Sujet Précédent Sujet Suivant

C:/windows/ehaqadiru.dll TROJAN

Résolu/Fermé
Catherine - 15 févr. 2010 à 02:24
 gen-hackman - 22 mars 2010 à 02:15
Bonjour,

J'ai un petit soucis, sinon, je ne serais pas ici.
J'ai avira qui me sort depuis quelques jours ceci:

C:/windows/ehaqadiru.dll is the TR/Hiloti.150016D.33 TROJAN

À CHAQUE fois qu'un programme s'ouvre: le screensaver, firefox, un jeu, photoshop, une fenêtre, désintaller un programme ; n'importe quoi. C'est l'enfer!!
Je sais pas d'ou ça viens; je ne suis pas la seule à utiliser cet ordinateur (familial).

Pourriez-vous m'aidez svp??

Merci infiniment!

Catherine

77 réponses

Réponse 1 / 77
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
17 févr. 2010 à 21:09
Bonsoir

Télécharge la dernière version free d'Antivir en français
tuto : https://kerio.probb.fr/t3106-tuto-antivir-antivirus-version-franaise

Après la mise à jour, fait un scan complet et poste le rapport

A +

2
zoee_catherine Messages postés 44 Date d'inscription lundi 15 février 2010 Statut Membre Dernière intervention 22 mars 2010 3
25 févr. 2010 à 23:04
OHLALA! Je suis débordée par la vie de famille; c'est le capharnaum total avec toute cette neige en plus, ouff...

Je t'ai totalement oublié; j'ai a peine touché à l'ordinateur depuis 1 semaine!
Bref, mon fils m'a expliquer que son PSP a fait un ''BIP'' quand il l'a branché à l'ordinateur. J'ai vérifié, et oui. Infecté. J'avais to-ta-le-ment oublié ce foutu psp. Surtout quand tu m'as demandé de brancher tout mes périphériques... quelle nouille!
De plus, à l'instant, windows s'est redémarré tout seul. ?? Bizarre, mais bon, ne nous inquiétons pas, ma souris est en train de rendre l'âme.
BREF
J'installe la version d'Antivir et je te reviens sur ce.
Merci d'avoir prit le temps de me répondre, je me sens un peu ingrate d'avoir laisser ce post en plan.
J'aimerais bien mettre un RÉSOLu sur celui ci!

Bien à toi,

Catherine
0
Réponse 2 / 77
Utilisateur anonyme
15 févr. 2010 à 02:26
ben quand ton antivirus taverti ya pas les option reparer supprimer ou mettre en 4rentaine ???
0
Catherine
15 févr. 2010 à 16:55
oui oui il y a mettre en quarantaine, delete, supprimer, deny access.... il n'y a que ignore qui fonctionne.
Si je choisis comme option une des 4 premières, il reviens tout de suite et là c'est à l'infini.
0
Réponse 3 / 77
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
15 févr. 2010 à 17:18
Bonjour et Bienvenue sur CCM

Télécharge random's system information tool (RSIT) (de Random/Random) sur le bureau.

!! Ferme toutes tes applications en cours !!

* Lance RSIT en double cliquant sur son icône
* La fenêtre de Disclaimer apparait : clique sur "Continue" (laisse par défaut 1 month)
* Si HijackThis n'est pas présent, pas à jour ou non détecté sur l'ordinateur, il sera téléchargé : Tu dois l'autoriser et accepter la licence.
* Après le balayage, 2 rapports vont s'ouvrir au format bloc-note : log.txt (qui sera affiché) ainsi que de info.txt (dans la barre des tâches)
* Copie-colle les rapports dans ton prochain message

Si les rapports ne s'ouvrent pas spontanément ils se trouvent dans le répertoire suivant : C:\rsit\

A +
0
Catherine
15 févr. 2010 à 18:58
Merci kalimusic!

Voici le rapport Log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by Client at 2010-02-15 12:56:17
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 17 GB (43%) free of 39 GB
Total RAM: 1535 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56:36, on 2010-02-15
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\windows\system32\RUNDLL32.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\windows\system32\ctfmon.exe
C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\windows\system32\nvsvc32.exe
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Adobe\Updater6\Adobe_Updater.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\FarmVilleBot\parser.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\windows\system32\SearchProtocolHost.exe
C:\Documents and Settings\Client\Mes documents\Téléchargements\RSIT(3).exe
C:\Program Files\trend micro\Client.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Dbagasejad] rundll32.exe "C:\windows\ehaqadiru.dll",Startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [WeatherEye] C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\RunOnce: [DeleteGrabPro] rundll32.exe advpack.dll,DelNodeRunDLL32 "C:\Program Files\Orbitdownloader\GrabPro.dll"
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Open with WordPerfect - d:\WordPerfect Office X4\WordPerfect Office X4\Programs\WPLauncher.hta
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\windows\system32\PnkBstrB.exe
0
Catherine
15 févr. 2010 à 18:59
Et voici info.txt

info.txt logfile of random's system information tool 1.06 2010-01-28 17:49:04

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
1001 Bites (Diner Dash Hometown Hero - Gourmet)-->C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\DINERD~1\UNWISE.EXE C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\DINERD~1\INSTALL.LOG
Adobe Bridge 1.0-->MsiExec.exe /I{B74D4E10-6884-0000-0000-000000000103}
Adobe Common File Installer-->MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5B39}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Help Center 1.0-->MsiExec.exe /I{E9787678-1033-0000-8E67-000000000001}
Adobe Photoshop CS2-->msiexec /I {236BB7C4-4419-42FD-0409-1E257A25E34D}
Adobe Reader 9.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Adobe Stock Photos 1.0-->MsiExec.exe /I{786C5747-1033-0000-B58E-000000000001}
Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
AVS Disc Creator version 2.1-->"C:\Program Files\AVSMedia\DiscCreator\unins000.exe"
AVS Update Manager 1.0-->"C:\Program Files\AVS4YOU\AVSUpdateManager\unins000.exe"
AVS Video Editor 4-->"D:\AVSVideoEditor\unins000.exe"
AVS Video Recorder 2.4-->"C:\Program Files\AVS4YOU\AVSVideoRecorder\unins000.exe"
AVS YouTube Uploader version 2.1-->"C:\Program Files\AVS4YOU\AVSYouTubeUploader\unins000.exe"
AVS4YOU Software Navigator 1.3-->"C:\Program Files\AVS4YOU\AVSSoftwareNavigator\unins000.exe"
Azada-->C:\PROGRA~1\PLAYFI~1\Azada\UNWISE.EXE C:\PROGRA~1\PLAYFI~1\Azada\INSTALL.LOG
Big Fish Games: Game Manager-->C:\Program Files\bfgclient\Uninstall.exe
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
Burger Shop 2 1.00-->D:\Burger shop 2\Burger Shop 2\Uninstall.exe
Burger Shop 2-->C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\BURGER~1\UNWISE.EXE C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\BURGER~1\INSTALL.LOG
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Correctif pour Lecteur Windows Media 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB961118)-->"C:\windows\$NtUninstallKB961118$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB970653-v3)-->"C:\windows\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB976098-v2)-->"C:\windows\$NtUninstallKB976098-v2$\spuninst\spuninst.exe"
DAEMON Tools Toolbar-->C:\Program Files\DAEMON Tools Toolbar\uninst.exe
Dealio Toolbar v4.0.2-->MsiExec.exe /X{C878CD69-85DB-426B-81A3-E71175AAEB91}
DeepBurner v1.9.0.228-->"C:\Program Files\Astonsoft\DeepBurner\Uninstall.exe" "C:\Program Files\Astonsoft\DeepBurner\install.log" -u
DVD Decoder Pak for Windows XP-->MsiExec.exe /X{92C5DB3D-9D6F-4324-BB11-57825F4C2635}
Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly
FaxTools-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F45298E5-0083-426F-A668-1A2C5F04B8A0}\setup.exe" -l0x40c ControlPanel
Free Video Converter V 2.5-->"D:\Free Video Converter\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Home Sweet Home 2 Kitchens and Baths-->"C:\windows\Home Sweet Home 2 Kitchens and Baths\uninstall.exe" "/U:C:\Program Files\Home Sweet Home 2 Kitchens and Baths\Uninstall\uninstall.xml"
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB915800-v4)-->"C:\WINDOWS\$NtUninstallKB915800-v4$\spuninst\spuninst.exe"
Hoyle Friday Night Poker-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A17FD8C6-1AC2-46E7-AD0A-70C602C3504D}\setup.exe" -l0x9 -removeonly
Intel(R) Extreme Graphics 2 Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_2572
iTunes-->MsiExec.exe /I{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}
Java(TM) 6 Update 10-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Lexmark 1200 Series-->C:\WINDOWS\system32\spool\drivers\w32x86\3\LXCZUN5C.EXE -dLexmark 1200 Series
LimeWire 5.2.13-->"D:\Limewire\uninstall.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
MassTube 4.55-->"C:\Program Files\MassTube\unins000.exe"
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1 Security Update (KB953297)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M953297\M953297Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1-->C:\windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Access MUI (English) 2007-->MsiExec.exe /X{90120000-0015-0409-0000-0000000FF1CE}
Microsoft Office Access Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0117-0409-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (English) 2007-->MsiExec.exe /X{90120000-0016-0409-0000-0000000FF1CE}
Microsoft Office Groove MUI (English) 2007-->MsiExec.exe /X{90120000-00BA-0409-0000-0000000FF1CE}
Microsoft Office Groove Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0114-0409-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (English) 2007-->MsiExec.exe /X{90120000-0044-0409-0000-0000000FF1CE}
Microsoft Office OneNote MUI (English) 2007-->MsiExec.exe /X{90120000-00A1-0409-0000-0000000FF1CE}
Microsoft Office Outlook MUI (English) 2007-->MsiExec.exe /X{90120000-001A-0409-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (English) 2007-->MsiExec.exe /X{90120000-0018-0409-0000-0000000FF1CE}
Microsoft Office PowerPoint Viewer 2003-->MsiExec.exe /X{90AF040C-6000-11D3-8CFE-0150048383C9}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (English) 2007-->MsiExec.exe /X{90120000-002C-0409-0000-0000000FF1CE}
Microsoft Office Publisher MUI (English) 2007-->MsiExec.exe /X{90120000-0019-0409-0000-0000000FF1CE}
Microsoft Office Shared MUI (English) 2007-->MsiExec.exe /X{90120000-006E-0409-0000-0000000FF1CE}
Microsoft Office Shared Setup Metadata MUI (English) 2007-->MsiExec.exe /X{90120000-0115-0409-0000-0000000FF1CE}
Microsoft Office Word MUI (English) 2007-->MsiExec.exe /X{90120000-001B-0409-0000-0000000FF1CE}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mise à jour critique pour Lecteur Windows Media 11 (KB959772)-->"C:\windows\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\windows\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB954155)-->"C:\windows\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB968816)-->"C:\windows\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB973540)-->"C:\windows\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\windows\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\windows\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB969897)-->"C:\windows\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB972260)-->"C:\windows\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB976325)-->"C:\windows\ie7updates\KB976325-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\windows\$NtUninstallKB923561$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\windows\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\windows\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\windows\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\windows\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\windows\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956744)-->"C:\windows\$NtUninstallKB956744$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\windows\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956844)-->"C:\windows\$NtUninstallKB956844$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\windows\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\windows\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\windows\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958869)-->"C:\windows\$NtUninstallKB958869$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\windows\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\windows\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\windows\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960859)-->"C:\windows\$NtUninstallKB960859$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961371)-->"C:\windows\$NtUninstallKB961371$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\windows\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\windows\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\windows\$NtUninstallKB968537$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969059)-->"C:\windows\$NtUninstallKB969059$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969898)-->"C:\windows\$NtUninstallKB969898$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969947)-->"C:\windows\$NtUninstallKB969947$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\windows\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971486)-->"C:\windows\$NtUninstallKB971486$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971557)-->"C:\windows\$NtUninstallKB971557$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\windows\$NtUninstallKB971633$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971657)-->"C:\windows\$NtUninstallKB971657$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971961)-->"C:\windows\$NtUninstallKB971961$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\windows\$NtUninstallKB973346$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973354)-->"C:\windows\$NtUninstallKB973354$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973507)-->"C:\windows\$NtUninstallKB973507$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973525)-->"C:\windows\$NtUninstallKB973525$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973869)-->"C:\windows\$NtUninstallKB973869$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973904)-->"C:\windows\$NtUninstallKB973904$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974112)-->"C:\windows\$NtUninstallKB974112$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974318)-->"C:\windows\$NtUninstallKB974318$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974392)-->"C:\windows\$NtUninstallKB974392$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974571)-->"C:\windows\$NtUninstallKB974571$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB975025)-->"C:\windows\$NtUninstallKB975025$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB975467)-->"C:\windows\$NtUninstallKB975467$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB942763)-->"C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951618-v2)-->"C:\WINDOWS\$NtUninstallKB951618-v2$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\windows\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\windows\$NtUninstallKB967715$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB968389)-->"C:\windows\$NtUninstallKB968389$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973687)-->"C:\windows\$NtUninstallKB973687$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973815)-->"C:\windows\$NtUninstallKB973815$\spuninst\spuninst.exe"
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - FRA\install.exe
Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
Nero 9-->C:\Program Files\Fichiers communs\Nero\Nero ProductInstaller 4\SetupX.exe REMOVESERIALNUMBER="9M03-01A1-PCX7-K31A-8A94-98PT-KT2E-522A"
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\windows\system32\nvuninst.exe UninstallGUI
Orbit Downloader-->"C:\Program Files\Orbitdownloader\unins000.exe"
PunkBuster Services-->C:\windows\system32\pbsvc.exe -u
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Real Crimes - The Unicorn Killer-->"C:\windows\Real Crimes - The Unicorn Killer\uninstall.exe" "/U:C:\Program Files\Real Crimes - The Unicorn Killer\Uninstall\uninstall.xml"
RealPlayer-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|12.0
Registry Mechanic 8.0-->"D:\Registry Mechanic\unins000.exe" /Log
Search Settings v1.2.3-->MsiExec.exe /X{5F05C28D-DEA9-4AD6-A73A-064175988EAB}
Security Update for Windows Search 4 - KB963093-->"C:\windows\$NtUninstallKB963093$\spuninst\spuninst.exe"
Sid Meier's Civilization 4-->C:\Program Files\InstallShield Installation Information\{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}\setup.exe -runfromtemp -l0x040c -removeonly
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe
The Dash Slipper (Diner Dash Hometown Hero - Gourmet)-->C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\DINERD~1\UNWISE.EXE C:\DOCUME~1\ALLUSE~1\APPLIC~1\PLAYFI~1\Games\DINERD~1\INSTALL.LOG
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VideoLAN VLC media player 0.8.6c-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Visual C++ 8.0 ATL (x86) WinSXS MSM-->MsiExec.exe /I{97F81AF1-0E47-DC99-FF1F-C8B3B9A1E18E}
Visual C++ 8.0 CRT (x86) WinSXS MSM-->MsiExec.exe /I{98CB24AD-52FB-DB5F-FF1F-C8B3B9A1E18E}
VSO Image Resizer 2.2.0.1-->"D:\Image Resizer\unins000.exe"
Vuze-->C:\Program Files\Vuze\uninstall.exe
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Search 4.0-->"C:\WINDOWS\$NtUninstallKB940157$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
Xobni Core-->MsiExec.exe /I{8DC069E7-893C-41E1-9442-DE89FEC33371}
Xobni-->"C:\Program Files\Xobni\UninstallerWizard.exe"
Youtube Grabber 4.3.1-->"C:\Program Files\Youtube Grabber\unins000.exe"
Zwunzi 1.0 build 139-->C:\Program Files\Zwunzi\uninstall.exe

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======Security center information======

AV: Avira AntiVir PersonalEdition

======System event log======

Computer Name: MARC-CATHERINE
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service NLA (Network Location Awareness).

Record Number: 562
Source Name: Service Control Manager
Time Written: 20090625163907.000000-240
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: MARC-CATHERINE
Event Code: 15
Message: Broadcom NetXtreme Gigabit Ethernet: Driver initialized successfully.

Record Number: 561
Source Name: b57w2k
Time Written: 20090625163857.000000-240
Event Type: Informations
User:

Computer Name: MARC-CATHERINE
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 560
Source Name: EventLog
Time Written: 20090625163839.000000-240
Event Type: Informations
User:

Computer Name: MARC-CATHERINE
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Uniprocessor Free.

Record Number: 559
Source Name: EventLog
Time Written: 20090625163839.000000-240
Event Type: Informations
User:

Computer Name: MARC-CATHERINE
Event Code: 6006
Message: Le service d'Enregistrement d'événement a été arrêté.

Record Number: 558
Source Name: EventLog
Time Written: 20090625163647.000000-240
Event Type: Informations
User:

=====Application event log=====

Computer Name: MARC-CATHERINE
Event Code: 301
Message: Windows (132) Windows: Le moteur de base de données commence la relecture du fichier journal C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Applications\Windows\MSS.log.

Record Number: 485
Source Name: ESENT
Time Written: 20090314123811.000000-300
Event Type: Informations
User:

Computer Name: MARC-CATHERINE
Event Code: 300
Message: Windows (132) Windows: Le moteur de base de données initialise la procédure de récupération.

Record Number: 484
Source Name: ESENT
Time Written: 20090314123810.000000-300
Event Type: Informations
User:

Computer Name: MARC-CATHERINE
Event Code: 102
Message: Windows (132) Windows: Le moteur de base de données a démarré une nouvelle instance (0).

Record Number: 483
Source Name: ESENT
Time Written: 20090314123807.000000-300
Event Type: Informations
User:

Computer Name: MARC-CATHERINE
Event Code: 100
Message: SearchIndexer (132) Le moteur de base de données 5.01.2600.5512 est démarré.

Record Number: 482
Source Name: ESENT
Time Written: 20090314123807.000000-300
Event Type: Informations
User:

Computer Name: MARC-CATHERINE
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 481
Source Name: SecurityCenter
Time Written: 20090314123805.000000-300
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Fichiers communs\Adobe\AGL;C:\Program Files\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------
0
Réponse 4 / 77
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
15 févr. 2010 à 20:40
Bonsoir Catherine

Afin de faciliter nos échanges et de suivre plus facilement le sujet , je te recommande de t'inscrire, merci.

Durant la désinfection, il est préférable de ne pas :

1. Ajouter de programmes à ton PC
2. Utiliser d'outil de désinfection de ta propre initiative
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours

Il est préférable de terminer la procédure même si ton PC semble aller mieux.

**********

Il y a plusieurs infections à traiter. On va commencer par le fichier récalcitrant.
Pendant la durée de la procédure, tu dois désactiver le module Tea Timer de Spybot S&D sous peine de faire échouer la désinfection.
https://www.commentcamarche.net/telecharger/securite/20939-spybot-search-and-destroy/
Aide en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demo%20spybot.htm

**********

1. Télécharge OTM (de Old_Timer) sur le bureau

* Lance l'outil en faisant un double clic sur l'icône OTM
* La fenêtre principale de l'outil s'ouvre :
* Copie la liste en citation ci-dessous et colle-la dans le cadre "Paste instructions for Items to be Moved"


:Files
C:\windows\ehaqadiru.dll

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"Dbagasejad"=-

:Commands
[purity]
[emptytemp]


* Clique sur MoveIt ! pour lancer la suppression
* A la fin du processus le PC va redémarrer
* Poste le rapport dans qui se trouve dans le répertoire suivant C:\_OTMoveIt\MovedFile


**********

Je vois que tu as déjà essayer Ad-Remover, mais sans succès.
Tu as installé ou accepté d'installer avec un logiciel tiers des barres d'outils ou de recherches néfastes ou douteuses.
infos = https://forum.malekal.com/viewtopic.php?f=45&t=6173

Si possible essaye de désinstaller via Ajout/Suppr de Programmes ces barres d'outils :

DAEMON Tools Toolbar
Dealio Toolbar
Search Settings v1.2.3

2. Télécharge AD-Remover (CC_X) sur le bureau et installe le dans le répertoire suivant C:\Program Files\Ad-remover

Désactive la protection résidente de ton anti-virus (clic-droit, décoche "Activer Antivir Guard") ainsi que tea timer

* Double clique sur l'icône Ad-Remover du bureau, clique sur "Oui" dans la boite de dialogue
* Au menu principal choisi l'option "L (Lancer le nettoyage )" puis Entrée
* Patiente le temps du scan (le bureau peut disparaitre), appuie sur n'importe quelle touche quand l'outil te le demandera.

Copie/colle le rapport dans ton prochain message.

Si le rapport ne s'ouvrent pas spontanément, il se trouve à la racine du disque C:\Ad-report(date).log

Note : "Process.exe" est détecté par certains antivirus comme étant un RiskTool.


**********

3. Télécharge et installe UsbFix (par El Desaparecido & C_XX) sur le Bureau
* ! ! Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir !!
* Double clique sur l'icône UsbFix présent sur le bureau
* Choisis l'option 1 "Recherche"
* Le rapport doit s'ouvrir spontanément à la fin du scan
* Copie/colle le rapport dans le prochain message

Le rapport est sauvegardé à la racine du disque C:\USBfix.txt

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus
Le mieux est de désactiver temporairement à Antivir


A +
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 77
zoee_catherine Messages postés 44 Date d'inscription lundi 15 février 2010 Statut Membre Dernière intervention 22 mars 2010 3
15 févr. 2010 à 22:50
Merci kalimusic, j'apprécie beaucoup!

Je me suis enregistrer comme tu me l'as suggéré.

Voici le premier rapport (OTM)

All processes killed
========== FILES ==========
DllUnregisterServer procedure not found in C:\windows\ehaqadiru.dll
C:\windows\ehaqadiru.dll moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 2882101 bytes

User: All Users

User: Client
->Temp folder emptied: 53859749 bytes
->Temporary Internet Files folder emptied: 18814433 bytes
->Java cache emptied: 1645627 bytes
->FireFox cache emptied: 102018569 bytes

User: Default User
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 2303152 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134506 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1108302 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23935758 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33886 bytes
RecycleBin emptied: 112405 bytes

Total Files Cleaned = 199,00 mb


OTM by OldTimer - Version 3.1.8.0 log created on 02152010_162811

Files moved on Reboot...

Registry entries deleted on Reboot...
0
Réponse 6 / 77
zoee_catherine Messages postés 44 Date d'inscription lundi 15 février 2010 Statut Membre Dernière intervention 22 mars 2010 3
15 févr. 2010 à 22:57
Voilà, pour ce qui est de daemon tools toolbar, j'ai réussis à le désinstaller avec ajout/suppression de programmes.
Par contre, impossible de supprimer Search Settings v1.2.3. On me répond que ''Le composant que vous essayer d'utiliser se trouve sur une ressource réseau non diponible''. (J'avoue, c'est la première fois que je vois ce message dans ce programme, je sais pas trop quoi en penser...)
Pour ce qui est de Dealio Toolbar je ne l'ai pas trouvé dans mon ajout/supp, donc j'ai fait une recherche dans démarrer-rechercher.
Il est dans AD-REMOVER/QUARANTINE/Progra-1/.
Dois-je le supprimé dans ad-remover ou je le laisse là puisqu'il est en quarantaine??

Enfin, voici le rapport de Ad-remover:

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:38:46, 2010-02-15 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: MARC-CATHERINE | Utilisateur actuel: Client
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.


(!) -- Fichiers temporaires supprimés.

.
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.7 [fr] *
.
Nom du profil: lh7gmxsi.default (Client)
.
(Client, prefs.js) Browser.download.lastDir, D:\Mes images
(Client, prefs.js) Browser.startup.homepage, hxxp://qc.yahoo.com/
(Client, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}:6.0.10,jqs@sun.com:1.0,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0,{65EE8DEB-5FF8-4CE0-AAD5-2FF7A3724000}:1.9.1,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
(Client, prefs.js) Privacy.popups.showBrowserMessage, false
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Bigfish Games - Home Sweet Home 2 Kitchens and Baths Adnan Boy 2008 Precracked [smaragdtorrent.to].torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Bigfish_Games_-_Avenue_Flo_-_zibbik_-_Precrack.5125444.TPB.torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Burger Shop-PreCracked-BigFish-Reflexive-HIVBABY.rar.torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Game Copy Wizard - Copy and Backup Virtually Any Game Easily Cracked Jan 2010.exe.torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\Game Copy Wizard - Copy and Backup Virtually Any Game Easily Cracked Nov 2009.exe ---[www.btscene.com]--- .torrent
C:\Documents and Settings\Client\Bureau\Burger Shop-PreCracked-BigFish-Reflexive-HIVBABY.rar
C:\Documents and Settings\Client\Mes documents\T‚l‚chargements\LimeWire-Acceleration-Patch-6.0.4.0.exe
.
===================================
.
9552 Octet(s) - C:\Ad-Report-CLEAN[1].log
3378 Octet(s) - C:\Ad-Report-CLEAN[2].log
.
1 Fichier(s) - C:\DOCUME~1\Client\LOCALS~1\Temp
2 Fichier(s) - C:\windows\Temp
9 Fichier(s) - C:\windows\Prefetch
.
34 Fichier(s) - C:\Ad-Remover\BACKUP
116 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 16:45:45 | 2010-02-15 - CLEAN[2]
.
============== E.O.F ==============
.
0
Réponse 7 / 77
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
15 févr. 2010 à 22:59
bonsoir

juste en passant

le TeaTimer de Spybot peut géner les outils utilsés...

bonne continuation
0
Réponse 8 / 77
zoee_catherine Messages postés 44 Date d'inscription lundi 15 février 2010 Statut Membre Dernière intervention 22 mars 2010 3
15 févr. 2010 à 23:01
Et voici le rapport UBSFIX

Merci encore pour tout!

############################## | UsbFix V6.095 |

User : Client (Administrateurs) # MARC-CATHERINE
Update on 15/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:00:10 | 2010-02-15
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Avira AntiVir PersonalEdition 8.0.1.30 [ (!) Disabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 38,28 Go (16,55 Go free) [Windows XP] # NTFS
D:\ -> Disque fixe local # 38,28 Go (6,02 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque amovible # 3,72 Go (3,72 Go free) [KINGSTON] # FAT32

############################## | Processus actifs |

C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\windows\system32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\windows\system32\nvsvc32.exe
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SearchIndexer.exe
C:\windows\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\windows\system32\RUNDLL32.EXE
C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe
C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\windows\system32\ctfmon.exe
C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\windows\system32\SearchProtocolHost.exe
C:\windows\system32\SearchFilterHost.exe
C:\windows\system32\wscntfy.exe
C:\windows\system32\wbem\wmiprvse.exe

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{b0a60667-bfe9-11de-a9fa-000e7f2c87c0}
Shell\AutoRun\command =wscript.exe .\.vbs
Shell\open\command =wscript.exe .\.vbs

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !

################## | ! Fin du rapport # UsbFix V6.095 ! |
0
Réponse 9 / 77
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
15 févr. 2010 à 23:03
Bonsoir moment de grace

Merci d'être passer par là mais regarde bien, c'était précisé au début de mon message de désactiver Tea Timer pendant toute la procédure : https://forums.commentcamarche.net/forum/affich-16596240-c-windows-ehaqadiru-dll-trojan#6

pour Catherine : As-tu bien désactiver le tea timer comme demandé ?

A +
0
Réponse 10 / 77
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
16 févr. 2010 à 00:03
Bonsoir Catherine

Peux tu me confirmer la désactivation du tea timer quand tu as lancé Ad-Remover ?
Pour les 3 logiciels que je t'avais demandé de désinstaller, j'avais précisé : Si possible essaye de désinstaller.... Donc c'est bon.

Je sais qu'il y a plusieurs utilisateurs sur ce PC, mais il faut supprimer ces cracks vecteurs d'infections afin d'optimiser la réussite de la procédure.

============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Bigfish Games - Home Sweet Home 2 Kitchens and Baths Adnan Boy 2008 Precracked [smaragdtorrent.to].torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Bigfish_Games_-_Avenue_Flo_-_zibbik_-_Precrack.5125444.TPB.torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Burger Shop-PreCracked-BigFish-Reflexive-HIVBABY.rar.torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\[isoHunt] Game Copy Wizard - Copy and Backup Virtually Any Game Easily Cracked Jan 2010.exe.torrent
C:\Documents and Settings\Client\Application Data\Azureus\torrents\Game Copy Wizard - Copy and Backup Virtually Any Game Easily Cracked Nov 2009.exe ---[www.btscene.com]--- .torrent
C:\Documents and Settings\Client\Bureau\Burger Shop-PreCracked-BigFish-Reflexive-HIVBABY.rar
C:\Documents and Settings\Client\Mes documents\T‚l‚chargements\LimeWire-Acceleration-Patch-6.0.4.0.exe

Informations utiles :
http://www.infos-du-net.com/forum/273143-7-cracks-risques
https://www.commentcamarche.net/infos/25921-pourquoi-ccm-n-aide-pas-la-contrefacon-numerique-des-logiciels/

une fois les fichiers supprimés

Ferme toutes tes applications en cours

!! Désactive la protection résidente de ton anti-virus ainsi que le tea timer !!

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir

* Relance UsbFix en choisissant maintenant l'option 2 "suppression"
* Le bureau va disparaître et le système va redémarrer
* Au redémarrage, UsbFix scanne ton pc, laisse travailler l’outil.
* Le rapport doit s'ouvrir spontanément à la fin du nettoyage
* Copie/colle le rapport dans le prochain message

Le rapport est sauvegardé à la racine du disque C:\UsbFix.txt

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus


A +
0
zoee_catherine Messages postés 44 Date d'inscription lundi 15 février 2010 Statut Membre Dernière intervention 22 mars 2010 3
16 févr. 2010 à 00:43
Je sais qu'il y a plusieurs utilisateurs sur ce PC, mais il faut supprimer ces cracks vecteurs d'infections afin d'optimiser la réussite de la procédure.

Bah si les autres sont pas content, il ont juste à s'acheter leurs propre ordinateurs! :)
C'est là le problème; à force d'être 3-4 à y avoir accès, on se ramasse avec des cochonneries. Ce n'est pas la première fois malheureusement.
0
Réponse 11 / 77
zoee_catherine Messages postés 44 Date d'inscription lundi 15 février 2010 Statut Membre Dernière intervention 22 mars 2010 3
16 févr. 2010 à 00:40
Oui oui j'ai bien désactiver Teatimer comme demandé pour les scans!

J'ai eu un doute, je l'avais désactivé avec de faire le scan de OTM, et il est encore désactivé.
J'ai aussi désactivé avira comme tu l'as demandé

Merci

Catherine
0
Réponse 12 / 77
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
16 févr. 2010 à 09:19
Bonjour Catherine

Bonnes résolutions !!

Oui oui j'ai bien désactiver Teatimer comme demandé pour les scans!
J'avais juste un doute pour le scan de AD-Remover, car on ne peut pas le voir dans son rapport si tu l'avais désactivé ou pas.
Pour OTM, moindre mal car on sera certainement amené à le réutiliser. J'ai commencé par le fichier récalcitrant de peur qu'il t'embête pour faire les manipulations qui suivaient. Comme il n'a pas réussi à modifier le registre, le tea timer était peut-être activé.
Pour UsbFix, je vois que c'est bon, tu peux donc passer à l'option 2, en suivant les indications donnés ici:
https://forums.commentcamarche.net/forum/affich-16596240-c-windows-ehaqadiru-dll-trojan#14

A +
0
zoee_catherine Messages postés 44 Date d'inscription lundi 15 février 2010 Statut Membre Dernière intervention 22 mars 2010 3
16 févr. 2010 à 17:31
J'ai eu du mal à les trouver; z'étaient cachés!
Et j'ai une question; tout ces fichiers que tu m'as fait supprimer.. y viennent d'ou exactement? Azureus et torrent c'est quoi ça? Mon anti-virus n'est pas assez fort?

Et voici le rapport de Usbfix:


############################## | UsbFix V6.095 |

User : Client (Administrateurs) # MARC-CATHERINE
Update on 15/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:18:41 | 2010-02-16
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Avira AntiVir PersonalEdition 8.0.1.30 [ (!) Disabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 38,28 Go (16,41 Go free) [Windows XP] # NTFS
D:\ -> Disque fixe local # 38,28 Go (6,02 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque amovible # 3,72 Go (3,72 Go free) [KINGSTON] # FAT32

############################## | Processus actifs |

C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\windows\system32\nvsvc32.exe
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SearchIndexer.exe
C:\windows\system32\wuauclt.exe
C:\windows\system32\wscntfy.exe
C:\windows\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-151556770-57175745-3793609141-1004
Supprimé ! C:\Recycler\S-1-5-21-746137067-1336601894-839522115-1004
Supprimé ! D:\Recycler\S-1-5-21-1229272821-492894223-1060284298-1003
Supprimé ! D:\Recycler\S-1-5-21-151556770-57175745-3793609141-1004

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{b0a60667-bfe9-11de-a9fa-000e7f2c87c0}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[2010-02-01 13:42|--a------|9552] C:\Ad-Report-CLEAN[1].log
[2010-02-15 16:45|--a------|3716] C:\Ad-Report-CLEAN[2].log
[2008-07-25 12:22|--a------|0] C:\CONFIG.SYS
[2008-07-25 12:22|-rahs----|0] C:\IO.SYS
[2009-12-06 10:46|--a------|3789] C:\LGSInst.Log
[2008-07-25 12:22|-rahs----|0] C:\MSDOS.SYS
[2008-11-30 14:42|--a------|43866] C:\n1089774544_30026067_6704.jpg
[2008-11-30 14:38|--a------|58177] C:\n736095551_1022062_3169.jpg
[2004-08-05 07:00|-rahs----|47564] C:\NTDETECT.COM
[2008-07-25 14:23|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[2008-09-25 20:01|--a------|168] C:\setupfax.log
[2009-04-04 13:58|--ahs----|34304] C:\Thumbs.db
[2010-02-16 11:22|--a------|3428] C:\UsbFix.txt
[2009-07-13 13:02|--a------|8356] D:\Acknowledgements.rtf
[2007-11-23 18:35|--a------|0] D:\AUTOEXEC.BAT
[2008-09-21 21:19|-rahs----|282] D:\boot.ini
[2002-09-06 15:00|-rahs----|4952] D:\Bootfont.bin
[2009-07-13 13:02|--a------|722160] D:\CDDBControlApple.dll
[2007-11-23 18:35|--a------|0] D:\CONFIG.SYS
[2008-09-23 12:26|--ahs----|1073270784] D:\hiberfil.sys
[2010-01-16 14:41|--a------|4681490432] D:\INGLOURIOUS_BASTERDS.ISO
[2007-11-23 18:35|-rahs----|0] D:\IO.SYS
[2009-07-13 13:02|--a------|643072] D:\iPodUpdaterExt.dll
[2009-07-13 13:02|--a------|111912] D:\ITDetector.ocx
[2009-07-13 13:02|--a------|14074656] D:\iTunes.exe
[2009-07-13 13:03|--a------|384808] D:\iTunesAdmin.dll
[2009-07-13 13:03|--a------|292128] D:\iTunesHelper.exe
[2009-07-13 13:03|--a------|124200] D:\iTunesMiniPlayer.dll
[2009-07-13 13:03|--a------|285184] D:\iTunesOutlookAddIn.dll
[2009-07-13 13:03|--a------|264992] D:\iTunesPhotoProcessor.exe
[2007-11-23 18:35|-rahs----|0] D:\MSDOS.SYS
[2004-08-03 17:38|-rahs----|47564] D:\NTDETECT.COM
[2004-08-03 17:59|-rahs----|251712] D:\ntldr
[2008-09-23 12:26|--ahs----|1610612736] D:\pagefile.sys
[2009-10-26 20:35|---------|1028456] D:\WeatherEyeDownloader.exe
[2010-01-31 20:18|--a------|1216345] I:\fred01.jpg
[2010-01-31 20:22|--a------|1963724] I:\fred02.jpg
[2010-01-31 20:25|--a------|1869420] I:\fred03.jpg
[2010-01-31 20:28|--a------|1295693] I:\fred04.jpg
[2010-01-31 20:32|--a------|346924] I:\fred05.jpg

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_MARC-CATHERINE.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.095 ! |
0
Réponse 13 / 77
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
16 févr. 2010 à 18:55
Bonsoir Catherine

Il y a sur le PC, 2 logiciels de P2P : Azureus Vuze et Limewire

Ces logiciels sont tout à fait légitimes et le système est légal au départ, puisqu'il s'agissait de partager des fichiers libres de droits ou en accord avec les propriétaires.
Aujourd'hui tout le monde sait qu'il servent à se procurer gratuitement des films, des logiciels, des musiques, etc...
https://fr.wikipedia.org/wiki/P2p
https://fr.wikipedia.org/wiki/BitTorrent_%28protocole%29

Les éditeurs de virus en sont conscients, et profitent de la naïveté et de la méconnaissance des internautes pour les infecter.
https://forum.malekal.com/viewtopic.php?t=3208&start=
https://forum.malekal.com/viewtopic.php?f=33&t=893


*********

1. Télécharge ATF (par A-Tribune) sur le bureau et lance le en double cliquant sur son icône

* Choisis ton navigateur (IE ou firefox ou opera ).
* Coche Select All
* Clique sur Empty Selected
(Si tu souhaites conserver les mots de passe sauvegardés, clique No à l'invite)
* Accepte de tout supprimer

Cet outil ne donne pas de rapport, il sert à préparer le passage du logiciel suivant


2. Télécharge MBAM et installe le selon l'emplacement suivant C:\Program Files\MalwareBytes'Anti-Malware
* Effectue la mise à jour et lance Malwarebytes' Anti-Malware
* Clique dans l'onglet du haut "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
* Sinon le rapport s'ouvre automatiquement après la suppression, copie/colle le rapport dans le prochain message.

3. Relance l'outil de diagnostic RSIT que nous avons utilisé au début.
Cette fois un seul fichier log.txt va s'ouvrir, poste le
(reporte toi au message correspondant si besoin pour la manipulation)

A +

0
Réponse 14 / 77
zoee_catherine Messages postés 44 Date d'inscription lundi 15 février 2010 Statut Membre Dernière intervention 22 mars 2010 3
16 févr. 2010 à 22:14
Ok, ATF c'est fait, et après 2h de scan de malwarebytes, voici ce que ça donne:

(et merci pour les renseignements sur azureus et torrent. J'en connais 2 qui vont se faire parler dans le casque ce soir pour télécharger des jeux ''precraked'' infectés)

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3746
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

2010-02-16 16:07:59
mbam-log-2010-02-16 (16-07-59).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 223659
Temps écoulé: 2 hour(s), 13 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{adeeaf15-7fe8-dedd-3fff-4df56ebb1dfb} (Trojan.Delf) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{adeeaf15-7fe8-dedd-3fff-4df56ebb1dfb} (Trojan.Delf) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\FarmVilleBot\parser.exe (Trojan.Agent) -> Quarantined and deleted successfully.
0
Réponse 15 / 77
zoee_catherine Messages postés 44 Date d'inscription lundi 15 février 2010 Statut Membre Dernière intervention 22 mars 2010 3
16 févr. 2010 à 22:16
Et voici RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Client at 2010-02-16 16:14:55
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 17 GB (43%) free of 39 GB
Total RAM: 1535 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:15:11, on 2010-02-16
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\windows\system32\nvsvc32.exe
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\windows\system32\svchost.exe
C:\windows\system32\SearchIndexer.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\windows\system32\RUNDLL32.EXE
C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe
C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\windows\system32\ctfmon.exe
C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Client\Mes documents\Téléchargements\RSIT(4).exe
C:\windows\system32\SearchProtocolHost.exe
C:\Program Files\trend micro\Client.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Dbagasejad] rundll32.exe "C:\windows\ehaqadiru.dll",Startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [WeatherEye] C:\Documents and Settings\Client\Local Settings\Application Data\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Open with WordPerfect - d:\WordPerfect Office X4\WordPerfect Office X4\Programs\WPLauncher.hta
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\windows\system32\PnkBstrB.exe
0
Réponse 16 / 77
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
16 févr. 2010 à 23:33
Bonsoir Catherine

Très bien, on continue.

Il serait préférable de désinstaller ce programme dont l'éditeur me parait douteux :
MassTube 4.55 (infos : https://www.mywot.com/fr/scorecard/zyntaxis.idoo.com)
> Panneau de configuration > Ajout/Suppr de Programmes

Ferme toutes tes applications en cours

!! Désactive la protection résidente de ton anti-virus ainsi que le tea timer !!

* Relance OTM en faisant un double clic sur son icône
* La fenêtre principale de l'outil s'ouvre :
* Copie la liste en citation ci-dessous et colle-la dans le cadre "Paste instructions for Items to be Moved"


:Files
C:\windows\ehaqadiru.dll
C:\windows\system32\drivers\ap1jdzh9.sys
C:\windows\system32\drivers\ancy13dd.sys

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"Dbagasejad"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-

:Commands
[purity]
[emptytemp]


* Clique sur MoveIt ! pour lancer la suppression
* A la fin du processus le PC va redémarrer
* Poste le rapport dans qui se trouve dans le répertoire suivant C:\_OTMoveIt\MovedFile

******

Relance HijackThis

* Dans la fenêtre principale "Main Menu" clique sur le bouton "None of the above, just start the program"
* Clique sur le bouton Scan (dans le sous-menu Scan & fix stuff)
* Après le balayage, coche les cases des lignes indiquées si toujours présentes :


O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Dbagasejad] rundll32.exe "C:\windows\ehaqadiru.dll",Startup


* Ferme toutes les applications en cours et surtout le navigateur Internet !
* Clique ensuite sur le bouton Fix checked (dans le sous-menu Scan & fix stuff)
* Répond "Oui" dans la fenêtre d'avertissement, referme le programme après la suppression.

******

Comment se comporte le PC maintenant ?

A +
0
Réponse 17 / 77
zoee_catherine Messages postés 44 Date d'inscription lundi 15 février 2010 Statut Membre Dernière intervention 22 mars 2010 3
17 févr. 2010 à 00:15
Bon, ça en fais des manoeuvres, mais si c'est pour le dégripper, je suis pour!

Voici le rapport OTM

All processes killed
========== FILES ==========
File/Folder C:\windows\ehaqadiru.dll not found.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes

User: All Users

User: Client
->Temp folder emptied: 1080184 bytes
->Temporary Internet Files folder emptied: 4188421 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 81347962 bytes

User: Default User
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 40960 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 83,00 mb


OTM by OldTimer - Version 3.1.8.0 log created on 02162010_181104

Files moved on Reboot...

Registry entries deleted on Reboot...
0
Réponse 18 / 77
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
17 févr. 2010 à 00:21
Re- Bonsoir Catherine

Non désolé c'est bien le bon (je sais pas lire les dates) ! Tu avais bien désactivé tea timer ??

A +

0
zoee_catherine Messages postés 44 Date d'inscription lundi 15 février 2010 Statut Membre Dernière intervention 22 mars 2010 3
17 févr. 2010 à 00:24
Oups..!

Voilà, c'est le bon:

All processes killed
========== FILES ==========
File/Folder C:\windows\ehaqadiru.dll not found.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes

User: All Users

User: Client
->Temp folder emptied: 1080184 bytes
->Temporary Internet Files folder emptied: 4188421 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 81347962 bytes

User: Default User
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 40960 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 83,00 mb


OTM by OldTimer - Version 3.1.8.0 log created on 02162010_181104

Files moved on Reboot...

Registry entries deleted on Reboot...
0
zoee_catherine Messages postés 44 Date d'inscription lundi 15 février 2010 Statut Membre Dernière intervention 22 mars 2010 3
17 févr. 2010 à 00:28
Hahaha! :D

Oui Teatimer est désactivé et l'est encore. Je le réactiverais quand tu me dira que tout est ok!
0
Réponse 19 / 77
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
17 févr. 2010 à 00:26
on s'est croisés regarde : https://forums.commentcamarche.net/forum/affich-16596240-c-windows-ehaqadiru-dll-trojan#23

0
Réponse 20 / 77
zoee_catherine Messages postés 44 Date d'inscription lundi 15 février 2010 Statut Membre Dernière intervention 22 mars 2010 3
17 févr. 2010 à 00:27
Bon, mis à part, j'ai fait ce que tu m'as demandé avec Hijackthis, et j'ai supprimé ces deux éléments qui y étaient encore:
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Dbagasejad] rundll32.exe "C:\windows\ehaqadiru.dll",Startup

Sinon depuis, le Pc roule bien; pas de bip à chaque fois qu'on ouvre un programme (enfin!!).
Par contre, à chaque fois qu'il redémarre, j'ai un message d'erreur me disant:
Erreur de chargement:
C:/windows /ehaqadiru.dll
Le module spécifié est introuvable.

Mais sinon tout beigne, et c'est bien grace à toi et a ta patience! ;)
0