Spyware 2search??? liens googles modifiés ...
gu1gui
Messages postés
31
Statut
Membre
-
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité -
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité -
Bonjour,
Mon pc portable est "surement" infecté par un virus / spyware ...
Suite à la lecture de cette article : https://www.silicon.fr/
les symptones de mon pc sont tres ressemblant.. Lors d'une recherche mes liens de googles sont modifiés et quand je clique sur un lien, je suis dirigé sur des sites bizarres...
Après une recherche sur le forum, je suis tombé sur ce topic :
http://www.commentcamarche.net/forum/affich 9914530 problemes liens google rediriges ie6
car pareil de mon coté, impossible de lancer spybot, ad aware ne detecte rien, et plein d'autre logiciel que j'ai installé ne detecte rien...
Je précise, que c'est le pc portable de mon travail, dessus est installé le logiciel 'virus scan' et le pare feu windows est actif. De mon coté, j'ai acces à un mode administrateur, mais par contre je ne peux pas désactiver l antivirus et le parefeu.
J'ai suivi la conversation de comment ca marche, et j'ai lancé 'combofix'. Je viens vers des experts, pour vous donner le compte rendu, sur le site officiel il est indiqué :
"Nous vous conseillons fortement d'envoyer quand même votre rapport dans le sujet où vous recevez de l'aide car il reste très probablement des résidus d'infections que votre assistant doit encore analyser."
Merci d'avance pour votre aide !
Combofix.txt :
ComboFix 09-01-21.04 - w2k234ad 2009-01-23 15:11:27.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1033.18.2038.1571 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrator\Desktop\an.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\winnt\system32\drivers\TDSSpxfe.sys
c:\winnt\system32\TDSSakod.log
c:\winnt\system32\TDSSdxgp.dll
c:\winnt\system32\TDSSihys.log
c:\winnt\system32\TDSSkrxx.dll
c:\winnt\system32\TDSSmtpe.dat
c:\winnt\system32\TDSSnmxh.log
c:\winnt\system32\TDSSnpur.dll
c:\winnt\system32\TDSSoitu.dll
c:\winnt\system32\TDSSsahc.dll
c:\winnt\system32\TDSSyaqu.dll
----- BITS: Il y a peut-être des sites infectés -----
hxxp://sus-ebu
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys
-------\Service_RkHit
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-23 au 2009-01-23 ))))))))))))))))))))))))))))))))))))
.
2009-01-22 10:19 . 2009-01-22 10:19 <DIR> d-------- c:\documents and settings\ZGYK6628\Application Data\Simply Super Software
2009-01-21 16:27 . 2009-01-21 16:27 <DIR> d-------- c:\documents and settings\ZGYK6628\Application Data\Thinstall
2009-01-21 16:04 . 2009-01-21 16:04 <DIR> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-21 15:53 . 2009-01-23 15:16 558 -r------- c:\winnt\swdis.bak
2009-01-21 15:46 . 2009-01-21 15:46 <DIR> d-------- c:\program files\Trend Micro
2009-01-21 15:39 . 2008-06-19 17:24 28,544 --a------ c:\winnt\system32\drivers\pavboot.sys
2009-01-21 14:53 . 2009-01-21 15:53 <DIR> d-------- c:\program files\Spybot - Search & Destroy
2009-01-21 14:41 . 2009-01-21 14:41 <DIR> d-------- c:\documents and settings\Administrator\Application Data\Notepad++
2009-01-15 17:22 . 2004-09-28 21:26 61,555 --a------ c:\winnt\system32\jpicpl32.cpl
2009-01-14 11:11 . 2009-01-14 11:14 <DIR> d-------- c:\program files\WinTask
2009-01-13 17:13 . 2009-01-13 17:13 0 --a------ c:\winnt\EQNRCMAI.INI
2009-01-13 13:35 . 2009-01-13 13:35 <DIR> d-------- c:\program files\Lavasoft
2009-01-13 13:35 . 2009-01-13 13:35 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-01-13 13:35 . 2009-01-13 13:36 <DIR> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-01-13 09:58 . 2008-10-22 10:07 3,630,080 --a------ c:\winnt\system32\drivers\NETw5x32.sys
2009-01-13 09:58 . 2008-10-22 10:07 2,756,608 --a------ c:\winnt\system32\NETw5r32.dll
2009-01-13 09:58 . 2008-10-22 10:07 659,456 --a------ c:\winnt\system32\NETw5c32.dll
2009-01-13 09:54 . 2009-01-13 09:54 <DIR> d-a------ c:\winnt\Driver_WIFI_Intel_12.x
2009-01-10 19:17 . 2009-01-10 19:17 <DIR> d-------- c:\program files\Panda Security
2009-01-08 20:54 . 2009-01-08 20:55 <DIR> d-------- c:\documents and settings\ZGYK6628\Application Data\Autodesk
2009-01-08 20:46 . 2009-01-08 20:49 <DIR> d-------- c:\program files\Common Files\Autodesk Shared
2009-01-08 20:46 . 2009-01-08 20:46 <DIR> d-------- c:\program files\Autodesk
2009-01-08 20:46 . 2009-01-08 20:46 <DIR> d-------- c:\documents and settings\All Users\Application Data\Autodesk
2009-01-08 20:46 . 2007-05-16 16:45 3,497,832 --a------ c:\winnt\system32\d3dx9_34.dll
2009-01-08 20:46 . 2006-11-29 13:06 3,426,072 --a------ c:\winnt\system32\d3dx9_32.dll
2009-01-08 20:46 . 2006-09-28 16:05 2,414,360 --a------ c:\winnt\system32\d3dx9_31.dll
2009-01-08 20:46 . 2007-05-16 16:45 1,124,720 --a------ c:\winnt\system32\D3DCompiler_34.dll
2009-01-08 20:46 . 2007-05-16 16:45 443,752 --a------ c:\winnt\system32\d3dx10_34.dll
2009-01-08 20:44 . 2009-01-08 20:44 <DIR> d-------- c:\program files\MSBuild
2009-01-08 20:41 . 2009-01-08 20:41 <DIR> d-------- c:\winnt\system32\XPSViewer
2009-01-08 20:40 . 2009-01-08 20:40 <DIR> d-------- c:\program files\Reference Assemblies
2009-01-08 20:39 . 2006-06-29 13:07 14,048 --------- c:\winnt\system32\spmsg2.dll
2009-01-08 11:44 . 2009-01-08 11:44 <DIR> d-------- c:\documents and settings\All Users\Application Data\FLEXnet
2009-01-08 10:27 . 2009-01-08 10:27 <DIR> d-------- c:\program files\Bonjour
2009-01-08 09:44 . 2009-01-08 09:44 <DIR> d-------- c:\program files\MagicISO
2009-01-06 13:39 . 2009-01-20 12:26 <DIR> d-------- c:\documents and settings\ZGYK6628\Application Data\U3
2008-12-25 19:09 . 2009-01-03 18:01 11 --a------ C:\trace.ini
2008-12-25 19:08 . 2008-12-25 19:08 <DIR> d-------- C:\Auralog
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-08 17:56 --------- d-----w c:\program files\Common Files\Macrovision Shared
2009-01-08 09:27 --------- d-----w c:\program files\Common Files\Adobe
2008-12-11 07:31 --------- d-----w c:\documents and settings\ZGYK6628\Application Data\Apple Computer
2008-12-11 07:28 --------- d-----w c:\program files\QuickTime Alternative
2008-12-11 07:28 --------- d-----w c:\program files\Common Files\Apple
2008-12-11 07:27 --------- d-----w c:\program files\Apple Software Update
2008-12-11 07:27 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-12-11 07:27 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2008-12-05 09:09 --------- d-----w c:\program files\backburner 2
2008-12-05 09:09 --------- d-----w c:\documents and settings\All Users\Application Data\Macrovision
2008-11-26 13:08 --------- d-----w c:\program files\VDOWNLOADER
2008-11-26 13:07 --------- d-----w c:\program files\Unlocker
2008-11-26 11:35 --------- d-----w c:\program files\Sun
2008-11-26 11:34 --------- d-----w c:\program files\Java
2008-11-26 11:21 --------- d-----w c:\program files\Common Files\InstallShield
2008-10-29 15:07 77,824 ----a-w c:\winnt\RCSERV.EXE
2008-10-29 15:02 3,202 ----a-w c:\winnt\m_var.cmd
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\winnt\system32\ctfmon.exe" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\winnt\system32\igfxtray.exe" [2007-05-16 138008]
"HotKeysCmds"="c:\winnt\system32\hkcmd.exe" [2007-05-16 162584]
"Persistence"="c:\winnt\system32\igfxpers.exe" [2007-05-16 138008]
"Dell QuickSet"="c:\program files\Dell\QuickSet\quickset.exe" [2007-07-20 1228800]
"eburoUI"="c:\winnt\system32\e-buroUI.exe" [2008-07-08 159744]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 98304]
"Network Associates Error Reporting Service"="c:\program files\Common Files\Network Associates\TalkBack\tbmon.exe" [2003-10-07 147514]
"QuickTime Task"="c:\program files\quicktime Alternative\QTTask.exe" [2008-09-06 413696]
"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-26 53248]
"eTCertManger"="c:\winnt\system32\eTCrtMng.exe" [2006-01-25 98304]
"SwdisUsrPCN.FT-8392AA77E0B3"="c:\progra~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" [2008-10-29 20480]
"DesktopAdmin"="c:\tivoli\itm\DesktopAdmin.exe" [2006-03-28 28264]
"BEWINTERNET-EBUROSessionManager"="c:\program files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe" [2007-12-05 107248]
"Mobile"="c:\progra~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" [2005-03-02 20480]
"Communicator2005"="c:\program files\Microsoft Office Communicator\Communicator.vbs" [2006-10-04 15515]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UdaterUI.exe" [2008-01-09 136512]
"WTIndicator"="c:\program files\WinTask\Bin\SchedInd.exe" [2006-04-04 41025]
"USRPKGS"="c:\winnt\usrpkgs\launch.vbs" [2005-06-29 4927]
"Synchronization Manager"="c:\winnt\system32\mobsync.exe" [2004-08-03 143360]
"SigmatelSysTrayApp"="stsystra.exe" [2007-02-19 c:\winnt\stsystra.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 c:\winnt\system32\bthprops.cpl]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winnt\system32\CTFMON.EXE" [2004-08-03 15360]
c:\documents and settings\ZGYK6628\Start Menu\Programs\Startup\
autoexec.bat [2008-11-26 71]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"nosmconfigureprograms"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 TivoliAP
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0/u\[u]0/u]
"Script"=MenuMUI.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\1\[u]0/u]
"Script"=Launch_startup.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-789336058-682003330-800404\Scripts\Logoff\[u]0/u\[u]0/u]
"Script"=Launch_logoff.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-789336058-682003330-800404\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=SelfcareGroupIN.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-789336058-682003330-800404\Scripts\Logon\[u]0/u\1]
"Script"=logon_rpm.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-789336058-682003330-800404\Scripts\Logon\1\[u]0/u]
"Script"=Launch_logon.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\program files\Adobe\Acrobat 8.1.2\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-03 23:56 15360 c:\winnt\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrintScreen]
--a------ 2005-01-24 10:44 5578 c:\program files\PrintScreen\pscreen.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2004-09-28 21:26 32881 c:\program files\Java\j2re1.4.2_06\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager]
--a------ 2004-08-03 23:56 143360 c:\winnt\system32\mobsync.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\OrangeBusinessServices\\BEWEBURO\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Tivoli\\lcf\\bin\\w32-ix86\\mrt\\lcfd.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\manager.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\server.exe"=
"e:\\3ds Max 2009\\3dsmax.exe"=
R0 pavboot;pavboot;c:\winnt\system32\drivers\pavboot.sys [2009-01-21 28544]
R1 NaiAvTdi1;NaiAvTdi1;c:\winnt\system32\drivers\mvstdi5x.sys [2008-01-19 59904]
R1 TGrab;Tivoli Remote Control Text Grabber;c:\winnt\system32\drivers\TGRAB.SYS [2008-01-19 8288]
R3 Eqnmirdd;Eqnmirdd;c:\winnt\system32\drivers\Eqnmirdd.sys [2008-01-19 6107]
R3 KeyEx2;Tivoli Remote Control Keyboard Filter;c:\winnt\system32\drivers\KEYEX2.SYS [2008-01-19 5837]
R3 MouEx2;Tivoli Remote Control Pointer Filter;c:\winnt\system32\drivers\MOUEX2.SYS [2008-01-19 4638]
R4 FTIM;FTIM;c:\tivoli\itm\FTIM.EXE [2008-10-29 1222295]
R4 lcfd;Tivoli Endpoint;c:\program files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe [2008-01-19 172032]
R4 mi-raysat_3dsMax2009_32;mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit;e:\3ds max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe [2008-03-10 65536]
R4 TME10RC;Tivoli Remote Control Service;c:\winnt\RCSERV.EXE [2008-01-19 77824]
R4 WTScheduler;WTScheduler;c:\program files\WinTask\Bin\SchedSrv.exe [2006-04-04 94273]
S3 NWDellModem;Dell Wireless Mobile Broadband Modem Driver;c:\winnt\system32\drivers\nwdelmdm.sys [2007-05-30 92288]
S3 NWDellPort;Dell Wireless Mobile Broadband Status Port Driver;c:\winnt\system32\drivers\nwdelser.sys [2007-05-30 92288]
S3 WPopupSvc;WPopupSvc;c:\program files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe [2008-10-29 490079]
S4 eburo;Service e-buro;c:\winnt\system32\e-buro.exe [2008-07-08 98304]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - ENTDRV51
*Deregistered* - uphcleanhlp
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Tapisrv REG_MULTI_SZ Tapisrv
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0de5a48-e081-11dc-8fee-806d6172696f}]
\Shell\AutoRun\command - e:\programs\nu2menu\nu2menu.exe
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}]
rundll32.exe advpack.dll,LaunchINFSection c:\winnt\INF\wmactedp.inf,PerUserStub
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://intranoo.francetelecom.fr/
uInternet Connection Wizard,ShellNext = hxxp://intranoo.francetelecom.fr/
uInternet Settings,ProxyServer = proxy:8080
uInternet Settings,ProxyOverride = <local>
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: com.ftgroup\one-directory
Trusted Zone: equant.com\km-repository
Trusted Zone: equant.com\km-sso
Trusted Zone: francetelecom.com\www.agence
Trusted Zone: francetelecom.fr\*.sso
Trusted Zone: francetelecom.fr\ca.maquette.ocisi
Trusted Zone: francetelecom.fr\chooser.sso
Trusted Zone: francetelecom.fr\dflp1ebe.intranet-paris
Trusted Zone: francetelecom.fr\emulations.lille
Trusted Zone: francetelecom.fr\emulations.lyon
Trusted Zone: francetelecom.fr\emulations.melun
Trusted Zone: francetelecom.fr\emulations.nanterre
Trusted Zone: francetelecom.fr\emulations.nantes
Trusted Zone: francetelecom.fr\emulations.ocisi
Trusted Zone: francetelecom.fr\emulations.si
Trusted Zone: francetelecom.fr\emulations.strasbourg
Trusted Zone: francetelecom.fr\emulations.toulouse
Trusted Zone: francetelecom.fr\gassi
Trusted Zone: francetelecom.fr\gassi.sso
Trusted Zone: francetelecom.fr\intranoo
Trusted Zone: francetelecom.fr\ipop.si
Trusted Zone: francetelecom.fr\monsi.sso
Trusted Zone: francetelecom.fr\qfsmusic-music.sso
Trusted Zone: francetelecom.fr\siroco-crm
Trusted Zone: francetelecom.fr\webdoc.sso
TCP: {9FD804E3-E029-47E2-85EF-48A6D58C8E55} = 193.50.159.88
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-23 15:16:02
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(564)
c:\winnt\system32\prm_gina.dll
c:\winnt\system32\MSVCR71.dll
- - - - - - - > 'lsass.exe'(620)
c:\winnt\system32\TivoliAP.dll
c:\winnt\system32\EntApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\winnt\system32\scardsvr.exe
c:\program files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
c:\winnt\system32\eTSrv.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\[u]0/u\FTRTSVC.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\Network Associates\VirusScan\mcshield.exe
c:\program files\Network Associates\VirusScan\vstskmgr.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\progra~1\NETWOR~1\COMMON~1\naPrdMgr.exe
c:\program files\Dell\QuickSet\NicConfigSvc.exe
c:\program files\SigmaTel\C-Major Audio\WDM\stacsv.exe
c:\winnt\system32\wdfmgr.exe
c:\program files\UPHClean\uphclean.exe
c:\program files\Citrix\ICA Client\ssonsvr.exe
c:\winnt\system32\igfxsrvc.exe
c:\winnt\system32\rundll32.exe
c:\progra~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
c:\program files\Network Associates\Common Framework\Mctray.exe
.
**************************************************************************
.
Heure de fin: 2009-01-23 15:18:36 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-01-23 14:18:33
Avant-CF: 1,356,350,464 octets libres
Après-CF: 1,294,234,624 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
273 --- E O F --- 2009-01-13 14:35:02
Mon pc portable est "surement" infecté par un virus / spyware ...
Suite à la lecture de cette article : https://www.silicon.fr/
les symptones de mon pc sont tres ressemblant.. Lors d'une recherche mes liens de googles sont modifiés et quand je clique sur un lien, je suis dirigé sur des sites bizarres...
Après une recherche sur le forum, je suis tombé sur ce topic :
http://www.commentcamarche.net/forum/affich 9914530 problemes liens google rediriges ie6
car pareil de mon coté, impossible de lancer spybot, ad aware ne detecte rien, et plein d'autre logiciel que j'ai installé ne detecte rien...
Je précise, que c'est le pc portable de mon travail, dessus est installé le logiciel 'virus scan' et le pare feu windows est actif. De mon coté, j'ai acces à un mode administrateur, mais par contre je ne peux pas désactiver l antivirus et le parefeu.
J'ai suivi la conversation de comment ca marche, et j'ai lancé 'combofix'. Je viens vers des experts, pour vous donner le compte rendu, sur le site officiel il est indiqué :
"Nous vous conseillons fortement d'envoyer quand même votre rapport dans le sujet où vous recevez de l'aide car il reste très probablement des résidus d'infections que votre assistant doit encore analyser."
Merci d'avance pour votre aide !
Combofix.txt :
ComboFix 09-01-21.04 - w2k234ad 2009-01-23 15:11:27.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1033.18.2038.1571 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrator\Desktop\an.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\winnt\system32\drivers\TDSSpxfe.sys
c:\winnt\system32\TDSSakod.log
c:\winnt\system32\TDSSdxgp.dll
c:\winnt\system32\TDSSihys.log
c:\winnt\system32\TDSSkrxx.dll
c:\winnt\system32\TDSSmtpe.dat
c:\winnt\system32\TDSSnmxh.log
c:\winnt\system32\TDSSnpur.dll
c:\winnt\system32\TDSSoitu.dll
c:\winnt\system32\TDSSsahc.dll
c:\winnt\system32\TDSSyaqu.dll
----- BITS: Il y a peut-être des sites infectés -----
hxxp://sus-ebu
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys
-------\Service_RkHit
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-23 au 2009-01-23 ))))))))))))))))))))))))))))))))))))
.
2009-01-22 10:19 . 2009-01-22 10:19 <DIR> d-------- c:\documents and settings\ZGYK6628\Application Data\Simply Super Software
2009-01-21 16:27 . 2009-01-21 16:27 <DIR> d-------- c:\documents and settings\ZGYK6628\Application Data\Thinstall
2009-01-21 16:04 . 2009-01-21 16:04 <DIR> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-21 15:53 . 2009-01-23 15:16 558 -r------- c:\winnt\swdis.bak
2009-01-21 15:46 . 2009-01-21 15:46 <DIR> d-------- c:\program files\Trend Micro
2009-01-21 15:39 . 2008-06-19 17:24 28,544 --a------ c:\winnt\system32\drivers\pavboot.sys
2009-01-21 14:53 . 2009-01-21 15:53 <DIR> d-------- c:\program files\Spybot - Search & Destroy
2009-01-21 14:41 . 2009-01-21 14:41 <DIR> d-------- c:\documents and settings\Administrator\Application Data\Notepad++
2009-01-15 17:22 . 2004-09-28 21:26 61,555 --a------ c:\winnt\system32\jpicpl32.cpl
2009-01-14 11:11 . 2009-01-14 11:14 <DIR> d-------- c:\program files\WinTask
2009-01-13 17:13 . 2009-01-13 17:13 0 --a------ c:\winnt\EQNRCMAI.INI
2009-01-13 13:35 . 2009-01-13 13:35 <DIR> d-------- c:\program files\Lavasoft
2009-01-13 13:35 . 2009-01-13 13:35 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-01-13 13:35 . 2009-01-13 13:36 <DIR> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-01-13 09:58 . 2008-10-22 10:07 3,630,080 --a------ c:\winnt\system32\drivers\NETw5x32.sys
2009-01-13 09:58 . 2008-10-22 10:07 2,756,608 --a------ c:\winnt\system32\NETw5r32.dll
2009-01-13 09:58 . 2008-10-22 10:07 659,456 --a------ c:\winnt\system32\NETw5c32.dll
2009-01-13 09:54 . 2009-01-13 09:54 <DIR> d-a------ c:\winnt\Driver_WIFI_Intel_12.x
2009-01-10 19:17 . 2009-01-10 19:17 <DIR> d-------- c:\program files\Panda Security
2009-01-08 20:54 . 2009-01-08 20:55 <DIR> d-------- c:\documents and settings\ZGYK6628\Application Data\Autodesk
2009-01-08 20:46 . 2009-01-08 20:49 <DIR> d-------- c:\program files\Common Files\Autodesk Shared
2009-01-08 20:46 . 2009-01-08 20:46 <DIR> d-------- c:\program files\Autodesk
2009-01-08 20:46 . 2009-01-08 20:46 <DIR> d-------- c:\documents and settings\All Users\Application Data\Autodesk
2009-01-08 20:46 . 2007-05-16 16:45 3,497,832 --a------ c:\winnt\system32\d3dx9_34.dll
2009-01-08 20:46 . 2006-11-29 13:06 3,426,072 --a------ c:\winnt\system32\d3dx9_32.dll
2009-01-08 20:46 . 2006-09-28 16:05 2,414,360 --a------ c:\winnt\system32\d3dx9_31.dll
2009-01-08 20:46 . 2007-05-16 16:45 1,124,720 --a------ c:\winnt\system32\D3DCompiler_34.dll
2009-01-08 20:46 . 2007-05-16 16:45 443,752 --a------ c:\winnt\system32\d3dx10_34.dll
2009-01-08 20:44 . 2009-01-08 20:44 <DIR> d-------- c:\program files\MSBuild
2009-01-08 20:41 . 2009-01-08 20:41 <DIR> d-------- c:\winnt\system32\XPSViewer
2009-01-08 20:40 . 2009-01-08 20:40 <DIR> d-------- c:\program files\Reference Assemblies
2009-01-08 20:39 . 2006-06-29 13:07 14,048 --------- c:\winnt\system32\spmsg2.dll
2009-01-08 11:44 . 2009-01-08 11:44 <DIR> d-------- c:\documents and settings\All Users\Application Data\FLEXnet
2009-01-08 10:27 . 2009-01-08 10:27 <DIR> d-------- c:\program files\Bonjour
2009-01-08 09:44 . 2009-01-08 09:44 <DIR> d-------- c:\program files\MagicISO
2009-01-06 13:39 . 2009-01-20 12:26 <DIR> d-------- c:\documents and settings\ZGYK6628\Application Data\U3
2008-12-25 19:09 . 2009-01-03 18:01 11 --a------ C:\trace.ini
2008-12-25 19:08 . 2008-12-25 19:08 <DIR> d-------- C:\Auralog
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-08 17:56 --------- d-----w c:\program files\Common Files\Macrovision Shared
2009-01-08 09:27 --------- d-----w c:\program files\Common Files\Adobe
2008-12-11 07:31 --------- d-----w c:\documents and settings\ZGYK6628\Application Data\Apple Computer
2008-12-11 07:28 --------- d-----w c:\program files\QuickTime Alternative
2008-12-11 07:28 --------- d-----w c:\program files\Common Files\Apple
2008-12-11 07:27 --------- d-----w c:\program files\Apple Software Update
2008-12-11 07:27 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-12-11 07:27 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2008-12-05 09:09 --------- d-----w c:\program files\backburner 2
2008-12-05 09:09 --------- d-----w c:\documents and settings\All Users\Application Data\Macrovision
2008-11-26 13:08 --------- d-----w c:\program files\VDOWNLOADER
2008-11-26 13:07 --------- d-----w c:\program files\Unlocker
2008-11-26 11:35 --------- d-----w c:\program files\Sun
2008-11-26 11:34 --------- d-----w c:\program files\Java
2008-11-26 11:21 --------- d-----w c:\program files\Common Files\InstallShield
2008-10-29 15:07 77,824 ----a-w c:\winnt\RCSERV.EXE
2008-10-29 15:02 3,202 ----a-w c:\winnt\m_var.cmd
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\winnt\system32\ctfmon.exe" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\winnt\system32\igfxtray.exe" [2007-05-16 138008]
"HotKeysCmds"="c:\winnt\system32\hkcmd.exe" [2007-05-16 162584]
"Persistence"="c:\winnt\system32\igfxpers.exe" [2007-05-16 138008]
"Dell QuickSet"="c:\program files\Dell\QuickSet\quickset.exe" [2007-07-20 1228800]
"eburoUI"="c:\winnt\system32\e-buroUI.exe" [2008-07-08 159744]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 98304]
"Network Associates Error Reporting Service"="c:\program files\Common Files\Network Associates\TalkBack\tbmon.exe" [2003-10-07 147514]
"QuickTime Task"="c:\program files\quicktime Alternative\QTTask.exe" [2008-09-06 413696]
"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-26 53248]
"eTCertManger"="c:\winnt\system32\eTCrtMng.exe" [2006-01-25 98304]
"SwdisUsrPCN.FT-8392AA77E0B3"="c:\progra~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" [2008-10-29 20480]
"DesktopAdmin"="c:\tivoli\itm\DesktopAdmin.exe" [2006-03-28 28264]
"BEWINTERNET-EBUROSessionManager"="c:\program files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe" [2007-12-05 107248]
"Mobile"="c:\progra~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" [2005-03-02 20480]
"Communicator2005"="c:\program files\Microsoft Office Communicator\Communicator.vbs" [2006-10-04 15515]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UdaterUI.exe" [2008-01-09 136512]
"WTIndicator"="c:\program files\WinTask\Bin\SchedInd.exe" [2006-04-04 41025]
"USRPKGS"="c:\winnt\usrpkgs\launch.vbs" [2005-06-29 4927]
"Synchronization Manager"="c:\winnt\system32\mobsync.exe" [2004-08-03 143360]
"SigmatelSysTrayApp"="stsystra.exe" [2007-02-19 c:\winnt\stsystra.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 c:\winnt\system32\bthprops.cpl]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winnt\system32\CTFMON.EXE" [2004-08-03 15360]
c:\documents and settings\ZGYK6628\Start Menu\Programs\Startup\
autoexec.bat [2008-11-26 71]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"nosmconfigureprograms"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 TivoliAP
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0/u\[u]0/u]
"Script"=MenuMUI.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\1\[u]0/u]
"Script"=Launch_startup.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-789336058-682003330-800404\Scripts\Logoff\[u]0/u\[u]0/u]
"Script"=Launch_logoff.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-789336058-682003330-800404\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=SelfcareGroupIN.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-789336058-682003330-800404\Scripts\Logon\[u]0/u\1]
"Script"=logon_rpm.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-789336058-682003330-800404\Scripts\Logon\1\[u]0/u]
"Script"=Launch_logon.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\program files\Adobe\Acrobat 8.1.2\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-03 23:56 15360 c:\winnt\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrintScreen]
--a------ 2005-01-24 10:44 5578 c:\program files\PrintScreen\pscreen.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2004-09-28 21:26 32881 c:\program files\Java\j2re1.4.2_06\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager]
--a------ 2004-08-03 23:56 143360 c:\winnt\system32\mobsync.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\OrangeBusinessServices\\BEWEBURO\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\Tivoli\\lcf\\bin\\w32-ix86\\mrt\\lcfd.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\manager.exe"=
"c:\\Program Files\\Autodesk\\Backburner\\server.exe"=
"e:\\3ds Max 2009\\3dsmax.exe"=
R0 pavboot;pavboot;c:\winnt\system32\drivers\pavboot.sys [2009-01-21 28544]
R1 NaiAvTdi1;NaiAvTdi1;c:\winnt\system32\drivers\mvstdi5x.sys [2008-01-19 59904]
R1 TGrab;Tivoli Remote Control Text Grabber;c:\winnt\system32\drivers\TGRAB.SYS [2008-01-19 8288]
R3 Eqnmirdd;Eqnmirdd;c:\winnt\system32\drivers\Eqnmirdd.sys [2008-01-19 6107]
R3 KeyEx2;Tivoli Remote Control Keyboard Filter;c:\winnt\system32\drivers\KEYEX2.SYS [2008-01-19 5837]
R3 MouEx2;Tivoli Remote Control Pointer Filter;c:\winnt\system32\drivers\MOUEX2.SYS [2008-01-19 4638]
R4 FTIM;FTIM;c:\tivoli\itm\FTIM.EXE [2008-10-29 1222295]
R4 lcfd;Tivoli Endpoint;c:\program files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe [2008-01-19 172032]
R4 mi-raysat_3dsMax2009_32;mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit;e:\3ds max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe [2008-03-10 65536]
R4 TME10RC;Tivoli Remote Control Service;c:\winnt\RCSERV.EXE [2008-01-19 77824]
R4 WTScheduler;WTScheduler;c:\program files\WinTask\Bin\SchedSrv.exe [2006-04-04 94273]
S3 NWDellModem;Dell Wireless Mobile Broadband Modem Driver;c:\winnt\system32\drivers\nwdelmdm.sys [2007-05-30 92288]
S3 NWDellPort;Dell Wireless Mobile Broadband Status Port Driver;c:\winnt\system32\drivers\nwdelser.sys [2007-05-30 92288]
S3 WPopupSvc;WPopupSvc;c:\program files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe [2008-10-29 490079]
S4 eburo;Service e-buro;c:\winnt\system32\e-buro.exe [2008-07-08 98304]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - ENTDRV51
*Deregistered* - uphcleanhlp
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Tapisrv REG_MULTI_SZ Tapisrv
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0de5a48-e081-11dc-8fee-806d6172696f}]
\Shell\AutoRun\command - e:\programs\nu2menu\nu2menu.exe
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}]
rundll32.exe advpack.dll,LaunchINFSection c:\winnt\INF\wmactedp.inf,PerUserStub
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://intranoo.francetelecom.fr/
uInternet Connection Wizard,ShellNext = hxxp://intranoo.francetelecom.fr/
uInternet Settings,ProxyServer = proxy:8080
uInternet Settings,ProxyOverride = <local>
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: com.ftgroup\one-directory
Trusted Zone: equant.com\km-repository
Trusted Zone: equant.com\km-sso
Trusted Zone: francetelecom.com\www.agence
Trusted Zone: francetelecom.fr\*.sso
Trusted Zone: francetelecom.fr\ca.maquette.ocisi
Trusted Zone: francetelecom.fr\chooser.sso
Trusted Zone: francetelecom.fr\dflp1ebe.intranet-paris
Trusted Zone: francetelecom.fr\emulations.lille
Trusted Zone: francetelecom.fr\emulations.lyon
Trusted Zone: francetelecom.fr\emulations.melun
Trusted Zone: francetelecom.fr\emulations.nanterre
Trusted Zone: francetelecom.fr\emulations.nantes
Trusted Zone: francetelecom.fr\emulations.ocisi
Trusted Zone: francetelecom.fr\emulations.si
Trusted Zone: francetelecom.fr\emulations.strasbourg
Trusted Zone: francetelecom.fr\emulations.toulouse
Trusted Zone: francetelecom.fr\gassi
Trusted Zone: francetelecom.fr\gassi.sso
Trusted Zone: francetelecom.fr\intranoo
Trusted Zone: francetelecom.fr\ipop.si
Trusted Zone: francetelecom.fr\monsi.sso
Trusted Zone: francetelecom.fr\qfsmusic-music.sso
Trusted Zone: francetelecom.fr\siroco-crm
Trusted Zone: francetelecom.fr\webdoc.sso
TCP: {9FD804E3-E029-47E2-85EF-48A6D58C8E55} = 193.50.159.88
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-23 15:16:02
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(564)
c:\winnt\system32\prm_gina.dll
c:\winnt\system32\MSVCR71.dll
- - - - - - - > 'lsass.exe'(620)
c:\winnt\system32\TivoliAP.dll
c:\winnt\system32\EntApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\winnt\system32\scardsvr.exe
c:\program files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
c:\winnt\system32\eTSrv.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\[u]0/u\FTRTSVC.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\Network Associates\VirusScan\mcshield.exe
c:\program files\Network Associates\VirusScan\vstskmgr.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\progra~1\NETWOR~1\COMMON~1\naPrdMgr.exe
c:\program files\Dell\QuickSet\NicConfigSvc.exe
c:\program files\SigmaTel\C-Major Audio\WDM\stacsv.exe
c:\winnt\system32\wdfmgr.exe
c:\program files\UPHClean\uphclean.exe
c:\program files\Citrix\ICA Client\ssonsvr.exe
c:\winnt\system32\igfxsrvc.exe
c:\winnt\system32\rundll32.exe
c:\progra~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
c:\program files\Network Associates\Common Framework\Mctray.exe
.
**************************************************************************
.
Heure de fin: 2009-01-23 15:18:36 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-01-23 14:18:33
Avant-CF: 1,356,350,464 octets libres
Après-CF: 1,294,234,624 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
273 --- E O F --- 2009-01-13 14:35:02
A voir également:
- Spyware 2search??? liens googles modifiés ...
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Vérificateur de liens - Guide
- Telecharger liens direct - Accueil - Outils
- Spyware terminator - Télécharger - Antivirus & Antimalwares
- Anti spyware gratuit - Télécharger - Antivirus & Antimalwares
27 réponses
Télécharge Superantispyware (SAS) en cliquant sur ce lien :
Choisis "enregistrer" et enregistre-le sur ton bureau.
Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.
Créé une icône sur le bureau.
Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.
- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :
Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.
- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.
- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".
Dans la colonne de gauche, coche C:\Fixed Drive.
Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"
Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.
A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.
Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".
Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.
Pour recopier les informations sur le forum, fais ceci :
- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.
- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.
- Copie son contenu dans ta réponse.
Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.
Choisis "enregistrer" et enregistre-le sur ton bureau.
Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.
Créé une icône sur le bureau.
Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.
- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :
Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.
- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.
- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".
Dans la colonne de gauche, coche C:\Fixed Drive.
Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"
Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.
A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.
Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".
Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.
Pour recopier les informations sur le forum, fais ceci :
- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.
- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.
- Copie son contenu dans ta réponse.
Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.
tu supprimer celui là en regardant bien le tuto ensuite un nouvel hijackthis. Merci.
(le lien renvoyant a ton tuto ne marche pas)
nouveau rapport hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:04, on 24/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: [http://]*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
nouveau rapport hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:04, on 24/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranoo.francetelecom.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: [http://]*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
* Téléchargez et enregistrez Navilog1 sur le bureau.
* Sous XP : double-cliquez dessus pour l'installer et le lancer.
* Sous vista : faites un clic droit sur Navilog1 présent sur le bureau et choisissez "exécuter en tant qu'administrateur".
* Quand il sera installé, appuyez sur F pour Français.
* Appuyez sur une touche jusqu'à ce que vous arriviez au menu des options.
* Tapez 1 pour exécuter une recherche.
* Laissez le programme travailler, il pourrait durer une dizaine de minutes.
* Un rapport va être généré dans le bloc note à la fin de l'analyse
* Il sera aussi enregistré automatiquement sur votre disque C ( C:\fixnavi.txt )
* Voici un tutoriel qui vous explique le fonctionnement de Navilog1 :
http://il.mafioso.pagesperso-orange.fr/Navifix/presentation.htm
* Sous XP : double-cliquez dessus pour l'installer et le lancer.
* Sous vista : faites un clic droit sur Navilog1 présent sur le bureau et choisissez "exécuter en tant qu'administrateur".
* Quand il sera installé, appuyez sur F pour Français.
* Appuyez sur une touche jusqu'à ce que vous arriviez au menu des options.
* Tapez 1 pour exécuter une recherche.
* Laissez le programme travailler, il pourrait durer une dizaine de minutes.
* Un rapport va être généré dans le bloc note à la fin de l'analyse
* Il sera aussi enregistré automatiquement sur votre disque C ( C:\fixnavi.txt )
* Voici un tutoriel qui vous explique le fonctionnement de Navilog1 :
http://il.mafioso.pagesperso-orange.fr/Navifix/presentation.htm
Search Navipromo version 3.7.1 commencé le 24/01/2009 à 18:48:38,25
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A13
USER : w2k234ad ( Administrator )
BOOT : Fail-safe boot
C:\ (Local Disk) - NTFS - Total:11 Go (Free:1 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:62 Go (Free:59 Go)
Recherche executé en mode sans échec
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINNT" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\startm~1\programs" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\startm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Administrator\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ZGYK6628\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Administrator\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ZGYK6628\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Administrator\startm~1\programs" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\startm~1\programs" ***
*** Recherche dossiers dans "C:\DOCUME~1\ZGYK6628\startm~1\programs" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINNT\system32" *
Fichiers suspects :
scriptit.exe trouvé !
* Recherche dans "C:\Documents and Settings\Administrator\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ZGYK6628\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINNT\system32" :
* Dans "C:\Documents and Settings\Administrator\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ZGYK6628\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 24/01/2009 à 18:58:12,65 ***
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A13
USER : w2k234ad ( Administrator )
BOOT : Fail-safe boot
C:\ (Local Disk) - NTFS - Total:11 Go (Free:1 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:62 Go (Free:59 Go)
Recherche executé en mode sans échec
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINNT" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\startm~1\programs" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\startm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Administrator\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ZGYK6628\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Administrator\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ZGYK6628\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Administrator\startm~1\programs" ***
*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\startm~1\programs" ***
*** Recherche dossiers dans "C:\DOCUME~1\ZGYK6628\startm~1\programs" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINNT\system32" *
Fichiers suspects :
scriptit.exe trouvé !
* Recherche dans "C:\Documents and Settings\Administrator\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\ZGYK6628\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINNT\system32" :
* Dans "C:\Documents and Settings\Administrator\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :
* Dans "C:\DOCUME~1\ZGYK6628\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :
*** Analyse terminée le 24/01/2009 à 18:58:12,65 ***
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
désinfection automatique
* Relancez Navilog1 comme expliqué lors de la recherche.
* Cette fois-ci tapez 2 pour exécuter une désinfection automatique. (le bureau disparaît, c'est normal)
* Le PC va redémarrer.
* Après redémarrage, un rapport va être généré dans le bloc note.
* Vérifiez que tout a bien été supprimé car il se pourrait que certains fichiers ne soient pas supprimés lors de la désinfection automatique...
* Relancez Navilog1 comme expliqué lors de la recherche.
* Cette fois-ci tapez 2 pour exécuter une désinfection automatique. (le bureau disparaît, c'est normal)
* Le PC va redémarrer.
* Après redémarrage, un rapport va être généré dans le bloc note.
* Vérifiez que tout a bien été supprimé car il se pourrait que certains fichiers ne soient pas supprimés lors de la désinfection automatique...
Clean Navipromo version 3.7.1 commencé le 24/01/2009 à 19:55:11,95
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A13
USER : w2k234ad ( Administrator )
BOOT : Fail-safe boot
C:\ (Local Disk) - NTFS - Total:11 Go (Free:1 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:62 Go (Free:59 Go)
Mode suppression automatique
avec prise en charge résultats Catchme et GNS
Nettoyage executé en mode sans échec
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans "C:\WINNT\System32" *
* Suppression dans "C:\Documents and Settings\Administrator\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\ZGYK6628\locals~1\applic~1" *
*** Suppression dossiers dans "C:\WINNT" ***
*** Suppression dossiers dans "C:\Program Files" ***
*** Suppression dossiers dans "C:\Documents and Settings\All Users\startm~1\programs" ***
*** Suppression dossiers dans "C:\Documents and Settings\All Users\startm~1" ***
*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\Administrator\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ZGYK6628\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\Administrator\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ZGYK6628\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\Administrator\startm~1\programs" ***
*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\startm~1\programs" ***
*** Suppression dossiers dans "C:\DOCUME~1\ZGYK6628\startm~1\programs" ***
*** Suppression fichiers ***
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINNT\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrator\locals~1\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Suppression avec sauvegardes nouveaux fichiers Instant Access :
2)Recherche, création sauvegardes et suppression Heuristique :
* Dans "C:\WINNT\system32" *
* Dans "C:\Documents and Settings\Administrator\locals~1\applic~1" *
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Dans "C:\DOCUME~1\ZGYK6628\locals~1\applic~1" *
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Certificats ***
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !
*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!
Fichiers suspects dans "C:\WINNT\system32" :
scriptit.exe trouvé !
*** Recherche autres dossiers et fichiers connus ***
*** Nettoyage terminé le 24/01/2009 à 19:56:14,07 ***
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A13
USER : w2k234ad ( Administrator )
BOOT : Fail-safe boot
C:\ (Local Disk) - NTFS - Total:11 Go (Free:1 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:62 Go (Free:59 Go)
Mode suppression automatique
avec prise en charge résultats Catchme et GNS
Nettoyage executé en mode sans échec
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans "C:\WINNT\System32" *
* Suppression dans "C:\Documents and Settings\Administrator\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Suppression dans "C:\DOCUME~1\ZGYK6628\locals~1\applic~1" *
*** Suppression dossiers dans "C:\WINNT" ***
*** Suppression dossiers dans "C:\Program Files" ***
*** Suppression dossiers dans "C:\Documents and Settings\All Users\startm~1\programs" ***
*** Suppression dossiers dans "C:\Documents and Settings\All Users\startm~1" ***
*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\Administrator\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ZGYK6628\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\Administrator\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\DOCUME~1\ZGYK6628\locals~1\applic~1" ***
*** Suppression dossiers dans "C:\Documents and Settings\Administrator\startm~1\programs" ***
*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\startm~1\programs" ***
*** Suppression dossiers dans "C:\DOCUME~1\ZGYK6628\startm~1\programs" ***
*** Suppression fichiers ***
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINNT\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrator\locals~1\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Suppression avec sauvegardes nouveaux fichiers Instant Access :
2)Recherche, création sauvegardes et suppression Heuristique :
* Dans "C:\WINNT\system32" *
* Dans "C:\Documents and Settings\Administrator\locals~1\applic~1" *
* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *
* Dans "C:\DOCUME~1\ZGYK6628\locals~1\applic~1" *
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Certificats ***
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !
*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!
Fichiers suspects dans "C:\WINNT\system32" :
scriptit.exe trouvé !
*** Recherche autres dossiers et fichiers connus ***
*** Nettoyage terminé le 24/01/2009 à 19:56:14,07 ***
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:32:52, on 26/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\Program Files\Microsoft Office Communicator\Communicator.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\OrangeBusinessServices\BEWEBURO\Launcher\Launcher.exe
C:\Program Files\OrangeBusinessServices\BEWEBURO\systray\systrayapp.exe
C:\Program Files\OrangeBusinessServices\BEWEBURO\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\OrangeBusinessServices\BEWEBURO\connectivity\connectivitymanager.exe
C:\WINNT\system32\CMMON32.EXE
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.si.francetelecom.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranoo.francetelecom.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by e-buro
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxybkp:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [COMMUNICATOR] "C:\Program Files\Microsoft Office Communicator\Communicator.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: autoexec.bat
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open Client to monitor &1 - C:\WINNT\web\AOpenClient.htm
O8 - Extra context menu item: Open Client to monitor &2 - C:\WINNT\web\AOpenClient.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup
O15 - Trusted Zone: http://km-repository.equant.com
O15 - Trusted Zone: http://km-sso.equant.com
O15 - Trusted Zone: http://www.agence.francetelecom.com
O15 - Trusted Zone: http://*.sso.francetelecom.fr
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr
O15 - Trusted Zone: http://emulations.si.francetelecom.fr
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr
O15 - Trusted Zone: http://gassi.francetelecom.fr
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr
O15 - Trusted Zone: http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://ipop.si.francetelecom.fr
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163
O15 - Trusted IP range: http://193.252.4.15
O15 - Trusted IP range: http://10.238.15.*
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{5323C476-8C86-4B16-A4A6-96C2F71E39B6}: Domain = nantes.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{5323C476-8C86-4B16-A4A6-96C2F71E39B6}: NameServer = 10.171.108.2 10.171.32.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
Scan saved at 14:32:52, on 26/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\WINNT\system32\eTSrv.exe
c:\tivoli\itm\FTIM.EXE
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\mcshield.exe
C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\WinTask\Bin\SchedSrv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINNT\system32\e-buroUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\eTCrtMng.exe
C:\Tivoli\itm\DesktopAdmin.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Program Files\Network Associates\Common Framework\UdaterUI.exe
C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\WinTask\Bin\SchedInd.exe
C:\Program Files\Microsoft Office Communicator\Communicator.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\McTray.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\OrangeBusinessServices\BEWEBURO\Launcher\Launcher.exe
C:\Program Files\OrangeBusinessServices\BEWEBURO\systray\systrayapp.exe
C:\Program Files\OrangeBusinessServices\BEWEBURO\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\OrangeBusinessServices\BEWEBURO\connectivity\connectivitymanager.exe
C:\WINNT\system32\CMMON32.EXE
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.si.francetelecom.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranoo.francetelecom.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by e-buro
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxybkp:8080
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WTBho Class - {348FE907-249E-4C65-A838-F34A193FE1D1} - C:\PROGRA~1\WinTask\Bin\TaskBHO.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [eburoUI] "C:\WINNT\system32\e-buroUI.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\quicktime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [eTCertManger] C:\WINNT\system32\eTCrtMng.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.FT-8392AA77E0B3] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envFT-8392AA77E0B3"
O4 - HKLM\..\Run: [DesktopAdmin] C:\Tivoli\itm\DesktopAdmin.exe
O4 - HKLM\..\Run: [BEWINTERNET-EBUROSessionManager] C:\Program Files\OrangeBusinessServices\BEWEBURO\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Mobile] "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\epspawn.exe" -w "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile" "C:\PROGRA~1\Tivoli\lcf\dat\1\Mobile\mobile.exe"
O4 - HKLM\..\Run: [Communicator2005] "C:\Program Files\Microsoft Office Communicator\Communicator.vbs"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WTIndicator] C:\Program Files\WinTask\Bin\SchedInd.exe
O4 - HKLM\..\Run: [USRPKGS] c:\winnt\usrpkgs\launch.vbs
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKCU\..\Run: [COMMUNICATOR] "C:\Program Files\Microsoft Office Communicator\Communicator.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: autoexec.bat
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open Client to monitor &1 - C:\WINNT\web\AOpenClient.htm
O8 - Extra context menu item: Open Client to monitor &2 - C:\WINNT\web\AOpenClient.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup
O15 - Trusted Zone: http://km-repository.equant.com
O15 - Trusted Zone: http://km-sso.equant.com
O15 - Trusted Zone: http://www.agence.francetelecom.com
O15 - Trusted Zone: http://*.sso.francetelecom.fr
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr
O15 - Trusted Zone: http://emulations.si.francetelecom.fr
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr
O15 - Trusted Zone: http://gassi.francetelecom.fr
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr
O15 - Trusted Zone: http://intranoo.francetelecom.fr
O15 - Trusted Zone: http://ipop.si.francetelecom.fr
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr
O15 - Trusted Zone: http://one-directory.com.ftgroup (HKLM)
O15 - Trusted Zone: http://km-repository.equant.com (HKLM)
O15 - Trusted Zone: http://km-sso.equant.com (HKLM)
O15 - Trusted Zone: http://www.agence.francetelecom.com (HKLM)
O15 - Trusted Zone: http://*.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ca.maquette.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://chooser.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://dflp1ebe.intranet-paris.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lille.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.lyon.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.melun.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nanterre.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.nantes.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.ocisi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.strasbourg.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://emulations.toulouse.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://gassi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://intranoo.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://ipop.si.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://monsi.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://qfsmusic-music.sso.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://siroco-crm.francetelecom.fr (HKLM)
O15 - Trusted Zone: http://webdoc.sso.francetelecom.fr (HKLM)
O15 - Trusted IP range: http://194.51.97.163
O15 - Trusted IP range: http://193.252.4.15
O15 - Trusted IP range: http://10.238.15.*
O15 - Trusted IP range: http://194.51.97.163 (HKLM)
O15 - Trusted IP range: http://193.252.4.15 (HKLM)
O15 - Trusted IP range: http://10.238.15.* (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\Software\..\Telephony: DomainName = ad.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{5323C476-8C86-4B16-A4A6-96C2F71E39B6}: Domain = nantes.francetelecom.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{5323C476-8C86-4B16-A4A6-96C2F71E39B6}: NameServer = 10.171.108.2 10.171.32.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD804E3-E029-47E2-85EF-48A6D58C8E55}: NameServer = 193.50.159.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.francetelecom.fr
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service e-buro (eburo) - France Telecom - C:\WINNT\system32\e-buro.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINNT\system32\eTSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FTIM - Unknown owner - c:\tivoli\itm\FTIM.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - E:\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - IBM Corporation - C:\WINNT\RCSERV.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WPopupSvc - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\tools\wpopupsvc.exe
O23 - Service: WTScheduler - Unknown owner - C:\Program Files\WinTask\Bin\SchedSrv.exe
faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner
puis :
Fais un scan en ligne avec Internet explorer (merci !aur3n7=
* Rend toi sur ce site https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant
* Clique sur le bouton paramètres d'analyse
-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.
Note :
- En cas de problème vérifies ces quelques points https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566
puis :
Fais un scan en ligne avec Internet explorer (merci !aur3n7=
* Rend toi sur ce site https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant
* Clique sur le bouton paramètres d'analyse
-- à l'option analyser avec la base antivirus suivant :
---- [X] étendue
-- dans les options d'analyse contrôle que les cases suivantes soient cochées
---- [X] analyser les archives
---- [X] analyser les bases de messagerie
-- Clique sur le bouton OK
* choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.
Note :
- En cas de problème vérifies ces quelques points https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566
https://www.superantispyware.com/
Generated 01/24/2009 at 03:14 PM
Application Version : 4.25.1012
Core Rules Database Version : 3725
Trace Rules Database Version: 1699
Scan type : Complete Scan
Total Scan Time : 00:44:28
Memory items scanned : 468
Memory threats detected : 0
Registry items scanned : 5647
Registry threats detected : 0
File items scanned : 93886
File threats detected : 1
Trojan.Dropper/SVCHost-Fake
C:\DOCUMENTS AND SETTINGS\ZGYK6628\DESKTOP\LOG\SYSTEMTECH ANTISPYWARE V2.0\STUBS\313C5A1C386548ACDED423647231A2DAE67B3\SVCHOST.EXE