H:\WINDOWS\SYSTEM32\nmdfgds0.dll [Résolu]

Salut,

fais ceci pour commencer :


1- Télécharge et installe le logiciel HijackThis :

ici http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici http://www.clubic.com/lancer-le-telechargement-51452-0-hijackthis.html

-->Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg se lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne lance pas ce prg pour l'instant et fais la suite ... )



2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ...
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... )

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

Merci de ton aide, voila le document "log.txt"

Logfile of random's system information tool 1.06 (written by random/random)
Run by TAF at 2009-06-17 08:13:11
Microsoft Windows XP Édition familiale Service Pack 2
System drive H: has 106 GB (44%) free of 238 GB
Total RAM: 2046 MB (79% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:13:24, on 17/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
H:\WINDOWS\system32\npkcmsvc.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\RTHDCPL.EXE
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Documents and Settings\TAF\Bureau\RSIT.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\Program Files\Trend Micro\HijackThis\TAF.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - H:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - H:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] H:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [uTorrent] "H:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] H:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - H:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - H:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.ma-config.com/activex/MaConfig_3_1_2_1.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://update.nprotect.net/keycrypt/cabal/npkcx_inca.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - H:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - H:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - H:\WINDOWS\system32\npkcmsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - H:\WINDOWS\System32\TuneUpDefragService.exe

re,


très infecté ! .... ya du boulot ... ^^


n'entreprends rien avec le PC sans mon autorisation et suis à la lettre les consignes de désinfection ! ....




commence par ceci :

Télécharge "MSNFix.zip"(de !aur3n7) sur ton bureau :
http://sosvirus.changelog.fr/MSNFix.zip

!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


Décompresse-le (=clique droit / Extraire ici) . Déplace ensuite le dossier que tu viens d'extraire directement sous ton disque dure , c'est à dire ici > C:\MSNFix .
( c'est très important pour le bon fonctionnement de l'outil ! ).

Ouvre ce dossier et double-clique sur le fichier MSNFix.bat .
-> Exécutez l'option R ( recherche ).

--> Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage .

Note :
Si une erreur de suppression est détectée, un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations de nettoyage : dans ce cas, redémarre l'ordinateur pour que l'outil finisse son travail ...

-> Le rapport sera enregistré dans le même dossier que MSNFix sous forme d'un fichier " date_heure.txt " et ici C:\WINDOWS\msnfix.txt

Poste le contenu de ce rapport ainsi qu'un nouveau rapport RSIT ( log.txt ) pour analyse ...


Tuto d'utilisation ici : http://sosvirus.changelog.fr/ .

Bonjours vous 2 ;) ,

Pour suivre la discussion merci :)

Bonne suite .

;)

G fé une modif pour ce topic ;)

Je ferais une grosse maj demain , car je veux changer certaines parties du tool

Kiss

Re, voila le rapport de "msn Fix"

MSNFix 1.760

H:\MSNFix
Fix exécuté le 17/06/2009 - 10:13:18,35 By TAF
mode normal

************************ Recherche les fichiers présents

... H:\autorun.inf
... H:\Autorun.inf

************************ Recherche les dossiers présents

... H:\Program Files\skmw\
... H:\Program Files\skmw\sec\
... H:\Program Files\skmw\WinRds\
... H:\Program Files\Microsoft Studio Files\




************************ Suppression des fichiers

.. OK ... H:\WINDOWS\system32\avgvrark.exe
.. OK ... H:\DOCUME~1\TAF\LOCALS~1\Temp\winlogon.exe
.. OK ... H:\DOCUME~1\TAF\LOCALS~1\Temp\services.exe
.. OK ... H:\WINDOWS\system32\cftmon.exe
.. OK ... H:\autorun.inf
.. OK ... H:\Autorun.inf


************************ Suppression des dossiers

/!\ ... H:\Program Files\skmw\
/!\ ... H:\Program Files\skmw\sec\
/!\ ... H:\Program Files\skmw\WinRds\
/!\ ... H:\Program Files\Microsoft Studio Files\


************************ Nettoyage du registre



************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : H:\WINDOWS\system32\drivers\etc\hosts-20090617101411
-- original size 285.3 Kb / 10107 lines
-- Start cleaning Hosts file ....

/!\... antivirus.com ..... Found and removed
/!\... avast.com ..... Found and removed
/!\... ca.com ..... Found and removed
/!\... mcafee.com ..... Found and removed
/!\... spybot.info ..... Found and removed
/!\... spywareinfo.com ..... Found and removed


-- final size 283.82 Kb / 10061 lines
-- entry Found : 6 / Entry check : 310

End .............................. 17.35 Secondes





Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé





************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : H:\WINDOWS\system32\drivers\etc\hosts-20090617101753
-- original size 283.82 Kb / 10061 lines
-- Start cleaning Hosts file ....



-- final size 283.82 Kb / 10061 lines
-- entry Found : 0 / Entry check : 310

End .............................. 24.72 Secondes

et le rapport de "RSTI"

Logfile of random's system information tool 1.06 (written by random/random)
Run by TAF at 2009-06-17 10:21:47
Microsoft Windows XP Édition familiale Service Pack 2
System drive H: has 106 GB (44%) free of 238 GB
Total RAM: 2046 MB (79% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:22:03, on 17/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
H:\WINDOWS\system32\npkcmsvc.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\system32\wuauclt.exe
H:\WINDOWS\RTHDCPL.EXE
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\Program Files\uTorrent\uTorrent.exe
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Windows Live\Messenger\msnmsgr.exe
H:\Documents and Settings\TAF\Bureau\RSIT.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\Program Files\Trend Micro\HijackThis\TAF.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - H:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - H:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] H:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [uTorrent] "H:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] H:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - H:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - H:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.ma-config.com/activex/MaConfig_3_1_2_1.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://update.nprotect.net/keycrypt/cabal/npkcx_inca.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - H:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - H:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - H:\WINDOWS\system32\npkcmsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - H:\WINDOWS\System32\TuneUpDefragService.exe

bien ....

la suite dans l'ordre :


1- Télécharge CCleaner :
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
ou http://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )



=============================


2- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

Re, dsl pour le temps que j'ais pris. Voila le rapport de "USB Fix"


############################## [ UsbFix V3.032 ]

# User : TAF (Administrateurs) # TAF
# Update on 15/06/09 by Chiquitine29
# Start at: 16:16:21 | 17/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# AMD Athlon(tm) 64 X2 Dual Core Processor 4600+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090617-0] 4.8.1335 [ Enabled | Updated ]

# C:\ # Disque amovible
# D:\ # Disque amovible # 3,75 Go (923,19 Mo free) # FAT32
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque fixe local # 232,88 Go (104,28 Go free) # NTFS
# I:\ # Disque CD-ROM
# J:\ # Disque amovible # 21,22 Mo (18,54 Mo free) [PHONE] # FAT
# K:\ # Disque amovible # 1,85 Go (1,19 Go free) [PHONE CARD] # FAT
# L:\ # Disque amovible # 982,05 Mo (200,4 Mo free) [TAF-IN-BLEU] # FAT32
# M:\ # Disque fixe local # 298,02 Go (75,52 Go free) [APOLLO 13] # FAT32

############################## [ Processus actifs ]

H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
H:\WINDOWS\system32\npkcmsvc.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\RTHDCPL.EXE
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
H:\Program Files\uTorrent\uTorrent.exe
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\system32\wuauclt.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="H:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"=""
HKCU_Main: "Start Page"="http://www.google.fr/"
HKLM_logon: "Userinit"="H:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="TAF"
HKLM_logon: "AltDefaultUserName"="TAF"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""

HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: Alcmtr=ALCMTR.EXE
HKLM_Run: avast!=H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKLM_Run: Adobe Reader Speed Launcher="H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: SuperCopier2.exe=H:\Program Files\SuperCopier2\SuperCopier2.exe
HKCU_Run: MsnMsgr="H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
HKCU_Run: uTorrent="H:\Program Files\uTorrent\uTorrent.exe"
HKCU_Run: ctfmon.exe=H:\WINDOWS\system32\ctfmon.exe

HKLM_expl: "HonorAutoRunSetting"=dword:00000001

################## [ Fichiers # Dossiers infectieux ]

Présent ! H:\WINDOWS\system32\nmdfgds1.dll
Présent ! "H:\Documents and Settings\TAF\RavMonLog"
Présent ! D:\RavMonLog
Présent ! D:\adober.exe
Présent ! D:\msvcr71.dll
Présent ! "D:\ravmonlog"
H:\autorun.inf # -> fichier appelé : "H:\gpcdt.cmd" ( Absent ! )
Présent ! H:\sv8c2bjw.bat
Présent ! H:\xdglur.bat
Présent ! H:\autorun.inf
Présent ! J:\msvcr71.dll
Présent ! K:\msvcr71.dll
Présent ! L:\em8tqm.cmd
Présent ! L:\q9.cmd
Présent ! "L:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013"
Présent ! L:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe
M:\autorun.inf # -> fichier appelé : "M:\gpcdt.cmd" ( Présent ! )
Présent ! M:\fsaht.cmd
Présent ! M:\gpcdt.cmd
Présent ! M:\sv8c2bjw.bat
Présent ! M:\xdglur.bat
Présent ! M:\x.cmd
Présent ! M:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Présent ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\K\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\K\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{044814bb-33fa-11dd-a5ff-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{04bb76e2-33e4-11dd-823b-806d6172696f}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{04bb76e2-33e4-11dd-823b-806d6172696f}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{0786dce1-43b3-11dd-a634-001d92006b5e}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{0786dce1-43b3-11dd-a634-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{22306c24-3405-11dd-a601-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{22306c24-3405-11dd-a601-001d92006b5e}\Shell\explore\Command
HKCU\...\Explorer\MountPoints2\{22306c24-3405-11dd-a601-001d92006b5e}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{22306c25-3405-11dd-a601-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{22306c25-3405-11dd-a601-001d92006b5e}\Shell\explore\Command
HKCU\...\Explorer\MountPoints2\{22306c25-3405-11dd-a601-001d92006b5e}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{24e53324-4461-11dd-a636-001d92006b5e}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{24e53324-4461-11dd-a636-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{5027e682-e686-11dd-a748-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{5027e682-e686-11dd-a748-001d92006b5e}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{6e9fb86e-3804-11dd-a615-001d92006b5e}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{6e9fb86e-3804-11dd-a615-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{77759692-3620-11dd-a60c-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{7a732dfa-a060-11dd-a6f3-001d92006b5e}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{7a732dfa-a060-11dd-a6f3-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{7d472c7e-421f-11dd-a62e-001d92006b5e}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{7d472c7e-421f-11dd-a62e-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{a0be3cc4-34b4-11dd-a604-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{aedf47ea-1899-11de-a7a0-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{c4d8eae7-af63-11dd-a704-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{c4d8eae7-af63-11dd-a704-001d92006b5e}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{d9d04799-2129-11de-a7a4-001d92006b5e}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{d9d04799-2129-11de-a7a4-001d92006b5e}\Shell\open\Command

################## [ ! Fin du rapport # UsbFix V3.032 ! ]

bien ...


la suite dans l'ordre :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

IMPERATIF :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).


========================


2- refais un scan RSIT, poste le nouveau rapport "log.txt" obtenu pour analyse et attends la suite ...

Re, voila le rapport de "USB Fix" ( mais a la fin du redémarrage de mon PC il y a eu une coupure de courant )


############################## [ UsbFix V3.032 ]

# User : TAF (Administrateurs) # TAF
# Update on 15/06/09 by Chiquitine29
# Start at: 16:40:55 | 17/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# AMD Athlon(tm) 64 X2 Dual Core Processor 4600+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090617-0] 4.8.1335 [ Enabled | Updated ]

# C:\ # Disque amovible
# D:\ # Disque amovible # 3,75 Go (923,19 Mo free) # FAT32
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque fixe local # 232,88 Go (104,25 Go free) # NTFS
# I:\ # Disque CD-ROM
# J:\ # Disque amovible # 21,22 Mo (18,54 Mo free) [PHONE] # FAT
# K:\ # Disque amovible # 1,85 Go (1,19 Go free) [PHONE CARD] # FAT
# L:\ # Disque amovible # 982,05 Mo (200,4 Mo free) [TAF-IN-BLEU] # FAT32
# M:\ # Disque fixe local # 298,02 Go (75,52 Go free) [APOLLO 13] # FAT32

############################## [ Processus actifs ]

H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\logonui.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
H:\WINDOWS\system32\npkcmsvc.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\WINDOWS\system32\wuauclt.exe

################## [ Fichiers # Dossiers infectieux ]

Supprimé ! "H:\Documents and Settings\TAF\RavMonLog"
Supprimé ! D:\RavMonLog
Supprimé ! D:\adober.exe
Supprimé ! D:\msvcr71.dll
H:\autorun.inf # -> fichier appelé : "H:\gpcdt.cmd" ( absent ! )
Supprimé ! H:\sv8c2bjw.bat
Supprimé ! H:\xdglur.bat
Supprimé ! H:\autorun.inf
Supprimé ! J:\msvcr71.dll
Supprimé ! K:\msvcr71.dll
Supprimé ! L:\em8tqm.cmd
Supprimé ! L:\q9.cmd
Supprimé ! L:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe
Supprimé ! "L:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013"
M:\autorun.inf # -> fichier appelé : "M:\gpcdt.cmd" ( présent ! )
Deleted ! -> M:\gpcdt.cmd
Supprimé ! M:\fsaht.cmd
Supprimé ! M:\sv8c2bjw.bat
Supprimé ! M:\xdglur.bat
Supprimé ! M:\x.cmd
Supprimé ! M:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Supprimé ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

################## [ Registre # Mountpoints2 ]

Supprimé ! HKCU\...\Explorer\MountPoints2\K\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{044814bb-33fa-11dd-a5ff-001d92006b5e}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{0786dce1-43b3-11dd-a634-001d92006b5e}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{22306c24-3405-11dd-a601-001d92006b5e}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{22306c25-3405-11dd-a601-001d92006b5e}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{24e53324-4461-11dd-a636-001d92006b5e}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{6e9fb86e-3804-11dd-a615-001d92006b5e}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{77759692-3620-11dd-a60c-001d92006b5e}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{7a732dfa-a060-11dd-a6f3-001d92006b5e}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{7d472c7e-421f-11dd-a62e-001d92006b5e}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{a0be3cc4-34b4-11dd-a604-001d92006b5e}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{aedf47ea-1899-11de-a7a0-001d92006b5e}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{c4d8eae7-af63-11dd-a704-001d92006b5e}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{d9d04799-2129-11de-a7a4-001d92006b5e}\Shell\AutoRun\Command

################## [ Listing des fichiers présent ]

[15/04/2005 08:58|--a------|13900225] - D:\150.PBP
[19/04/2007 08:07|--a------|22048501] - D:\340.PBP
[03/01/2006 09:37|--a------|23647653] - D:\371.PBP
[08/01/2008 21:42|--a------|241664] - D:\msipl.bin
[18/03/2008 04:59|--a------|25652613] - D:\393.PBP
[02/12/2008 19:30|--ah-----|296] - D:\WMPInfo.xml
[17/06/2009 10:13|--a------|57] - H:\autorun.MSNFix
[11/06/2009 05:28|-r-hs----|230] - H:\boot.ini
[05/08/2004 08:00|-rahs----|4952] - H:\Bootfont.bin
[25/03/2002 09:52|--a------|644976] - H:\BootVis.exe
[08/03/2009 20:16|--a------|258] - H:\MSNCleaner.txt
[05/08/2004 08:00|-rahs----|47564] - H:\NTDETECT.COM
[05/08/2004 08:00|-rahs----|251712] - H:\ntldr
[?|?|?] - H:\pagefile.sys
[30/07/2008 14:11|--ah-----|268] - H:\sqmdata00.sqm
[31/07/2008 19:55|--ah-----|268] - H:\sqmdata01.sqm
[01/08/2008 15:07|--ah-----|268] - H:\sqmdata02.sqm
[01/08/2008 17:56|--ah-----|268] - H:\sqmdata03.sqm
[30/08/2008 21:40|--ah-----|232] - H:\sqmdata04.sqm
[28/09/2008 18:39|--ah-----|268] - H:\sqmdata05.sqm
[29/09/2008 05:15|--ah-----|268] - H:\sqmdata06.sqm
[29/09/2008 20:39|--ah-----|268] - H:\sqmdata07.sqm
[01/10/2008 17:55|--ah-----|268] - H:\sqmdata08.sqm
[02/10/2008 19:01|--ah-----|268] - H:\sqmdata09.sqm
[03/10/2008 18:34|--ah-----|232] - H:\sqmdata10.sqm
[18/10/2008 06:52|--ah-----|232] - H:\sqmdata11.sqm
[26/01/2009 09:08|--ah-----|232] - H:\sqmdata12.sqm
[09/02/2009 22:52|--ah-----|268] - H:\sqmdata13.sqm
[12/04/2009 09:20|--ah-----|268] - H:\sqmdata14.sqm
[30/07/2008 14:11|--ah-----|244] - H:\sqmnoopt00.sqm
[31/07/2008 19:55|--ah-----|244] - H:\sqmnoopt01.sqm
[01/08/2008 15:07|--ah-----|244] - H:\sqmnoopt02.sqm
[01/08/2008 17:56|--ah-----|244] - H:\sqmnoopt03.sqm
[30/08/2008 21:40|--ah-----|244] - H:\sqmnoopt04.sqm
[28/09/2008 18:39|--ah-----|244] - H:\sqmnoopt05.sqm
[29/09/2008 05:15|--ah-----|244] - H:\sqmnoopt06.sqm
[29/09/2008 20:39|--ah-----|244] - H:\sqmnoopt07.sqm
[01/10/2008 17:55|--ah-----|244] - H:\sqmnoopt08.sqm
[02/10/2008 19:01|--ah-----|244] - H:\sqmnoopt09.sqm
[03/10/2008 18:34|--ah-----|244] - H:\sqmnoopt10.sqm
[18/10/2008 06:52|--ah-----|244] - H:\sqmnoopt11.sqm
[26/01/2009 09:08|--ah-----|244] - H:\sqmnoopt12.sqm
[09/02/2009 22:52|--ah-----|244] - H:\sqmnoopt13.sqm
[12/04/2009 09:20|--ah-----|244] - H:\sqmnoopt14.sqm
[17/06/2009 16:43|--a------|6776] - H:\UsbFix.txt
[01/01/1980 00:00|-r-h-----|0] - K:\MEMSTICK.IND
[01/01/1980 00:00|-r-h-----|0] - K:\MSTK_PRO.IND
[02/06/2009 04:09|--a------|10391040] - L:\Dossier Bac V3 .2
[02/06/2009 04:11|--a------|10391040] - L:\Dossier Bac V3 .2.doc
[02/06/2009 04:12|--a------|10209202] - L:\Dossier Bac V3 .2.odt
[02/06/2009 08:17|--a------|5888000] - L:\dossier brujaille.doc
[04/06/2009 18:38|--a------|3425280] - L:\diapo 01.ppt

################## [ Vaccination ]

# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# H:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# J:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# K:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# L:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# M:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ ! Fin du rapport # UsbFix V3.032 ! ]

et voila le rapport de "RSIT"

Logfile of random's system information tool 1.06 (written by random/random)
Run by TAF at 2009-06-17 16:55:39
Microsoft Windows XP Édition familiale Service Pack 2
System drive H: has 107 GB (45%) free of 238 GB
Total RAM: 2046 MB (77% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:55, on 17/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\Explorer.EXE
H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
H:\WINDOWS\system32\npkcmsvc.exe
H:\WINDOWS\RTHDCPL.EXE
H:\WINDOWS\system32\svchost.exe
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
H:\Program Files\uTorrent\uTorrent.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Documents and Settings\TAF\Bureau\RSIT.exe
H:\Program Files\Trend Micro\HijackThis\TAF.exe
H:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - H:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - H:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] H:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [uTorrent] "H:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - H:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - H:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.ma-config.com/activex/MaConfig_3_1_2_1.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://update.nprotect.net/keycrypt/cabal/npkcx_inca.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - H:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - H:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - H:\WINDOWS\system32\npkcmsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - H:\WINDOWS\System32\TuneUpDefragService.exe

bien ....


la suite dans l'ordre :



A -Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



B- Toujours tes unités externes branchées au PC !

Rends toi sur ce site :

http://www.virustotal.com/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
D:\msipl.bin

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
D:\WMPInfo.xml
H:\WINDOWS\system32\SETB.tmp

Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et fais la suite ...


=========================

C -Télécharge SDFix sur ton bureau :
ici http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
ou ici http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
ou ici http://sdfix.net/SDFix.exe

--> Double-clique sur SDFix.exe et choisis "Install" .

( tuto ici : http://www.malekal.com/tutorial_SDFix.php )

Puis une fois l'installe faite ,

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...


Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer l'outil .
-->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
C:\SDFix sous le nom "Report.txt".

Poste ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport RSIT pour analyse ...

voila les résultats, je vais les poster dans 3 messages différents

"msipl.bin"

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.17 -
AhnLab-V3 5.0.0.2 2009.06.17 -
AntiVir 7.9.0.187 2009.06.17 -
Antiy-AVL 2.0.3.1 2009.06.17 -
Authentium 5.1.2.4 2009.06.17 -
Avast 4.8.1335.0 2009.06.17 -
AVG 8.5.0.339 2009.06.17 -
BitDefender 7.2 2009.06.17 -
CAT-QuickHeal 10.00 2009.06.17 -
ClamAV 0.94.1 2009.06.17 -
Comodo 1356 2009.06.17 -
DrWeb 5.0.0.12182 2009.06.17 -
eSafe 7.0.17.0 2009.06.17 -
eTrust-Vet 31.6.6566 2009.06.17 -
F-Prot 4.4.4.56 2009.06.17 -
F-Secure 8.0.14470.0 2009.06.17 -
Fortinet 3.117.0.0 2009.06.17 -
GData 19 2009.06.17 -
Ikarus T3.1.1.59.0 2009.06.17 -
Jiangmin 11.0.706 2009.06.17 -
K7AntiVirus 7.10.766 2009.06.17 -
Kaspersky 7.0.0.125 2009.06.17 -
McAfee 5649 2009.06.17 -
McAfee+Artemis 5649 2009.06.17 -
McAfee-GW-Edition 6.7.6 2009.06.17 -
Microsoft 1.4701 2009.06.17 -
NOD32 4164 2009.06.17 -
Norman 6.01.09 2009.06.17 -
nProtect 2009.1.8.0 2009.06.17 -
Panda 10.0.0.14 2009.06.17 -
PCTools 4.4.2.0 2009.06.17 -
Prevx 3.0 2009.06.17 -
Rising 21.34.24.00 2009.06.17 -
Sophos 4.42.0 2009.06.17 -
Sunbelt 3.2.1858.2 2009.06.17 -
Symantec 1.4.4.12 2009.06.17 -
TheHacker 6.3.4.3.348 2009.06.17 -
TrendMicro 8.950.0.1094 2009.06.17 -
VBA32 3.12.10.7 2009.06.17 -
ViRobot 2009.6.17.1792 2009.06.17 -
VirusBuster 4.6.5.0 2009.06.17 -
Information additionnelle
File size: 241664 bytes
MD5...: 142cc4e18edd07f2544793a1cbb43920
SHA1..: 13489d70adad5b5e3114921462f01d75f57967e0
SHA256: 4fb18691ccabd3a87f1bdb5c75a437eab924dbc61873bf5a47750aecaa9e82f9
ssdeep: 6144:xkFUqfe7QVPvYuJAMl22jgxMk+87vF0t92:x4dUQpQufjVk97t
PEiD..: -
TrID..: File type identification
OpenGL object (56.8%)
Adobe PhotoShop Brush (14.2%)
MacBinary 2 header (14.2%)
BONK lossless/lossy audio compressor (14.2%)
Sybase iAnywhere database files (0.2%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

vu ... les autres donc ... ^^

Pour:
"WMPInfo.xml"

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.17 -
AhnLab-V3 5.0.0.2 2009.06.17 -
AntiVir 7.9.0.187 2009.06.17 -
Antiy-AVL 2.0.3.1 2009.06.17 -
Authentium 5.1.2.4 2009.06.17 -
Avast 4.8.1335.0 2009.06.17 -
AVG 8.5.0.339 2009.06.17 -
BitDefender 7.2 2009.06.17 -
CAT-QuickHeal 10.00 2009.06.17 -
ClamAV 0.94.1 2009.06.17 -
Comodo 1356 2009.06.17 -
DrWeb 5.0.0.12182 2009.06.17 -
eSafe 7.0.17.0 2009.06.17 -
eTrust-Vet 31.6.6566 2009.06.17 -
F-Prot 4.4.4.56 2009.06.17 -
F-Secure 8.0.14470.0 2009.06.17 -
Fortinet 3.117.0.0 2009.06.17 -
GData 19 2009.06.17 -
Ikarus T3.1.1.59.0 2009.06.17 -
Jiangmin 11.0.706 2009.06.17 -
K7AntiVirus 7.10.766 2009.06.17 -
Kaspersky 7.0.0.125 2009.06.17 -
McAfee 5649 2009.06.17 -
McAfee+Artemis 5649 2009.06.17 -
McAfee-GW-Edition 6.7.6 2009.06.17 -
Microsoft 1.4701 2009.06.17 -
NOD32 4164 2009.06.17 -
Norman 6.01.09 2009.06.17 -
nProtect 2009.1.8.0 2009.06.17 -
Panda 10.0.0.14 2009.06.17 -
PCTools 4.4.2.0 2009.06.17 -
Prevx 3.0 2009.06.17 -
Rising 21.34.24.00 2009.06.17 -
Sophos 4.42.0 2009.06.17 -
Sunbelt 3.2.1858.2 2009.06.17 -
Symantec 1.4.4.12 2009.06.17 -
TheHacker 6.3.4.3.348 2009.06.17 -
TrendMicro 8.950.0.1094 2009.06.17 -
VBA32 3.12.10.7 2009.06.17 -
ViRobot 2009.6.17.1792 2009.06.17 -
VirusBuster 4.6.5.0 2009.06.17 -
Information additionnelle
File size: 296 bytes
MD5...: ce04ecbd1d55a4c3311f4d68aa6f2072
SHA1..: 383ae84977d998df97fd4b139f90dec8b5e62e69
SHA256: 575baabdbfbccd172e7d6e9ada4cd968b1c1550207a4c510a317f4cf8bc12cae
ssdeep: 6:QfAlvZ2xC9QlcCOKyOUYlteQQ1UO6lctT02GtnO6l8tgFKKulzgZn:Q4AQ9QLO
fOBlDNGt42lO8mFKHza
PEiD..: -
TrID..: File type identification
Text - UTF-16 (LE) encoded (65.2%)
MP3 audio (32.6%)
Lumena CEL bitmap (2.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (F-Prot): Unicode

Et pour:
"SETB.tmp"

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.17 -
AhnLab-V3 5.0.0.2 2009.06.17 -
AntiVir 7.9.0.187 2009.06.17 -
Antiy-AVL 2.0.3.1 2009.06.17 -
Authentium 5.1.2.4 2009.06.17 -
Avast 4.8.1335.0 2009.06.17 -
AVG 8.5.0.339 2009.06.17 -
BitDefender 7.2 2009.06.17 -
CAT-QuickHeal 10.00 2009.06.17 -
ClamAV 0.94.1 2009.06.17 -
Comodo 1356 2009.06.17 -
DrWeb 5.0.0.12182 2009.06.17 -
eSafe 7.0.17.0 2009.06.17 -
eTrust-Vet 31.6.6566 2009.06.17 -
F-Prot 4.4.4.56 2009.06.17 -
F-Secure 8.0.14470.0 2009.06.17 -
Fortinet 3.117.0.0 2009.06.17 -
GData 19 2009.06.17 -
Ikarus T3.1.1.59.0 2009.06.17 -
Jiangmin 11.0.706 2009.06.17 -
K7AntiVirus 7.10.766 2009.06.17 -
Kaspersky 7.0.0.125 2009.06.17 -
McAfee 5649 2009.06.17 -
McAfee+Artemis 5649 2009.06.17 -
McAfee-GW-Edition 6.7.6 2009.06.17 -
Microsoft 1.4701 2009.06.17 -
NOD32 4164 2009.06.17 -
Norman 6.01.09 2009.06.17 -
nProtect 2009.1.8.0 2009.06.17 -
Panda 10.0.0.14 2009.06.17 -
PCTools 4.4.2.0 2009.06.17 -
Prevx 3.0 2009.06.17 -
Rising 21.34.24.00 2009.06.17 -
Sophos 4.42.0 2009.06.17 -
Sunbelt 3.2.1858.2 2009.06.17 -
Symantec 1.4.4.12 2009.06.17 -
TheHacker 6.3.4.3.348 2009.06.17 -
TrendMicro 8.950.0.1094 2009.06.17 -
VBA32 3.12.10.7 2009.06.17 -
ViRobot 2009.6.17.1792 2009.06.17 -
VirusBuster 4.6.5.0 2009.06.17 -
Information additionnelle
File size: 294912 bytes
MD5...: cfa3d84f9fb775a478447e8b9f7f441b
SHA1..: 16217ae7a92aba91a003f1769e19c3fb586e1d66
SHA256: 2807e6b6f206f3ab257799bc4bc619cfebfac7e234bfb410396c8d90a8967485
ssdeep: 6144:6op2HD2csI783G8ybGsi70fWMTwUO7At3lE:6CcsSG7SXTZO7A7
PEiD..: -
TrID..: File type identification
DirectShow filter (90.9%)
Win32 Executable Generic (3.8%)
Win32 Dynamic Link Library (generic) (3.4%)
Generic Win/DOS Executable (0.9%)
DOS Executable Generic (0.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13a5
timedatestamp.....: 0x47c3ff5f (Tue Feb 26 12:00:31 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x40c2e 0x40e00 6.55 c385b4608d804ab72e8196db1a4cd543
.data 0x42000 0x13dc 0xc00 1.95 7f21133f7a1045d14ae087760f433a30
.rsrc 0x44000 0x35f4 0x3600 4.36 9205a6eb28e28710313af17cd44a1801
.reloc 0x48000 0x2b68 0x2c00 6.71 3d9c9b1ad88190f33291d8605b732f2c

( 6 imports )
> ADVAPI32.dll: CheckTokenMembership, AllocateAndInitializeSid, FreeSid, RegEnumValueA, RegQueryValueA, RegOpenKeyA, RegDeleteValueW, RegDeleteValueA, GetUserNameA, OpenProcessToken, GetTokenInformation, ConvertSidToStringSidA, RegQueryInfoKeyA, RegSetValueExW, RegEnumKeyExA, RegSetValueExA, RegCreateKeyExA, RegDeleteKeyA, RegQueryValueExW, RegOpenKeyExA, RegQueryValueExA, RegCloseKey
> GDI32.dll: CreateCompatibleBitmap, SetBkColor, ExtTextOutA, PatBlt, CreateFontIndirectA, GetTextMetricsA, GetTextCharsetInfo, TranslateCharsetInfo, GetBitmapBits, DeleteDC, GetObjectA, CreateBitmap, CreateDIBSection, SelectObject, DeleteObject, CreateDCA, CreateCompatibleDC, BitBlt, SetTextColor, GetStockObject
> KERNEL32.dll: MultiByteToWideChar, LocalFree, GetCurrentProcess, AddAtomA, FindAtomA, DeleteAtom, OpenMutexA, GetSystemDefaultLCID, GetThreadLocale, GetTickCount, WaitForSingleObject, CreateEventA, OpenEventA, SetEvent, OpenProcess, OpenFileMappingA, IsBadReadPtr, GlobalUnlock, GlobalLock, lstrcpynA, GetSystemDirectoryA, TlsFree, GlobalFree, GlobalAlloc, VirtualAlloc, VirtualFree, HeapDestroy, HeapFree, HeapReAlloc, HeapAlloc, HeapCreate, FlushViewOfFile, GetLocaleInfoW, LoadLibraryA, LoadLibraryW, lstrlenW, QueryPerformanceCounter, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, EnumResourceLanguagesA, GetSystemDefaultLangID, CreateProcessA, TlsAlloc, CreateFileMappingA, GetLastError, GetVersionExA, DeleteCriticalSection, InitializeCriticalSectionAndSpinCount, MapViewOfFile, UnmapViewOfFile, ReleaseMutex, CloseHandle, CreateMutexA, GetModuleFileNameA, GetFullPathNameA, lstrcpyA, GetProcAddress, FreeLibrary, lstrlenA, TlsSetValue, GetCurrentProcessId, EnterCriticalSection, FindResourceA, LoadResource, GetLocaleInfoA, GetACP, WideCharToMultiByte, GetCurrentThreadId, lstrcmpA, TlsGetValue, LeaveCriticalSection, InterlockedIncrement, InterlockedDecrement, lstrcmpiA, IsValidCodePage, GetWindowsDirectoryA, LocalReAlloc, LocalAlloc, GetModuleHandleA, LoadLibraryExA, GetSystemWindowsDirectoryA
> msvcrt.dll: strncmp, wcscmp, memmove, _except_handler3, _vsnprintf, _adjust_fdiv, malloc, _initterm, free, wcscpy, wcsncpy, _vsnwprintf, wcslen
> ntdll.dll: LdrLockLoaderLock, LdrUnlockLoaderLock, RtlUnhandledExceptionFilter
> USER32.dll: CallNextHookEx, SetWindowsHookExA, GetActiveWindow, SetWindowsHookExW, RegisterWindowMessageA, SystemParametersInfoA, PostMessageA, GetUserObjectInformationA, GetThreadDesktop, GetKeyboardState, FindWindowA, SetForegroundWindow, wsprintfA, WaitForInputIdle, GetGUIThreadInfo, MsgWaitForMultipleObjects, DispatchMessageA, SendNotifyMessageA, SetWindowLongA, DestroyIcon, FillRect, GetIconInfo, CopyIcon, CreateIconIndirect, CopyImage, GetDC, DestroyMenu, TrackPopupMenuEx, InsertMenuA, CreatePopupMenu, LoadImageA, CheckMenuItem, InsertMenuItemA, GetMessageA, PeekMessageW, GetMessageW, LoadKeyboardLayoutA, GetKeyboardLayoutList, DrawTextA, GetSysColor, GetCursorPos, WindowFromPoint, GetKeyState, SetTimer, EnumThreadWindows, GetWindow, InSendMessageEx, ActivateKeyboardLayout, GetSystemMetrics, GetFocus, GetForegroundWindow, IsIconic, KillTimer, UnhookWindowsHookEx, GetKeyboardLayout, IsWindow, DestroyWindow, PeekMessageA, PostQuitMessage, GetQueueStatus, GetParent, GetWindowThreadProcessId, FindWindowExA, EnumChildWindows, RegisterClassExA, DefWindowProcA, BeginPaint, LoadIconA, DrawIconEx, ReleaseDC, EndPaint, GetWindowRect, CreateWindowExA, MoveWindow, SendMessageA, EnableWindow, ShowWindow, GetClassNameA, GetClassLongA, GetWindowLongA, IsWindowInDestroy, IsWindowVisible, GetWindowTextA, PostThreadMessageA, LoadCursorA

( 39 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, SetInputScope, SetInputScopeXML, SetInputScopes, TF_CUASAppFix, TF_CheckThreadInputIdle, TF_ClearLangBarAddIns, TF_CreateCategoryMgr, TF_CreateCicLoadMutex, TF_CreateDisplayAttributeMgr, TF_CreateInputProcessorProfiles, TF_CreateLangBarItemMgr, TF_CreateLangBarMgr, TF_CreateThreadMgr, TF_DllDetachInOther, TF_GetGlobalCompartment, TF_GetInputScope, TF_GetLangIcon, TF_GetMlngHKL, TF_GetMlngIconIndex, TF_GetThreadFlags, TF_GetThreadMgr, TF_InatExtractIcon, TF_InitMlngInfo, TF_InitSystem, TF_InvalidAssemblyListCache, TF_InvalidAssemblyListCacheIfExist, TF_IsCtfmonRunning, TF_IsFullScreenWindowAcitvated, TF_IsInMarshaling, TF_MlngInfoCount, TF_PostAllThreadMsg, TF_RegisterLangBarAddIn, TF_RunInputCPL, TF_UninitSystem, TF_UnregisterLangBarAddIn
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=cfa3d84f9fb775a478447e8b9f7f441b' target='_blank'>http://www.threatexpert.com/report.aspx?md5=cfa3d84f9fb775a478447e8b9f7f441b</a>

oki ...

passe à la suite maintenant ( SDFix ) ...

Joli taf ske ;)

+

Re, et encore merci pour ta patience. Je vais poster les rapporte séparément
Rapport de "SDFix"


[b]SDFix: Version 1.240 /b
Run by TAF on 17/06/2009 at 18:01

Microsoft Windows XP [version 5.1.2600]
Running From: H:\SDFix

[b]Checking Services /b:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b:

No Trojan Files Found






Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-17 18:40:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="H:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:5f,0b,12,9f,53,41,c6,3d,bb,31,b3,56,e5,4a,51,de,42,5d,f4,a8,86,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5b,b6,03,45,f0,29,40,13,1f,eb,c3,ef,3d,ae,19,27,4d,..
"khjeh"=hex:4a,fc,07,05,bf,ae,2f,70,d7,ba,86,6d,8c,38,a7,01,69,20,3d,af,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:c0,f4,ae,f6,fc,e0,bc,07,13,9a,b1,3f,4e,b3,2e,b0,26,33,3f,90,d2,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="H:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:5f,0b,12,9f,53,41,c6,3d,bb,31,b3,56,e5,4a,51,de,42,5d,f4,a8,86,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5b,b6,03,45,f0,29,40,13,1f,eb,c3,ef,3d,ae,19,27,4d,..
"khjeh"=hex:4a,fc,07,05,bf,ae,2f,70,d7,ba,86,6d,8c,38,a7,01,69,20,3d,af,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:c0,f4,ae,f6,fc,e0,bc,07,13,9a,b1,3f,4e,b3,2e,b0,26,33,3f,90,d2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="H:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:5f,0b,12,9f,53,41,c6,3d,bb,31,b3,56,e5,4a,51,de,42,5d,f4,a8,86,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5b,b6,03,45,f0,29,40,13,1f,eb,c3,ef,3d,ae,19,27,4d,..
"khjeh"=hex:4a,fc,07,05,bf,ae,2f,70,d7,ba,86,6d,8c,38,a7,01,69,20,3d,af,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:c0,f4,ae,f6,fc,e0,bc,07,13,9a,b1,3f,4e,b3,2e,b0,26,33,3f,90,d2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="H:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:5f,0b,12,9f,53,41,c6,3d,bb,31,b3,56,e5,4a,51,de,42,5d,f4,a8,86,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5b,b6,03,45,f0,29,40,13,1f,eb,c3,ef,3d,ae,19,27,4d,..
"khjeh"=hex:4a,fc,07,05,bf,ae,2f,70,d7,ba,86,6d,8c,38,a7,01,69,20,3d,af,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7b,4b,d5,1f,00,38,b8,90,1f,c9,47,ac,33,47,81,36,6f,18,ea,3d,f0,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="H:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:5f,0b,12,9f,53,41,c6,3d,bb,31,b3,56,e5,4a,51,de,42,5d,f4,a8,86,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5b,b6,03,45,f0,29,40,13,1f,eb,c3,ef,3d,ae,19,27,4d,..
"khjeh"=hex:4a,fc,07,05,bf,ae,2f,70,d7,ba,86,6d,8c,38,a7,01,69,20,3d,af,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:c0,f4,ae,f6,fc,e0,bc,07,13,9a,b1,3f,4e,b3,2e,b0,26,33,3f,90,d2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="H:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:5f,0b,12,9f,53,41,c6,3d,bb,31,b3,56,e5,4a,51,de,42,5d,f4,a8,86,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5b,b6,03,45,f0,29,40,13,1f,eb,c3,ef,3d,ae,19,27,4d,..
"khjeh"=hex:4a,fc,07,05,bf,ae,2f,70,d7,ba,86,6d,8c,38,a7,01,69,20,3d,af,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:c0,f4,ae,f6,fc,e0,bc,07,13,9a,b1,3f,4e,b3,2e,b0,26,33,3f,90,d2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="H:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:5f,0b,12,9f,53,41,c6,3d,bb,31,b3,56,e5,4a,51,de,42,5d,f4,a8,86,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5b,b6,03,45,f0,29,40,13,1f,eb,c3,ef,3d,ae,19,27,4d,..
"khjeh"=hex:4a,fc,07,05,bf,ae,2f,70,d7,ba,86,6d,8c,38,a7,01,69,20,3d,af,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:c0,f4,ae,f6,fc,e0,bc,07,13,9a,b1,3f,4e,b3,2e,b0,26,33,3f,90,d2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="H:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:5f,0b,12,9f,53,41,c6,3d,bb,31,b3,56,e5,4a,51,de,42,5d,f4,a8,86,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5b,b6,03,45,f0,29,40,13,1f,eb,c3,ef,3d,ae,19,27,4d,..
"khjeh"=hex:4a,fc,07,05,bf,ae,2f,70,d7,ba,86,6d,8c,38,a7,01,69,20,3d,af,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:c0,f4,ae,f6,fc,e0,bc,07,13,9a,b1,3f,4e,b3,2e,b0,26,33,3f,90,d2,..

scanning hidden registry entries ...

scanning hidden files ...

H:\Documents and Settings\TAF\Local Settings\Application Data\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1087 bytes hidden from API

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"H:\\Program Files\\Messenger\\msmsgs.exe"="H:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"H:\\Program Files\\uTorrent\\uTorrent.exe"="H:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"H:\\Program Files\\Hercules\\Classic Silver\\Station2.exe"="H:\\Program Files\\Hercules\\Classic Silver\\Station2.exe:*:Enabled:Hercules Webcam Station Evolution"
"H:\\Program Files\\FlashGet\\flashget.exe"="H:\\Program Files\\FlashGet\\flashget.exe:*:Enabled:Flashget"
"H:\\Program Files\\UBISOFT\\Ghost Recon Advanced Warfighter 2\\graw2.exe"="H:\\Program Files\\UBISOFT\\Ghost Recon Advanced Warfighter 2\\graw2.exe:*:Enabled:Ghost Recon Advanced Warfighter© 2"
"H:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="H:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"H:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="H:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"H:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="H:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"H:\\Program Files\\ma-config.com\\maconfservice.exe"="H:\\Program Files\\ma-config.com\\maconfservice.exe:LocalSubNet:Enabled:maconfservice"
"H:\\Documents and Settings\\TAF\\Bureau\\CabalTemp\\ESTSetupLoader.exe"="H:\\Documents and Settings\\TAF\\Bureau\\CabalTemp\\ESTSetupLoader.exe:*:Enabled:EST! download engine"
"H:\\Program Files\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"="H:\\Program Files\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe:*:Enabled:EST! download engine"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"H:\\Documents and Settings\\TAF\\Bureau\\Fotos.exe"="H:\\Documents and Settings\\TAF\\Bureau\\Fotos.exe:*:Enabled:Session Win32"
"H:\\Program Files\\Microsoft Studio Files\\lsass.exe"="H:\\Program Files\\Microsoft Studio Files\\lsass.exe:*:Enabled:Session Win32"
"H:\\Program Files\\skmw\\gwdwin.exe"="H:\\Program Files\\skmw\\gwdwin.exe:*:Enabled:Session Win32"
"H:\\Program Files\\skmw\\irc.exe"="H:\\Program Files\\skmw\\irc.exe:*:Enabled:WinIRC"
"H:\\Program Files\\dwimn\\mwstwn.exe"="H:\\Program Files\\dwimn\\mwstwn.exe:*:Enabled:Session Win32"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"H:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="H:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"H:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="H:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"H:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="H:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files /b:



[b]Files with Hidden Attributes /b:

Sat 25 Apr 2009 636,088 A.SH. --- H:\PROGRA~1\INTERN~1\IEXPLORE.EXE
Thu 19 Aug 2004 1,667,584 ..SH. --- H:\PROGRA~1\MESSEN~1\MSMSGS.EXE
Thu 19 Aug 2004 60,416 A.SH. --- H:\PROGRA~1\OUTLOO~1\MSIMN.EXE
Wed 22 Oct 2008 949,072 A.SHR --- H:\PROGRA~1\SPYBOT~1\ADVCHECK.DLL
Mon 15 Sep 2008 1,562,960 A.SHR --- H:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
Wed 22 Oct 2008 962,896 A.SHR --- H:\PROGRA~1\SPYBOT~1\TOOLS.DLL
Thu 12 Jun 2008 4,348 A.SH. --- H:\DOCUME~1\ALLUSE~1\DRM\DRMV1.BAK

[b]Finished!/b