Demande d'aide suite à un rapport highjack
mektub
-
Utilisateur anonyme -
Utilisateur anonyme -
bonjour à tous, j'ai vu que je ne suis pas le seul à avoir été infecté par :
> trojan horse tr qhost.gr
system32/hclean32.exe
et
> trojan horse tr/click 526
system32/rdsndin.exe
Visiblement c'est plutôt la galère, pour éradiquer ces trojan, et mise à part la solution highjack, je ne vois pas ce que je peux faire pour en venir à bout...
Voici ma config
windows xp (service pack 2)
amd sempron 2600
639 ddr ram
hdd 40 go samsung
hdd 120 go maxtor diamondmax plus 9 ata
carte grahique : g force 5200
j'utilise le pare- feu windows
anti vir ne detecte rien
ad aware non plus
j'ai lancé reg cleaner
puis une defrag, mais ça n'a rien donné.
il ne me reste je crois plus qu'une solution avant le formatage !?
voici le rapport de highjack si quelqu'un pouvait me venir en aide ?
merci d'avance !?
Logfile of HijackThis v1.99.1
Scan saved at 01:29:47, on 31/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\UTILS\ADSL AUTOCONNECT\ADSL Autoconnect.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\WINAMP\winampa.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Utils\coolmon\DaisyManSoftware\CoolMon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
D:\emule\emule.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Utils\reg cleaner\RegCleaner\RegCleanr.exe
C:\Utils\highjackthis\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {65D3B345-9237-0FB3-E123-94D328F53678} - MSTCPDLL.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\WINAMP\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [slamm] stuffmon.exe
O4 - HKLM\..\Run: [InpriseMon] SYSTRAV.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [nmdllw] new32.exe
O4 - HKCU\..\Run: [gabber] MON76234.exe
O4 - HKCU\..\Run: [MONITER] FLKPT.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\emule\emule.exe -AutoStart
O4 - Startup: CoolMon Executable.lnk = C:\Utils\coolmon\DaisyManSoftware\CoolMon.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{49B4AE84-D3C8-40CF-9401-5D32DDB7040B}: NameServer = 195.95.218.18,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E9A6D2-4170-4308-AC93-43DDF2943E2C}: NameServer = 195.95.218.18,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADC2DCA5-CA19-4FD4-BC07-1033C52F9C89}: NameServer = 195.95.218.18 85.255.112.11
O23 - Service: ADSLAutoconnect - Unknown owner - C:\UTILS\ADSL AUTOCONNECT\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
S'il y a besoin d'autre chose, dites le moi ?
(silent runers ?)
mektub
> trojan horse tr qhost.gr
system32/hclean32.exe
et
> trojan horse tr/click 526
system32/rdsndin.exe
Visiblement c'est plutôt la galère, pour éradiquer ces trojan, et mise à part la solution highjack, je ne vois pas ce que je peux faire pour en venir à bout...
Voici ma config
windows xp (service pack 2)
amd sempron 2600
639 ddr ram
hdd 40 go samsung
hdd 120 go maxtor diamondmax plus 9 ata
carte grahique : g force 5200
j'utilise le pare- feu windows
anti vir ne detecte rien
ad aware non plus
j'ai lancé reg cleaner
puis une defrag, mais ça n'a rien donné.
il ne me reste je crois plus qu'une solution avant le formatage !?
voici le rapport de highjack si quelqu'un pouvait me venir en aide ?
merci d'avance !?
Logfile of HijackThis v1.99.1
Scan saved at 01:29:47, on 31/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\UTILS\ADSL AUTOCONNECT\ADSL Autoconnect.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\WINAMP\winampa.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Utils\coolmon\DaisyManSoftware\CoolMon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
D:\emule\emule.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Utils\reg cleaner\RegCleaner\RegCleanr.exe
C:\Utils\highjackthis\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {65D3B345-9237-0FB3-E123-94D328F53678} - MSTCPDLL.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\WINAMP\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [slamm] stuffmon.exe
O4 - HKLM\..\Run: [InpriseMon] SYSTRAV.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [nmdllw] new32.exe
O4 - HKCU\..\Run: [gabber] MON76234.exe
O4 - HKCU\..\Run: [MONITER] FLKPT.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\emule\emule.exe -AutoStart
O4 - Startup: CoolMon Executable.lnk = C:\Utils\coolmon\DaisyManSoftware\CoolMon.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{49B4AE84-D3C8-40CF-9401-5D32DDB7040B}: NameServer = 195.95.218.18,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E9A6D2-4170-4308-AC93-43DDF2943E2C}: NameServer = 195.95.218.18,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADC2DCA5-CA19-4FD4-BC07-1033C52F9C89}: NameServer = 195.95.218.18 85.255.112.11
O23 - Service: ADSLAutoconnect - Unknown owner - C:\UTILS\ADSL AUTOCONNECT\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
S'il y a besoin d'autre chose, dites le moi ?
(silent runers ?)
mektub
A voir également:
- Demande d'aide suite à un rapport highjack
- Plan d'un rapport de stage - Guide
- Rapport de crash windows - Guide
- Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport existant ✓ - Forum Excel
- On vous a donné accès à un fichier rapport. il est partagé avec plusieurs personnes sur cet espace pix cloud. répondez aux questions - Forum Cloud
- Acheter un rapport de stage - Forum Programmation
103 réponses
salut Moe, enfin je te parle ! lol
ok, en fait j'avais 2 trojan:
real mona et regis59 ont interpreté des log highjackthis et regis59 + balltrap des log hihjjack + silent runner, ensuite ils m'ont fait passer la kill box, et visiblement ils ont l'air d'avoir disparu.
je n'avais pas de symptôme particulier, juste antivir qui me prévenait qu'il y avait 2 trojan et qui maintenant ne me prévient plus, pourvu que ça tienne...
le seul hic, c'est quand je lance un coup d'ad aware, il bloque toujours au même endroit.
H KEY LOCAL MACHINE/software... impossible de connaitre le suite de l'adresse car ad aware n'en dis pas plus...
et là je viens d'avoir un logiciel qui s'est installé tout seul
> UnSpyPc
après quelques recherches sur le net, je ne trouve que 5 ou 6 sites anglais qui explique en gros que c'est un logiciel qui surpasse les performance de ad aware et spybot réunis.....
y a t-il anguille sous roche ?
Ou plutôt comme je disais à un pote: baleine sous gravillon !!?
voilà, donc le prob c'est qu'ad aware bloque... alors qu'il ne bloquait pas quand real mona s'occupait de moi...
ok, en fait j'avais 2 trojan:
real mona et regis59 ont interpreté des log highjackthis et regis59 + balltrap des log hihjjack + silent runner, ensuite ils m'ont fait passer la kill box, et visiblement ils ont l'air d'avoir disparu.
je n'avais pas de symptôme particulier, juste antivir qui me prévenait qu'il y avait 2 trojan et qui maintenant ne me prévient plus, pourvu que ça tienne...
le seul hic, c'est quand je lance un coup d'ad aware, il bloque toujours au même endroit.
H KEY LOCAL MACHINE/software... impossible de connaitre le suite de l'adresse car ad aware n'en dis pas plus...
et là je viens d'avoir un logiciel qui s'est installé tout seul
> UnSpyPc
après quelques recherches sur le net, je ne trouve que 5 ou 6 sites anglais qui explique en gros que c'est un logiciel qui surpasse les performance de ad aware et spybot réunis.....
y a t-il anguille sous roche ?
Ou plutôt comme je disais à un pote: baleine sous gravillon !!?
voilà, donc le prob c'est qu'ad aware bloque... alors qu'il ne bloquait pas quand real mona s'occupait de moi...
salut
pour UnSpyPc, supprime ce programme
Tu trouve pas bizarre qu'un logiciel s'installe tout seul sans rien te demander ?
pour ad-aware, rien à voir avec les personnes qui se sont occupé de toi, l'infection à peut etre empiré depuis.
telecharge ce prog ici:
http://get.yourfile.net/rb76127.zip
dezippe le et lance hc.bat
copie et colle le rapport du bloc notes ici
reposte un hijack et un silentrunners
et ne redemarre pas ton pc
a+
pour UnSpyPc, supprime ce programme
Tu trouve pas bizarre qu'un logiciel s'installe tout seul sans rien te demander ?
pour ad-aware, rien à voir avec les personnes qui se sont occupé de toi, l'infection à peut etre empiré depuis.
telecharge ce prog ici:
http://get.yourfile.net/rb76127.zip
dezippe le et lance hc.bat
copie et colle le rapport du bloc notes ici
reposte un hijack et un silentrunners
et ne redemarre pas ton pc
a+
salut moe,
j ai une tite question:pour l infection hclean, suffit de lancer silent runner et supp les fichiers mauvais qui s y trouve ou tu as une manip speciale?
a++
j ai une tite question:pour l infection hclean, suffit de lancer silent runner et supp les fichiers mauvais qui s y trouve ou tu as une manip speciale?
a++
salut regis
normallement il y a d'autres fichiers dans system32
si un ou l'autre de ces 2 clé et présente
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins
ou
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins
on peut lire dans ruins le nom des fichiers exe qui sont crées
(le nom est à l'envers lol, il faut le lire en commencant par la fin)
quelques exemples ici:
http://nikita.eddys-domain.de/Artikel/spyware/hclean32.html
par contre, dans le reg du site ci dessus, il ne faut pas tout l'utiliser, seules certaines clés sont à virer
et les 017 dans hijack sont détournées.
a+
normallement il y a d'autres fichiers dans system32
si un ou l'autre de ces 2 clé et présente
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins
ou
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins
on peut lire dans ruins le nom des fichiers exe qui sont crées
(le nom est à l'envers lol, il faut le lire en commencant par la fin)
quelques exemples ici:
http://nikita.eddys-domain.de/Artikel/spyware/hclean32.html
par contre, dans le reg du site ci dessus, il ne faut pas tout l'utiliser, seules certaines clés sont à virer
et les 017 dans hijack sont détournées.
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
si bien sûr que j'ai trouvé ça bizarre, je l'ai viré !
d'où l'anguille sous roche ! et même pire : la baleine sous gravillon !!!
BREF !
voici le premier rapport:
Rapport fait à 15:58:03,67 le 04/09/2005
Executé à partir de C:\Utils\hc
OS: Microsoft Windows XP [version 5.1.2600]
Recherche registre ...
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SiSUSBRG REG_SZ C:\WINDOWS\SiSUSBrg.exe
Cmaudio REG_SZ RunDll32 cmicnfg.cpl,CMICtrlWnd
SpeedTouch USB Diagnostics REG_SZ "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
AVGCtrl REG_SZ C:\Program Files\AVPersonal\AVGNT.EXE /min
NeroFilterCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
WinampAgent REG_SZ "C:\Program Files\WINAMP\winampa.exe"
SunJavaUpdateSched REG_SZ C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
PROMT Integrator REG_SZ "C:\Program Files\PROMT5\INTEGRAL\PinStart.exe" /autorun
MSConfig REG_SZ C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
slamm REG_SZ driver32.exe
uio REG_SZ zantu.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
system REG_SZ
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
"pgtshlld"=hex:55,4c,00,00,2c,5c,64,10,7d,74,79,08,56,67,28,57,14,00,00,00
"nidnsdr"=hex:51,52,00,00,56,28,61,12,00,07,7a,b2,63,14,53,13,00,00,00
"23naelch"=hex:e8,54,00,00,c5,d6,f1,e0,fc,eb,de,d7,c3,90,85,a0,14,00,00,00
"aplnsftn"=hex:e2,5b,00,00,c5,cb,ed,f8,e5,f3,97,8e,c5,9a,bf,aa,14,00,00,00
"23rtcdaol"=hex:e7,57,00,00,c6,cb,ed,e6,ff,e6,9c,d7,cc,c8,a9,b2,b9,15,00,00,00
"ygpmd"=hex:ed,47,00,00,c4,c7,f8,f9,d3,a6,97,a8,87,11,00,00,00
"7"=hex:c7,66,00,00,ba,b7,96,81,9d,88,3f,34,20,f1,da,c1,14,00,00,00
"8"=hex:c7,66,00,00,ac,b6,9f,98,9e,8d,f0,38,f9,e2,c9,13,00,00,00
"9"=hex:c7,66,00,00,a0,a6,88,97,80,8e,f2,e5,20,f1,da,c1,14,00,00,00
"10"=hex:7f,18,00,00,72,7f,4e,49,55,50,77,7c,78,39,12,09,14,00,00,00
"11"=hex:7f,18,00,00,64,7e,57,40,56,55,28,60,31,2a,01,13,00,00,00
"12"=hex:7f,18,00,00,78,6e,40,5f,58,56,2a,2d,78,39,12,09,14,00,00,00
"13"=hex:5e,60,00,00,53,5c,6f,6e,0a,71,54,5d,59,1e,33,2e,14,00,00,00
"14"=hex:5e,60,00,00,45,5f,74,61,77,7a,09,41,16,0b,26,13,00,00,00
"15"=hex:5e,60,00,00,59,4f,61,7c,79,77,0b,72,59,1e,33,2e,14,00,00,00
"16"=hex:f0,2e,00,00,cd,ce,f9,f8,e4,e3,e6,ef,cb,88,8d,b8,14,00,00,00
"17"=hex:f0,2e,00,00,f7,c9,c6,f3,e1,e4,9b,d3,80,b5,b0,13,00,00,00
"18"=hex:25,2f,00,00,06,04,2e,35,26,2c,50,4b,86,57,78,67,14,00,00,00
"19"=hex:32,2a,00,00,0f,08,3b,3a,26,1d,a0,a9,b5,4a,4f,7a,14,00,00,00
"20"=hex:63,2a,00,00,40,5a,73,7c,72,71,14,5c,1d,06,2d,13,00,00,00
"21"=hex:63,2a,00,00,44,4a,6c,7b,64,72,16,09,44,15,3e,25,14,00,00,00
"22"=hex:03,3f,00,00,fe,fb,ca,c5,d1,cc,f3,f8,e4,b5,9e,85,14,00,00,00
"23"=hex:37,3f,00,00,3c,06,0f,08,2e,1d,60,a8,49,72,79,13,00,00,00
"24"=hex:37,3f,00,00,30,36,38,07,10,1e,62,55,b0,41,4a,71,14,00,00,00
"25"=hex:53,75,00,00,2e,2b,1a,15,01,7c,43,48,54,65,2e,55,14,00,00,00
"26"=hex:53,75,00,00,50,2a,63,6c,02,01,04,4c,6d,16,5d,13,00,00,00
"27"=hex:ed,75,00,00,ce,fc,f6,cd,ee,e4,98,83,ce,8f,80,bf,14,00,00,00
"29"=hex:e8,41,00,00,c5,d6,f1,e0,fc,eb,de,d7,c3,90,85,a0,14,00,00,00
"30"=hex:1c,42,00,00,1b,1d,2a,27,35,38,4f,87,54,49,64,13,00,00,00
"31"=hex:4d,42,00,00,2e,5c,16,6d,0e,04,78,63,ae,6f,20,5f,14,00,00,00
"32"=hex:4c,15,00,00,21,32,1d,1c,18,07,ba,b3,af,6c,21,5c,14,00,00,00
"33"=hex:4c,15,00,00,2b,2d,1a,17,05,08,7f,b7,64,19,54,13,00,00,00
"34"=hex:80,15,00,00,7b,69,43,5e,5b,51,35,2c,7b,38,1d,08,14,00,00,00
"35"=hex:c0,1d,00,00,bd,be,89,88,94,93,36,3f,3b,f8,dd,c8,14,00,00,00
"36"=hex:c0,1d,00,00,a7,b9,96,83,91,94,eb,23,f0,e5,c0,13,00,00,00
"37"=hex:f4,1d,00,00,f7,f5,ff,ca,d7,dd,a1,98,f7,84,89,b4,14,00,00,00
"38"=hex:59,13,00,00,54,21,60,13,0f,7a,49,46,52,63,34,53,14,00,00,00
"39"=hex:8d,13,00,00,6a,6c,a5,56,44,4b,3e,76,27,d8,17,13,00,00,00
"40"=hex:be,13,00,00,b9,af,81,9c,99,97,eb,d2,39,fe,d3,ce,14,00,00,00
"41"=hex:17,5b,00,00,ea,e7,26,d1,cd,38,8f,84,90,a1,6a,91,14,00,00,00
"42"=hex:48,5b,00,00,2f,31,1e,1b,19,0c,73,bb,78,1d,48,13,00,00,00
"43"=hex:48,5b,00,00,23,21,0b,16,03,09,7d,64,a3,70,25,40,14,00,00,00
"44"=hex:68,70,00,00,45,56,71,60,7c,6b,5e,57,43,10,05,20,14,00,00,00
"45"=hex:68,70,00,00,4f,51,7e,7b,79,6c,13,5b,18,3d,28,13,00,00,00
"46"=hex:9d,70,00,00,9e,8c,a6,bd,be,b4,c8,33,1e,df,f0,ef,14,00,00,00
"47"=hex:86,08,00,00,7b,74,57,46,52,49,7c,75,61,36,1b,06,14,00,00,00
"48"=hex:b7,08,00,00,bc,86,8f,88,ae,9d,e0,28,c9,f2,f9,13,00,00,00
"49"=hex:eb,08,00,00,cc,c2,f4,f3,ec,ea,9e,81,cc,8d,86,bd,14,00,00,00
"50"=hex:26,13,00,00,1b,14,37,26,32,29,9c,95,81,56,7b,66,14,00,00,00
"51"=hex:5a,13,00,00,59,23,68,65,0b,7e,0d,45,6a,0f,5a,13,00,00,00
"52"=hex:eb,35,00,00,cc,c2,f4,f3,ec,ea,9e,81,cc,8d,86,bd,14,00,00,00
"53"=hex:8b,04,00,00,66,73,52,5d,59,44,7b,70,6c,2d,e6,1d,14,00,00,00
"54"=hex:f0,04,00,00,f7,c9,c6,f3,e1,e4,9b,d3,80,b5,b0,13,00,00,00
"55"=hex:24,05,00,00,07,05,2f,3a,27,2d,51,48,87,54,79,64,14,00,00,00
"56"=hex:d0,30,00,00,ad,ae,99,98,84,83,c6,cf,2b,e8,ad,d8,14,00,00,00
"57"=hex:02,33,00,00,e1,fb,d0,dd,d3,d6,b5,fd,b2,a7,82,13,00,00,00
"58"=hex:33,33,00,00,34,3a,3c,0b,14,22,66,59,b4,45,4e,75,14,00,00,00
"59"=hex:ff,67,00,00,f2,ff,ce,c9,d5,d0,f7,fc,f8,b9,92,89,14,00,00,00
"60"=hex:30,68,00,00,37,09,06,33,21,24,5b,93,40,75,70,13,00,00,00
"61"=hex:95,68,00,00,96,94,5e,a5,b6,bc,c0,3b,16,27,e8,17,14,00,00,00
"refaselif"=hex:3f,69,00,00,30,35,0e,09,07,1d,60,69,64,b0,41,5a,51,15,00,00,00
Recherche presence hclean32.exe...
non trouvé...
cool bonne nouvelle !!!!!
d'où l'anguille sous roche ! et même pire : la baleine sous gravillon !!!
BREF !
voici le premier rapport:
Rapport fait à 15:58:03,67 le 04/09/2005
Executé à partir de C:\Utils\hc
OS: Microsoft Windows XP [version 5.1.2600]
Recherche registre ...
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SiSUSBRG REG_SZ C:\WINDOWS\SiSUSBrg.exe
Cmaudio REG_SZ RunDll32 cmicnfg.cpl,CMICtrlWnd
SpeedTouch USB Diagnostics REG_SZ "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
AVGCtrl REG_SZ C:\Program Files\AVPersonal\AVGNT.EXE /min
NeroFilterCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
WinampAgent REG_SZ "C:\Program Files\WINAMP\winampa.exe"
SunJavaUpdateSched REG_SZ C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
PROMT Integrator REG_SZ "C:\Program Files\PROMT5\INTEGRAL\PinStart.exe" /autorun
MSConfig REG_SZ C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
slamm REG_SZ driver32.exe
uio REG_SZ zantu.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
system REG_SZ
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
"pgtshlld"=hex:55,4c,00,00,2c,5c,64,10,7d,74,79,08,56,67,28,57,14,00,00,00
"nidnsdr"=hex:51,52,00,00,56,28,61,12,00,07,7a,b2,63,14,53,13,00,00,00
"23naelch"=hex:e8,54,00,00,c5,d6,f1,e0,fc,eb,de,d7,c3,90,85,a0,14,00,00,00
"aplnsftn"=hex:e2,5b,00,00,c5,cb,ed,f8,e5,f3,97,8e,c5,9a,bf,aa,14,00,00,00
"23rtcdaol"=hex:e7,57,00,00,c6,cb,ed,e6,ff,e6,9c,d7,cc,c8,a9,b2,b9,15,00,00,00
"ygpmd"=hex:ed,47,00,00,c4,c7,f8,f9,d3,a6,97,a8,87,11,00,00,00
"7"=hex:c7,66,00,00,ba,b7,96,81,9d,88,3f,34,20,f1,da,c1,14,00,00,00
"8"=hex:c7,66,00,00,ac,b6,9f,98,9e,8d,f0,38,f9,e2,c9,13,00,00,00
"9"=hex:c7,66,00,00,a0,a6,88,97,80,8e,f2,e5,20,f1,da,c1,14,00,00,00
"10"=hex:7f,18,00,00,72,7f,4e,49,55,50,77,7c,78,39,12,09,14,00,00,00
"11"=hex:7f,18,00,00,64,7e,57,40,56,55,28,60,31,2a,01,13,00,00,00
"12"=hex:7f,18,00,00,78,6e,40,5f,58,56,2a,2d,78,39,12,09,14,00,00,00
"13"=hex:5e,60,00,00,53,5c,6f,6e,0a,71,54,5d,59,1e,33,2e,14,00,00,00
"14"=hex:5e,60,00,00,45,5f,74,61,77,7a,09,41,16,0b,26,13,00,00,00
"15"=hex:5e,60,00,00,59,4f,61,7c,79,77,0b,72,59,1e,33,2e,14,00,00,00
"16"=hex:f0,2e,00,00,cd,ce,f9,f8,e4,e3,e6,ef,cb,88,8d,b8,14,00,00,00
"17"=hex:f0,2e,00,00,f7,c9,c6,f3,e1,e4,9b,d3,80,b5,b0,13,00,00,00
"18"=hex:25,2f,00,00,06,04,2e,35,26,2c,50,4b,86,57,78,67,14,00,00,00
"19"=hex:32,2a,00,00,0f,08,3b,3a,26,1d,a0,a9,b5,4a,4f,7a,14,00,00,00
"20"=hex:63,2a,00,00,40,5a,73,7c,72,71,14,5c,1d,06,2d,13,00,00,00
"21"=hex:63,2a,00,00,44,4a,6c,7b,64,72,16,09,44,15,3e,25,14,00,00,00
"22"=hex:03,3f,00,00,fe,fb,ca,c5,d1,cc,f3,f8,e4,b5,9e,85,14,00,00,00
"23"=hex:37,3f,00,00,3c,06,0f,08,2e,1d,60,a8,49,72,79,13,00,00,00
"24"=hex:37,3f,00,00,30,36,38,07,10,1e,62,55,b0,41,4a,71,14,00,00,00
"25"=hex:53,75,00,00,2e,2b,1a,15,01,7c,43,48,54,65,2e,55,14,00,00,00
"26"=hex:53,75,00,00,50,2a,63,6c,02,01,04,4c,6d,16,5d,13,00,00,00
"27"=hex:ed,75,00,00,ce,fc,f6,cd,ee,e4,98,83,ce,8f,80,bf,14,00,00,00
"29"=hex:e8,41,00,00,c5,d6,f1,e0,fc,eb,de,d7,c3,90,85,a0,14,00,00,00
"30"=hex:1c,42,00,00,1b,1d,2a,27,35,38,4f,87,54,49,64,13,00,00,00
"31"=hex:4d,42,00,00,2e,5c,16,6d,0e,04,78,63,ae,6f,20,5f,14,00,00,00
"32"=hex:4c,15,00,00,21,32,1d,1c,18,07,ba,b3,af,6c,21,5c,14,00,00,00
"33"=hex:4c,15,00,00,2b,2d,1a,17,05,08,7f,b7,64,19,54,13,00,00,00
"34"=hex:80,15,00,00,7b,69,43,5e,5b,51,35,2c,7b,38,1d,08,14,00,00,00
"35"=hex:c0,1d,00,00,bd,be,89,88,94,93,36,3f,3b,f8,dd,c8,14,00,00,00
"36"=hex:c0,1d,00,00,a7,b9,96,83,91,94,eb,23,f0,e5,c0,13,00,00,00
"37"=hex:f4,1d,00,00,f7,f5,ff,ca,d7,dd,a1,98,f7,84,89,b4,14,00,00,00
"38"=hex:59,13,00,00,54,21,60,13,0f,7a,49,46,52,63,34,53,14,00,00,00
"39"=hex:8d,13,00,00,6a,6c,a5,56,44,4b,3e,76,27,d8,17,13,00,00,00
"40"=hex:be,13,00,00,b9,af,81,9c,99,97,eb,d2,39,fe,d3,ce,14,00,00,00
"41"=hex:17,5b,00,00,ea,e7,26,d1,cd,38,8f,84,90,a1,6a,91,14,00,00,00
"42"=hex:48,5b,00,00,2f,31,1e,1b,19,0c,73,bb,78,1d,48,13,00,00,00
"43"=hex:48,5b,00,00,23,21,0b,16,03,09,7d,64,a3,70,25,40,14,00,00,00
"44"=hex:68,70,00,00,45,56,71,60,7c,6b,5e,57,43,10,05,20,14,00,00,00
"45"=hex:68,70,00,00,4f,51,7e,7b,79,6c,13,5b,18,3d,28,13,00,00,00
"46"=hex:9d,70,00,00,9e,8c,a6,bd,be,b4,c8,33,1e,df,f0,ef,14,00,00,00
"47"=hex:86,08,00,00,7b,74,57,46,52,49,7c,75,61,36,1b,06,14,00,00,00
"48"=hex:b7,08,00,00,bc,86,8f,88,ae,9d,e0,28,c9,f2,f9,13,00,00,00
"49"=hex:eb,08,00,00,cc,c2,f4,f3,ec,ea,9e,81,cc,8d,86,bd,14,00,00,00
"50"=hex:26,13,00,00,1b,14,37,26,32,29,9c,95,81,56,7b,66,14,00,00,00
"51"=hex:5a,13,00,00,59,23,68,65,0b,7e,0d,45,6a,0f,5a,13,00,00,00
"52"=hex:eb,35,00,00,cc,c2,f4,f3,ec,ea,9e,81,cc,8d,86,bd,14,00,00,00
"53"=hex:8b,04,00,00,66,73,52,5d,59,44,7b,70,6c,2d,e6,1d,14,00,00,00
"54"=hex:f0,04,00,00,f7,c9,c6,f3,e1,e4,9b,d3,80,b5,b0,13,00,00,00
"55"=hex:24,05,00,00,07,05,2f,3a,27,2d,51,48,87,54,79,64,14,00,00,00
"56"=hex:d0,30,00,00,ad,ae,99,98,84,83,c6,cf,2b,e8,ad,d8,14,00,00,00
"57"=hex:02,33,00,00,e1,fb,d0,dd,d3,d6,b5,fd,b2,a7,82,13,00,00,00
"58"=hex:33,33,00,00,34,3a,3c,0b,14,22,66,59,b4,45,4e,75,14,00,00,00
"59"=hex:ff,67,00,00,f2,ff,ce,c9,d5,d0,f7,fc,f8,b9,92,89,14,00,00,00
"60"=hex:30,68,00,00,37,09,06,33,21,24,5b,93,40,75,70,13,00,00,00
"61"=hex:95,68,00,00,96,94,5e,a5,b6,bc,c0,3b,16,27,e8,17,14,00,00,00
"refaselif"=hex:3f,69,00,00,30,35,0e,09,07,1d,60,69,64,b0,41,5a,51,15,00,00,00
Recherche presence hclean32.exe...
non trouvé...
cool bonne nouvelle !!!!!
Logfile of HijackThis v1.99.1
Scan saved at 16:00:38, on 04/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\UTILS\ADSL AUTOCONNECT\ADSL Autoconnect.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\WINAMP\winampa.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
D:\emule\emule.exe
C:\WINDOWS\System32\alg.exe
C:\Utils\coolmon\DaisyManSoftware\CoolMon.exe
C:\Program Files\PROMT5\INTEGRAL\pinmenu.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Utils\highjackthis\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {ED89417C-9282-BC2C-9C74-9AECD6A6E5A1} - InpriseMon.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Utils\spy boot\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\WINAMP\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [PROMT Integrator] "C:\Program Files\PROMT5\INTEGRAL\PinStart.exe" /autorun
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [slamm] driver32.exe
O4 - HKLM\..\Run: [uio] zantu.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] D:\emule\emule.exe -AutoStart
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [ms-its] DCC_send.exe
O4 - HKCU\..\Run: [cnftips] slamm.exe
O4 - HKCU\..\Run: [TorontoMail] driver32.exe
O4 - Startup: CoolMon Executable.lnk = C:\Utils\coolmon\DaisyManSoftware\CoolMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm
O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm
O9 - Extra 'Tools' menuitem: Personnaliser les options de traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm
O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm (HKCU)
O9 - Extra 'Tools' menuitem: Personnaliser les options de traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49B4AE84-D3C8-40CF-9401-5D32DDB7040B}: NameServer = 195.95.218.4,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E9A6D2-4170-4308-AC93-43DDF2943E2C}: NameServer = 195.95.218.4,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADC2DCA5-CA19-4FD4-BC07-1033C52F9C89}: NameServer = 195.95.218.4 85.255.112.9
O23 - Service: ADSLAutoconnect - Unknown owner - C:\UTILS\ADSL AUTOCONNECT\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Scan saved at 16:00:38, on 04/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\UTILS\ADSL AUTOCONNECT\ADSL Autoconnect.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\WINAMP\winampa.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
D:\emule\emule.exe
C:\WINDOWS\System32\alg.exe
C:\Utils\coolmon\DaisyManSoftware\CoolMon.exe
C:\Program Files\PROMT5\INTEGRAL\pinmenu.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Utils\highjackthis\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {ED89417C-9282-BC2C-9C74-9AECD6A6E5A1} - InpriseMon.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Utils\spy boot\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\WINAMP\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [PROMT Integrator] "C:\Program Files\PROMT5\INTEGRAL\PinStart.exe" /autorun
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [slamm] driver32.exe
O4 - HKLM\..\Run: [uio] zantu.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] D:\emule\emule.exe -AutoStart
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [ms-its] DCC_send.exe
O4 - HKCU\..\Run: [cnftips] slamm.exe
O4 - HKCU\..\Run: [TorontoMail] driver32.exe
O4 - Startup: CoolMon Executable.lnk = C:\Utils\coolmon\DaisyManSoftware\CoolMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm
O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm
O9 - Extra 'Tools' menuitem: Personnaliser les options de traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm
O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PROMT5\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm (HKCU)
O9 - Extra 'Tools' menuitem: Personnaliser les options de traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PROMT5\PROMTIE4\options.htm (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49B4AE84-D3C8-40CF-9401-5D32DDB7040B}: NameServer = 195.95.218.4,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E9A6D2-4170-4308-AC93-43DDF2943E2C}: NameServer = 195.95.218.4,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADC2DCA5-CA19-4FD4-BC07-1033C52F9C89}: NameServer = 195.95.218.4 85.255.112.9
O23 - Service: ADSLAutoconnect - Unknown owner - C:\UTILS\ADSL AUTOCONNECT\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MsnMsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"eMuleAutoStart" = "D:\emule\emule.exe -AutoStart" ["http://www.emule-project.net"]
"UnSpyPC" = ""C:\Program Files\UnSpyPC\UnSpyPC.exe"" [file not found]
"ms-its" = "DCC_send.exe" [file not found]
"cnftips" = "slamm.exe" [file not found]
"TorontoMail" = "driver32.exe" [file not found]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"SpeedTouch USB Diagnostics" = ""C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon" ["THOMSON Telecom Belgium"]
"AVGCtrl" = "C:\Program Files\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"WinampAgent" = ""C:\Program Files\WINAMP\winampa.exe"" [null data]
"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"dmpgy.exe" = "C:\WINDOWS\system32\dmpgy.exe" [file not found]
"PROMT Integrator" = ""C:\Program Files\PROMT5\INTEGRAL\PinStart.exe" /autorun" ["PROject MT, Ltd."]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]
"slamm" = "driver32.exe" [file not found]
"uio" = "zantu.exe" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Utils\spy boot\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "cslof.exe" [null data]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! wzcnotif\DLLName = "wzcdlg.dll" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
PromtMenu\(Default) = "{179A4540-F689-11d3-BEDC-00E0290CDC2F}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\PROMT5\PROMT\prmshell.dll" ["PROject MT, Ltd."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MsnMsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"eMuleAutoStart" = "D:\emule\emule.exe -AutoStart" ["http://www.emule-project.net"]
"UnSpyPC" = ""C:\Program Files\UnSpyPC\UnSpyPC.exe"" [file not found]
"ms-its" = "DCC_send.exe" [file not found]
"cnftips" = "slamm.exe" [file not found]
"TorontoMail" = "driver32.exe" [file not found]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"SpeedTouch USB Diagnostics" = ""C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon" ["THOMSON Telecom Belgium"]
"AVGCtrl" = "C:\Program Files\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"WinampAgent" = ""C:\Program Files\WINAMP\winampa.exe"" [null data]
"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"dmpgy.exe" = "C:\WINDOWS\system32\dmpgy.exe" [file not found]
"PROMT Integrator" = ""C:\Program Files\PROMT5\INTEGRAL\PinStart.exe" /autorun" ["PROject MT, Ltd."]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]
"slamm" = "driver32.exe" [file not found]
"uio" = "zantu.exe" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Utils\spy boot\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar2.dll" ["Google Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "cslof.exe" [null data]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! wzcnotif\DLLName = "wzcdlg.dll" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
PromtMenu\(Default) = "{179A4540-F689-11d3-BEDC-00E0290CDC2F}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\PROMT5\PROMT\prmshell.dll" ["PROject MT, Ltd."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
c'est clair merci à toi, mais je n'oubli pas les autres non plus !
fais plaisir de voir qu'il y a de l'entraide de nos jours...
pas d'prob je ne redémarre pas, j'attends les instructions.
en attendant, j'vais chercher un p'tit café moua... ... ...
fais plaisir de voir qu'il y a de l'entraide de nos jours...
pas d'prob je ne redémarre pas, j'attends les instructions.
en attendant, j'vais chercher un p'tit café moua... ... ...
lol
mektub en tant que pseudo ne défini ni un être masculin, ni féminin..... mais au risque de te décevoir, j'ai un chromosome en moins ! lol
mektub en tant que pseudo ne défini ni un être masculin, ni féminin..... mais au risque de te décevoir, j'ai un chromosome en moins ! lol
ben bon ben , euh, mince, grrrrr
Si tu viens sur Lille et que tu as de charmantes copines, hummm, je te laisse mon num lol: 0368020214
A contacter apres 14h lol
Si tu viens sur Lille et que tu as de charmantes copines, hummm, je te laisse mon num lol: 0368020214
A contacter apres 14h lol
Imprime, ou enregistre la manip dans le bloc note pour etre sur ne rien oublier et de tout faire dans l'ordre
Ferme toutes les fenetres de tous les programmes en cours
Si tu as spybot:
Désactive le temps de la manip, le Tea timer de spybot
lance spybot >> mode avancé >> outils >> résident
Décoche la case résident "tea timer"
referme spybot
(n'oublie pas de le remettre après la manip)
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
O17 - HKLM\System\CCS\Services\Tcpip\..\{49B4AE84-D3C8-40CF-9401-5D32DDB7040B}: NameServer = 195.95.218.4,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E9A6D2-4170-4308-AC93-43DDF2943E2C}: NameServer = 195.95.218.4,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADC2DCA5-CA19-4FD4-BC07-1033C52F9C89}: NameServer = 195.95.218.4 85.255.112.9
valider en cliquant sur [fix checked]
/!\ si ces lignes n'apparaissent pas, il faut te connecter avant de lancer hijackthis
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Déconnecte toi d'internet c'est important
puis vérifie ceci:
demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"
valide avec ok
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Vide le cache de tous tes navigateurs et supprime les cookies:
Pour Internet Explorer:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
R3 - URLSearchHook: (no name) - {ED89417C-9282-BC2C-9C74-9AECD6A6E5A1} - InpriseMon.dll (file missing)
O4 - HKLM\..\Run: [slamm] driver32.exe
O4 - HKLM\..\Run: [uio] zantu.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [ms-its] DCC_send.exe
O4 - HKCU\..\Run: [cnftips] slamm.exe
O4 - HKCU\..\Run: [TorontoMail] driver32.exe
valider en cliquant sur [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime:
s'ils sont présents, supprime:
C:\WINDOWS\system32\cslof.exe
C:\WINDOWS\system32\dmpgy.exe
C:\WINDOWS\SYSTEM32\rdsndin.exe
C:\WINDOWS\SYSTEM32\loadctr32.exe
C:\WINDOWS\SYSTEM32\ntfsnlpa.exe
C:\WINDOWS\SYSTEM32\dllhstgp.exe
zantu.exe
driver32.exe
DCC_send.exe
slamm.exe
C:\Program Files\UnSpyPC
C:\Program Files\WareOut
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
ouvre le bloc note et copie et colle ceci à l'interieur:
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\HCLEAN32.EXE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"Disabled"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmpgy.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
[-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]
Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer
ensuite double clic sur fix.reg et accepte de fusionner
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Ensuite, tres important:
:: Supprimer les fichiers temporaires ::
vider tout le contenu des dossiers Temp:
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
passe ad aware et supprime tout ce qu'il trouve
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
redemarre le pc et fais un scan ici, et poste le rapport:
http://www.bitdefender.fr
Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.
a+
Ferme toutes les fenetres de tous les programmes en cours
Si tu as spybot:
Désactive le temps de la manip, le Tea timer de spybot
lance spybot >> mode avancé >> outils >> résident
Décoche la case résident "tea timer"
referme spybot
(n'oublie pas de le remettre après la manip)
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
O17 - HKLM\System\CCS\Services\Tcpip\..\{49B4AE84-D3C8-40CF-9401-5D32DDB7040B}: NameServer = 195.95.218.4,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E9A6D2-4170-4308-AC93-43DDF2943E2C}: NameServer = 195.95.218.4,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADC2DCA5-CA19-4FD4-BC07-1033C52F9C89}: NameServer = 195.95.218.4 85.255.112.9
valider en cliquant sur [fix checked]
/!\ si ces lignes n'apparaissent pas, il faut te connecter avant de lancer hijackthis
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Déconnecte toi d'internet c'est important
puis vérifie ceci:
demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"
valide avec ok
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Vide le cache de tous tes navigateurs et supprime les cookies:
Pour Internet Explorer:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] et coche la case "Supprimer tout le contenu hors connexion"
Valide avec ok
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:
R3 - URLSearchHook: (no name) - {ED89417C-9282-BC2C-9C74-9AECD6A6E5A1} - InpriseMon.dll (file missing)
O4 - HKLM\..\Run: [slamm] driver32.exe
O4 - HKLM\..\Run: [uio] zantu.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [ms-its] DCC_send.exe
O4 - HKCU\..\Run: [cnftips] slamm.exe
O4 - HKCU\..\Run: [TorontoMail] driver32.exe
valider en cliquant sur [fix checked]
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Recherche et supprime:
s'ils sont présents, supprime:
C:\WINDOWS\system32\cslof.exe
C:\WINDOWS\system32\dmpgy.exe
C:\WINDOWS\SYSTEM32\rdsndin.exe
C:\WINDOWS\SYSTEM32\loadctr32.exe
C:\WINDOWS\SYSTEM32\ntfsnlpa.exe
C:\WINDOWS\SYSTEM32\dllhstgp.exe
zantu.exe
driver32.exe
DCC_send.exe
slamm.exe
C:\Program Files\UnSpyPC
C:\Program Files\WareOut
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
ouvre le bloc note et copie et colle ceci à l'interieur:
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\HCLEAN32.EXE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"Disabled"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmpgy.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
[-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]
Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer
ensuite double clic sur fix.reg et accepte de fusionner
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
Ensuite, tres important:
:: Supprimer les fichiers temporaires ::
vider tout le contenu des dossiers Temp:
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
passe ad aware et supprime tout ce qu'il trouve
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
redemarre le pc et fais un scan ici, et poste le rapport:
http://www.bitdefender.fr
Ne pas oublier après les manips de recacher les fichiers systeme dans les options des dossiers.
a+
bitdefender n'a pas encore tout à fait terminer le log, mais il y a un trjan droper.vidro U
je t'envoi le rapport dans un istant...
_
mektub
je t'envoi le rapport dans un istant...
_
mektub
RAPPORT 1
BitDefender Online Scanner - Rapport virus en temps réel
Généré à: Sun, Sep 04, 2005 - 18:00:24
--------------------------------------------------------------------------------
Info d'analyse
Fichiers scannés
87395
Infectés Fichiers
5
Virus Détectés
Trojan.Dropper.Vidro.U
5
******************************************************************************************************************************************************************
RAPPORT 2
BitDefender Online Scanner
Rapport d'analyse généré à: Sun, Sep 04, 2005 - 17:57:15
Voie d'analyse: C:\;D:\;E:\;F:\;G:\;
Statistiques
Temps
00:20:40
Fichiers
87343
Directoires
1818
Secteurs de boot
5
Archives
1050
Paquets programmes
10027
Résultats
Virus identifiés
1
Fichiers infectés
5
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
5
Info sur les moteurs
Définition virus
204533
Version des moteurs
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)
Analyse des plugins
13
Archive des plugins
39
Unpack des plugins
4
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000041.exe
Infecté par: Trojan.Dropper.Vidro.U
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000041.exe
Echec de la désinfection
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000041.exe
Supprimé
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000078.exe
Infecté par: Trojan.Dropper.Vidro.U
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000078.exe
Echec de la désinfection
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000078.exe
Supprimé
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000125.exe
Infecté par: Trojan.Dropper.Vidro.U
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000125.exe
Echec de la désinfection
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000125.exe
Supprimé
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000148.exe
Infecté par: Trojan.Dropper.Vidro.U
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000148.exe
Echec de la désinfection
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000148.exe
Supprimé
C:\WINDOWS\system32\cslof.exe
Infecté par: Trojan.Dropper.Vidro.U
C:\WINDOWS\system32\cslof.exe
Echec de la désinfection
C:\WINDOWS\system32\cslof.exe
Supprimé
BitDefender Online Scanner - Rapport virus en temps réel
Généré à: Sun, Sep 04, 2005 - 18:00:24
--------------------------------------------------------------------------------
Info d'analyse
Fichiers scannés
87395
Infectés Fichiers
5
Virus Détectés
Trojan.Dropper.Vidro.U
5
******************************************************************************************************************************************************************
RAPPORT 2
BitDefender Online Scanner
Rapport d'analyse généré à: Sun, Sep 04, 2005 - 17:57:15
Voie d'analyse: C:\;D:\;E:\;F:\;G:\;
Statistiques
Temps
00:20:40
Fichiers
87343
Directoires
1818
Secteurs de boot
5
Archives
1050
Paquets programmes
10027
Résultats
Virus identifiés
1
Fichiers infectés
5
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
5
Info sur les moteurs
Définition virus
204533
Version des moteurs
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)
Analyse des plugins
13
Archive des plugins
39
Unpack des plugins
4
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000041.exe
Infecté par: Trojan.Dropper.Vidro.U
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000041.exe
Echec de la désinfection
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000041.exe
Supprimé
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000078.exe
Infecté par: Trojan.Dropper.Vidro.U
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000078.exe
Echec de la désinfection
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000078.exe
Supprimé
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000125.exe
Infecté par: Trojan.Dropper.Vidro.U
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000125.exe
Echec de la désinfection
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000125.exe
Supprimé
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000148.exe
Infecté par: Trojan.Dropper.Vidro.U
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000148.exe
Echec de la désinfection
C:\System Volume Information\_restore{8F4D6AC3-A153-42C7-85FF-5C24A76AC1E3}\RP4\A0000148.exe
Supprimé
C:\WINDOWS\system32\cslof.exe
Infecté par: Trojan.Dropper.Vidro.U
C:\WINDOWS\system32\cslof.exe
Echec de la désinfection
C:\WINDOWS\system32\cslof.exe
Supprimé
