Virus??
woody
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
help!!je pense avoir des virus sur mon ordi. il rame et avast me detecte un virus win 32 que je n arrive pas a supprimer. j'ai aussi fait un nettoyage avec ccleaner. j ai aussi utiliser hijackthis mais je n'ai pas le décodeur cerebrale c'est pour ca k je le poste en esperant que qqn pourra me venir en aide (j'ai windows xp et internet explorer 6):
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:35:59, on 21/03/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\khooker.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\documents and settings\bipbip\local settings\application data\eiimoau.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eiimoau] "c:\documents and settings\bipbip\local settings\application data\eiimoau.exe" eiimoau
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
help!!je pense avoir des virus sur mon ordi. il rame et avast me detecte un virus win 32 que je n arrive pas a supprimer. j'ai aussi fait un nettoyage avec ccleaner. j ai aussi utiliser hijackthis mais je n'ai pas le décodeur cerebrale c'est pour ca k je le poste en esperant que qqn pourra me venir en aide (j'ai windows xp et internet explorer 6):
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:35:59, on 21/03/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\khooker.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\documents and settings\bipbip\local settings\application data\eiimoau.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eiimoau] "c:\documents and settings\bipbip\local settings\application data\eiimoau.exe" eiimoau
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
A voir également:
- Virus??
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
- Ordinateur bloqué virus - Accueil - Arnaque
6 réponses
Bonjour,
télécharge GenProc http://www.genproc.com/GenProc.exe
double-clique sur GenProc.exe, suis la procédure et quand c'est terminé installe IE7
Si problème persiste signale-le.
télécharge GenProc http://www.genproc.com/GenProc.exe
double-clique sur GenProc.exe, suis la procédure et quand c'est terminé installe IE7
Si problème persiste signale-le.
slt le gros souci c'est que ton pc n'as pas un windows a jour et pas de parefeu!
_______________________
1/ ton windows est légal????
_______________________
2/
installe un parefeu: comme zone alarm: (et bloque ce fichier si il veut se connecter: eiimoau.exe)
https://www.zonealarm.com/software/free-firewall
manuel
https://www.malekal.com/tutoriel-zonealarm-firewall/
_______________________
3/
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
__________________________________
4.
scan avec malwarebyte , fais un scan rapide et colle le rapport obtenu et vire ce qui est trouvé:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
______________________
5/
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
_______________________
1/ ton windows est légal????
_______________________
2/
installe un parefeu: comme zone alarm: (et bloque ce fichier si il veut se connecter: eiimoau.exe)
https://www.zonealarm.com/software/free-firewall
manuel
https://www.malekal.com/tutoriel-zonealarm-firewall/
_______________________
3/
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
__________________________________
4.
scan avec malwarebyte , fais un scan rapide et colle le rapport obtenu et vire ce qui est trouvé:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
______________________
5/
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Clique Continue à l'écran Disclaimer.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
salut,
ma version de windows est légal et j'ai un pare feu sur ma carte reseau...j ai telecharger qd meme zonalarm mais impossible de l'installer : mon pack windows n'est pas compatible!?il faut apparemment le pack 2.
j ai suivi tes instructions voici tout les rapports en esperant que ces virus ne te resisteront pas!lol
Rapport combofix:
ComboFix 09-03-19.02 - bipbip 2009-03-22 14:15:28.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.0.1252.1.1036.18.223.80 [GMT 1:00]
Lancé depuis: c:\documents and settings\bipbip\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer
c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer\Conditions générales.url
c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer\Confidentialité.url
c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer\Website.url
c:\documents and settings\bipbip\Local Settings\Application Data\eiimoau.dat
c:\documents and settings\bipbip\Local Settings\Application Data\eiimoau.exe
c:\documents and settings\bipbip\Local Settings\Application Data\eiimoau_nav.dat
c:\documents and settings\bipbip\Local Settings\Application Data\eiimoau_navps.dat
c:\program files\webmediaplayer
c:\program files\webmediaplayer\resources\wmp_translation_file.xml
c:\program files\webmediaplayer\skins\classic.skn
c:\program files\webmediaplayer\sqlite3.dll
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
c:\windows\system32\drivers\sysdrv32.sys
c:\windows\system32\i
c:\windows\system32\mdm.exe
c:\windows\system32\NirCmd.exe
c:\windows\system32\SbiCtr.exe
c:\windows\system32\SYSTMEM.EXE
c:\windows\usb.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_MSDDLL
-------\Legacy_SYSDRV32
-------\Service_Passthru
-------\Service_sysdrv32
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-22 au 2009-03-22 ))))))))))))))))))))))))))))))))))))
.
2009-03-22 13:46 . 2009-03-22 13:46 <REP> d-------- c:\windows\Internet Logs
2009-03-21 18:23 . 2002-06-17 19:31 798,739 -ra------ c:\windows\system32\drivers\sis7012.sys
2009-03-21 18:23 . 2001-08-18 06:24 135,040 --a------ c:\windows\system32\drivers\portcls.sys
2009-03-21 18:23 . 2001-08-18 06:24 135,040 --a--c--- c:\windows\system32\dllcache\portcls.sys
2009-03-21 18:23 . 2001-01-03 07:12 78,948 --a--c--- c:\windows\system32\dllcache\a3d.dll
2009-03-21 18:23 . 2001-01-03 07:12 78,948 -ra------ c:\windows\system32\a3d.dll
2009-03-21 18:23 . 2001-08-17 22:01 57,344 --a------ c:\windows\system32\drivers\drmk.sys
2009-03-21 18:23 . 2001-08-17 22:01 57,344 --a--c--- c:\windows\system32\dllcache\drmk.sys
2009-03-20 21:26 . 2009-03-20 21:26 664 --a------ c:\windows\system32\d3d9caps.dat
2009-03-20 21:03 . 2009-03-20 21:04 <REP> d-------- c:\windows\LastGood
2009-03-20 18:34 . 2009-03-20 18:34 <REP> d-------- c:\windows\LastGood.Tmp
2009-03-06 16:41 . 2009-03-06 16:41 114,176 --a------ C:\autoexec.exe
2009-03-05 19:58 . 2009-03-05 19:58 115,712 --a------ C:\mail.exe
2009-03-05 18:09 . 2009-03-05 18:09 268 --ah----- C:\sqmdata19.sqm
2009-03-05 18:09 . 2009-03-05 18:09 244 --ah----- C:\sqmnoopt19.sqm
2009-03-04 23:18 . 2009-03-04 23:18 268 --ah----- C:\sqmdata18.sqm
2009-03-04 23:18 . 2009-03-04 23:18 244 --ah----- C:\sqmnoopt18.sqm
2009-03-04 22:32 . 2009-03-04 22:32 268 --ah----- C:\sqmdata17.sqm
2009-03-04 22:32 . 2009-03-04 22:32 244 --ah----- C:\sqmnoopt17.sqm
2009-03-02 22:45 . 2009-03-02 22:45 268 --ah----- C:\sqmdata16.sqm
2009-03-02 22:45 . 2009-03-02 22:45 244 --ah----- C:\sqmnoopt16.sqm
2009-03-02 21:58 . 2009-03-02 21:58 10,752 --ah----- c:\documents and settings\LocalService.AUTORITE NT\juxnc.exe
2009-03-02 21:53 . 2009-03-02 21:53 48,128 --a------ c:\windows\system32\drivers\ndisio.sys
2009-03-02 21:48 . 2009-03-02 21:48 268 --ah----- C:\sqmdata15.sqm
2009-03-02 21:48 . 2009-03-02 21:48 244 --ah----- C:\sqmnoopt15.sqm
2009-03-02 17:35 . 2009-03-02 17:35 34,016 --a------ c:\windows\system32\drivers\kibjwwdt.sys
2009-03-02 17:22 . 2009-03-02 17:22 10,752 --ah----- c:\documents and settings\LocalService.AUTORITE NT\hlc.exe
2009-03-01 21:25 . 2009-03-01 21:25 268 --ah----- C:\sqmdata14.sqm
2009-03-01 21:25 . 2009-03-01 21:25 244 --ah----- C:\sqmnoopt14.sqm
2009-03-01 13:49 . 2009-03-02 21:58 67,584 ---h----- c:\windows\system32\secupdat.dat
2009-02-28 19:47 . 2009-02-28 19:47 268 --ah----- C:\sqmdata13.sqm
2009-02-28 19:47 . 2009-02-28 19:47 244 --ah----- C:\sqmnoopt13.sqm
2009-02-28 16:30 . 2009-02-28 16:30 268 --ah----- C:\sqmdata12.sqm
2009-02-28 16:30 . 2009-02-28 16:30 244 --ah----- C:\sqmnoopt12.sqm
2009-02-28 14:21 . 2009-02-28 14:21 208 --ah----- C:\sqmdata11.sqm
2009-02-28 14:21 . 2009-02-28 14:21 172 --ah----- C:\sqmnoopt11.sqm
2009-02-28 14:07 . 2009-02-28 14:07 268 --ah----- C:\sqmdata10.sqm
2009-02-28 14:07 . 2009-02-28 14:07 244 --ah----- C:\sqmnoopt10.sqm
2009-02-28 13:51 . 2009-02-28 13:51 268 --ah----- C:\sqmdata09.sqm
2009-02-28 13:51 . 2009-02-28 13:51 244 --ah----- C:\sqmnoopt09.sqm
2009-02-27 18:06 . 2009-02-27 18:06 268 --ah----- C:\sqmdata08.sqm
2009-02-27 18:06 . 2009-02-27 18:06 244 --ah----- C:\sqmnoopt08.sqm
2009-02-26 23:02 . 2009-02-26 23:02 268 --ah----- C:\sqmdata07.sqm
2009-02-26 23:02 . 2009-02-26 23:02 244 --ah----- C:\sqmnoopt07.sqm
2009-02-26 21:24 . 2009-02-26 21:24 268 --ah----- C:\sqmdata06.sqm
2009-02-26 21:24 . 2009-02-26 21:24 244 --ah----- C:\sqmnoopt06.sqm
2009-02-25 21:58 . 2009-02-25 21:58 268 --ah----- C:\sqmdata05.sqm
2009-02-25 21:58 . 2009-02-25 21:58 244 --ah----- C:\sqmnoopt05.sqm
2009-02-24 22:46 . 2009-02-24 22:46 268 --ah----- C:\sqmdata04.sqm
2009-02-24 22:46 . 2009-02-24 22:46 244 --ah----- C:\sqmnoopt04.sqm
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-21 19:15 --------- d-----w c:\program files\Everest Poker
2009-02-15 13:16 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\wmp
2009-02-08 20:44 519,168 ----a-w c:\windows\system32\rn.exe
2009-02-08 20:43 519,168 ----a-w c:\windows\system32\rg.exe
2009-02-06 22:49 --------- d-----w c:\program files\PKR
2009-01-25 19:29 --------- d-----w c:\program files\MSN Messenger
2009-01-24 13:05 --------- d-----w c:\program files\Zoom Player
2009-01-24 13:05 --------- d-----w c:\program files\XviD
2009-01-24 13:05 --------- d-----w c:\program files\Web Publish
2009-01-24 13:05 --------- d-----w c:\program files\The Playa
2009-01-24 13:03 --------- d-----w c:\program files\QuickTime
2009-01-24 13:03 --------- d-----w c:\program files\Navilog1
2009-01-24 13:00 --------- d-----w c:\program files\K-Lite Codec Pack
2009-01-24 12:58 --------- d-----w c:\program files\GordianKnot
2009-01-24 12:58 --------- d-----w c:\program files\Global DiVX
2009-01-24 12:58 --------- d-----w c:\program files\Free.fr
2009-01-24 12:56 --------- d-----w c:\program files\DivX_311alpha
2009-01-24 12:54 --------- d-----w c:\program files\ACDSee32
2009-01-23 16:14 --------- d-----w c:\program files\Trend Micro
2009-01-16 20:50 318,369 ----a-w c:\program files\HiJackThis.zip
2009-01-11 20:39 33,792 ----a-w C:\dial.exe
2009-01-06 12:48 33 ----a-w C:\ag.bat
1999-04-06 13:27 99,840 -c--a-w c:\program files\Fichiers communs\IRAABOUT.DLL
1998-12-09 03:53 70,144 -c--a-w c:\program files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 03:53 48,640 -c--a-w c:\program files\Fichiers communs\IRALPTTR.DLL
1998-12-09 03:53 31,744 -c--a-w c:\program files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 03:53 186,368 -c--a-w c:\program files\Fichiers communs\IRAREG.DLL
1998-12-09 03:53 17,920 -c--a-w c:\program files\Fichiers communs\IRASRIAL.DLL
2008-12-17 23:04 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-12-17 23:04 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-17 23:04 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-12-17 23:04 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-12-17 23:04 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS KHooker"="c:\windows\System32\khooker.exe" [2002-01-25 290816]
"SiSUSBRG"="c:\windows\sisUSBrg.exe" [2002-04-26 32768]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-21 136600]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-28 13312]
c:\documents and settings\Gaultier Delphine\Menu D‚marrer\Programmes\D‚marrage\
Pense-bˆte.lnk - c:\program files\Mindscape\PrintMaster\PMREMIND.EXE [1997-10-14 2344920]
c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kibjwwdt.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WindowsTelephony]
@="Service"
R0 kibjwwdt;kibjwwdt;c:\windows\system32\drivers\kibjwwdt.sys [2009-03-02 34016]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-03-21 78416]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\windows\system32\drivers\sis7012.sys [2009-03-21 798739]
S4 WindowsTelephony;Windows Telephony;"c:\windows\system\svhost.exe" --> c:\windows\system\svhost.exe [?]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-eiimoau - c:\documents and settings\bipbip\local settings\application data\eiimoau.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
FF - ProfilePath - c:\documents and settings\bipbip\Application Data\Mozilla\Firefox\Profiles\kpc2t6o3.default\
FF - prefs.js: network.proxy.ftp - localhost
FF - prefs.js: network.proxy.ftp_port - 8800
FF - prefs.js: network.proxy.gopher - localhost
FF - prefs.js: network.proxy.gopher_port - 8800
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 8800
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 8800
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 8800
FF - prefs.js: network.proxy.type - 1
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\program files\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-22 14:21:33
Windows 5.1.2600 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(404)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
- - - - - - - > 'lsass.exe'(468)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\System32\dssenh.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
.
**************************************************************************
.
Heure de fin: 2009-03-22 14:26:49 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-22 13:26:43
Avant-CF: 6 216 146 944 octets libres
Après-CF: 6,380,478,464 octets libres
WinXP_FR_PER_BF.EXE
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect
214
Rapport MALWAREBYTES :
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1884
Windows 5.1.2600
2009-03-22 17:17:47
mbam-log-2009-03-22 (17-17-47).txt
Type de recherche: Examen rapide
Eléments examinés: 90882
Temps écoulé: 9 minute(s), 14 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 5
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eiimoau (Adware.Navipromo.H) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\Program Files\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau.exe (Adware.Navipromo.H) -> Delete on reboot.
C:\WINDOWS\system32\drivers\sysdrv32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
Rapport RIST LOG :
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1884
Windows 5.1.2600
2009-03-22 17:17:47
mbam-log-2009-03-22 (17-17-47).txt
Type de recherche: Examen rapide
Eléments examinés: 90882
Temps écoulé: 9 minute(s), 14 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 5
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eiimoau (Adware.Navipromo.H) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\Program Files\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau.exe (Adware.Navipromo.H) -> Delete on reboot.
C:\WINDOWS\system32\drivers\sysdrv32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
Et rapport RIST INFO:
info.txt logfile of random's system information tool 1.06 2009-03-22 17:27:59
======Uninstall list======
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\System32\Macromed\Flash\uninstall_plugin.exe
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
AVG Anti-Rootkit Free-->C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\Uninstall.exe
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Everest Poker (Remove Only)-->C:\Program Files\Everest Poker\cstart.exe /uninstall
Favorit-->"c:\documents and settings\bipbip\local settings\application data\eiimoau.exe" -uninstall
Guitar Pro 5.0-->"C:\Program Files\Guitar Pro 5\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office 2000 Professional-->MsiExec.exe /I{0001040C-78E1-11D2-B60F-006097C998E7}
Mozilla Firefox (2.0.0.20)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Navilog1 3.7.1-->"C:\Program Files\Navilog1\unins000.exe"
PKR-->"C:\Program Files\PKR\uninstall-pkr.exe"
SAMSUNG CDMA Modem Driver Set-->C:\WINDOWS\System32\Samsung_USB_Drivers\3\SSCDUninstall.exe
SAMSUNG Mobile Composite Device Software-->C:\WINDOWS\System32\Samsung_USB_Drivers\6\SSBCUninstall.exe
Samsung Mobile phone USB driver Software-->C:\WINDOWS\System32\Samsung_USB_Drivers\5\SSSDUninstall.exe
SAMSUNG Mobile USB Modem 1.0 Software-->C:\WINDOWS\System32\Samsung_USB_Drivers\1\SS_Uninstall.exe
SAMSUNG Mobile USB Modem Software-->C:\WINDOWS\System32\Samsung_USB_Drivers\2\SSM_Uninstall.exe
Samsung PC Studio 3-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -l0x40c -removeonly
SiS 650-->RUNDLL32 setuplib.dll,UnInstall ,315&ISUNINST -f"C:\PROGRA~1\SISCOM~1.07L\DeIsL1.isu"&P.U 4 sisgr.inf&-1
SiS 900 PCI Fast Ethernet Adapter Driver-->C:\Progra~1\SiSLan\Uninst.exe
SiS Audio Driver-->C:\Progra~1\SiS7012\Uninst\uninst2k.exe PCI\VEN_1039&DEV_7012
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
======System event log======
Computer Name: GAULTIER-P0Y25S
Event Code: 26
Message: Application popup : Erreur :
Record Number: 27632
Source Name: Application Popup
Time Written: 20090121223603.000000+060
Event Type: Informations
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 26
Message: Application popup : Erreur :
Record Number: 27631
Source Name: Application Popup
Time Written: 20090121223603.000000+060
Event Type: Informations
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 7009
Message: Délai (30000 millisecondes) d'attente pour une connexion du service Usb Service 2.0.
Record Number: 27630
Source Name: Service Control Manager
Time Written: 20090121223603.000000+060
Event Type: erreur
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 7009
Message: Délai (30000 millisecondes) d'attente pour une connexion du service Usb Service 2.0.
Record Number: 27629
Source Name: Service Control Manager
Time Written: 20090121223603.000000+060
Event Type: erreur
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 26
Message: Application popup : Erreur :
Record Number: 27628
Source Name: Application Popup
Time Written: 20090121223603.000000+060
Event Type: Informations
User:
=====Application event log=====
Computer Name: GAULTIER-P0Y25S
Event Code: 2001
Message: Le service EAPOL a été démarré correctement
Record Number: 695
Source Name: EAPOL
Time Written: 20090118001058.000000+060
Event Type: Informations
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 1517
Message: Windows a sauvegardé le Registre utilisateur GAULTIER-P0Y25S\bipbip alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé.
Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.
Record Number: 694
Source Name: Userenv
Time Written: 20090117234230.000000+060
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: GAULTIER-P0Y25S
Event Code: 1015
Message: Le délai d'exécution de la fonction "PerfProc" de collecte de données de
performance dans la bibliothèque "C:\WINDOWS\system32\perfproc.dll" a expiré. Il y a peut-être un
problème pour ce compteur extensible ou le service dont il tire ses
informations, ou le système était peut-être très occupé au moment où
l'appel a été tenté.
Record Number: 693
Source Name: Perflib
Time Written: 20090117225354.000000+060
Event Type: erreur
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 2001
Message: Le service EAPOL a été démarré correctement
Record Number: 692
Source Name: EAPOL
Time Written: 20090117225255.000000+060
Event Type: Informations
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 1517
Message: Windows a sauvegardé le Registre utilisateur GAULTIER-P0Y25S\bipbip alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé.
Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.
Record Number: 691
Source Name: Userenv
Time Written: 20090117220412.000000+060
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\Samsung\Samsung PC Studio 3
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 4, GenuineIntel
"PROCESSOR_REVISION"=0204
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------
MERCI ENCORE!!!
ma version de windows est légal et j'ai un pare feu sur ma carte reseau...j ai telecharger qd meme zonalarm mais impossible de l'installer : mon pack windows n'est pas compatible!?il faut apparemment le pack 2.
j ai suivi tes instructions voici tout les rapports en esperant que ces virus ne te resisteront pas!lol
Rapport combofix:
ComboFix 09-03-19.02 - bipbip 2009-03-22 14:15:28.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.0.1252.1.1036.18.223.80 [GMT 1:00]
Lancé depuis: c:\documents and settings\bipbip\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer
c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer\Conditions générales.url
c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer\Confidentialité.url
c:\documents and settings\All Users.WINDOWS\Menu Démarrer\Programmes\WebMediaPlayer\Website.url
c:\documents and settings\bipbip\Local Settings\Application Data\eiimoau.dat
c:\documents and settings\bipbip\Local Settings\Application Data\eiimoau.exe
c:\documents and settings\bipbip\Local Settings\Application Data\eiimoau_nav.dat
c:\documents and settings\bipbip\Local Settings\Application Data\eiimoau_navps.dat
c:\program files\webmediaplayer
c:\program files\webmediaplayer\resources\wmp_translation_file.xml
c:\program files\webmediaplayer\skins\classic.skn
c:\program files\webmediaplayer\sqlite3.dll
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
c:\windows\system32\drivers\sysdrv32.sys
c:\windows\system32\i
c:\windows\system32\mdm.exe
c:\windows\system32\NirCmd.exe
c:\windows\system32\SbiCtr.exe
c:\windows\system32\SYSTMEM.EXE
c:\windows\usb.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_MSDDLL
-------\Legacy_SYSDRV32
-------\Service_Passthru
-------\Service_sysdrv32
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-22 au 2009-03-22 ))))))))))))))))))))))))))))))))))))
.
2009-03-22 13:46 . 2009-03-22 13:46 <REP> d-------- c:\windows\Internet Logs
2009-03-21 18:23 . 2002-06-17 19:31 798,739 -ra------ c:\windows\system32\drivers\sis7012.sys
2009-03-21 18:23 . 2001-08-18 06:24 135,040 --a------ c:\windows\system32\drivers\portcls.sys
2009-03-21 18:23 . 2001-08-18 06:24 135,040 --a--c--- c:\windows\system32\dllcache\portcls.sys
2009-03-21 18:23 . 2001-01-03 07:12 78,948 --a--c--- c:\windows\system32\dllcache\a3d.dll
2009-03-21 18:23 . 2001-01-03 07:12 78,948 -ra------ c:\windows\system32\a3d.dll
2009-03-21 18:23 . 2001-08-17 22:01 57,344 --a------ c:\windows\system32\drivers\drmk.sys
2009-03-21 18:23 . 2001-08-17 22:01 57,344 --a--c--- c:\windows\system32\dllcache\drmk.sys
2009-03-20 21:26 . 2009-03-20 21:26 664 --a------ c:\windows\system32\d3d9caps.dat
2009-03-20 21:03 . 2009-03-20 21:04 <REP> d-------- c:\windows\LastGood
2009-03-20 18:34 . 2009-03-20 18:34 <REP> d-------- c:\windows\LastGood.Tmp
2009-03-06 16:41 . 2009-03-06 16:41 114,176 --a------ C:\autoexec.exe
2009-03-05 19:58 . 2009-03-05 19:58 115,712 --a------ C:\mail.exe
2009-03-05 18:09 . 2009-03-05 18:09 268 --ah----- C:\sqmdata19.sqm
2009-03-05 18:09 . 2009-03-05 18:09 244 --ah----- C:\sqmnoopt19.sqm
2009-03-04 23:18 . 2009-03-04 23:18 268 --ah----- C:\sqmdata18.sqm
2009-03-04 23:18 . 2009-03-04 23:18 244 --ah----- C:\sqmnoopt18.sqm
2009-03-04 22:32 . 2009-03-04 22:32 268 --ah----- C:\sqmdata17.sqm
2009-03-04 22:32 . 2009-03-04 22:32 244 --ah----- C:\sqmnoopt17.sqm
2009-03-02 22:45 . 2009-03-02 22:45 268 --ah----- C:\sqmdata16.sqm
2009-03-02 22:45 . 2009-03-02 22:45 244 --ah----- C:\sqmnoopt16.sqm
2009-03-02 21:58 . 2009-03-02 21:58 10,752 --ah----- c:\documents and settings\LocalService.AUTORITE NT\juxnc.exe
2009-03-02 21:53 . 2009-03-02 21:53 48,128 --a------ c:\windows\system32\drivers\ndisio.sys
2009-03-02 21:48 . 2009-03-02 21:48 268 --ah----- C:\sqmdata15.sqm
2009-03-02 21:48 . 2009-03-02 21:48 244 --ah----- C:\sqmnoopt15.sqm
2009-03-02 17:35 . 2009-03-02 17:35 34,016 --a------ c:\windows\system32\drivers\kibjwwdt.sys
2009-03-02 17:22 . 2009-03-02 17:22 10,752 --ah----- c:\documents and settings\LocalService.AUTORITE NT\hlc.exe
2009-03-01 21:25 . 2009-03-01 21:25 268 --ah----- C:\sqmdata14.sqm
2009-03-01 21:25 . 2009-03-01 21:25 244 --ah----- C:\sqmnoopt14.sqm
2009-03-01 13:49 . 2009-03-02 21:58 67,584 ---h----- c:\windows\system32\secupdat.dat
2009-02-28 19:47 . 2009-02-28 19:47 268 --ah----- C:\sqmdata13.sqm
2009-02-28 19:47 . 2009-02-28 19:47 244 --ah----- C:\sqmnoopt13.sqm
2009-02-28 16:30 . 2009-02-28 16:30 268 --ah----- C:\sqmdata12.sqm
2009-02-28 16:30 . 2009-02-28 16:30 244 --ah----- C:\sqmnoopt12.sqm
2009-02-28 14:21 . 2009-02-28 14:21 208 --ah----- C:\sqmdata11.sqm
2009-02-28 14:21 . 2009-02-28 14:21 172 --ah----- C:\sqmnoopt11.sqm
2009-02-28 14:07 . 2009-02-28 14:07 268 --ah----- C:\sqmdata10.sqm
2009-02-28 14:07 . 2009-02-28 14:07 244 --ah----- C:\sqmnoopt10.sqm
2009-02-28 13:51 . 2009-02-28 13:51 268 --ah----- C:\sqmdata09.sqm
2009-02-28 13:51 . 2009-02-28 13:51 244 --ah----- C:\sqmnoopt09.sqm
2009-02-27 18:06 . 2009-02-27 18:06 268 --ah----- C:\sqmdata08.sqm
2009-02-27 18:06 . 2009-02-27 18:06 244 --ah----- C:\sqmnoopt08.sqm
2009-02-26 23:02 . 2009-02-26 23:02 268 --ah----- C:\sqmdata07.sqm
2009-02-26 23:02 . 2009-02-26 23:02 244 --ah----- C:\sqmnoopt07.sqm
2009-02-26 21:24 . 2009-02-26 21:24 268 --ah----- C:\sqmdata06.sqm
2009-02-26 21:24 . 2009-02-26 21:24 244 --ah----- C:\sqmnoopt06.sqm
2009-02-25 21:58 . 2009-02-25 21:58 268 --ah----- C:\sqmdata05.sqm
2009-02-25 21:58 . 2009-02-25 21:58 244 --ah----- C:\sqmnoopt05.sqm
2009-02-24 22:46 . 2009-02-24 22:46 268 --ah----- C:\sqmdata04.sqm
2009-02-24 22:46 . 2009-02-24 22:46 244 --ah----- C:\sqmnoopt04.sqm
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-21 19:15 --------- d-----w c:\program files\Everest Poker
2009-02-15 13:16 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\wmp
2009-02-08 20:44 519,168 ----a-w c:\windows\system32\rn.exe
2009-02-08 20:43 519,168 ----a-w c:\windows\system32\rg.exe
2009-02-06 22:49 --------- d-----w c:\program files\PKR
2009-01-25 19:29 --------- d-----w c:\program files\MSN Messenger
2009-01-24 13:05 --------- d-----w c:\program files\Zoom Player
2009-01-24 13:05 --------- d-----w c:\program files\XviD
2009-01-24 13:05 --------- d-----w c:\program files\Web Publish
2009-01-24 13:05 --------- d-----w c:\program files\The Playa
2009-01-24 13:03 --------- d-----w c:\program files\QuickTime
2009-01-24 13:03 --------- d-----w c:\program files\Navilog1
2009-01-24 13:00 --------- d-----w c:\program files\K-Lite Codec Pack
2009-01-24 12:58 --------- d-----w c:\program files\GordianKnot
2009-01-24 12:58 --------- d-----w c:\program files\Global DiVX
2009-01-24 12:58 --------- d-----w c:\program files\Free.fr
2009-01-24 12:56 --------- d-----w c:\program files\DivX_311alpha
2009-01-24 12:54 --------- d-----w c:\program files\ACDSee32
2009-01-23 16:14 --------- d-----w c:\program files\Trend Micro
2009-01-16 20:50 318,369 ----a-w c:\program files\HiJackThis.zip
2009-01-11 20:39 33,792 ----a-w C:\dial.exe
2009-01-06 12:48 33 ----a-w C:\ag.bat
1999-04-06 13:27 99,840 -c--a-w c:\program files\Fichiers communs\IRAABOUT.DLL
1998-12-09 03:53 70,144 -c--a-w c:\program files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 03:53 48,640 -c--a-w c:\program files\Fichiers communs\IRALPTTR.DLL
1998-12-09 03:53 31,744 -c--a-w c:\program files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 03:53 186,368 -c--a-w c:\program files\Fichiers communs\IRAREG.DLL
1998-12-09 03:53 17,920 -c--a-w c:\program files\Fichiers communs\IRASRIAL.DLL
2008-12-17 23:04 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-12-17 23:04 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-17 23:04 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-12-17 23:04 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-12-17 23:04 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS KHooker"="c:\windows\System32\khooker.exe" [2002-01-25 290816]
"SiSUSBRG"="c:\windows\sisUSBrg.exe" [2002-04-26 32768]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-21 136600]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-28 13312]
c:\documents and settings\Gaultier Delphine\Menu D‚marrer\Programmes\D‚marrage\
Pense-bˆte.lnk - c:\program files\Mindscape\PrintMaster\PMREMIND.EXE [1997-10-14 2344920]
c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kibjwwdt.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WindowsTelephony]
@="Service"
R0 kibjwwdt;kibjwwdt;c:\windows\system32\drivers\kibjwwdt.sys [2009-03-02 34016]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-03-21 78416]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\windows\system32\drivers\sis7012.sys [2009-03-21 798739]
S4 WindowsTelephony;Windows Telephony;"c:\windows\system\svhost.exe" --> c:\windows\system\svhost.exe [?]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-eiimoau - c:\documents and settings\bipbip\local settings\application data\eiimoau.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
FF - ProfilePath - c:\documents and settings\bipbip\Application Data\Mozilla\Firefox\Profiles\kpc2t6o3.default\
FF - prefs.js: network.proxy.ftp - localhost
FF - prefs.js: network.proxy.ftp_port - 8800
FF - prefs.js: network.proxy.gopher - localhost
FF - prefs.js: network.proxy.gopher_port - 8800
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 8800
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 8800
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 8800
FF - prefs.js: network.proxy.type - 1
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\program files\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-22 14:21:33
Windows 5.1.2600 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(404)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
- - - - - - - > 'lsass.exe'(468)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\System32\dssenh.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
.
**************************************************************************
.
Heure de fin: 2009-03-22 14:26:49 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-22 13:26:43
Avant-CF: 6 216 146 944 octets libres
Après-CF: 6,380,478,464 octets libres
WinXP_FR_PER_BF.EXE
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect
214
Rapport MALWAREBYTES :
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1884
Windows 5.1.2600
2009-03-22 17:17:47
mbam-log-2009-03-22 (17-17-47).txt
Type de recherche: Examen rapide
Eléments examinés: 90882
Temps écoulé: 9 minute(s), 14 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 5
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eiimoau (Adware.Navipromo.H) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\Program Files\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau.exe (Adware.Navipromo.H) -> Delete on reboot.
C:\WINDOWS\system32\drivers\sysdrv32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
Rapport RIST LOG :
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1884
Windows 5.1.2600
2009-03-22 17:17:47
mbam-log-2009-03-22 (17-17-47).txt
Type de recherche: Examen rapide
Eléments examinés: 90882
Temps écoulé: 9 minute(s), 14 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 5
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eiimoau (Adware.Navipromo.H) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\Program Files\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bipbip\Local Settings\Application Data\eiimoau.exe (Adware.Navipromo.H) -> Delete on reboot.
C:\WINDOWS\system32\drivers\sysdrv32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Program Files\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
Et rapport RIST INFO:
info.txt logfile of random's system information tool 1.06 2009-03-22 17:27:59
======Uninstall list======
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\System32\Macromed\Flash\uninstall_plugin.exe
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
AVG Anti-Rootkit Free-->C:\Program Files\GRISOFT\AVG Anti-Rootkit Free\Uninstall.exe
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Everest Poker (Remove Only)-->C:\Program Files\Everest Poker\cstart.exe /uninstall
Favorit-->"c:\documents and settings\bipbip\local settings\application data\eiimoau.exe" -uninstall
Guitar Pro 5.0-->"C:\Program Files\Guitar Pro 5\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Office 2000 Professional-->MsiExec.exe /I{0001040C-78E1-11D2-B60F-006097C998E7}
Mozilla Firefox (2.0.0.20)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Navilog1 3.7.1-->"C:\Program Files\Navilog1\unins000.exe"
PKR-->"C:\Program Files\PKR\uninstall-pkr.exe"
SAMSUNG CDMA Modem Driver Set-->C:\WINDOWS\System32\Samsung_USB_Drivers\3\SSCDUninstall.exe
SAMSUNG Mobile Composite Device Software-->C:\WINDOWS\System32\Samsung_USB_Drivers\6\SSBCUninstall.exe
Samsung Mobile phone USB driver Software-->C:\WINDOWS\System32\Samsung_USB_Drivers\5\SSSDUninstall.exe
SAMSUNG Mobile USB Modem 1.0 Software-->C:\WINDOWS\System32\Samsung_USB_Drivers\1\SS_Uninstall.exe
SAMSUNG Mobile USB Modem Software-->C:\WINDOWS\System32\Samsung_USB_Drivers\2\SSM_Uninstall.exe
Samsung PC Studio 3-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -l0x40c -removeonly
SiS 650-->RUNDLL32 setuplib.dll,UnInstall ,315&ISUNINST -f"C:\PROGRA~1\SISCOM~1.07L\DeIsL1.isu"&P.U 4 sisgr.inf&-1
SiS 900 PCI Fast Ethernet Adapter Driver-->C:\Progra~1\SiSLan\Uninst.exe
SiS Audio Driver-->C:\Progra~1\SiS7012\Uninst\uninst2k.exe PCI\VEN_1039&DEV_7012
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
======System event log======
Computer Name: GAULTIER-P0Y25S
Event Code: 26
Message: Application popup : Erreur :
Record Number: 27632
Source Name: Application Popup
Time Written: 20090121223603.000000+060
Event Type: Informations
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 26
Message: Application popup : Erreur :
Record Number: 27631
Source Name: Application Popup
Time Written: 20090121223603.000000+060
Event Type: Informations
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 7009
Message: Délai (30000 millisecondes) d'attente pour une connexion du service Usb Service 2.0.
Record Number: 27630
Source Name: Service Control Manager
Time Written: 20090121223603.000000+060
Event Type: erreur
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 7009
Message: Délai (30000 millisecondes) d'attente pour une connexion du service Usb Service 2.0.
Record Number: 27629
Source Name: Service Control Manager
Time Written: 20090121223603.000000+060
Event Type: erreur
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 26
Message: Application popup : Erreur :
Record Number: 27628
Source Name: Application Popup
Time Written: 20090121223603.000000+060
Event Type: Informations
User:
=====Application event log=====
Computer Name: GAULTIER-P0Y25S
Event Code: 2001
Message: Le service EAPOL a été démarré correctement
Record Number: 695
Source Name: EAPOL
Time Written: 20090118001058.000000+060
Event Type: Informations
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 1517
Message: Windows a sauvegardé le Registre utilisateur GAULTIER-P0Y25S\bipbip alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé.
Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.
Record Number: 694
Source Name: Userenv
Time Written: 20090117234230.000000+060
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: GAULTIER-P0Y25S
Event Code: 1015
Message: Le délai d'exécution de la fonction "PerfProc" de collecte de données de
performance dans la bibliothèque "C:\WINDOWS\system32\perfproc.dll" a expiré. Il y a peut-être un
problème pour ce compteur extensible ou le service dont il tire ses
informations, ou le système était peut-être très occupé au moment où
l'appel a été tenté.
Record Number: 693
Source Name: Perflib
Time Written: 20090117225354.000000+060
Event Type: erreur
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 2001
Message: Le service EAPOL a été démarré correctement
Record Number: 692
Source Name: EAPOL
Time Written: 20090117225255.000000+060
Event Type: Informations
User:
Computer Name: GAULTIER-P0Y25S
Event Code: 1517
Message: Windows a sauvegardé le Registre utilisateur GAULTIER-P0Y25S\bipbip alors qu'une application ou un service utilisait toujours le Registre pendant la fermeture de la session. La mémoire utilisée par le Registre de l'utilisateur n'a pas été libérée. le Registre sera déchargé lorsqu'il ne sera plus utilisé.
Cela est souvent causé par des services s'exécutant en tant que compte d'utilisateur, essayez de configurer les services pour s'exécuter dans le compte service réseau ou service local.
Record Number: 691
Source Name: Userenv
Time Written: 20090117220412.000000+060
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\Samsung\Samsung PC Studio 3
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 4, GenuineIntel
"PROCESSOR_REVISION"=0204
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------
MERCI ENCORE!!!
analyse ces ficheirs sur virus total et colles les rapport https://www.virustotal.com/gui/
C:\autoexec.exe
C:\mail.exe
C:\dial.exe
C:\ag.bat
___________________
il me faudrait un rapport RSIT complet car il en manque la moitiée
C:\autoexec.exe
C:\mail.exe
C:\dial.exe
C:\ag.bat
___________________
il me faudrait un rapport RSIT complet car il en manque la moitiée
slt jlpjlp
j'ai analyser 2 fichiers sur 4. J en ai trouver que 2 pe etre parc k ils ont été mis en quarantaine je sais pas.
Rapport du fichier ag.bat :
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.01.29 -
AhnLab-V3 5.0.0.2 2009.01.29 -
AntiVir 7.9.0.60 2009.01.29 -
Authentium 5.1.0.4 2009.01.28 -
Avast 4.8.1281.0 2009.01.28 -
AVG 8.0.0.229 2009.01.29 -
BitDefender 7.2 2009.01.29 -
CAT-QuickHeal 10.00 2009.01.29 -
ClamAV 0.94.1 2009.01.29 -
Comodo 952 2009.01.29 -
DrWeb 4.44.0.09170 2009.01.29 -
eSafe 7.0.17.0 2009.01.28 -
eTrust-Vet 31.6.6334 2009.01.29 -
F-Prot 4.4.4.56 2009.01.28 -
F-Secure 8.0.14470.0 2009.01.29 -
Fortinet 3.117.0.0 2009.01.29 -
GData 19 2009.01.29 -
Ikarus T3.1.1.45.0 2009.01.29 -
K7AntiVirus 7.10.608 2009.01.28 -
Kaspersky 7.0.0.125 2009.01.29 -
McAfee 5509 2009.01.28 -
McAfee+Artemis 5509 2009.01.28 -
Microsoft 1.4205 2009.01.29 -
NOD32 3811 2009.01.29 -
Norman 6.00.02 2009.01.29 -
nProtect 2009.1.8.0 2009.01.29 -
Panda 9.5.1.2 2009.01.29 -
PCTools 4.4.2.0 2009.01.29 -
Prevx1 V2 2009.01.29 -
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.29 -
Sophos 4.38.0 2009.01.29 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.29 -
TheHacker 6.3.1.5.231 2009.01.29 -
TrendMicro 8.700.0.1004 2009.01.29 -
VBA32 3.12.8.11 2009.01.29 -
ViRobot 2009.1.29.1580 2009.01.29 -
VirusBuster 4.5.11.0 2009.01.28 -
Information additionnelle
File size: 33 bytes
MD5...: a2cb2401c2c94c879e7b4581ccc9296b
SHA1..: 25d0ec53a4d538ae63bcfeae69a5d2cc5aa8b1c7
SHA256: 51a4b5a314196f763400a829ac6f06f8bb3f39c6d40eab96dc47dc28ec968207
SHA512: 02afb09e7c0a191449035af6eb798d56b9ba7d9bb812ec36d76b65c766427a7543a90dcf48a827a8da420d2be22787531d19dd9b341311aa1044aa49a988d07f
ssdeep: 3:nV2lUoAuvA:niUdcA
PEiD..: -
TrID..: File type identificationUnknown!
PEInfo: -
Rapport ficher dial voila ce k il note je sais pas si ca va t aider :
0 bytes size received / Se ha recibido un archivo vacio
Rapport RIST
Logfile of random's system information tool 1.06 (written by random/random)
Run by bipbip at 2009-03-23 20:42:27
Microsoft Windows XP Édition familiale
System drive C: has 5 GB (19%) free of 29 GB
Total RAM: 223 MB (31% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42, on 2009-03-23
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\khooker.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Documents and Settings\bipbip\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\bipbip.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
j'ai analyser 2 fichiers sur 4. J en ai trouver que 2 pe etre parc k ils ont été mis en quarantaine je sais pas.
Rapport du fichier ag.bat :
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.01.29 -
AhnLab-V3 5.0.0.2 2009.01.29 -
AntiVir 7.9.0.60 2009.01.29 -
Authentium 5.1.0.4 2009.01.28 -
Avast 4.8.1281.0 2009.01.28 -
AVG 8.0.0.229 2009.01.29 -
BitDefender 7.2 2009.01.29 -
CAT-QuickHeal 10.00 2009.01.29 -
ClamAV 0.94.1 2009.01.29 -
Comodo 952 2009.01.29 -
DrWeb 4.44.0.09170 2009.01.29 -
eSafe 7.0.17.0 2009.01.28 -
eTrust-Vet 31.6.6334 2009.01.29 -
F-Prot 4.4.4.56 2009.01.28 -
F-Secure 8.0.14470.0 2009.01.29 -
Fortinet 3.117.0.0 2009.01.29 -
GData 19 2009.01.29 -
Ikarus T3.1.1.45.0 2009.01.29 -
K7AntiVirus 7.10.608 2009.01.28 -
Kaspersky 7.0.0.125 2009.01.29 -
McAfee 5509 2009.01.28 -
McAfee+Artemis 5509 2009.01.28 -
Microsoft 1.4205 2009.01.29 -
NOD32 3811 2009.01.29 -
Norman 6.00.02 2009.01.29 -
nProtect 2009.1.8.0 2009.01.29 -
Panda 9.5.1.2 2009.01.29 -
PCTools 4.4.2.0 2009.01.29 -
Prevx1 V2 2009.01.29 -
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.29 -
Sophos 4.38.0 2009.01.29 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.29 -
TheHacker 6.3.1.5.231 2009.01.29 -
TrendMicro 8.700.0.1004 2009.01.29 -
VBA32 3.12.8.11 2009.01.29 -
ViRobot 2009.1.29.1580 2009.01.29 -
VirusBuster 4.5.11.0 2009.01.28 -
Information additionnelle
File size: 33 bytes
MD5...: a2cb2401c2c94c879e7b4581ccc9296b
SHA1..: 25d0ec53a4d538ae63bcfeae69a5d2cc5aa8b1c7
SHA256: 51a4b5a314196f763400a829ac6f06f8bb3f39c6d40eab96dc47dc28ec968207
SHA512: 02afb09e7c0a191449035af6eb798d56b9ba7d9bb812ec36d76b65c766427a7543a90dcf48a827a8da420d2be22787531d19dd9b341311aa1044aa49a988d07f
ssdeep: 3:nV2lUoAuvA:niUdcA
PEiD..: -
TrID..: File type identificationUnknown!
PEInfo: -
Rapport ficher dial voila ce k il note je sais pas si ca va t aider :
0 bytes size received / Se ha recibido un archivo vacio
Rapport RIST
Logfile of random's system information tool 1.06 (written by random/random)
Run by bipbip at 2009-03-23 20:42:27
Microsoft Windows XP Édition familiale
System drive C: has 5 GB (19%) free of 29 GB
Total RAM: 223 MB (31% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42, on 2009-03-23
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\khooker.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Documents and Settings\bipbip\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\bipbip.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
tu n'as pas mis de parfeu et donc les infections sont revenues!
installe un parefeu: comme zone alarm: (et bloque ce fichier si il veut se connecter: eiimoau.exe)
https://www.zonealarm.com/
manuel
https://www.malekal.com/tutoriel-zonealarm-firewall/
_______________________
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
guide: http://site-naheulbeuk.com/
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
Si SDfix ne se lance pas (ça arrive!)
* Démarrer->Exécuter
* Copie/colle ceci dans la fenêtre :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
* Clique sur ok, et valide.
* Redémarre et essaye de nouveau de lancer SDfix.
installe un parefeu: comme zone alarm: (et bloque ce fichier si il veut se connecter: eiimoau.exe)
https://www.zonealarm.com/
manuel
https://www.malekal.com/tutoriel-zonealarm-firewall/
_______________________
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
guide: http://site-naheulbeuk.com/
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
Si SDfix ne se lance pas (ça arrive!)
* Démarrer->Exécuter
* Copie/colle ceci dans la fenêtre :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
* Clique sur ok, et valide.
* Redémarre et essaye de nouveau de lancer SDfix.
slt,
voici le rapport sdfix (apres avoir executer sdfix l ordi rame rame tjrs...en esperant k il a supprimé tte les mauvaise bestiole!!) :
[b]SDFix: Version 1.240 [/b]
Run by bipbip on 2009-03-25 at 19:39
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\SYSTEM32\NIRCMD.EXE - Deleted
C:\WINDOWS\SYSTEM32\SBICTR.EXE - Deleted
C:\WINDOWS\SYSTEM32\SYSTMEM.EXE - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-25 20:04:38
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Download]
"LastSuccessTime"="2009-03-25 18:14:10"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\ub.exe"="C:\\WINDOWS\\system32\\ub.exe:*:Enabled:Microsoft notepads"
"C:\\DOCUME~1\\bipbip\\LOCALS~1\\Temp\\eraseme_10063.exe"="C:\\DOCUME~1\\bipbip\\LOCALS~1\\Temp\\eraseme_10063.exe:*:Enabled:Microsoft USB Driver"
"C:\\DOCUME~1\\bipbip\\LOCALS~1\\Temp\\eraseme_18556.exe"="C:\\DOCUME~1\\bipbip\\LOCALS~1\\Temp\\eraseme_18556.exe:*:Enabled:Microsoft USB Driver"
"C:\\fung.exe"="C:\\fung.exe:*:Enabled:Microsoft Intranet Patcher"
"C:\\DOCUME~1\\bipbip\\LOCALS~1\\Temp\\eraseme_14573.exe"="C:\\DOCUME~1\\bipbip\\LOCALS~1\\Temp\\eraseme_14573.exe:*:Enabled:Microsoft USBS1 Driver"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Mon 2 Mar 2009 10,752 A..H. --- "C:\Documents and Settings\LocalService.AUTORITE NT\hlc.exe"
Mon 2 Mar 2009 10,752 A..H. --- "C:\Documents and Settings\LocalService.AUTORITE NT\juxnc.exe"
Wed 11 Dec 2002 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 11 Dec 2002 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv16.bak"
Mon 21 Mar 2005 24,576 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Mes documents\~WRL0001.tmp"
Tue 5 Feb 2008 21,504 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Mes documents\~WRL0562.tmp"
Sun 27 Jan 2008 25,088 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Mes documents\~WRL1226.tmp"
Sun 27 Jan 2008 19,968 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Mes documents\~WRL1807.tmp"
Tue 5 Feb 2008 21,504 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Mes documents\~WRL2948.tmp"
Wed 25 Mar 2009 36,218,232 A..H. --- "C:\Documents and Settings\bipbip\Local Settings\temp\BIT3.tmp"
Wed 25 Mar 2009 664,944 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1d502d785af08faeec25c9a802b3f870\BIT20.tmp"
Wed 25 Mar 2009 732,528 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3b73491c13abb6c3560cf1164277b928\BIT22.tmp"
Wed 25 Mar 2009 505,200 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\702a7c80c501a5b71048682e44a362b4\BIT21.tmp"
Wed 25 Mar 2009 655,216 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\75268bc24bd5ec747ac183eeadb761f8\BIT18.tmp"
Wed 25 Mar 2009 8,831,368 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8a899ed7d93ef1188fb849621e59999b\BIT26.tmp"
Wed 25 Mar 2009 565,800 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a12a9d4221e3bd01d702cb53a8160c1d\BIT23.tmp"
Wed 25 Mar 2009 933,928 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c46a8212705069a7604ff98b5b281a3e\BIT17.tmp"
Tue 26 Nov 2002 19,456 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Application Data\Microsoft\Word\~WRL0003.tmp"
Tue 26 Nov 2002 19,456 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Application Data\Microsoft\Word\~WRL0005.tmp"
Tue 5 Feb 2008 82,944 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Application Data\Microsoft\Word\~WRL0759.tmp"
Tue 5 Feb 2008 84,992 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Application Data\Microsoft\Word\~WRL3872.tmp"
Wed 25 Mar 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4b869f18ffa23590ab9b302aa268b77f\download\BIT35.tmp"
Wed 25 Mar 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\669d0b1faeda9d349046c1685c871e7d\download\BIT34.tmp"
Wed 25 Mar 2009 229,245 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c754b0ae7006467484ddc341ab515bda\download\BIT25.tmp"
Wed 25 Mar 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cbc1b829918070e9cdead53865e03be6\download\BIT36.tmp"
Wed 25 Mar 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fb7e4e3914021d8e9d80ac8f418fa4bb\download\BIT37.tmp"
[b]Finished![/b]
voici le rapport sdfix (apres avoir executer sdfix l ordi rame rame tjrs...en esperant k il a supprimé tte les mauvaise bestiole!!) :
[b]SDFix: Version 1.240 [/b]
Run by bipbip on 2009-03-25 at 19:39
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\SYSTEM32\NIRCMD.EXE - Deleted
C:\WINDOWS\SYSTEM32\SBICTR.EXE - Deleted
C:\WINDOWS\SYSTEM32\SYSTMEM.EXE - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-25 20:04:38
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Download]
"LastSuccessTime"="2009-03-25 18:14:10"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\ub.exe"="C:\\WINDOWS\\system32\\ub.exe:*:Enabled:Microsoft notepads"
"C:\\DOCUME~1\\bipbip\\LOCALS~1\\Temp\\eraseme_10063.exe"="C:\\DOCUME~1\\bipbip\\LOCALS~1\\Temp\\eraseme_10063.exe:*:Enabled:Microsoft USB Driver"
"C:\\DOCUME~1\\bipbip\\LOCALS~1\\Temp\\eraseme_18556.exe"="C:\\DOCUME~1\\bipbip\\LOCALS~1\\Temp\\eraseme_18556.exe:*:Enabled:Microsoft USB Driver"
"C:\\fung.exe"="C:\\fung.exe:*:Enabled:Microsoft Intranet Patcher"
"C:\\DOCUME~1\\bipbip\\LOCALS~1\\Temp\\eraseme_14573.exe"="C:\\DOCUME~1\\bipbip\\LOCALS~1\\Temp\\eraseme_14573.exe:*:Enabled:Microsoft USBS1 Driver"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Mon 2 Mar 2009 10,752 A..H. --- "C:\Documents and Settings\LocalService.AUTORITE NT\hlc.exe"
Mon 2 Mar 2009 10,752 A..H. --- "C:\Documents and Settings\LocalService.AUTORITE NT\juxnc.exe"
Wed 11 Dec 2002 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 11 Dec 2002 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv16.bak"
Mon 21 Mar 2005 24,576 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Mes documents\~WRL0001.tmp"
Tue 5 Feb 2008 21,504 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Mes documents\~WRL0562.tmp"
Sun 27 Jan 2008 25,088 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Mes documents\~WRL1226.tmp"
Sun 27 Jan 2008 19,968 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Mes documents\~WRL1807.tmp"
Tue 5 Feb 2008 21,504 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Mes documents\~WRL2948.tmp"
Wed 25 Mar 2009 36,218,232 A..H. --- "C:\Documents and Settings\bipbip\Local Settings\temp\BIT3.tmp"
Wed 25 Mar 2009 664,944 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1d502d785af08faeec25c9a802b3f870\BIT20.tmp"
Wed 25 Mar 2009 732,528 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3b73491c13abb6c3560cf1164277b928\BIT22.tmp"
Wed 25 Mar 2009 505,200 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\702a7c80c501a5b71048682e44a362b4\BIT21.tmp"
Wed 25 Mar 2009 655,216 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\75268bc24bd5ec747ac183eeadb761f8\BIT18.tmp"
Wed 25 Mar 2009 8,831,368 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8a899ed7d93ef1188fb849621e59999b\BIT26.tmp"
Wed 25 Mar 2009 565,800 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a12a9d4221e3bd01d702cb53a8160c1d\BIT23.tmp"
Wed 25 Mar 2009 933,928 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c46a8212705069a7604ff98b5b281a3e\BIT17.tmp"
Tue 26 Nov 2002 19,456 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Application Data\Microsoft\Word\~WRL0003.tmp"
Tue 26 Nov 2002 19,456 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Application Data\Microsoft\Word\~WRL0005.tmp"
Tue 5 Feb 2008 82,944 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Application Data\Microsoft\Word\~WRL0759.tmp"
Tue 5 Feb 2008 84,992 ...H. --- "C:\Documents and Settings\Gaultier Delphine\Application Data\Microsoft\Word\~WRL3872.tmp"
Wed 25 Mar 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4b869f18ffa23590ab9b302aa268b77f\download\BIT35.tmp"
Wed 25 Mar 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\669d0b1faeda9d349046c1685c871e7d\download\BIT34.tmp"
Wed 25 Mar 2009 229,245 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c754b0ae7006467484ddc341ab515bda\download\BIT25.tmp"
Wed 25 Mar 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cbc1b829918070e9cdead53865e03be6\download\BIT36.tmp"
Wed 25 Mar 2009 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fb7e4e3914021d8e9d80ac8f418fa4bb\download\BIT37.tmp"
[b]Finished![/b]
