Infecté par command.exe entre autres ...Fermé

Question

Salut à tous.
J'ai été infecté par command.exe cette semaine, j'ai suivi la marche à suivre trouvée sur ce forum mais les pubs arrivent toujours en permanence sur internet et dès que je passe spybot, il me trouve toujours des méchants programmes (dont smitfraud-C.Toolbar888, BlueStreak, ErrorSafe, Winsoftware.WinAntivirusPro2006, Winsoftware et Tradedoubler par exemple) qu'il va "corriger" et retrouver' dès que je le relance.

J'utilise Antivir, j'ai fait un scan et delete tous ce qui a été détecter mais j'ai toujours ces pubs sur le net et ces problèmes sur spybot.

Je vous post le rapport Hijack :





Logfile of HijackThis v1.99.1
Scan saved at 10:13:30, on 11/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
E:\Winamp\winampa.exe
E:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Winamp\winamp.exe
C:\WINDOWS\Explorer.EXE
E:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] e:\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HyperappelPL2003] e:\Petit Larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] e:\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CanalPlayer] D:\Mat\Logiciels et Drivers\Nero\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Age of Pirates Caribbean Tales
O4 - HKLM\..\Run: [Windows Services] "C:\Program Files\svchosts.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools] "e:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ACTX1] C:\WINDOWS\v1201.exe
O4 - HKLM\..\Run: [vesd281d] RUNDLL32.EXE w154a580.dll,n 006d28170000000a154a580
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [windows] C:\windows_e52.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: MCD - C:\WINDOWS\system32\e0jmla111d.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)







merci d'avance pour votre aide.
Mat.

Regis59 · Answer

Salut

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

A+

Mat Da Cat · Answer

Voici le rapport SmifraudFix :





SmitFraudFix v2.120

Rapport fait à 17:07:38,45, 11/11/2006
Executé à partir de D:\Mat\Logiciels et Drivers\S‚curit‚ anti virus spywares\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles






»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MAT


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

HKLM\SOFTWARE\PSGuard.com PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="dxclib303562752.dll"


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

pe386 détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



C'est cool de m'aider.
Merci.

Séb08 · Answer

slt,

Pour avancer ...

* Redémarres le PC en mode sans échec : Au démarrage tu tapotes sur la touche F8 de ton clavier (ou F5 ) et tu choisis le [mode sans échec] 

* Ouvre le dossier [SmitfraudFix] et double clic sur Smitfraudfix.cmd, choisit l’option 2 et tu réponds oui à tout. 

Copie/colle le rapport sur le forum stp.


ensuite redémarre en mode normal.

Télécharge l2mfix : 
http://www.downloads.subratam.org/l2mfix.exe

Quitter le net, le navigateur, et toutes autres fenêtres d’applications.

Double clic sur l2mfix.exe pour lancer l'extraction. 
Dans le dossier l2mfix, double clic sur  l2mfix.bat, appuie sur n'importe quelle touche puis choisis l'option #1 (et pas autre chose) et valide avec la touche [Entrée]. 
Le bloc note va s'ouvrir avec le résultat du scan. 
Copie/colle le rapport sur le forum stp. 

a+

Regis59 · Answer

Salut seb,

Un coriace apparemment, detecte ici: 

pe386 détecté, utilisez un scanner de Rootkit 

A+

Séb08 · Answer

slt quentin,

Ouais on va voir ça .. ;-)

A+

Qc001 · Answer

Salut vous trois,

Y a un nouvel outil pour pe386. Tout frais.

J'attends la suite avec Look2Me, et je prépare le tout.

@+

Regis59 · Answer

Salut Mark,

Je viens de demander a Malekal s'il avait un soft a tester mais si tu en as un, c est parfait :-)

Merci

A+

Qc001 · Answer

lol..

Je devrai poster "là-bas" ;-)

Y a beaucoup de trucs dans ce log-ci (Deluxe Communications/SSK, DollarRevenue, Look2Me, PSGuard et ce terrible rootkit). Ça risque de nécessiter quelques outils et quelques posts..:-)

green day · Answer

up !

Coucou la compagnie !

 je l'attendais celui-là !

 j'attends avec impatience de voir le nouvel outil ;-))

++

Mat Da Cat · Answer

Au fait quand je redémare l'ordi me dit "erreur w154a580.dll fichier introuvable" je sais pas si ça peut sevir. Sinon quand je lance l'option 2 de Smitfraudfix, j'ai un écran noir et rien. On me demande pas de mettre oui ou non à des trucs !! Est ce normal ou pas --> j'opte pour le pas !! Donc je redémare sans qu'on m'ai demander des trucs (ou je devrai mettre oui) et je fais le scan avec I2mfix qui donne ce rapport : L2MFIX find log 051206 These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] "DLLName"="Ati2evxx.dll" "Asynchronous"=dword:00000000 "Impersonate"=dword:00000001 "Lock"="AtiLockEvent" "Logoff"="AtiLogoffEvent" "Logon"="AtiLogonEvent" "Disconnect"="AtiDisConnectEvent" "Reconnect"="AtiReConnectEvent" "Safe"=dword:00000000 "Shutdown"="AtiShutdownEvent" "StartScreenSaver"="AtiStartScreenSaverEvent" "StartShell"="AtiStartShellEvent" "Startup"="AtiStartupEvent" "StopScreenSaver"="AtiStopScreenSaverEvent" "Unlock"="AtiUnLockEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Hints] "Asynchronous"=dword:00000000 "DllName"="C:\WINDOWS\system32\hrp8057ue.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify ermsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] "Logon"="WLEventLogon" "Logoff"="WLEventLogoff" "Startup"="WLEventStartup" "Shutdown"="WLEventShutdown" "StartScreenSaver"="WLEventStartScreenSaver" "StopScreenSaver"="WLEventStopScreenSaver" "Lock"="WLEventLock" "Unlock"="WLEventUnlock" "StartShell"="WLEventStartShell" "PostShell"="WLEventPostShell" "Disconnect"="WLEventDisconnect" "Reconnect"="WLEventReconnect" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000000 "SafeMode"=dword:00000001 "MaxWait"=dword:ffffffff "DllName"=hex(2):57,00,67,00,61,00,4c,00,6f,00,67,00,6f,00,6e,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Event"=dword:00000000 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\Settings] "Data"=hex:01,00,00,00,d0,8c,9d,df,01,15,d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,\ 00,00,e0,4e,80,c0,38,74,cb,48,a6,09,54,4a,1a,89,da,47,04,00,00,00,04,00,00,\ 00,53,00,00,00,03,66,00,00,a8,00,00,00,10,00,00,00,4e,ce,77,cd,79,97,57,bf,\ d0,d2,cf,9d,ca,1e,ab,b1,00,00,00,00,04,80,00,00,a0,00,00,00,10,00,00,00,51,\ 12,c2,ae,a1,9a,3c,17,90,41,a8,81,b0,18,5b,17,b0,01,00,00,42,5f,78,a8,8c,df,\ 0d,f1,64,30,3f,8b,67,8b,ab,a1,2c,a1,65,56,71,e9,36,6f,c5,f2,0d,22,1c,3c,96,\ c1,0e,0c,23,66,b1,4a,bd,f7,ca,89,67,4a,d1,9f,56,85,a7,dc,de,0c,d5,b3,04,66,\ 8b,de,23,02,d3,23,7a,94,2d,99,f3,1f,67,73,d6,ba,d1,b2,bd,d7,07,c4,79,b5,97,\ 22,68,49,15,b1,bc,3d,bb,34,a2,67,94,4a,45,70,32,be,8a,13,23,35,14,d5,6f,90,\ 53,4b,65,f6,00,11,2c,64,c1,4d,fc,65,a0,7c,8e,06,3f,0e,8d,60,40,a6,4e,95,8c,\ 45,2a,fa,00,dd,05,47,ca,0e,3d,8c,12,c0,a5,d0,f3,57,e5,a8,a3,11,f2,0b,c6,1e,\ cb,2b,6d,3e,d8,4a,19,5b,3d,69,98,db,c4,dc,8b,1b,3d,82,b7,be,a4,34,94,f1,18,\ 6d,e1,a9,9b,7d,15,4a,22,ac,68,f6,c5,ed,90,7e,f1,00,27,cd,b4,fa,05,cc,be,d5,\ f8,54,a6,d6,dd,c5,99,76,82,9c,85,a9,9a,41,a3,6b,f6,a9,1e,04,e2,2f,22,32,f6,\ 6a,04,35,48,1a,60,5f,c9,5a,72,f8,e1,47,63,5e,b7,a5,d9,cd,05,98,e8,b7,51,15,\ 98,e3,4b,ec,88,e8,fc,1d,98,50,3b,79,e2,06,59,d4,75,9e,44,b9,b4,f9,4b,a8,26,\ 28,f2,3f,79,f3,60,38,9b,b4,5a,37,55,0c,25,ed,5f,67,be,4b,a5,fc,32,88,d1,8a,\ 2e,51,b0,89,83,25,ea,02,5f,ca,06,33,05,ef,91,e5,5e,58,71,95,4b,09,73,28,90,\ ce,16,e3,65,51,2d,e1,db,96,08,62,81,8b,81,d2,61,a0,88,97,63,71,5c,3d,92,89,\ d0,75,24,07,81,64,7b,3e,9d,d9,39,6d,65,a0,7b,93,8f,af,24,ea,bf,c4,fd,c9,b2,\ 36,c5,20,d3,31,ea,40,17,64,8b,db,ad,d3,70,55,10,61,aa,69,e8,f3,ae,d3,a2,7c,\ c6,61,a4,3f,07,9b,db,ce,85,c5,3b,a7,62,83,e5,f0,aa,76,51,91,16,34,7c,f4,71,\ da,14,00,00,00,8c,cc,ce,9d,56,18,36,b0,28,e6,dd,95,1f,f7,a8,b8,d5,82,57,4e [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "{B3A8EEE6-C258-4027-9B6E-EBEA4763D12B}"="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{00022613-0000-0000-C000-000000000046}"="Feuille de propri‚t‚s du fichier multim‚dia" "{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM" "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de s‚curit‚ NTFS" "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des propri‚t‚s de OLE DocFile" "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'environnement pour le partage" "{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension" "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration" "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration" "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration" "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de s‚curit‚ DS" "{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Page de compatibilit‚" "{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement" "{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette" "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows" "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'‚cran ICM" "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM" "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'environnement de compression de fichiers" "{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension de l'environnement d'imprimante Web" "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI" "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage" "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents" "{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extension ic“ne HyperTerminal" "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts" "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC" "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de s‚curit‚ des imprimantes" "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'environnement pour le partage" "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign" "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions r‚seau" "{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connexions r‚seau" "{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Scanneurs et appareils photo" "{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Scanneurs et appareils photo" "{905667aa-acd6-11d2-8080-00805f6596d2}"="&Scanneurs et appareils photo" "{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Scanneurs et appareils photo" "{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Scanneurs et appareils photo" "{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension" "{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension" "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows" "{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Liaison de donn‚es Microsoft" "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler" "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension" "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tƒches planifi‚es" "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barre des tƒches et menu D‚marrer" "{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Rechercher" "{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support" "{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support" "{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ex‚cuter..." "{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet" "{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Courrier ‚lectronique" "{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Polices" "{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Outils d'administration" "{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler" "{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler" "{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler" "{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler" "{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler" "{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor" "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft" "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du t‚l‚chargement" "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau ‚tendu" "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment‚" "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy" "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft" "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche" "{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band" "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet int‚gr‚ de recherche" "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web" "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre" "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse" "{A08C11D2-A228-11d0-825B-00AA005B4383}"="BoŒte d'entr‚e de l'adresse" "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft" "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor" "{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU" "{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU" "{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible" "{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrŠs auto-ouvrante" "{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses" "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft" "{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft" "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft" "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes" "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp" "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau" "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite" "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur" "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="ParamŠtres du dossier global" "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band" "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service" "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer" "{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut" "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service" "{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique" "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook" "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de d‚marrage de la Suite IE4" "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook" "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC" "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC" "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet" "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space" "{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band" "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache" "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr" "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription" "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent" "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent" "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent" "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent" "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent" "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler" "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'applications d'environnement" "{0B124F8F-91F0-11D1-B8B5-006008059382}"="num‚rateur d'applications install‚es" "{CFCCC7A0-A282-11D1-9082-006008059382}"="Publication d'application Darwin" "{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs" "{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory" "{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extracteur de miniatures de fichier + GDI" "{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)" "{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extracteur de miniatures HTML" "{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler" "{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Assistant Publication de sites Web" "{add36aa8-751a-4579-a266-d66f5202ccbb}"="Commande d'impressions via le Web" "{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objet Assistant de publication Shell" "{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Assistant Obtenir une identit‚ Passport" "{7A9D77BD-5403-11d2-8785-2E0420524153}"="Comptes d'utilisateurs" "{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler" "{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target" "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chaŒne" "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chaŒne" "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object" "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu" "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties" "{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview" "{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext" "{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control" "{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control" "{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control" "{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control" "{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control" "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI" "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object" "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find" "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find" "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI" "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs" "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook" "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target" "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties" "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu" "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options" "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion" "{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler" "{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell" "{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%" "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler" "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer" "{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..." "{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler" "{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler" "{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler" "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player" "{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults" "{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page" "{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions" "{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder" "{FED7043D-346A-414D-ACD7-550D052499A7}"="dBpowerAMP Music Converter 1" "{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}"="dBpowerAMP Music Converter" "{e57ce731-33e8-4c51-8354-bb4de9d215d1}"="P‚riph‚riques Plug and Play universels" "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Dossiers Web" "{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler" "{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler" "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"="aý Context Menu Shell Extension" "{21569614-B795-46b1-85F4-E737A8DC09AD}"="Shell Search Band" "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"="Shell Extension for Malware scanning" "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension" "{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices" "{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu" "{760DF003-E172-4419-BC31-F0F35DB53C6F}"="" "{EF35E4F2-B6C1-43FC-AA84-EBE79FCDCC4F}"="" ********************************************************************************** HKEY ROOT CLASSIDS: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{760DF003-E172-4419-BC31-F0F35DB53C6F}] @="" "IDEx"="ADDR" [HKEY_CLASSES_ROOT\CLSID\{760DF003-E172-4419-BC31-F0F35DB53C6F}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{760DF003-E172-4419-BC31-F0F35DB53C6F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{760DF003-E172-4419-BC31-F0F35DB53C6F}\InprocServer32] @="C:\WINDOWS\system32\mtg4c32.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{EF35E4F2-B6C1-43FC-AA84-EBE79FCDCC4F}] @="" [HKEY_CLASSES_ROOT\CLSID\{EF35E4F2-B6C1-43FC-AA84-EBE79FCDCC4F}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{EF35E4F2-B6C1-43FC-AA84-EBE79FCDCC4F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{EF35E4F2-B6C1-43FC-AA84-EBE79FCDCC4F}\InprocServer32] @="C:\WINDOWS\system32\WD5inf16.dll" "ThreadingModel"="Apartment" ********************************************************************************** Files Found are not all bad files: C:\WINDOWS\SYSTEM32\ shdocvw.dll Mon 4 Sep 2006 8:14:50 A.... 1 497 088 1,43 M fltlib.dll Mon 21 Aug 2006 14:26:16 A.... 16 896 16,50 K ndmsapi.dll Wed 8 Nov 2006 19:04:52 ..S.R 236 305 230,77 K comctl32.dll Fri 25 Aug 2006 17:51:14 A.... 617 472 603,00 K 6to4svc.dll Wed 16 Aug 2006 13:59:28 A.... 100 352 98,00 K ilxmontr.dll Wed 8 Nov 2006 22:24:40 ..S.R 234 006 228,52 K msxml3.dll Wed 13 Sep 2006 7:03:06 A.... 1 084 416 1,03 M skrenacm.dll Wed 8 Nov 2006 22:09:32 ..S.R 234 461 228,96 K btowseui.dll Sat 11 Nov 2006 11:42:26 ..S.R 234 249 228,76 K ahkctrs.dll Thu 9 Nov 2006 0:07:26 ..S.R 234 006 228,52 K hrp805~1.dll Sat 11 Nov 2006 22:53:28 ..S.R 234 249 228,76 K dxclib~1.dll Wed 8 Nov 2006 14:00:52 A.... 96 768 94,50 K wd5inf16.dll Sat 11 Nov 2006 22:58:40 ..S.R 234 249 228,76 K p4p60e~1.dll Thu 9 Nov 2006 13:52:14 ..S.R 235 790 230,26 K r86uli~1.dll Thu 9 Nov 2006 14:09:32 ..S.R 237 084 231,53 K i024la~1.dll Sat 11 Nov 2006 22:57:56 ..S.R 236 033 230,50 K 16 items found: 16 files (10 H/S), 0 directories. Total of file sizes: 5 763 424 bytes 5,50 M Locate .tmp files: No matches found. ********************************************************************************** Directory Listing of system files: Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 2B1B-1302 R‚pertoire de C:\WINDOWS\System32 11/11/2006 22:58 234ÿ249 WD5inf16.dll 11/11/2006 22:57 236ÿ033 i024lafq1d2e.dll 11/11/2006 22:53 234ÿ249 hrp8057ue.dll 11/11/2006 11:42 234ÿ249 btowseui.dll 09/11/2006 14:09 237ÿ084 r86ulij918o.dll 09/11/2006 13:52 235ÿ790 p4p60e7seh.dll 09/11/2006 00:07 234ÿ006 ahkctrs.dll 08/11/2006 22:24 234ÿ006 ilxmontr.dll 08/11/2006 22:09 234ÿ461 skrenacm.dll 08/11/2006 19:04 236ÿ305 ndmsapi.dll 23/06/2006 13:25 668ÿ672 wininet.dll 02/11/2004 11:06 Microsoft 02/11/2004 10:48 dllcache 11 fichier(s) 3ÿ019ÿ104 octets 2 R‚p(s) 1ÿ084ÿ440ÿ576 octets libres Voila. Encore merci les gars.

Qc001 · Answer

Salut Mat Da Cat :-)

On va attaquer ce rootkit, et ensuite on virera les autres bestioles, dont Look2Me.
-----------------

Télécharge ce fichier (par ejvindh)
http://www.uploads.ejvindh.net/rustbfix.exe
...et sauvegarde-le sur ton Bureau.

Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

Bon succès ;-)

Séb08 · Answer

Merci Mark  ;-)

green day · Answer

merki ;-))

 buenas noches !

afideg · Answer

Bonsoir à tous,

Belle entraide.

Merci à Mat Da Cat pour sa complicité, et d'accepter ainsi cette méthode de recherce de la solution la plus adéquate. 
Bravo pour cette participation.

Sincèrement
Al.

afideg · Answer

Bonjour Mat Da Cat
Salut à tous,

Je reste sur ma faim ici:

< 10 > Mat Da Cat (11/11/2006 à 23:02) 
Sinon quand je lance l'option 2 de Smitfraudfix, j'ai un écran noir et rien. On me demande pas de mettre oui ou non à des trucs !! 

J'aurais aimé avoir la "suite" à cette Option2.
Dommage.


SVP, commence par:
Relance SmitfraudFix option1 en mode normal SVP; et si tu vois des lignes sur lesquelles il y a écrit " PRESENT ", fais l'option2 en MODE SANS ECHEC.

Si des questions sont posées, en cours d'option2, dis lesquelles ;
Merci

PS: Si ça ne va pas ( et même si ça réussit - poste alors le rapport - ), passe tout de suite au # 11 de Qc001
Merci

Mat Da Cat · Answer

Alors dans l'ordre :

1) Pour afideg :
Quand on choisit l'option 2 de Smitfraudfix, doit on attendre un petit moment ? J'attends environ 30 s et rien (ecran noir avec juste marqué windows mode sans échec).
Je dois attendre plus longtemps ou quoi ?


2)Pour Qc001, j'arrive pas à récupérer rustbfix, quand je clique sur ton lien , je vais sur la page http://www.uploads.ejvindh.net mais de suite je suis redirigé vers une page http://search.dxcdirect.com ce problème viendrait il de moi ?
Si oui, voici mon mail où tu peux m'envoyer rustbfix si tu l'as.
           ZalCrew@caramail.com

Merci à vous deux et aux autres et ve la France (bon OK, là je m'emballe)

afideg · Answer

Re, Pour SmitfraudFix, tu as toutes les explications sur le tuto . < http://siri.urz.free.fr/Fix/SmitfraudFix.php > Regarde si tu trouves une astuce, qui expliquerait ce souci. ( par exemple : répondre OUI puis ENTREE pour débloquer le fond d'écran ... ) En effet, tu écrivais ceci: « < 10 > Mat Da Cat (11/11/2006 à 23:02) Sinon quand je lance l'option 2 de Smitfraudfix, j'ai un écran noir et rien. On me demande pas de mettre oui ou non à des trucs !! »

afideg · Answer

Bonjour Qc001

Et chez moi, le lien n'est pas actif
Même en scindant l'URL
Même par copier/coller dans la barre d'adresse du navigateur

à+..

Lyonnais92 · Answer

Bonjour,

Il semble que le lien refonctionne depuis 11h48.

http://www.uploads.ejvindh.net/rustbfix.exe

Bonne suite.

afideg · Answer

OK Lyonnais

Je venais juste de l'avoir au même instant.

Bon dimanche à toi

Aujourd'hui, je surveille de près Justine Henin contre une française lol .

;)

Mat Da Cat · Answer

Alors pour Smitfraudfix, option 2, il me marque "fichier introuvable" 3 fois, puis ca passe en écran noir.

Pour rustbfix, je l'ai récupéré et après 2 redémarage, il me donne ce rapport :


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dgwhklbp

*******************

Script file located at: \??\C:\WINDOWS\wndlthch.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program D:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished!  Terminate.



et l'autre rapport pelog :





Examine the Avenger-logfile in order to assess the success of the unload-procedure

Rustock.b-ADS attached to the System32-folder:


******************* Post-run Status of system *******************

Rustock.b-driver on the system: 




Voila.

Regis59 · Answer

Salut Mat Da Cat;

Pourrait on avoir un nouvel HijackThis s'il te plait?

Merci

A+

Qc001 · Answer

Bon Dimanche tout le monde :-)

Vu le décalage horaire, me voilà enfin !

rustbfix semble avoir bien bossé avec ce rootkit. On verra avec ce prochain scan.
-----------------------------

Note pour afideg : SmitfraudFix peut être passé en mode Normal (option #2), mais on va faire d'autres manips avant.
-----------------------------

Mat Da Cat : voici ce que j'aimerais que tu fasses maintenant :

Télécharge Combofix.exe (par sUBs) sur ton Bureau:
http://download.bleepingcomputer.com/sUBs/combofix.exe

* Double clique combofix.exe et suis les invites.

* Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse avec un nouveau rapport HijackThis!

@+

Qc001 · Answer

J'oubliais...

Mat Da Cat : un des deux rapports que tu as postés (de rustbfix) est incomplet. Après la manip de ComboFix, pourrais-tu ouvrir le fichier texte situé ici :

C:\rustbfix\pelog.txt

..puis Copie/colle son contenu ici.
------------------------------

Donc voici pour les rapports demandés :

1) ComboFix
2) Nouveau HijackThis!
3) Rapport pelog.txt

Merci ;-)

afideg · Answer

Qc001

« Note pour afideg : SmitfraudFix peut être passé en mode Normal (option #2), »

Merci; c'est noté pour l'option 2 
Comme tu t'en es aperçu, je m'étais focalisé sur ceci « < 10 > Mat Da Cat (11/11/2006 à 23:02) 
Sinon quand je lance l'option 2 de Smitfraudfix, j'ai un écran noir et rien. On me demande pas de mettre oui ou non à des trucs !! » 

Merci

Qc001 · Answer

Salut afideg ;-)

Oui, j'avais remarqué également. Avec un rootkit du genre pe386, je préfère attaquer celui-ci avant de faire autre chose, et la raison est bien simple : si on ne vire pas cette bête, les autres manips sont inutiles. Plusieurs ont dû (formater) avec celui-là, donc la venue de ce nouveau tool est bien appréciée. Si tout va bien, ComboFix va virer Look2Me, Deluxe Communications, Command Service et DollarRevenue. Attendons donc les prochains logs :-)

@+

afideg · Answer

C'est bon.
;)

Mat Da Cat · Answer

Alors Combofix ça fait rien !!
Sinon, voici le nouveau scan hijachthis :



Logfile of HijackThis v1.99.1
Scan saved at 21:41:44, on 12/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
E:\Winamp\winampa.exe
E:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] e:\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HyperappelPL2003] e:\Petit Larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] e:\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CanalPlayer] D:\Mat\Logiciels et Drivers\Nero\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Age of Pirates Caribbean Tales
O4 - HKLM\..\Run: [Windows Services] "C:\Program Files\svchosts.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools] "e:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ACTX1] C:\WINDOWS\v1201.exe
O4 - HKLM\..\Run: [vesd281d] RUNDLL32.EXE w154a580.dll,n 006d28170000000a154a580
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [windows] C:\windows_e52.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\hr4q05h5e.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)





et le pelog que je viens de retrouver :


************************* Rustock.b-fix -- By ejvindh *************************
12/11/2006 21:39:01,75


No Rustock.b-rootkits found


******************************* End of Logfile ********************************


Voila

Qc001 · Answer

Salut,

Que se passe-t-il avec ComboFix ?

Tu peux réessayer s'il te plaît ?

Sinon dis-moi ce qui ne vas pas, et on ajustera :-)

@+

Mat Da Cat · Answer

Quand je le lance, il y a une fenêtre de type DOS qui s'ouvre et qui disparait de suite, j'ai pas le temps de voir ce qu'il y a marqué.


Après une super ruse avec Impr Ecran, j'arrive à voir ce qu'il met :
"   'C:\DOCUME~1\MAT' n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes.
Le chemin d'accès spécifié est introuvable.   "

Encore voila !!!!

Qc001 · Answer

Merci !!

Cette dernière explication me donne une bonne piste !

Ton nom de compte utilisateur semble incompatible avec ces outils ; trop de caractères ou bien des espaces dedans...

Essaie ceci : va dans le panneau de config >> "Comptes d'utilisateurs", et modifie/renomme ton compte principal en quelque chose de simple... juste des lettres et pas d'espaces. Redémarre la bécane. Essaie ComboFix à nouveau :-)

@+

Mat Da Cat · Answer

J'ai fait comme tu m'as dit, j'ai renommé mon compte en "nous", mais toujours le même problème.

Sinon, quand je vais dans C:\Documents and Settings, mon dossier utilisateur est toujours avec l'ancien nom "Mat & Kti" ça peut venir de là, mais quand je veut le renommer il veut pas !!

Sur ce  Qc001, je te laisse, je vais dormir.
On continue ça demain.
Merci mec.

Qc001 · Answer

Ok..

J'ai fait quelques recherches, et tu as raison ; renommer le compte de cette façon ne modifie pas tout. Pour modifier un profil à 100%, il faut le faire via un autre compte, et ensuite modifier des trucs dans la base de registre. Trop complexe et pas nécessaire dans notre cas. Y a une autre façon toute simple : créé un nouveau compte. Si tu as déjà un autre compte utilisateur de type "Administrateur" qui affiche un nom simple et sans espaces, tu pourras utiliser celui-là (fais l'étape #1 et ensuite la #3)

#1 Renomme ton compte exactement en ce qu'il était (Mat & Kti), avec espaces et tout. Redémarre l'ordi.

#2 Retourne dans le panneau de config >> "Comptes d'utilisateurs" >> et créé un nouveau compte (type "Administrateur"). Nomme-le nous si tu veux. **Si jamais XP refuse ce nom, choisis-en un autre.
Si tu veux exporter tes "Favoris" d'Internet Explorer vers le nouveau compte, tu devras faire ceci :
- Lance Internet Explorer (du compte "Mat & Kti")
- Du menu "Fichier", clique "Importer et exporter..."
- De la fenêtre de l'Assistant, clique "Suivant"
- Choisis "Exporter les favoris" et clique "Suivant"
- Le dossier "Favoris" devrait être sélectionné >> clique "Suivant"
- Dans la nouvelle fenêtre, clique "Parcourir..." et navigue vers :

C:\Documents and Settings\Mat & Kti\Bureau

- Clique sur "Enregistrer". Le fichier se nomme bookmark.htm et se trouve sur le Bureau.
- Nous pourrons l'importer à partir du nouveau compte (plus tard).

#3 Redémarre à nouveau. Au redémarrage, tu verras l'écran avec choix de comptes : choisis le nouveau.

Tu pourras faire les manips à partir de ce nouveau compte, et le supprimer à la toute fin si tu veux.

** Si tu veux importer tes Favoris dans IE :
- Lance IE
- Menu "Fichier" >> "Importer et exporter..." puis "Suivant"
- Choisis "Importer les Favoris", puis "Suivant"
- Clique "Parcourir...", puis navigue vers :

C:\Documents and Settings\Mat & Kti\Bureau\bookmark.htm
(la navigation peut sembler complexe ici, car tu dois double cliquer "Disque local (C:)", puis "Documents and Settings", puis "Mat & Kti", puis "Bureau" et finalement "bookmark.htm").
==================

Tu peux également importer les outils dont tu auras besoin, du Bureau où ils se trouvent vers le Bureau du nouveau compte ; passe par l'Explorateur Windows et fais "Copier/coller" entre les Bureaux. Ou bien tu les télécharges à nouveau (ComboFix, rustbfix et SmitfraudFix).

Pour HijackThis!, tu peux tout simplement te créer un raccourci vers le Bureau. Retrouve l'outil sur le E:, puis fais un clic droit dessus >> "Envoyer vers" >> "Bureau (créer un raccourci)"
==================

Maintenant, tu peux repasser ComboFix (suis les manips du post #23).

Bon succès :-)

Mat Da Cat · Answer

Alors voila le rapport de Combofix :



nous - 06-11-13  7:37:10,87    Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Documents and Settings
ous\Bureau"

(((((((((((((((((((((((((((((((((((((((((((((   Look2Me's Log   ))))))))))))))))))))))))))))))))))))))))))))))))))
 
REGISTRY ENTRIES REMOVED:

[HKEY_CLASSES_ROOT\clsid\{760DF003-E172-4419-BC31-F0F35DB53C6F}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\clsid\{760DF003-E172-4419-BC31-F0F35DB53C6F}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{760DF003-E172-4419-BC31-F0F35DB53C6F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{760DF003-E172-4419-BC31-F0F35DB53C6F}\InprocServer32]
@="C:\WINDOWS\system32\mtg4c32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{EF35E4F2-B6C1-43FC-AA84-EBE79FCDCC4F}]
@=""

[HKEY_CLASSES_ROOT\clsid\{EF35E4F2-B6C1-43FC-AA84-EBE79FCDCC4F}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{EF35E4F2-B6C1-43FC-AA84-EBE79FCDCC4F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{EF35E4F2-B6C1-43FC-AA84-EBE79FCDCC4F}\InprocServer32]
@="C:\WINDOWS\system32\euentprf.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{C0CA4051-001E-45FD-A5E7-9C647A988887}]
@=""

[HKEY_CLASSES_ROOT\clsid\{C0CA4051-001E-45FD-A5E7-9C647A988887}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{C0CA4051-001E-45FD-A5E7-9C647A988887}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{C0CA4051-001E-45FD-A5E7-9C647A988887}\InprocServer32]
@="C:\WINDOWS\system32\pymas.dll"
"ThreadingModel"="Apartment"
 
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


FILES REMOVED:

C:\WINDOWS\system32
dmsapi.dll
C:\WINDOWS\system32\ilxmontr.dll
C:\WINDOWS\system32\skrenacm.dll
C:\WINDOWS\system32\btowseui.dll
C:\WINDOWS\system32\ahkctrs.dll
C:\WINDOWS\system32\pccn20.dll
C:\WINDOWS\system32\pymas.dll
C:\WINDOWS\system32\p4p60e7seh.dll
C:\WINDOWS\system3286ulij918o.dll
C:\WINDOWS\system32\mvrsl9971.dll
C:\WINDOWS\system32\l6j8lg1u16.dll


 Granting sedebugprivilege to Administrateurs   ... successful


(((((((((((((((((((((((((((((((((((((((((((   E-Give / Ssk's Log   )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\dxclib303562752.dll
C:\Documents and Settings\Mat & Kti\Application Data\Dxcuknwrd.dll
C:\Documents and Settings\Mat & Kti\Application Data\Dxccwrd.dll
C:\Documents and Settings\Mat & Kti\Application Data\Dxcknwrd.dll
C:\Documents and Settings
ous\Application Data\Dxcknwrd.dll
C:\Documents and Settings
ous\Application Data\Dxcuknwrd.dll
C:\Documents and Settings
ous\Application Data\Dxcdmns.dll
C:\Program Files\DeluxeCommunications\DxcBho.dll
C:\Program Files\DeluxeCommunications\DxcCore.dll


* * *  POST RUN FILES/FOLDERS  * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


C:\WINDOWS\system32\dxclib303562752.dll
C:\Program Files\DeluxeCommunications\DxcCore.dll
((((((((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
 

C:\Program Files\Deskbar

 
(((((((((((((((((((((((((((((((   Files Created from 2006-10-13 to 2006-11-13  ))))))))))))))))))))))))))))))))))
 
 
2006-11-12	12:12	16	--a------	C:\chdir.bat
2006-11-11	23:04	73,728	--a------	C:\WINDOWS\system32\pv.exe
2006-11-11	23:04	39,184	--a------	C:\WINDOWS\system32\Ntrights.exe
2006-11-11	23:04	175,616	--a------	C:\WINDOWS\system32\strings.exe
2006-11-11	23:04	16,384	--a------	C:\WINDOWS\system32estart.exe
2006-11-11	23:04	126,976	--a------	C:\WINDOWS\system32\zip.exe
2006-11-11	23:04	11,254	--a------	C:\WINDOWS\system32\locate.com
2006-11-11	22:55	53,248	--a------	C:\WINDOWS\system32\Process.exe
2006-11-11	22:55	40,960	--a------	C:\WINDOWS\system32\swsc.exe
2006-11-11	22:55	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2006-11-11	22:55	135,168	--a------	C:\WINDOWS\system32\swreg.exe
2006-11-09	12:10	4,910	--a------	C:\WINDOWS\system32	mp.reg
2006-11-08	14:00	96,768	---------	C:\WINDOWS\system32\dxclib303562752.dll
2006-11-08	14:00	9,353	--a------	C:\WINDOWS\userinit.exe
2006-11-08	14:00	68,412	--a------	C:\WINDOWS\system32\lzx32.sys
2006-11-08	14:00	1,259	--a------	C:\WINDOWS\system32\vesd281d.sys
2006-11-04	10:41	96,256	--a------	C:\WINDOWS\system32\drivers\sptddrv1.sys


((((((((((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))	


2006-11-13 07:29	--------	d--------	C:\Documents and Settings
ous\Application Data\Macromedia
2006-11-08 14:00	--------	d--------	C:\Program Files\DeluxeCommunications
2006-11-04 10:41	611064	--a------	C:\WINDOWS\system32\drivers\sptd.sys
2006-11-01 21:42	737280	--a------	C:\WINDOWS\iun6002.exe
2006-09-13 07:03	1084416	--a------	C:\WINDOWS\system32\msxml3.dll
2006-08-27 16:38	1015973	-rahs----	C:\Program Files\serial.tde
2006-08-25 17:51	617472	--a------	C:\WINDOWS\system32\comctl32.dll
2006-08-21 14:26	16896	--a------	C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14	23040	--a------	C:\WINDOWS\system32\fltmc.exe
2006-08-16 13:59	100352	--a------	C:\WINDOWS\system32\6to4svc.dll
 
 
((((((((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))
 
*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun]
"Disk Monitor"="C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe"
"SunJavaUpdateSched"="\"C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe\""
"adiras"="adiras.exe"
"WINDVDPatch"="CTHELPER.EXE"
"UpdReg"="C:\WINDOWS\UpdReg.EXE"
"Jet Detection"="e:\Creative\SBLive\PROGRAM\ADGJDet.exe"
"IntelliType"="\"C:\Program Files\Microsoft Hardware\Keyboard\type32.exe\""
"POINTER"="point32.exe"
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"HyperappelPL2003"="e:\Petit Larousse 2004\bin\HiPL2002popup.exe"
"TkBellExe"="\"realsched.exe\"  -osboot"
"QuickTime Task"="\"C:\WINDOWS\system32\qttask.exe\" -atboottime"
"Profiler"="C:\Program Files\Saitek\Software\Profiler.exe"
"SaiSmart"="C:\Program Files\Saitek\Software\SaiSmart.exe"
"EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 \"EPSON Stylus DX4200 Series\" /O6 \"USB001\" /M \"Stylus DX4200\""
"avgnt"="\"C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe\" /min"
"WinampAgent"="e:\Winamp\winampa.exe"
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe"
"CanalPlayer"="D:\Mat\Logiciels et Drivers\Nero\CanalPlayer.exe /iconic"
"I downloaded pirated Software from P2P"="Age of Pirates Caribbean Tales"
"Windows Services"="\"C:\Program Files\svchosts.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
  65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"DAEMON Tools"="\"e:\DAEMON Tools\daemon.exe\" -lang 1033"
"ACTX1"="C:\WINDOWS\v1201.exe"
"vesd281d"="RUNDLL32.EXE w154a580.dll,n 006d28170000000a154a580"
"windows"="C:\\windows_e52.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,42,03,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
  ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,12,03,00,00,23,00,00,00,dc,00,00,00,d2,00,\
  00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversionun]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE"
"userinit.exe"="C:\WINDOWS\userinit.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversionun]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE"
"userinit.exe"="C:\WINDOWS\userinit.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorerun]
"wininet.dll"=""

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]	
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

 
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS	asks\At1.job
C:\WINDOWS	asks\At2.job
C:\WINDOWS	asks\At3.job
C:\WINDOWS	asks\At4.job

Completion time: 06-11-13  7:40:54.15 
C:\ComboFix.txt ... 06-11-13 07:40





et le nouveau Hijack : 


Logfile of HijackThis v1.99.1
Scan saved at 07:43:48, on 13/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
E:\Winamp\winampa.exe
E:\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings
ous\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] e:\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HyperappelPL2003] e:\Petit Larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] e:\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CanalPlayer] D:\Mat\Logiciels et Drivers\Nero\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Age of Pirates Caribbean Tales
O4 - HKLM\..\Run: [Windows Services] "C:\Program Files\svchosts.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools] "e:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ACTX1] C:\WINDOWS\v1201.exe
O4 - HKLM\..\Run: [vesd281d] RUNDLL32.EXE w154a580.dll,n 006d28170000000a154a580
O4 - HKLM\..\Run: [windows] C:\windows_e52.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)




Je vais bosser mais je sui de retour vers 11H.
On va l'avoir cette saleté !!

Qc001 · Answer

Bonsoir Mat Da Cat,

Excellent travail avec le compte et ensuite ComboFix :-)

Il reste des trucs à virer, alors voici la suite :
======================

Télécharge KillBox (par Option^Explicit) de ce lien:
http://www.downloads.subratam.org/KillBox.exe

- Sauvegarde-le sur ton Bureau, mais ne le lance pas tout de suite.
---------------------------------

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

* Télécharge le Brute Force Uninstaller (de Merijn) sur ton Bureau , à partir de ce lien :
http://www.merijn.org/files/bfu.zip

* Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
----------------

* Fais un clic droit sur le lien suivant :
http://metallica.geekstogo.com/alcanshorty.bfu

..et choisis "Enregistrer la cible sous..." afin de télécharger alcanshorty.BFU (de Metallica).

* Sauvegarde-le dans le dossier créé (C:\BFU).
Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champ "Type :" affiche "Tous les fichiers"
Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : alcanshorty.BFU et BFU.exe (**très important**).

* Ne le lance pas tout de suite.
------------------------------------

- Lance Killbox.exe
- Choisis l'option "Replace on reboot"
- Coche la case "Use Dummy"
- Copie/colle la ligne suivante dans la boîte "Full Path of File to Delete":

C:\WINDOWS\system32\dxclib303562752.dll

- Clique sur le bouton Kill (cercle rouge avec croix blanche).
- Accepte l'invite "File will be replaced on reboot... Reboot now?"
- Si l'outil donne une erreur ou ne redémarre pas après quelques instants, redémarre comme à l'habitude via le bouton "Démarrer".

** Au redémarrage, tapote rapidement la touche F8 afin de redémarrer en mode Sans Échec : tu verras un écran avec choix de démarrages, donc choisis "Mode sans échec" avec les flèches du clavier et valide avec [Entrée]. Clique "Ok" à l'avertissement, puis choisis ton compte utilisateur courant (celui d'où tu fais les manips).
----------------

* Du mode Sans Échec, démarre le "Brute Force Uninstaller" en double cliquant BFU.exe (du dossier C:\BFU)

* Clique sur le petit dossier jaune qui se trouve à droite de la boîte "Scriptline to execute", puis choisis c:\bfu\alcanshorty.bfu en le double cliquant

* Clique sur "Execute" et laisse l'outil faire son travail.

* Attendre que "Complete script execution" apparaîsse et clique sur "OK".

* Clique "Exit" pour fermer le programme BFU.
==========================================================

Redémarre l'ordi en mode Normal.

Scanne avec HijackThis!, sauvegarde le rapport puis poste-le ici s'il te plaît.

Si problèmes ou questions, n'hésite pas !

@+

Mat Da Cat · Answer

Alors après avoir procédé comme tu m'as dit voila le rapport HijackThis :


Logfile of HijackThis v1.99.1
Scan saved at 22:59:22, on 13/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
E:\Winamp\winampa.exe
E:\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
E:\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] e:\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HyperappelPL2003] e:\Petit Larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] e:\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CanalPlayer] D:\Mat\Logiciels et Drivers\Nero\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Age of Pirates Caribbean Tales
O4 - HKLM\..\Run: [Windows Services] "C:\Program Files\svchosts.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools] "e:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [vesd281d] RUNDLL32.EXE w154a580.dll,n 006d28170000000a154a580
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)




Au fait, deux questions:
    1) Si j'ai fait les manips depuis le nouveau compte que j'ai créé (cf<33>) ça change rien ?
    2) Quand j'ai redémarer là, j'ai eu plein de messages me disant 
"L'application ou la DLL (pleindetrucsdifférents).dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation", normal ou pas normal ?

Mat Da Cat · Answer

Au fait Qc001, je sais pas comment te renvoyer l'ascenseur.
J'en sais rien, je suis prof de maths en CFA avec des BAC Pro, je suppose, vu ton niveau en info, que tu dois pas avoir besoin de soutien en maths, mais si je peux aider ...

Qc001 · Answer

Pas de soucis... ça me fait toujours plaisir d'aider ;-) Pour ce qui est des comptes : je préférerais que tu utilises le compte "nous" d'ici la fin, juste pour faciliter la tâche aux outils. Bob Ok, on fait un peu de ménage afin d'y voir un peu plus clair ! =========== Afin de voir tous les fichiers/dossiers cachés : * Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. * Double-clique sur le "Poste de Travail" * Du menu "Outils", clique Options des dossiers... * De la nouvelle fenêtre, choisis l'onglet Affichage * Sous "Fichiers et dossiers", coche la case Afficher le contenu des dossiers système * Sous "Fichiers et dossiers cachés", clique le bouton Afficher les fichiers et dossiers cachés * Décoche la case Masquer les extensions des fichiers dont le type est connu * Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. --------------------------------------------- Télécharge ATF-Cleaner (par Atribune) de ce lien : http://www.atribune.org/ccount/click.php?id=1 - Sauvegarde-le sur ton Bureau. Ne le lance pas tout de suite. ------------------------------------ Imprime ces instructions, ou colle-les dans un fichier texte pour lecture en mode Sans Échec : Redémarre en mode Sans Échec. - Clique sur "Démarrer" >> "Exécuter..." >> tape cmd puis clique "Ok" - Dans la fenêtre DOS, tape chacune des commandes ci-bas en validant avec [Entrée] après chacune : ~~~~~~~~~~~~~ sc stop MsaSvc [Entrée] sc delete MsaSvc [Entrée] exit [Entrée] ~~~~~~~~~~~~~ Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes: ~~~~~~~~~~~~~~~~~~~ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file) O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Age of Pirates Caribbean Tales O4 - HKLM\..\Run: [Windows Services] "C:\Program Files\svchosts.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [vesd281d] RUNDLL32.EXE w154a580.dll,n 006d28170000000a154a580 O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe O20 - AppInit_DLLs: dxclib303562752.dll ~~~~~~~~~~~~~~~~~~~~ Clique "Fix checked". Ferme HijackThis! ----------------------------------------------------- Toujours en Sans Échec ; via l'Explorateur Windows, recherche puis supprime ces fichiers/dossier, si trouvés (possible que plusieurs n'y soient plus): C:\WINDOWS\system32\dxclib303562752.dll C:\WINDOWS\system32 mp.reg C:\WINDOWS\system32\lzx32.sys C:\WINDOWS\system32\vesd281d.sys C:\Program Files\svchosts.exe C:\Program Files\DeluxeCommunications << le dossier en entier ** Si tu reçois des erreurs lors de tentatives de suppression, prends-en note et poursuis les manips. Quitte l'Explorateur Windows. ----------------------------------- Lance ATF-Cleaner.exe - Coche "Select All" - Clique "Empty Selected" - Une invite apparaîtra >> clique "Ok" - Clique "Exit" -------------------- Redémarre en mode Normal. Scanne avec HijackThis!, sauvegarde le rapport puis poste-le ici s'il te plait... Ça avance :-) @+

Mat Da Cat · Answer

Alors voici le dernier scan HijackThis : 


Logfile of HijackThis v1.99.1
Scan saved at 07:37:24, on 14/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
E:\Winamp\winampa.exe
E:\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings
ous\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] e:\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HyperappelPL2003] e:\Petit Larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] e:\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CanalPlayer] D:\Mat\Logiciels et Drivers\Nero\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [DAEMON Tools] "e:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)





Sinon, dans les lignes que tu m'as demandé  de cocher dans HijackThis, ces 2 n'y étaiebt pas :

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file) 


O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe

Qc001 · Answer

Wow...

J'aime beaucoup :-)

Tu as fait du bon boulot à nouveau ! Ok, on va te passer AVG-Antispyware, puis ComboFix à nouveau, juste pour voir s'il reste des trucs à virer.
----------------------------

Pour AVG-Antispyware, je te réfère au tuto d'un collègue (Merci Malekal_morte !) :
http://www.malekal.com/tutorial_AVG_AntiSpyware.html

- Installe-le, ajuste les paramètres selon le tuto, puis lance un scan en mode Sans Échec.

- Sauvegarde le rapport généré.

- Redémarre en mode Normal.

- Passe ComboFix à nouveau.

- Poste les rapports de ComboFix et d'AVG-Antispyware

Et dis-nous comment se comporte ton ordi ;-)

@+

Mat Da Cat · Answer

AVG Anti-Spyware me donne ce rapport :


---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	09:02:27 15/11/2006

 + Résultat de l'analyse:	



C:\WINDOWS\TWF0ICYgS3Rp\asappsrv.dll -> Adware.CommAd : Aucune action entreprise.
HKU\.DEFAULT\Software\DeluxeCommunications -> Adware.DeluxeCommunications : Aucune action entreprise.
HKU\.DEFAULT\Software\DeluxeCommunications\Internet Explorer -> Adware.DeluxeCommunications : Aucune action entreprise.
HKU\S-1-5-18\Software\DeluxeCommunications -> Adware.DeluxeCommunications : Aucune action entreprise.
HKU\S-1-5-18\Software\DeluxeCommunications\Internet Explorer -> Adware.DeluxeCommunications : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112684.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112693.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112697.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112707.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112711.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112725.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112729.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112739.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112744.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112784.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112788.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP785\A0112860.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP785\A0112867.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP785\A0112871.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP785\A0112903.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP785\A0112907.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP785\A0113906.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0114906.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0114963.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0114967.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0114983.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0114987.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0115033.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0115038.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0115042.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP791\A0115054.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP791\A0115058.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115077.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115082.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115086.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115093.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115097.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115100.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115104.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115157.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115161.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115253.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115255.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115269.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115270.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115280.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115281.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115290.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115291.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115301.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115302.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115375.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115376.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115377.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115378.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115379.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115380.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115381.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115382.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115383.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115384.dll -> Adware.Look2Me : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115385.dll -> Adware.Look2Me : Aucune action entreprise.
HKLM\SOFTWARE\PSGuard.com -> Adware.PSGuard : Aucune action entreprise.
HKLM\SOFTWARE\PSGuard.com\PSGuard -> Adware.PSGuard : Aucune action entreprise.
HKLM\SOFTWARE\PSGuard.com\PSGuard\P.S.Guard -> Adware.PSGuard : Aucune action entreprise.
HKLM\SOFTWARE\PSGuard.com\PSGuard\P.S.Guard\License -> Adware.PSGuard : Aucune action entreprise.
D:\System Volume Information\_restore{5D85A2D9-B3CE-4B46-95D2-2FDCDABE4DDD}\RP103\A0021453.exe -> Adware.Ramdud : Aucune action entreprise.
C:\Program Files\Save -> Adware.SaveNow : Aucune action entreprise.
HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Aucune action entreprise.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A8B28872-3324-4CD2-8AA3-7D555C872D96} -> Adware.Softomate : Aucune action entreprise.
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A8B28872-3324-4CD2-8AA3-7D555C872D96} -> Adware.Softomate : Aucune action entreprise.
C:\!KillBox\dxclib303562752.dll -> Adware.SurfSide : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115358.dll -> Adware.SurfSide : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115607.dll -> Adware.SurfSide : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP794\A0115649.dll -> Adware.SurfSide : Aucune action entreprise.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112704.exe -> Adware.Zestyfind : Aucune action entreprise.
C:\Program Files\ComPlus Applications	eledis.html -> Hijacker.Small.jf : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Cookies\mat & kti@247realmedia[2].txt -> TrackingCookie.247realmedia : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@247realmedia[1].txt -> TrackingCookie.247realmedia : Aucune action entreprise.
C:\Documents and Settings
ous\Cookies
ous@247realmedia[2].txt -> TrackingCookie.247realmedia : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Cookies\mat & kti@sfr.122.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@heavycom.122.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Cookies\mat & kti@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings
ous\Cookies
ous@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\WINDOWS\system32\config\systemprofile\Cookies\system@casalemedia[2].txt -> TrackingCookie.Casalemedia : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@cpvfeed[1].txt -> TrackingCookie.Cpvfeed : Aucune action entreprise.
C:\Documents and Settings
ous\Cookies
ous@doubleclick[2].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Cookies\mat & kti@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Cookies\mat & kti@as1.falkag[2].txt -> TrackingCookie.Falkag : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@as1.falkag[2].txt -> TrackingCookie.Falkag : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@questionmarket[1].txt -> TrackingCookie.Questionmarket : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Aucune action entreprise.
C:\WINDOWS\system32\config\systemprofile\Cookies\system@revenue[1].txt -> TrackingCookie.Revenue : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@edge.ru4[1].txt -> TrackingCookie.Ru4 : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Cookies\mat & kti@serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Cookies\mat & kti@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@statcounter[1].txt -> TrackingCookie.Statcounter : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Cookies\mat & kti@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
C:\WINDOWS\system32\config\systemprofile\Cookies\system@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Cookies\mat & kti@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@weborama[1].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.


Fin du rapport





et ComboFix celui-là :



nous - 06-11-15  9:06:36,21    Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Documents and Settings
ous\Bureau"

(((((((((((((((((((((((((((((((   Files Created from 2006-10-15 to 2006-11-15  ))))))))))))))))))))))))))))))))))
 
 
2006-11-14	22:44	3,968	--a------	C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-11-12	12:12	16	--a------	C:\chdir.bat
2006-11-11	23:04	73,728	--a------	C:\WINDOWS\system32\pv.exe
2006-11-11	23:04	39,184	--a------	C:\WINDOWS\system32\Ntrights.exe
2006-11-11	23:04	175,616	--a------	C:\WINDOWS\system32\strings.exe
2006-11-11	23:04	16,384	--a------	C:\WINDOWS\system32estart.exe
2006-11-11	23:04	126,976	--a------	C:\WINDOWS\system32\zip.exe
2006-11-11	23:04	11,254	--a------	C:\WINDOWS\system32\locate.com
2006-11-11	22:55	53,248	--a------	C:\WINDOWS\system32\Process.exe
2006-11-11	22:55	40,960	--a------	C:\WINDOWS\system32\swsc.exe
2006-11-11	22:55	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2006-11-11	22:55	135,168	--a------	C:\WINDOWS\system32\swreg.exe
2006-11-08	14:00	9,353	--a------	C:\WINDOWS\userinit.exe
2006-11-04	10:41	96,256	--a------	C:\WINDOWS\system32\drivers\sptddrv1.sys


((((((((((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))	


2006-11-14 23:00	--------	d--------	C:\Documents and Settings
ous\Application Data\BSplayer Pro
2006-11-13 07:29	--------	d--------	C:\Documents and Settings
ous\Application Data\Macromedia
2006-11-04 10:41	611064	--a------	C:\WINDOWS\system32\drivers\sptd.sys
2006-11-01 21:42	737280	--a------	C:\WINDOWS\iun6002.exe
2006-09-13 07:03	1084416	--a------	C:\WINDOWS\system32\msxml3.dll
2006-08-27 16:38	1015973	-rahs----	C:\Program Files\serial.tde
2006-08-25 17:51	617472	--a------	C:\WINDOWS\system32\comctl32.dll
2006-08-21 14:26	16896	--a------	C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14	23040	--a------	C:\WINDOWS\system32\fltmc.exe
2006-08-16 13:59	100352	--a------	C:\WINDOWS\system32\6to4svc.dll
 
 
((((((((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))
 
*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun]
"Disk Monitor"="C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe"
"SunJavaUpdateSched"="\"C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe\""
"adiras"="adiras.exe"
"WINDVDPatch"="CTHELPER.EXE"
"UpdReg"="C:\WINDOWS\UpdReg.EXE"
"Jet Detection"="e:\Creative\SBLive\PROGRAM\ADGJDet.exe"
"IntelliType"="\"C:\Program Files\Microsoft Hardware\Keyboard\type32.exe\""
"POINTER"="point32.exe"
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"HyperappelPL2003"="e:\Petit Larousse 2004\bin\HiPL2002popup.exe"
"TkBellExe"="\"realsched.exe\"  -osboot"
"QuickTime Task"="\"C:\WINDOWS\system32\qttask.exe\" -atboottime"
"Profiler"="C:\Program Files\Saitek\Software\Profiler.exe"
"SaiSmart"="C:\Program Files\Saitek\Software\SaiSmart.exe"
"EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 \"EPSON Stylus DX4200 Series\" /O6 \"USB001\" /M \"Stylus DX4200\""
"avgnt"="\"C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe\" /min"
"WinampAgent"="e:\Winamp\winampa.exe"
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe"
"CanalPlayer"="D:\Mat\Logiciels et Drivers\Nero\CanalPlayer.exe /iconic"
"DAEMON Tools"="\"e:\DAEMON Tools\daemon.exe\" -lang 1033"
"!AVG Anti-Spyware"="\"C:\Documents and Settings\nous\Bureau\AVG Anti-Spyware 7.5\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,42,03,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
  ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,b9,00,00,00,7c,00,00,00,72,00,\
  00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversionun]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE"
"userinit.exe"="C:\WINDOWS\userinit.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversionun]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE"
"userinit.exe"="C:\WINDOWS\userinit.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorerun]
"wininet.dll"=""

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]	
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

 
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS	asks\At1.job
C:\WINDOWS	asks\At2.job
C:\WINDOWS	asks\At3.job
C:\WINDOWS	asks\At4.job

Completion time: 06-11-15  9:08:00.07 
C:\ComboFix2.txt ... 06-11-13 07:40
C:\ComboFix.txt ... 06-11-15 09:08




Sinon ma machine se comporte normalement, plus de fenêtres qui s'ouvrent tout le temps, plud de message "L'application ou la DLL (pleindetrucsdifférents).dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation" quand j'ouvre une application ni de "Erreur de chargement w15a580.dll Le module spécifié est introuvable" au démarage.

Ca roule (a priori).

green day · Answer

Salut à tous

 Aucune action entreprise. 

 refais le scan avec avg et supprime ce qui te trouve !

cf tuto :

http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

comme dirait Qc001 : bon succé !

Qc001 · Answer

Coucou Green Day, et Merci ;-)

Me revoilà Mat Da Cat ;

Green Day a raison pour AVG-Antispyware. On va reprendre en sans échec, mais j'ai deux autres trucs à te faire faire ;

Je réalise que tu n'as pas passé SmitfraudFix avec l'option #2, tel que demandé au post #3. Pas grave. On va mettre l'outil à jour avant de le faire tourner :

- Lance Smitfraudfix.cmd (du dossier SmitfraudFix)
- Choisis l'option #4 (Mise à jour)
- Reviens au menu principal
- Choisis "Q" pour quitter lorsque terminé
------------------------------------------------------
Imprime, ou colle ces instructions dans un fichier texte, pour lecture en sans échec.

Redémarre en Sans Échec :

De l'Explorateur Windows, supprime ce fichier (si présent) :

C:\Program Files\serial.tde

Ferme L'Explorateur.

- Lance SmitfraudFix en double cliquant Smitfraudfix.cmd et choisis l'option #2.
- Réponds "Oui" aux invites
- Un rapport sera généré et sauvegardé ici : C:\Rapport.txt

Lance ATF-Cleaner.exe :
- Coche "Select All"
- Clique "Empty Selected"
- Clique "Exit"

Toujours en Sans Échec, lance AVG-Antispyware :
- Fais une "Analyse complète du système"
- Lorsque terminé, clique "Appliquer toutes les actions"
- Ensuite, clique "Enregistrer le rapport". Sauvegarde-le sur ton Bureau.
-------------------------------

Redémarre en mode Normal.

Poste les rapports de SmitfraudFix, d'AVG-Antispyware ainsi qu'un nouveau log HijackThis!, ici sur le forum.

On y est presque, alors courage ;-)

green day · Answer

'Lu Qc

 pas d'quoi ;-)

@+

Mat Da Cat · Answer

Alors voila les rapports dans l'ordre :



1) SmiFraudFix:

SmitFraudFix v2.122

Rapport fait à 19:44:37,70, 16/11/2006
Executé à partir de D:\Mat\Logiciels et Drivers\S‚curit‚ anti virus spywares\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
HKLM\SOFTWARE\PSGuard.com supprimé
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin




2) Puis AVG-Antispyware:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	07:43:06 17/11/2006

 + Résultat de l'analyse:	



C:\WINDOWS\TWF0ICYgS3Rp\asappsrv.dll -> Adware.CommAd : Nettoyé et sauvegardé (mise en quarantaine).
HKU\.DEFAULT\Software\DeluxeCommunications -> Adware.DeluxeCommunications : Nettoyé et sauvegardé (mise en quarantaine).
HKU\.DEFAULT\Software\DeluxeCommunications\Internet Explorer -> Adware.DeluxeCommunications : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-18\Software\DeluxeCommunications -> Adware.DeluxeCommunications : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-18\Software\DeluxeCommunications\Internet Explorer -> Adware.DeluxeCommunications : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112684.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112693.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112697.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112707.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112711.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112725.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112729.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112739.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112744.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112784.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112788.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP785\A0112860.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP785\A0112867.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP785\A0112871.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP785\A0112903.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP785\A0112907.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP785\A0113906.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0114906.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0114963.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0114967.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0114983.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0114987.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0115033.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0115038.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP790\A0115042.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP791\A0115054.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP791\A0115058.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115077.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115082.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115086.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115093.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115097.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115100.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115104.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115157.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP792\A0115161.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115253.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115255.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115269.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115270.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115280.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115281.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115290.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115291.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115301.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115302.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115375.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115376.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115377.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115378.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115379.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115380.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115381.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115382.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115383.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115384.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115385.dll -> Adware.Look2Me : Nettoyé et sauvegardé (mise en quarantaine).
D:\System Volume Information\_restore{5D85A2D9-B3CE-4B46-95D2-2FDCDABE4DDD}\RP103\A0021453.exe -> Adware.Ramdud : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Save -> Adware.SaveNow : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Nettoyé et sauvegardé (mise en quarantaine).
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A8B28872-3324-4CD2-8AA3-7D555C872D96} -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A8B28872-3324-4CD2-8AA3-7D555C872D96} -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).
C:\!KillBox\dxclib303562752.dll -> Adware.SurfSide : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115358.dll -> Adware.SurfSide : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP793\A0115607.dll -> Adware.SurfSide : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP794\A0115649.dll -> Adware.SurfSide : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP784\A0112704.exe -> Adware.Zestyfind : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP794\A0115647.sys -> Hijacker.Costrat.q : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\ComPlus Applications	eledis.html -> Hijacker.Small.jf : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@heavycom.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\WINDOWS\system32\config\systemprofile\Cookies\system@casalemedia[2].txt -> TrackingCookie.Casalemedia : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@cpvfeed[1].txt -> TrackingCookie.Cpvfeed : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@as1.falkag[2].txt -> TrackingCookie.Falkag : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@questionmarket[1].txt -> TrackingCookie.Questionmarket : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyé.
C:\WINDOWS\system32\config\systemprofile\Cookies\system@revenue[1].txt -> TrackingCookie.Revenue : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@edge.ru4[1].txt -> TrackingCookie.Ru4 : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Mat & Kti\Cookies\mat & kti@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\WINDOWS\system32\config\systemprofile\Cookies\system@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyé.
C:\Documents and Settings\Mat & Kti\Cookies\mat & kti@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Mat & Kti\Local Settings\Temp\Cookies\mat & kti@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\System Volume Information\_restore{0F703EC3-EDC3-47BA-BF0A-3C5DE6A9A272}\RP795\A0115772.exe -> Trojan.Pakes : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport




3) Enfin HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 07:59:11, on 17/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Documents and Settings
ous\Bureau\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
E:\Winamp\winampa.exe
E:\DAEMON Tools\daemon.exe
C:\Documents and Settings
ous\Bureau\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings
ous\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] e:\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HyperappelPL2003] e:\Petit Larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] e:\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CanalPlayer] D:\Mat\Logiciels et Drivers\Nero\CanalPlayer.exe /iconic
O4 - HKLM\..\Run: [DAEMON Tools] "e:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Documents and Settings
ous\Bureau\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin
pjpi150_09.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.virustraq.com/img/scan_virus/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Documents and Settings
ous\Bureau\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)






Attends la suite ...

afideg · Answer

Coucou,

Au cas où, in AVG , pour supprimer au lieu de mettre en quarantaine,  et polluer ce qui s'y trouve déjà :


- Sur la page "Analyse", tu choisis d'abord l'onglet "Paramètres" > « Comment réagir »
-  clic sur « Action recommandées » et dans le menu déroulant, choisir « Supprimer » 


Al
;)

Qc001 · Answer

Salut Al ;-)

Pour AVG-Antispy, je péfère la "Quarantaine". Disons que c'est une vieille habitude, au cas où le prog déciderait de bouffer un fichier légitime. C'est également ce que recommandent mes mentors ;-)
-------------------------------

Mat Da Cat (Salut !) : je ne t'ai point oublié !!

Tout me semble en règle :-))

Dis-moi comment elle tourne la bécane, et si tu as toujours des soucis.

Je reviens ce weekend pour te faire un ménage, incluant la restauration et beaucoup de ces progs que je t'ai fait utiliser.

C'est un rendez-vous..

À bientôt..

Mat Da Cat · Answer

Ben écoute l'ordi a l'air de bien tourner.
Quant au ménage, dis moi quoi faire.

Infecté par command.exe entre autres ...

48 réponses

Discussions similaires

Newsletters