Virus : infecté par un spyware [Fermé]

Signaler
-
 Regis59 -
bonjour à tous, je suis confronté à un pb de spyware que g choppé en me baladant sur internet. alors que je cherchai justement un bon pare feu je me suis fait infecté je suppose sur la page du site de spy sheriff. du coups des messages d'alertes virus s'ouvrent sans cesse et des fenetres pop up s'ouvrent incessement. je joint le rapport d'analyse fait avec smitfraudfix dans l'espoir de trouver une bonne ame pour me porter secours...par avance; merci !!

smitfraudfix:
Rapport fait à 2:47:36,84, 18/05/2006
Executé à partir de C:\Documents and Settings\petite fleur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\petite fleur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PETITE~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e04408db-4812-4478-8d4d-e46edcffd3b6}"="AutoDisc Ware"

[HKEY_CLASSES_ROOT\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\System32\fyhhxw.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\System32\fyhhxw.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

25 réponses

Messages postés
8080
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
9 juillet 2006
341
alu
=======
RAS ds ce rapport
============
(A)- Si tu n’ as pas de pare-feu, autre que le ‘joujou’ de Windows (à désactiver), je te conseille Kerio (gratuit même après les 30 jours d’ essai)
Tutorial et téléchargement ici :
https://www.vulgarisation-informatique.com/kerio.php
(B)- Règle d’ or à respecter : 1 seul pare-feu, 1 seul antivirus
=========

procéde ds l ordre

3/ - Ewido (download)- gratuit même après 14 jours d’essai
http://perso.wanadoo.fr/entraide-hijackthis/Ewido/
Copie/COLLE le rapport généré sur ce forum

4/ - Ccleaner : ( nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc..)
Télécharge ici :
https://www.ccleaner.com/ccleaner/download
Tutorial ici:
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

6/ - Scan online avec BitDefender (fonctionne uniquement sous Internet Explorer en acceptant l’ activX)
https://assiste.com/404_La_page_demandee_n_existe_pas.php
http://www.bitdefender.fr/scan8/ie.html
Copie/COLLE le rapport entier

7/ - Hijackthis - Outil de diagnostic et réparation
lire démo
http://pageperso.aol.fr/balltrap34/Hijenr.gif
http://pageperso.aol.fr/balltrap34/demohijack.htm
Télécharge version française ici
http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html
Au boulot – Bon courage

bon, jr viens de sortir de la douche et là j'avoue, au vue de mes faibles connaissances, je pense en avoir pour un petit moment à faire toutes ces petites manips..je m'y met dès que possible et je poste les resultats. quoi qu'il en soit; merci pour se precieux coups de main; donné par ailleurs bien plus vite que je ne l'esperai. à demain pour de nouvelles aventures !!!! (ps: j'utilise Bit defender 7.1 couplé à ZoneAlarm Pro). @ + et encore merci..
Messages postés
8080
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
9 juillet 2006
341
ok
fais tes devoirs ds l ordre
à +
Messages postés
16248
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
312
salut aranjuez
pourquoi tu ne lui fait pas faire directement l option 2 du fix
en plus il me semble que la dll detecter ne serat pas suppr par le fix et qu il vas falloir utiliser l option 4 pour l integrer automatiquement

pour petite fleur fait ceci en premier
redemarre en sans echecpour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5

relance le prog smitfraudfix et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport
*******
aranjuez31
Messages postés
8080
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
9 juillet 2006
341
alu Ball

je note la subtilité de ta remarque pour une fois prochaine
c est là encore que je m' aperçois que je ne suis qu'un apprenti permanent

merci


rebonjour, apres avoir galeré avant de pouvoir de nouveau acceder sur internet (persuadé que ca venait du spyware alors qu'il suffisait de rebooter la freebox..mdr..bref), je reviens vers vous pour vous envoyez le rapport apres reparation, apres la manip conseillée par balltrap :

SmitFraudFix v2.44

Rapport fait à 4:09:36,98, 18/05/2006
Executé à partir de C:\Documents and Settings\petite fleur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\petite fleur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PETITE~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e04408db-4812-4478-8d4d-e46edcffd3b6}"="AutoDisc Ware"

[HKEY_CLASSES_ROOT\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\System32\fyhhxw.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\System32\fyhhxw.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


attendant de vos nouvelles pour de nouvelles aventures !!
Merci encore,
Petitefleur(incompétant professionnel)

ah oui aussi, j'oubliais; ca peut peut etre vous aider à ...m'aide-r. g aussi des messages d'erreur au lancement "normal" de windows XP:

- RUNDLL : une exception s'est produite lors de la tentative d'execution de "C:WINDOWS/Systeme32/micshext.dll",DLLGetVersion

et

-RUNDLL32.exe ne réponds pas.

Voila encore merci et à bientôt pour de nouvelles aventures.

Petitefleur (incompétant professionnel)
Messages postés
16248
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
312
salut relance le fix et passe l option 4 en mode sans echec
ensuite redemarre et refait l option 1 et donne le rapport

je renvoi le rapport recu suite au 4 opés effectuées en sans echec :

SmitFraudFix v2.44

Rapport fait à 20:21:09,51, 18/05/2006
Executé à partir de C:\Documents and Settings\petite fleur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Avant GenericRenosFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{e04408db-4812-4478-8d4d-e46edcffd3b6}"="AutoDisc Ware"

[HKEY_CLASSES_ROOT\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\System32\fyhhxw.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}\InProcServer32]
@="C:\WINDOWS\System32\fyhhxw.dll"


»»»»»»»»»»»»»»»»»»»»»»»» GenericRenosFix

GenericRenosFix by S!Ri

C:\WINDOWS\System32\fyhhxw.dll -> Hoax.Win32.Renos.gen
C:\WINDOWS\System32\fyhhxw.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Après GenericRenosFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

puis le compte rendu bloc note apres redemarrage en mode classique et premiere étape :

SmitFraudFix v2.44

Rapport fait à 20:25:52,51, 18/05/2006
Executé à partir de C:\Documents and Settings\petite fleur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\petite fleur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PETITE~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Merci encore pour cette aide precieuse et à bientot pour de nouvelles aventures....(petitefleur, incompetant professionnel)
Messages postés
16248
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
312
oki c est tous bon
....(petitefleur, incompetant professionnel)


ont est tous incompetent quelque part
je suis certain que tu fait un tas de chose ou moi je suis nul lol
a++

bon effectivement les messages alerte virus n'apparaissent plus et l'icône "handicapé, puis interdiction de stationner" (lol) n'apparaissent plus. par contre, je continue a avoir des pubs intempestives à chaque ouverture d'une page internet (80 pages ouvertes en une heure environ) comment puis je faire cesser ca ??
de plus comme conseillé par anjuajez, g installé kerio mais celui ci me bloque l'acces a internet quand il est activé....
merci encore,

A bientot pour de nouvelles aventures
petitefleur.(informatiquement incompétant)
Bonjour petite fleur,

Salut Balltrap ^^

Petite fleur est certainement plus competent a la vaisselle ou aux fautes d ortographes lol

télécharge HijackThis ici:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+

salut a tous.
j'envoie le log comme demandé par régis...


Scan saved at 19:23:44, on 19/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiMfd.exe
C:\defender20.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\DOCUME~1\PETITE~1\APPLIC~1\STEM32~1\msconfig.exe
C:\PROGRA~1\FICHIE~1\uwrq\uwrqm.exe
C:\Program Files\?ystem32\n?lookup.exe
C:\Program Files\Labtec\Wireless Mouse\MulMouse.exe
C:\PROGRA~1\FICHIE~1\uwrq\uwrqa.exe
C:\WINDOWS\cGV0aXRlIGZsZXVy\command.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\runservice.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\petite fleur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SOS Connexion - Le web en toute simplicité
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {4C9412FE-816C-A9C1-6451-F06A16DCD097} - C:\WINDOWS\System32\fap.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Program Files\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [defender] C:\\defender20.exe
O4 - HKLM\..\Run: [w13f952b.dll] RUNDLL32.EXE w13f952b.dll,I2 000e5609013f952b
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [e9caf3de.exe] C:\WINDOWS\System32\e9caf3de.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [Cccs] "C:\DOCUME~1\PETITE~1\APPLIC~1\STEM32~1\msconfig.exe" -vt yax
O4 - HKCU\..\Run: [uwrq] C:\PROGRA~1\FICHIE~1\uwrq\uwrqm.exe
O4 - HKCU\..\Run: [Zlox] C:\Program Files\?ystem32\n?lookup.exe
O4 - HKCU\..\Run: [e9caf3de.exe] C:\Documents and Settings\petite fleur\Local Settings\Application Data\e9caf3de.exe
O4 - Global Startup: Logiciel de la Souris Labtec 2.0.lnk = C:\Program Files\Labtec\Wireless Mouse\MulMouse.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZZ
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate- Activex Control) - https://www.songtexte.de
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {EB6D7E70-AAA9-40D9-BA05-F214089F2275} - http://www.clickteam.com/vitalize3/vitalize.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by108fd.bay108.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - AppInit_DLLs: pavwait.dll
O20 - Winlogon Notify: iexplore - mfm3f.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\n0r2la9o1d.dll
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\l08mlal11dq.dll (file missing)
O20 - Winlogon Notify: winwim32 - C:\WINDOWS\SYSTEM32\winwim32.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cGV0aXRlIGZsZXVy\command.exe
O23 - Service: hpdj7700 - Unknown owner - C:\DOCUME~1\PETITE~1\LOCALS~1\Temp\hpdj7700.exe (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: Mouse Button Monitor (mousebm) - Unknown owner - C:\WINDOWS\System32\mousebm.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

merci encore.

a bientot pour de nouvelles aventures
petitefleur (vaissellier professionnel)
Coucou

Balltrap etant un peu absent, je vais l avancer un peu lol

Télécharge l2mfix ici:

http://www.downloads.subratam.org/l2mfix.exe

Double clic sur l2mfix.exe pour lancer l'extraction
Dans le dossier l2mfix, double clic sur l2mfix.bat, appuie sur n'importe quelle touche puis choisis l'option #1 (et pas autre chose) et valide avec la touche entrée.
Le bloc note va s'ouvrir avec le résultat du scan.
Fais un copier coller du résultat ici.

a+

voila le resultat du log : bon courage ! merci.



L2MFIX find log 051206
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iexplore]
"DllName"=hex(2):6d,00,66,00,6d,00,33,00,66,00,2e,00,64,00,6c,00,6c,00,00,00
"Startup"="expF4"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
@=""
"DLLName"="igfxsrvc.dll"
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000001
"Unlock"="WinlogonUnlockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Unimodem]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\n0r2la9o1d.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WebCheck]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\l08mlal11dq.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwim32]
"Asynchronous"=dword:00000001
"DllName"="winwim32.dll"
"Impersonate"=dword:00000000
"Startup"="EvtStartup"
"Shutdown"="EvtShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{34E9B9C6-1EC9-CA53-6F71-D3EC1C73266F}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Feuille de propri‚t‚s du fichier multim‚dia"
"{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de s‚curit‚ NTFS"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des propri‚t‚s de OLE DocFile"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de s‚curit‚ DS"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Page de compatibilit‚"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'‚cran ICM"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'environnement de compression de fichiers"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension de l'environnement d'imprimante Web"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extension ic“ne HyperTerminal"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de s‚curit‚ des imprimantes"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions r‚seau"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connexions r‚seau"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Scanneurs et appareils photo"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Scanneurs et appareils photo"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="&Scanneurs et appareils photo"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Scanneurs et appareils photo"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Scanneurs et appareils photo"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Liaison de donn‚es Microsoft"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tƒches planifi‚es"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barre des tƒches et menu D‚marrer"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Rechercher"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ex‚cuter..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Courrier ‚lectronique"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Polices"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Outils d'administration"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du t‚l‚chargement"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau ‚tendu"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment‚"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet int‚gr‚ de recherche"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="BoŒte d'entr‚e de l'adresse"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrŠs auto-ouvrante"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="ParamŠtres du dossier global"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de d‚marrage de la Suite IE4"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'applications d'environnement"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="num‚rateur d'applications install‚es"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Publication d'application Darwin"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extracteur de miniatures de fichier + GDI"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extracteur de miniatures HTML"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Assistant Publication de sites Web"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Commande d'impressions via le Web"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objet Assistant de publication Shell"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Assistant Obtenir une identit‚ Passport"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Comptes d'utilisateurs"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chaŒne"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chaŒne"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Dossiers Web"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{51550900-DCAC-11d4-AA0F-0080C87C465B}"="WayTech MultiMouse"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{EB47FF00-225E-11D2-9E1D-00A0C9AB0EEE}"="eLicense Control"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{D120D80B-BD26-4A74-8E43-2C2AF0966139}"="QuickPar ContextMenu extension"
"{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"="BitDefender Antivirus v7"
"{ABC70703-32AF-11d4-90C4-D483A70F4825}"="CMenuExtender"
"{32020A01-506E-484D-A2A8-BE3CF17601C3}"="AlcoholShellEx"
"{1FFD7D68-6325-4E2C-AEA9-DF2B4E8F9901}"=""
"{22B8CB7C-50EA-47E5-824B-17C4936548ED}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{1FFD7D68-6325-4E2C-AEA9-DF2B4E8F9901}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{1FFD7D68-6325-4E2C-AEA9-DF2B4E8F9901}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{1FFD7D68-6325-4E2C-AEA9-DF2B4E8F9901}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{1FFD7D68-6325-4E2C-AEA9-DF2B4E8F9901}\InprocServer32]
@="C:\\WINDOWS\\system32\\qtgrprxy.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{22B8CB7C-50EA-47E5-824B-17C4936548ED}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{22B8CB7C-50EA-47E5-824B-17C4936548ED}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{22B8CB7C-50EA-47E5-824B-17C4936548ED}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{22B8CB7C-50EA-47E5-824B-17C4936548ED}\InprocServer32]
@="C:\\WINDOWS\\system32\\ijgutil.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
atmtd.dll Wed 17 May 2006 20:42:56 A.... 687 592 671,48 K
bwowser.dll Thu 18 May 2006 15:33:34 ..S.R 234 011 228,52 K
dxscript.dll Thu 18 May 2006 1:49:52 ..S.R 234 011 228,52 K
eks.dll Thu 18 May 2006 0:35:16 ..S.R 233 384 227,91 K
fap.dll Mon 8 May 2006 21:47:58 A.... 139 264 136,00 K
fpno03~1.dll Wed 17 May 2006 21:25:42 ..S.R 234 272 228,78 K
ijgutil.dll Wed 17 May 2006 23:34:52 ..S.R 235 595 230,07 K
impborl.dll Wed 19 Apr 2006 1:41:28 A.... 12 288 12,00 K
ktlol7~1.dll Thu 18 May 2006 2:03:14 ..S.R 235 784 230,26 K
ktr0l7~1.dll Thu 18 May 2006 19:03:04 ..S.R 234 011 228,52 K
legitc~1.dll Mon 10 Apr 2006 13:00:34 A.... 555 824 542,80 K
mvpml9~1.dll Thu 18 May 2006 3:01:04 ..S.R 235 190 229,68 K
mxdxmlc.dll Thu 18 May 2006 18:36:52 ..S.R 236 019 230,48 K
n0r2la~1.dll Fri 19 May 2006 15:29:02 ..S.R 237 309 231,75 K
nwtlogon.dll Thu 18 May 2006 20:23:14 ..S.R 236 019 230,48 K
o666lg~1.dll Fri 19 May 2006 15:41:00 ..S.R 234 081 228,59 K
qtgrprxy.dll Fri 19 May 2006 15:41:02 ..S.R 237 309 231,75 K
r06u0a~1.dll Thu 18 May 2006 3:48:40 ..... 234 971 229,46 K
rhgwizc.dll Thu 18 May 2006 10:53:50 ..S.R 234 971 229,46 K
s8pu0i~1.dll Fri 19 May 2006 10:45:48 ..S.R 236 019 230,48 K
saofr.dll Thu 18 May 2006 15:51:24 ..S.R 234 011 228,52 K
sintf16.dll Wed 1 Mar 2006 18:23:50 A.... 12 067 11,78 K
sintf32.dll Wed 1 Mar 2006 18:23:50 A.... 17 212 16,81 K
sintfnt.dll Wed 1 Mar 2006 18:23:50 A.... 21 840 21,33 K
umaudi~1.dll Thu 18 May 2006 3:48:40 ..S.R 234 011 228,52 K
uxtheme.dll Sun 26 Mar 2006 8:33:50 A.... 204 288 199,50 K
vprifier.dll Wed 17 May 2006 23:45:40 ..S.R 237 177 231,62 K
w13f952b.dll Wed 17 May 2006 20:43:16 A.... 51 712 50,50 K
winwim32.dll Wed 17 May 2006 21:02:24 A.... 12 162 11,88 K
wppdxm.dll Thu 18 May 2006 3:01:04 ..S.R 234 011 228,52 K
wspui.dll Thu 18 May 2006 2:02:14 ..S.R 235 784 230,26 K
wyhnetbs.dll Wed 17 May 2006 22:20:20 ..S.R 235 595 230,07 K

32 items found: 32 files (21 H/S), 0 directories.
Total of file sizes: 6 887 794 bytes 6,57 M
Locate .tmp files:

C:\WINDOWS\SYSTEM32\
nsy38b.tmp Sun 26 Mar 2006 8:33:50 A.... 204 288 199,50 K

1 item found: 1 file, 0 directories.
Total of file sizes: 204 288 bytes 199,50 K
**********************************************************************************
Directory Listing of system files:
Le volume dans le lecteur C s'appelle SYSTEM
Le num‚ro de s‚rie du volume est 6CE9-1AFC

R‚pertoire de C:\WINDOWS\System32

19/05/2006 15:41 237ÿ309 qtgrprxy.dll
19/05/2006 15:41 234ÿ081 o666lgjs16o6.dll
19/05/2006 15:29 237ÿ309 n0r2la9o1d.dll
19/05/2006 10:45 236ÿ019 s8pu0i79e8.dll
18/05/2006 20:23 236ÿ019 nwtlogon.dll
18/05/2006 19:03 234ÿ011 ktr0l79m1.dll
18/05/2006 18:36 236ÿ019 mxdxmlc.dll
18/05/2006 15:51 234ÿ011 saofr.dll
18/05/2006 15:33 234ÿ011 bwowser.dll
18/05/2006 10:53 234ÿ971 rhgwizc.dll
18/05/2006 03:48 234ÿ011 UmAudioNT.dll
18/05/2006 03:01 234ÿ011 wppdxm.dll
18/05/2006 03:01 235ÿ190 mvpml9711.dll
18/05/2006 02:03 235ÿ784 ktlol7331.dll
18/05/2006 02:02 235ÿ784 wspui.dll
18/05/2006 01:49 234ÿ011 dxscript.dll
18/05/2006 00:35 233ÿ384 eks.dll
17/05/2006 23:45 237ÿ177 vprifier.dll
17/05/2006 23:34 235ÿ595 ijgutil.dll
17/05/2006 22:20 235ÿ595 wyhnetbs.dll
17/05/2006 21:25 234ÿ272 fpno0353e.dll
13/05/2006 20:20 <REP> dllcache
19/04/2006 02:03 10ÿ752 Thumbs.db
26/10/2005 15:27 953 mmf.sys
25/09/2002 16:37 <REP> Microsoft
23 fichier(s) 4ÿ950ÿ279 octets
2 R‚p(s) 3ÿ771ÿ392ÿ000 octets libres
Bonsoir;

relance l2mfix et choisis l'option 2
accepte le redémarrage du pc

+

Ewido:
http://download.ewido.net/ewido-setup.exe

Installation puis mises à jour

¤ Lancer et exécuter Ewido pour un scan complet et copier/coller le rapport en forum

puis remet un hijack this stp

a+
:-)

salut !!
desolé pour le delai de reponse. voici l'ensemble des rapports suite a l'execution des programmes.

L2mfix 051206
Creating Account.
La commande s'est termin‚e correctement.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\SYSTEM32

Killing Processes!
Killing 'smss.exe'
\SystemRoot\System32\smss.exe (664)
Killing 'winlogon.exe'
winlogon.exe (1112)
Killing 'explorer.exe'
C:\WINDOWS\Explorer.EXE (784)
Killing 'rundll32.exe'
rundll32.exe "C:\WINDOWS\system32\ieircl.dll",DllGetVersion (552)
"C:\WINDOWS\System32\RUNDLL32.EXE" w13f952b.dll,I2 000e5609013f952b (3260)
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administrateurs ... successful

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
Deleting: C:\WINDOWS\system32\bwowser.dll
Successfully Deleted: C:\WINDOWS\system32\bwowser.dll
Deleting: C:\WINDOWS\system32\dxscript.dll
Successfully Deleted: C:\WINDOWS\system32\dxscript.dll
Deleting: C:\WINDOWS\system32\eks.dll
Successfully Deleted: C:\WINDOWS\system32\eks.dll
Deleting: C:\WINDOWS\system32\fpno0353e.dll
Successfully Deleted: C:\WINDOWS\system32\fpno0353e.dll
Deleting: C:\WINDOWS\system32\ieircl.dll
Successfully Deleted: C:\WINDOWS\system32\ieircl.dll
Deleting: C:\WINDOWS\system32\ijgutil.dll
Successfully Deleted: C:\WINDOWS\system32\ijgutil.dll
Deleting: C:\WINDOWS\system32\ktlol7331.dll
Successfully Deleted: C:\WINDOWS\system32\ktlol7331.dll
Deleting: C:\WINDOWS\system32\ktr0l79m1.dll
Successfully Deleted: C:\WINDOWS\system32\ktr0l79m1.dll
Deleting: C:\WINDOWS\system32\mvpml9711.dll
Successfully Deleted: C:\WINDOWS\system32\mvpml9711.dll
Deleting: C:\WINDOWS\system32\mxdxmlc.dll
Successfully Deleted: C:\WINDOWS\system32\mxdxmlc.dll
Deleting: C:\WINDOWS\system32\nwtlogon.dll
Successfully Deleted: C:\WINDOWS\system32\nwtlogon.dll
Deleting: C:\WINDOWS\system32\o666lgjs16o6.dll
Successfully Deleted: C:\WINDOWS\system32\o666lgjs16o6.dll
Deleting: C:\WINDOWS\system32\r06u0aj9edo.dll
Successfully Deleted: C:\WINDOWS\system32\r06u0aj9edo.dll
Deleting: C:\WINDOWS\system32\rhgwizc.dll
Successfully Deleted: C:\WINDOWS\system32\rhgwizc.dll
Deleting: C:\WINDOWS\system32\s8pu0i79e8.dll
Successfully Deleted: C:\WINDOWS\system32\s8pu0i79e8.dll
Deleting: C:\WINDOWS\system32\saofr.dll
Successfully Deleted: C:\WINDOWS\system32\saofr.dll
Deleting: C:\WINDOWS\system32\UmAudioNT.dll
Successfully Deleted: C:\WINDOWS\system32\UmAudioNT.dll
Deleting: C:\WINDOWS\system32\vprifier.dll
Successfully Deleted: C:\WINDOWS\system32\vprifier.dll
Deleting: C:\WINDOWS\system32\wppdxm.dll
Successfully Deleted: C:\WINDOWS\system32\wppdxm.dll
Deleting: C:\WINDOWS\system32\wspui.dll
Successfully Deleted: C:\WINDOWS\system32\wspui.dll
Deleting: C:\WINDOWS\system32\wyhnetbs.dll
Successfully Deleted: C:\WINDOWS\system32\wyhnetbs.dll

msg11?.dll
0 fichier(s) copi‚(s).



Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\iexplore]
"DllName"=hex(2):6d,00,66,00,6d,00,33,00,66,00,2e,00,64,00,6c,00,6c,00,00,00
"Startup"="expF4"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
@=""
"DLLName"="igfxsrvc.dll"
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000001
"Unlock"="WinlogonUnlockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ThemeManager]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\n0r2la9o1d.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WebCheck]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\l08mlal11dq.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwim32]
"Asynchronous"=dword:00000001
"DllName"="winwim32.dll"
"Impersonate"=dword:00000000
"Startup"="EvtStartup"
"Shutdown"="EvtShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************
C:\WINDOWS\system32\bwowser.dll
C:\WINDOWS\system32\dxscript.dll
C:\WINDOWS\system32\eks.dll
C:\WINDOWS\system32\fpno0353e.dll
C:\WINDOWS\system32\ieircl.dll
C:\WINDOWS\system32\ijgutil.dll
C:\WINDOWS\system32\ktlol7331.dll
C:\WINDOWS\system32\ktr0l79m1.dll
C:\WINDOWS\system32\mvpml9711.dll
C:\WINDOWS\system32\mxdxmlc.dll
C:\WINDOWS\system32\nwtlogon.dll
C:\WINDOWS\system32\o666lgjs16o6.dll
C:\WINDOWS\system32\r06u0aj9edo.dll
C:\WINDOWS\system32\rhgwizc.dll
C:\WINDOWS\system32\s8pu0i79e8.dll
C:\WINDOWS\system32\saofr.dll
C:\WINDOWS\system32\UmAudioNT.dll
C:\WINDOWS\system32\vprifier.dll
C:\WINDOWS\system32\wppdxm.dll
C:\WINDOWS\system32\wspui.dll
C:\WINDOWS\system32\wyhnetbs.dll

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{1FFD7D68-6325-4E2C-AEA9-DF2B4E8F9901}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{1FFD7D68-6325-4E2C-AEA9-DF2B4E8F9901}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{1FFD7D68-6325-4E2C-AEA9-DF2B4E8F9901}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{1FFD7D68-6325-4E2C-AEA9-DF2B4E8F9901}\InprocServer32]
@="C:\\WINDOWS\\system32\\ieircl.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{22B8CB7C-50EA-47E5-824B-17C4936548ED}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{22B8CB7C-50EA-47E5-824B-17C4936548ED}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{22B8CB7C-50EA-47E5-824B-17C4936548ED}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{22B8CB7C-50EA-47E5-824B-17C4936548ED}\InprocServer32]
@="C:\\WINDOWS\\system32\\ijgutil.dll"
"ThreadingModel"="Apartment"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{1FFD7D68-6325-4E2C-AEA9-DF2B4E8F9901}"=-
"{22B8CB7C-50EA-47E5-824B-17C4936548ED}"=-
[-HKEY_CLASSES_ROOT\CLSID\{1FFD7D68-6325-4E2C-AEA9-DF2B4E8F9901}]
[-HKEY_CLASSES_ROOT\CLSID\{22B8CB7C-50EA-47E5-824B-17C4936548ED}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************

****************************************************************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
adding: dlls/bwowser.dll (184 bytes security) (deflated 5%)
adding: dlls/dxscript.dll (184 bytes security) (deflated 5%)
adding: dlls/eks.dll (184 bytes security) (deflated 4%)
adding: dlls/fpno0353e.dll (184 bytes security) (deflated 4%)
adding: dlls/ieircl.dll (184 bytes security) (deflated 6%)
adding: dlls/ijgutil.dll (184 bytes security) (deflated 5%)
adding: dlls/ktlol7331.dll (184 bytes security) (deflated 5%)
adding: dlls/ktr0l79m1.dll (184 bytes security) (deflated 5%)
adding: dlls/mvpml9711.dll (184 bytes security) (deflated 5%)
adding: dlls/mxdxmlc.dll (184 bytes security) (deflated 5%)
adding: dlls/nwtlogon.dll (184 bytes security) (deflated 5%)
adding: dlls/o666lgjs16o6.dll (184 bytes security) (deflated 5%)
adding: dlls/r06u0aj9edo.dll (184 bytes security) (deflated 5%)
adding: dlls/rhgwizc.dll (184 bytes security) (deflated 5%)
adding: dlls/s8pu0i79e8.dll (184 bytes security) (deflated 5%)
adding: dlls/saofr.dll (184 bytes security) (deflated 5%)
adding: dlls/UmAudioNT.dll (184 bytes security) (deflated 5%)
adding: dlls/vprifier.dll (184 bytes security) (deflated 5%)
adding: dlls/wppdxm.dll (184 bytes security) (deflated 5%)
adding: dlls/wspui.dll (184 bytes security) (deflated 5%)
adding: dlls/wyhnetbs.dll (184 bytes security) (deflated 5%)
adding: backregs/1FFD7D68-6325-4E2C-AEA9-DF2B4E8F9901.reg (188 bytes security) (deflated 70%)
adding: backregs/22B8CB7C-50EA-47E5-824B-17C4936548ED.reg (188 bytes security) (deflated 70%)
adding: backregs/notibac.reg (184 bytes security) (deflated 88%)
adding: backregs/shell.reg (184 bytes security) (deflated 73%)



ensuite



---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 17:59:33, 20/05/2006
+ Somme de contrôle: 69286750

+ Résultats du scan:

HKLM\SOFTWARE\Classes\WinRes.WindowsResources -> Adware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\WinRes.WindowsResources\CLSID -> Adware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\WinRes.WindowsResources\CurVer -> Adware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\WinRes.WindowsResources.1 -> Adware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\WUSE.1 -> Adware.SaveNow : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Nettoyer et sauvegarder
HKU\S-1-5-21-747105574-1651772965-3495133677-1005\Software\CarpeDiemVars -> Dialer.Generic : Nettoyer et sauvegarder
HKU\S-1-5-21-747105574-1651772965-3495133677-1005\Software\CarpeDiemVars\Kit -> Dialer.Generic : Nettoyer et sauvegarder
HKU\S-1-5-21-747105574-1651772965-3495133677-1005\Software\CarpeDiemVars\Kit\UserId -> Dialer.Generic : Nettoyer et sauvegarder
HKU\S-1-5-21-747105574-1651772965-3495133677-1005\Software\CarpeDiemVars\Kit2 -> Dialer.Generic : Nettoyer et sauvegarder
HKU\S-1-5-21-747105574-1651772965-3495133677-1005\Software\CarpeDiemVars\Kit2\1427 -> Dialer.Generic : Nettoyer et sauvegarder
HKU\S-1-5-21-747105574-1651772965-3495133677-1005\Software\CarpeDiemVars\Kit2\1427\33 -> Dialer.Generic : Nettoyer et sauvegarder
HKU\S-1-5-21-747105574-1651772965-3495133677-1005\Software\CarpeDiemVars\Kit2\UserId -> Dialer.Generic : Nettoyer et sauvegarder
HKU\S-1-5-21-747105574-1651772965-3495133677-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6} -> Trojan.Small : Nettoyer et sauvegarder
[1108] C:\WINDOWS\system32\n0r2la9o1d.dll -> Adware.Look2Me : Erreur durant le nettoyage
[584] C:\WINDOWS\system32\serio600.dll -> Adware.Look2Me : Erreur durant le nettoyage
C:\Documents and Settings\petite fleur\Application Data\Starware -> Adware.Starware : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Application Data\Starware\Manager -> Adware.Starware : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Application Data\Starware\Manager\ManagerOptions.xml -> Adware.Starware : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Application Data\Starware\Manager\ManagerOptions.xml.backup -> Adware.Starware : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\Fichiers provisoires\mspassword.zip/mspass.exe -> Not-A-Virus.PSWTool.Win32.Messen.104 : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/bwowser.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/dxscript.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/eks.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/fpno0353e.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/ieircl.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/ijgutil.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/ktlol7331.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/ktr0l79m1.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/mvpml9711.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/mxdxmlc.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/nwtlogon.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/o666lgjs16o6.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/r06u0aj9edo.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/rhgwizc.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/s8pu0i79e8.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/saofr.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/UmAudioNT.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/vprifier.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/wppdxm.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/wspui.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\backup.zip/dlls/wyhnetbs.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\bwowser.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\dxscript.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\eks.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\fpno0353e.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\ieircl.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\ijgutil.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\ktlol7331.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\ktr0l79m1.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\mvpml9711.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\mxdxmlc.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\nwtlogon.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\o666lgjs16o6.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\r06u0aj9edo.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\rhgwizc.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\s8pu0i79e8.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\saofr.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\UmAudioNT.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\vprifier.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\wppdxm.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\wspui.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Bureau\l2mfix\dlls\wyhnetbs.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@adtech[2].txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@advertising[2].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@c.enhance[1].txt -> TrackingCookie.Enhance : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@casinopays[1].txt -> TrackingCookie.Casinopays : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@casinotropez[1].txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@clickbank[1].txt -> TrackingCookie.Clickbank : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@cpvfeed[1].txt -> TrackingCookie.Cpvfeed : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@crbanner.casinopays[2].txt -> TrackingCookie.Casinopays : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@estat[1].txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@install.bestoffersnetworks[1].txt -> TrackingCookie.Bestoffersnetworks : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@overture[2].txt -> TrackingCookie.Overture : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@project2.realtracker[1].txt -> TrackingCookie.Realtracker : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@promo.casinotropez[1].txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@revenue[1].txt -> TrackingCookie.Revenue : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@targetnet[2].txt -> TrackingCookie.Targetnet : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@trafficmp[1].txt -> TrackingCookie.Trafficmp : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@www.casinotropez[2].txt -> TrackingCookie.Casinotropez : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@www.myaffiliateprogram[1].txt -> TrackingCookie.Myaffiliateprogram : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Cookies\petite fleur@zedo[2].txt -> TrackingCookie.Zedo : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Local Settings\Temporary Internet Files\Content.IE5\ONGXSRMV\srvlkh[1].exe -> Dropper.Agent.ajc : Nettoyer et sauvegarder
C:\Documents and Settings\petite fleur\Local Settings\Temporary Internet Files\Content.IE5\QRODM92J\send_car_int[1].htm -> Not-A-Virus.Exploit.HTML.CodeBaseExec : Nettoyer et sauvegarder
C:\drsmartload45a.exe -> Downloader.Adload.bo : Nettoyer et sauvegarder
C:\drsmartload46a.exe -> Downloader.Adload.bo : Nettoyer et sauvegarder
C:\Installer.exe -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Program Files\180SearchAssistant -> Adware.180Solutions : Nettoyer et sauvegarder
C:\Program Files\180SearchAssistant\180SA -> Adware.180Solutions : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\uwrq\uwrqd\uwrqc.dll -> Adware.TargetServer : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\uwrq\uwrql.exe -> Downloader.TSUpdate.p : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\uwrq\uwrqp.exe -> Downloader.TSUpdate.f : Nettoyer et sauvegarder
C:\Program Files\Network Monitor\netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a : Nettoyer et sauvegarder
C:\Program Files\Save -> Adware.SaveNow : Nettoyer et sauvegarder
C:\Program Files\Save\ACM.dll -> Adware.SaveNow : Nettoyer et sauvegarder
C:\Program Files\Softwin\BitDefender Free Edition\Suspect\ac2_0010.exe -> Downloader.Small.cpu : Nettoyer et sauvegarder
C:\Program Files\Softwin\BitDefender Free Edition\Suspect\e9caf3de.exe -> Downloader.Tiny.bw : Nettoyer et sauvegarder
C:\Program Files\WhenUSearch -> Adware.SaveNow : Nettoyer et sauvegarder
C:\Program Files\WhenUSearch\search.dll -> Adware.SaveNow : Nettoyer et sauvegarder
C:\WHCC2.exe/whAgent.exe -> Adware.WebHancer : Nettoyer et sauvegarder
C:\WINDOWS\iconu.exe -> Adware.Zestyfind : Nettoyer et sauvegarder
C:\WINDOWS\MTE3NDI6ODoxNg.exe -> Downloader.Small.buy : Nettoyer et sauvegarder
C:\WINDOWS\stub_113_4_0_4_0.exe -> Downloader.TSUpdate.o : Nettoyer et sauvegarder
C:\WINDOWS\system32\e4202efmgh2a2.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\__delete_on_reboot__serio600.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\Temp\bw2.com -> Adware.Zestyfind : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl105.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl127.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl13.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl137.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl166.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl181.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl18D.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl1B2.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl1D6.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl1EF.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl21.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl210.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl22.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl22B.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl236.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl24D.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl26E.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl278.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl291.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl2A5.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl2A7.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl2AC.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl2B2.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl2B3.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl2B8.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl2DC.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl2E8.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl304.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl31.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl31A.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl32.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl329.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl32F.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl33F.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl343.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl3A.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl3B.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl3C.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl3E.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl3F.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl40.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl46.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl4B.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl62.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl6F.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl80.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl85.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl8A.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl9.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddl96.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddlB3.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddlB8.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddlC2.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddlC9.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddlCC.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddlCF.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddlD8.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddlE2.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddlE4.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddlE5.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddlEE.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\Temp\ddlF8.tmp.exe -> Dialer.Agent.z : Nettoyer et sauvegarder
C:\WINDOWS\winres.dll -> Downloader.IstBar.ff : Nettoyer et sauvegarder


::Fin du rapport

enfin


Logfile of HijackThis v1.99.1
Scan saved at 18:13:26, on 20/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\notepad.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiMfd.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\DOCUME~1\PETITE~1\APPLIC~1\STEM32~1\msconfig.exe
C:\Program Files\?ystem32\n?lookup.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\runservice.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\petite fleur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SOS Connexion - Le web en toute simplicité
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {4C9412FE-816C-A9C1-6451-F06A16DCD097} - C:\WINDOWS\System32\fap.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Program Files\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [w13f952b.dll] RUNDLL32.EXE w13f952b.dll,I2 000e5609013f952b
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [e9caf3de.exe] C:\WINDOWS\System32\e9caf3de.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [Cccs] "C:\DOCUME~1\PETITE~1\APPLIC~1\STEM32~1\msconfig.exe" -vt yax
O4 - HKCU\..\Run: [uwrq] C:\PROGRA~1\FICHIE~1\uwrq\uwrqm.exe
O4 - HKCU\..\Run: [Zlox] C:\Program Files\?ystem32\n?lookup.exe
O4 - HKCU\..\Run: [e9caf3de.exe] C:\Documents and Settings\petite fleur\Local Settings\Application Data\e9caf3de.exe
O4 - Global Startup: Logiciel de la Souris Labtec 2.0.lnk = C:\Program Files\Labtec\Wireless Mouse\MulMouse.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZZ
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate- Activex Control) - https://www.songtexte.de
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {EB6D7E70-AAA9-40D9-BA05-F214089F2275} - http://www.clickteam.com/vitalize3/vitalize.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by108fd.bay108.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - AppInit_DLLs: pavwait.dll
O20 - Winlogon Notify: iexplore - mfm3f.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: nCN - C:\WINDOWS\system32\n0r2la9o1d.dll
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\l08mlal11dq.dll (file missing)
O20 - Winlogon Notify: winwim32 - winwim32.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cGV0aXRlIGZsZXVy\command.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: hpdj7700 - Unknown owner - C:\DOCUME~1\PETITE~1\LOCALS~1\Temp\hpdj7700.exe (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: Mouse Button Monitor (mousebm) - Unknown owner - C:\WINDOWS\System32\mousebm.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

voili voilou..merci encore pour votre precieuse aide.

et..a bientot pour de nouvelles aventures !!
(petitefleur : marche au radar)
Messages postés
8080
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
9 juillet 2006
341
hello vs 2

just pour suivre l'évolution du combat, qui ne semble pas fini
Bonjour,

J'aimerais connaitre un peu plus de choses sur ce qui t infectes:

Rend toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html
Clik sur parcourir
Recherche ceci :
C:\DOCUMENT AND SETTING\PETITEFLEUR\APPLICATION\STEM32~\msconfig.exe
Clik send et colle le rapport stp

Et de meme avec ceci:
C:\PROGRA~1\FICHIE~1\uwrq\uwrqm.exe
C:\Program Files\?ystem32\n?lookup.exe
C:\Documents and Settings\petite fleur\Local Settings\Application Data\e9caf3de.exe
C:\DOCUME~1\PETITE~1\LOCALS~1\Temp\hpdj7700.exe
C:\WINDOWS\System32\mousebm.exe

A+

re !
voici les rapports dans l'ordre dans lequel tu les a demandés...


STATUS: FINISHEDComplete scanning result of "__1109", received in VirusTotal at 05.20.2006, 23:01:50 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.20.2006 no virus found
Avast 4.6.695.0 05.19.2006 no virus found
AVG 386 05.19.2006 no virus found
BitDefender 7.2 05.20.2006 no virus found
CAT-QuickHeal 8.00 05.20.2006 no virus found
ClamAV devel-20060426 05.20.2006 no virus found
DrWeb 4.33 05.20.2006 Trojan.PurityAd
eTrust-InoculateIT 23.72.13 05.20.2006 Win32/Clspring.Variant!Trojan
eTrust-Vet 12.4.2219 05.20.2006 no virus found
Ewido 3.5 05.20.2006 no virus found
Fortinet 2.77.0.0 05.20.2006 Adware/MediaTickets.W
F-Prot 3.16c 05.20.2006 no virus found
Ikarus 0.2.65.0 05.19.2006 no virus found
Kaspersky 4.0.2.24 05.20.2006 no virus found
McAfee 4766 05.19.2006 Downloader-EV
Microsoft 1.1440 05.20.2006 no virus found
NOD32v2 1.1550 05.20.2006 Win32/Adware.MediaTickets
Norman 5.90.17 05.19.2006 no virus found
Panda 9.0.0.4 05.20.2006 no virus found
Sophos 4.05.0 05.20.2006 no virus found
Symantec 8.0 05.20.2006 no virus found
TheHacker 5.9.8.145 05.19.2006 Posible_Worm32
UNA 1.83 05.18.2006 no virus found
VBA32 3.11.0 05.20.2006 suspected of Backdoor.Rbot.2 (paranoid heuristics)


Aditional Information
File size: 71168 bytes
MD5: c6853905a4af42d6feb2995ec05c2665

STATUS: FINISHEDComplete scanning result of "uwrqm.lck", received in VirusTotal at 05.20.2006, 23:11:34 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.20.2006 no virus found
Avast 4.6.695.0 05.19.2006 no virus found
AVG 386 05.19.2006 no virus found
BitDefender 7.2 05.20.2006 no virus found
CAT-QuickHeal 8.00 05.20.2006 no virus found
ClamAV devel-20060426 05.20.2006 no virus found
DrWeb 4.33 05.20.2006 no virus found
eTrust-InoculateIT 23.72.13 05.20.2006 no virus found
eTrust-Vet 12.4.2219 05.20.2006 no virus found
Ewido 3.5 05.20.2006 no virus found
Fortinet 2.77.0.0 05.20.2006 no virus found
F-Prot 3.16c 05.20.2006 no virus found
Ikarus 0.2.65.0 05.19.2006 no virus found
Kaspersky 4.0.2.24 05.20.2006 no virus found
McAfee 4766 05.19.2006 no virus found
Microsoft 1.1440 05.20.2006 no virus found
NOD32v2 1.1550 05.20.2006 no virus found
Norman 5.90.17 05.19.2006 no virus found
Panda 9.0.0.4 05.20.2006 no virus found
Sophos 4.05.0 05.20.2006 no virus found
Symantec 8.0 05.20.2006 no virus found
TheHacker 5.9.8.145 05.19.2006 no virus found
UNA 1.83 05.18.2006 no virus found
VBA32 3.11.0 05.20.2006 no virus found


Aditional Information
File size: 0 bytes
1 2