Bonjour,
Je viens de trouver ce topic en cherchant "syssetup.dll", une partie semble correspondre a mon probleme personel.
J'ai moi meme dans le demarrage du systeme 4 fois la ligne correspondant au deplacement d'un fichier sur lui meme comme précisé si justement par Ogaby.
Il s'agit d'un windows XP NON MODIFIé, tout ce qu'il y a de plus officiel.
Le proprietaire du PC se plaint de lenteurs, et au démarrage de l'ordinateur une fenetre "explorer" est ouverte sur "C:\WINDOWS\SYSTEM".
J'ai obtenu la liste des applications de démarrage avec Spybot (si si il sait ausi le faire) ce qui explique la syntaxe legerement differente de Hijackthis.
A noter qu'apres chaque ligne "cmd move" j'ai une execution de TSCUNINSTALL.
Ici je colle une des 4 series, le "where" etant ce qui change pour les 4 (apparemment il s'agit des differents utilisateurs de l'ordi)
Located: HK_CU:RunOnce, nlsf
where: .DEFAULT...
command: cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
file: C:\WINDOWS\system32\cmd.exe
size: 400896
MD5: F44BB9A608C0577776022E2E9132325D
Located: HK_CU:RunOnce, tscuninstall
where: .DEFAULT...
command: %systemroot%\system32\tscupgrd.exe
file: C:\WINDOWS\system32\tscupgrd.exe
size: 44544
MD5: D2D52012C5A3CD41FEC0F090A8E47EE7
Le "where" prend successivement les valeurs .DEFAULT , S-1-5-19, S-1-5-20 et S-1-5-21.
A noter encore que ce sont des clés RUNONCE, qui ne sont donc censées s'executer qu'une seule fois puis disparaitre du registre, ce qui n'est apparemment pas le cas...
Je ne sais pas s'il s'agit d'un virus pour l'instant, une analyse est en cours avec MBAM.