PC infecté

Salut,

-+-+-+-> Navilog <-+-+-+-


Ton PC est infecté par l'ad-aware Navipromo/Magic Control qui affiche des publicités intempestives.
Il s'installe via certains programmes, dont ceux-ci :

● Funky Emoticons
● go-astro
● GoRecord
● HotTVPlayer / HotTVPlayer & Paris Hilton
● Live-Player
● MailSkinner
● Messenger Skinner
● Instant Access
● InternetGameBox
● Officiale Emule (Version d'Emule modifiée)
● Original Solitaire
● SuperSexPlayer
● Speed Downloading
● Sudoplanet
● Webmediaplayer

/!\ Fais attention de ne pas faire la même erreur, donc évite ces programmes /!\

[x] Télécharge Navilog ( de IL-MAFIOSO)

[x] Lance le en double cliquant dessus. ( Clic droit -> "Executer en tant qu'administrateur" sous vista )

[x] Laisse-toi guider par l'utilitaire. Choisis l'option n°1 puis valide.

[x] A l'écran principal, choisis l'option n°1 puis laisse l'outil scanner.

[x] Patiente jusqu'à l'apparition de ce message :

"*** Analyse Termine le ..... ***"

[x] Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste son contenu dans ton prochain message.

Nb : Le rapport se trouve également ici : C:\cleannavi.txt

====================================================================

-+-+-+-> AD-Remover <-+-+-+-


[x] Télécharge Ad-remover (de C_XX) sur ton bureau.

[x] Lance l'installation avec les paramètres par défaut..

▶ Déconnecte toi et ferme toutes applications en cours !

[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

[x] Séléctionne l'option F pour français

[x] A la fenêtre qui s'affiche clique sur " oui "

[x] Séléctionne l'option L

[x] Laisse l'outil travailler.

[x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre

[x] Copie/colle le dans ton prochain post

Fix Navipromo version 4.0.4 commencé le 07/11/2009 14:55:53,62

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.11.2009 à 22h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A01
USER : Ghislaine ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.32 (Activated)


C:\ (Local Disk) - NTFS - Total:74 Go (Free:39 Go)
D:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (Local Disk) - FAT32 - Total:111 Go (Free:44 Go)


Recherche executée en mode normal

Nettoyage exécuté au redémarrage de l'ordinateur


C:\WINDOWS\system32\nvs2.inf supprimé !
c:\docume~1\ghisla~1\locals~1\applic~1\hwpphix.dat supprimé !
c:\docume~1\ghisla~1\locals~1\applic~1\hwpphix_nav.dat supprimé !
c:\docume~1\ghisla~1\locals~1\applic~1\hwpphix_navps.dat supprimé !
c:\docume~1\ghisla~1\locals~1\applic~1\qsgca.dat supprimé !
c:\docume~1\ghisla~1\locals~1\applic~1\qsgca_nav.dat supprimé !
c:\docume~1\ghisla~1\locals~1\applic~1\qsgca_navps.dat supprimé !
c:\docume~1\ghisla~1\locals~1\applic~1\qwaow.dat supprimé !
c:\docume~1\ghisla~1\locals~1\applic~1\qwaow_nav.dat supprimé !
c:\docume~1\ghisla~1\locals~1\applic~1\qwaow_navps.dat supprimé !
c:\docume~1\ghisla~1\locals~1\applic~1\yysueqc.dat supprimé !
c:\docume~1\ghisla~1\locals~1\applic~1\yysueqc_nav.dat supprimé !
c:\docume~1\ghisla~1\locals~1\applic~1\yysueqc_navps.dat supprimé !


Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Ghislaine\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !



*** Scan terminé 07/11/2009 15:01:51,93 ***

Non ce n'est pas normal.

Redémarre ton PC en mode sans échec puis relance AD-Remover

et comment je fais ça <mode sans échec>Je l'ai allumé et la page windows apparait

il faut que tu suives la procédure " démarrer en mode sans échec manuellement " qui se trouve à ce lien :

http://www.malekal.com/modesansechec.php

bon ,j'ai fais mode sans echec,il a scanné ,mais a pas laisser de rendu à copié
Le scan est partie et l'écran reste noir et je fai <demarrer><redemarrer>et il revient en mode sans echec
et il me demande une restauration du systeme??
C'est quoi la suite

tu arrives à redémarrer en mode normal ?

Non mon ecran est tout noir avec <mode sans echec >écrit aux 4 coins

Tu as bien suivis la procédure manuelle pour redémarrer en mode sans échec, et pas celle ou il faut passer par msconfig ?

Je suis passé par msconfig,

Il faut que tu retournes dans msconfig ( Démarrer -> executer -> msconfig ) , et que tu fasses la procédure inverse ( c'est à dire décocher " /safeboot " ) , ton PC redémarrera cette fois ci en mode normal.

Il aurait été préférable que tu fasses la méthode manuelle car certains virus neutralisent le mode sans échec, et avec la procédure " msconfig " , cela créerais une boucle infernale ( le PC redémarrerais en boucle continuellement )

Ensuite tu vérifies si tu as un rapport " AD-R.txt " qui se trouve normalement dans " C:\ "

Puis tu le postes, et tu fais ceci ( même si il n'y a pas de rapport AD-R ) :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur Cjoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_B | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 06.11.2009 à 18:11
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:40:24, 07/11/2009 | Mode sans echec | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: PC-FOSCHIA | Utilisateur actuel: Ghislaine
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
HKLM\Software\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}
HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
HKLM\Software\Classes\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}
HKLM\Software\Classes\TypeLib\{98D555CC-A569-43FB-2F43-3A98CCDA4B50}
.
C:\DOCUME~1\GHISLA~1\APPLIC~1\EoRezo
C:\Program Files\BrowsingEnhancer
C:\Program Files\EoRezo
C:\Program Files\Fast Browser Search
C:\Program Files\FBrowserAdvisor
C:\Program Files\SGPSA
C:\DOCUME~1\GHISLA~1\MENUDM~1\PROGRA~1\PlayMP3z
C:\regxpcom.exe

J'ai fais comme ça car je ne parvenais pas avec la touche F8,esperons!!!
C'est bizzard j'ai 3 comptes rendu

Ok, le principal c'est qu'AD-Remover a fait son boulot !

Fais maintenant la suite ( ZHPDiag )

Ok, encore pas mal de saletées.

-+-+-+-> USBfix ( Infections USB ) <-+-+-+-


[x] Télécharge USBfix ( de Chiquitine29 )

[x] Un tutoriel est disponible ici

[x] Installe le

/!\ Branche tout tes médias amovibles ( clés USB, DD externe, Cartes SD ) /!\

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisis l'option 2

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message


-+-+-+-> List&kill'em <-+-+-+-


[x] Télécharge List&kill'em ( de Gen-Hackman ) sur ton bureau.

/!\ Désactive toutes tes protections résidentes ( Antivirus, Antispyware, Pare-feu ) /!\

[x] Lance le en double cliquant dessus ( Clic droit -> "Executer en tant qu'administrateur" sous vista )

[x] Choisis l'option F ( pour français ) puis l'option 1 ( Recherche )

[x] Laisse le scan s'opérer.

[x] Le rapport s'ouvrira une fois le scan fini, copie/colle son contenu dans ta prochaine réponse.

Voila,je fais quoi pour la suite,ou c'est fini
et je peus virer dans la corbeille tout les liens que j'ai installé sur le bureau

############################## | UsbFix V6.049 |

User : Ghislaine (Administrateurs) # PC-FOSCHIA
Update on 06/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:01:49 | 07/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 74,52 Go (39,01 Go free) # NTFS
D:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque fixe local # 111,76 Go (44,74 Go free) [WD Passport] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 556
C:\WINDOWS\system32\csrss.exe 824
C:\WINDOWS\system32\winlogon.exe 848
C:\WINDOWS\system32\services.exe 892
C:\WINDOWS\system32\lsass.exe 904
C:\WINDOWS\system32\Ati2evxx.exe 1068
C:\WINDOWS\system32\svchost.exe 1084
C:\WINDOWS\system32\logonui.exe 1144
C:\WINDOWS\system32\svchost.exe 1184
C:\WINDOWS\System32\svchost.exe 1328
C:\WINDOWS\system32\svchost.exe 1428
C:\WINDOWS\system32\svchost.exe 1656
C:\WINDOWS\system32\spoolsv.exe 1944
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe 1980
C:\Program Files\Avira\AntiVir Desktop\sched.exe 2004
C:\WINDOWS\system32\svchost.exe 160
C:\WINDOWS\Explorer.EXE 520
C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe 1096
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1232
C:\WINDOWS\system32\CTsvcCDA.EXE 1260
C:\WINDOWS\system32\crypserv.exe 1272
C:\WINDOWS\system32\dlbtcoms.exe 1304
C:\WINDOWS\System32\FTRTSVC.exe 1408
C:\Program Files\Google\Update\GoogleUpdate.exe 1444
C:\Program Files\Java\jre6\bin\jqs.exe 1488
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdxserv.exe 1624
C:\WINDOWS\system32\lxdxcoms.exe 1872
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 196
C:\WINDOWS\system32\svchost.exe 444
C:\Program Files\Inventel\Gateway\wlancfg.exe 648
C:\WINDOWS\system32\MsPMSPSv.exe 660
C:\WINDOWS\system32\wuauclt.exe 1564
C:\WINDOWS\System32\alg.exe 2352
C:\WINDOWS\system32\wbem\wmiprvse.exe 2460
C:\WINDOWS\system32\wbem\wmiapsrv.exe 2952
C:\WINDOWS\system32\wbem\wmiprvse.exe 3104

################## | Fichiers # Dossiers infectieux |

Le rapport n'est pas complet.

List'em by g3n-h@ckm@n 1.0.5.2

Thx to Chiquitine29.....

User : Ghislaine (Administrateurs) # PC-FOSCHIA
Update on 07/11/2009 by g3n-h@ckm@n ::::: 20.00
Start at: 20:17:07 | 07/11/2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 74,52 Go (39 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque fixe local | 111,76 Go (44,74 Go free) [WD Passport] | FAT32

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus en cours

C:\WINDOWS\System32\smss.exe 744
C:\WINDOWS\system32\csrss.exe 828
C:\WINDOWS\system32\winlogon.exe 852
C:\WINDOWS\system32\services.exe 896
C:\WINDOWS\system32\lsass.exe 908
C:\WINDOWS\system32\Ati2evxx.exe 1076
C:\WINDOWS\system32\svchost.exe 1092
C:\WINDOWS\system32\svchost.exe 1188
C:\WINDOWS\System32\svchost.exe 1332
C:\WINDOWS\system32\svchost.exe 1428
C:\WINDOWS\system32\svchost.exe 1660
C:\WINDOWS\system32\spoolsv.exe 1928
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe 1960
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1988
C:\WINDOWS\system32\svchost.exe 136
C:\WINDOWS\Explorer.EXE 504
C:\WINDOWS\system32\Rundll32.exe 704
C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe 712
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 764
C:\Program Files\Lexmark 3600-4600 Series\lxdxMsdMon.exe 912
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe 1228
C:\Program Files\Microsoft IntelliType Pro\type32.exe 1416
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe 1452
C:\Program Files\Java\jre6\bin\jusched.exe 1440
C:\Program Files\Analog Devices\Core\smax4pnp.exe 1560
C:\Program Files\PowerISO\PWRISOVM.EXE 1696
C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe 1728
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1784
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe 1800
C:\WINDOWS\system32\CTsvcCDA.EXE 1848
C:\WINDOWS\system32\crypserv.exe 1872
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe 1840
C:\WINDOWS\system32\dlbtcoms.exe 1996
C:\WINDOWS\System32\FTRTSVC.exe 184
C:\Program Files\Java\jre6\bin\jqs.exe 284
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe 596
C:\Program Files\Microsoft IntelliPoint\point32.exe 664
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe 224
C:\Program Files\Creative\Sound Blaster Live! 24-bit\Surround Mixer\CTSysVol.exe 1264
C:\Program Files\Adobe\Photoshop Elements 4.0\apdproxy.exe 1364
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdxserv.exe 1492
C:\WINDOWS\system32\lxdxcoms.exe 1508
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 1580
C:\WINDOWS\system32\ctfmon.exe 724
C:\Program Files\Windows Media Player\WMPNSCFG.exe 2128
C:\WINDOWS\system32\svchost.exe 2180
C:\Program Files\Inventel\Gateway\wlancfg.exe 2296
C:\Program Files\Messenger\msmsgs.exe 2444
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe 2480
C:\WINDOWS\system32\MsPMSPSv.exe 2508
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe 2672
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe 2736
C:\Documents and Settings\Ghislaine\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe 2840
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe 2984
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN 3148
C:\WINDOWS\System32\svchost.exe 3996
C:\Program Files\Windows Media Player\WMPNetwk.exe 2684
C:\WINDOWS\system32\wbem\wmiapsrv.exe 3540
C:\Program Files\Logitech\QuickCam10\COCIManager.exe 3808
C:\WINDOWS\System32\alg.exe 4084
C:\Program Files\Java\jre6\bin\jucheck.exe 6044
C:\WINDOWS\system32\wscntfy.exe 956
C:\Documents and Settings\Ghislaine\Bureau\List_Killem.exe 6116
C:\WINDOWS\system32\cmd.exe 1844
C:\WINDOWS\system32\wbem\wmiprvse.exe 1820
C:\Documents and Settings\Ghislaine\Local Settings\Temp\19.tmp\pv.exe 1360

======================
Cles de demarrage "Run"
======================
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"swg"="\"C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe\""
"WOOKIT"="C:\\PROGRA~1\\Wanadoo\\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM="
"WMPNSCFG"="C:\\Program Files\\Windows Media Player\\WMPNSCFG.exe"
"MsnMsgr"="\"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe\" /background"
"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
"LDM"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"P17Helper"="Rundll32 P17.dll,P17Helper"
"lxdxmon.exe"="\"C:\\Program Files\\Lexmark 3600-4600 Series\\lxdxmon.exe\""
"lxdxamon"="\"C:\\Program Files\\Lexmark 3600-4600 Series\\lxdxamon.exe\""
"DLBTCATS"="rundll32 C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\DLBTtime.dll,_RunDLLEntry@16"
"avgnt"="\"C:\\Program Files\\Avira\\AntiVir Desktop\\avgnt.exe\" /min"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"WOOWATCH"="C:\\PROGRA~1\\Wanadoo\\Watch.exe"
"WOOTASKBARICON"="C:\\PROGRA~1\\Wanadoo\\GestMaj.exe TaskBarIcon.exe"
"VirusScan"="c:\\PROGRA~1\\mcafee.com\\vso\\mcvsshld.exe"
"UpdReg"="C:\\WINDOWS\\UpdReg.EXE"
"UDC Integration"=""
"type32"="\"C:\\Program Files\\Microsoft IntelliType Pro\\type32.exe\""
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre6\\bin\\jusched.exe\""
"SoundMAXPnP"="C:\\Program Files\\Analog Devices\\Core\\smax4pnp.exe"
"SGPUpdater"="C:\\Program Files\\Search Guard PlusU\\sgpUpdaters.exe"
"PWRISOVM.EXE"="C:\\Program Files\\PowerISO\\PWRISOVM.EXE"
"msci"="C:\\DOCUME~1\\GHISLA~1\\LOCALS~1\\Temp\\200411303236_mcinfo.exe /insfin"
"LVCOMSX"="\"C:\\Program Files\\Fichiers communs\\Logitech\\LComMgr\\LVComSX.exe\""
"LogitechQuickCamRibbon"="\"C:\\Program Files\\Logitech\\QuickCam10\\QuickCam10.exe\" /hide"
"LogitechCommunicationsManager"="\"C:\\Program Files\\Fichiers communs\\Logitech\\LComMgr\\Communications_Helper.exe\""
"IntelliPoint"="\"C:\\Program Files\\Microsoft IntelliPoint\\point32.exe\""
"FBSearch"="C:\\Program Files\\Search Guard Plus\\SearchGuardPlus.exe"
"FaxCenterServer"="\"C:\\Program Files\\Lexmark Fax Solutions\\fm3032.exe\" /s"
"DVDLauncher"="\"C:\\Program Files\\CyberLink\\PowerDVD\\DVDLauncher.exe\""
"CTSysVol"="C:\\Program Files\\Creative\\Sound Blaster Live! 24-bit\\Surround Mixer\\CTSysVol.exe /r"
"Cleanup"="C:\\DOCUME~1\\GHISLA~1\\LOCALS~1\\Temp\\2004113032310_mcappins.exe /v=3 /cleanup"
"Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""
"Adobe Photo Downloader"="\"C:\\Program Files\\Adobe\\Photoshop Elements 4.0\\apdproxy.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
@=""

=====================
cles additionnelles
=====================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"ConsentPromptBehaviorAdmin"=dword:00000002

===============
===============
===============
===============
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

===============
======
BHO :
======
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\NoExplorer]
@=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1017A80C-6F09-4548-A84D-EDD6AC9525F0}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
@="Search Helper"
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C451C08A-EC37-45DF-AAAD-18B51AB5E837}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
@="Google Dictionary Compression sdch"
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
@="JQSIEStartDetectorImpl"
"NoExplorer"=dword:00000001

==========================

contenu des autoruns presents
-----------------------------

J:\Autorun.inf :
----------------
[autorun]
open=WD_Windows_Tools\setup.exe
ICON=AUTORUN\WDLOGO.ICO

===============
Path : c:\program files\imagemagick-6.4.2-q16;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\ATI Technologies\ATI Control Panel;C:\Program Files\QuickTime\QTSystem\
===============
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Program Files\AGI
C:\WINDOWS\System32\asdict.dat
C:\WINDOWS\System32\aspdict-en.dat
C:\WINDOWS\System32\drivers\etc\hosts.msn
C:\WINDOWS\system32\drivers\Sonyhcp.dll
C:\WINDOWS\System32\pc_sign.slf
C:\WINDOWS\System32\pcwords.dat

¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe

¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

ACRORD32.EXE-356875A2.pf
ACRORD32INFO.EXE-24548733.pf
AD-R.EXE-2B1CD4E4.pf
AD-R[1].EXE-1A75D14E.pf
ALERTM~1.EXE-1C0AE839.pf
ALG.EXE-0F138680.pf
ATIPRBXX.EXE-28AA41C0.pf
ATIPTAXX.EXE-18FE8D8B.pf
ATTRIB.EXE-39EAFB02.pf
AVCENTER.EXE-1A970FA0.pf
AVCONFIG.EXE-29873B78.pf
AVGNT.EXE-200FEF40.pf
AVWSC.EXE-0283F9DD.pf
BYPASS.EXE-3A13827B.pf
CHCP.COM-18156052.pf
CHKNTFS.EXE-31921D64.pf
CMD.EXE-087B4001.pf
COCIMANAGER.EXE-2B55032E.pf
COMCOMP.EXE-01668373.pf
COMCOMP.EXE-063CBADA.pf
CONTROL.EXE-013DBFB5.pf
CTFMON.EXE-0E17969B.pf
DLBTCOMS.EXE-1AC7AA5C.pf
DRWTSN32.EXE-2B4B52AC.pf
DUMPREP.EXE-1B46F901.pf
DWWIN.EXE-30875ADC.pf
ECHOX.EXE-0EC32D49.pf
EMBIRD.EXE-211CA26C.pf
ERUNT.COM-3A876921.pf
ESPACEWANADOO.EXE-037E253D.pf
ESPACEWANADOO.EXE-26D5ECCC.pf
EXPLORER.EXE-082F38A9.pf
FAV.EXE-2068B130.pf
FIND.EXE-0EC32F1E.pf
FINDSTR.EXE-0CA6274B.pf
GESTMAJ.EXE-26927B6B.pf
GESTMAJ.EXE-2B68B2D2.pf
GETPATHS.EXE-0651DA57.pf
GOOGLETOOLBARNOTIFIER.EXE-3629C61D.pf
GOOGLEUPDATE.EXE-1E123D86.pf
GREP.COM-30632777.pf
IEXPLORE.EXE-27122324.pf
IMAPI.EXE-0BF740A4.pf
INACTIVITY.EXE-054B684A.pf
ISADMIN.COM-2460FC13.pf
JAVA.EXE-0C263507.pf
JUCHECK.EXE-395165C8.pf
LADS.EXE-06335087.pf
Layout.ini
LDMCONF.EXE-2E2A6E1D.pf
LOGONUI.EXE-0AF22957.pf
LSNFIER.EXE-08049B4C.pf
LXDXAMON.EXE-078F6524.pf
LXDXMON.EXE-28A5EC75.pf
LXDXMSDMON.EXE-15BCCCCA.pf
MBAM.EXE-0BEE0439.pf
MODE.COM-31685BAE.pf
MSCONFIG.EXE-35E4DAE9.pf
MSI48.TMP-19FE9D25.pf
MSI49.TMP-1FCCF11B.pf
MSI4A.TMP-35004CAD.pf
MSI4B.TMP-04CB4193.pf
MSI4C.TMP-0E98D218.pf
MSI4D.TMP-2B32BC28.pf
MSI4E.TMP-23CC218A.pf
MSI4F.TMP-15FF6CB6.pf
MSI50.TMP-307E15B5.pf
MSI51.TMP-094D788B.pf
MSIEXEC.EXE-2F8A8CAE.pf
MSNMSGR.EXE-030AB647.pf
MSPMSPSV.EXE-159858D5.pf
NAVILOG1[1].EXE-1B26CF25.pf
NAVILOG1[1].EXE-3AFA5DBB.pf
NET.EXE-01A53C2F.pf
NET1.EXE-029B9DB4.pf
NIRCMD.COM-35BF857A.pf
NOTEPAD.EXE-189578DA.pf
NOTEPAD.EXE-336351A9.pf
NTOSBOOT-B00DFAAD.pf
OSV.EXE-02D60AAD.pf
POLLINGMODULE.EXE-2C738EAB.pf
PROCESS.COM-0458B762.pf
PV.COM-006EB813.pf
QTTASK.EXE-342507FB.pf
QUICKSTART.EXE-1CEE9C20.pf
REALPLAY.EXE-1BF219BD.pf
REALSCHED.EXE-04BEC5CC.pf
REG.EXE-0D2A95F7.pf
REGDACL.COM-3B1D4525.pf
REGEDIT.EXE-1B606482.pf
RESIDENCE.EXE-2ACE91B5.pf
RUNDLL32.EXE-16F0FDE6.pf
RUNDLL32.EXE-1714B23E.pf
RUNDLL32.EXE-1831A4F3.pf
RUNDLL32.EXE-2576181F.pf
RUNDLL32.EXE-2CF006FF.pf
RUNDLL32.EXE-4A6D2B33.pf
SED.COM-281CC846.pf
SETPATH.COM-048AD5CE.pf
SETPATH.EXE-2D3D2E76.pf
SHELL.EXE-3189A993.pf
SHUTDOWN.EXE-12DAD820.pf
SIGNCHECK.EXE-205B42F0.pf
SOFFICE.BIN-242AA534.pf
SOFFICE.EXE-2C1A3A5B.pf
SONYTRAY.EXE-106365F1.pf
SORT.EXE-194AE83C.pf
SS3DFO.SCR-373AD36C.pf
STCLIENT_WRAPPER.EXE-0FBCE9FC.pf
SUBINACL.EXE-17974576.pf
SVCHOST.EXE-3530F672.pf
SWREG.COM-3A277B41.pf
SWSC.COM-0DAE31A0.pf
TOASTER.EXE-1CBF7015.pf
UISCAN.EXE-194144E5.pf
USBFIX.EXE-322C8BAA.pf
VERCLSID.EXE-3667BD89.pf
WATCH.EXE-0DACDE18.pf
WATCH.EXE-31EDBDF6.pf
WINRAR.EXE-39C6DAD9.pf
WLCOMM.EXE-04AE9009.pf
WMIAPSRV.EXE-1E2270A5.pf
WMIPRVSE.EXE-28F301A9.pf
WMPNETWK.EXE-2C0727AF.pf
WSCNTFY.EXE-1B24F5EB.pf
WSCRIPT.EXE-32960AB9.pf
WUAUCLT.EXE-399A8E72.pf
ZHPDIAG.EXE-021B7932.pf
ZHPDIAG_1.24.22.EXE-28F6B5B7.pf
ZHPDIAG_1.24.22.TMP-36A07468.pf




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤