated ]

# C:\ # Disque fixe local # 178,85 Go (46,41 Go free) [VistaOS] # NTFS
# D:\ # Disque fixe local # 119,23 Go (100,21 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ATK Hotkey\ASLDRSrv.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Program Files\P4G\BatteryLife.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\System32\ACEngSvr.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\StkCSrv.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |

################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\97999.EXE-B21D046C.pf
Supprimé ! C:\Windows\Prefetch\FLEC006.EXE-4FBE6F8F.pf
Supprimé ! C:\Windows\Prefetch\SERIAL.EXE-5BBAE2F3.pf
Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-CCC1740C.pf

################## | C:\Windows\system32 |

Supprimé ! C:\Windows\system32\mdelk.exe

################## | C:\Windows\system32\drivers |

################## | C:\Users\Jluc\AppData\Roaming |

Supprimé ! C:\Users\Jluc\AppData\Roaming\drivers\111wfs1intwq.sys
Supprimé ! C:\Users\Jluc\AppData\Roaming\drivers\11s11ro1s1a2.sys
Supprimé ! C:\Users\Jluc\AppData\Roaming\drivers\winupgro.exe
Supprimé ! C:\Users\Jluc\AppData\Roaming\m\flec006.exe
Supprimé ! C:\Users\Jluc\AppData\Roaming\drivers\downld
Supprimé ! C:\Users\Jluc\AppData\Roaming\drivers
Supprimé ! C:\Users\Jluc\AppData\Roaming\m

################## | Autres ... |

# Références de comparaison Bagle MD5 :

File : C:\Users\Jluc\AppData\Roaming\drivers\winupgro.exe
-> Crc32 : 026f9266 | Md5 : f594dba0fe595edc4f86de8817aebc41

Supprimé ! "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
-> Size : 864256 | Crc32 : 026f9266 | Md5 : f594dba0fe595edc4f86de8817aebc41

################## | Temporary Internet Files |

Supprimé ! C:\Users\Jluc\AppData\Local\Temp\Sygic McGuider 7.70 + Mappe Europa 2009\MCGuider 2009\2577\Autorun.exe
Supprimé ! C:\Users\Jluc\Local Settings\Temporary Internet Files\Content.IE5\2GXG6RNQ\b64[1].jpg
Supprimé ! C:\Users\Jluc\Local Settings\Temporary Internet Files\Content.IE5\47BFIHI4\b64_3[1].jpg

################## | Registre / Clés infectieuses |

Supprimé ! [HKCU\Software\bisoft]
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\serial]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat / Services / Informations |

# Mode sans echec : OK

# Affichage des fichiers cachés : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |

Corrompu : C:\Program Files\Alwil Software\Avast4\ashAvast.exe
[Offset = 0000011C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashDisp.exe
[Offset = 00000124 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashServ.exe
[Offset = 00000124 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
[Offset = 00000114 - Valeur = 0x0001]

Corrompu : C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
[Offset = 00000114 - Valeur = 0x0001]

################## | Cracks / Keygens / Serials |

J'ai récupéré ma connexion internet mais n'arrive toujours pas à lancer Avast!, je pense que je vais le réinstaller. De plus certains liens HTML ne fonctionnent pas correctement (je n'ai pas la petite main et le clic ne fait rien). Voilà pour le bilan.

Message par **nardino** » 21 juil. 2009, 01:52

Bonsoir.
Pour désinstaller Avast :
http://www.avast.com/fre/avast-uninstall-utility.html
Redémarre et réinstalles-le.
Pour supprimer FindyKill
-Relance l'outil et choisis l'option 3
-Supprime le rapport C:\FindyKill.txt manuellement

Pour peaufiner, une fois supprimé, télécharge Combofix
IMPORTANT. Enregistre ComboFix.exe sur le Bureau.
Désactive les applications antivirus et anti-malware, en général via un clic droit sur l'icône de la Zone de notification, sinon, elles risquent d'interférer avec l'outil.
Clique droit sur l'icône et Exécuter en ntant qu'administrateur.

Lorsque l'outil aura terminé, il affichera un rapport.
Copie le contenu dans ta prochaine réponse.
Il sera enregistré sous C:\Combofix.txt

@+

jruku · Message par **jruku** » 21 juil. 2009, 13:17

Je n'ai pas eu besoin de désinstaller/réinstaller Avast, après redémarrage c'est rentré dans l'ordre. Voici le log de Combofix :

ComboFix 09-07-20.05 - Jluc 21/07/2009 11:18.1.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.2047.1048 [GMT 2:00]
Running from: c:\users\Jluc\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090528-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: avast! antivirus 4.8.1335 [VPS 090528-0] *enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\acovcnt.exe

.
((((((((((((((((((((((((( Files Created from 2009-06-21 to 2009-07-21 )))))))))))))))))))))))))))))))
.

2009-07-20 21:51 . 2009-02-05 20:06 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-07-20 21:51 . 2009-02-05 20:07 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-07-20 21:51 . 2009-02-05 20:07 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-07-20 21:51 . 2009-02-05 20:06 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-07-20 20:42 . 2009-07-21 09:14 -------- d-----w- C:\FindyKill
2009-07-20 19:25 . 2008-07-16 16:43 20608 ----a-w- c:\windows\system32\drivers\VirtualAudio.sys
2009-07-15 09:31 . 2009-06-15 15:24 156672 ----a-w- c:\windows\system32\t2embed.dll
2009-07-15 09:31 . 2009-06-15 15:20 72704 ----a-w- c:\windows\system32\fontsub.dll
2009-07-15 09:31 . 2009-06-15 15:20 10240 ----a-w- c:\windows\system32\dciman32.dll
2009-07-15 09:31 . 2009-06-15 12:52 289792 ----a-w- c:\windows\system32\atmfd.dll
2009-07-13 22:29 . 2009-07-13 22:29 -------- d-----w- c:\program files\NCH Swift Sound
2009-07-11 15:54 . 2009-07-20 19:34 -------- d-----w- c:\users\Jluc\AppData\Roaming\vlc
2009-07-11 10:43 . 2009-07-11 10:43 -------- d-----w- c:\program files\Spb Software House
2009-07-09 11:23 . 2009-07-09 11:23 -------- d-----w- c:\users\Jluc\AppData\Local\Apps
2009-07-09 09:04 . 2009-07-13 09:31 42 ----a-w- c:\users\Jluc\AppData\Roaming\Jeyo\JMC_WM\nt32200jcwm.dll
2009-07-09 09:04 . 2009-07-13 09:31 32 ----a-w- c:\users\Jluc\AppData\Roaming\Jeyo\JMC_WM\ntcheck3232jcwm.dll
2009-07-09 09:04 . 2009-07-09 09:04 -------- d-----w- c:\users\Jluc\AppData\Roaming\Jeyo
2009-07-08 19:41 . 2009-07-13 09:33 -------- d-----w- c:\program files\Funambol
2009-07-06 15:22 . 2009-07-06 15:22 -------- d-----w- c:\program files\eRightSoft
2009-07-05 20:34 . 2009-07-05 21:00 -------- d-----w- c:\program files\CSV2ASC
2009-07-04 17:59 . 2006-04-21 10:00 5230532 ----a-w- c:\programdata\BSD\Heredis9\Arbre3D.exe
2009-07-04 17:59 . 2007-02-26 02:00 572928 ----a-w- c:\programdata\BSD\Heredis9\HTML\h8html.exe
2009-07-04 17:59 . 2009-07-04 17:59 -------- d-----w- c:\users\Jluc\AppData\Roaming\BSD
2009-07-04 17:59 . 2009-07-04 17:59 -------- d-----w- c:\programdata\BSD
2009-07-04 17:57 . 2009-07-04 17:57 -------- d-----w- c:\users\Jluc\AppData\Roaming\BSDh9
2009-07-04 17:55 . 1999-12-17 08:13 86016 ----a-w- c:\windows\unvise32.exe
2009-07-04 17:55 . 2009-07-04 17:55 -------- d-----w- c:\program files\BSD Concept
2009-07-04 17:32 . 2009-07-04 17:33 -------- d-----w- c:\program files\Common Files\Remote Control Software Common
2009-07-04 17:32 . 2009-07-04 17:32 -------- d-----w- c:\program files\Logitech
2009-07-04 16:32 . 2009-07-13 12:28 -------- d-----w- c:\users\Jluc\AppData\Local\ApplicationHistory
2009-07-04 16:32 . 2009-07-04 16:32 92 ----a-w- c:\users\Jluc\AppData\Local\fusioncache.dat
2009-07-04 16:32 . 2009-07-04 16:32 -------- d-----w- c:\program files\Matthieu DUCROCQ
2009-07-04 16:29 . 2009-07-04 16:29 -------- d-----w- c:\windows\system32\URTTEMP
2009-07-03 07:12 . 2009-07-03 07:15 -------- d-----w- c:\program files\SKTools
2009-07-02 20:34 . 2009-07-02 20:34 -------- d-----w- c:\users\Jluc\AppData\Roaming\Babylon
2009-07-02 20:34 . 2009-07-02 20:34 -------- d-----w- c:\programdata\Babylon
2009-07-02 17:49 . 2009-07-02 17:49 -------- d-----w- c:\program files\Microsoft.NET
2009-06-25 10:34 . 2009-05-05 10:15 1095808 ----a-w- c:\windows\system32\drivers\smserial.sys
2009-06-25 10:34 . 2009-05-05 09:02 532480 ----a-w- c:\windows\system32\sm56co85.dll
2009-06-22 08:43 . 2009-06-22 08:43 456304 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb16BD.tmp.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-20 21:52 . 2007-01-10 19:43 12 ----a-w- c:\windows\bthservsdp.dat
2009-07-20 20:43 . 2007-01-10 19:17 679418 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-20 20:43 . 2007-01-10 19:17 128418 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-20 11:56 . 2009-05-27 14:26 -------- d-----w- c:\users\Jluc\AppData\Roaming\Money Manager Ex
2009-07-19 19:30 . 2009-05-25 11:59 -------- d-----w- c:\users\Jluc\AppData\Roaming\uTorrent
2009-07-19 11:52 . 2009-05-26 13:11 -------- d-----w- c:\users\Jluc\AppData\Roaming\FileZilla
2009-07-16 13:47 . 2009-06-02 13:07 -------- d-----w- c:\users\Jluc\AppData\Roaming\dvdcss
2009-07-16 01:02 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-07-14 07:57 . 2009-05-27 13:38 -------- d-----w- c:\users\Jluc\AppData\Roaming\OFFICEOne7
2009-07-14 06:42 . 2009-05-25 11:12 52600 ----a-w- c:\users\Jluc\AppData\Local\GDIPFONTCACHEV1.DAT
2009-07-13 12:22 . 2009-05-25 10:57 680 ----a-w- c:\users\Jluc\AppData\Local\d3d9caps.dat
2009-07-10 12:53 . 2009-05-25 19:41 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-06 07:54 . 2009-05-25 11:58 -------- d-----w- c:\program files\FileZilla FTP Client
2009-06-22 08:43 . 2009-06-13 16:41 -------- d-----w- c:\users\Jluc\AppData\Roaming\gtk-2.0
2009-06-16 10:09 . 2009-06-16 09:23 -------- d-----w- c:\users\Jluc\AppData\Roaming\Apple Computer
2009-06-16 09:22 . 2009-06-16 09:22 -------- d-----w- c:\programdata\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-06-16 09:22 . 2009-06-16 09:22 -------- d-----w- c:\program files\iTunes
2009-06-16 09:22 . 2009-06-16 09:22 -------- d-----w- c:\program files\iPod
2009-06-16 09:22 . 2009-06-16 09:18 -------- d-----w- c:\program files\Common Files\Apple
2009-06-16 09:22 . 2009-06-16 09:02 -------- d-----w- c:\programdata\Apple Computer
2009-06-16 09:20 . 2009-06-16 09:20 -------- d-----w- c:\program files\Bonjour
2009-06-16 09:03 . 2009-06-16 09:02 -------- d-----w- c:\program files\QuickTime
2009-06-16 09:00 . 2009-06-16 09:00 -------- d-----w- c:\program files\Apple Software Update
2009-06-16 09:00 . 2009-06-16 09:00 -------- d-----w- c:\programdata\Apple
2009-06-16 07:55 . 2009-05-27 13:31 -------- d-----w- c:\users\Jluc\AppData\Roaming\OFFICE One v7
2009-06-16 07:53 . 2009-06-16 07:53 624128 ----a-w- c:\windows\system32\PDFCreatorPilot2.dll
2009-06-16 07:53 . 2009-06-16 07:53 77824 ----a-w- c:\windows\system32\oopmdisp.exe
2009-06-16 07:53 . 2009-06-16 07:53 69632 ----a-w- c:\windows\system32\oopmagentts.exe
2009-06-16 07:53 . 2009-06-16 07:53 31232 ----a-w- c:\windows\system32\progress.exe
2009-06-16 07:53 . 2009-06-16 07:53 26112 ----a-w- c:\windows\system32\oopmpm.dll
2009-06-16 07:53 . 2009-05-27 13:31 -------- d-----w- c:\programdata\OFFICE One v7
2009-06-16 07:52 . 2009-05-27 13:31 -------- d-----w- c:\program files\OFFICE One v7
2009-06-11 08:09 . 2009-06-11 08:09 -------- d-----w- c:\programdata\Innovative Solutions
2009-06-05 11:57 . 2009-06-05 11:57 75048 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 8.2.0.23\SetupAdmin.exe
2009-06-04 07:22 . 2009-06-04 07:22 -------- d-----w- c:\users\Jluc\AppData\Roaming\Stellarium
2009-06-04 07:05 . 2009-06-04 07:05 -------- d-----w- c:\program files\Stellarium
2009-06-04 06:55 . 2009-05-25 19:41 -------- d-----w- c:\program files\Realtek
2009-06-02 20:07 . 2009-06-02 20:07 -------- d-----w- c:\programdata\WindowsSearch
2009-06-02 19:37 . 2009-05-25 11:57 -------- d-----w- c:\users\Jluc\AppData\Roaming\InfraRecorder
2009-06-02 14:12 . 2009-06-02 14:12 -------- d-----w- c:\program files\AviSynth 2.5
2009-06-02 14:04 . 2009-06-02 13:20 -------- d-----w- c:\programdata\RapidSolution
2009-06-02 13:28 . 2009-06-02 13:28 -------- d-----w- c:\program files\URUSoft
2009-06-02 13:20 . 2009-06-02 13:20 -------- d-----w- c:\program files\RapidSolution
2009-05-29 14:22 . 2009-05-29 14:22 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2009-05-29 09:07 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2009-05-29 09:07 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Collaboration
2009-05-29 09:07 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Calendar
2009-05-29 09:07 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Photo Gallery
2009-05-29 09:07 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Journal
2009-05-29 09:07 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Defender
2009-05-29 09:06 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-05-29 08:39 . 2006-11-02 10:32 101888 ----a-w- c:\windows\system32\ifxcardm.dll
2009-05-29 08:38 . 2006-11-02 10:32 82432 ----a-w- c:\windows\system32\axaltocm.dll
2009-05-28 08:59 . 2009-05-28 08:49 -------- d-----w- c:\program files\VBW
2009-05-28 08:50 . 2009-05-28 08:50 -------- d-----w- c:\program files\Common Files\Borland Shared
2009-05-27 14:33 . 2009-05-27 14:33 -------- d-----w- c:\program files\Common Files\Remote Control USB Driver
2009-05-27 14:26 . 2009-05-27 14:26 705883 ----a-w- c:\users\Jluc\AppData\Roaming\Money Manager Ex\unins000.exe
2009-05-27 13:35 . 2009-05-27 13:35 -------- d-----w- c:\program files\GIMP-2.0
2009-05-27 13:32 . 2009-05-27 13:32 -------- d-----w- c:\program files\ISSENDIS
2009-05-27 13:29 . 2009-05-27 13:29 -------- d-----w- c:\program files\OFFICE One 7.0
2009-05-27 11:19 . 2009-05-27 11:19 0 ----a-w- c:\windows\ativpsrm.bin
2009-05-27 01:01 . 2009-05-27 01:01 269312 ----a-w- c:\windows\system32\es.dll
2009-05-26 13:08 . 2009-05-26 13:08 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-05-26 13:08 . 2009-05-26 13:08 -------- d-----w- c:\program files\Java
2009-05-26 09:16 . 2009-05-25 17:56 -------- d-----w- c:\program files\Google
2009-05-26 09:15 . 2009-05-26 09:15 -------- d-----w- c:\program files\Common Files\Adobe
2009-05-26 09:12 . 2009-05-25 17:56 -------- d-----w- c:\programdata\NOS
2009-05-26 09:10 . 2009-05-25 17:56 -------- d-----w- c:\program files\NOS
2009-05-26 08:48 . 2009-05-26 08:48 -------- d-----w- c:\program files\Innovative Solutions
2009-05-25 21:21 . 2009-05-25 21:21 212480 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2009-05-25 21:21 . 2009-05-25 21:21 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-05-25 19:55 . 2009-05-25 19:55 0 ----a-w- c:\windows\system32\drivers\1043_ASUSTeK_F3JP.alu
2009-05-25 19:50 . 2009-05-25 19:50 -------- d-----w- c:\program files\PowerForPhone
2009-05-25 19:49 . 2009-05-25 19:49 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_SynTP_01000.Wdf
2009-05-25 19:49 . 2009-05-25 19:49 -------- d-----w- c:\program files\Synaptics
2009-05-25 19:49 . 2009-05-25 19:42 -------- d-----w- c:\program files\ASUS
2009-05-25 19:47 . 2009-05-25 19:47 -------- d-----w- c:\programdata\P4G
2009-05-25 19:47 . 2009-05-25 19:47 -------- d-----w- c:\program files\P4G
2009-05-25 19:46 . 2009-05-25 19:46 -------- d-----w- c:\programdata\ASUS
2009-05-25 19:44 . 2009-05-25 19:44 -------- d-----w- c:\program files\Wireless Console 2
2009-05-25 19:43 . 2009-05-25 19:43 -------- d-----w- c:\program files\ATKOSD2
2009-05-25 19:43 . 2009-05-25 19:43 -------- d-----w- c:\program files\ATK Hotkey
2009-05-25 19:42 . 2009-05-25 19:41 -------- d-----w- c:\program files\Common Files\InstallShield
2009-05-25 19:41 . 2009-05-25 19:41 319984 ----a-w- c:\windows\DIFxAPI.dll
2009-05-25 19:41 . 2009-05-25 19:08 -------- d-----w- c:\program files\7-Zip
2009-05-25 19:40 . 2009-05-25 19:40 -------- d-----w- c:\program files\ATI
2009-05-25 19:38 . 2009-05-25 19:38 -------- d-----w- c:\program files\Intel
2009-05-25 19:30 . 2009-05-25 19:30 -------- d-----w- c:\program files\Motorola
2009-05-25 19:14 . 2009-05-25 19:14 -------- d-----w- c:\program files\IZArc
2009-05-25 18:50 . 2009-05-25 18:50 61440 ----a-w- c:\windows\system32\winipsec.dll
2009-05-25 18:50 . 2009-05-25 18:50 361984 ----a-w- c:\windows\system32\IPSECSVC.DLL
2009-05-25 18:50 . 2009-05-25 18:50 28672 ----a-w- c:\windows\system32\FwRemoteSvr.dll
2009-05-25 18:50 . 2009-05-25 18:50 272896 ----a-w- c:\windows\system32\polstore.dll
2009-05-25 18:47 . 2009-05-25 18:47 94720 ----a-w- c:\windows\system32\PortableDeviceClassExtension.dll
2009-05-25 18:47 . 2009-05-25 18:47 241152 ----a-w- c:\windows\system32\PortableDeviceApi.dll
2009-05-25 18:47 . 2009-05-25 18:47 160768 ----a-w- c:\windows\system32\PortableDeviceTypes.dll
2009-05-25 18:33 . 2009-05-25 18:33 376832 ----a-w- c:\windows\system32\winhttp.dll
2009-05-25 18:30 . 2009-05-25 18:30 296960 ----a-w- c:\windows\system32\gdi32.dll
2009-05-25 18:22 . 2009-05-25 18:22 562176 ----a-w- c:\windows\system32\msdtcprx.dll
2009-05-25 18:22 . 2009-05-25 18:22 38912 ----a-w- c:\windows\system32\xolehlp.dll
2009-07-19 06:58 . 2009-05-25 10:44 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
1999-05-06 06:22 . 2007-01-10 19:12 224150 --sha-r- c:\windows\ConfigSetRoot\IO.SYS
1999-05-06 06:22 . 2007-01-10 19:12 1026 --sha-r- c:\windows\ConfigSetRoot\MSDOS.SYS
2000-06-21 20:22 . 2007-01-10 19:12 0 --sha-w- c:\windows\ConfigSetRoot\DOS\EBD.SYS
2006-05-03 09:06 . 2009-06-02 14:11 163328 --sh--r- c:\windows\System32\flvDX.dll
2007-02-21 10:47 . 2009-06-02 14:11 31232 --sh--r- c:\windows\System32\msfDX.dll
2008-03-16 12:30 . 2009-06-02 14:11 216064 --sh--r- c:\windows\System32\nbDX.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-26 39408]
"DriverMax"="c:\program files\Innovative Solutions\DriverMax\devices.exe" [2009-06-10 7920472]
"DriverMax_RESTART"="c:\program files\Innovative Solutions\DriverMax\devices.exe" [2009-06-10 7920472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2008-11-25 6691360]
"ATKMEDIA"="c:\program files\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-22 815104]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-26 148888]
"ooquickpdfv7"="c:\windows\system32\oopmagentts.exe" [2009-06-16 69632]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]

c:\users\Jluc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
MultiFrame.lnk - c:\program files\ASUS\Asus MultiFrame\MultiFrame.exe [2009-5-25 991600]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"UacDisableNotify"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3475997095-3332038614-222242337-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile\AuthorizedApplications\List]
"c:\\Program Files\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"= c:\program files\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{1EA94789-E10B-4648-8053-490AA4C554F9}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{BD851255-08FD-452C-BC0C-4F21810F9254}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"TCP Query User{438F1332-1E2D-4A69-80F8-1B71236FBC47}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{6CF552A4-58DC-4799-A76B-E245F2657D39}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"{E87325BE-4551-4304-9438-DB90FAD5CAF1}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync
"{C2F1D8C6-07F0-427E-B4DA-EBCC9A6B4CD7}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{9A18F584-E898-4126-87EC-DE9AD0E0BDE7}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{4736E1F7-1EC7-4110-A2E1-A59A0D50DF35}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{C325F430-EA85-4A5C-AE4F-87486F355013}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"TCP Query User{E49AA05E-C79B-4871-8F29-9ADFE384A724}c:\\program files\\funambol\\tools\\jre-1.5.0\\jre\\bin\\javaw.exe"= UDP:c:\program files\funambol\tools\jre-1.5.0\jre\bin\javaw.exe:Java(TM) 2 Platform Standard Edition binary
"UDP Query User{CF575AA3-F419-4472-9AD4-35E00FF2D5F0}c:\\program files\\funambol\\tools\\jre-1.5.0\\jre\\bin\\javaw.exe"= TCP:c:\program files\funambol\tools\jre-1.5.0\jre\bin\javaw.exe:Java(TM) 2 Platform Standard Edition binary
"TCP Query User{A45F4DDB-83D8-4F4F-AA15-1E7CE9270475}c:\\program files\\jeyo\\jmc_windowsmobile\\jmc_wm.exe"= UDP:c:\program files\jeyo\jmc_windowsmobile\jmc_wm.exe:Jeyo Mobile Companion
"UDP Query User{FB5970C3-6F1E-44AB-A21E-1E3EBDC89F54}c:\\program files\\jeyo\\jmc_windowsmobile\\jmc_wm.exe"= TCP:c:\program files\jeyo\jmc_windowsmobile\jmc_wm.exe:Jeyo Mobile Companion
"{D36F5529-BBDF-4EB4-BDBC-ADCCDDC55300}"= Disabled:UDP:c:\program files\BSD Concept\Heredis 9\LanceurHeredis9.exe:Heredis 9
"{21E3F4DC-E25C-4F21-A0FC-005DD0DC9144}"= Disabled:TCP:c:\program files\BSD Concept\Heredis 9\LanceurHeredis9.exe:Heredis 9

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"= c:\program files\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [20/07/2009 23:51 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [20/07/2009 23:51 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [25/05/2009 13:09 51792]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\System32\StkCSrv.exe [25/05/2009 21:19 24576]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\System32\drivers\NETw5v32.sys [29/05/2009 10:38 4232704]
R3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\System32\drivers\StkCMini.sys [25/05/2009 21:19 1132544]
R3 WCPU;WCPU;c:\program files\P4G\WCPU.sys [25/05/2009 21:47 11120]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [26/05/2009 11:10 33176]
S3 MovRVDrv32;MovRVDrv32;c:\windows\System32\drivers\MovRVDrv32.sys [02/06/2009 22:02 3768]
S3 wsvad_driver;Daniusoft Audio Device;c:\windows\System32\drivers\VirtualAudio.sys [20/07/2009 21:25 20608]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {8BB7F11E-4F20-9E97-0350-0EEDEF3C3D89} /qb

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]
c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-StartCCC - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.asus.com
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Jluc\AppData\Roaming\Mozilla\Firefox\Profiles\37ivmzm4.default\
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-21 11:23
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

? [12768]
? [31136]
? [31964]
? [31100]
? [40752]
? [31108]
scanning hidden autostart entries ...

scanning hidden files ...

c:\users\Jluc\AppData\Local\Temp\catchme.dll 53248 bytes executable

scan completed successfully
hidden files: 1

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Completion time: 2009-07-21 11:26
ComboFix-quarantined-files.txt 2009-07-21 09:26

Pre-Run: 53 040 394 240 octets libres
Post-Run: 53 027 434 496 octets libres

330 --- E O F --- 2009-07-17 06:03

Message par **nardino** » 21 juil. 2009, 13:35

Bonjour.

Pour supprimer l'outil, ouvre un bloc-notes, dans menu Windows > Tous les programmes > Accessoires.
Copie-colle ce qui suit dans l'encadré

ComboFix /u
del c:\Combofix.txt
del c:\Qoobox

Enregistre sous RemCombo.bat sur le bureau
Double clique sur le fichier obtenu.
Réponds par O pour confirmer la suppression des fichiers.

Télécharge Catchme de Gmer sur le bureau :
http://www.gmer.net/catchme.php

Clique sur le fichier catchme.exe et sur Exécuter en tant qu'administrateur pour lancer l'utilitaire.
Clique sur Scan, Une fenêtre DOS s'ouvrira pour commencer l'analyse.
Attend jusqu'au message « Scan completed successfully », puis ferme la fenêtre.
Un fichier catchme.log est alors créé sur le bureau contenant le résultat de l'analyse.
Postes-le.

@+

jruku · Message par **jruku** » 21 juil. 2009, 14:23

Et voici :

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-21 12:27:52
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

? [12768]
? [31964]
? [40728]
? [10048]
? [41004]
? [41640]
? [59496]
? [1540]
? [1556]
? [5648]
? [15508]

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00173104e249]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018f3d70100]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\00173104e249]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018f3d70100]

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 11
hidden services: 0
hidden files: 0

Message par **nardino** » 21 juil. 2009, 20:43

Bonsoir,

Télécharge Gmer.exe
http://www.gmer.net/#files
Clique sur Download EXE
Tu vas obtenir une fichier avec une suite de caractères.
Tu cliques droit sur le fichier et Exécuter en tant qu'administrateur, il ne nécessite pas d'installation.
Tu cliques sur l'onglet Rootkit/Malware
Tu coches le disque C au minimum.
Tu coches tout y compris Ads et tu cliques sur scan.
Laisse l'outil travailler, cela peut prendre un quart d'heure.
Quand le scan sera terminé, clique sur Save..., choisis le nom que tu veux pour le rapport ainsi que sa destination pour le retrouver.(Ex: Gmer.log sur le bureau)
Tu l'ouvres et tu postes un copier-coller dans ta réponse

Tu supprimes les lignes en rouge s'il y en a.

Tu cliques droit sur la ligne et tu sélectionnes l'action appropriée : Delete File ou Delete the service selon le type dela colonne de gauche.

@+

jruku · Message par **jruku** » 21 juil. 2009, 22:13

Et hop :

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-21 20:23:22
Windows 6.0.6001 Service Pack 1

---- Kernel code sections - GMER 1.0.15 ----

? C:\Windows\system32\Drivers\PROCEXP90.SYS Le fichier spécifié est introuvable. !
? C:\Users\Jluc\AppData\Local\Temp\catchme.sys Le fichier spécifié est introuvable. !

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\system32\services.exe[684] @ C:\Windows\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 001F0002
IAT C:\Windows\system32\services.exe[684] @ C:\Windows\system32\services.exe [KERNEL32.dll!CreateProcessW] 001F0000

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

---- Processes - GMER 1.0.15 ----

Process hidden process (*** hidden *** ) 6724
Process hidden process (*** hidden *** ) 6848
Process hidden process (*** hidden *** ) 10048
Process hidden process (*** hidden *** ) 12768
Process hidden process (*** hidden *** ) 13620
Process hidden process (*** hidden *** ) 13648
Process hidden process (*** hidden *** ) 13676
Process hidden process (*** hidden *** ) 13748
Process hidden process (*** hidden *** ) 13828
Process hidden process (*** hidden *** ) 31964
Process hidden process (*** hidden *** ) 34660
Process hidden process (*** hidden *** ) 34744
Process hidden process (*** hidden *** ) 40728
Process hidden process (*** hidden *** ) 41004
Process hidden process (*** hidden *** ) 41640
Process hidden process (*** hidden *** ) 59496

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00173104e249
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018f3d70100
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\00173104e249
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018f3d70100

---- EOF - GMER 1.0.15 ----

Petites précisions demandées : FindyKill pour trouver et "tuer' les fichiers infectieux OK, Combofix, je suppose que ça sert à remettre de l'ordre dans la base de registre, mais Catchme et Gmer, ça sert à quoi ?

Message par **nardino** » 22 juil. 2009, 00:32

Bonsoir.

FindyKill pour tuer Bagle, Combofix pour vérifier si d'autres amis de bagle ne se sont pas joint à la fête.
CatchMe et Gmer, du même éditeur, pour détecter d'éventuels rootkits ou fichiers cachés.
Dans ton cas il en existe mais pas moyen de les identifier pour le moment.
Nous allons avoir recours à un nouvel outil, sans installation non plus, pour tenter de voir qui est en 12768 par exemple.

Tu vas télécharger Process Exlorer de Marc Russinovich.
http://download.sysinternals.com/Files/ ... plorer.zip
Tu le décompresse et tu lances Procexp.exe
Tu cliques sur l'icône de disquette en haut à gauche et tu enregistres Procexp.txt où tu veux pour le retrouver et le poster ici.

Nous ferons le ménage plus tard.
@+

jruku · Message par **jruku** » 22 juil. 2009, 10:19

Voiiiiila

:

Process PID CPU Description Company Name
System Idle Process 0 93.63
Interrupts n/a 0.77 Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 440 Windows Session Manager Microsoft Corporation
csrss.exe 572 Processus d'exécuttion client-serveur Microsoft Corporation
wininit.exe 636 Application de démarrage de Windows Microsoft Corporation
services.exe 684 Applications Services et Contrôleur Microsoft Corporation
svchost.exe 912 Processus hôte pour les services Windows Microsoft Corporation
ACEngSvr.exe 2032 ACEngSvr Module ASUSTeK
svchost.exe 984 Processus hôte pour les services Windows Microsoft Corporation
svchost.exe 1020 Processus hôte pour les services Windows Microsoft Corporation
Ati2evxx.exe 1116 ATI External Event Utility EXE Module ATI Technologies Inc.
Ati2evxx.exe 1688 ATI External Event Utility EXE Module ATI Technologies Inc.
svchost.exe 1156 Processus hôte pour les services Windows Microsoft Corporation
audiodg.exe 1304 Isolation graphique de périphérique audio Windows Microsoft Corporation
svchost.exe 1188 Processus hôte pour les services Windows Microsoft Corporation
dwm.exe 1816 Gestionnaire de fenêtres du Bureau Microsoft Corporation
svchost.exe 1200 Processus hôte pour les services Windows Microsoft Corporation
taskeng.exe 1660 Moteur du Planificateur de tâches Microsoft Corporation
taskeng.exe 2188 Moteur du Planificateur de tâches Microsoft Corporation
taskeng.exe 78304 Moteur du Planificateur de tâches Microsoft Corporation
SLsvc.exe 1336 Service de gestion des licences Microsoft Microsoft Corporation
svchost.exe 1368 Processus hôte pour les services Windows Microsoft Corporation
svchost.exe 1516 Processus hôte pour les services Windows Microsoft Corporation
ASLDRSrv.exe 1924 ASLDR Service
HControl.exe 1948 HControl ATK0100
ATKOSD.exe 316 ATKOSD
wcourier.exe 1972 Wireless Console 2
ACMON.exe 1980 ACMON ATK
BatteryLife.exe 1988 Power4Gear eXtreme ATK
aswUpdSv.exe 1964 avast! Antivirus updating service ALWIL Software
ashServ.exe 2016 avast! antivirus service ALWIL Software
spoolsv.exe 1684 Application sous-système spouleur Microsoft Corporation
svchost.exe 208 Processus hôte pour les services Windows Microsoft Corporation
AppleMobileDeviceService.exe 2396 Apple Mobile Device Service Apple Inc.
mDNSResponder.exe 2416 Bonjour Service Apple Inc.
svchost.exe 2428 Processus hôte pour les services Windows Microsoft Corporation
svchost.exe 2484 Processus hôte pour les services Windows Microsoft Corporation
spmgr.exe 2504 spmgr Module
svchost.exe 2548 Processus hôte pour les services Windows Microsoft Corporation
StkCSrv.exe 2648 Syntek Hardware Snapshot Launch Application Services Syntek America Inc.
svchost.exe 2764 Processus hôte pour les services Windows Microsoft Corporation
SearchIndexer.exe 2788 1.55 Indexeur Microsoft Windows Search Microsoft Corporation
SearchProtocolHost.exe 1037464 Microsoft Windows Search Protocol Host Microsoft Corporation
SearchFilterHost.exe 1037488 Microsoft Windows Search Filter Host Microsoft Corporation
svchost.exe 3972 Processus hôte pour les services Windows Microsoft Corporation
iPodService.exe 968 iPodService Module Apple Inc.
ashMaiSv.exe 75584 avast! e-Mail Scanner Service ALWIL Software
ashWebSv.exe 106540 avast! Web Scanner ALWIL Software
lsass.exe 696 Processus de l’autorité de sécurité locale Microsoft Corporation
lsm.exe 704 Service du gestionnaire de session locale Microsoft Corporation
csrss.exe 648 Processus d'exécuttion client-serveur Microsoft Corporation
winlogon.exe 880 Application d'ouverture de session Windows Microsoft Corporation
explorer.exe 106264 Explorateur Windows Microsoft Corporation
firefox.exe 107176 2.32 Firefox Mozilla Corporation
WinMail.exe 125032 Windows Mail Microsoft Corporation
procexp.exe 1041196 2.32 Sysinternals Process Explorer Sysinternals - www.sysinternals.com
MSASCui.exe 3576 Windows Defender User Interface Microsoft Corporation
sm56hlpr.exe 3668 SM56 Modem Helper Motorola Inc.
RtHDVCpl.exe 3856 HD Audio Control Panel Realtek Semiconductor
DMedia.exe 3864 DMedia ASUSTeK Computer INC.
SynTPEnh.exe 3876 Synaptics TouchPad Enhancements Synaptics, Inc.
ashDisp.exe 3888 avast! service GUI component ALWIL Software
wmdc.exe 3920 Gestionnaire pour appareils Windows Mobile Microsoft Corporation
jusched.exe 3948 Java(TM) Platform SE binary Sun Microsystems, Inc.
oopmagentts.exe 3960 Virtual Printer Agent
iTunesHelper.exe 4000 iTunesHelper Module Apple Inc.
GoogleToolbarNotifier.exe 4036 GoogleToolbarNotifier Google Inc.
devices.exe 4064 0.77 DriverMax Innovative Solutions
MultiFrame.exe 836 ASUS MultiFrame ASUSTek Computer Inc.
conime.exe 97500 Console IME Microsoft Corporation

Message par **nardino** » 22 juil. 2009, 11:24

Bonjour.

Comme je le présumais, Process Explorer ne liste pas les processus cachés.
Il va falloir faire des recherches plus approfondies.

En attendant faisons un peu de ménage.
Tu supprimes simplement les otuils suivants et leurs rapports:
Gmer
CatchMe
Process Explorer

Combofix et FindyKill ont-ils bien été désinstallés comme demandé ?

Quant à l'usage des cracks, je pense que ceci t'a servi de leçon et que vas abandonner cette pratique.
D'autant que tu aurais pu chopper plus grave comme virus même ,si celui-ci est déjà bien vicieux
Je fais donc des recherches sur les "Hidden Process" et je te tiens au courant.

@+

jruku · Message par **jruku** » 22 juil. 2009, 13:39

Oui j'ai désinstallé Findykill et Combofix. Merci pour ton aide. Il reste peut-être des process cachés, en attendant tout à l'air de fonctionner correctement.

Forum-vista : Entraide et dépannage Windows Vista et Windows Seven

Au secours, virus !!

Au secours, virus !!

Re: Au secours, virus !!

Re: Au secours, virus !!

Re: Au secours, virus !!

Re: Au secours, virus !!

Re: Au secours, virus !!

Re: Au secours, virus !!

Re: Au secours, virus !!

Re: Au secours, virus !!

Re: Au secours, virus !!

Re: Au secours, virus !!

Re: Au secours, virus !!

Re: Au secours, virus !!

Re: Au secours, virus !!

Re: Au secours, virus !!