[mcslam]

bjr a vs
je vs ecris pour vs faire part de desagrements dont mon ordinateur est la cible.
il est neuf et depuis quelques temps je constate des perturbations.
a l allumage un ecran noir se plaque clignote et ralentit considerablement le demarrage avant meme l ouverture de ma session qui est protegé par un mot de passe.
ensuite le bureau mais enormement de temps a se charger et il est instable bugs en tout genre sur les progs d exploitation.concernant l internet des connexions multiples s afichent et l ecriture de message et constament entrecoupéé donc resultat une lettre sur 3 s affiche.
donc peut etre est il infecté par un spyware et piraté ?
Merci de m aider.......

[surf-net]

salut,

pose un log => hijackthis

si tu es sous vista ou seven clic droit dessus "executer en administrateur"

une fois executer clic sur "do a system scan and save a log files"
a la fin du scan le bloc-note va s'ouvrir copie/colle le contenu dans ta prochaine reponse

[mcslam]

surf-net, le 10 March 2010 à 16h32, dit :

salut,

pose un log => hijackthis

si tu es sous vista ou seven clic droit dessus "executer en administrateur"

une fois executer clic sur "do a system scan and save a log files"
a la fin du scan le bloc-note va s'ouvrir copie/colle le contenu dans ta prochaine reponse

alors en le lancant j obtiens une fenetre qui dit ceci
for some reason your system write access to the host file et bla bla.....
notepad:c/windows/system32/drivers/etc/host
en forcant j obtiens ceci
avec beaucoup de bugset je pense qu il n est pas complet car il m a demandé d ecrire via notepad ce que je n ai pas compris.

Fichier(s) joint(s)

•  rapport du 10.txt (10.33 Ko)
  Nombre de téléchargements : 3

[surf-net]

tu l'a bien executer en administrateur??

sinon le log laisse apparaitre une infection Partner

utilise => malwarebyte's

c'est dans sa base de données
fais la mise à jour et ensuite un scan en mode sans echec

supprime ce qu'il trouvera post le rapport ainsi qu'un nouveau log hijackthis

[mcslam]

surf-net, le 10 March 2010 à 17h35, dit :

tu l'a bien executer en administrateur??

sinon le log laisse apparaitre une infection Partner

utilise => malwarebyte's

c'est dans sa base de données
fais la mise à jour et ensuite un scan en mode sans echec

supprime ce qu'il trouvera post le rapport ainsi qu'un nouveau log hijackthis

et j ai ca aussi avec des bizarreries de phrases
fixed bugs etc..........

[mcslam]

mcslam, le 10 March 2010 à 18h22, dit :

et j ai ca aussi avec des bizarreries de phrases
fixed bugs etc..........


* Trend Micro HijackThis v2.0.2 *


See bottom for version history.

The different sections of hijacking possibilities have been separated into the following groups.
You can get more detailed information about an item by selecting it from the list of found items OR highlighting the relevant line below, and clicking 'Info on selected item'.

R - Registry, StartPage/SearchPage changes
R0 - Changed registry value
R1 - Created registry value
R2 - Created registry key
R3 - Created extra registry value where only one should be
F - IniFiles, autoloading entries
F0 - Changed inifile value
F1 - Created inifile value
F2 - Changed inifile value, mapped to Registry
F3 - Created inifile value, mapped to Registry
N - Netscape/Mozilla StartPage/SearchPage changes
N1 - Change in prefs.js of Netscape 4.x
N2 - Change in prefs.js of Netscape 6
N3 - Change in prefs.js of Netscape 7
N4 - Change in prefs.js of Mozilla
O - Other, several sections which represent:
O1 - Hijack of auto.search.msn.com with Hosts file
O2 - Enumeration of existing MSIE BHO's
O3 - Enumeration of existing MSIE toolbars
O4 - Enumeration of suspicious autoloading Registry entries
O5 - Blocking of loading Internet Options in Control Panel
O6 - Disabling of 'Internet Options' Main tab with Policies
O7 - Disabling of Regedit with Policies
O8 - Extra MSIE context menu items
O9 - Extra 'Tools' menuitems and buttons
O10 - Breaking of Internet access by New.Net or WebHancer
O11 - Extra options in MSIE 'Advanced' settings tab
O12 - MSIE plugins for file extensions or MIME types
O13 - Hijack of default URL prefixes
O14 - Changing of IERESET.INF
O15 - Trusted Zone Autoadd
O16 - Download Program Files item
O17 - Domain hijack
O18 - Enumeration of existing protocols and filters
O19 - User stylesheet hijack
O20 - AppInit_DLLs autorun Registry value, Winlogon Notify Registry keys
O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key
O22 - SharedTaskScheduler autorun Registry key
O23 - Enumeration of NT Services
O24 - Enumeration of ActiveX Desktop Components

Command-line parameters:
* /autolog - automatically scan the system, save a logfile and open it
* /ihatewhitelists - ignore all internal whitelists
* /uninstall - remove all HijackThis Registry entries, backups and quit
* /silentautuolog - the same as /autolog, except with no required user intervention

* Version history *

[v2.00.0]
* AnalyzeThis added for log file statistics
* Recognizes Windows Vista and IE7
* Fixed a few bugs in the O23 method
* Fixed a bug in the O22 method (SharedTaskScheduler)
* Did a few tweaks on the log format
* Fixed and improved ADS Spy
* Improved Itty Bitty Procman (processes are frozen before they are killed)
* Added listing of O4 autoruns from other users
* Added listing of the Policies Run items in O4 method, used by SmitFraud trojan
* Added /silentautolog parameter for system admins
* Added /deleteonreboot [file] parameter for system admins
* Added O24 - ActiveX Desktop Components enumeration
* Added Enhanced Security Confirguration (ESC) Zones to O15 Trusted Sites check
[v1.99.1]
* Added Winlogon Notify keys to O20 listing
* Fixed crashing bug on certain Win2000 and WinXP systems at O23 listing
* Fixed lots and lots of 'unexpected error' bugs
* Fixed lots of inproper functioning bugs (i.e. stuff that didn't work)
* Added 'Delete NT Service' function in Misc Tools section
* Added ProtocolDefaults to O15 listing
* Fixed MD5 hashing not working
* Fixed 'ISTSVC' autorun entries with garbage data not being fixed
* Fixed HijackThis uninstall entry not being updated/created on new versions
* Added Uninstall Manager in Misc Tools to manage 'Add/Remove Software' list
* Added option to scan the system at startup, then show results or quit if nothing found
[v1.99]
* Added O23 (NT Services) in light of newer trojans
* Integrated ADS Spy into Misc Tools section
* Added 'Action taken' to info in 'More info on this item'
[v1.98]
* Definitive support for Japanese/Chinese/Korean systems
* Added O20 (AppInit_DLLs) in light of newer trojans
* Added O21 (ShellServiceObjectDelayLoad, SSODL) in light of newer trojans
* Added O22 (SharedTaskScheduler) in light of newer trojans
* Backups of fixed items are now saved in separate folder
* HijackThis now checks if it was started from a temp folder
* Added a small process manager (Misc Tools section)
[v1.96]
* Lots of bugfixes and small enhancements! Among others:
* Fix for Japanese IE toolbars
* Fix for searchwww.com fake CLSID trick in IE toolbars and BHO's
* Attributes on Hosts file will now be restored when scanning/fixing/restoring it.
* Added several files to the LSP whitelist
* Fixed some issues with incorrectly re-encrypting data, making R0/R1 go undetected until a restart
* All sites in the Trusted Zone are now shown, with the exception of those on the nonstandard but safe domain list
[v1.95]
* Added a new regval to check for from Whazit hijack (Start Page_bak).
* Excluded IE logo change tweak from toolbar detection (BrandBitmap and SmBrandBitmap).
* New in logfile: Running processes at time of scan.
* Checkmarks for running StartupList with /full and /complete in HijackThis UI.
* New O19 method to check for Datanotary hijack of user stylesheet.
* Google.com IP added to whitelist for Hosts file check.
[v1.94]
* Fixed a bug in the Check for Updates function that could cause corrupt downloads on certain systems.
* Fixed a bug in enumeration of toolbars (Lop toolbars are now listed!).
* Added imon.dll, drwhook.dll and wspirda.dll to LSP safelist.
* Fixed a bug where DPF could not be deleted.
* Fixed a stupid bug in enumeration of autostarting shortcuts.
* Fixed info on Netscape 6/7 and Mozilla saying '%shitbrowser%' (oops).
* Fixed bug where logfile would not auto-open on systems that don't have .log filetype registered.
* Added support for backing up F0 and F1 items (d'oh!).
[v1.93]
* Added mclsp.dll (McAfee), WPS.DLL (Sygate Firewall), zklspr.dll (Zero Knowledge) and mxavlsp.dll (OnTrack) to LSP safelist.
* Fixed a bug in LSP routine for Win95.
* Made taborder nicer.
* Fixed a bug in backup/restore of IE plugins.
* Added UltimateSearch hijack in O17 method (I think).
* Fixed a bug with detecting/removing BHO's disabled by BHODemon.
* Also fixed a bug in StartupList (now version 1.52.1).
[v1.92]
* Fixed two stupid bugs in backup restore function.
* Added DiamondCS file to LSP files safelist.
* Added a few more items to the protocol safelist.
* Log is now opened immediately after saving.
* Removed rd.yahoo.com from NSBSD list (spammers are starting to use this, no doubt spyware authors will follow).
* Updated integrated StartupList to v1.52.
* In light of SpywareNuker/BPS Spyware Remover, any strings relevant to reverse-engineers are now encrypted.
* Rudimentary proxy support for the Check for Updates function.
[v1.91]
* Added rd.yahoo.com to the Nonstandard But Safe Domains list.
* Added 8 new protocols to the protocol check safelist, as well as showing the file that handles the protocol in the log (O18).
* Added listing of programs/links in Startup folders (O4).
* Fixed 'Check for Update' not detecting new versions.
[v1.9]
* Added check for Lop.com 'Domain' hijack (O17).
* Bugfix in URLSearchHook (R3) fix.
* Improved O1 (Hosts file) check.
* Rewrote code to delete BHO's, fixing a really nasty bug with orphaned BHO keys.
* Added AutoConfigURL and proxyserver checks (R1).
* IE Extensions (Button/Tools menuitem) in HKEY_CURRENT_USER are now also detected.
* Added check for extra protocols (O18).
[v1.81]
* Added 'ignore non-standard but safe domains' option.
* Improved Winsock LSP hijackers detection.
* Integrated StartupList updated to v1.4.
[v1.8]
* Fixed a few bugs.
* Adds detecting of free.aol.com in Trusted Zone.
* Adds checking of URLSearchHooks key, which should have only one value.
* Adds listing/deleting of Download Program Files.
* Integrated StartupList into the new 'Misc Tools' section of the Config screen!
[v1.71]
* Improves detecting of O6.
* Some internal changes/improvements.
[v1.7]
* Adds backup function! Yay!
* Added check for default URL prefix
* Added check for changing of IERESET.INF
* Added check for changing of Netscape/Mozilla homepage and default search engine.
[v1.61]
* Fixes Runtime Error when Hosts file is empty.
[v1.6]
* Added enumerating of MSIE plugins
* Added check for extra options in 'Advanced' tab of 'Internet Options'.
[v1.5]
* Adds 'Uninstall & Exit' and 'Check for update online' functions.
* Expands enumeration of autoloading Registry entries (now also scans for .vbs, .js, .dll, rundll32 and service)
[v1.4]
* Adds repairing of broken Internet access (aka Winsock or LSP fix) by New.Net/WebHancer
* A few bugfixes/enhancements
[v1.3]
* Adds detecting of extra MSIE context menu items
* Added detecting of extra 'Tools' menu items and extra buttons
* Added 'Confirm deleting/ignoring items' checkbox
[v1.2]
* Adds 'Ignorelist' and 'Info' functions
[v1.1]
* Supports BHO's, some default URL changes
[v1.0]
* Original release

A good thing to do after version updates is clear your Ignore list and re-add them, as the format of detected items sometimes changes.

et dans la section 92 du rapport il ya spyware nuker programme que je n ai pas comment est ce possible?
Quand j essaie de lancer ou de recuperer un prog on me dit qu il est occupé ailleurs ?
eT QUAND JE FAIS UNE DECOUVERTE RESEAU PLUSIEURS SONT CONNECTES ?
Je crois que mon ordi est piraté surtout avec les multiples connexions qui souvrent lors de session espionné par qui ?
merci de votre aide..

[mcslam]

mcslam, le 10 March 2010 à 18h39, dit :

et dans la section 92 du rapport il ya spyware nuker programme que je n ai pas comment est ce possible?
Quand j essaie de lancer ou de recuperer un prog on me dit qu il est occupé ailleurs ?
eT QUAND JE FAIS UNE DECOUVERTE RESEAU PLUSIEURS SONT CONNECTES ?
Je crois que mon ordi est piraté surtout avec les multiples connexions qui souvrent lors de session espionné par qui ?
merci de votre aide..

et voila le rapport mbam

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3848
Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

10/03/2010 20:45:15
mbam-log-2010-03-10 (20-45-15).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 200378
Temps écoulé: 28 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

il ne trouve rien bizarre.....

JAI TROUVER CE RAPPORT BIZARRE QUAND JE RECHERCHEZ CELUI CI
MBAMswissarmy.sys
c/windows/sysWOW64/drivers qu est ce que c est...?
1fichier de l armée suisse sur mon ordi et dans mon systeme de driver c est pas ce que je crois.
merci de me repondre..

Et quand j essaie de scanner avec hijackthis il se bloque et envoie un message d erreurs
avec notepad c /windows32/drivers/etc/host....
et donc pas de rapport hijack ?

[Spark010]

Citation

c/windows/sysWOW64/drivers

ceci est le fichier des pilotes 64 bit de windows
c'est tout a fait normal si tu as une version 64bit de windows d'avoir ce répertoire.

Citation

et dans la section 92 du rapport il ya spyware nuker programme que je n ai pas comment est ce possible?

^^ tu n'as pas a t'inquté pour ça tu vien de nous posté le rapport des changement de Hijackthis lui même , son histoire et ses changement effectuer par les créateur

mm mbam a rien trouvé dans ce cas , alors ton pc n'est pas forcément infecté
les bugs sont toujours présent ?
mmm , comme on a pas d'information sur les fichier SvHost ,
ouvre l'invite de comande en faisant la manipulatio suivante
Appui sur Win + R
tappe cmd dans la fenetre qui vas s'ouvrir ,
n'appuy pas sur ok
appui sur les touche Ctrl + Majuscule ou Shift + Entrer
ensuite tu tappe la comande das la fenêtre qui vas s'ouvrir , netstat -a
tu nous poste ce qu'il y a.
cela permetera de savoir ce qui est connecté a ton pc
Bonne journée

[surf-net]

Citation

Et quand j essaie de scanner avec hijackthis il se bloque et envoie un message d erreurs
avec notepad c /windows32/drivers/etc/host....
et donc pas de rapport hijack ?

j'ai l'impression de me repetter
pour que hijackthis puisse acceder au fichier host il dois etre executer avec des droits administrateur

donc clic droit (avec ta souris) sur l'icone d'hijackthis
ceci ouvrira un menu contextuel et dans ce dit menu tu aura l'option "executez en tant qu'administrateur"



passe ton curseur dessus et fais un clic gauche

comme ceci hijackthis va s'executer avec des droit d'administrateur

ps: pose simplement le log le tutoriel n'es pas obligatoire

[mcslam]

[surf-net]

cette commande permet de voir les connections active

et c'est : netstat -ano

qu'il faut taper avec un espace apres netstat

Citation

C:users/mcslam/

et tu dois lancer l'invite en administrateur

donc clic droit sur cmd :



et clic sur executez en administrateur

Citation

La partie History ou l on voit des multiples bugs et des fix qu est ce que cela veut dire merci de vos reponses
ca a l air d etre un prog de piratage non ?

non pas piratage mais simplement tutoriel

[mcslam]

voila le rapport nestat


Microsoft Windows [version 6.1.7600]
Copyright © 2009 Microsoft Corporation. Tous droits réservés.

C:\Windows\system32>netstat -ano

Connexions actives

Proto Adresse locale Adresse distante État
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 764
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:5151 0.0.0.0:0 LISTENING 1720
TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:8093 0.0.0.0:0 LISTENING 1568
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING 476
TCP 0.0.0.0:49153 0.0.0.0:0 LISTENING 932
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING 100
TCP 0.0.0.0:49155 0.0.0.0:0 LISTENING 540
TCP 0.0.0.0:49158 0.0.0.0:0 LISTENING 532
TCP 127.0.0.1:49156 0.0.0.0:0 LISTENING 3404
TCP 192.168.0.10:139 0.0.0.0:0 LISTENING 4
TCP 192.168.0.10:52259 208.43.44.138:80 ESTABLISHED 624
TCP [::]:135 [::]:0 LISTENING 764
TCP [::]:445 [::]:0 LISTENING 4
TCP [::]:5357 [::]:0 LISTENING 4
TCP [::]:49152 [::]:0 LISTENING 476
TCP [::]:49153 [::]:0 LISTENING 932
TCP [::]:49154 [::]:0 LISTENING 100
TCP [::]:49155 [::]:0 LISTENING 540
TCP [::]:49158 [::]:0 LISTENING 532
TCP [::1]:49157 [::]:0 LISTENING 3404
UDP 0.0.0.0:500 *:* 100
UDP 0.0.0.0:3702 *:* 760
UDP 0.0.0.0:3702 *:* 1540
UDP 0.0.0.0:3702 *:* 1540
UDP 0.0.0.0:3702 *:* 760
UDP 0.0.0.0:4500 *:* 100
UDP 0.0.0.0:5355 *:* 1184
UDP 0.0.0.0:49152 *:* 1540
UDP 0.0.0.0:51806 *:* 760
UDP 0.0.0.0:55916 *:* 760
UDP 127.0.0.1:1900 *:* 1540
UDP 127.0.0.1:59682 *:* 2240
UDP 127.0.0.1:60194 *:* 1540
UDP 127.0.0.1:61592 *:* 624
UDP 127.0.0.1:62257 *:* 1880
UDP 192.168.0.10:137 *:* 4
UDP 192.168.0.10:138 *:* 4
UDP 192.168.0.10:1900 *:* 1540
UDP 192.168.0.10:60193 *:* 1540
UDP [::]:500 *:* 100
UDP [::]:3702 *:* 760
UDP [::]:3702 *:* 1540
UDP [::]:3702 *:* 760
UDP [::]:3702 *:* 1540
UDP [::]:4500 *:* 100
UDP [::]:5355 *:* 1184
UDP [::]:49153 *:* 1540
UDP [::]:51807 *:* 760
UDP [::]:55917 *:* 760
UDP [::1]:1900 *:* 1540
UDP [::1]:60192 *:* 1540
UDP [fe80::a123:8a9f:b102:5895%11]:546 *:*
932
UDP [fe80::a123:8a9f:b102:5895%11]:1900 *:*
1540
UDP [fe80::a123:8a9f:b102:5895%11]:60191 *:*
1540

C:\Windows\system32>
C:\Windows\system32>


ET LE scan de HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:21:32, on 11/03/2010
Platform: Unknown Windows (WinNT 6.01.3504) il indique inconnu c est quoi ?
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Program Files (x86)\eMachines\Registration\GregHSRW.exe
C:\Program Files (x86)\Norton Internet Security\Engine\16.8.0.41\ccSvcHst.exe
C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
C:\Program Files (x86)\Spyware Doctor\pctsAuxs.exe
C:\Program Files (x86)\Spyware Doctor\pctsSvc.exe
C:\Program Files\eMachines\eMachines Updater\UpdaterService.exe
C:\Program Files (x86)\Spyware Doctor\pctsTray.exe
C:\Windows\PLFSetI.exe
C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files (x86)\Norton Internet Security\Engine\16.8.0.41\ccSvcHst.exe
C:\Program Files (x86)\Launch Manager\LManager.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbarUser_32.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Windows\SysWow64\Macromed\Flash\FlashUtil10b.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.emac...64z1h5r47823000
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.emac...64z1h5r47823000
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.emac...64z1h5r47823000
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files (x86)\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files (x86)\Norton Internet Security\Engine\16.8.0.41\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Norton Internet Security\Engine\16.8.0.41\IPSBHO.DLL
O2 - BHO: Partner BHO Class - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - C:\ProgramData\Partner\Partner.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files (x86)\Norton Internet Security\Engine\16.8.0.41\coIEPlg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files (x86)\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NortonOnlineBackupReminder] "C:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" UNATTENDED
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ISTray] "C:\Program Files (x86)\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files (x86)\Norton Internet Security\Engine\16.8.0.41\coIEPlg.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files (x86)\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\eMachines\eMachines Power Management\ePowerSvc.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GRegService (Greg_Service) - Acer Incorporated - C:\Program Files (x86)\eMachines\Registration\GregHSRW.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files (x86)\Norton Internet Security\Engine\16.8.0.41\ccSvcHst.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: Partner Service - Google Inc. - C:\ProgramData\Partner\Partner.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files (x86)\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files (x86)\Spyware Doctor\pctsSvc.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Updater Service - Acer - C:\Program Files\eMachines\eMachines Updater\UpdaterService.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10588 bytes



TRES CHER HELPER
n oubliez pas que je suis novice en informatique....
tout ces manips c est du chinois pour moi mais grace a vous je decouvre.
tu pourrais m expliquer ce que veut dire tutoriel car quand je lis toutes ces lignes
avec fixed bugs etc.....
et surtout la presence de smitfraud trojan dans le rapport history ligne V[2.00.00]
je ne comprends pas merci si le tutoriel est un virus ?
et je te rapelle que je suis sous windows7 et les rapports font etat de vista ou seven ou des fois unknow ?

[surf-net]

Citation

Platform: Unknown Windows (WinNT 6.01.3504) il indique inconnu c est quoi ?

oui hijackthis ne reconnais pas encore la version de windows 7

sinon vu ton netstat tu as beaucoup de port ouvert et aussi l'ipv6
on verra sa plus tard

en attendant télécharge ceci => OTM

execute le en administrateur (plus la peine de te l'expliquer )

et copie/colle ce qui suit dans la case "Paste instructions for item to be moved":

:services
Partner Service

:files
C:\ProgramData\Partner
C:\Program Files (x86)\Search Settings

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4]}
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[E312764E-7706-43F1-8DAB-FCDD2B1E416D]}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SearchSettings"=-

:commands
[emptytemp]
[reboot]

clic ensuite sur "MoveIt"

copie/colle le rapport ainsi qu'un nouveau log hijackthis

une question norton est a jour??

[mcslam]

surf-net, le 11 March 2010 à 15h07, dit :

oui hijackthis ne reconnais pas encore la version de windows 7

sinon vu ton netstat tu as beaucoup de port ouvert et aussi l'ipv6
on verra sa plus tard

en attendant télécharge ceci => OTM

execute le en administrateur (plus la peine de te l'expliquer )

et copie/colle ce qui suit dans la case "Paste instructions for item to be moved":

:services
Partner Service

:files
C:\ProgramData\Partner
C:\Program Files (x86)\Search Settings

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4]}
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[E312764E-7706-43F1-8DAB-FCDD2B1E416D]}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SearchSettings"=-

:commands
[emptytemp]
[reboot]

clic ensuite sur "MoveIt"

copie/colle le rapport ainsi qu'un nouveau log hijackthis

une question norton est a jour??

OUI NORTON EST A JOUR
MAIS QUAND JE LANCE OTM
UNE fenetre s ouvre et dit

NO FIX HAS BEEN PROVIDED
DO YOU WANT TO LOAD IT FROM FILE
si je fais yes il me propose d ouvrir 1 fichier et je l ai executer en administrateur.
quoi faire ?

[surf-net]

mcslam, le 11 March 2010 à 18h23, dit :

OUI NORTON EST A JOUR
MAIS QUAND JE LANCE OTM
UNE fenetre s ouvre et dit

NO FIX HAS BEEN PROVIDED
DO YOU WANT TO LOAD IT FROM FILE
si je fais yes il me propose d ouvrir 1 fichier et je l ai executer en administrateur.
quoi faire ?

c'est peut etre l'ecriture qui est trop petite
attend:

et copie/colle ce qui suit dans la case "Paste instructions for item to be moved":

:services
Partner Service

:files
C:\ProgramData\Partner
C:\Program Files (x86)\Search Settings

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4]}
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[E312764E-7706-43F1-8DAB-FCDD2B1E416D]}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SearchSettings"=-

:commands
[emptytemp]
[reboot]

[mcslam]

surf-net, le 11 March 2010 à 18h32, dit :

c'est peut etre l'ecriture qui est trop petite
attend:

et copie/colle ce qui suit dans la case "Paste instructions for item to be moved":

:services
Partner Service

:files
C:\ProgramData\Partner
C:\Program Files (x86)\Search Settings

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4]}
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[E312764E-7706-43F1-8DAB-FCDD2B1E416D]}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SearchSettings"=-

:commands
[emptytemp]
[reboot]

Jai tout recopié tout le pavé et bizarement lors du compte rendu du rapport
tout c est eteint l ordinateur a redemarré et l a effacé.....
et ma connection internet a redemarré comme si c etait la premiere avec des demandes de google toolbar etc.....
tres tres bizarre
Voila que dois je faire ?
Recommencer le rapport OTM ?
BREF JE RE-RECOPIE AVEC PLEIN DE BUGS
PC TOOLS A CESSE DE FONCTIONNER ET LA CONNEXION INTERNET C EST DEDOUBLER SUR LE SUJET ET A ETE PERDU BREF........
VOILA LE RAPPORT OU UNE PARTIE ?

[mcslam]

mcslam, le 11 March 2010 à 19h27, dit :

Jai tout recopié tout le pavé et bizarement lors du compte rendu du rapport
tout c est eteint l ordinateur a redemarré et l a effacé.....
et ma connection internet a redemarré comme si c etait la premiere avec des demandes de google toolbar etc.....
tres tres bizarre
Voila que dois je faire ?
Recommencer le rapport OTM ?
BREF JE RE-RECOPIE AVEC PLEIN DE BUGS
PC TOOLS A CESSE DE FONCTIONNER ET LA CONNEXION INTERNET C EST DEDOUBLER SUR LE SUJET ET A ETE PERDU BREF........
VOILA LE RAPPORT OU UNE PARTIE ?
All processes killed
========== SERVICES/DRIVERS ==========
Error: No service named Partner Service was found to stop!
Service\Driver key Partner Service not found.
========== FILES ==========
File/Folder C:\ProgramData\Partner not found.
File/Folder C:\Program files (x86) \Search Settings not found.
========== REGISTRY ==========
Registry key HHEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SearchSettings not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: mcslam
->Temp folder emptied: 16384 bytes

CELA C EST RE-ETEINT ET J AI EU A MON DEMARRAGE
Recuperation avec mon chemin c\user\mcslam\etc......
programme OTM ET J AI VALIDE ET J AI EU CE RAPPORT COMME CI J ETAIS DANS UNE SOUS FENETRE DE MON ORDI


All processes killed
========== SERVICES/DRIVERS ==========
Error: No service named Partner Service was found to stop!
Service\Driver key Partner Service not found.
========== FILES ==========
File/Folder C:\ProgramData\Partner not found.
File/Folder C:\Program files (x86) \Search Settings not found.
========== REGISTRY ==========
Registry key HHEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SearchSettings not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: mcslam
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 39548475 bytes
->Google Chrome cache emptied: 6326166 bytes
->Flash cache emptied: 6775 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3097585 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 615 bytes

Total Files Cleaned = 47,00 mb


OTM by OldTimer - Version 3.1.10.0 log created on 03112010_195846

Files moved on Reboot...
C:\Users\mcslam\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File C:\Users\mcslam\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\Z7MHZ4QS\page__gopid__77705&[1].htm not found!
File C:\Users\mcslam\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\0WROSKLX\index[1].htm not found!
C:\Users\mcslam\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
File C:\Windows\temp\JETCD7B.tmp not found!

Registry entries deleted on Reboot...

TRUC BIZARRE QUAND JE NAVIGUES J OBSERVE DES RALENTISSEMENTS ET LE CURSEUR OU LE POINTEUR DE MA SOURIS VA A L INVERSE DE LA DIRECTION QUE JE POINTE ?
ET MAINTENANT JE N ARRIVES PLUS A COUPER MANUELEMENT LA CONNEXION WI**FI ?
QU est ce qu 1 cross-script ? Jai lu ca sur un sujet et il paraitrait que via l url le piratage serait possible..

[surf-net]

Citation

tout c est eteint l ordinateur a redemarré et l a effacé.....
et ma connection internet a redemarré comme si c etait la premiere avec des demandes de google toolbar

oui c'est normal vu que dans le script que je t'es mis
il y a la commande de reboot:

:commands[emptytemp][reboot]

repose un log hijackthis

et regarde =>ici

edit: pour les services laisse "client dhcp" en demarrer
vu que tu es en auto dans ta config tcpip

quand c'est fais repose un netstat

[mcslam]

surf-net, le 13 March 2010 à 20h04, dit :

oui c'est normal vu que dans le script que je t'es mis
il y a la commande de reboot:

:commands[emptytemp][reboot]

repose un log hijackthis

et regarde =>ici

edit: pour les services laisse "client dhcp" en demarrer
vu que tu es en auto dans ta config tcpip

quand c'est fais repose un netstat

alors concretement il faut executer toute la procedure du message ?
j ai voulu demarré hijackthis en administrateur et il ne demarre plus il dit qu il est deja en execution ?
BIZARRE ?

[surf-net]

Citation

alors concretement il faut executer toute la procedure du message ?

je vais te simplifier la tache ouvre le bloc-notes
(demarrer/executer/tape: notepad)

copie/colle y ceci:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] 
"restrictanonymous"=dword:00000002 
"restrictanonymoussam"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] 
"EnableICMPRedirect"=dword:00000000 
"SynAttackProtect"=dword:00000002 
"TcpMaxPortExhausted"=dword:00000005 
"TcpMaxHalfOpen"=dword:000001f4 
"TcpMaxHalfOpenRetried"=dword:00000190 
"TcpMaxConnectResponseRetransmissions"=dword:00000002 
"TcpMaxDataRetransmissions"=dword:00000002 
"EnablePMTUDiscovery"=dword:00000001 
"KeapAliveTime"=dword:000493e0 
"NoNameReleaseOnDemand"=dword:00000001 
"EnableDeadGWDetect"=dword:00000000 
"DisableIPSourceRouting"=dword:00000001 
"EnableFragmentChecking"=dword:00000001 
"EnableMulticastForwarding"=dword:00000000 
"IPEnableRouter"=dword:00000000 
"EnableAddrMaskReply"=dword:00000000 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] 
"EnableICMPRedirect"=dword:00000000 
"EnableDynamicBacklog"=dword:00000001 
"MinimumDynamicBacklog"=dword:00000014 
"MaximumDynamicBacklog"=dword:00004e20 
"DynamicBacklogGrowthDelta"=dword:0000000a 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] 
"fDenyTSConnections"=dword:00000001 
"fAllowToGetHelp"=dword:00000000 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"ArpAlwaysSourceRoute"=dword:0
"DisableIPSourceRouting"=dword:2
"EnableAddrMaskReply"=dword:0
"EnableBCastArpReply"=dword:0
"EnableDeadGWDetect"=dword:0
"KeapAliveTime"=dword:493E0
"MaxUserPort"=dword:FFFE
"SynAttackProtect"=dword:2
"TcpMaxConnectResponseRetransmissions"=dword:2
"TcpMaxConnectRetransmissions"=dword:2
"TcpMaxDataRetransmissions"=dword:3
"TcpMaxHalfOpen"=dword:12C
"TcpMaxHalfOpenRetried"=dword:C8
"TcpMaxPortExhausted"=dword:5
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"NoNameReleaseOnDemand"=dword:1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
"EnableDynamicBacklog"=dword:1
"MinimumDyamicBacklog"=dword:14
"MaximumDyamicBacklog"=dword:4E20
"DyamicBacklogGrowthDelta"=dword:A

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time]
"Start"=dword:4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc\Linkage]
"Bind"=hex(7):31,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs]
"ListenOnInternet"="N"
;=> désactive DCom
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\SharedAccessConnection]
"EnableControl"=dword:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\Tcpip_{5DEB0DFF-89CA-47BE-B15A-0EEE30B87032}]
"NetbiosOptions"=dword:2
[-SYSTEM\CurrentControlSet\Control\Network\NetCfgLockHolder]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LmHosts]
"Start"=dword:4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"EnableLMHOSTS"=dword:0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver]
"Start"=dword:3
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation]
"Start"=dword:3
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT]
"Start"=dword:2
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SmbDeviceEnabled"=dword:0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"Start"=dword:4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC]
"Start"=dword:4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule]
"Start"=dword:4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache]
"Start"=dword:4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Start"=dword:3

clic sur => fichier => enregistrer sous...=> bureau
nomme le: secure.reg
et a type de fichier: tous les fichiers

ensuite clic droit sur le fichier créé sur ton bureau et clic sur fusionner

ensuite utilise les divers soft dans le lien ci-dessus

quand c'est fais redémarre ton pc et fais un netstat -ano