Tom's Guide > Forum > Sécurité - Virus > Virus - attaque au droit des fichiers

Virus - attaque au droit des fichiers

Forum Sécurité - Virus : Virus - attaque au droit des fichiers

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
rikku99   27-08-2009 à 23:40:54

Bonjour à tous.
Je poste mon 1er sujet et c'est déjà à cause d'un malware. Vive l'informatique lol.

Voilà donc mon problème.
Je me suis rendu compte il y a peut être un mois, que j'étais infesté par un virus. Je suis étudiant en informatique, pourtant je galère vraiment à m'en débarrasser, comme quoi ça n'arrive pas qu'au débutant.

En soit le virus est plus chiant que méchant, mais il commence à prendre des proportions que je ne peux plus accepter.

En fait comme cité dans le titre du topic, le virus s'attaque au droit sur les dossiers/fichiers. En effet, il empêche tout dossiers et fichiers d'être lus sur d'autres ordinateurs que ceux possédant le virus.

Le Malware est arrivé par mon disque dur externe, affectant bien entendu toutes mes musiques, photos, films, logiciels bref... En voulant aider une personne à désinfecter son poste, j'ai hérité du virus!

Le programme malveillant propage des dossiers dans toutes les partitions, ces dossiers portant des noms étranges toujours aléatoire de type "96485874e282099478fb11a4ba681c". J'arrive à le supprimer mais il revient et puis sur d'autres postes ayant eux aussi hérité du problème, le dossier reste impossible à supprimer.

Pour résoudre le problème j'ai déjà fait pas mal de recherche, sur google aucune réponse de trouvé, j'ai passé plusieurs antivirus, avast, puis northon 360 et G-data. Aucune trace de virus et problème toujours présent. Hi-jackthis ne trouve rien de particulier.

Voilà je pense avoir tout dis à ce propos!
J'espère que quelq'un à une petite idée.

Bien sûr une bonne solution consisterait à formater et tout supprimer mes données, mais je ne peux faire ça. Si la musique n'as pas plus de valeur que ca, mes 15go de photos personnelles ont pour moi une grande valeur.
Et puis de toute manière je vais devoir faire la manip' sur tous les postes de mon réseaux et sur tous ceux de mon entourages.

D'avance merci pour votre aide.
Mathieu.

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Destrio5   27-08-2009 à 23:59:33
- 0 +

Bonjour,

(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

  • Clique sur Continue à l'écran Disclaimer.
  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).


Note : les rapports sont sauvegardés dans le dossier C:\rsit.

Répondre à Destrio5
rikku99   28-08-2009 à 12:32:53
- 0 +

Bonjour et merci de ta réponse si rapide :)

Alors je viens de passer un peu de temps sur la question.
J'ai changé d'anti-virus, opté pour antivir. Un antivirus de plus et toujours pas de détection.

Sinon, j'ai essayé la manipulation que tu m'as décrite, malheureusement en vain. J'ai téléchargé l'outil, je l'ai placé sur le bureau, lancé en mode super-admin, mais il me met un message d'erreur: "line 1, variable non déclarée"
J'ai essayé de le lancer dans le dossier "programs files", ou dans celui de Hijackthis, même histoire...

Pour comparaison j'ai testé sous un XP de mon réseau, ca marche. Je suppose donc que le problème vient d'une incompatibilité avec Windows Seven.
En effet je suis sous la RC de Seven.

Pour information, le logiciel a pour but de détecter les modifications sur certains dossiers, c'est celà?
Je précise que je suis un adepte du formatage lol. Je change d'OS presque une fois par mois, ca va peut être poser problème par rapport au logiciel?
Si le but était de retrouver la source, peut être cela risque d'être compliqué :(

Bon et sinon plus constructif, le logiciel plante et ne va pas jusqu'au bout, mais cependant j'ai le log.txt dans le dossier \rsit
Je ne sais pas s'il y a toutes les informations dont tu as besoins, mais en tout cas il y en a...
Voilà le contenu:



--- début du fichier ---


Logfile of random's system information tool 1.06 (written by random/random)
Run by Mathieu at 2009-08-28 12:18:38
Microsoft Windows 7 Édition Intégrale
System drive C: has 34 GB (67%) free of 50 GB
Total RAM: 2047 MB (72% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:18:41, on 28/08/2009
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Safe mode

Running processes:
C:\Users\Mathieu\Desktop\RSIT.exe
C:\Program Files (x86)\trend micro\Mathieu.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programmes\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programmes\Java\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Free Download Manager] D:\Programmes\Free Download Manager\fdm.exe -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\Office\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://D:\Programmes\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://D:\Programmes\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://D:\Programmes\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://D:\Programmes\Free Download Manager\dlfvideo.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\Visio\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 6460 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}]
FDMIECookiesBHO Class - D:\Programmes\Free Download Manager\iefdm2.dll [2008-12-30 98304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - D:\Programmes\Java\bin\jp2ssv.dll [2009-08-07 41760]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2009-04-22 1474560]
"Free Download Manager"=D:\Programmes\Free Download Manager\fdm.exe [2009-01-31 3399727]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\Windows\SysWOW64\webcheck.dll [2009-04-22 236032]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"=credssp.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EFS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KeyIso]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NTDS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Power]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcEptMapper]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SWPRV]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TabletInputService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TBS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrustedInstaller]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VDS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vmms]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgr.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgrx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AFD]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AppInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AppMgmt]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Base]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\BFE]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Boot Bus Extender]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Boot file system]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\bowser]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Browser]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\CryptSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\DcomLaunch]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\dfsc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Dhcp]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\DnsCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Dot3Svc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Eaphost]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\EFS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\EventLog]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\File system]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Filter]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\HelpSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\IKEEXT]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ipnat.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\KeyIso]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\LanmanServer]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\LanmanWorkstation]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\LmHosts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Messenger]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MPSDrv]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\MPSSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mrxsmb]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mrxsmb10]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\mrxsmb20]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NativeWifiP]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NDIS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NDIS Wrapper]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ndiscap]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Ndisuio]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NetBIOS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NetBIOSGroup]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NetBT]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NetDDEGroup]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Netlogon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NetMan]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\netprofm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NetworkProvider]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NlaSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Nsi]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nsiproxy.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\NTDS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PCI Configuration]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PlugPlay]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PNP Filter]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PNP_TDI]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PolicyAgent]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Power]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Primary disk]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\ProfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rdbss]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rdpencdd.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rdsessmgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\RpcEptMapper]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\RpcSs]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sacsvr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SCardSvr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SCSI Class]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sermouse.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Streams Drivers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\SWPRV]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\System Bus Extender]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TabletInputService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TBS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Tcpip]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDI]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TrustedInstaller]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\VaultSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\VDS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vga.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vgasave.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vmms]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\volmgr.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\volmgrx.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WinMgmt]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wlansvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{36FC9E60-C465-11CF-8056-444553540000}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E965-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E967-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E969-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E972-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E973-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E974-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E975-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E977-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{4D36E980-E325-11CE-BFC1-08002BE10318}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{50DD5230-BA8A-11D1-BF5D-0000F805F530}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=5
"ConsentPromptBehaviorUser"=3
"EnableUIADesktopToggle"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=
"NoActiveDesktopChanges"=
"ForceActiveDesktopOn"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8b0fa490-803d-11de-b420-001d60bb3d43}]
shell\AutoRun\command - H:\aoesetup.exe /autorun
shell\directx\command - H:\DirectX\dxsetup.exe
shell\dplay\command - H:\DirectX\dplay61a.exe
shell\dxdiag\command - H:\goodies\ar40fra.exe
shell\dxinfo\command - H:\goodies\DirectX\dxinfo.exe
shell\dxtest\command - H:\DirectX\dxdiag.exe
shell\dxtool\command - H:\goodies\DirectX\dxtool.exe
shell\log\command - H:\goodies\machine\machine.exe -l
shell\machine\command - H:\goodies\machine\machine.exe
shell\setup\command - H:\aoesetup.exe /autorun
shell\zone\command - H:\goodies\mszone\zonea600.exe


======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2009-08-28 12:17:42 ----A---- C:\Windows\ntbtlog.txt
2009-08-28 12:14:18 ----D---- C:\Program Files (x86)\trend micro
2009-08-28 12:02:50 ----D---- C:\rsit
2009-08-28 10:07:17 ----D---- C:\ProgramData\Avira
2009-08-28 10:07:17 ----D---- C:\Program Files (x86)\Avira
2009-08-25 18:36:34 ----D---- C:\Users\Mathieu\AppData\Roaming\Canon
2009-08-24 21:30:41 ----D---- C:\Program Files (x86)\Canon
2009-08-24 21:30:32 ----D---- C:\ProgramData\ZoomBrowser
2009-08-24 21:21:41 ----D---- C:\Program Files (x86)\Common Files\Canon
2009-08-22 12:52:27 ----D---- C:\Program Files (x86)\Microsoft
2009-08-21 16:06:37 ----D---- C:\Users\Mathieu\AppData\Roaming\dvdcss
2009-08-20 22:22:10 ----D---- C:\Program Files (x86)\SJphone 1.65
2009-08-20 22:21:36 ----D---- C:\Program Files (x86)\Common Files\Wise Installation Wizard
2009-08-15 12:34:14 ----A---- C:\Windows\ODBC.INI
2009-08-15 12:34:03 ----A---- C:\Windows\vbaddin.ini
2009-08-14 20:06:14 ----A---- C:\Windows\EPSMTL32.TXT
2009-08-14 20:03:25 ----D---- C:\ProgramData\EPSON
2009-08-13 00:10:05 ----A---- C:\Windows\system32\wmpdxm.dll
2009-08-10 21:42:36 ----D---- C:\Windows\pss
2009-08-10 21:40:51 ----D---- C:\Users\Mathieu\AppData\Roaming\SAMSUNG
2009-08-10 21:03:21 ----A---- C:\Windows\system32\msvcr71.dll
2009-08-10 21:00:12 ----D---- C:\Windows\system32\Samsung_USB_Drivers
2009-08-10 19:59:50 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-08-10 19:55:38 ----D---- C:\Users\Mathieu\AppData\Roaming\Arcsoft
2009-08-10 19:54:22 ----D---- C:\Users\Mathieu\AppData\Roaming\HotSync
2009-08-10 19:54:22 ----D---- C:\ProgramData\HotSync
2009-08-10 19:52:36 ----D---- C:\Program Files (x86)\Common Files\InstallShield
2009-08-10 19:39:15 ----D---- C:\Users\Mathieu\AppData\Roaming\Free Download Manager
2009-08-10 19:38:58 ----D---- C:\ProgramData\FreeDownloadManager.ORG
2009-08-09 20:01:09 ----D---- C:\Users\Mathieu\AppData\Roaming\Auslogics
2009-08-09 19:58:13 ----D---- C:\Users\Mathieu\AppData\Roaming\vlc
2009-08-08 14:32:00 ----D---- C:\Users\Mathieu\AppData\Roaming\Nero
2009-08-08 14:12:09 ----D---- C:\ProgramData\Nero
2009-08-08 14:12:09 ----D---- C:\Program Files (x86)\Common Files\Nero
2009-08-08 14:08:04 ----A---- C:\Windows\system32\d3dx9_30.dll
2009-08-08 14:08:01 ----A---- C:\Windows\system32\d3dx9_28.dll
2009-08-08 11:52:46 ----D---- C:\ProgramData\Azureus
2009-08-08 11:52:43 ----D---- C:\Users\Mathieu\AppData\Roaming\Azureus
2009-08-07 14:52:30 ----D---- C:\ProgramData\Adobe
2009-08-07 14:52:14 ----D---- C:\Program Files (x86)\Common Files\Adobe
2009-08-07 14:43:46 ----A---- C:\Windows\system32\javaws.exe
2009-08-07 14:43:46 ----A---- C:\Windows\system32\javaw.exe
2009-08-07 14:43:46 ----A---- C:\Windows\system32\java.exe
2009-08-07 14:43:46 ----A---- C:\Windows\system32\deploytk.dll
2009-08-03 17:05:49 ----D---- C:\Program Files (x86)\Microsoft Works
2009-08-03 17:05:11 ----D---- C:\Program Files (x86)\Microsoft Visual Studio
2009-08-03 17:05:10 ----D---- C:\Program Files (x86)\Common Files\DESIGNER
2009-08-03 17:04:43 ----D---- C:\Program Files (x86)\Microsoft.NET
2009-08-03 17:00:59 ----D---- C:\ProgramData\Microsoft Help
2009-08-03 16:56:29 ----D---- C:\ProgramData\DAEMON Tools Lite
2009-08-03 16:56:27 ----D---- C:\Program Files (x86)\DAEMON Tools Toolbar
2009-08-03 16:31:23 ----D---- C:\Users\Mathieu\AppData\Roaming\DAEMON Tools Lite
2009-08-03 16:21:08 ----D---- C:\ProgramData\Messenger Plus!
2009-08-03 16:17:39 ----D---- C:\Users\Mathieu\AppData\Roaming\Mozilla
2009-08-03 16:17:28 ----D---- C:\Program Files (x86)\Mozilla Firefox
2009-08-02 18:30:46 ----D---- C:\Users\Mathieu\AppData\Roaming\Macromedia
2009-08-02 18:30:46 ----D---- C:\Users\Mathieu\AppData\Roaming\Adobe
2009-08-02 18:30:41 ----D---- C:\Windows\system32\Macromed
2009-08-02 16:55:31 ----D---- C:\Program Files (x86)\Messenger Plus! Live
2009-08-02 16:38:03 ----D---- C:\Program Files (x86)\Microsoft Silverlight
2009-08-02 16:37:01 ----D---- C:\Program Files (x86)\Windows Live SkyDrive
2009-08-02 16:36:39 ----D---- C:\Program Files (x86)\Windows Live
2009-08-02 16:36:04 ----D---- C:\Windows\PCHEALTH
2009-08-02 16:33:06 ----D---- C:\Program Files (x86)\Common Files\Windows Live
2009-08-02 15:58:26 ----A---- C:\Debug.txt
2009-08-02 15:41:21 ----D---- C:\Windows\Panther
2009-08-02 15:34:44 ----HD---- C:\Program Files (x86)\InstallShield Installation Information
2009-08-02 15:33:04 ----A---- C:\Windows\system32\ieframe.dll
2009-08-02 15:33:03 ----A---- C:\Windows\system32\mshtml.dll
2009-08-02 15:27:30 ----D---- C:\ProgramData\NVIDIA
2009-08-02 15:24:07 ----D---- C:\ProgramData\G DATA
2009-08-02 15:24:07 ----D---- C:\Program Files (x86)\Common Files\G DATA
2009-08-02 15:12:11 ----A---- C:\Windows\system32\iertutil.dll
2009-08-02 15:11:27 ----A---- C:\Windows\system32\tquery.dll
2009-08-02 15:11:27 ----A---- C:\Windows\system32\sxs.dll
2009-08-02 15:11:27 ----A---- C:\Windows\system32\mssrch.dll
2009-08-02 15:11:26 ----A---- C:\Windows\system32\SearchProtocolHost.exe
2009-08-02 15:11:26 ----A---- C:\Windows\system32\SearchIndexer.exe
2009-08-02 15:11:26 ----A---- C:\Windows\system32\SearchFilterHost.exe
2009-08-02 15:11:26 ----A---- C:\Windows\system32\mssvp.dll
2009-08-02 15:11:26 ----A---- C:\Windows\system32\mssphtb.dll
2009-08-02 15:11:26 ----A---- C:\Windows\system32\mssph.dll
2009-08-02 15:11:26 ----A---- C:\Windows\system32\comctl32.dll
2009-08-02 15:11:26 ----A---- C:\Windows\system32\cdosys.dll
2009-08-02 15:11:25 ----A---- C:\Windows\system32\user32.dll
2009-08-02 15:11:25 ----A---- C:\Windows\system32\msscntrs.dll
2009-08-02 15:11:25 ----A---- C:\Windows\system32\gdi32.dll
2009-08-02 15:08:51 ----SHD---- C:\Windows\Installer
2009-08-02 15:04:12 ----D---- C:\Users\Mathieu\AppData\Roaming\Identities
2009-08-02 15:04:03 ----SD---- C:\Users\Mathieu\AppData\Roaming\Microsoft
2009-08-02 15:04:03 ----D---- C:\Users\Mathieu\AppData\Roaming\Media Center Programs
2009-08-02 15:03:51 ----SHD---- C:\Recovery
2009-08-02 15:03:51 ----SHD---- C:\ProgramData\Modèles
2009-08-02 15:03:51 ----SHD---- C:\ProgramData\Menu Démarrer
2009-08-02 15:03:51 ----SHD---- C:\ProgramData\Favoris
2009-08-02 15:03:51 ----SHD---- C:\ProgramData\Bureau
2009-08-02 14:45:39 ----D---- C:\Windows\SoftwareDistribution
2009-08-02 14:42:38 ----D---- C:\Windows\Prefetch
2009-08-02 14:42:14 ----SHD---- C:\System Volume Information

======List of files/folders modified in the last 1 months======

2009-08-28 12:17:42 ----D---- C:\Windows
2009-08-28 12:16:47 ----D---- C:\Windows\Temp
2009-08-28 12:14:18 ----RD---- C:\Program Files (x86)
2009-08-28 10:07:18 ----D---- C:\Windows\system32\drivers
2009-08-28 10:07:17 ----HD---- C:\ProgramData
2009-08-28 10:05:51 ----D---- C:\Windows\winsxs
2009-08-28 10:05:25 ----D---- C:\Program Files (x86)\Common Files\microsoft shared
2009-08-27 23:15:30 ----D---- C:\Windows\System32
2009-08-27 23:15:06 ----D---- C:\Windows\inf
2009-08-27 23:15:05 ----D---- C:\Windows\SysWOW64
2009-08-26 10:58:12 ----D---- C:\Program Files (x86)\Internet Explorer
2009-08-24 21:21:41 ----D---- C:\Program Files (x86)\Common Files
2009-08-22 13:01:58 ----D---- C:\Windows\Logs
2009-08-20 19:07:56 ----RSD---- C:\Windows\assembly
2009-08-15 12:33:43 ----SD---- C:\ProgramData\Microsoft
2009-08-14 20:03:46 ----RD---- C:\Program Files
2009-08-09 19:36:58 ----D---- C:\Windows\debug
2009-08-09 03:44:51 ----RSD---- C:\Windows\Fonts
2009-08-05 14:17:48 ----A---- C:\Windows\win.ini
2009-08-05 14:17:47 ----D---- C:\Program Files (x86)\Common Files\System
2009-08-03 17:01:49 ----D---- C:\Windows\ShellNew
2009-08-02 18:30:45 ----D---- C:\Windows\Downloaded Program Files
2009-08-02 17:10:03 ----D---- C:\Windows\Microsoft.NET
2009-08-02 15:54:50 ----D---- C:\Windows\system32\migration
2009-08-02 15:09:02 ----D---- C:\Windows\Help
2009-08-02 15:04:10 ----SHD---- C:\$Recycle.Bin
2009-08-02 15:04:00 ----RD---- C:\Users
2009-08-02 15:03:14 ----D---- C:\Windows\tracing
2009-08-02 15:01:42 ----D---- C:\Windows\rescache
2009-08-02 14:43:11 ----D---- C:\Windows\CSC


--- fin du fichier ---

Voilà donc la bête.


Message édité par rikku99 le 28-08-2009 à 12:35:53
Répondre à rikku99
Destrio5   28-08-2009 à 15:59:15
- 0 +

Ça va être compliqué...

  • Télécharge Dr.Web CureIt! sur ton Bureau.
  • Double-clique sur drweb-cureit.exe et clique sur Commencer le scan.
  • Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.
  • Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration.
  • Choisis l'onglet Scanner, et décoche Analyse heuristique.
  • De retour à la fenêtre principale : choisis Analyse complète.
  • Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la.
  • Clique Oui pour Tout si un fichier est détecté.
  • A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, clique sur Quarantaine.
  • Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport.
  • Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
  • Ferme Dr.Web CureIt!
  • Redémarre ton ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
  • Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.


NB : Dr.Web en version gratuite est un scanner à la demande et n'entre pas en conflit avec ton antivirus résident. Tu pourras finalement supprimer Dr.Web à la fin des manipulations.

Répondre à Destrio5
rikku99   31-08-2009 à 15:54:47
- 0 +

Bonjour, et désolé pour la lenteur de mes réponses.

Alors, je te raconte mes aventures.
J'ai fait la manip' une première fois. Il m'a trouvé un trojan dans une archive (un jeu). J'ai mis en quarantaine, redémarré, et refait l'analyse.

Il m'a encore trouvé le même trojan (Visiblement pas disparu)
J'ai exporté le rapport et je te le donne:

---

CounterStrike Source LAN Edition V2.1.exe/data002\data003
C:\Documents and Settings\Mathieu\DoctorWeb\Quarantine\CounterStrike Source LAN Edition V2.1.exe/data002
BackDoor.Nono

data002
C:\Documents and Settings\Mathieu\DoctorWeb\Quarantine
Conteneur comporte des objets infectés

CounterStrike Source LAN Edition V2.1.exe
C:\Documents and Settings\Mathieu\DoctorWeb\Quarantine Conteneur comporte des objets infectés Quarantaine.

---

Voilà

Répondre à rikku99
Destrio5   31-08-2009 à 15:57:04
- 0 +

Il a rien trouvé d'infectieux en fait.

Répondre à Destrio5
rikku99   31-08-2009 à 16:04:37
- 0 +

Ah bon?
BackDoor.nono c'est pas un trojan?

Répondre à rikku99
Destrio5   31-08-2009 à 16:06:02
- 0 +

CounterStrike Source LAN Edition V2.1.exe n'a pas l'air infectieux, je pense à un faux positif.

Répondre à Destrio5
rikku99   31-08-2009 à 16:13:52
- 0 +

je vois.
Hum, pas de virus alors... Ca serait lié à autre chose...
Cela dit, j'ai toujours un dossier à la con sur mon disque dur.
...

Par ailleurs j'ai constaté une chose. Je viens de réinstaller XP sur un ordinateur de mon réseau.
A peine les Mises à Jours Windows Terminées, je n'avais encore rien connecté, ni clef, ni disque dur, qu'un dossier au nom long et bizarre "comme mentionné plus haut" est apparut.

Pour moi cela a pu venir, ou par le réseau, ou par Microsoft Word 2003 (c'est le seul logiciel non légal que j'ai installé, depuis un CD), ou encore par le net mais ca me semble peu probable :(

Répondre à rikku99
Destrio5   31-08-2009 à 16:24:26
- 0 +

Citation :

A peine les Mises à Jours Windows Terminées, je n'avais encore rien connecté, ni clef, ni disque dur, qu'un dossier au nom long et bizarre "comme mentionné plus haut" est apparut.


--> Si c'est à la racine du disque dur, c'est normal. C'est un dossier caché ?

Répondre à Destrio5
rikku99   31-08-2009 à 16:33:43
- 0 +

Sur l'ordinateur XP de mon réseau dont je viens de parler, j'ai un dossier à la racine du C, avec dedans un dossier I386 et un dossier AMD64 que je ne peux pas explorer "accès refusé". Il n'est pas caché.

Sur mon Seven pas de dossier.

Sur mon disque dur Externe (connecté au Seven), un dossier à sa racine, vide (pas de dossiers cachés), mais dont je dois élevé les droits pour l'explorer.

Voilà tout.

Répondre à rikku99
Destrio5   31-08-2009 à 16:39:12
- 0 +

Citation :

Sur l'ordinateur XP de mon réseau dont je viens de parler, j'ai un dossier à la racine du C, avec dedans un dossier I386 et un dossier AMD64 que je ne peux pas explorer "accès refusé". Il n'est pas caché.


--> Donc ce n'est pas une infection.

Citation :

Sur mon disque dur Externe (connecté au Seven), un dossier à sa racine, vide (pas de dossiers cachés), mais dont je dois élevé les droits pour l'explorer.


--> Il a quel nom ?

Répondre à Destrio5
rikku99   31-08-2009 à 16:43:46
- 0 +

Citation :

--> Donc ce n'est pas une infection.



D'accord, c'est un dossier normal de Windows, dû aux MAJ ou bien à une installation?
Rien d'alarmant tant mieux.



Voilà le nom du dossier, marqué d'un canna (signifiant l'accès restreint):

"5f35d08c2f755c1d38deca5a723b3f50"

Répondre à rikku99
Destrio5   31-08-2009 à 16:48:34
- 0 +

Citation :

D'accord, c'est un dossier normal de Windows, dû aux MAJ ou bien à une installation?


--> J'ai pareil sur mon PC XP. Ça vient des MAJ Windows.

Citation :

Voilà le nom du dossier, marqué d'un canna (signifiant l'accès restreint):

"5f35d08c2f755c1d38deca5a723b3f50"


--> Ça ne me dit rien.

Répondre à Destrio5
rikku99   31-08-2009 à 16:58:40
- 0 +

Bon et bien le problème n'a pas l'air de se répandre, c'est déjà ca.

Oui ce non de dossier est étrange. Et je me demande même s'il ne varie. Par exemple si je le supprime et redémarre, il reviendra mais pas sur que ce soit le même nom.

Ce que je vais faire, c'est que je vais faire des tests plus rigoureux pour déterminer quels dossiers/fichiers posent problèmes, car tous ne sont pas illisibles ailleurs.
Je vais faire des tests pour savoir si ca pose problème quand je créé des dossiers depuis mes différents ordinateurs, enfin bref, je vais faire des comparatifs et puis je reviendrai à la charge.

Bon visiblement c'est pas un virus, c'est déjà un bon point.

Je reposterai dans quelques temps pour te raconter tout ca. Merci de ton aide en tout cas. ;)

Répondre à rikku99
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > Virus - attaque au droit des fichiers
Aller à :

Il y a 1713 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,271 secondes
Liens