Process bizarres au démarrage + internet inaccessible

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Process bizarres au démarrage + internet inaccessible

Messagepar laskarhamak » 12 Avr 2011 23:52

Premières alertes hier, après affichage d'une page internet sans doute infectante : détection et blocage, par l'antivirus, de plusieurs programmes (java) malicieux. Puis Spybot S&D m'annonce que des clés de registre demandent à être mise à jour, or je n'ai rien demandé.
Je lance le gestionnaire de tâches et découvre des process qui n'ont pas lieu d'être : Wdaqire, Rp1, Rradub ... Après quelques recherches, je découvre certains fichiers (Rradub, Rradua, Rp0, Rp1...Rp6) sur mon disque. Je lance msconfig, trouve dans l'onglet Démarrage des programmes à démarrer qui n'ont pas lieu de l'être (Wdaqire etc). Je les décoche. Je tue les process louches, et supprime les fichiers repérés sur mon disque.
Tout semble alors rentrer dans l'ordre, jusqu'à ce qu'un disque dur externe (en USB) devienne inaccessible. Arrêt du PC, redémarrage de Vista, le disque externe redevient accessible. Toujours pas de demande de maj de clés du registre, ni de process bizarres, jusqu'à ce que...
Aujourd'hui, en surfant, nouvelle alerte de Spybot S&D concernant Wdaqire, à nouveau une palanquée de process louches et pour finir Vista qui s'arrête afin de préserver les données du disque dur ! En mode sans échec, j'ai à nouveau dé-sélectionné le lancement de Wdaqire, ainsi que XNANECGWSQJVKFYL (fabricant LPBTGWHYECHZRZPXNAN !!!). Apres relance de Vista en mode normal, plus d'alerte, mais internet n'est plus accessible, ni par Firefox*, ni par IE8** (que je n'utilise habituellement pas), ni par les mises à jour de Vista, ni celles de Avira. Pourtant le diagnostic du centre Réseau et partage m'assure que je suis connecté à internet. Enfin, une alerte d'Avira m'indique que "\Device\HarddiskVolume1\Autorun.inf a été bloqué", or je n'ai branché aucun périphérique USB depuis hier.

* "La connexion a été refusée par le serveur proxy. Firefox est configuré pour utiliser un serveur proxy mais celui-ci n'accepte pas les connexions." De plus en regardant la liste des extensions de FF, un indésirable s'est installé (mais quand ?) : Offerbox (un process à ce nom est d'ailleurs actif)
** "www.google.fr n'est pas configuré pour établir une connexion au port "service web (HTTP)" avec cet ordinateur"

Config
Vista sp1 (dernière mise à jour 27/12/2010)
Pare-feu vista activé
Avira antivir (moteur en date du 06 avril, fichier de définitions des virus du 10 avril))
Spybot search & destroy (1.6.2.46)
Firefox (3.6.16), Java console 6.0.22, Acrobat 9.4.3.231, Flash 10.2.153.1 etc...
IE8 (utilisation très peu fréquente)
laskarhamak
 
Messages: 27
Inscription: 05 Nov 2008 15:34

Re: Process bizarres au démarrage + internet inaccessible

Messagepar nardino » 13 Avr 2011 08:17

Bonjour
Pas de bonjour, pas de merci = pas de réponse
C'est simple la vie parfois.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Process bizarres au démarrage + internet inaccessible

Messagepar laskarhamak » 13 Avr 2011 10:31

Bonjour !
Y a-t-il une chose à faire pour excuser mon impolitesse ?
Si oui, merci d'accepter mes humbles excuses. Mon idée en postant ici n'était certes pas de me mettre à dos les modérateurs.
En remerciant par avance et sincèrement ceux qui auront la gentillesse de s'intéresser à mon problème.
@ + (?....)
laskarhamak
 
Messages: 27
Inscription: 05 Nov 2008 15:34

Re: Process bizarres au démarrage + internet inaccessible

Messagepar nardino » 13 Avr 2011 10:57

Bonjour
Excuses acceptées au nom de tous et sans rancune.
Pour faire un premier diagnostic, applique les deux propositions ci-dessous.

1- Image Télécharge et installe Malwarebytes Anti-Malware de RubbeR DuckY

Image Double-clique sur le fichier mbam-setup-1.50.exe (sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées
    -Mettre à jour Malwarebytes' Anti-Malware
    -Exécuter Malwarebytes' Anti-Malware
Image Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche Image Exécuter un examen rapide, clique sur le bouton Image

Image A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

Image Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

2- Image Télécharge ZHPDiag de Nicolas Coolman sur ton bureau.

Image Clique sur Image pour lancer l'installation.
Image Clique sur Image pour lancer le programme.

Sous Vista et Sept , il faut cliquer droit dessus et dans le menu contextuel sur Exécuter en tant qu'administrateur.

Image Clique sur Image pour vérifier si une mise à jour du logiciel est disponible.
Image Clique sur Image pour lancer le scan.
Image Clique sur Image quand le scan sera terminé pour mettre le rapport dans le presse-papier.

Image Héberge ce dernier sur Cjoint.
Poste le lien obtenu.
Image Referme l'outil.
Image Le rapport sera enregistré sur le bureau. Image

Si besoin est, nous ferons appel à d'autres outils.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Process bizarres au démarrage + internet inaccessible

Messagepar laskarhamak » 13 Avr 2011 14:31

Merci pour ta réponse.
Ci-dessous, le rapport Malwarebytes'.
A noter que Spybot S&D m'avertit d'une valeur de registre qui va être créée : catégorie NT startup, élément run. Je n'ai pas encore répondu à cette demande : faut-il autoriser ou refuser la modif ?
Je vais continuer sur ZHPdiag.
(Les manips sont un peu plus longue que je ne voudrais du fait que la connexion internet du PC infecté est HS ; je suis donc obligé de passer par un autre PC, en espérant que les supports de transfert ne s'infectent pas eux-mêmes !)

Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Version de la base de données: 5363

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18999

13/04/2011 15:16:46
mbam-log-2011-04-13 (15-16-46).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 149897
Temps écoulé: 8 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Didier\AppData\Roaming\microsoft\conhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
laskarhamak
 
Messages: 27
Inscription: 05 Nov 2008 15:34

Re: Process bizarres au démarrage + internet inaccessible

Messagepar laskarhamak » 13 Avr 2011 15:01

Je n'arrive pas à uploader le rapport ZHPdiag sur Cjoint (quand je clique sur le bouton Parcourir ou dans la zone pour donner le chemin du rapport, j'obtiens le sablier, et Firefox se retrouve dans les choux ...).
Donc je poste ici le rapport (qui n'est pas très gros ; bizarre en bas de l'écran ZHPdiag, une sorte de barre d'avancement reste vide avec en dessous 0% : est-ce que le scan est complet ? Vu sa rapidité, j'ai comme l'impression que non...) :

Rapport de ZHPScan v1.27 par Nicolas Coolman, Update du 12/04/2011
Run by Didier at 13/04/2011 15:41:37
Web site : http://www.premiumorange.com/zeb-help-p ... pdiag.html


---\\ Clés et valeurs de Registre trouvées (Registry Keys & values found)
[HKLM\Software\Classes\Interface\{6612afdd-34ad-4b89-a236-7e6d07c3fdcd}] =>Adware.AskSBar
[HKLM\Software\Classes\interface\{db885111-f39f-4d88-9ee5-c88460b6df7b}] =>Adware.Agent
[HKLM\Software\Classes\OfferBox.OfferBoxServer] =>PUP.OfferBox
[HKLM\Software\Classes\OfferBox.OfferBoxServer.1] =>PUP.OfferBox
[HKLM\Software\Classes\TypeLib\{ed85aebe-f834-4088-b5d3-97eb2478a6cd}] =>Adware.AskSBar
[HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom] =>PUP.OfferBox
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}] =>Adware.AskTBar
[HKLM\Software\Microsoft\Internet Explorer\toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17} =>Adware.SmartShopper
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar] =>Adware.BHO
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser] =>PUP.OfferBox
[HKLM\Software\mozilla\firefox\extensions]:offerboxffx@offerbox.com =>PUP.OfferBox

---\\ Dossiers trouvés (Directories found)
C:\Users\Didier\AppData\Roaming\OfferBox =>PUP.OfferBox
C:\Program Files\MediaInfo\OpenCandy =>Adware.OpenCandy
C:\Program Files\OfferBox =>PUP.OfferBox

---\\ Bilan de la recherche (Scan Result)
Database Version : 5386 - (12/04/2011)
Number of Keys Founds (Clés trouvées) : 11
Number of Directories Founds (Dossiers trouvés) : 3

End of the scan in 00mn 01s


Edit 17h32 :
Le problème d'upload sur Cjoint semble être dû à explorer.exe. J'ai rebooté ma machine et maintenant j'ai le lien du fichier sur Cjoint :
http://cjoint.com/?ADnrDcld4pK
laskarhamak
 
Messages: 27
Inscription: 05 Nov 2008 15:34

Re: Process bizarres au démarrage + internet inaccessible

Messagepar nardino » 13 Avr 2011 19:49

Bonsoir,
Le rapport est loin d'être complet.
Télécharge AD-Remover sur ton bureau.
http://www.teamxscript.org/adremoverTelechargement.html
Double clique sur AD-R.exe
Clique sur le bouton Nettoyer.
Poste le rapport qui va s'ouvrir en fin de scan.
Le rapport est sauvegardé sous C:\Ad-report-SCAN[1].txt
Puis ferme le programme par Quitter.
Et retentes un rapport ZHPDiag.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Process bizarres au démarrage + internet inaccessible

Messagepar laskarhamak » 14 Avr 2011 11:56

Désolé du retard, je n'ai pas pu me libérer avant.
Le rapport ZHPdiag est encore plus court et placé après le rapport AD-R.

Rapport AD-R :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 12:32:16 le 14/04/2011, Mode normal

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1 (X86)
Didier@VAIO-DE-DIDIER (Sony Corporation VGN-SZ71E_B)

============== ACTION(S) ==============


Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OfferBox Browser.lnk
Dossier supprimé: C:\Users\Didier\AppData\Roaming\OfferBox
Dossier supprimé: C:\Program Files\OfferBox
Dossier supprimé: C:\Program Files\MediaInfo\OpenCandy

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKLM\Software\OpenCandy
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.16 (fr)] ****

Plugins\npFoxitReaderPlugin.dll (Foxit Software Company)
Plugins\npqtplugin.dll (Apple Computer, Inc.)
Plugins\npqtplugin2.dll (Apple Computer, Inc.)
Plugins\npqtplugin3.dll (Apple Computer, Inc.)
Plugins\npqtplugin4.dll (Apple Computer, Inc.)
Plugins\npqtplugin5.dll (Apple Computer, Inc.)
Plugins\npqtplugin6.dll (Apple Computer, Inc.)
Plugins\npqtplugin7.dll (Apple Computer, Inc.)
Plugins\npqtplugin8.dll (Apple Computer, Inc.)

-- C:\Users\Didier\AppData\Roaming\Mozilla\FireFox\Profiles\ngi4o0c3.default --
Extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E} (Garmin Communicator)
Searchplugins\duckduckgo.xml (?)
Prefs.js - browser.download.dir, D:
Prefs.js - browser.download.lastDir, H:\\Musiques (LaCie 750)\\Monde celte (Lacie750)\\0-A décompresser
Prefs.js - browser.search.defaultenginename, google
Prefs.js - browser.startup.homepage, hxxp://www.yahoo.fr/ | mail.google.com
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16

========================================

**** Internet Explorer Version [8.0.6001.18999] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dl ... ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll)
HKLM_Toolbar|{32099AAC-C132-4136-9E9A-4E364A424E17} (C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll)
HKLM_ElevationPolicy\{442990C3-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{C56CB6B0-0D96-11D6-8C65-B2868B609932} - "NTIECatcher Class" (C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll)
BHO\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - "Google Dictionary Compression sdch" (C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll)
BHO\{CA6319C0-31B7-401E-A518-A07C3DB8F777} - "CBrowserHelperObject Object" (C:\PROGRA~1\GOOGLE~1\BAE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 19 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 14/04/2011 12:32:29 (5366 Octet(s))

Fin à: 12:33:56, 14/04/2011

============== E.O.F ==============


Rapport ZHPdiag, encore plus court que le premier :

Rapport de ZHPScan v1.27 par Nicolas Coolman, Update du 12/04/2011
Run by Didier at 14/04/2011 12:46:47
Web site : http://www.premiumorange.com/zeb-help-p ... pdiag.html


---\\ Clés et valeurs de Registre trouvées (Registry Keys & values found)
[HKLM\Software\Microsoft\Internet Explorer\toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17} =>Adware.SmartShopper
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar] =>Adware.BHO

---\\ Dossiers trouvés (Directories found)

---\\ Bilan de la recherche (Scan Result)
Database Version : 5386 - (12/04/2011)
Number of Keys Founds (Clés trouvées) : 2
Number of Directories Founds (Dossiers trouvés) : 0

End of the scan in 00mn 01s
laskarhamak
 
Messages: 27
Inscription: 05 Nov 2008 15:34

Re: Process bizarres au démarrage + internet inaccessible

Messagepar nardino » 14 Avr 2011 14:16

Bonjour
Il y a un souci avec ZHPDiag. :pouark:
Image Télécharge [url:http://oldtimer.geekstogo.com/OTL.exe]OTL [/url]de OldTimer

ImageInstalle le fichier OTL.exe dans un dossier que tu crées avec le même nom sur le bureau.
ImageClique sur OTL.exe et coche comme sur cette image
Image
-Tous les utilisateurs
-Rapport standard
-Recherche Lop
-Recherche Purity

Processus, Services, Registre : standard, Modules, Pilotes doivent être sur Liste blanche et Registre : approfondi sur Aucun

ImageClique sur le bouton Analyse en haut en bleu.
Elle va prendre une ou deux minutes.
Une fois celle-ci terminée un raport va s'ouvrir
Tu le postes par copier-coller dans ta réponse et tu le refermes.
Tu fermes aussi le fichier Extras.txt dans la barre des tâches, il sera demandé en cas de nécessité.
Il sera sauvegardé dans le dossier que tu as créé sous OTL.txt avec le fichier Extras.txt

Remarque
Sous Vista il faut procéder à l'élévation des privilèges en faisant un clic droit sur OTL.exe et "Exécuter en tant qu'administrateur" dans le menu contextuel.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Process bizarres au démarrage + internet inaccessible

Messagepar laskarhamak » 14 Avr 2011 15:25

Rapport OTL :

OTL logfile created on: 14/04/2011 16:10:19 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Users\Didier\Desktop\OTL
Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18999)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 61,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 74,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 60,00 Gb Total Space | 16,38 Gb Free Space | 27,30% Space Free | Partition Type: NTFS
Drive D: | 63,96 Gb Total Space | 1,89 Gb Free Space | 2,96% Space Free | Partition Type: NTFS
Drive F: | 17,00 Gb Total Space | 8,31 Gb Free Space | 48,91% Space Free | Partition Type: NTFS
Drive K: | 14,16 Mb Total Space | 11,13 Mb Free Space | 78,59% Space Free | Partition Type: FAT

Computer Name: VAIO-DE-DIDIER | User Name: Didier | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2011/04/14 15:59:56 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Didier\Desktop\OTL\OTL.exe
PRC - [2011/03/31 17:14:37 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2010/08/17 14:39:03 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2010/08/17 14:38:55 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010/01/14 23:11:14 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009/02/23 17:52:08 | 000,030,312 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
PRC - [2009/01/26 15:31:16 | 002,144,088 | RHS- | M] (Safer Networking Limited) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2009/01/26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) -- C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
PRC - [2008/10/29 08:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2008/08/24 12:59:12 | 000,870,240 | ---- | M] (Sony Corporation) -- C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe
PRC - [2008/01/19 00:38:40 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Windows Defender\MSASCui.exe
PRC - [2007/12/12 12:07:40 | 000,204,800 | ---- | M] (Sony Corporation) -- C:\Program Files\Sony\Network Utility\NSUService.exe
PRC - [2007/10/31 14:13:44 | 000,921,600 | ---- | M] (Sony Corporation) -- C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
PRC - [2007/10/31 09:40:08 | 000,125,440 | ---- | M] (ArcSoft, Inc.) -- C:\Program Files\ArcSoft\Magic-i Visual Effects\uCamMonitor.exe
PRC - [2007/10/30 12:04:08 | 000,748,072 | ---- | M] (Broadcom Corporation.) -- C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
PRC - [2007/10/13 02:01:39 | 000,118,784 | ---- | M] (Alps Electric Co., Ltd.) -- C:\Program Files\Apoint\Apoint.exe
PRC - [2007/10/13 02:01:39 | 000,040,960 | ---- | M] (Alps Electric Co., Ltd.) -- C:\Program Files\Apoint\Apntex.exe
PRC - [2007/10/13 02:01:38 | 000,050,736 | ---- | M] (Alps Electric Co., Ltd.) -- C:\Program Files\Apoint\ApMsgFwd.exe
PRC - [2007/09/19 12:09:58 | 000,311,296 | ---- | M] (Sony Corporation) -- C:\Program Files\Sony\ISB Utility\ISBMgr.exe
PRC - [2007/08/14 21:05:18 | 000,182,392 | ---- | M] (Sony Corporation) -- C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
PRC - [2007/08/14 21:05:18 | 000,100,472 | ---- | M] (Sony Corporation) -- C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe
PRC - [2007/05/23 02:03:16 | 000,094,208 | ---- | M] (SigmaTel, Inc.) -- C:\Windows\System32\stacsv.exe
PRC - [2006/08/11 11:15:36 | 000,200,704 | ---- | M] (InterVideo Inc.) -- C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
PRC - [2006/01/24 17:51:18 | 000,069,632 | ---- | M] (Leadtek Research Inc.) -- C:\Program Files\WinFast\WFDTV\DTVSchdl.exe


========== Modules (SafeList) ==========

MOD - [2011/04/14 15:59:56 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Users\Didier\Desktop\OTL\OTL.exe
MOD - [2010/08/31 17:39:57 | 001,684,480 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6001.18523_none_5cdd65e20837faf2\comctl32.dll


========== Win32 Services (SafeList) ==========

SRV - [2011/03/31 17:14:37 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010/08/17 14:39:03 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009/02/23 17:52:08 | 000,030,312 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe -- (BcmSqlStartupSvc)
SRV - [2009/01/26 15:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) [Auto | Running] -- C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe -- (SBSDWSCService)
SRV - [2008/01/19 00:38:26 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend)
SRV - [2007/12/12 12:07:40 | 000,204,800 | ---- | M] (Sony Corporation) [Auto | Running] -- C:\Program Files\Sony\Network Utility\NSUService.exe -- (NSUService)
SRV - [2007/10/31 09:40:08 | 000,125,440 | ---- | M] (ArcSoft, Inc.) [Auto | Running] -- C:\Program Files\ArcSoft\Magic-i Visual Effects\uCamMonitor.exe -- (uCamMonitor)
SRV - [2007/08/28 16:27:12 | 000,131,072 | ---- | M] (Sony Corporation) [Disabled | Stopped] -- C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe -- (VzFw)
SRV - [2007/08/28 16:27:10 | 000,192,512 | ---- | M] (Sony Corporation) [Disabled | Stopped] -- C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe -- (VzCdbSvc)
SRV - [2007/08/14 21:05:18 | 000,182,392 | ---- | M] (Sony Corporation) [Auto | Running] -- C:\Program Files\Sony\VAIO Event Service\VESMgr.exe -- (VAIO Event Service)
SRV - [2007/06/28 08:53:04 | 000,073,728 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe -- (VAIO Entertainment TV Device Arbitration Service)
SRV - [2007/06/28 08:52:48 | 000,274,432 | ---- | M] (Sony Corporation) [Disabled | Stopped] -- C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe -- (Vcsw)
SRV - [2007/06/20 15:35:06 | 002,523,136 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Program Files\Sony\VAIO Media Integrated Server\VMISrv.exe -- (VAIOMediaPlatform-IntegratedServer-AppServer)
SRV - [2007/06/20 15:34:52 | 000,499,712 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe -- (VAIOMediaPlatform-Mobile-Gateway)
SRV - [2007/06/20 15:34:50 | 001,089,536 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe -- (VAIOMediaPlatform-UCLS-UPnP) VAIO Media Content Collection (UPnP)
SRV - [2007/06/20 15:34:50 | 001,089,536 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe -- (VAIOMediaPlatform-IntegratedServer-UPnP) VAIO Media Integrated Server (UPnP)
SRV - [2007/06/20 15:34:50 | 000,397,312 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe -- (VAIOMediaPlatform-UCLS-HTTP) VAIO Media Content Collection (HTTP)
SRV - [2007/06/20 15:34:50 | 000,397,312 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe -- (VAIOMediaPlatform-IntegratedServer-HTTP) VAIO Media Integrated Server (HTTP)
SRV - [2007/05/23 02:03:16 | 000,094,208 | ---- | M] (SigmaTel, Inc.) [Auto | Running] -- C:\Windows\System32\stacsv.exe -- (STacSV)
SRV - [2007/01/10 16:51:06 | 000,745,472 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Program Files\Sony\VAIO Media Integrated Server\UCLS.exe -- (VAIOMediaPlatform-UCLS-AppServer)
SRV - [2007/01/04 19:48:52 | 000,112,152 | R--- | M] (InterVideo) [Disabled | Stopped] -- C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe -- (IviRegMgr)
SRV - [2006/12/14 02:21:20 | 000,045,056 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe -- (MSCSPTISRV)
SRV - [2006/12/14 02:02:08 | 000,069,632 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe -- (SPTISRV)
SRV - [2006/12/14 01:46:16 | 000,057,344 | ---- | M] () [On_Demand | Stopped] -- C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe -- (PACSPTISVR)
SRV - [2006/08/11 11:15:36 | 000,200,704 | ---- | M] (InterVideo Inc.) [Auto | Running] -- C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe -- (Capture Device Service)
SRV - [2005/11/17 14:18:52 | 001,527,900 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)


========== Driver Services (SafeList) ==========

DRV - [2011/03/31 17:14:38 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2010/12/13 19:19:53 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/06/17 16:28:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/12/19 15:20:54 | 000,111,464 | ---- | M] (QUALCOMM Incorporated) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\qcusbser.sys -- (qcusbser)
DRV - [2009/09/21 18:08:33 | 000,040,576 | ---- | M] (Eugene V. Muzychenko) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\vrtaucbl.sys -- (EuMusDesignVirtualAudioCableWdm) Virtual Audio Cable (WDM)
DRV - [2009/08/08 23:38:59 | 000,013,567 | ---- | M] (B.H.A Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\CDRBSDRV.SYS -- (cdrbsdrv)
DRV - [2009/02/13 13:34:33 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/12/23 12:36:56 | 000,717,296 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)
DRV - [2008/08/29 00:48:46 | 003,664,384 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\NETw5v32.sys -- (NETw5v32) Intel(R)
DRV - [2008/01/18 23:15:00 | 000,016,896 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\WSDPrint.sys -- (WSDPrintDevice)
DRV - [2007/10/29 19:30:30 | 000,017,920 | ---- | M] (ArcSoft, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ArcSoftKsUFilter.sys -- (ArcSoftKsUFilter)
DRV - [2007/10/13 02:01:39 | 000,140,800 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Apfiltr.sys -- (ApfiltrService)
DRV - [2007/10/10 02:05:10 | 000,021,408 | ---- | M] (Sony Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\shpf.sys -- (shpf)
DRV - [2007/09/26 14:12:22 | 002,251,776 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\NETw4v32.sys -- (NETw4v32) Pilote de carte Intel(R)
DRV - [2007/09/19 14:38:18 | 000,010,216 | ---- | M] (Sony Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\DMICall.sys -- (DMICall)
DRV - [2007/09/04 02:00:36 | 000,009,344 | ---- | M] (Sony Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\SFEP.sys -- (SFEP)
DRV - [2007/08/31 02:02:31 | 000,014,720 | ---- | M] (Sony Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\SonyPI.sys -- (SPI)
DRV - [2007/07/25 02:08:28 | 007,115,072 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2007/07/10 02:20:43 | 000,812,544 | ---- | M] (Texas Instruments) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ti21sony.sys -- (ti21sony)
DRV - [2007/06/20 16:13:46 | 000,019,424 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ggsemc.sys -- (ggsemc)
DRV - [2007/06/07 02:01:23 | 000,075,392 | ---- | M] (Ricoh) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\R5U870FLx86.sys -- (R5U870FLx86)
DRV - [2007/06/07 02:01:23 | 000,043,904 | ---- | M] (Ricoh) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\R5U870FUx86.sys -- (R5U870FUx86)
DRV - [2007/05/26 10:03:06 | 000,128,104 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\WimFltr.sys -- (WimFltr)
DRV - [2007/05/23 02:03:22 | 000,326,656 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\stwrt.sys -- (STHDA)
DRV - [2007/04/17 20:09:28 | 000,011,032 | ---- | M] (InterVideo) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\regi.sys -- (regi)
DRV - [2006/11/10 05:20:26 | 000,008,192 | ---- | M] (Conexant Systems, Inc.) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\XAudio.sys -- (XAudio)
DRV - [2006/11/02 11:50:17 | 000,041,064 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\tpm.sys -- (TPM) Module de plateforme sécurisée (TPM)
DRV - [2006/08/28 16:23:06 | 000,090,768 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\se26unic.sys -- (se26unic) Sony Ericsson Device 038 USB Ethernet Emulation SEMC38 (WDM)
DRV - [2006/08/28 16:23:00 | 000,086,560 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\SE26obex.sys -- (SE26obex)
DRV - [2006/08/28 16:22:58 | 000,018,704 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\se26nd5.sys -- (se26nd5) Sony Ericsson Device 038 USB Ethernet Emulation SEMC38 (NDIS)
DRV - [2006/08/28 16:22:56 | 000,088,688 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\SE26mgmt.sys -- (SE26mgmt) Sony Ericsson Device 038 USB WMC Device Management Drivers (WDM)
DRV - [2006/08/28 16:22:52 | 000,097,184 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\SE26mdm.sys -- (SE26mdm)
DRV - [2006/08/28 16:22:50 | 000,009,360 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\SE26mdfl.sys -- (SE26mdfl)
DRV - [2006/08/28 16:22:46 | 000,061,600 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\SE26bus.sys -- (SE26bus) Sony Ericsson Device 038 Driver driver (WDM)
DRV - [2005/11/30 10:51:28 | 000,031,232 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\usbdtv.sys -- (usbdtv)
DRV - [2005/11/30 10:51:28 | 000,022,016 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\dtvfw.sys -- (DTVFW)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-4265969973-3040583684-2152213017-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-4265969973-3040583684-2152213017-1003\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-4265969973-3040583684-2152213017-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-4265969973-3040583684-2152213017-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:53455

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "google"
FF - prefs.js..browser.startup.homepage: "http://www.yahoo.fr/ | mail.google.com"
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.4
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {195A3098-0BD5-4e90-AE22-BA1C540AFD1E}:2.9.3
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 53455
FF - prefs.js..network.proxy.type: 1

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/03/26 14:23:35 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/03/27 11:25:06 | 000,000,000 | ---D | M]

[2008/10/22 15:55:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Didier\AppData\Roaming\mozilla\Extensions
[2011/04/13 00:30:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Didier\AppData\Roaming\mozilla\Firefox\Profiles\ngi4o0c3.default\extensions
[2011/03/26 14:45:50 | 000,000,000 | ---D | M] (Garmin Communicator) -- C:\Users\Didier\AppData\Roaming\mozilla\Firefox\Profiles\ngi4o0c3.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}
[2010/07/24 23:24:01 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Didier\AppData\Roaming\mozilla\Firefox\Profiles\ngi4o0c3.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011/03/28 17:26:03 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Didier\AppData\Roaming\mozilla\Firefox\Profiles\ngi4o0c3.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2011/04/08 23:41:24 | 000,001,969 | ---- | M] () -- C:\Users\Didier\AppData\Roaming\Mozilla\Firefox\Profiles\ngi4o0c3.default\searchplugins\duckduckgo.xml
[2010/11/26 22:19:41 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions
[2010/04/30 00:37:55 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010/11/26 22:19:41 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010/11/26 22:19:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2010/08/08 12:47:51 | 000,075,208 | ---- | M] (Foxit Software Company) -- C:\Program Files\mozilla firefox\plugins\npFoxitReaderPlugin.dll
[2010/11/12 12:30:21 | 000,001,516 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazon-france.xml
[2010/11/12 12:30:21 | 000,001,822 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\cnrtl-tlfi-fr.xml
[2010/11/12 12:30:21 | 000,000,757 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-france.xml
[2008/12/15 22:45:00 | 000,000,686 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\GoogleDesktopMozilla.png
[2008/12/15 22:45:00 | 000,000,531 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\GoogleDesktopMozilla.src
[2006/09/10 13:35:08 | 000,000,748 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\MediaDICO-fr.xml
[2010/11/12 12:30:21 | 000,001,426 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-fr.xml
[2010/11/12 12:30:21 | 000,000,956 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-france.xml

Hosts file not found
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll (Google Inc.)
O2 - BHO: (NTIECatcher Class) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll (Xi)
O2 - BHO: (Google Dictionary Compression sdch) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll (Google Inc.)
O2 - BHO: (CBrowserHelperObject Object) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll (Your Company Name)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKU\S-1-5-21-4265969973-3040583684-2152213017-1003\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.)
O3 - HKU\S-1-5-21-4265969973-3040583684-2152213017-1003\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKLM..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe (Alps Electric Co., Ltd.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DRCU] C:\Program Files\Sony\DRCU\DRCU.exe (Sony Corporation)
O4 - HKLM..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe (Sony Corporation)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvSvc] C:\Windows\System32\nvsvc.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [WinFastDTV] C:\Program Files\WinFast\WFDTV\DTVSchdl.exe (Leadtek Research Inc.)
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-21-4265969973-3040583684-2152213017-1003..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = [binary data]
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = [binary data]
O7 - HKU\S-1-5-21-4265969973-3040583684-2152213017-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-4265969973-3040583684-2152213017-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html ()
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html ()
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (Safer Networking Limited)
O13 - gopher Prefix: missing
O15 - HKU\S-1-5-21-4265969973-3040583684-2152213017-1003\..Trusted Ranges: GD ([http] in Intranet local)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shoc ... tor/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl ... rashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_22)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.27.40.240 212.27.40.241
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O18 - Protocol\Filter\x-sdch {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll (Google Inc.)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\VESWinlogon: DllName - VESWinlogon.dll - C:\Windows\System32\VESWinlogon.dll (Sony Corporation)
O24 - Desktop WallPaper: D:\Musique\Infos musicales\Bretagne\0-Supprimable\carte-bretagne-pays-trad-br.jpg
O24 - Desktop BackupWallPaper: D:\Musique\Infos musicales\Bretagne\0-Supprimable\carte-bretagne-pays-trad-br.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2008/09/12 16:06:55 | 000,000,000 | ---- | M] () - F:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2011/04/14 16:04:35 | 000,000,000 | ---D | C] -- C:\Users\Didier\Desktop\OTL
[2011/04/14 12:32:15 | 000,000,000 | ---D | C] -- C:\Program Files\Ad-Remover
[2011/04/13 15:39:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHPdiag
[2011/04/13 15:39:55 | 000,000,000 | ---D | C] -- C:\Program Files\ZHPDiag
[2011/04/13 15:39:19 | 002,420,603 | ---- | C] (Nicolas Coolman ) -- C:\Users\Didier\Desktop\ZHPDiag2.exe
[2011/04/13 14:53:16 | 000,000,000 | ---D | C] -- C:\Users\Didier\AppData\Roaming\Malwarebytes
[2011/04/13 14:52:50 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011/04/13 14:52:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011/04/13 14:52:49 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011/04/13 14:52:45 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2011/04/13 14:52:45 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2011/04/12 18:56:12 | 000,000,000 | ---D | C] -- C:\Users\Didier\AppData\Local\0-poubelle
[2011/04/12 15:59:36 | 000,000,000 | ---D | C] -- C:\ProgramData\nLc28258eJgFa28258
[2011/04/10 20:31:31 | 000,000,000 | ---D | C] -- C:\Windows\Sun
[2011/03/28 21:17:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Xerox
[2011/03/26 14:46:54 | 000,000,000 | ---D | C] -- C:\Users\Didier\AppData\Roaming\GARMIN
[2011/03/21 00:32:19 | 000,000,000 | ---D | C] -- C:\Users\Didier\AppData\Roaming\XnView
[2011/03/21 00:31:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XnView
[2011/03/21 00:31:54 | 000,000,000 | ---D | C] -- C:\Program Files\XnView
[2009/09/18 21:47:03 | 000,031,232 | ---- | C] ( ) -- C:\Windows\System32\drivers\usbdtv.sys
[2009/09/18 21:41:13 | 000,022,016 | ---- | C] ( ) -- C:\Windows\System32\drivers\dtvfw.sys

========== Files - Modified Within 30 Days ==========

[2011/04/14 16:13:08 | 000,001,080 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4265969973-3040583684-2152213017-1003UA.job
[2011/04/14 15:58:39 | 000,000,248 | -H-- | M] () -- C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/04/14 15:58:36 | 000,003,568 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2011/04/14 15:58:36 | 000,003,568 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2011/04/14 15:58:15 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011/04/14 15:58:13 | 2137,432,064 | -HS- | M] () -- C:\hiberfil.sys
[2011/04/14 15:37:44 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2011/04/14 15:28:19 | 235,711,397 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2011/04/14 13:13:00 | 000,001,028 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-4265969973-3040583684-2152213017-1003Core.job
[2011/04/14 12:32:15 | 000,001,676 | ---- | M] () -- C:\Users\Didier\Desktop\AD-R.lnk
[2011/04/13 15:39:57 | 000,000,795 | ---- | M] () -- C:\Users\Public\Desktop\MBRCheck.lnk
[2011/04/13 15:39:57 | 000,000,788 | ---- | M] () -- C:\Users\Public\Desktop\ZHPDiag.lnk
[2011/04/13 15:39:57 | 000,000,783 | ---- | M] () -- C:\Users\Public\Desktop\ZHPFix.lnk
[2011/04/13 14:52:50 | 000,000,906 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/04/13 08:39:12 | 002,420,603 | ---- | M] (Nicolas Coolman ) -- C:\Users\Didier\Desktop\ZHPDiag2.exe
[2011/04/12 18:25:48 | 000,427,256 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2011/04/11 22:32:41 | 000,086,528 | ---- | M] () -- C:\Users\Didier\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/04/11 20:21:40 | 000,724,052 | ---- | M] () -- C:\Windows\System32\perfh00C.dat
[2011/04/11 20:21:40 | 000,638,580 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011/04/11 20:21:40 | 000,146,398 | ---- | M] () -- C:\Windows\System32\perfc00C.dat
[2011/04/11 20:21:40 | 000,123,274 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011/03/31 17:14:38 | 000,137,656 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avipbb.sys
[2011/03/27 11:25:07 | 000,001,887 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
[2011/03/21 00:32:57 | 000,000,728 | ---- | M] () -- C:\Users\Didier\Desktop\XnView.lnk
[2011/03/21 00:31:57 | 000,000,752 | ---- | M] () -- C:\Users\Didier\Application Data\Microsoft\Internet Explorer\Quick Launch\XnView.lnk

========== Files Created - No Company Name ==========

[2011/04/14 15:58:13 | 2137,432,064 | -HS- | C] () -- C:\hiberfil.sys
[2011/04/14 12:32:15 | 000,001,676 | ---- | C] () -- C:\Users\Didier\Desktop\AD-R.lnk
[2011/04/13 15:39:57 | 000,000,795 | ---- | C] () -- C:\Users\Public\Desktop\MBRCheck.lnk
[2011/04/13 15:39:57 | 000,000,788 | ---- | C] () -- C:\Users\Public\Desktop\ZHPDiag.lnk
[2011/04/13 15:39:57 | 000,000,783 | ---- | C] () -- C:\Users\Public\Desktop\ZHPFix.lnk
[2011/04/13 14:52:50 | 000,000,906 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2011/04/10 21:20:22 | 000,000,248 | -H-- | C] () -- C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/03/21 00:32:57 | 000,000,728 | ---- | C] () -- C:\Users\Didier\Desktop\XnView.lnk
[2011/03/21 00:31:57 | 000,000,752 | ---- | C] () -- C:\Users\Didier\Application Data\Microsoft\Internet Explorer\Quick Launch\XnView.lnk
[2011/01/12 00:35:44 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2010/12/20 17:20:18 | 000,001,559 | ---- | C] () -- C:\Windows\tefview.ini
[2010/09/30 16:44:18 | 000,084,480 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2010/01/25 18:59:16 | 000,001,253 | ---- | C] () -- C:\Windows\hpomdl41.dat.temp
[2010/01/23 16:10:15 | 000,219,509 | ---- | C] () -- C:\Windows\hpoins41.dat
[2009/09/18 14:41:23 | 000,006,189 | ---- | C] () -- C:\Users\Didier\AppData\Roaming\PrimoPDFSet.xml
[2009/09/18 14:37:10 | 000,176,235 | ---- | C] () -- C:\Windows\System32\Primomonnt.dll
[2009/08/08 13:32:58 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll
[2009/08/07 22:28:14 | 000,210,456 | ---- | C] () -- C:\Windows\System32\IVIresizeW7.dll
[2009/08/07 22:28:14 | 000,206,360 | ---- | C] () -- C:\Windows\System32\IVIresizeA6.dll
[2009/08/07 22:28:14 | 000,198,168 | ---- | C] () -- C:\Windows\System32\IVIresizeP6.dll
[2009/08/07 22:28:14 | 000,198,168 | ---- | C] () -- C:\Windows\System32\IVIresizeM6.dll
[2009/08/07 22:28:14 | 000,194,072 | ---- | C] () -- C:\Windows\System32\IVIresizePX.dll
[2009/08/07 22:28:14 | 000,026,136 | ---- | C] () -- C:\Windows\System32\IVIresize.dll
[2009/08/07 20:52:19 | 000,006,211 | ---- | C] () -- C:\Windows\mgxoschk.ini
[2009/06/05 02:14:55 | 000,001,253 | ---- | C] () -- C:\Windows\hpomdl41.dat
[2009/05/30 16:32:38 | 000,106,605 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2009/05/30 16:32:38 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2009/04/27 06:13:36 | 000,000,314 | ---- | C] () -- C:\Windows\primopdf.ini
[2009/03/15 21:33:56 | 000,032,419 | ---- | C] () -- C:\Windows\Q-Dir.ini
[2009/03/07 20:26:22 | 000,001,089 | ---- | C] () -- C:\Windows\atm.ini
[2009/03/01 19:24:21 | 000,060,416 | ---- | C] () -- C:\Windows\System32\rbap350.dll
[2009/03/01 19:24:21 | 000,054,784 | ---- | C] () -- C:\Windows\System32\RBQT350.DLL
[2009/01/04 19:53:27 | 000,000,069 | ---- | C] () -- C:\Windows\NeroDigital.ini
[2008/11/24 17:42:45 | 000,765,952 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2008/11/24 17:42:45 | 000,180,224 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2008/11/04 21:16:10 | 000,000,493 | ---- | C] () -- C:\Windows\ODBC.INI
[2008/10/22 16:23:27 | 000,000,290 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2008/10/22 13:09:01 | 000,086,528 | ---- | C] () -- C:\Users\Didier\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/10/22 11:09:35 | 000,028,190 | ---- | C] () -- C:\Users\Didier\AppData\Roaming\nvModes.dat
[2008/10/22 11:09:35 | 000,028,190 | ---- | C] () -- C:\Users\Didier\AppData\Roaming\nvModes.001
[2008/10/22 10:38:07 | 000,000,000 | ---- | C] () -- C:\Windows\VAIOUpdt.INI
[2008/10/22 10:29:12 | 000,019,968 | ---- | C] () -- C:\Windows\System32\Cpuinf32.dll
[2007/12/20 23:13:42 | 000,910,304 | ---- | C] () -- C:\Windows\System32\igmedkrn.dll
[2007/12/20 23:13:42 | 000,249,856 | ---- | C] () -- C:\Windows\System32\igfxTMM.dll
[2007/12/20 23:13:42 | 000,204,800 | ---- | C] () -- C:\Windows\System32\igfxCoIn_v1244.dll
[2007/12/20 15:17:54 | 000,000,012 | ---- | C] () -- C:\Windows\bthservsdp.dat
[2007/12/20 14:26:38 | 000,000,032 | ---- | C] () -- C:\Windows\System32\elcric.dat
[2007/10/30 11:44:52 | 000,393,216 | ---- | C] () -- C:\Windows\System32\btwhidcs.dll
[2007/04/16 04:24:16 | 000,023,752 | ---- | C] () -- C:\Windows\System32\providers.bin
[2006/11/02 17:48:33 | 000,724,052 | ---- | C] () -- C:\Windows\System32\perfh00C.dat
[2006/11/02 17:48:33 | 000,340,236 | ---- | C] () -- C:\Windows\System32\perfi00C.dat
[2006/11/02 17:48:33 | 000,146,398 | ---- | C] () -- C:\Windows\System32\perfc00C.dat
[2006/11/02 17:48:33 | 000,037,390 | ---- | C] () -- C:\Windows\System32\perfd00C.dat
[2006/11/02 14:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 14:47:37 | 000,427,256 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006/11/02 12:33:01 | 000,638,580 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 12:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 12:33:01 | 000,123,274 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 12:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 12:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 10:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 10:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 09:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2001/11/14 14:56:00 | 001,802,240 | ---- | C] () -- C:\Windows\System32\lcppn21.dll

========== LOP Check ==========

[2008/12/23 12:36:37 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\DAEMON Tools
[2009/11/19 10:02:50 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\DeepBurner
[2011/02/23 15:55:20 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\EAC
[2011/03/28 17:10:49 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\foobar2000
[2008/12/08 20:00:55 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\Foxit
[2010/08/08 12:50:43 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\Foxit Software
[2011/03/26 14:53:40 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\GARMIN
[2008/11/02 00:16:40 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\InterVideo
[2009/08/08 23:55:45 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\LEAPS
[2009/09/20 21:25:27 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\LiteOn
[2009/08/08 13:39:31 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\MAGIX
[2009/08/08 23:47:38 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\Pegasys Inc
[2009/03/19 00:59:30 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\Q-Dir
[2009/05/11 18:30:00 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\TeamViewer
[2010/03/04 13:31:43 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\Thinstall
[2010/01/28 00:08:57 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\Ulead Systems
[2011/03/28 21:07:15 | 000,000,000 | ---D | M] -- C:\Users\Didier\AppData\Roaming\XnView
[2011/04/14 15:37:44 | 000,032,544 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
[2011/04/14 15:58:39 | 000,000,248 | -H-- | M] () -- C:\Windows\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job

========== Purity Check ==========



< End of report >


A noter que j'ai redémarré tout à l'heure le PC infecté après avoir réactivé Windows Defender et que je me suis retrouvé avec un écran vide (espèce de bleu turquoise...) : plus de bureau, plus de barre des taches, seulement alt-ctl-suppr qui permettait d'accéder au gestionnaire des tâches. J'ai rebooté en mode sans échec sans rien faire, puis redémarré en mode normal et là mon bureau et la barre de tâches étaient affichés. Un 2ème arrêt m'a redonné une session "vide". Nouveau passage par le mode sans échec, puis redémarrage en mode normal pour récupérer un bureau et une barre de tâches. Ensuite, j'ai exécuté OTL
laskarhamak
 
Messages: 27
Inscription: 05 Nov 2008 15:34

Re: Process bizarres au démarrage + internet inaccessible

Messagepar nardino » 14 Avr 2011 17:42

Bonjour

Relance OTL.

Dans le cadre tu copies-colles :
:OTL
[2011/04/14 15:58:39 | 000,000,248 | -H-- | M] () -- C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/04/10 21:20:22 | 000,000,248 | -H-- | C] () -- C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/04/14 15:58:39 | 000,000,248 | -H-- | M] () -- C:\Windows\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job


Tu cliques sur Correction.
Il faut mettre à jour Java.
-Java Runtime Environment (JRE)6u24 :
http://java.sun.com/javase/downloads/index.jsp
Clique sur Download Java Runtime Environment (JRE) 6 update24
Dans la page suivante, choisis Windows dans Platform coche I agree to the Java SE Runtime Environment 6 License Agreement et Continue
Dans la nouvelle page, coche Windows Offline Installation - jre-6u24-windows-i586.exe //15.75MB.
Tu l'installeras hors connexion.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Process bizarres au démarrage + internet inaccessible

Messagepar laskarhamak » 14 Avr 2011 19:18

Rapport de correction OTL :

========== OTL ==========
C:\Windows\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job moved successfully.
File C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job not found.
File C:\Windows\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job not found.

OTL by OldTimer - Version 3.2.22.3 log created on 04142011_195258


Pour ce qui est de Java ( :pouark: :x :evil: ), vu que :
- le PC infecté ne peut plus se connecter à internet depuis l'infection, et que
- le program d'install (téléchargé depuis un autre PC) ouvre en premier lieu un onglet sur une page qu'il ne peut atteindre,
je n'arrive pas à faire la mise à jour. FF me renvoie toujours ce message :
"La connexion a été refusée par le serveur proxy. Firefox est configuré pour utiliser un serveur proxy mais celui-ci n'accepte pas les connexions."
Tu me dis de le faire offline, mais je ne vois pas comment procéder. Merci pour ta patience :wink:

Edit (21h27) :

Je viens de modifier la config du proxy en "détection automatique des paramètres de proxy pour ce réseau" et j'ai pu à nouveau afficher des pages via FF. J'avais de plus mal compris la boite de dialogue de mise à jour de java. Mais maintenant, java est mis à jour :oops: :-D
laskarhamak
 
Messages: 27
Inscription: 05 Nov 2008 15:34

Re: Process bizarres au démarrage + internet inaccessible

Messagepar nardino » 14 Avr 2011 21:19

Bonsoir,
Peux-tu retenter un rapport ZHPDiag ?
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Process bizarres au démarrage + internet inaccessible

Messagepar laskarhamak » 14 Avr 2011 21:23

Rapport de ZHPScan v1.27 par Nicolas Coolman, Update du 12/04/2011
Run by Didier at 14/04/2011 22:21:26
Web site : http://www.premiumorange.com/zeb-help-p ... pdiag.html


---\\ Clés et valeurs de Registre trouvées (Registry Keys & values found)
[HKLM\Software\Microsoft\Internet Explorer\toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17} =>Adware.SmartShopper
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar] =>Adware.BHO

---\\ Dossiers trouvés (Directories found)

---\\ Bilan de la recherche (Scan Result)
Database Version : 5386 - (12/04/2011)
Number of Keys Founds (Clés trouvées) : 2
Number of Directories Founds (Dossiers trouvés) : 0

End of the scan in 00mn 01s
laskarhamak
 
Messages: 27
Inscription: 05 Nov 2008 15:34

Re: Process bizarres au démarrage + internet inaccessible

Messagepar nardino » 14 Avr 2011 22:01

Bonsoir
Je viens de me rendre compte que tu ne scannes pas avec ZHPDiag :
http://telechargement.zebulon.fr/zhpdiag.html
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Process bizarres au démarrage + internet inaccessible

Messagepar laskarhamak » 14 Avr 2011 23:20

Ci-dessous, copie de l'interface ZHPdiag (lancé depuis le raccourci après Scan (icône "petit démon") et affichage de l"A propos" (icône "i") :

Image

Je vais donc essayer avec le bouton "lancer le diagnostic" (icône "loupe", la première en haut à gauche), ce qui donne çà :

http://cjoint.com/?ADparpI5NTh

Ce qui semble déjà plus correspondre à ce que tu attends.

PS: ce vendredi je risque d'être éloigné de l'ordi infecté pendant une bonne partie de la journée. Donc au mieux, à vendredi, en soirée. @+
laskarhamak
 
Messages: 27
Inscription: 05 Nov 2008 15:34

Re: Process bizarres au démarrage + internet inaccessible

Messagepar nardino » 15 Avr 2011 08:06

Bonjour
Peux-tu me dire quelle est l'utilité des programmes :
C:\Program Files\GonVisor\GonVisor.exe
D:\Logiciels\utilitaires\HyperSnap_6.31.01.exe
C:\Program Files\Magic Video Converter\MagicVideoConverter.exe
C:\Program Files\Aviraold

Es-tu sûr de leur source ?
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Process bizarres au démarrage + internet inaccessible

Messagepar laskarhamak » 15 Avr 2011 09:48

C:\Program Files\GonVisor\GonVisor.exe
visualiseur de lots d'images compressés en.rar, .zip etc...
D:\Logiciels\utilitaires\HyperSnap_6.31.01.exe
utilitaire de copie d'écran
C:\Program Files\Magic Video Converter\MagicVideoConverter.exe
compression de vidéos
C:\Program Files\Aviraold
une vieille version d'Avira, n'est plus utilisée
Tous ces programmes sont utilisés depuis (très) longtemps ; leurs sources sont, de fait, sûres...

@bientôt
laskarhamak
 
Messages: 27
Inscription: 05 Nov 2008 15:34

Re: Process bizarres au démarrage + internet inaccessible

Messagepar nardino » 15 Avr 2011 13:04

Bonjour
Tu sais que depuis Vista tu as une fonction de saisie d'écran avec Windows ?
Pour Aviraold, pourquoi conserver cela ?
Bref ce sont tes oignons.
Lance ZHPFix par l'icône sur le bureau
Le tutoriel http://rue-du-montceau.pagesperso-orang ... hpfix.html
Coche les lignes suivantes :

M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\DTToolbar@toolbarnet.com
[HKCU\Software\GAGEZ8R8ZB]
[HKCU\Software\W5E7SH31DG]
O43 - CFD: 12/04/2011 - 15:59:44 - [393920] ----D- C:\ProgramData\nLc28258eJgFa28258
O43 - CFD: 12/04/2011 - 18:56:48 - [125784] ----D- C:\Users\Didier\AppData\Local\0-poubelle
O53 - SMSR:HKLM\...\startupreg\Wdaqire [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Didier\AppData\Local\ibrsbi.dll
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O87 - FAEL: "TCP Query User{282F83E9-CADC-43C3-B759-1E50875BB8AC}C:\windows\temp\occ.exe" |In - Private - P6 - TRUE | .(...) -- C:\windows\temp\occ.exe (.not file.)
O87 - FAEL: "UDP Query User{BC0C8682-E5CB-42E5-A6F2-B38C1B3C3C38}C:\windows\temp\occ.exe" |In - Private - P17 - TRUE | .(...) -- C:\windows\temp\occ.exe (.not file.)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar]
[HKLM\Software\Microsoft\Internet Explorer\toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}
Clique sur le bouton Nettoyer .
Poste le rapport obtenu.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Process bizarres au démarrage + internet inaccessible

Messagepar laskarhamak » 15 Avr 2011 20:11

Rapport de nettoyage de ZHPfix :

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-15-04-2011-21-09-47.txt
Run by Didier at 15/04/2011 21:09:47
Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\GAGEZ8R8ZB => Clé supprimée avec succès
HKCU\Software\W5E7SH31DG => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Wdaqire [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Didier\AppData\Local\ibrsbi.dll => Clé supprimée avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
TCP Query User{282F83E9-CADC-43C3-B759-1E50875BB8AC}C:\windows\temp\occ.exe => Valeur supprimée avec succès
UDP Query User{BC0C8682-E5CB-42E5-A6F2-B38C1B3C3C38}C:\windows\temp\occ.exe => Valeur supprimée avec succès
[HKLM\Software\Microsoft\Internet Explorer\toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17} => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\ProgramData\nLc28258eJgFa28258 => Supprimé et mis en quarantaine
C:\Users\Didier\AppData\Local\0-poubelle => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files\mozilla firefox\extensions\dttoolbar@toolbarnet.com => Supprimé et mis en quarantaine
c:\users\didier\appdata\local\ibrsbi.dll => Fichier absent


========== Récapitulatif ==========
4 : Clé(s) du Registre
5 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)


End of the scan
laskarhamak
 
Messages: 27
Inscription: 05 Nov 2008 15:34

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités