Bleme rundll apres infection
songoku21
Messages postés
44
Date d'inscription
Statut
Membre
Dernière intervention
-
crapoulou Messages postés 28195 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
crapoulou Messages postés 28195 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
salut a tous ; voila mon pc a ete infecter dans le systeme 32 j ai reparer mais quand je l allume il me met
c:\windows\system32\sshnas21.dll est introuvable
comment remplacer ce fichier et ou dois je le trouver sur mon pc merci bien
salut a tous ; voila mon pc a ete infecter dans le systeme 32 j ai reparer mais quand je l allume il me met
c:\windows\system32\sshnas21.dll est introuvable
comment remplacer ce fichier et ou dois je le trouver sur mon pc merci bien
A voir également:
- Bleme rundll apres infection
- RunDLL ✓ - Forum Windows
- Rundll problème ✓ - Forum Virus
- Rundll logilda.dll ✓ - Forum Virus
- Rundll cmicnfg.cpl ✓ - Forum Windows
- Comment supprimer rundll au démarrage ✓ - Forum Virus
48 réponses
Désolé pour le lien, je n'étais pas chez moi alors le lien était l'ancien.
*******
Suppression avec Ad-Remover :
/!\ Déconnectes toi et fermes toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\
* Clique droit sur l’icône Ad-Remover située sur ton bureau puis sélectionne "Exécuter en tant qu’administrateur".
* Au menu principal choisi l’option "L" et tape ensuite [Entrée]
* Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Note :
"Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus.
*******
Suppression avec Ad-Remover :
/!\ Déconnectes toi et fermes toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\
* Clique droit sur l’icône Ad-Remover située sur ton bureau puis sélectionne "Exécuter en tant qu’administrateur".
* Au menu principal choisi l’option "L" et tape ensuite [Entrée]
* Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Note :
"Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
======= LOGFILE OF AD-REMOVER 1.1.4.6_H | ONLY XP/VISTA/7 =======
.
Updated by C_XX on 18.01.2010 at 18:32
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Launch at: 20:20:51, mar. 19/01/2010 | Normal Boot | Option: CLEAN
Executed from: C:\Ad-Remover\
Operating system: Microsoft® Windows Vista™ Ultimate Service Pack 2 v6.0.6002
Computer Name: PC-DE-CATHY-ET- | Current user: Audrey
.
============== NEUTRALIZED ELEMENT(S) ==============
.
Service: *Kwanzy Service*
C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\7wvfry9r.default\searchplugins\askcom.xml
C:\Windows\System32\nvs2.inf
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\EoRezo
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Everest Poker
C:\Program Files\EoRezo
C:\Program Files\Everest Poker
C:\Program Files\Live_TV
C:\Users\Audrey\AppData\Roaming\EoRezo
C:\Users\Audrey\AppData\Roaming\ItsLabel
C:\Users\Audrey\AppData\Roaming\WhereSphere
C:\Users\Audrey\AppData\LocalLow\SweetIM
C:\ProgramData\SweetIM
C:\Windows\system32\5978.dll
C:\Users\Public\Desktop\Everest Poker.lnk
C:\Users\Audrey\Desktop\programme bureau\Everest Poker.exe
C:\Program Files\Mozilla FireFox\searchplugins\kwanzy127.xml
C:\Program Files\Mozilla FireFox\searchplugins\kwanzy129.xml
C:\Program Files\Mozilla FireFox\searchplugins\kwanzy131.xml
C:\Users\Audrey\AppData\Local\cfmiftp.bat
C:\Users\Audrey\AppData\Local\hqjktmn.dat
C:\Users\Audrey\AppData\Local\hqjktmn.exe
C:\Users\Audrey\AppData\Local\hqjktmn_nav.dat
C:\Users\Audrey\AppData\Local\hqjktmn_navps.dat
C:\Users\Audrey\AppData\Local\jehknilo.bat
C:\Users\Audrey\AppData\Local\myckgqu.bat
C:\Users\Audrey\AppData\Local\owgxhpiq.bat
C:\Users\Audrey\AppData\Local\qtwidf.bat
C:\Users\Audrey\AppData\Local\thbifres.bat
(!) -- Temp files deleted.
.
HKCU\software\EoRezo
HKCU\software\fcn
HKCU\software\Grand Virtual
HKCU\software\ItsLabel
HKCU\software\LanConfig
HKCU\software\Live_TV
HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\Registry\User\S-1-5-21-1334444720-1997098445-1203299296-1000\Software\Sweetim
HKCU\software\microsoft\internet explorer\searchscopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKCU\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\hqjktmn
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\WhereSphere
HKCU\software\SweetIM
HKLM\Software\Classes\CLSID\{196C3A46-4758-433d-A600-802C804AF39C}
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\CLSID\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKLM\Software\Classes\CLSID\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
HKLM\software\classes\EoRezoBHO.EoBho
HKLM\software\classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\TypeLib\{1FA7FC2D-1E2B-4220-A506-55B0CEE22DFD}
HKLM\Software\Classes\TypeLib\{89807A16-AC31-4449-AB91-06A753813543}
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\software\EoRezo
HKLM\software\ItsLabel
HKLM\software\Live_TV
HKLM\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
HKLM\software\microsoft\windows\currentversion\uninstall\{EA519AF6-C803-4784-89AA-4785081B6C5A}
HKLM\software\microsoft\windows\currentversion\uninstall\eoEngine_is1
HKLM\software\microsoft\windows\currentversion\uninstall\Everest Poker
HKLM\software\microsoft\windows\currentversion\uninstall\hqjktmn
HKLM\software\SweetIM
.
============== Added scan ==============
.
.
* Mozilla FireFox Version 3.5.7 [fr] *
.
ProfilePath: 7wvfry9r.default (Audrey)
.
(Audrey, prefs.js) Browser.download.dir, C:\Users\Audrey\Downloads
(Audrey, prefs.js) Browser.download.lastDir, C:\Users\Audrey\Documents\Aurore Personnel\image ecole
(Audrey, prefs.js) Browser.search.defaultenginename, Bing
(Audrey, prefs.js) Browser.search.defaulturl, hxxp://www.bing.com/search?FORM=IEFM1&q=
(Audrey, prefs.js) Browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
(Audrey, prefs.js) Extensions.enabledItems, {e45a0de0-b4de-11de-8a39-0800200c9a66}:2,{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}:6.0.16,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{4E551550-1870-479D-BF66-DF77900E100E}:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
(Audrey, prefs.js) Keyword.URL, hxxp://www.bing.com/search?FORM=IEFM1&q=
(Audrey, prefs.js) Privacy.popups.showBrowserMessage, false
.
.
* Internet Explorer Version 8.0.6001.18865 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Enable Browser Extensions: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
SearchAssistant:
Start Page Redirect Cache: hxxp://be.msn.com/defaultf.aspx?lang=fr-be&ocid=iehp
Start Page Redirect Cache_TIMESTAMP: f346a7def45cca01
Start Page Redirect Cache AcceptLangs: fr-be
Use Custom Search URL: 1 (0x1)
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Use Custom Search URL: 1 (0x1)
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\Audrey\AppData\Local\Temp\[MONOVA.ORG] RegistryBoosterv2 0 1114 3657 - With Keygen rar.torrent
C:\Users\Audrey\AppData\Local\Temp\[MONOVA.ORG] Uniblue RegistryBooster V 3 0 0 0 Final incl keygen.torrent
C:\Users\Audrey\Desktop\keygen.exe
C:\Users\Audrey\Documents\dossier pc\ConvertXtoDVD 2.2.3.258f And Keygen (25th October 2007)\keygen.exe
C:\Users\Audrey\Documents\dossier pc\ConvertXtoDVD 2.2.3.258f And Keygen (25th October 2007)\vsoConvertXtoDVD2_setup.exe
C:\Users\Audrey\Documents\Installation\(App).-.Partition.Magic.8.0.With.Serial.Number.zip
C:\Users\Audrey\Documents\Installation\Nero Start Smart 6.6.0.1 + Serial.rar
C:\Users\Audrey\Documents\Mes fichiers re‡us\crack.exe
.
===================================
.
8127 Byte(s) - C:\Ad-Report-CLEAN[1].log
8944 Byte(s) - C:\Ad-Report-SCAN[1].log
.
57 File(s) - C:\Users\Audrey\AppData\Local\Temp
11 File(s) - C:\Windows\Temp
1 File(s) - C:\Windows\Prefetch
.
21 File(s) - C:\Ad-Remover\BACKUP
398 File(s) - C:\Ad-Remover\QUARANTINE
.
End at: 20:27:25 | mar. 19/01/2010 - CLEAN[1]
.
============== E.O.F ==============
.
.
Updated by C_XX on 18.01.2010 at 18:32
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Launch at: 20:20:51, mar. 19/01/2010 | Normal Boot | Option: CLEAN
Executed from: C:\Ad-Remover\
Operating system: Microsoft® Windows Vista™ Ultimate Service Pack 2 v6.0.6002
Computer Name: PC-DE-CATHY-ET- | Current user: Audrey
.
============== NEUTRALIZED ELEMENT(S) ==============
.
Service: *Kwanzy Service*
C:\Users\Audrey\AppData\Roaming\Mozilla\FireFox\Profiles\7wvfry9r.default\searchplugins\askcom.xml
C:\Windows\System32\nvs2.inf
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\EoRezo
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Everest Poker
C:\Program Files\EoRezo
C:\Program Files\Everest Poker
C:\Program Files\Live_TV
C:\Users\Audrey\AppData\Roaming\EoRezo
C:\Users\Audrey\AppData\Roaming\ItsLabel
C:\Users\Audrey\AppData\Roaming\WhereSphere
C:\Users\Audrey\AppData\LocalLow\SweetIM
C:\ProgramData\SweetIM
C:\Windows\system32\5978.dll
C:\Users\Public\Desktop\Everest Poker.lnk
C:\Users\Audrey\Desktop\programme bureau\Everest Poker.exe
C:\Program Files\Mozilla FireFox\searchplugins\kwanzy127.xml
C:\Program Files\Mozilla FireFox\searchplugins\kwanzy129.xml
C:\Program Files\Mozilla FireFox\searchplugins\kwanzy131.xml
C:\Users\Audrey\AppData\Local\cfmiftp.bat
C:\Users\Audrey\AppData\Local\hqjktmn.dat
C:\Users\Audrey\AppData\Local\hqjktmn.exe
C:\Users\Audrey\AppData\Local\hqjktmn_nav.dat
C:\Users\Audrey\AppData\Local\hqjktmn_navps.dat
C:\Users\Audrey\AppData\Local\jehknilo.bat
C:\Users\Audrey\AppData\Local\myckgqu.bat
C:\Users\Audrey\AppData\Local\owgxhpiq.bat
C:\Users\Audrey\AppData\Local\qtwidf.bat
C:\Users\Audrey\AppData\Local\thbifres.bat
(!) -- Temp files deleted.
.
HKCU\software\EoRezo
HKCU\software\fcn
HKCU\software\Grand Virtual
HKCU\software\ItsLabel
HKCU\software\LanConfig
HKCU\software\Live_TV
HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\Registry\User\S-1-5-21-1334444720-1997098445-1203299296-1000\Software\Sweetim
HKCU\software\microsoft\internet explorer\searchscopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKCU\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\hqjktmn
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\WhereSphere
HKCU\software\SweetIM
HKLM\Software\Classes\CLSID\{196C3A46-4758-433d-A600-802C804AF39C}
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\CLSID\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKLM\Software\Classes\CLSID\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
HKLM\software\classes\EoRezoBHO.EoBho
HKLM\software\classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\TypeLib\{1FA7FC2D-1E2B-4220-A506-55B0CEE22DFD}
HKLM\Software\Classes\TypeLib\{89807A16-AC31-4449-AB91-06A753813543}
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\software\EoRezo
HKLM\software\ItsLabel
HKLM\software\Live_TV
HKLM\software\microsoft\internet explorer\searchscopes\{EEE6C360-6118-11DC-9C72-001320C79847}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{b69a9db4-d0a1-4722-b56b-f20757a29cdf}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B69A9DB4-D0A1-4722-B56B-F20757A29CDF}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
HKLM\software\microsoft\windows\currentversion\uninstall\{EA519AF6-C803-4784-89AA-4785081B6C5A}
HKLM\software\microsoft\windows\currentversion\uninstall\eoEngine_is1
HKLM\software\microsoft\windows\currentversion\uninstall\Everest Poker
HKLM\software\microsoft\windows\currentversion\uninstall\hqjktmn
HKLM\software\SweetIM
.
============== Added scan ==============
.
.
* Mozilla FireFox Version 3.5.7 [fr] *
.
ProfilePath: 7wvfry9r.default (Audrey)
.
(Audrey, prefs.js) Browser.download.dir, C:\Users\Audrey\Downloads
(Audrey, prefs.js) Browser.download.lastDir, C:\Users\Audrey\Documents\Aurore Personnel\image ecole
(Audrey, prefs.js) Browser.search.defaultenginename, Bing
(Audrey, prefs.js) Browser.search.defaulturl, hxxp://www.bing.com/search?FORM=IEFM1&q=
(Audrey, prefs.js) Browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
(Audrey, prefs.js) Extensions.enabledItems, {e45a0de0-b4de-11de-8a39-0800200c9a66}:2,{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}:6.0.16,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{4E551550-1870-479D-BF66-DF77900E100E}:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
(Audrey, prefs.js) Keyword.URL, hxxp://www.bing.com/search?FORM=IEFM1&q=
(Audrey, prefs.js) Privacy.popups.showBrowserMessage, false
.
.
* Internet Explorer Version 8.0.6001.18865 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Enable Browser Extensions: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
SearchAssistant:
Start Page Redirect Cache: hxxp://be.msn.com/defaultf.aspx?lang=fr-be&ocid=iehp
Start Page Redirect Cache_TIMESTAMP: f346a7def45cca01
Start Page Redirect Cache AcceptLangs: fr-be
Use Custom Search URL: 1 (0x1)
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Use Custom Search URL: 1 (0x1)
Search Bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\Audrey\AppData\Local\Temp\[MONOVA.ORG] RegistryBoosterv2 0 1114 3657 - With Keygen rar.torrent
C:\Users\Audrey\AppData\Local\Temp\[MONOVA.ORG] Uniblue RegistryBooster V 3 0 0 0 Final incl keygen.torrent
C:\Users\Audrey\Desktop\keygen.exe
C:\Users\Audrey\Documents\dossier pc\ConvertXtoDVD 2.2.3.258f And Keygen (25th October 2007)\keygen.exe
C:\Users\Audrey\Documents\dossier pc\ConvertXtoDVD 2.2.3.258f And Keygen (25th October 2007)\vsoConvertXtoDVD2_setup.exe
C:\Users\Audrey\Documents\Installation\(App).-.Partition.Magic.8.0.With.Serial.Number.zip
C:\Users\Audrey\Documents\Installation\Nero Start Smart 6.6.0.1 + Serial.rar
C:\Users\Audrey\Documents\Mes fichiers re‡us\crack.exe
.
===================================
.
8127 Byte(s) - C:\Ad-Report-CLEAN[1].log
8944 Byte(s) - C:\Ad-Report-SCAN[1].log
.
57 File(s) - C:\Users\Audrey\AppData\Local\Temp
11 File(s) - C:\Windows\Temp
1 File(s) - C:\Windows\Prefetch
.
21 File(s) - C:\Ad-Remover\BACKUP
398 File(s) - C:\Ad-Remover\QUARANTINE
.
End at: 20:27:25 | mar. 19/01/2010 - CLEAN[1]
.
============== E.O.F ==============
.
Tu as une infection Navipromo / Magic control.
Télécharge sur le bureau Navilog1 (Merci à IL-MAFIOSO)
= = = = >>> En cliquant ici <<< = = = =
* Désactive tes logiciels de sécurité (antivirus, pare-feu, antispyware,…)
* Clique droit sur "Navilog1" sur ton bureau que tu viens de télécharger et sélectionne "Exécuter en tant qu’administrateur"
* Appuie sur le chiffre 1 de ton clavier puis sur la touche Entrée pour sélectionner la langue française.
* Appuie sur une touche de ton clavier pour continuer... (Il te le sera demandé plusieurs fois).
* Tape 1, puis appuie sur la touche Entrée de ton clavier pour sélectionner l’option "Recherche / Désinfection automatique"
* Sois patient, cela peut prendre une dizaine de minutes voire plus.
* Navilog1 t’informe que la recherche est terminée
* Appuie sur une touche de ton clavier pour afficher le rapport qu’il a généré
* Le rapport sera sauvegardé dans le fichier suivant : "cleannavi.txt" à la racine de ton disque dur (C:\cleannavi.txt).
* Poste le rapport généré
*******
Télécharge Malwarebytes’ Anti-Malware
= = = = >>> En cliquant ici <<< = = = =
- Enregistre le sur le bureau
- Double-clique sur le fichier téléchargé pour lancer le processus d’installation
- Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-clique sur l’icône de malwarebytes pour le relancer
- Dans l’onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse.
- Rends toi dans l’onglet rapport/log
- Tu clique dessus pour l’afficher une fois affiché
- Tu clique sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu reclique sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller
Si tu as besoin d’aide regarde ce tutorial ICI
Télécharge sur le bureau Navilog1 (Merci à IL-MAFIOSO)
= = = = >>> En cliquant ici <<< = = = =
* Désactive tes logiciels de sécurité (antivirus, pare-feu, antispyware,…)
* Clique droit sur "Navilog1" sur ton bureau que tu viens de télécharger et sélectionne "Exécuter en tant qu’administrateur"
* Appuie sur le chiffre 1 de ton clavier puis sur la touche Entrée pour sélectionner la langue française.
* Appuie sur une touche de ton clavier pour continuer... (Il te le sera demandé plusieurs fois).
* Tape 1, puis appuie sur la touche Entrée de ton clavier pour sélectionner l’option "Recherche / Désinfection automatique"
* Sois patient, cela peut prendre une dizaine de minutes voire plus.
* Navilog1 t’informe que la recherche est terminée
* Appuie sur une touche de ton clavier pour afficher le rapport qu’il a généré
* Le rapport sera sauvegardé dans le fichier suivant : "cleannavi.txt" à la racine de ton disque dur (C:\cleannavi.txt).
* Poste le rapport généré
*******
Télécharge Malwarebytes’ Anti-Malware
= = = = >>> En cliquant ici <<< = = = =
- Enregistre le sur le bureau
- Double-clique sur le fichier téléchargé pour lancer le processus d’installation
- Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-clique sur l’icône de malwarebytes pour le relancer
- Dans l’onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse.
- Rends toi dans l’onglet rapport/log
- Tu clique dessus pour l’afficher une fois affiché
- Tu clique sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu reclique sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller
Si tu as besoin d’aide regarde ce tutorial ICI
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO
Microsoft® Windows Vista™ Édition Intégrale ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4000+ )
BIOS : BIOS Date: 04/30/07 16:21:12 Ver: 08.00.12
USER : Audrey ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:149 Go (Free:52 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
Recherche executée en mode normal
Nettoyage exécuté au redémarrage de l'ordinateur
c:\users\audrey\appdata\local\virtua~1\progra~1\InternetGamebox supprimé !
Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Audrey\AppData\Local\Temp effectué !
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
*** Scan terminé mar. 19/01/2010 21:21:42,73 ***
Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO
Microsoft® Windows Vista™ Édition Intégrale ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4000+ )
BIOS : BIOS Date: 04/30/07 16:21:12 Ver: 08.00.12
USER : Audrey ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:149 Go (Free:52 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
Recherche executée en mode normal
Nettoyage exécuté au redémarrage de l'ordinateur
c:\users\audrey\appdata\local\virtua~1\progra~1\InternetGamebox supprimé !
Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Audrey\AppData\Local\Temp effectué !
*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
*** Scan terminé mar. 19/01/2010 21:21:42,73 ***
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3600
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865
19/01/2010 23:26:55
mbam-log-2010-01-19 (23-26-55).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 384676
Temps écoulé: 1 hour(s), 57 minute(s), 52 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AAK8K3J4FL (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\D9Q071WKGS (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ByteLinker (PUP.BitSpirit) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\PUT2VIDQLG (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\B1RQJ7YJ0U (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ea519af7-c803-4784-89aa-4785081b6c5a} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ea519af7-c803-4784-89aa-4785081b6c5a} (Trojan.BHO) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hpfsched (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sfkg6wipus (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\losalamos (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\hpfsched.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\Users\Audrey\AppData\Roaming\Mozilla\Firefox\Profiles\7wvfry9r.default\extensions\{e45a0de0-b4de-11de-8a39-0800200c9a66}-trash\components\wsff.dll (Adware.WhereSphere) -> Quarantined and deleted successfully.
C:\Ad-Remover\QUARANTINE\PROGRA~1\EoRezo\EoEngine.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Ad-Remover\QUARANTINE\PROGRA~1\EoRezo\EoAdv\EoAdv.dll.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Ad-Remover\QUARANTINE\Windows\System32\5978.dll.vir (Adware.Mirar) -> Quarantined and deleted successfully.
Version de la base de données: 3600
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865
19/01/2010 23:26:55
mbam-log-2010-01-19 (23-26-55).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 384676
Temps écoulé: 1 hour(s), 57 minute(s), 52 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{b69a9db4-d0a1-4722-b56b-f20757a29cdf} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AAK8K3J4FL (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\D9Q071WKGS (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ByteLinker (PUP.BitSpirit) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\PUT2VIDQLG (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\B1RQJ7YJ0U (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ea519af7-c803-4784-89aa-4785081b6c5a} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ea519af7-c803-4784-89aa-4785081b6c5a} (Trojan.BHO) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hpfsched (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sfkg6wipus (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\losalamos (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\hpfsched.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\Users\Audrey\AppData\Roaming\Mozilla\Firefox\Profiles\7wvfry9r.default\extensions\{e45a0de0-b4de-11de-8a39-0800200c9a66}-trash\components\wsff.dll (Adware.WhereSphere) -> Quarantined and deleted successfully.
C:\Ad-Remover\QUARANTINE\PROGRA~1\EoRezo\EoEngine.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Ad-Remover\QUARANTINE\PROGRA~1\EoRezo\EoAdv\EoAdv.dll.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Ad-Remover\QUARANTINE\Windows\System32\5978.dll.vir (Adware.Mirar) -> Quarantined and deleted successfully.
Logfile of random's system information tool 1.06 (written by random/random)
Run by Audrey at 2010-01-20 12:08:10
Microsoft® Windows Vista™ Édition Intégrale Service Pack 2
System drive C: has 41 GB (27%) free of 153 GB
Total RAM: 1023 MB (23% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:09:44, on 20/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\PixArt\Pac207\Monitor.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\mobsync.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\Shareaza\WindowsThumbnail.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Audrey\Desktop\RSIT.exe
C:\Program Files\trend micro\Audrey.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\RazaWebHook32.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: (no name) - {196C3A46-4758-433D-A600-802C804AF39C} - (no file)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Mirar - {EA519AF6-C803-4784-89AA-4785081B6C5A} - C:\Windows\system32\5978.dll (file missing)
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] c:\program files\uniblue\registrybooster\StartRegistryBooster.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download Using &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\RazaWebHook32.dll/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en Utilisant &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Printer Status Server (hpzstatn) - Hewlett-Packard Company - C:\Windows\system32\spool\drivers\w32x86\hpzstatn.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
Run by Audrey at 2010-01-20 12:08:10
Microsoft® Windows Vista™ Édition Intégrale Service Pack 2
System drive C: has 41 GB (27%) free of 153 GB
Total RAM: 1023 MB (23% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:09:44, on 20/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\PixArt\Pac207\Monitor.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\mobsync.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\Shareaza\WindowsThumbnail.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Audrey\Desktop\RSIT.exe
C:\Program Files\trend micro\Audrey.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\RazaWebHook32.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: (no name) - {196C3A46-4758-433D-A600-802C804AF39C} - (no file)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Mirar - {EA519AF6-C803-4784-89AA-4785081B6C5A} - C:\Windows\system32\5978.dll (file missing)
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] c:\program files\uniblue\registrybooster\StartRegistryBooster.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download Using &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\RazaWebHook32.dll/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger en Utilisant &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Printer Status Server (hpzstatn) - Hewlett-Packard Company - C:\Windows\system32\spool\drivers\w32x86\hpzstatn.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
Avant de terminer :
Analyse ces fichiers :
Sur le site de virustotal :
https://www.virustotal.com/gui/
Parcourir > Sélectionne ton fichier > Analyser, patiente que l’analyse soit terminée.
Poste bien les rapports en m’indiquant à chaque rapport envoyé le nom du fichier concerné !
(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).
Analyse ces fichiers :
C:\Windows\system32\N067UFW.DLL C:\Windows\system32\SG62UUD.DLL C:\Windows\unin040c.exe C:\Windows\phbase.ini
Sur le site de virustotal :
https://www.virustotal.com/gui/
Parcourir > Sélectionne ton fichier > Analyser, patiente que l’analyse soit terminée.
Poste bien les rapports en m’indiquant à chaque rapport envoyé le nom du fichier concerné !
(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).
