Rapport Hijackthis

Résolu

Geronimo -
Utilisateur anonyme - 3 févr. 2009 à 23:41

Bonjour,

J'ai un souçis avec mon ordinateur , en effet depuis quelques jours j'ai remarqué qu'il ramait , j'ai donc défragmenté et fait un nettoyage de disque mais rien n'y fait.

J'ai donc fait un rapport Hijackthis , si quelqu'un pourrait m'aider à savoir si il y a un problème cela serai vraiment gentil :)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:49:41, on 30/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Folding@Home\Folding@Home #02\FAH-Console.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Seekmo Toolbar - {53E0B6E8-A51D-448B-B692-40B67B285543} - C:\Program Files\Seekmo Programs\Seekmo Toolbar\SeekmoTB.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D71F9A27-723E-4B8B-B428-B725E47CBA3E} - http://imikimi.com/download/imikimi_plugin_0.5.1.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Folding Service #01 (FAH-01) - Stanford University - E:\Folding@Home\Folding@Home #02\FAH-Console.exe
O23 - Service: Folding Service #02 (FAH-02) - Stanford University - E:\Folding@Home\Folding@Home #02\FAH-Console.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Afficher la suite

A voir également:

Rapport Hijackthis
Hijackthis - Télécharger - Antivirus & Antimalwares
Plan rapport de stage - Guide
Rapport erreur windows - Guide
Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport existant - Forum Excel
Thème rapport de stage comptabilité - Forum Word

24 réponses

Réponse 1 / 24

Utilisateur anonyme

Bonjour/Bonsoir
• Ne pas surfer ailleurs que sur le site
• Couper MSN ou tout autre connexion hormis celle sur le site
• Appliquer exactement et dans l'ordre les procédures indiquées.
• Au cas ou plusieurs intervenants se manifestent, en choisir un et un seul.

• Rester devant la machine en rafraichissant souvent le forum pour voir les nouvelles réponses.
• Répondre sans attendre à toutes les questions posées dans l'ordre ou elles ont étés posées
• Etre précis dans les réponses. Ne s'en tenir qu'au sujet et rien qu'au sujet.
• A proscrire : le language SMS.

• Ne pas quitter tant qu'il n'est pas dit explicitement que le problème est résolu ou qu'il dépasse les compétences de celui ou ceux qui vous aident.
• Ne pas ouvrir plusieurs discussions sur le même sujet sauf si on vous le demande (Problème non résolu. Ca arrive)

• Ne pas s'impatienter. L'analyse d'un rapport et la recherche de solutions appropriées prends un certain temps. Inutile donc de reposter le même message. Nous ne vous oublions pas, nous vous cherchons une solution

• Ne pas oublier : nous sommes bénévoles. Nous mangeons, nous dormons, nous travaillons, nous avons une vie de famille aussi.

• Les procédures qui vont suivre, bien que largement éprouvées, sont mises en oeuvre aux risques et périls du possesseur de la machine.

Préparation de la machine
• Vider la corbeille
• Fermer toutes les applications

================ PareFeu XP - Vista ===================
• Si un autre pare-feu que celui de windows est installé, vérifier qu'il est actif et passer à l'étape CCleaner

• Sinon

pour activer/désactiver le Pare-feu Vista
pour activer/désactiver le Pare-feu Xp le Pare-feu XP

• Activer le pare-Feu si ce n'est déjà fait

===================== CCLEANER ========================
Pour le petit coup de polish.
• Appliquer la procédure ci-dessous.
• l'outil pourra être conservé pour faire le ménage de temps en temps en appliquant la même procédure.

• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées

============================ ToolBar S&D ===========================

Télécharger Toolbar-S&D sur le Bureau.
• Important! Désactiver l'antivirus, l'antispyware résident, TeaTimer de Spybot (si présent et actif)
• Lancer l'installation du programme en exécutant le fichier téléchargé.

• Pour XP Double-click sur le raccourci de Toolbar-S&D.
• Pour Vista click-Droit sur le raccourci de Toolbar-S&D et executer en administrateur

• Sélectionner la langue souhaitée en tapant la lettre correspondante
• Valider avec la touche Entrée.
• Choisir option 1 (Recherche). Le menu Démarrer et les icônes vont disparaite, c'est normal
• Attendre la fin de la recherche qui peux prendre plusieurs minutes en ne touchant à rien.
• Copier/Coller le rapport généré. (C:\TB.txt)

======================= ToolBar S&D NETTOYAGE ======================
Le nettoyage supprime l'infection du système.

• Verifier dans ajout/suppression de programmes du panneau de configuration si la barre d'outil est présente.
• Si oui désinstaller, si non continuer la procédure

• Relancer ToolBar S&D.
• Pour XP Double-click sur le raccourci de Toolbar-S&D.
• Pour Vista click-Droit sur le raccourci de Toolbar-S&D et executer en administrateur

• Dans le menu principal, taper 2 puis valider par entrée.
• Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.
• Le nettoyage va prendre quelques minutes...
• Une fois l'opération terminée, le rapport de nettoyage s'ouvre.
• copier/coller le rapport sur le forum
• Attendre la suite.

NOTE : Si le Bureau ne réapparait pas, appuyer simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Cliquer sur l'onglet "Processus". Cliquer en haut à gauche sur Fichier et choisir "Exécuter..."
Taper explorer puis valider.

Attention! l'option 2 sans aide extérieure se fait aux risques et périls de l'utilisateur.
ToolBar S&D pouvant supprimer des dossiers légitimes vus par lui comme infectés.

Réponse 2 / 24

Geronimo

Tout d'abord merci booddha , ensuite j'ai effectuer exactement ce que tu m'a dit de faire et voici le rapport Toolbar S&D

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
BIOS : BIOS Date: 03/20/06 18:53:51 Ver: 08.00.10
USER : Utilisateur ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1296 [VPS 090130-0] 4.8.1296 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:19 Go (Free:4 Go)
D:\ (CD or DVD)
E:\ (Local Disk) - NTFS - Total:170 Go (Free:81 Go)
G:\ (CD or DVD)
H:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [1] ( 30/01/2009|17:14 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\DOCUME~1\Cyril\APPLIC~1\Dealio
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\temp
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\alerts.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\alerts_over.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\alerts_rec.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\alerts_rec_over.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\chevron-small.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\DealioSearch.html
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\deals-leftcap.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\deal_report.jpg
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\ebay_login.jpg
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\err_mainwindow.html
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\err_toolbar.html
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\global_scripts.js
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\headerbgthin.jpg
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\highlight-bg.png
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\logo.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\logo_over.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\man_toolbar.css
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\man_toolbar.html
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\man_toolbar.js
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\man_toolbarl.js
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\post-this-deal.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\post-this-deal_over.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\scripts.js
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\scroller.js
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\search-chevron.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\search-chevron_over.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\search_bg_blink.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\separator.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\settings.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\settings_over.gif
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\res\yahoo-search.png
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\index.76.35
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.10.76
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.109.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.110.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.12.52
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.13.58
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.130.58
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.135.50
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.153.44
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.155.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.156.49
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.16.60
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.161.52
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.178.66
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.184.55
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.188.52
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.189.45
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.196.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.198.56
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.199.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.200.53
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.201.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.202.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.203.71
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.205.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.213.71
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.214.49
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.215.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.216.67
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.217.67
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.218.52
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.219.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.220.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.221.57
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.222.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.223.68
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.226.68
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.227.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.228.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.229.76
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.23.63
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.239.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.24.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.240.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.241.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.242.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.243.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.244.63
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.245.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.247.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.248.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.249.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.250.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.251.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.252.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.253.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.254.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.255.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.256.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.257.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.279.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.28.58
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.282.75
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.283.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.284.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.289.67
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.290.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.291.61
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.296.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.297.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.304.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.307.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.308.75
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.31.47
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.310.46
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.311.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.315.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.316.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.317.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.318.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.319.49
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.32.48
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.334.44
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.335.60
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.336.44
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.337.44
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.338.75
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.339.47
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.34.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.340.47
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.341.47
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.349.50
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.35.48
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.350.50
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.351.51
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.352.54
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.353.51
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.354.51
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.357.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.358.52
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.359.52
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.360.53
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.361.54
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.362.68
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.363.58
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.364.54
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.365.53
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.367.56
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.368.58
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.369.55
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.370.56
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.371.56
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.372.57
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.373.55
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.375.56
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.376.57
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.377.55
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.378.65
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.384.58
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.386.71
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.387.59
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.388.59
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.389.59
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.390.60
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.391.60
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.392.60
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.393.60
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.394.60
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.396.61
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.397.61
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.398.60
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.399.60
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.403.61
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.404.63
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.405.61
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.406.61
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.407.76
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.408.63
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.409.61
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.412.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.413.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.414.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.415.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.416.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.417.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.418.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.419.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.420.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.421.62
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.423.63
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.424.63
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.425.63
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.426.63
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.427.63
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.428.65
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.429.63
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.430.63
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.432.65
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.433.64
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.434.65
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.435.64
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.436.76
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.437.64
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.438.71
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.439.71
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.440.75
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.442.73
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.443.73
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.444.73
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.445.68
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.446.69
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.450.67
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.451.67
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.452.68
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.453.68
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.454.69
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.456.69
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.457.75
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.458.70
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.459.70
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.460.69
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.462.74
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.463.69
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.464.70
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.465.68
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.468.70
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.469.70
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.470.70
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.471.73
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.472.70
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.478.74
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.479.73
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.480.68
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.481.71
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.482.74
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.49.67
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.50.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.500.71
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.501.74
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.502.71
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.51.69
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.52.72
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.520.76
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.521.76
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.522.76
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.53.51
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.531.76
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.532.75
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.534.75
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.54.47
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.55.45
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.56.69
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.57.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.58.47
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.593.76
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.595.76
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.63.57
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.66.47
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.70.75
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\rules\rules.1.71.43
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\temp\dealio-14255.log
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\temp\dealio-14258.log
C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127\temp\dod_cache.xml
C:\Program Files\DAEMON Tools Toolbar
C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\CONTENT\searchsettingsplugin.js
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\CONTENT\searchsettingsplugin.xul
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\LOCALE\EN-US\searchsettingsplugin.dtd
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\LOCALE\EN-US\searchsettingsplugin.properties
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\COMPONENTS\SearchSettingsFF.dll
C:\DOCUME~1\UTILIS~1\APPLIC~1\Search Settings
C:\DOCUME~1\UTILIS~1\APPLIC~1\Search Settings\kb-1
C:\DOCUME~1\UTILIS~1\APPLIC~1\Search Settings\kb127
C:\DOCUME~1\UTILIS~1\APPLIC~1\Search Settings\kb127\res
C:\DOCUME~1\UTILIS~1\APPLIC~1\Search Settings\kb127\temp
C:\DOCUME~1\UTILIS~1\APPLIC~1\Search Settings\kb127\temp\ws-14197.log
C:\Program Files\Search Settings
C:\Program Files\Search Settings\kb127
C:\Program Files\Search Settings\SearchSettings.exe
C:\Program Files\Search Settings\kb127\res
C:\Program Files\Search Settings\kb127\SearchSettings.dll
C:\Program Files\Search Settings\kb127\SearchSettingsRes409.dll
C:\Program Files\Search Settings\kb127\temp

-----------\\ Extensions

(Utilisateur) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://gamespace.daemon-tools.cc/fra/home"
"Search Page"="https://actus.sfr.fr"
"SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
"Search Bar"="https://actus.sfr.fr"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.01net.com/telecharger/"
"Default_Search_URL"="https://actus.sfr.fr"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="http://www.ustart.org"

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\UTILIS~1\Application Data\.ABC\torrent\Devil_May_Cry_4_Crack_1.0_-_RELOADED.torrent
C:\DOCUME~1\UTILIS~1\Application Data\.ABC\torrentinfo\Devil_May_Cry_4_Crack_1.0_-_RELOADED.torrent.info
C:\DOCUME~1\UTILIS~1\Incomplete\GDNGVKYZWUBDC7MXM42G76AUAUTFI44G\.datJames. Bond 007 Quantum of Solace. Crack.zip
C:\DOCUME~1\UTILIS~1\Incomplete\GDNGVKYZWUBDC7MXM42G76AUAUTFI44G\James. Bond 007 Quantum of Solace. Crack.zip

1 - "C:\ToolBar SD\TB_1.txt" - 30/01/2009|17:15 - Option : [1]

-----------\\ Fin du rapport a 17:15:22,23

Merci de me donner des réponses :)

Réponse 3 / 24

Utilisateur anonyme

Bonsoir,

Obligé de m'absenter.

Tu n'as pas fait la deuxième partie

======================= ToolBar S&D NETTOYAGE ======================
Le nettoyage supprime l'infection du système.

• Verifier dans ajout/suppression de programmes du panneau de configuration si la barre d'outil est présente.
• Si oui désinstaller, si non continuer la procédure

• Relancer ToolBar S&D.
• Pour XP Double-click sur le raccourci de Toolbar-S&D.
• Pour Vista click-Droit sur le raccourci de Toolbar-S&D et executer en administrateur

• Dans le menu principal, taper 2 puis valider par entrée.
• Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.
• Le nettoyage va prendre quelques minutes...
• Une fois l'opération terminée, le rapport de nettoyage s'ouvre.
• copier/coller le rapport sur le forum
• copier/coller un nouveau rapport Hijackthis à la suite sur le forum
• Attendre la suite.

NOTE : Si le Bureau ne réapparait pas, appuyer simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Cliquer sur l'onglet "Processus". Cliquer en haut à gauche sur Fichier et choisir "Exécuter..."
Taper explorer puis valider.

Attention! l'option 2 sans aide extérieure se fait aux risques et périls de l'utilisateur.
ToolBar S&D pouvant supprimer des dossiers légitimes vus par lui comme infectés.

Réponse 4 / 24

Geronimo

Bonsoir,

Je viens de voir votre message, désolé je pensais d'abord qu'il fallait poster le rapport avant d'effectuer la suppression :s

Enfin voilà qui est fait , je vous poste le rapport ToolBar-S&D suppression.

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
BIOS : BIOS Date: 03/20/06 18:53:51 Ver: 08.00.10
USER : Utilisateur ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1296 [VPS 090201-0] 4.8.1296 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:19 Go (Free:4 Go)
D:\ (CD or DVD)
E:\ (Local Disk) - NTFS - Total:170 Go (Free:81 Go)
G:\ (CD or DVD)
H:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 01/02/2009|22:56 )

-----------\\ SUPPRESSION

Supprime! - C:\DOCUME~1\Cyril\APPLIC~1\Dealio\kb127
Supprime! - C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml
Supprime! - C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
Supprime! - C:\DOCUME~1\UTILIS~1\APPLIC~1\Search Settings\kb-1
Supprime! - C:\DOCUME~1\UTILIS~1\APPLIC~1\Search Settings\kb127
Supprime! - C:\Program Files\Search Settings\kb127
Supprime! - C:\Program Files\Search Settings\SearchSettings.exe
Supprime! - C:\DOCUME~1\Cyril\APPLIC~1\Dealio
Supprime! - C:\Program Files\DAEMON Tools Toolbar
Supprime! - C:\DOCUME~1\UTILIS~1\APPLIC~1\Search Settings
Supprime! - C:\Program Files\Search Settings

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ Extensions

(Utilisateur) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://gamespace.daemon-tools.cc/fra/home"
"Search Page"="https://actus.sfr.fr"
"SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
"Search Bar"="https://actus.sfr.fr"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.01net.com/telecharger/"
"Default_Search_URL"="https://actus.sfr.fr"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="https://www.msn.com/fr-fr/"

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\UTILIS~1\Application Data\.ABC\torrent\Devil_May_Cry_4_Crack_1.0_-_RELOADED.torrent
C:\DOCUME~1\UTILIS~1\Application Data\.ABC\torrentinfo\Devil_May_Cry_4_Crack_1.0_-_RELOADED.torrent.info
C:\DOCUME~1\UTILIS~1\Incomplete\GDNGVKYZWUBDC7MXM42G76AUAUTFI44G\.datJames. Bond 007 Quantum of Solace. Crack.zip
C:\DOCUME~1\UTILIS~1\Incomplete\GDNGVKYZWUBDC7MXM42G76AUAUTFI44G\James. Bond 007 Quantum of Solace. Crack.zip

1 - "C:\ToolBar SD\TB_1.txt" - 30/01/2009|17:15 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 01/02/2009|22:53 - Option : [1]
3 - "C:\ToolBar SD\TB_3.txt" - 01/02/2009|22:56 - Option : [2]

-----------\\ Fin du rapport a 22:56:53,79

Toujours en vous remerçiant pour votre aide, j'attend une reponse de votre part :)

Merci d'avance

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 24

Geronimo

Réponse 6 / 24

Utilisateur anonyme

Bonsoir

Reposter un rapport Hijackthis

Réponse 7 / 24

Geronimo

Bonsoir ,

Voici le nouveau rapport Hijackthis

Réponse 8 / 24

Geronimo

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:20:34, on 02/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Folding@Home\Folding@Home #02\FAH-Console.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://gamespace.daemon-tools.cc/fra/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.systemrequirementslab.com/cyri
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D71F9A27-723E-4B8B-B428-B725E47CBA3E} - http://imikimi.com/download/imikimi_plugin_0.5.1.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Folding Service #01 (FAH-01) - Stanford University - E:\Folding@Home\Folding@Home #02\FAH-Console.exe
O23 - Service: Folding Service #02 (FAH-02) - Stanford University - E:\Folding@Home\Folding@Home #02\FAH-Console.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Réponse 9 / 24

Geronimo

Y'a t-il un problème ?

Réponse 10 / 24

Utilisateur anonyme

Oui, il y en avait plusieurs et il en reste

================== MalwareBytes =====================

Telecharger MalwareBytes

Le Tutorial

Attention à ce que l'option Executer un examen rapide soit cochée

Ne pas oublier de supprimer tout ce que MalwaresByte trouve. Bouton Supprimer la sélection après avoir tout sélectionné

Poster le rapport et un nouveau rapport HiJackThis

Réponse 11 / 24

Geronimo

Bonjour,

J'ai installer MalwareBytes et voici le rapport

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1718
Windows 5.1.2600 Service Pack 3

03/02/2009 15:58:37
mbam-log-2009-02-03 (15-58-37).txt

Type de recherche: Examen rapide
Eléments examinés: 55506
Temps écoulé: 8 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5929cd6e-2062-44a4-b2c5-2c7e78fbab38} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{53e0b6e8-a51d-448b-b692-40b67b285543} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f31a5d11-bf0b-4a4e-90af-274f2090aaa6} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\synsend (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

je redémarre et je vous donne un nouveau rapport HijackThis

Merci encore :)

Réponse 12 / 24

Geronimo

Et voici le nouveau rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:12:03, on 03/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Folding@Home\Folding@Home #02\FAH-Console.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://gamespace.daemon-tools.cc/fra/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.systemrequirementslab.com/cyri
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D71F9A27-723E-4B8B-B428-B725E47CBA3E} - http://imikimi.com/download/imikimi_plugin_0.5.1.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Folding Service #01 (FAH-01) - Stanford University - E:\Folding@Home\Folding@Home #02\FAH-Console.exe
O23 - Service: Folding Service #02 (FAH-02) - Stanford University - E:\Folding@Home\Folding@Home #02\FAH-Console.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Réponse 13 / 24

Utilisateur anonyme

============== Rogue Remover ==================

Télécharger et installer rogueremover

Accepter les mises à jour

Click sur l'icone Scan

Le scan donne sous forme de liste les éléments néfastes détectés.

Ces derniers sont automatiquement coché.

Il suffit de cliquer sur le bouton Remove Selected pour procéder à la suppression.

Une popup demande si le résultat d'analyse doit être envoyer à RogueNET.
Aucune information personnelle n'est envoyée.
Cliquer sur Yes pour accepter, No pour refuser. (Yes recommandé pour faire avancer l'outil)

Une fois la suppression effectuée, une fenêtre indique qu'un rapport a été généré.
Ce dernier est placé dans le dossier RogueRemover, par défaut C:\Program Files\RogueRemover

Pour ouvrir le rapport :

* Ouvrir le Poste de Travail
* Double-click sur le disque C
* Ouvrir le dossier Program Files/RogueRemover
* Dans la liste des fichier doit se trouver le rapport RRLogxxxx.txt
* Poster le message dans la prochaine réponse.
Attendre la suite

Réponse 14 / 24

Geronimo

Lorsque je clique sur le lien rogueremover , il m'indique : " The RogueRemover product line has been discontinued. The good news is that all of the great core technologies in RogueRemover and more are included in Malwarebytes' Anti-Malware."

Que dois-je faire ?

Réponse 15 / 24

Utilisateur anonyme

=================== SMITFRAUDFIX ======================

Télécharger SmitfraudFix (de S!ri)

Etape 1 : Recherche

• Mettre le fichier SmitfraudFix.exe, téléchargé préalablement, sur le Bureau Windows.
• Double click sur SmitfraudFix.exe pour lancer l'outil.
• Après l'affichage du menu, taper 1 puis faire Entrée pour rechercher les fichiers responsables de l'infection.
• Copier/Coller le rapport qui se trouve à la racine de la partition système (en général il s'agit de C: ) dans le fichier rapport.txtdans le prochain message
• Attendre la suite

Notes:
1/ Il faut autoriser l'exécution de l'intégralité du script Visual Basic (fichier de type vbs) une
seule fois en cas d'alerte par votre antivirus (pas d'interruption).
2/ process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus,
mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité
(Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Site officiel
3/ Sous vista le faire executer avec les droits d'administrateur si il y a un souci.

Réponse 16 / 24

Geronimo

Voici le rapport SmitfraudFix

SmitFraudFix v2.392

Rapport fait à 16:41:59,17, 03/02/2009
Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Folding@Home\Folding@Home #02\FAH-Console.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Google\googletoolbar1.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{BC1A9A93-3CDB-4CCD-A694-02B5BD8C7F9C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BC1A9A93-3CDB-4CCD-A694-02B5BD8C7F9C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BC1A9A93-3CDB-4CCD-A694-02B5BD8C7F9C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{BC1A9A93-3CDB-4CCD-A694-02B5BD8C7F9C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Réponse 17 / 24

Utilisateur anonyme

Etape 2 : Nettoyage:

------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Double click sur SmitfraudFix.exe
• Sélectionner 2 et presser Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
• A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer
le fond d'écran et supprimer les clés de registre de l'infection.
• Le correctif déterminera si le fichier wininet.dll est infecté.
• A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
pour remplacer le fichier corrompu.
• Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
Le rapport se trouve à la racine de la partition système (en général il s'agit de C: )
dans le fichier rapport.txt. Le Copier/Coller dans le prochain message.
Relancer la machine + un rapport HiJackThis

Notes:
1/ Il faut autoriser l'exécution de l'intégralité du script Visual Basic (fichier de type vbs) une
seule fois en cas d'alerte par votre antivirus (pas d'interruption).
2/ process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus,
mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité
(Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Site officiel
3/ Sous vista le faire executer avec les droits d'administrateur si il y a un souci.

Réponse 18 / 24

Geronimo

Voici le rapport SmitFraudFix

SmitFraudFix v2.392

Rapport fait à 17:01:14,85, 03/02/2009
Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Program Files\Google\googletoolbar1.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{BC1A9A93-3CDB-4CCD-A694-02B5BD8C7F9C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BC1A9A93-3CDB-4CCD-A694-02B5BD8C7F9C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BC1A9A93-3CDB-4CCD-A694-02B5BD8C7F9C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{BC1A9A93-3CDB-4CCD-A694-02B5BD8C7F9C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Réponse 19 / 24

Geronimo

et le nouveau HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:14:06, on 03/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Folding@Home\Folding@Home #02\FAH-Console.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.systemrequirementslab.com/cyri
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D71F9A27-723E-4B8B-B428-B725E47CBA3E} - http://imikimi.com/download/imikimi_plugin_0.5.1.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Folding Service #01 (FAH-01) - Stanford University - E:\Folding@Home\Folding@Home #02\FAH-Console.exe
O23 - Service: Folding Service #02 (FAH-02) - Stanford University - E:\Folding@Home\Folding@Home #02\FAH-Console.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Réponse 20 / 24

Utilisateur anonyme

----------------------- Fixer des lignes HitjackThis -------------------

Relancer Hitjackthis

• Fixer cette/ces lignes

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

• Pour fixer cette/ces lignes.
• Cliquer sur la petite case à gauche de chaque ligne à fixer.

• Une fois cette/ces lignes cochées,
• fermer toutes tes fenêtres y compris internet
• click sur le bouton en bas FIX CHECKED
• Fermer et relancer la machine et HitJackThis
• Copier/Coller le nouveau rapport sur le forum.

-

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport

écrire un rapport de travail

impossible d'afficher le tableau dynamique sur un rapport existant

Problém affichage du tableau croisé dynamique

Tableau croisé dynamique

Votre réponse

Discussions similaires