TR/Drop.softomat.AN Trojan

MissGinette -  
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
Bonjour à tous,

J'ai un petit problème de virus, pas encore très gros, mais comme j'ai déjà livré la guerre avec arme nucléaire ya pas si longtemps, je prends mes précautions.
Je me suis aperçue, trop tard naturellement, que ma mère avait donwloader un fichier de des pourriels,
UPS_invoice_MR1345.zip. Elle a ouvert le zip ''pour voir c'était quoi''..... :/
S'ensuit un fichier .exe quelconque, qui ne démarre pas. Paniquée, je me dépêche de faire un scan avec malwarebytes, suivi de spybot.
Malware m'a donné environ 144 fichiers infectés, dont la plupart venant de MySearchBar (connais pas, mais bon)
J'ai tout effacé avec succès.
Ensuite, spybot ne m'a rien donné, je croyais que tout était fini.
Eh non, à intervalles régulier, environ 20-25, j'ai antivir guard qui me bip pour me dire que dans mon
C:/System Volume Information/.../A0039217.DLL Is the Tr/Drop.Softmat.AN Trojan

J'ai beau le delete, il semble persistant.

Qu'est-ce que je fais maintenant?
Je refais un scan malwares bytes ou spybit ou je continue a le deleter?

J'ai peur que ça dégénère et que ça deviennes incontrôlable!!

Merci d'avoir lu mon problème et merci en avance pour votre aide!

MissGinette
Configuration: Windows XP
Firefox 3.5.7

8 réponses

  1. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut MissGinette

    Quand Antivir te signale que ton C:\System Volume Information\_restore est infecté cela signifie que la restauration du système est infectée.
    Pour des raisons de sécurité et surtout pour garder ton PC propre, il faut supprimer tous les points de restauration pour se défaire de ce virus.
    Donc en désactivant la restauration, on supprime les points de restauration infectés.

    Désactive la restauration système sur tous les lecteurs :

    - Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

    - Coche la case désactiver la restauration et applique

    Redémarre l’ordinateur et réactive la restauration système.

    Tutoriel XP : http://www.libellules.ch/desactiver_restauration.php

    @++ :)
    0
    1. MissGinette
       
      Bonjour dédétraqué,

      Merci pour ton aide!
      Bon, j'ai été dans mon poste de travail, propriété, restauration de système, j'ai désactiver, redémarrer l'ordi, réactiver ma restauration... et voila ce que antivir guard me chante maintenant:

      C:/WINDOWS/sytem32/aqlb.hjo is the TR/Freegee.H.0 trojan

      J'ai fait trois fois delete, il revient tout les 10 minutes.....:/

      Aurais-tu un autre conseil à me proposer?

      Merci d'Avance! :)

      MissGinette
      0
      1. MissGinette > MissGinette
         
        Bon tiens, je pressait envoyer et antivir guard me donne ca aussi:
        C;/Documents and Settings/Client/Local Settings/.../315D.tmp is the Tr/Fregree.H.9 Trojan

        Et maintenant:

        C:/Windows/system32/aqlb.hjo is the Tr/Fregree.H.9 Trojan

        ...

        ok plus de bip... pur l'instant..... :/
        0
  2. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut MissGinette

    Bon effectivement ton PC a besoin d'une ptite vérification :

    Télécharge RSIT (de random/random) sur le bureau ici :
    http://images.malwareremoval.com/random/RSIT.exe

    - Double clique sur RSIT.exe qui est sur le bureau
    - Clique sur Continue dans la fenêtre
    - RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
    - Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l’analyse

    Les rapports sont dans le dossier ici C:\rsit

    @++ :)
    0
    1. MissGinette
       
      Merci encore dédétraqué de prendre le temps de me répondre!

      Ce fut assez rapide (un gros une minute)!
      Voila ce que ça donne, en premier lieu le log.txt:

      C:\windows\Explorer.exe
      C:\windows\system32\spoolsv.exe
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\windows\system32\RUNDLL32.EXE
      C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\windows\system32\ctfmon.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\DAEMON Tools Lite\daemon.exe
      C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Application Updater\ApplicationUpdater.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
      C:\windows\system32\nvsvc32.exe
      C:\windows\system32\PnkBstrA.exe
      C:\windows\system32\PnkBstrB.exe
      C:\windows\system32\svchost.exe
      C:\Program Files\Xobni\XobniService.exe
      C:\Documents and Settings\All Users\Application Data\Zwunzi\zwunzi139.exe
      C:\Program Files\Zwunzi\zwunzi.exe
      C:\windows\system32\SearchIndexer.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\windows\system32\wuauclt.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Documents and Settings\Client\Mes documents\Téléchargements\RSIT.exe
      C:\windows\system32\SearchProtocolHost.exe
      C:\Program Files\trend micro\Client.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://qc.yahoo.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll
      F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe aqlb.hjo lhoweid
      O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
      O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll (file missing)
      O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"
      O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
      O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
      O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
      O4 - HKCU\..\Run: [WeatherEye] C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
      O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
      O8 - Extra context menu item: Open with WordPerfect - d:\WordPerfect Office X4\WordPerfect Office X4\Programs\WPLauncher.hta
      O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
      O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
      O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
      O23 - Service: PnkBstrA - Unknown owner - C:\windows\system32\PnkBstrA.exe
      O23 - Service: PnkBstrB - Unknown owner - C:\windows\system32\PnkBstrB.exe
      O23 - Service: XobniService - Xobni Corporation - C:\Program Files\Xobni\XobniService.exe
      O23 - Service: Zwunzi Service - Unknown owner - C:\Documents and Settings\All Users\Application Data\Zwunzi\zwunzi139.exe
      0
  3. MissGinette
     
    (je suis épaté si tu comprends quelque chose là dedans, parce que moi...oulà..) :D

    Et voici info.txt:

    info.txt logfile of random's system information tool 1.06 2010-01-28 17:49:04

    ======Uninstall list======

    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    1001 Bites (Diner Dash Hometown Hero - Gourmet)-->C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\DINERD~1\UNWISE.EXE C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\DINERD~1\INSTALL.LOG
    Adobe Bridge 1.0-->MsiExec.exe /I{B74D4E10-6884-0000-0000-000000000103}
    Adobe Common File Installer-->MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5B39}
    Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Help Center 1.0-->MsiExec.exe /I{E9787678-1033-0000-8E67-000000000001}
    Adobe Photoshop CS2-->msiexec /I {236BB7C4-4419-42FD-0409-1E257A25E34D}
    Adobe Reader 9.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
    Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
    Adobe Stock Photos 1.0-->MsiExec.exe /I{786C5747-1033-0000-B58E-000000000001}
    Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}
    Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
    Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
    AVS Disc Creator version 2.1-->"C:\Program Files\AVSMedia\DiscCreator\unins000.exe"
    AVS Update Manager 1.0-->"C:\Program Files\AVS4YOU\AVSUpdateManager\unins000.exe"
    AVS Video Editor 4-->"D:\AVSVideoEditor\unins000.exe"
    AVS Video Recorder 2.4-->"C:\Program Files\AVS4YOU\AVSVideoRecorder\unins000.exe"
    AVS YouTube Uploader version 2.1-->"C:\Program Files\AVS4YOU\AVSYouTubeUploader\unins000.exe"
    AVS4YOU Software Navigator 1.3-->"C:\Program Files\AVS4YOU\AVSSoftwareNavigator\unins000.exe"
    Azada-->C:\PROGRA~1\PLAYFI~1\Azada\UNWISE.EXE C:\PROGRA~1\PLAYFI~1\Azada\INSTALL.LOG
    Big Fish Games: Game Manager-->C:\Program Files\bfgclient\Uninstall.exe
    Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
    Burger Shop 2 1.00-->D:\Burger shop 2\Burger Shop 2\Uninstall.exe
    Burger Shop 2-->C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\BURGER~1\UNWISE.EXE C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\BURGER~1\INSTALL.LOG
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    Correctif pour Lecteur Windows Media 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
    Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
    Correctif pour Windows XP (KB961118)-->"C:\windows\$NtUninstallKB961118$\spuninst\spuninst.exe"
    Correctif pour Windows XP (KB970653-v3)-->"C:\windows\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
    Correctif pour Windows XP (KB976098-v2)-->"C:\windows\$NtUninstallKB976098-v2$\spuninst\spuninst.exe"
    DAEMON Tools Toolbar-->C:\Program Files\DAEMON Tools Toolbar\uninst.exe
    Dealio Toolbar v4.0.2-->MsiExec.exe /X{C878CD69-85DB-426B-81A3-E71175AAEB91}
    DeepBurner v1.9.0.228-->"C:\Program Files\Astonsoft\DeepBurner\Uninstall.exe" "C:\Program Files\Astonsoft\DeepBurner\install.log" -u
    DVD Decoder Pak for Windows XP-->MsiExec.exe /X{92C5DB3D-9D6F-4324-BB11-57825F4C2635}
    Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly
    FaxTools-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F45298E5-0083-426F-A668-1A2C5F04B8A0}\setup.exe" -l0x40c ControlPanel
    Free Video Converter V 2.5-->"D:\Free Video Converter\unins000.exe"
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    Home Sweet Home 2 Kitchens and Baths-->"C:\windows\Home Sweet Home 2 Kitchens and Baths\uninstall.exe" "/U:C:\Program Files\Home Sweet Home 2 Kitchens and Baths\Uninstall\uninstall.xml"
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
    Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
    Hotfix for Windows XP (KB915800-v4)-->"C:\WINDOWS\$NtUninstallKB915800-v4$\spuninst\spuninst.exe"
    Hoyle Friday Night Poker-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A17FD8C6-1AC2-46E7-AD0A-70C602C3504D}\setup.exe" -l0x9 -removeonly
    Intel(R) Extreme Graphics 2 Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_2572
    iTunes-->MsiExec.exe /I{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}
    Java(TM) 6 Update 10-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
    Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
    Lexmark 1200 Series-->C:\WINDOWS\system32\spool\drivers\w32x86\3\LXCZUN5C.EXE -dLexmark 1200 Series
    LimeWire 5.2.13-->"D:\Limewire\uninstall.exe"
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    MassTube 4.55-->"C:\Program Files\MassTube\unins000.exe"
    Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
    Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
    Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
    Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
    Microsoft .NET Framework 3.5 SP1-->C:\windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
    Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
    Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
    Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
    Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
    Microsoft Office Access MUI (English) 2007-->MsiExec.exe /X{90120000-0015-0409-0000-0000000FF1CE}
    Microsoft Office Access Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0117-0409-0000-0000000FF1CE}
    Microsoft Office Enterprise 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
    Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
    Microsoft Office Excel MUI (English) 2007-->MsiExec.exe /X{90120000-0016-0409-0000-0000000FF1CE}
    Microsoft Office Groove MUI (English) 2007-->MsiExec.exe /X{90120000-00BA-0409-0000-0000000FF1CE}
    Microsoft Office Groove Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0114-0409-0000-0000000FF1CE}
    Microsoft Office InfoPath MUI (English) 2007-->MsiExec.exe /X{90120000-0044-0409-0000-0000000FF1CE}
    Microsoft Office OneNote MUI (English) 2007-->MsiExec.exe /X{90120000-00A1-0409-0000-0000000FF1CE}
    Microsoft Office Outlook MUI (English) 2007-->MsiExec.exe /X{90120000-001A-0409-0000-0000000FF1CE}
    Microsoft Office PowerPoint MUI (English) 2007-->MsiExec.exe /X{90120000-0018-0409-0000-0000000FF1CE}
    Microsoft Office PowerPoint Viewer 2003-->MsiExec.exe /X{90AF040C-6000-11D3-8CFE-0150048383C9}
    Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
    Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
    Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
    Microsoft Office Proofing (English) 2007-->MsiExec.exe /X{90120000-002C-0409-0000-0000000FF1CE}
    Microsoft Office Publisher MUI (English) 2007-->MsiExec.exe /X{90120000-0019-0409-0000-0000000FF1CE}
    Microsoft Office Shared MUI (English) 2007-->MsiExec.exe /X{90120000-006E-0409-0000-0000000FF1CE}
    Microsoft Office Shared Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0115-0409-0000-0000000FF1CE}
    Microsoft Office Word MUI (English) 2007-->MsiExec.exe /X{90120000-001B-0409-0000-0000000FF1CE}
    Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
    Mise à jour critique pour Lecteur Windows Media 11 (KB959772)-->"C:\windows\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\windows\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media (KB954155)-->"C:\windows\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media (KB968816)-->"C:\windows\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media (KB973540)-->"C:\windows\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\windows\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\windows\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB969897)-->"C:\windows\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB972260)-->"C:\windows\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB976325)-->"C:\windows\ie7updates\KB976325-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\windows\$NtUninstallKB923561$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
    Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\windows\$NtUninstallKB952004$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\windows\$NtUninstallKB954459$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\windows\$NtUninstallKB954600$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\windows\$NtUninstallKB955069$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\windows\$NtUninstallKB956572$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956744)-->"C:\windows\$NtUninstallKB956744$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\windows\$NtUninstallKB956802$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956844)-->"C:\windows\$NtUninstallKB956844$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\windows\$NtUninstallKB957097$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\windows\$NtUninstallKB958644$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\windows\$NtUninstallKB958687$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB958869)-->"C:\windows\$NtUninstallKB958869$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\windows\$NtUninstallKB959426$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\windows\$NtUninstallKB960225$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\windows\$NtUninstallKB960803$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB960859)-->"C:\windows\$NtUninstallKB960859$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB961371)-->"C:\windows\$NtUninstallKB961371$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\windows\$NtUninstallKB961373$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\windows\$NtUninstallKB961501$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\windows\$NtUninstallKB968537$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB969059)-->"C:\windows\$NtUninstallKB969059$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB969898)-->"C:\windows\$NtUninstallKB969898$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB969947)-->"C:\windows\$NtUninstallKB969947$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\windows\$NtUninstallKB970238$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB971486)-->"C:\windows\$NtUninstallKB971486$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB971557)-->"C:\windows\$NtUninstallKB971557$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\windows\$NtUninstallKB971633$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB971657)-->"C:\windows\$NtUninstallKB971657$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB971961)-->"C:\windows\$NtUninstallKB971961$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\windows\$NtUninstallKB973346$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB973354)-->"C:\windows\$NtUninstallKB973354$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB973507)-->"C:\windows\$NtUninstallKB973507$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB973525)-->"C:\windows\$NtUninstallKB973525$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB973869)-->"C:\windows\$NtUninstallKB973869$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB973904)-->"C:\windows\$NtUninstallKB973904$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB974112)-->"C:\windows\$NtUninstallKB974112$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB974318)-->"C:\windows\$NtUninstallKB974318$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB974392)-->"C:\windows\$NtUninstallKB974392$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB974571)-->"C:\windows\$NtUninstallKB974571$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB975025)-->"C:\windows\$NtUninstallKB975025$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB975467)-->"C:\windows\$NtUninstallKB975467$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB942763)-->"C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB951618-v2)-->"C:\WINDOWS\$NtUninstallKB951618-v2$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB955839)-->"C:\windows\$NtUninstallKB955839$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB967715)-->"C:\windows\$NtUninstallKB967715$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB968389)-->"C:\windows\$NtUninstallKB968389$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB973687)-->"C:\windows\$NtUninstallKB973687$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB973815)-->"C:\windows\$NtUninstallKB973815$\spuninst\spuninst.exe"
    Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - FRA\install.exe
    Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
    MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
    Nero 9-->C:\Program Files\Fichiers communs\Nero\Nero ProductInstaller 4\SetupX.exe REMOVESERIALNUMBER="9M03-01A1-PCX7-K31A-8A94-98PT-KT2E-522A"
    neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
    NVIDIA Drivers-->C:\windows\system32\nvuninst.exe UninstallGUI
    Orbit Downloader-->"C:\Program Files\Orbitdownloader\unins000.exe"
    PunkBuster Services-->C:\windows\system32\pbsvc.exe -u
    QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
    Real Crimes - The Unicorn Killer-->"C:\windows\Real Crimes - The Unicorn Killer\uninstall.exe" "/U:C:\Program Files\Real Crimes - The Unicorn Killer\Uninstall\uninstall.xml"
    RealPlayer-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|12.0
    Registry Mechanic 8.0-->"D:\Registry Mechanic\unins000.exe" /Log
    Search Settings v1.2.3-->MsiExec.exe /X{5F05C28D-DEA9-4AD6-A73A-064175988EAB}
    Security Update for Windows Search 4 - KB963093-->"C:\windows\$NtUninstallKB963093$\spuninst\spuninst.exe"
    Sid Meier's Civilization 4-->C:\Program Files\InstallShield Installation Information\{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}\setup.exe -runfromtemp -l0x040c -removeonly
    Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
    System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe
    The Dash Slipper (Diner Dash Hometown Hero - Gourmet)-->C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\DINERD~1\UNWISE.EXE C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\DINERD~1\INSTALL.LOG
    Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
    VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
    VideoLAN VLC media player 0.8.6c-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    Visual C++ 8.0 ATL (x86) WinSXS MSM-->MsiExec.exe /I{97F81AF1-0E47-DC99-FF1F-C8B3B9A1E18E}
    Visual C++ 8.0 CRT (x86) WinSXS MSM-->MsiExec.exe /I{98CB24AD-52FB-DB5F-FF1F-C8B3B9A1E18E}
    VSO Image Resizer 2.2.0.1-->"D:\Image Resizer\unins000.exe"
    Vuze-->C:\Program Files\Vuze\uninstall.exe
    Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
    Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
    Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
    Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
    Windows Search 4.0-->"C:\WINDOWS\$NtUninstallKB940157$\spuninst\spuninst.exe"
    Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
    WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
    Xobni Core-->MsiExec.exe /I{8DC069E7-893C-41E1-9442-DE89FEC33371}
    Xobni-->"C:\Program Files\Xobni\UninstallerWizard.exe"
    Youtube Grabber 4.3.1-->"C:\Program Files\Youtube Grabber\unins000.exe"
    Zwunzi 1.0 build 139-->C:\Program Files\Zwunzi\uninstall.exe

    ======Hosts File======

    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com

    ======Security center information======

    AV: Avira AntiVir PersonalEdition

    ======System event log======

    Computer Name: MARC-CATHERINE
    Event Code: 7035
    Message: Un contrôle Démarrer a correctement été envoyé au service NLA (Network Location Awareness).

    Record Number: 562
    Source Name: Service Control Manager
    Time Written: 20090625163907.000000-240
    Event Type: Informations
    User: AUTORITE NT\SYSTEM

    Computer Name: MARC-CATHERINE
    Event Code: 15
    Message: Broadcom NetXtreme Gigabit Ethernet: Driver initialized successfully.

    Record Number: 561
    Source Name: b57w2k
    Time Written: 20090625163857.000000-240
    Event Type: Informations
    User:

    Computer Name: MARC-CATHERINE
    Event Code: 6005
    Message: Le service d'Enregistrement d'événement a démarré.

    Record Number: 560
    Source Name: EventLog
    Time Written: 20090625163839.000000-240
    Event Type: Informations
    User:

    Computer Name: MARC-CATHERINE
    Event Code: 6009
    Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Uniprocessor Free.

    Record Number: 559
    Source Name: EventLog
    Time Written: 20090625163839.000000-240
    Event Type: Informations
    User:

    Computer Name: MARC-CATHERINE
    Event Code: 6006
    Message: Le service d'Enregistrement d'événement a été arrêté.

    Record Number: 558
    Source Name: EventLog
    Time Written: 20090625163647.000000-240
    Event Type: Informations
    User:

    =====Application event log=====

    Computer Name: MARC-CATHERINE
    Event Code: 301
    Message: Windows (132) Windows: Le moteur de base de données commence la relecture du fichier journal C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\MSS.log.

    Record Number: 485
    Source Name: ESENT
    Time Written: 20090314123811.000000-300
    Event Type: Informations
    User:

    Computer Name: MARC-CATHERINE
    Event Code: 300
    Message: Windows (132) Windows: Le moteur de base de données initialise la procédure de récupération.

    Record Number: 484
    Source Name: ESENT
    Time Written: 20090314123810.000000-300
    Event Type: Informations
    User:

    Computer Name: MARC-CATHERINE
    Event Code: 102
    Message: Windows (132) Windows: Le moteur de base de données a démarré une nouvelle instance (0).

    Record Number: 483
    Source Name: ESENT
    Time Written: 20090314123807.000000-300
    Event Type: Informations
    User:

    Computer Name: MARC-CATHERINE
    Event Code: 100
    Message: SearchIndexer (132) Le moteur de base de données 5.01.2600.5512 est démarré.

    Record Number: 482
    Source Name: ESENT
    Time Written: 20090314123807.000000-300
    Event Type: Informations
    User:

    Computer Name: MARC-CATHERINE
    Event Code: 1800
    Message: Le service Centre de sécurité Windows a démarré.

    Record Number: 481
    Source Name: SecurityCenter
    Time Written: 20090314123805.000000-300
    Event Type: Informations
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Fichiers communs\Adobe\AGL;C:\Program Files\QuickTime\QTSystem\
    "windir"=%SystemRoot%
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
    "PROCESSOR_REVISION"=0209
    "NUMBER_OF_PROCESSORS"=1
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
    "QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

    -----------------EOF-----------------
    0
  4. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut MissGinette

    [*]Télécharge AD-Remover (de Cyrildu17 / C_XX) sur ton Bureau.
    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    Déconnecte-toi et ferme toutes applications en cours

    [*]Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program files).
    [*]Double-clique sur l'icône AD-Remover située sur ton Bureau
    [*]Au menu principal, choisis l'option L.
    [*]Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure

    Aide : https://kerio.probb.fr/t3786-tuto-ad-remover

    -----

    -Télécharge et installe MalwareByte's Anti-Malware
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    - Mets le à jour

    ---

    - Redémarre en mode sans échec :

    Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur

    ---

    - Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
    - Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
    - clique sur Rechercher

    - Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur OK

    - Si MalwareByte's n'a rien détecté, clique sur OK Un rapport va apparaître ferme-le.

    - Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

    - Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

    Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

    Tutoriel pour MalwareByte's ici :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    @++ :)
    0
    1. MissGinette
       
      Bonjour!
      Désolé pour le retard!!

      Merci de me répondre et je vais faire à l'instant ce que tu me dis!!
      0
    2. MissGinette
       
      Bon voilà le rapport:
      Mais j'arrête a cette étape, parce que durant le scan, j'ai reçu une trentaine d'alerte de antivir:
      C:/Windows/MPGFCENU.dll is the TR/Dldr.Mufanom.hii Trojan.
      Impossible de m'en débarassé; toute les options ne font rien, il revient à la charge. Je l'ai encore sur l'écran!!

      .
      ======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
      .
      Mis à jour par C_XX le 29.01.2010 à 16:43
      Contact: AdRemover.contact@gmail.com
      Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
      .
      Lancé à: 13:33:56, 2010-02-01 | Mode Normal | Option: CLEAN
      Exécuté de: C:\Ad-Remover\
      Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
      Nom du PC: MARC-CATHERINE | Utilisateur actuel: Client
      .
      ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
      .
      Service: *Application Updater*
      Service: *Zwunzi Service*

      C:\Program Files\Mozilla FireFox\extensions\{F270F1AF-34D6-41CB-A9F5-8200EF7DB41F}
      C:\Program Files\Mozilla FireFox\extensions\dealio@mybrowserbar.com
      C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
      C:\Program Files\Mozilla FireFox\Plugins\NPMyWebS.dll
      C:\Program Files\Application Updater
      C:\Program Files\Dealio Toolbar
      C:\Program Files\Search Settings
      C:\Program Files\Zwunzi
      C:\DOCUME~1\Client\APPLIC~1\Dealio
      C:\DOCUME~1\Client\APPLIC~1\FunWebProducts
      C:\DOCUME~1\Client\APPLIC~1\Search Settings
      C:\DOCUME~1\ALLUSE~1\APPLIC~1\Trymedia
      C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zwunzi
      C:\Windows\Installer\95fdc4b4.msi
      C:\Windows\Installer\95fdc4bb.msi
      C:\windows\system32\config\systemprofile\Application Data\Application Updater
      C:\DOCUME~1\Client\Bureau\AbsoluCasino.exe
      C:\DOCUME~1\Client\Bureau\Sais pas\AbsoluCasino.lnk
      C:\Program Files\Mozilla FireFox\searchplugins\zwunzi139.xml
      C:\Program Files\Mozilla FireFox\searchplugins\zwunzi141.xml

      (!) -- Fichiers temporaires supprimés.

      .
      HKCU\software\Dealio
      HKCU\software\Grand Virtual
      HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
      HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
      HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D}
      HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA}
      HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA}
      HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA}
      HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25560540-9571-4D7B-9389-0F166788785A}
      HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8}
      HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9FF05104-B030-46FC-94B8-81276E4E27DF}
      HKCU\software\Search Settings
      HKLM\software\Application Updater
      HKLM\Software\Classes\CLSID\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
      HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
      HKLM\software\classes\installer\Features\96DC878CBD58B624183A7E1157AABE19
      HKLM\software\classes\installer\Products\96DC878CBD58B624183A7E1157AABE19
      HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
      HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
      HKLM\software\classes\SearchSettings.BHO
      HKLM\software\classes\SearchSettings.BHO.1
      HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
      HKLM\software\Dealio
      HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MyWebSearch bar Uninstall
      HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0292226F570267D459357AF78015E534
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\03285961954D5824C85975D955031EE8
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\23A03A6765D10864EB278629A2DF32C3
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\2C2D840AB81518B4E8007294C43143F9
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\323D2420527EA994FB326F15D333660E
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\3A4FCCE032CA50340A6975C92410AE30
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\47C0E5F51006CED41ACE3F495B01FE81
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\588DFA161592E9747948BFFE475476F4
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6059D61EECDC80945A4F394A2796D98A
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6334ACC8923CC1241ACEAD4E9F158639
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AC3985F4D64C2245A96D31569D1BF40
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6E00D9B24354FBA44AE2CA0FA86EF2E2
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\7C13F41728A69EF41AA1A3372FB86FA6
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\855847FA0E25FBA46B8516389DFDD4B3
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9DC2844D0E3E8924C8973C3B3BAE1F58
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\AFEB575AA30ACB243B748619F62F0782
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B072F84D5AF1BB34C980E01F5689D864
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B92A2929968AED344BD6B34AD60E6604
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\BB1E992117B1B0B42BD2CDAEB8E749C4
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\C7D9132F42224AC49BD8C06A0F8E39C4
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\DA6F069968D91A540A1363E997581959
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\DBC7F2B5594E08A4C87EF4C22971C615
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\F461B8DD96FF5AA41A52D14E1D7B69C7
      HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\96DC878CBD58B624183A7E1157AABE19
      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\SearchSettings
      HKLM\software\microsoft\windows\currentversion\uninstall\{C878CD69-85DB-426B-81A3-E71175AAEB91}
      HKLM\software\microsoft\windows\currentversion\uninstall\Zwunzi
      HKLM\software\Search Settings
      HKLM\software\Trymedia Systems
      HKLM\software\Zwunzi
      .
      ============== Scan additionnel ==============
      .
      .
      * Mozilla FireFox Version 3.5.7 [fr] *
      .
      Nom du profil: lh7gmxsi.default (Client)
      .
      (Client, prefs.js) Browser.download.lastDir, C:\Documents and Settings\Client\Mes documents\Mes images
      (Client, prefs.js) Browser.startup.homepage, hxxp://qc.yahoo.com/
      (Client, prefs.js) Extensions.enabledItems, dealio@mybrowserbar.com:4.0.2,{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}:6.0.10,jqs@sun.com:1.0,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{35379F86-8CCB-4724-AE33-4278DE266C70}:1.0.4,{ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0,searchsettings@spigot.com:1.2.3,{F270F1AF-34D6-41CB-A9F5-8200EF7DB41F}:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
      (Client, prefs.js) Privacy.popups.showBrowserMessage, false
      .
      .
      * Internet Explorer Version 7.0.5730.13 *
      .
      [HKEY_CURRENT_USER\..\Internet Explorer\Main]
      .
      Do404Search: 01000000
      Local Page: C:\WINDOWS\system32\blank.htm
      Show_ToolBar: yes
      Start Page: hxxp://fr.msn.com/
      Enable Browser Extensions: yes
      Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      .
      [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
      .
      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Delete_Temp_Files_On_Exit: yes
      Local Page: %SystemRoot%\system32\blank.htm
      Start Page: hxxp://fr.msn.com/
      Search bar: hxxp://search.msn.com/spbasic.htm
      .
      [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
      .
      Tabs: res://ieframe.dll/tabswelcome.htm
      .
      ============== Suspect (Cracks, Serials, ...) ==============
      .
      C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Bigfish Games - Home Sweet Home 2 Kitchens and Baths Adnan Boy 2008 Precracked [smaragdtorrent.to].torrent
      C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Bigfish_Games_-_Avenue_Flo_-_zibbik_-_Precrack.5125444.TPB.torrent
      C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Burger Shop-PreCracked-BigFish-Reflexive-HIVBABY.rar.torrent
      C:\Documents and Settings\Client\Bureau\Burger Shop-PreCracked-BigFish-Reflexive-HIVBABY.rar
      C:\Documents and Settings\Client\Mes documents\T‚l‚chargements\LimeWire-Acceleration-Patch-6.0.4.0.exe
      .
      ===================================
      .
      9212 Octet(s) - C:\Ad-Report-CLEAN[1].log
      .
      29 Fichier(s) - C:\DOCUME~1\Client\LOCALS~1\Temp
      48 Fichier(s) - C:\windows\Temp
      0 Fichier(s) - C:\windows\Prefetch
      .
      17 Fichier(s) - C:\Ad-Remover\BACKUP
      121 Fichier(s) - C:\Ad-Remover\QUARANTINE
      .
      Fin à: 13:42:16 | 2010-02-01 - CLEAN[1]
      .
      ============== E.O.F ==============
      .
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut MissGinette

    Cela est bon pour ce rapport, as-tu fais l'autre scan avec MalwareByte's?

    Après refais un scan avec RSIT et poste le rapport log.txt seulement à la fin de l’analyse

    Le rapport est dans le dossier ici C:\rsit

    @++ :)
    0
    1. MissGinette
       
      Bon, retour.
      Pas facile de trouver le temps pour satisfaire tout le monde!

      Je fais le scan ce soir et je te post tout ca soit ce soir ou demain matin.
      Mais dis, ce TR/Dldr.Mufanom.hii Trojan, vais-je pouvoir m'en débarassé bientot?
      Il est constant; chaque fois qu'on ouvre un programme il apparait.

      Merci encore pour ton aide ;)
      0
    2. MissGinette
       
      Bon, 1h20 plus tard voilà:

      (quand j'ai supprimé la sélection, il m'a mentionnée que c'était ''Impossible de supprimer certains fichiers! Les premiers sont ci-dessous. Il seront reportés dans ''supprimer les sélections au redémarrage''. Redémarrez maintenant....'' En grosso modo.)

      J'espère que c'est pas trop grave!
      Et merci encore :)

      Malwarebytes' Anti-Malware 1.44
      Version de la base de données: 3510
      Windows 5.1.2600 Service Pack 3 (Safe Mode)
      Internet Explorer 7.0.5730.13

      2010-02-04 00:20:17
      mbam-log-2010-02-04 (00-20-17).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 215981
      Temps écoulé: 1 hour(s), 19 minute(s), 6 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 1
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 4
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 12

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: mpgfcenu.dll -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe rundll32.exe aqlb.hjo lhoweid) Good: (Explorer.exe) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\WINDOWS\MPGFCENU.dll (Trojan.Vundo.H) -> Delete on reboot.
      C:\Ad-Remover\QUARANTINE\DOCUME~1\ALLUSE~1\APPLIC~1\Zwunzi\zwunzi141.exe.vir (Adware.Agent) -> Quarantined and deleted successfully.
      C:\Ad-Remover\QUARANTINE\DOCUME~1\Client\Bureau\AbsoluCasino.exe.vir (Rogue.AdorableCasino) -> Quarantined and deleted successfully.
      C:\Ad-Remover\QUARANTINE\PROGRA~1\MOZILL~1\plugins\NPMyWebS.dll.vir (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      C:\Ad-Remover\QUARANTINE\PROGRA~1\Zwunzi\uninstall.exe.vir (Adware.Agent) -> Quarantined and deleted successfully.
      C:\Ad-Remover\QUARANTINE\PROGRA~1\Zwunzi\zwunzi.exe.vir (Adware.Agent) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{FE976295-429E-4B73-B7CE-6BD9D585EBA0}\RP2\A0000034.exe (Adware.Agent) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{FE976295-429E-4B73-B7CE-6BD9D585EBA0}\RP5\A0000318.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{FE976295-429E-4B73-B7CE-6BD9D585EBA0}\RP5\A0000334.exe (Adware.Agent) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{FE976295-429E-4B73-B7CE-6BD9D585EBA0}\RP5\A0000336.exe (Adware.Agent) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{FE976295-429E-4B73-B7CE-6BD9D585EBA0}\RP5\A0000337.exe (Adware.Agent) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{FE976295-429E-4B73-B7CE-6BD9D585EBA0}\RP5\A0000340.exe (Rogue.AdorableCasino) -> Quarantined and deleted successfully.
      0
  7. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut MissGinette

    Poste un nouveau rapport Rsit comme demandé

    @++ :)
    0
    1. MissGinette
       
      Ah zut!! Oublié celui là!!

      Voilà:

      Logfile of random's system information tool 1.06 (written by random/random)
      Run by Client at 2010-02-04 21:11:14
      Microsoft Windows XP Édition familiale Service Pack 3
      System drive C: has 18 GB (45%) free of 39 GB
      Total RAM: 1535 MB (53% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 21:11:33, on 2010-02-04
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16945)
      Boot mode: Normal

      Running processes:
      C:\windows\System32\smss.exe
      C:\windows\system32\winlogon.exe
      C:\windows\system32\services.exe
      C:\windows\system32\lsass.exe
      C:\windows\system32\svchost.exe
      C:\windows\System32\svchost.exe
      C:\windows\system32\svchost.exe
      C:\windows\Explorer.EXE
      C:\WINDOWS\system32\LEXBCES.EXE
      C:\windows\system32\spoolsv.exe
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\windows\system32\RUNDLL32.EXE
      C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe
      C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
      C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
      C:\windows\system32\ctfmon.exe
      C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\DAEMON Tools Lite\daemon.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
      C:\windows\system32\nvsvc32.exe
      C:\windows\system32\PnkBstrA.exe
      C:\windows\system32\PnkBstrB.exe
      C:\windows\system32\svchost.exe
      C:\windows\system32\SearchIndexer.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\windows\system32\wuauclt.exe
      C:\WINDOWS\system32\msiexec.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\windows\system32\wuauclt.exe
      C:\windows\system32\SearchProtocolHost.exe
      C:\Documents and Settings\Client\Mes documents\Téléchargements\RSIT(2).exe
      C:\Program Files\trend micro\Client.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll (file missing)
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [Dbagasejad] rundll32.exe "C:\windows\ehaqadiru.dll",Startup
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
      O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"
      O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
      O4 - HKCU\..\Run: [WeatherEye] C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
      O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
      O4 - HKCU\..\RunOnce: [DeleteGrabPro] rundll32.exe advpack.dll,DelNodeRunDLL32 "C:\Program Files\Orbitdownloader\GrabPro.dll"
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O8 - Extra context menu item: Open with WordPerfect - d:\WordPerfect Office X4\WordPerfect Office X4\Programs\WPLauncher.hta
      O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
      O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
      O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
      O23 - Service: PnkBstrA - Unknown owner - C:\windows\system32\PnkBstrA.exe
      O23 - Service: PnkBstrB - Unknown owner - C:\windows\system32\PnkBstrB.exe
      0
  8. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut MissGinette

    Faire un scan de ce fichier ehaqadiru.dll ici :

    https://www.virustotal.com/gui/

    Clique sur Parcourir et copie/colle ceci :
    C:\windows\ehaqadiru.dll
    Après tu clique sur Envoyer le fichier et attendre le résultat de l’analyse.

    Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
    Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

    Poste le résultat au complet

    Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

    @++ :)
    0
    1. MissGinette
       
      Et voilà le résultat!

      Fichier ehaqadiru.dll reçu le 2010.02.05 04:09:37 (UTC)
      Antivirus Version Dernière mise à jour Résultat
      a-squared 4.5.0.50 2010.02.02 -
      AhnLab-V3 5.0.0.2 2010.02.01 -
      AntiVir 7.9.1.156 2010.02.02 -
      Antiy-AVL 2.0.3.7 2010.02.02 -
      Authentium 5.2.0.5 2010.02.02 -
      Avast 4.8.1351.0 2010.02.02 -
      AVG 9.0.0.730 2010.02.01 -
      BitDefender 7.2 2010.02.02 -
      CAT-QuickHeal 10.00 2010.02.02 -
      ClamAV 0.96.0.0-git 2010.02.02 -
      Comodo 3790 2010.02.02 -
      DrWeb 5.0.1.12222 2010.02.02 -
      eSafe 7.0.17.0 2010.02.02 -
      eTrust-Vet 35.2.7276 2010.02.02 -
      F-Prot 4.5.1.85 2010.02.01 -
      F-Secure 9.0.15370.0 2010.02.02 -
      Fortinet 4.0.14.0 2010.02.02 -
      GData 19 2010.02.02 -
      Ikarus T3.1.1.80.0 2010.02.02 Trojan.Hiloti
      Jiangmin 13.0.900 2010.02.02 -
      K7AntiVirus 7.10.962 2010.02.01 -
      Kaspersky 7.0.0.125 2010.02.02 -
      McAfee 5879 2010.02.01 -
      McAfee+Artemis 5879 2010.02.01 -
      McAfee-GW-Edition 6.8.5 2010.02.02 -
      Microsoft 1.5406 2010.02.02 Trojan:Win32/Hiloti.gen!D
      NOD32 4827 2010.02.02 -
      Norman 6.04.03 2010.02.02 -
      nProtect 2009.1.8.0 2010.02.02 -
      Panda 10.0.2.2 2010.02.01 Suspicious file
      PCTools 7.0.3.5 2010.02.02 -
      Prevx 3.0 2010.02.05 -
      Rising 22.33.01.04 2010.02.02 -
      Sophos 4.50.0 2010.02.02 Mal/Hiloti-A
      Sunbelt 3.2.1858.2 2010.02.02 -
      TheHacker 6.5.1.0.176 2010.02.02 -
      TrendMicro 9.120.0.1004 2010.02.02 -
      VBA32 3.12.12.1 2010.02.01 BScope.Trojan.Hiloti
      ViRobot 2010.2.2.2168 2010.02.02 -
      VirusBuster 5.0.21.0 2010.02.01 -
      Information additionnelle
      File size: 150016 bytes
      MD5...: c6c34ec3481bb98e33372a4bdd6b3572
      SHA1..: f4aa1c3924f47205888ffe0816af67b7824592b5
      SHA256: 666002a355f8f249a1a7408be8a5b32e64fd34d3066238d45d95fc3c207595f0
      ssdeep: 3072:owFAno6QfWdWc/pOZC3atvIfKKnx5wn7UQ2h5+VbYS44aSA/SqIdZ:ow8QL<br>c/pOgnfD5wn7rTtYS448aqI<br>
      PEiD..: -
      PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x4f28<br>timedatestamp.....: 0x4b003d2f (Sun Nov 15 17:41:03 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x38000 0x17c00 7.95 a34d9ee6817f6f40a89ba70bf11888a5<br>.data 0x39000 0xd000 0xc400 6.95 90a190afccc562a530e43d7d36eb334b<br>.rsrc 0x46000 0x1000 0x400 3.02 22c4923455450f508ec763ed41674947<br>.reloc 0x47000 0x1000 0x200 5.63 a3eead2ad234ed5dc84f1f8f40a48849<br><br>( 4 imports ) <br>> KERNEL32.dll: CloseHandle, CreateEventA, ExitProcess, FindResourceA, GetACP, GetCommandLineA, GetModuleHandleA, GetOEMCP, GetProcAddress, GetStartupInfoA, HeapAlloc, HeapCreate, HeapReAlloc, MultiByteToWideChar, PulseEvent, RtlUnwind, SetLastError, SetPriorityClass, SetThreadAffinityMask, SetUnhandledExceptionFilter, lstrcmpA, lstrlenA<br>> msvcrt.dll: __getmainargs, __p__commode, __set_app_type, _except_handler3, exit, free, realloc<br>> user32.dll: AppendMenuA, DestroyWindow, EndDeferWindowPos, GetDC, ScreenToClient, SetMenuItemInfoA, SetWindowPlacement, SetWindowPos<br>> winmm.dll: mmioAdvance, mmioClose, mmioDescend, mmioStringToFOURCCA, timeBeginPeriod, mixerGetLineControlsA<br><br>( 2 exports ) <br>MIDL_user_allocate, NxCookClothMesh<br>
      RDS...: NSRL Reference Data Set<br>-
      trid..: Win32 Executable Generic (42.3%)<br>Win32 Dynamic Link Library (generic) (37.6%)<br>Generic Win/DOS Executable (9.9%)<br>DOS Executable Generic (9.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
      pdfid.: -
      sigcheck:<br>publisher....: Electronic Arts<br>copyright....: Electronic Arts (C) 2008<br>product......: Burnout(TM) Paradise The Ultimate Box<br>description..: Vista Games Explorer Support Library<br>original name: BurnoutPC.rc<br>internal name: Burnout Paradise<br>file version.: 1, 0, 0, 0<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
      0
  9. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut

    Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

    ▶ Télécharge List&Kill'em et enregistre le sur ton bureau
    http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe

    ▶ Branche clés usb , disques durs externes , mp3 , mp4 , etc..

    double clique ( clic droit "Exécuter en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    coche la case "creer une icone sur le bureau"

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis la langue puis choisis l'option 1 = Mode Recherche

    ▶ laisse travailler l'outil

    à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    tu peux supprimer le rapport catchme.log de ton bureau maintenant.

    @++ :)
    0