retrouver le n°de licence sous xp suite infection [RESOLU]

[dardar]

bonjours ,
je voudrais reformater le pc d'une proche qui est sous XP.
son pc est complètement bloqué suite a une infection (demarrage ok mais impossible de lancer un quelconque pgr, et du coup pas de net pour aider a réparer).
son pc est installé depuis + de 3 ans , avec cd et licence.
le probleme est qu'elle ne retrouve pas la pochette du cd et du n° de licence .

voici mes questions :
-dans le cas ou je puisse faire une manipe sur le pc : peut on récupérer le n° de licence.
-Est-ce que je peux utiliser un autre cd xp et rentrer son n° de licence

merci pour votre aide:

[pjordy]

bonjour,
charge le programme qui s'appelle : winfokeys il te donnera toute les indication sur le clef installer sur le pc il te suffira de la copie pour pouvoir la réinstaller copie sur papier naturellement

[ricouz]

Bonjour

bonjour,
charge le programme qui s'appelle : winfokeys il te donnera toute les indication sur le clef installer sur le pc il te suffira de la copie pour pouvoir la réinstaller copie sur papier naturellement

Oui mais comment faire pour lancer le programme winfokeys si aucun programme ne veut démarrer sur le pc

[pjordy]

re bonjour
en mode sans échec a tu essayer

[nardino]

Bonjour.

Si tu penses que c'est du à une infection, scan le pc avec un antivirus en liveCD bootable.
topic9089.html

DrWeb ou Antivir Rescue comme tu veux.

Essaie ensuite de redémarrer normalement et donne des nouvelles.

Sinon le numéro de licence devrait se trouver sur la tour ou sous le portable.
@+

[dardar]

bonjours ,
merci a tous ceux qui m'ont repondu.

Merci a nardino, je vais mettre en application le cd avira , car je n'arrive pas a telecharger Drweb via le neuf hotspot (avoir le net gratuit c'est bien mais parfois on est bloqué )
Pour ce qui est du n° de licence il 'n'est pas sur la tour car a la base c'est un pc fait maison, donc si tu as une autre solution, je prend.
Puis je utiliser un autre cd d'installation xp si j'e retrouve son numero ?

Pour l'infection je te tiens au courant.
encore merci pour tout

[nardino]

Re,
Fais déjà le scan et tu verras ensuite.
Il faut absolument retrouver le numéro de licence avant une réinstallation éventuelle.
@+

[dardar]

salut nardino ,
Bonne nouvelle,elle a reussi a faire une 1ere desinfection,
En attendant d'avoir le cd boot d'avira, je lui ai donné ce matin la nouvelle version antivir sur cd.
Dans le doute,je lui est proposé d'essayer d'installer la nouvelle version, la manip a reussi.
Elle a fait un scan en mode sans echec avec antivir puis malwarebyte's. Des chevaux de troie + 1 virus ont etait decouvert puis desinfecter.

Maintenant son pc tourne, en apparence , internet aussi.
Defaut constatés , la plupart des pgrs ne fonctionnent plus => ccleaner, open office ..., mais c'est ok dès la reinstallation.
par contre elle n'arrive pas a faire la mise a jours antivir.
je passerai la voir des que je peux ,et si tu le veux bien je posterai un rapport hijackthis.

-Faut il desinstaller tous les pgrs dont elle n'a pas besoin pour le moment et vider tous les fichiers video ... avant de faire le rapport ?

ha oui, j'oubliais de dire comment cela lui est arrivé, ben elle ne savait pas que le parapluie fermé d'antivir signifiait qu'il ne fonctionnait plus .
Je prefere attendre tes indications avant de faire quoique ce soit.
merci

[nardino]

Bonsoir,
Ta copine télécharge des cracks et a été victime de Bagle pour le moins ou un début de Virut.
Il faut qu'elle désinstalles tous les programmes corrompus et qu'elle les réinstalle avec des setup tout frais téléchargés.
@+

[dardar]

bonsoir nardino ,
Pour les cracks ,j'avoue que je ne sais pas, le fait est qu'elle si connait si peu . je pense plutot a un proche (ha son petit copain,toujours plein d'invention ).
je passerai lui desinstaller tous ses pgrs et fichiers, je ne laisserai que windows, antivir, et sa connexion orange pour l'instant.
-Y a t-il un autre prog que antivir ,simple et que je pourrai utiliser pour un nettoyage plus profond ,avant de poster le rapport hijack ?
Je pense a findy kill ou autres ??
-y at'il d'autres pgr dont tu auras besoin pour une desinfection, s'il y en a une qui persiste ?
Je demandes tout ceci avant, car je graverai tout sur un cd afin d'etre sur de ne pas contaminer ma clée USB.

merci

[nardino]

Bonjour.
FindyKill sert à nettoyer une infection par Bagle.
Tu peux poster un rapport Hijackthis :
Télécharge Hijackthis de Trend Micro:
http://www.trendsecure.com/portal/en-US ... e=download

Installes-le en cliquant sur HJT202Install.exe.
Il sera dans C:\Program Files\TrendMicro\HijackThis2.0.2\HijackThis.exe

• Lances-le par Do a system scan and save a logfile.
  A la fin du scan, un blocnote va s'ouvrir, enregistre le sous HJT1.txt.
  Puis sans le fermer :
  CTRL+A pour tout sélectionner
  CTRL+C pour copier
  CTRL+V pour coller dans la réponse
  Tu le refermes pour le moment.
  Tu attends les résultats de l'analyse.

Important :
Sous Vista, clic droit sur le fichier Hijackthis.exe ou sur le raccourci, Propriétés, Onglet Compatibilité, cocher :
"Exécuter ce programme en tant qu'administrateur"

Donne des infos sur le comportement du pc.
@+

[dardar]

bonjours nardino ,

1- config pc : DD de 25giga en 1 partition et il ne reste que 7.5 giga de libre,proce P3 1.3 et 700 mo de rame.
2- info sur le comportement du pc. ( il rame severe pour lancer un pgr)
Une fois la cession ouverte, j'ai reussi a desinstallé la plupart des progs.Je n'ai laissé en place que nero (version original avec cd),et tout ce qui est orange,internet explorer,et tout ce qui faut pour windows.J'ai viré aussi les videos du net. il ne reste que 1 dizaine de photos perso.
Ensuite :Intallation d'antivir,spywareblaster,malwarebyte's,firefox et ses modules et ccleaner => tout ok meme les mise a jours.
Avec ccleaner,j'ai effectué un nettoyage + une reparation du systeme (sauvegarde registre effectuée bien sur),ensuite un nettoyage du disque=> resultat ça rame nettement moins mais c'est encore long
3- -Probleme rencontré
ce matin, antivir ce bloque au bout d'un certain temps pendant l'analyse et tout le pc ce bloque ( souris ...), je soupçonne un probleme proce ou carte mere,j'ai demonté le pc pour nettoyer le radiateur du proce qui etait étouffé par des moumoutes (pas ceux de la prehistoire ). J'ai refait une analyse idem
4- le rapport d'antivir d'hier avant desinfection
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\chrys.CHRYS-7B673CE26\Local Settings\Temporary Internet Files\Content.IE5\USXPYBJO\swflash[1].cab
[0] Type d'archive: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\System Volume Information\_restore{61208A1F-E0FD-4527-A924-22C12E01749A}\RP120\A0092776.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\System Volume Information\_restore{61208A1F-E0FD-4527-A924-22C12E01749A}\RP122\A0093030.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\System Volume Information\_restore{61208A1F-E0FD-4527-A924-22C12E01749A}\RP122\A0093059.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\System Volume Information\_restore{61208A1F-E0FD-4527-A924-22C12E01749A}\RP125\A0095204.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
Recherche débutant dans 'D:\'

Début de la désinfection :
C:\System Volume Information\_restore{61208A1F-E0FD-4527-A924-22C12E01749A}\RP120\A0092776.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a455751.qua' !
C:\System Volume Information\_restore{61208A1F-E0FD-4527-A924-22C12E01749A}\RP122\A0093030.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b263c9a.qua' !
C:\System Volume Information\_restore{61208A1F-E0FD-4527-A924-22C12E01749A}\RP122\A0093059.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b2124c2.qua' !
C:\System Volume Information\_restore{61208A1F-E0FD-4527-A924-22C12E01749A}\RP125\A0095204.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '497b33da.qua' !


5- voici le rapport hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:48:28, on 22/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\1\FTCOMModule.exe
C:\Documents and Settings\chrys.CHRYS-7B673CE26\Bureau\seb\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ke.voila.fr/S/voila?kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/fich ... _0_2_0.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WUSB54GCSVC - GEMTEKS - C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe

--
End of file - 8060 bytes

merci pour ton aide

[nardino]

Bonsoir.

1- Un bon nettoyage des fichiers temporaires.
Télécharge CCleaner "Slim" de Piriform :
http://www.ccleaner.com/download/builds

Clique sur : CCleaner v2.19.901- Slim / No Toolbar / 959 KB / Download now...(en bas).
Installes-le.
Dans Options, Avancé, tu retires la coche devant : Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
Dans la page principale, (clic sur le pinceau à gauche), clique sur Analyse
Une fois celle-ci terminée, clique sur Lancer le nettoyage et confirme la suppression des fichiers.

Un excellent tutoriel de Jesses pour le paramétrer :
http://perso.orange.fr/jesses/Docs/Logi ... leaner.htm

Conseil.
Se limiter à cette utilisation de CCleaner

2- Télécharge Combofix

IMPORTANT. Enregistre ComboFix.exe sur le Bureau.
Désactive les applications antivirus et anti-malware, en général via un clic droit sur l'icône de la Zone de notification.
Sinon, elles risquent d'interférer avec l'outil.

Fais un double clic sur l'icône et suis les invites.



Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.
Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.

Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.



Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, le message suivant apparaitra :



Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il affichera un rapport.
Copie le contenu de C:\ComboFix.txt dans ta prochaine réponse.

3- Faire un bonne défragmentation.
Tous les programmes, Accessoires Outils d'administration, Défragmenteur de disque.

@+

[dardar]

bonsoirs nardino,

j'ai effectué toutes les manipes , il y a une seule chose importante qui ne fonctionne pas :
lorsque je lance combofix, il me coupe l'acces a internet , et je ne peux plus me reconnecter, du coup je ne faire ceci:
Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

sinon voici le rapport combofix:

ComboFix 09-05-21.08 - chrys 22/05/2009 20:03.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.224 [GMT 2:00]
Lancé depuis: c:\documents and settings\chrys.CHRYS-7B673CE26\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-04-22 au 2009-05-22 ))))))))))))))))))))))))))))))))))))
.

2009-05-22 17:17 . 2009-05-22 17:25 -------- d-----w c:\program files\CCleaner
2009-05-22 09:38 . 2008-03-22 21:37 113896 ----a-w c:\windows\system32\drivers\keyscrambler.sys
2009-05-22 09:38 . 2009-05-22 09:38 -------- d-----w c:\program files\KeyScrambler
2009-05-22 09:37 . 2008-06-01 21:25 737192 ----a-w c:\documents and settings\chrys.CHRYS-7B673CE26\Application Data\Mozilla\Firefox\Profiles\yenewusp.default\extensions\keyscrambler@qfx.software.corporation\installer\setup.exe
2009-05-22 09:37 . 2008-06-01 21:24 808936 ----a-w c:\documents and settings\chrys.CHRYS-7B673CE26\Application Data\Mozilla\Firefox\Profiles\yenewusp.default\extensions\keyscrambler@qfx.software.corporation\components\KeyScramblerIE.dll
2009-05-22 09:29 . 2009-05-22 09:29 0 ----a-w c:\windows\nsreg.dat
2009-05-22 09:28 . 2009-05-22 09:28 -------- d-----w c:\documents and settings\chrys.CHRYS-7B673CE26\Local Settings\Application Data\Mozilla
2009-05-22 09:12 . 2009-05-22 09:13 -------- d-----w c:\program files\SpywareBlaster
2009-05-22 08:24 . 2008-04-14 01:33 21504 ----a-w c:\windows\system32\hidserv.dll
2009-05-22 08:23 . 2001-08-23 15:04 12288 ----a-w c:\windows\system32\drivers\mouhid.sys
2009-05-22 08:23 . 2008-04-13 17:45 10368 ----a-w c:\windows\system32\drivers\hidusb.sys
2009-05-21 11:20 . 2009-05-21 11:20 2967799 ----a-w c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-05-21 11:15 . 2009-03-30 08:32 96104 ----a-w c:\windows\system32\drivers\avipbb.sys
2009-05-21 11:15 . 2009-03-24 14:07 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-21 11:15 . 2009-02-13 10:28 22360 ----a-w c:\windows\system32\drivers\avgntmgr.sys
2009-05-21 11:15 . 2009-02-13 10:17 45416 ----a-w c:\windows\system32\drivers\avgntdd.sys
2009-05-21 11:15 . 2009-05-21 11:15 -------- d-----w c:\program files\Avira
2009-05-21 11:15 . 2009-05-21 11:15 -------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Avira
2009-05-21 10:53 . 2009-05-21 10:53 -------- d--h--w c:\documents and settings\Administrateur.CHRYS-7B673CE26\Voisinage réseau
2009-05-21 10:53 . 2009-05-21 10:53 -------- d--h--w c:\documents and settings\Administrateur.CHRYS-7B673CE26\Voisinage d'impression
2009-05-21 10:53 . 2009-05-21 10:53 -------- d-----w c:\documents and settings\Administrateur.CHRYS-7B673CE26\Mes documents
2009-05-21 10:53 . 2009-05-21 10:53 -------- d-----w c:\documents and settings\Administrateur.CHRYS-7B673CE26\Favoris
2009-05-21 10:53 . 2009-05-21 10:53 -------- d-----w c:\documents and settings\Administrateur.CHRYS-7B673CE26\Bureau
2009-05-21 10:53 . 2009-05-21 10:53 -------- d-----r c:\documents and settings\Administrateur.CHRYS-7B673CE26\Menu Démarrer
2009-05-21 10:20 . 2009-05-21 10:29 -------- d--h--w c:\documents and settings\Administrateur.CHRYS-7B673CE26\Modèles
2009-05-21 10:20 . 2009-05-21 10:29 -------- d-----w c:\documents and settings\Administrateur.CHRYS-7B673CE26\Local Settings\Application Data\Microsoft
2009-05-21 10:20 . 2009-05-21 10:29 -------- d-----w c:\documents and settings\Administrateur.CHRYS-7B673CE26

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-22 17:10 . 2009-02-14 18:14 -------- d---a-w c:\documents and settings\All Users.WINDOWS\Application Data\TEMP
2009-05-22 10:35 . 2009-05-22 10:34 153080 ----a-w c:\windows\pchealth\helpctr\Config\Cache\Personal_32_1036.dat
2009-05-22 08:48 . 2005-05-24 10:45 -------- d-----w c:\program files\Fichiers communs\Adobe
2009-05-21 11:20 . 2009-02-16 18:32 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-20 05:14 . 2004-08-05 12:00 71488 ----a-w c:\windows\system32\perfc00C.dat
2009-04-20 05:14 . 2004-08-05 12:00 458648 ----a-w c:\windows\system32\perfh00C.dat
2009-04-17 05:26 . 2008-06-15 08:44 21752 ----a-w c:\documents and settings\chrys.CHRYS-7B673CE26\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-06 13:32 . 2009-02-16 18:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2009-02-16 18:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-06 14:20 . 2004-08-05 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:13 . 2004-08-05 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2008-06-18 11:27 . 2005-05-15 13:28 278528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2007-02-07 16:13 . 2007-02-07 16:13 54 ----a-w c:\program files\delir.gio
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

A+

[nardino]

Bonsoir.
Le rapport Combofix est loin d'être complet , il en manque un sérieux morceau.
@+