Processus multiples + Virus

Bonjour Charvette

C est processus sont legitimes --> 5 svchost.exe, 2 ati2evxx.exe

Un peu de lecture http://speedweb1.free.fr/frames2.php?page=service3 et http://speedweb1.free.fr/frames2.php?page=service10

Par contre " j'ai sans arrêt une fenêtre me disant que mon ordi à besoin d'un scan parcequ'il est infecté." ça c est pas normal

Télécharge Navilog1 d elmafioso depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche le blocnote va s'ouvrir.

Copie-colle l'intégralité du rapport dans ta réponse.

Referme le blocnote

@+

Salut,

voici le rapport de l'analyse aprés avoir lancé navilog.

Merci beaucoup

Search Navipromo version 3.0.4 commencé le 18/09/2007 à 20:06:34,10

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 16.09.2007 a 13h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180


*** Recherche Programmes installes ***


WebMediaPlayer


*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Administrateur\Application Data ***


*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html

Fichier(s) caché(s) dans C:\WINDOWS\system32 :


Processus caché(s) dans C:\WINDOWS\system32 :



*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-527237240-1364589140-725345543-500\Softw­are\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :






3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 18/09/2007 à 20:08:18,00 ***

Bonjour Charvette

Navilog1-option 2

Double click sur le raccourci Navilog1

Au menu principal, Fais le choix 2
Laisse toi guider et patiente.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle si nécéssaire.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre
Réactive le contrôle des comptes utilisateurs (UAC)

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Celà te fera apparaitre ton bureau

Poste le rapport en reponse en precisant s'il y a des ameliorations.

@+

Salut,

voici le rapport.... Seulement il n'y a aucune améliorations, le message d'avertissement comme quoi j'ai un spy s'affiche toujours. Quelle horreur !

Clean Navipromo version 3.0.4 commencé le 19/09/2007 à 22:34:34,14

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 16.09.2007 a 13h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

Mode suppression automatique



*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)


*** Suppression avec Backups résultats GenericNaviSearch ***

* Scan C:\WINDOWS\system32 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer ...suppression...
C:\Program Files\WebMediaPlayer supprimé !


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***



*** Suppression fichiers ***

C:\DOCUME~1\ALLUSE~1\Bureau\WebMediaPlayer.lnk supprimé !
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:





2)Recherche et Suppression Heuristique :


*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***

Nettoyage registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage termine le 19/09/2007 à 22:36:42,03 ***

Bonjour Charvette

On va tenter autre chose

Télécharge GenProc (de Lazzzy et Narco4) http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip et décompresse le sur ton bureau

Double-clique sur GenProc.bat et édite le rapport généré par le programme.

Tu trouveras une aide en images ici --> http://www.alt-shift-return.org/Info/GenProc-HowTo.html

@+

Salut,

Et merci encore pour le temps que tu me consacre !

Bon alors, j'ai suivi toues tes instructions...
Le seul "Bug", qui soit arrivé, c'est lors de l'utilisation de naviprog.bat
Lorsque j'ai utilisé la première étape (option R) au moment de faitre "entrée", la fenêtre se ferme illico !
Deuxième essai : idem
donc je suis passé à la recherche Heuristique et tout le reste s'est déroulé normalement.

Voici donc, le nouveau rapport Hijackthis :

Bonne soirée !


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:12:06, on 20/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Ultimate Edition 2.0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
End of file - 5768 bytes

Je viens de retenter un surf sur le net, et j'ai toujours cette fenêtre pop-up qui me dit que mon ordi nécessite un scan !!!
Et quelquefois, une fenêtre IE s'ouvre sur une page "centre de sécurité windows" me recommandant de télécharger un anti spyware (???)

Espérons que le rapport de Hijckthis soit plus clair !
(:S)

Bonjour Charvette

Désolé, j ai un peu de mal a trouver ce qui te provoque cela..on va essayer d utiliser ComboFix d'sUBs

Télécharge Combofix.exe d' sUBs sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse et dis moi s il y a des ameliorations..

@+

Salut je viens d'appliquer ce que tu m'as dit de faire.

Donc voici le rapport de combofix. Mais j'ai toujours ce problème de spams, dont une avec fenêtre d' un logiciel anti spy me précisant que mon ordinateur est contaminé par 45 fichiers espions.
De plus mon Firewall m'indique avec insistence qu'une application NDSI User mode I/O Driver a été bloqué. Faut-il repousser cette application ?

J'attends de tes nouvelles.

Merci

ComboFix 07-09-21.2 - "Administrateur" 2007-09-23 17:06:31.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1602 [GMT 2:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1.\WebMediaPlayer
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1.\WebMediaPlayer\Conditions générales.lnk
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1.\WebMediaPlayer\Confidentialité.lnk
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1.\WebMediaPlayer\WebMediaPlayer.lnk
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1.\WebMediaPlayer\Website.lnk

.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-23 to 2007-09-23 ))))))))))))))))))))))))))))))))))))
.

2007-09-23 17:05 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-20 20:05 <REP> d-------- C:\WINDOWS\system32\bfubackups
2007-09-20 20:03 <REP> d-------- C:\Navipromo
2007-09-20 19:52 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion
2007-09-20 19:50 <REP> d-------- C:\BFU
2007-09-20 19:46 <REP> d-------- C:\Program Files\Yahoo!
2007-09-20 19:46 <REP> d-------- C:\Program Files\CCleaner
2007-09-18 20:05 <REP> d-------- C:\Program Files\Navilog1

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-20 19:51 --------- d-------- C:\Program Files\Mozilla Thunderbird
2007-09-06 12:09 801144 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-09-06 12:05 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 12:05 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 12:03 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 12:02 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 12:00 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 12:00 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 17:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"bmauhthboa"="c:\documents and settings\administrateur\local settings\application data\bmauhthboa.exe" [2007-09-09 11:03]

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 00:23:26]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=

R0 viaraid;viaraid;C:\WINDOWS\system32\DRIVERS\viaraid.sys
R1 GhPciScan;GhostPciScanner;\??\C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys
R1 lnsfw1;lnsfw1;C:\WINDOWS\system32\drivers\lnsfw1.sys
S2 Par1284;Par1284;\??\C:\Program Files\FlexiEXPERT 7.6v2\Program\Par1284.sys
S3 akshasp;Aladdin HASP Key;C:\WINDOWS\system32\DRIVERS\akshasp.sys


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{542bc758-70ea-11db-8f9c-000000000000}]
AutoRun\command- Iexplores.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-23 17:07:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-23 17:08:02
C:\ComboFix-quarantined-files.txt ... 2007-09-23 17:08
.
--- E O F ---

Bonjour Charvette

Ceci
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run]
"bmauhthboa"="c:\documents and settings\administrateur\local settings\application data\bmauhthboa.exe" [2007-09-09 11:03]

dans le rapport de combofix me fait penser a une infection Lop qui pourrait causer ces pop up de pubs, on va verifier en faisant cela

Télécharge lopxpMH2
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton bureau.Dézippe-le (clic droit >> Extraire ici)

et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir .

@+

Salut voici le contenu,

Merci et A+

Rapport lopxpMH2 version 2.0 fait à 21:18:35,25 le 25/09/2007
C:\Documents and Settings\Administrateur\Bureau\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 086A-28A8

Répertoire de C:\Documents and Settings\Administrateur\Application Data

01/01/2002 01:32 <REP> .
01/01/2002 01:32 <REP> ..
10/11/2006 20:41 <REP> Adobe
10/11/2006 20:42 <REP> AdobeUM
10/11/2006 23:42 <REP> Apple Computer
10/11/2006 18:06 <REP> ATI
11/11/2006 17:25 <REP> CyberLink
07/02/2007 19:39 <REP> Help
10/11/2006 22:48 <REP> HP
01/01/2002 01:32 <REP> Identities
01/01/2002 01:51 <REP> Macromedia
01/01/2002 01:32 <REP> Microsoft
10/11/2006 22:14 <REP> Mozilla
31/01/2007 18:08 <REP> Opera
01/01/2002 01:53 <REP> Real
01/01/2002 01:32 <REP> Symantec
10/11/2006 22:15 <REP> Talkback
10/11/2006 22:40 <REP> Thunderbird
01/01/2002 01:32 62 desktop.ini
1 fichier(s) 62 octets
18 Rép(s) 32 418 533 376 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 086A-28A8

Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

01/01/2002 01:32 <REP> .
01/01/2002 01:32 <REP> ..
10/11/2006 20:41 <REP> Adobe
10/11/2006 23:41 <REP> Apple Computer
01/01/2002 01:33 <REP> ApplicationHistory
10/11/2006 18:06 <REP> ATI
06/12/2006 18:00 <REP> Google
07/02/2007 19:39 <REP> Help
01/01/2002 01:32 <REP> Microsoft
10/11/2006 22:14 <REP> Mozilla
10/11/2006 22:40 <REP> Thunderbird
09/09/2007 11:04 4 952 bmauhthboa.dat
09/09/2007 11:03 275 456 bmauhthboa.exe
09/09/2007 11:04 287 805 bmauhthboa_nav.dat
09/09/2007 11:04 895 bmauhthboa_navps.dat
22/06/2007 16:31 3 584 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
01/01/2002 01:33 137 fusioncache.dat
10/11/2006 18:06 249 968 GDIPFONTCACHEV1.DAT
07/12/2006 20:00 4 841 154 IconCache.db
8 fichier(s) 5 663 951 octets
11 Rép(s) 32 418 533 376 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 086A-28A8

Répertoire de C:\Documents and Settings\All Users\Application Data

01/01/2002 02:14 <REP> .
01/01/2002 02:14 <REP> ..
01/01/2002 01:25 <REP> Adobe
10/11/2006 23:25 <REP> Adobe Systems
10/11/2006 23:08 <REP> Apple Computer
11/11/2006 17:17 <REP> CyberLink
10/11/2006 22:54 <REP> HP
01/01/2002 02:14 <REP> Microsoft
01/01/2002 01:28 <REP> MSN Messenger 6.2.0137
01/01/2002 01:27 <REP> Symantec
20/09/2007 19:52 <REP> Yahoo! Companion
01/01/2002 02:14 62 desktop.ini
10/11/2006 22:48 740 hpzinstall.log
2 fichier(s) 802 octets
11 Rép(s) 32 418 533 376 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 086A-28A8

Répertoire de C:\Documents and Settings\Default User\Application Data

01/01/2002 02:14 <REP> .
01/01/2002 02:14 <REP> ..
01/01/2002 02:14 <REP> Microsoft
01/01/2002 01:27 <REP> Symantec
01/01/2002 02:14 62 desktop.ini
1 fichier(s) 62 octets
4 Rép(s) 32 418 533 376 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 086A-28A8

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

01/01/2002 02:14 <REP> .
01/01/2002 02:14 <REP> ..
01/01/2002 01:23 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 32 418 529 280 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 086A-28A8

Répertoire de C:\Documents and Settings\LocalService\Application Data

01/01/2002 01:31 <REP> .
01/01/2002 01:31 <REP> ..
01/01/2002 01:31 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 32 418 529 280 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 086A-28A8

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

01/01/2002 01:31 <REP> .
01/01/2002 01:31 <REP> ..
01/01/2002 01:31 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 32 418 529 280 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 086A-28A8

Répertoire de C:\Documents and Settings\NetworkService\Application Data

01/01/2002 01:31 <REP> .
01/01/2002 01:31 <REP> ..
01/01/2002 01:31 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 32 418 529 280 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 086A-28A8

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

01/01/2002 01:31 <REP> .
01/01/2002 01:31 <REP> ..
01/01/2002 01:31 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 32 418 529 280 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 086A-28A8

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

01/01/2002 01:30 <REP> .
01/01/2002 01:30 <REP> ..
01/01/2002 01:30 <REP> Microsoft
01/01/2002 01:30 <REP> Symantec
01/01/2002 01:30 62 desktop.ini
1 fichier(s) 62 octets
4 Rép(s) 32 418 529 280 octets libres
Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 086A-28A8

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

01/01/2002 01:30 <REP> .
01/01/2002 01:30 <REP> ..
01/01/2002 01:30 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 32 418 529 280 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle System
Le numéro de série du volume est 086A-28A8

Répertoire de C:\Program Files

20/09/2007 19:46 <REP> .
20/09/2007 19:46 <REP> ..
22/06/2007 19:08 <REP> Adobe
27/10/2004 02:34 <REP> Ahead
10/11/2006 18:07 <REP> Alwil Software
10/11/2006 18:04 <REP> ATI Technologies
20/09/2007 19:46 <REP> CCleaner
01/01/2002 01:20 <REP> ComPlus Applications
11/11/2006 17:17 <REP> CyberLink
10/07/2007 13:33 <REP> eMule
06/12/2006 18:00 <REP> Fichiers communs
09/03/2007 12:00 <REP> FileZilla
29/11/2006 11:53 <REP> FlexiEXPERT 7.6v2
10/11/2006 22:53 <REP> Hewlett-Packard
10/11/2006 22:54 <REP> HP
01/01/2002 02:07 <REP> Intel
01/01/2002 01:22 <REP> Internet Explorer
13/09/2004 22:09 <REP> K-Lite Codec Pack
15/11/2006 00:58 <REP> Macromedia
01/01/2002 01:26 <REP> Media Player Classic
10/11/2006 22:26 <REP> Microsoft Office
10/11/2006 22:26 <REP> Microsoft.NET
19/09/2007 23:36 <REP> Mozilla Firefox
20/09/2007 19:51 <REP> Mozilla Thunderbird
01/01/2002 01:54 <REP> MSI
07/03/2007 10:14 <REP> MSN Messenger
19/09/2007 22:36 <REP> Navilog1
01/01/2002 01:21 <REP> NetMeeting
01/01/2002 01:21 <REP> Outlook Express
12/04/2007 09:57 <REP> QuickTime
06/12/2006 18:00 <REP> Real
01/01/2002 01:26 <REP> Real Alternative
12/07/2007 22:19 <REP> Samsung
01/01/2002 02:06 <REP> Setup Files
04/12/2006 15:08 <REP> SpeedFan
10/11/2006 23:10 <REP> SuperCopier2
14/04/2007 19:24 <REP> Sygate
01/01/2002 01:36 <REP> Symantec
12/04/2007 09:57 <REP> Winamp
01/01/2002 01:30 <REP> Windows Media Player
01/01/2002 01:20 <REP> Windows NT
15/12/2004 01:15 <REP> WinRAR
20/09/2007 19:46 <REP> Yahoo!
0 fichier(s) 0 octets
43 Rép(s) 32 418 525 184 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
PopupMgr REG_SZ yes

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\JXBUXYB5.DEFAULT\HOSTPERM.1
host popup 1 www.angelos.be
host popup 1 www.luxembourg2007.org
host popup 1 www.carreau-forbach.com
host popup 1 www.jean-philippe-guillemain.com
host popup 1 www.cocoon.net
host popup 1 www.mcdonalds.fr
host popup 1 www.cts-strasbourg.fr
host popup 1 www.modeselektor.com
host popup 1 www.agencetandem.com
host popup 1 profile.myspace.com
host popup 1 www.mikado.lu

******************************************
## Registre

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
bmauhthboa REG_SZ c:\documents and settings\administrateur\local settings\application data\bmauhthboa.exe bmauhthboa

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************

Bonjour Charvette

Ca y est, je tiens les responsables de tes soucis ;) grace a LopXPMH

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procedure correctement.
(Note: tu n'auras pas accès à Internet à partir du moment ou tu redemarreras en mode sans echec)
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection
1) Telecharge

-- CCleaner
http://www.ccleaner.com/download/builds.aspx
Installe le en prenant soin de decocher les diverses options dont la barre Yahoo et la mise a jour.
Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".Par la suite, laisse-le avec ses réglages par défaut.
Fermer le programme pour l instant.

-- Brute Force Uninstaller (BFU) de Merijn.
http://www.merijn.org/files/bfu.zip
Décompresser l'archive dans un dossier qui lui sera réservé, par exemple C:\bfu
Regarde N) http://forum.pcastuces.com/sujet.asp?f=25&s=3902

-- Egdaccess.bfu de Metallica
http://metallica.geekstogo.com/EGDACCESS.bfu
Puis click droit et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".
Sauvegarde dans le dossier créé (c:\BFU)
Note: Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers".

-- AVG Anti-Spyware 7.5
Télécharger la version d'essai de AVG Anti-Spyware depuis http://www.grisoft.com/doc/31/ww/crp/0
L'installer
Lancer AVG Anti-Spyware.
Cliquer sur le menu Mise à jour.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant

2) Crée un nouveau document texte :

clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait)


OptionUnloadShell

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\bmauhthboa
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|bmauhthboa
RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|bmauhthboa
FileDelete %APPDATA%\bmauhthboa*.*
FileDelete %WINDIR%\PREFETCH\bmauhthboa*.pf
FileDelete %SYSDIR%\bmauhthboa_m2s.xml
FileDelete %WINDIR%\bmauhthboa.exe-*.pf

SystemEmptyRecycleBin
SystemEmptyInternetCache
SystemEmptyTempFolder

FileDelete C:\egd20.txt
FileDelete C:\egd21.txt
SystemRun regedit|/e C:\egd20.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0
SystemRun regedit|/e C:\egd21.txt "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0

Assure toi que le retour automatique à la ligne n'est pas activé
Puis "fichier"/"enregistrer sous" :
dans : C:\BFU
Nom du fichier : Alfermath.BFU
Type de fichier : "tous les fichiers"
clique sur "enregistrer" afin de le sauvegarder dans le dossier créé (c:\BFU)
Note: Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers".

3) Redemarre en mode sans echec

voir C) http://forum.pcastuces.com/sujet.asp?f=25&s=3902

4) Démarre le "Brute Force Uninstaller de Merijn"
en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur :

** EGDACCESS.bfu de Métallica
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaisse et clique sur OK.
Clique exit pour fermer le programme BFU.

Relance le BFU.Clique a nouveau sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur

** Alfermath.BFU

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Alfermath.BFU
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaisse et clique sur OK.
Clique exit pour fermer le programme BFU.


5) Lance AVG Anti-Spyware 7.5

--Reglages

Cliquer sur le menu Analyse (de la barre d'outils).
Cliquer sur l'onglet Paramètres.
Dans Comment réagir? cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées.
Dans Rapports cocher "générer un rapport aprés chaque analyse"


-- Scan
Dans l'onglet Analyse
Cliquer sur Analyse complète du système.
Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.
Tres important : A la fin de l'analyse, clique sur " Appliquer toutes les actions"
Ensuite.
Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
(C:\Programfiles\AVG Antispyware 7.5\Reports )
Puis fermer AVG Anti-Spyware.

6) Lance CCleaner
Puis dans le menu Nettoyeur
Cliquer sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
cliquer sur le bouton Lancer le nettoyage.
Fais cela plusieurs fois d affilé .puis ferme CCleaner

7) Certificats
Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :
electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime ceux précités que tu y trouves

8) Rapports

Redemarre en mode normal

Genere un nouvel HJT et poste moi le rapport ainsi que celui d AVG antispyware

et dis moi si tu constates des améliorations..

@ suivre

Salut,

Après qqes jours d'absence je me recolle au problème...
...j'ai suivi tes instructions

Tout à l'air de s'être bien passé.

AVG à trouvé 25 spyware et un virus.

Je n'ai pas encore eu le temps d'aller sur le net pour voir si le problème persiste, masi je t'envoie les logs de hijack et d'AVG

Merci encore pour le temps que tu m'as consacré !



Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:29, on 04/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - AppInit_DLLs:
O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
End of file - 6788 bytes


Et celui d'AVG :

<history>
<!-- 01c806bf5f35a310 -->
<rec time="2007/10/04 19:47:18" user="Administrateur" source="General">
<value>@HL_TestStarted</value>
<attr name="testname">@TestName_02</attr>
</rec>
<rec time="2007/10/04 19:47:46" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">:mozilla.10:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jxbuxyb5.default\cookies.txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Advertising</attr>
</rec>
<rec time="2007/10/04 19:47:46" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">:mozilla.11:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jxbuxyb5.default\cookies.txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Advertising</attr>
</rec>
<rec time="2007/10/04 19:47:46" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">:mozilla.12:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jxbuxyb5.default\cookies.txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Doubleclick</attr>
</rec>
<rec time="2007/10/04 19:47:46" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">:mozilla.13:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jxbuxyb5.default\cookies.txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Advertising</attr>
</rec>
<rec time="2007/10/04 19:47:46" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">:mozilla.14:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jxbuxyb5.default\cookies.txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Advertising</attr>
</rec>
<rec time="2007/10/04 19:47:46" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">:mozilla.20:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jxbuxyb5.default\cookies.txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Netflame</attr>
</rec>
<rec time="2007/10/04 19:47:46" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">:mozilla.34:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jxbuxyb5.default\cookies.txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Googleadservices</attr>
</rec>
<rec time="2007/10/04 19:47:46" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">:mozilla.35:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jxbuxyb5.default\cookies.txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Tribalfusion</attr>
</rec>
<rec time="2007/10/04 19:47:46" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">:mozilla.39:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jxbuxyb5.default\cookies.txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Mediaplex</attr>
</rec>
<rec time="2007/10/04 19:47:46" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">:mozilla.40:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jxbuxyb5.default\cookies.txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Bluestreak</attr>
</rec>
<rec time="2007/10/04 20:36:46" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">C:\System Volume Information\_restore{3B7F77F5-CF6E-4435-ABE7-C283F5D60277}\RP24\A0027402.exe</attr>
<attr name="type">@EID_Id_pgm</attr>
<attr name="what">Fake_AntiSpyware.DB</attr>
</rec>
<rec time="2007/10/04 20:47:13" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">C:\WINDOWS\system32\cmdow.exe</attr>
<attr name="type">@EID_Id_pgm</attr>
<attr name="what">HideExec.BN</attr>
</rec>
<rec time="2007/10/04 21:05:54" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">H:\System Volume Information\_restore{3B7F77F5-CF6E-4435-ABE7-C283F5D60277}\RP22\A0022492.exe</attr>
<attr name="type">@EID_Id_vir</attr>
<attr name="what">Worm/Tombai.A</attr>
</rec>
<rec time="2007/10/04 21:06:19" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Atdmt</attr>
</rec>
<rec time="2007/10/04 21:06:19" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Doubleclick</attr>
</rec>
<rec time="2007/10/04 21:06:19" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Weborama</attr>
</rec>
<rec time="2007/10/04 21:06:19" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">:mozilla.10:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jxbuxyb5.default\cookies.txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Advertising</attr>
</rec>
<rec time="2007/10/04 21:06:19" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">:mozilla.11:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jxbuxyb5.default\cookies.txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Advertising</attr>
</rec>
<rec time="2007/10/04 21:06:19" user="Administrateur" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">:mozilla.12:C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\jxbuxyb5.default\cookies.txt</attr>
<attr name="type"></attr>
<attr name="what">TrackingCookie.Doubleclick</attr>
</rec>
<rec time="2007/10/04 21:06:19" user="Adminis