[e-Mail de SpySpotter , à répétition]
afideg
Messages postés
10517
Date d'inscription
Statut
Contributeur sécurité
Dernière intervention
-
afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention -
afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour à tous,
Depuis le mois d'août 05,(après avoir commis le péché de jeunesse,à savoir accepter de tester SpySpotter)je reçois régulièrement une relance d'invitation à utiliser SpySpotter.
J'avais toujours reçu cela par e-Mail et à mon adresse XXX@msn.com que j'avais pointé en ma liste rouge vers courriers indésirables.
Mais voilà que depuis Décembre,je reçois ces rappels abusifs toujours par e-Mail mais à mon autre adresse YYY@skynet.be.
Avez-vous une solution d'y mettre fin dès l'instant où SpySpotter à connaissance de ces adresses e-Mail ; pour les capter, cet intrus n'est-il pas à l'intérieur de mon système ?Peut-être également capte-t-il ces adresses sur des forums où nous déposons forcément des adresses(ce qui lui serait plus commode)?
Voici la dernière "invitation" reçue; et d'avance MERCI:
Could you
be at Risk?
Get your FREE Scan Now to Find if your PC is Infected.
Dear XXXX
On Aug, 20, 2005 3:00 AM, you tried our SpySpotter software. As a trial user, we are making the improved SpySpotter 3.02 available to you!. New Spyware and Adware are released everyday.
If you have downloaded music online or visited Adult websites Spyware could be installed in your PC.
Spyware can track the keystrokes you make, websites you visit, emails you send and receive, steal your identity, ruin your credit or worse!
Find out if your PC is infected! (FREE SCAN!)
IF YOU ARE
EXPERIENCING:
- Unwanted Pop Up Ads.
- Slow Computer Speeds.
- Computer Crashes.
SPYSPOTTER 3.02
Depuis le mois d'août 05,(après avoir commis le péché de jeunesse,à savoir accepter de tester SpySpotter)je reçois régulièrement une relance d'invitation à utiliser SpySpotter.
J'avais toujours reçu cela par e-Mail et à mon adresse XXX@msn.com que j'avais pointé en ma liste rouge vers courriers indésirables.
Mais voilà que depuis Décembre,je reçois ces rappels abusifs toujours par e-Mail mais à mon autre adresse YYY@skynet.be.
Avez-vous une solution d'y mettre fin dès l'instant où SpySpotter à connaissance de ces adresses e-Mail ; pour les capter, cet intrus n'est-il pas à l'intérieur de mon système ?Peut-être également capte-t-il ces adresses sur des forums où nous déposons forcément des adresses(ce qui lui serait plus commode)?
Voici la dernière "invitation" reçue; et d'avance MERCI:
Could you
be at Risk?
Get your FREE Scan Now to Find if your PC is Infected.
Dear XXXX
On Aug, 20, 2005 3:00 AM, you tried our SpySpotter software. As a trial user, we are making the improved SpySpotter 3.02 available to you!. New Spyware and Adware are released everyday.
If you have downloaded music online or visited Adult websites Spyware could be installed in your PC.
Spyware can track the keystrokes you make, websites you visit, emails you send and receive, steal your identity, ruin your credit or worse!
Find out if your PC is infected! (FREE SCAN!)
IF YOU ARE
EXPERIENCING:
- Unwanted Pop Up Ads.
- Slow Computer Speeds.
- Computer Crashes.
SPYSPOTTER 3.02
A voir également:
- [e-Mail de SpySpotter , à répétition]
- É majuscule - Guide
- Windows live mail - Télécharger - Mail
- Publipostage mail - Accueil - Word
- Adresse e-mail oubliée ? - Guide
- Serveur de reception mail - Guide
211 réponses
Régis, voici:
1°-Je demandais ceci:«Maintenant ,quel intérêt aurais-je à désactiver Dr Watson -à supposer que c'est cela que tu me recommandes - sinon pour soulager le bloc-notes drwtsn32 ?
Et si je le désactive , est-ce que cela empêchera le PC d'être arrêté? Merci.»
Et tu me réponds cela:«Ajouté par regis59 (10/12/2005 à 17:44 GMT+1) re,
tu peux desactiver drwtsn32 ? »
Est-ce une question ,ou me confirmes-tu que je peux désactiver Dr Watson? Mais alors ,je repose mes questions ci-dessus. OK?
2°-Tu me demandes ceci:«Lorsque tu as le message erreur iexplore.exe a rencontré un problème et doit fermer , as-tu ceci qui l 'accompagne? :«APPNAme: iexplr.exe
APPVer: 6.0.2800.1106
ModName: superbar.dll
ModVer: 1.1.0.15
Offset: 0000251c »
Réponse: non,jamais eu.
3°-La prochaine fois ,j'observerai attentivement les causes.MERCI
1°-Je demandais ceci:«Maintenant ,quel intérêt aurais-je à désactiver Dr Watson -à supposer que c'est cela que tu me recommandes - sinon pour soulager le bloc-notes drwtsn32 ?
Et si je le désactive , est-ce que cela empêchera le PC d'être arrêté? Merci.»
Et tu me réponds cela:«Ajouté par regis59 (10/12/2005 à 17:44 GMT+1) re,
tu peux desactiver drwtsn32 ? »
Est-ce une question ,ou me confirmes-tu que je peux désactiver Dr Watson? Mais alors ,je repose mes questions ci-dessus. OK?
2°-Tu me demandes ceci:«Lorsque tu as le message erreur iexplore.exe a rencontré un problème et doit fermer , as-tu ceci qui l 'accompagne? :«APPNAme: iexplr.exe
APPVer: 6.0.2800.1106
ModName: superbar.dll
ModVer: 1.1.0.15
Offset: 0000251c »
Réponse: non,jamais eu.
3°-La prochaine fois ,j'observerai attentivement les causes.MERCI
re,
C est la 1ere fois que je tombe sur ce soucis
Dans tous les cas il empechera d avoir les messages d erreurs.
**
Tes plantages se font lorsque tu fais une action precise?
**
Dis moi ces messages d erreurs reviennent frequemment?
PS: je sens qu on va y arriver (j espere en tout cas que je sens bien)
a+
C est la 1ere fois que je tombe sur ce soucis
Dans tous les cas il empechera d avoir les messages d erreurs.
**
Tes plantages se font lorsque tu fais une action precise?
**
Dis moi ces messages d erreurs reviennent frequemment?
PS: je sens qu on va y arriver (j espere en tout cas que je sens bien)
a+
Régis,voici 3 cas vécus "relatés",mais sans l'observation adéquate:
Ajouté par afideg (08/12/2005 à 19:57 GMT+1)
Mon PC est à nouveau pollué après avoir tenté de télécharger Panda Antivirus Platinum [7.05.04] par <http://telecharger.caloga.com/download.php3> via une recherche sur Google ; en effet j'ai eu 2 blocages des commandes après "iexplore.exe" etc.
Y en a marre .Parce que là également il faut livrer son adresse e-mail.
Ajouté par afideg (09/12/2005 à 11:21 GMT+1)
Bonjour à tous ,et à toi Régis59,
1°- J'ai poursuivi à partir de Virustotal la recherche d'un virus dans la chaine de Application Data, dans l'espoir d'y trouver Spam Extract ( relevé lors du test de ScanPanda )----->il ne s'y trouve pas.
2°- Lorsque, après avoir rétabli l'affichage originel (décoché/recoché fichiers et extensions), j'ai cliqué dans mon Historique pour revenir sur le site CCM, j'ai eu un blocage avec le message "iexplore.exe a rencontré un problème et doit fermer",suivi du même message mais pour "drwtsn.exe",suivi de "Fin de programme IEXPLORE.EXE--->Terminer maintenant".
3°- Hier,tu m'as fait rechercher des données dans REGEDIT,et parmi ta liste j'avais trouvé uniquement celle-ci : HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Explorer>
Browser Helper Objects. Qu'est-ce que ça t'a inspiré ? Est-ce significatif ?
Ajouté par afideg (09/12/2005 à 17:43 GMT+1)
Avec ton url d'hier ,j'ai "page introuvable" .
En cliquant sur lien de ce message,on arrive sur le site Caloga,mais je n'y retrouve pas où il fallait cliquer sur scan ON LINE (au-dessus à droite de la page) .
Avec l'url de Kristopher, le PC s'arrête par iexplore;exe suivi de drwtsn32.exe ( NB: ce n'est que la 5ème fois aujourd'hui !!!).
PS: Je n'ai que Internet Explorer
Ajouté par afideg (08/12/2005 à 19:57 GMT+1)
Mon PC est à nouveau pollué après avoir tenté de télécharger Panda Antivirus Platinum [7.05.04] par <http://telecharger.caloga.com/download.php3> via une recherche sur Google ; en effet j'ai eu 2 blocages des commandes après "iexplore.exe" etc.
Y en a marre .Parce que là également il faut livrer son adresse e-mail.
Ajouté par afideg (09/12/2005 à 11:21 GMT+1)
Bonjour à tous ,et à toi Régis59,
1°- J'ai poursuivi à partir de Virustotal la recherche d'un virus dans la chaine de Application Data, dans l'espoir d'y trouver Spam Extract ( relevé lors du test de ScanPanda )----->il ne s'y trouve pas.
2°- Lorsque, après avoir rétabli l'affichage originel (décoché/recoché fichiers et extensions), j'ai cliqué dans mon Historique pour revenir sur le site CCM, j'ai eu un blocage avec le message "iexplore.exe a rencontré un problème et doit fermer",suivi du même message mais pour "drwtsn.exe",suivi de "Fin de programme IEXPLORE.EXE--->Terminer maintenant".
3°- Hier,tu m'as fait rechercher des données dans REGEDIT,et parmi ta liste j'avais trouvé uniquement celle-ci : HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Explorer>
Browser Helper Objects. Qu'est-ce que ça t'a inspiré ? Est-ce significatif ?
Ajouté par afideg (09/12/2005 à 17:43 GMT+1)
Avec ton url d'hier ,j'ai "page introuvable" .
En cliquant sur lien de ce message,on arrive sur le site Caloga,mais je n'y retrouve pas où il fallait cliquer sur scan ON LINE (au-dessus à droite de la page) .
Avec l'url de Kristopher, le PC s'arrête par iexplore;exe suivi de drwtsn32.exe ( NB: ce n'est que la 5ème fois aujourd'hui !!!).
PS: Je n'ai que Internet Explorer
re,
j ai une petite piste, mais qui reste a exploiter
peux tu me rappeller exactement les messages d erreurs stp
j ai une petite piste, mais qui reste a exploiter
peux tu me rappeller exactement les messages d erreurs stp
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
On a le message "iexplore.exe a rencontré un problème et doit fermer", et le texte se termine par un choix :"voulez-vous transmettre le rapport d'erreur ?(oui ou non );cette fenêtre s'en va ,et laisse apparaître du blanc à son emplacement;
Cela est tout de suite suivi du même message mais pour "drwtsn.exe" ,avec le même choix quant à transmettre le rapport d'erreur.
Apparait ensuite une fenêtre avec une barre défilante de "Fin de programme IEXPLORE.EXE--->Terminer maintenant".
Après quoi il faut redémarrer le PC,parce que tout est bloqué.
Je t'ai dit que je serai plus analytique la prochaine fois ( si c'est possible);à noter qu'aujourd'hui je n'ai pas de Bug(jusqu'à présent).
Avant-hier,tu m'as fait rechercher des données dans REGEDIT,et parmi ta liste j'avais trouvé uniquement celle-ci : HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Explorer>
Browser Helper Objects. Qu'est-ce que ça t'a inspiré ? Est-ce significatif ?
Cela est tout de suite suivi du même message mais pour "drwtsn.exe" ,avec le même choix quant à transmettre le rapport d'erreur.
Apparait ensuite une fenêtre avec une barre défilante de "Fin de programme IEXPLORE.EXE--->Terminer maintenant".
Après quoi il faut redémarrer le PC,parce que tout est bloqué.
Je t'ai dit que je serai plus analytique la prochaine fois ( si c'est possible);à noter qu'aujourd'hui je n'ai pas de Bug(jusqu'à présent).
Avant-hier,tu m'as fait rechercher des données dans REGEDIT,et parmi ta liste j'avais trouvé uniquement celle-ci : HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Explorer>
Browser Helper Objects. Qu'est-ce que ça t'a inspiré ? Est-ce significatif ?
re,
si cela arrivait de nouveau
en bas de la boîte de message, il y a peut etre un lien nomé :
Cliquez ici
Si c est le cas, clik dessu et transmet moi les infos ok?
****
Par contre pour tes messages, dur dur....
euh, essayons cela lol
Telecharge ceci
http://www.silentrunners.org/Silent%20Runners.vbs
Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donnera
A+
si cela arrivait de nouveau
en bas de la boîte de message, il y a peut etre un lien nomé :
Cliquez ici
Si c est le cas, clik dessu et transmet moi les infos ok?
****
Par contre pour tes messages, dur dur....
euh, essayons cela lol
Telecharge ceci
http://www.silentrunners.org/Silent%20Runners.vbs
Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donnera
A+
Pourquoi dis-tu que je ne détaille pas assez bien mes questions,,,
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"StorageGuard" = ""C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r" ["VERITAS Software, Inc."]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
"Synchronization Manager" = "C:\WINDOWS\system32\mobsync.exe /logon" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\Albert\MESDOC~1\IZArc\IZArcCM.dll" [null data]
"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\Albert\MESDOC~1\IZArc\IZArcCM.dll" [null data]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\Albert\MESDOC~1\IZArc\IZArcCM.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\Albert\MESDOC~1\IZArc\IZArcCM.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Albert\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]
Startup items in "Albert" & "All Users" startup folders:
--------------------------------------------------------
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"HP Digital Imaging Monitor" -> shortcut to: "C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")
Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 1 line
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
AVG E-mail Scanner, AVGEMS, "C:\PROGRA~1\Grisoft\AVG7\avgemc.exe" ["GRISOFT, s.r.o."]
AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe" ["GRISOFT, s.r.o."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\HPZipm12.exe" ["HP"]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzlnt10\Driver = "hpzlnt10.dll" ["HP"]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 27 seconds, including 16 seconds for message boxes)
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"StorageGuard" = ""C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r" ["VERITAS Software, Inc."]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
"Synchronization Manager" = "C:\WINDOWS\system32\mobsync.exe /logon" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\Albert\MESDOC~1\IZArc\IZArcCM.dll" [null data]
"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\Albert\MESDOC~1\IZArc\IZArcCM.dll" [null data]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\Albert\MESDOC~1\IZArc\IZArcCM.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
-> {CLSID}\InProcServer32\(Default) = "C:\DOCUME~1\Albert\MESDOC~1\IZArc\IZArcCM.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [null data]
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Albert\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]
Startup items in "Albert" & "All Users" startup folders:
--------------------------------------------------------
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"HP Digital Imaging Monitor" -> shortcut to: "C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]
Miscellaneous IE Hijack Points
------------------------------
C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")
Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"
Missing lines (compared with English-language version):
[Strings]: 1 line
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
AVG E-mail Scanner, AVGEMS, "C:\PROGRA~1\Grisoft\AVG7\avgemc.exe" ["GRISOFT, s.r.o."]
AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe" ["GRISOFT, s.r.o."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\HPZipm12.exe" ["HP"]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzlnt10\Driver = "hpzlnt10.dll" ["HP"]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 27 seconds, including 16 seconds for message boxes)
Non, non tu expliques tres bien mais j ai du mal a trouver une soluce lol
Télécharge aussi DLLcompare ici:
http://www.downloads.subratam.org/DllCompare.exe
lance le et clique sur "Run locate.com"
Quand "completed the scan, click compare to continue" apparaît en bleu, clique sur le bouton COMPARE en bas à droite
Une fois le scan terminé clique sur "make a log of what was found"
Fait un copier coller du log sur le forum
Télécharge aussi DLLcompare ici:
http://www.downloads.subratam.org/DllCompare.exe
lance le et clique sur "Run locate.com"
Quand "completed the scan, click compare to continue" apparaît en bleu, clique sur le bouton COMPARE en bas à droite
Une fois le scan terminé clique sur "make a log of what was found"
Fait un copier coller du log sur le forum
Et en plus ,alors que ton adresse est sur ma liste verte ,tous les mails CCM arrivent dans les spams!!!
* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________
O^E says: "There were no files found :)"
________________________________________________
1 404 items found: 1 404 files, 0 directories.
Total of file sizes: 306 190 393 bytes 292,00 M
Administrator Account = Vrai
--------------------End log---------------------
* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________
O^E says: "There were no files found :)"
________________________________________________
1 404 items found: 1 404 files, 0 directories.
Total of file sizes: 306 190 393 bytes 292,00 M
Administrator Account = Vrai
--------------------End log---------------------
Je rame lol
Télécharge l2mfix ici:
http://www.downloads.subratam.org/l2mfix.exe
Double clic sur l2mfix.exe pour lancer l'extraction.
Dans le dossier l2mfix, double clic sur l2mfix.bat et choisis l'option #1 (et pas autre chose) et valide avec la touche entrée.
Le bloc note va s'ouvrir avec le résultat du scan.
Fais un copier coller du résultat sur le forum.
(je passe les logiciels que j ai un stock, sinon on poussera plus loin si possible)
Télécharge l2mfix ici:
http://www.downloads.subratam.org/l2mfix.exe
Double clic sur l2mfix.exe pour lancer l'extraction.
Dans le dossier l2mfix, double clic sur l2mfix.bat et choisis l'option #1 (et pas autre chose) et valide avec la touche entrée.
Le bloc note va s'ouvrir avec le résultat du scan.
Fais un copier coller du résultat sur le forum.
(je passe les logiciels que j ai un stock, sinon on poussera plus loin si possible)
C'est la merde ,je n'ai pas vu de 12mfix.bat; par contre j'ai dû installer avec arrêt/redémarrage du PC; ensuite en développant le dossier,j'ai trouvé ce document texte .Est-ce cela que tu demandes??
This is a fix/uninstaller for the Version 200 of Look2me
This will only work on this particular version.
This is for xp or windows 2000 only
These infections are usually indicated by these lines in a hijackthis log:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
020 - Seeming valid entry or entries
First Menu
1. Report Generator to Verify Infection
2. Run Fix
3. This readme.
4. Restore registry permission to winlogon key.
5. Fix autoexec.nt error on running dos programs.
Upon running the fix The desktop will dissappear and the fix will proceed.
The system will perform the procedure and notify its going to reboot.
Please wait as this can take upwards of 5 mins
After you press any key it will reboot
It will show a log of what was removed and found. If for some reason it does not on bootup open the log
manually from the l2mfix folder. Verify the registry entries that were removed in the log and the registry permissions are set back to normal.
That should be all.
No warranties are expressed or implied. Use at your own risk!!
Follow the approriate instructions from a qualified person on the forums if you are not sure.
Special Thanks to Rubberducky and OSC for the beta tests. Also all the other experts who
were involved in the various threads with input.
Thanks to Option^Explicit for the reboot utility.
Thanks to all the other utility program and script writers Also.
Thanks for yoyo Sharing his ideas and Code.
Thanks to avohir for the ideas.
If you would like to or need to contact me i can be reached at:
spywaresubmit@aol.com
Please visit the following forums for help.
www.subratam.org
www.spywareinfo.com
www.tomcoyote.com
www.castlecops.biz
www.atribune.org
http://net-integration.net
A Special Thanks to Atribune and Subratam for Hosting the file!
Mirrors Available at
http://downloads.subratam.org/l2mfix.exe
http://www.atribune.org/downloads/l2mfix.exe
Please do not host anywhere else.
Version 1.0
Version 1.01
Fixed find log error.
Version 1.02
Changed Strings routine
Changed registry routines to improve cleanup
Eliminated vbs portion
added sv1 for useragent on xp sp2 machines
added hosts file cleaning.(still beta)
add shortcut to fix autoexec.nt errors(menu option 5)
added menu entries to restore notify defaults if needed.(entries missing under notify)(menu option 4)
Version 1.02a
added filtering for valid classids under shell extension approved key.
Version 1.03 03/12/2004
Updated for new files versions released.
Version 1.03a
updated for licensing issues
version 1.03b
added remove.com files for fixing log error per gary r and mosiac1 (THANKS!)
made winlogon default entries automatic now. it runs when the fix portion is run.
version 1.03c
added fix for windows update per winhelp and the mskb article
version 1.03d
Changed option 4 to manually restore registry permission if necessary if second.bat fails to complete.
Version 1.04
Added pd strings to solve freezing issue
Version 1.04a
used runonceexkey for reboot.
version 1.99rc
beta to remove latest variant as of 112705
Beta 120905
Added Support for different language versions of windows. Text still in english but should work on more locales now.
Tweaked the second bat to kill files better.
This is a fix/uninstaller for the Version 200 of Look2me
This will only work on this particular version.
This is for xp or windows 2000 only
These infections are usually indicated by these lines in a hijackthis log:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
020 - Seeming valid entry or entries
First Menu
1. Report Generator to Verify Infection
2. Run Fix
3. This readme.
4. Restore registry permission to winlogon key.
5. Fix autoexec.nt error on running dos programs.
Upon running the fix The desktop will dissappear and the fix will proceed.
The system will perform the procedure and notify its going to reboot.
Please wait as this can take upwards of 5 mins
After you press any key it will reboot
It will show a log of what was removed and found. If for some reason it does not on bootup open the log
manually from the l2mfix folder. Verify the registry entries that were removed in the log and the registry permissions are set back to normal.
That should be all.
No warranties are expressed or implied. Use at your own risk!!
Follow the approriate instructions from a qualified person on the forums if you are not sure.
Special Thanks to Rubberducky and OSC for the beta tests. Also all the other experts who
were involved in the various threads with input.
Thanks to Option^Explicit for the reboot utility.
Thanks to all the other utility program and script writers Also.
Thanks for yoyo Sharing his ideas and Code.
Thanks to avohir for the ideas.
If you would like to or need to contact me i can be reached at:
spywaresubmit@aol.com
Please visit the following forums for help.
www.subratam.org
www.spywareinfo.com
www.tomcoyote.com
www.castlecops.biz
www.atribune.org
http://net-integration.net
A Special Thanks to Atribune and Subratam for Hosting the file!
Mirrors Available at
http://downloads.subratam.org/l2mfix.exe
http://www.atribune.org/downloads/l2mfix.exe
Please do not host anywhere else.
Version 1.0
Version 1.01
Fixed find log error.
Version 1.02
Changed Strings routine
Changed registry routines to improve cleanup
Eliminated vbs portion
added sv1 for useragent on xp sp2 machines
added hosts file cleaning.(still beta)
add shortcut to fix autoexec.nt errors(menu option 5)
added menu entries to restore notify defaults if needed.(entries missing under notify)(menu option 4)
Version 1.02a
added filtering for valid classids under shell extension approved key.
Version 1.03 03/12/2004
Updated for new files versions released.
Version 1.03a
updated for licensing issues
version 1.03b
added remove.com files for fixing log error per gary r and mosiac1 (THANKS!)
made winlogon default entries automatic now. it runs when the fix portion is run.
version 1.03c
added fix for windows update per winhelp and the mskb article
version 1.03d
Changed option 4 to manually restore registry permission if necessary if second.bat fails to complete.
Version 1.04
Added pd strings to solve freezing issue
Version 1.04a
used runonceexkey for reboot.
version 1.99rc
beta to remove latest variant as of 112705
Beta 120905
Added Support for different language versions of windows. Text still in english but should work on more locales now.
Tweaked the second bat to kill files better.
J'ai trouvé ( mais pas de 12mfix.bat
L2MFIX find log 120905
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
**********************************************************************************
useragent:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Feuille de propri‚t‚s du fichier multim‚dia"
"{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de s‚curit‚ NTFS"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des propri‚t‚s de OLE DocFile"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de s‚curit‚ DS"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Page de compatibilit‚"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'‚cran ICM"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'environnement de compression de fichiers"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension de l'environnement d'imprimante Web"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extension ic“ne HyperTerminal"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de s‚curit‚ des imprimantes"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions r‚seau"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connexions r‚seau"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Scanneurs et appareils photo"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Scanneurs et appareils photo"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="&Scanneurs et appareils photo"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Scanneurs et appareils photo"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Scanneurs et appareils photo"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Data Link"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tƒches planifi‚es"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barre des tƒches et menu D‚marrer"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Rechercher"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ex‚cuter..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Courrier ‚lectronique"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Polices"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Outils d'administration"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du t‚l‚chargement"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau ‚tendu"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment‚"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet int‚gr‚ de recherche"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="BoŒte d'entr‚e de l'adresse"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrŠs auto-ouvrante"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="ParamŠtres du dossier global"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de d‚marrage de la Suite IE4"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'applications d'environnement"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="num‚rateur d'applications install‚es"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Publication d'application Darwin"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extracteur de miniatures de fichier + GDI"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extracteur de miniatures HTML"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Assistant Publication de sites Web"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Commande d'impressions via le Web"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objet Assistant de publication Shell"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Assistant Obtenir une identit‚ Passport"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Comptes d'utilisateurs"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chaŒne"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chaŒne"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Dossiers Web"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{A70C977A-BF00-412C-90B7-034C51DA2439}"="NvCpl DesktopContext Class"
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}"="Play on my TV helper"
"{1CDB2949-8F65-4355-8456-263E7C208A5D}"="Desktop Explorer"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}"="Desktop Explorer Menu"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}"="nView Desktop Context Menu"
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"="AVG7 Shell Extension"
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}"="AVG7 Find Extension"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{A5B83E36-5D16-47E8-BADB-6EE748B33093}"="TZ Shredder Context Menu"
"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}"="IZArc DragDrop Menu"
"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"="IZArc Shell Context Menu"
"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"="Shell Extension for Malware scanning"
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}"="aý Context Menu Shell Extension"
**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:
C:\WINDOWS\SYSTEM32\
gdi32.dll Thu 6 Oct 2005 4:18:12 A.... 280 064 273,50 K
mshtml.dll Tue 4 Oct 2005 17:26:06 A.... 3 013 120 2,87 M
shell32.dll Fri 23 Sep 2005 5:07:00 A.... 8 506 880 8,11 M
3 items found: 3 files, 0 directories.
Total of file sizes: 11 800 064 bytes 11,25 M
Locate .tmp files:
No matches found.
**********************************************************************************
Directory Listing of system files:
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 157D-12D6
R‚pertoire de C:\WINDOWS\System32
31/03/2005 11:41 <REP> Microsoft
31/03/2005 11:14 <REP> dllcache
0 fichier(s) 0 octets
2 R‚p(s) 153ÿ021ÿ546ÿ496 octets libres
L2MFIX find log 120905
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
**********************************************************************************
useragent:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Feuille de propri‚t‚s du fichier multim‚dia"
"{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de s‚curit‚ NTFS"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des propri‚t‚s de OLE DocFile"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de s‚curit‚ DS"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Page de compatibilit‚"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'‚cran ICM"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'environnement de compression de fichiers"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension de l'environnement d'imprimante Web"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extension ic“ne HyperTerminal"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de s‚curit‚ des imprimantes"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions r‚seau"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connexions r‚seau"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Scanneurs et appareils photo"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Scanneurs et appareils photo"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="&Scanneurs et appareils photo"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Scanneurs et appareils photo"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Scanneurs et appareils photo"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Data Link"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tƒches planifi‚es"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barre des tƒches et menu D‚marrer"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Rechercher"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ex‚cuter..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Courrier ‚lectronique"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Polices"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Outils d'administration"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du t‚l‚chargement"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau ‚tendu"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment‚"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet int‚gr‚ de recherche"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="BoŒte d'entr‚e de l'adresse"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrŠs auto-ouvrante"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="ParamŠtres du dossier global"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de d‚marrage de la Suite IE4"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'applications d'environnement"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="num‚rateur d'applications install‚es"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Publication d'application Darwin"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extracteur de miniatures de fichier + GDI"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extracteur de miniatures HTML"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Assistant Publication de sites Web"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Commande d'impressions via le Web"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objet Assistant de publication Shell"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Assistant Obtenir une identit‚ Passport"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Comptes d'utilisateurs"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chaŒne"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chaŒne"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Dossiers Web"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{A70C977A-BF00-412C-90B7-034C51DA2439}"="NvCpl DesktopContext Class"
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}"="Play on my TV helper"
"{1CDB2949-8F65-4355-8456-263E7C208A5D}"="Desktop Explorer"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}"="Desktop Explorer Menu"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}"="nView Desktop Context Menu"
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"="AVG7 Shell Extension"
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}"="AVG7 Find Extension"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{A5B83E36-5D16-47E8-BADB-6EE748B33093}"="TZ Shredder Context Menu"
"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}"="IZArc DragDrop Menu"
"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"="IZArc Shell Context Menu"
"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"="Shell Extension for Malware scanning"
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}"="aý Context Menu Shell Extension"
**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:
C:\WINDOWS\SYSTEM32\
gdi32.dll Thu 6 Oct 2005 4:18:12 A.... 280 064 273,50 K
mshtml.dll Tue 4 Oct 2005 17:26:06 A.... 3 013 120 2,87 M
shell32.dll Fri 23 Sep 2005 5:07:00 A.... 8 506 880 8,11 M
3 items found: 3 files, 0 directories.
Total of file sizes: 11 800 064 bytes 11,25 M
Locate .tmp files:
No matches found.
**********************************************************************************
Directory Listing of system files:
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 157D-12D6
R‚pertoire de C:\WINDOWS\System32
31/03/2005 11:41 <REP> Microsoft
31/03/2005 11:14 <REP> dllcache
0 fichier(s) 0 octets
2 R‚p(s) 153ÿ021ÿ546ÿ496 octets libres
Bonjour Régis59,
Cette nuit voici comment j'ai quitté mon PC:
1)-Clic successivement sur la petite croix ,au-dessus à droite, de chacune des pages affichées à l'écran.
2)-Clic sur "Démarrer" puis sur "Arrêter la session".
À ce moment ,avant d'avoir "Arrêter le PC",j'ai obtenu une succession de messages dans un petit rectangle au centre de l'écran; en voici la suite détaillée:
1°-Fin du programme EXPLORER.EXE,ce programme ne répond pas.Pour retourner dans Windows et vérifier l'état du programme,cliquez sur Annuler.Avec terminer maintenant,vous perdez toutes les données non enregistrées.
On a le choix entre "Terminer" et "Annuler"--->j'ai fait "Annuler".
2°-Suit alors le message suivant:"Fin du programme -Connections Tray"-,suivi du texte précédent identique.À nouveau le double choix s'affiche--->j'ai donc fait "Annuler".
3°-À nouveau s'affiche le message "Fin du programme EXPLORER.EXE";mais durant le balayage de cette fin ,on n'a que le choix de "Terminer";ce n'est quà la fin qu'à nouveau le double choix s'affiche---> j'ai fait "Annuler".
4°-J'obtiens, seulement alors, mon écran normal d'après "fin de session",à savoir la page où je n'ai plus qu'à Arrêter le PC.
Pardon Régis, mais j'essaie d'être clair et complet.
Cette nuit voici comment j'ai quitté mon PC:
1)-Clic successivement sur la petite croix ,au-dessus à droite, de chacune des pages affichées à l'écran.
2)-Clic sur "Démarrer" puis sur "Arrêter la session".
À ce moment ,avant d'avoir "Arrêter le PC",j'ai obtenu une succession de messages dans un petit rectangle au centre de l'écran; en voici la suite détaillée:
1°-Fin du programme EXPLORER.EXE,ce programme ne répond pas.Pour retourner dans Windows et vérifier l'état du programme,cliquez sur Annuler.Avec terminer maintenant,vous perdez toutes les données non enregistrées.
On a le choix entre "Terminer" et "Annuler"--->j'ai fait "Annuler".
2°-Suit alors le message suivant:"Fin du programme -Connections Tray"-,suivi du texte précédent identique.À nouveau le double choix s'affiche--->j'ai donc fait "Annuler".
3°-À nouveau s'affiche le message "Fin du programme EXPLORER.EXE";mais durant le balayage de cette fin ,on n'a que le choix de "Terminer";ce n'est quà la fin qu'à nouveau le double choix s'affiche---> j'ai fait "Annuler".
4°-J'obtiens, seulement alors, mon écran normal d'après "fin de session",à savoir la page où je n'ai plus qu'à Arrêter le PC.
Pardon Régis, mais j'essaie d'être clair et complet.
Important: Je viens de remarquer à propos de l'objet du titre de ce forum,à savoir [e-Mail de SpySpotter à répétition] qu'il a aujourd'hui envahi ma boîte de Skynet ( après celle de OutlookExpress, et celle de MSN ).
Son mail a été posté cette nuit -donc dimanche 11/12/05-à 00H19,c'est-à-dire un peu avant que j'arrête ma session.Et cela ,alors même qu'il est déjà dans la liste des expéditeurs à bloquer!
Ce qui me laisse croire que SpySpotter crée des pollutions dans l'espoir de trouver clientèle ( c'est trop évident : je n'avais eu aucun Bug hier!!).
D'où ma première question:
«Avez-vous une solution d'y mettre fin dès l'instant où SpySpotter à connaissance de ces adresses e-Mail ; pour les capter, cet intrus n'est-il pas à l'intérieur de mon système ?Peut-être également capte-t-il ces adresses sur des forums où nous déposons forcément des adresses(ce qui lui serait plus commode)? »
Le service programmation ne dispose-t-il pas d'un programme d'interdiction d'entrée sur un PC à partir du nom de l'intrus ou de son identification ?( toute autre idée est la bienvenue ).
Son mail a été posté cette nuit -donc dimanche 11/12/05-à 00H19,c'est-à-dire un peu avant que j'arrête ma session.Et cela ,alors même qu'il est déjà dans la liste des expéditeurs à bloquer!
Ce qui me laisse croire que SpySpotter crée des pollutions dans l'espoir de trouver clientèle ( c'est trop évident : je n'avais eu aucun Bug hier!!).
D'où ma première question:
«Avez-vous une solution d'y mettre fin dès l'instant où SpySpotter à connaissance de ces adresses e-Mail ; pour les capter, cet intrus n'est-il pas à l'intérieur de mon système ?Peut-être également capte-t-il ces adresses sur des forums où nous déposons forcément des adresses(ce qui lui serait plus commode)? »
Le service programmation ne dispose-t-il pas d'un programme d'interdiction d'entrée sur un PC à partir du nom de l'intrus ou de son identification ?( toute autre idée est la bienvenue ).
Régis,pour toi qui me suit dans mon évolution,voici ma dernière action ( que tu m'avais recommandée le 05/11/05 ):j'ai installé le firewall ZoneAlarm free de Zonelabs ( qui,si j'ai bien lu ne contrôle qu'1 chose sur les 6 ou 7 proposées en version pro ).
J'ai essayé de suivre le tutoriel de <http://www.inoculer.com>, mais comme d'habitude ,avec moi, pas grand-chose n'y correspond.(Il semble même que la configuration se soit faite d'elle-même).
J'ai en outre accepté la version pro à l'essai 15 jours; et l'analyse qui a suivi m'a détecté un espion :"VirtualBouncer"localisé en "C:\Docum~1\Albert\LocalSettings\Temp\GLC1B.tmp",et il est en quarantaine ( pour 15 jours ??).
Il ne me semble pas très sérieux que je ne puisse pas configurer les paramètres de surveillance et de blocage(patience).
J'ai essayé de suivre le tutoriel de <http://www.inoculer.com>, mais comme d'habitude ,avec moi, pas grand-chose n'y correspond.(Il semble même que la configuration se soit faite d'elle-même).
J'ai en outre accepté la version pro à l'essai 15 jours; et l'analyse qui a suivi m'a détecté un espion :"VirtualBouncer"localisé en "C:\Docum~1\Albert\LocalSettings\Temp\GLC1B.tmp",et il est en quarantaine ( pour 15 jours ??).
Il ne me semble pas très sérieux que je ne puisse pas configurer les paramètres de surveillance et de blocage(patience).
salut
dans zone alarm,
tu peux controle et autoriser/bloquer les programmes
lance ZA
puis controle des programmes
onglets programmes
la tu verras ce qui est accepter ou ceux qui est bloqué
a+
dans zone alarm,
tu peux controle et autoriser/bloquer les programmes
lance ZA
puis controle des programmes
onglets programmes
la tu verras ce qui est accepter ou ceux qui est bloqué
a+
Salut Régis et merci de suivre;tu peux constater que j'arrive à suivre aussi ,et suivre surtout tes conseils.
Je reste persuadé que ce Virtual Bouncer n'est pas sur mon PC ,que c'est également un appât pour acheter la version pro !; en effet ,je ne vois rien ni dans l'Hjt,ni dans Spybot,ni dans une recherche fichiers (dont ceux collectés sur Zebforum);je ne me tracasse pas pour cela .
Je te laisse digérer ma littérature de ce matin , c'est le plus important.
Je vais partager le repas avec ma tendre. À tout à l'heure,si ...le veux.
Je reste persuadé que ce Virtual Bouncer n'est pas sur mon PC ,que c'est également un appât pour acheter la version pro !; en effet ,je ne vois rien ni dans l'Hjt,ni dans Spybot,ni dans une recherche fichiers (dont ceux collectés sur Zebforum);je ne me tracasse pas pour cela .
Je te laisse digérer ma littérature de ce matin , c'est le plus important.
Je vais partager le repas avec ma tendre. À tout à l'heure,si ...le veux.
re
telecharge et scan ton pc avec ceci
http://www.01net.com/windows/Utilitaire/antivirus/fiches/26411.html
copie/colle le rapport
a+
telecharge et scan ton pc avec ceci
http://www.01net.com/windows/Utilitaire/antivirus/fiches/26411.html
copie/colle le rapport
a+
********
19:26: |··· Début de session, dimanche 11 décembre 2005 ···|
19:26: Spy Sweeper démarrée
19:26: Analyse lancée avec la version des définitions 582
19:26: Démarrage de l’analyse de la mémoire
19:28: Analyse de la mémoire terminée, temps passé : 00:02:05
19:28: Démarrage de l’analyse du Registre
19:28: Analyse du Registre terminée, temps passé :00:00:07
19:28: Démarrage de l’analyse des cookies
19:28: Trouvé Spy Cookie: metriweb.be cookie
19:28: albert@metriweb[1].txt (ID = 2993)
19:28: Analyse des cookies terminée, temps passé : 00:00:00
19:28: Démarrage de l’analyse des fichiers
19:28: Avertissement: Failed to open file "c:\pagefile.sys". Accès refusé
19:29: Avertissement: Failed to open file "c:\windows\system32\config\system.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\software.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\default.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\security". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\sam". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\security.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\sam.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\system". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\software". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\default". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\softwaredistribution\eventcache\{8f7ae939-fb67-45bb-a864-3e7ebd8ce0b1}.bin". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\networkservice\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\networkservice\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\localservice\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\localservice\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\albert\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\albert\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\albert\local settings\temp\zlt01673.tmp". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:31: Avertissement: Failed to open file "c:\documents and settings\albert\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:31: Avertissement: Failed to open file "c:\documents and settings\albert\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:33: Analyse des fichiers terminée, temps passé : 00:04:32
19:33: Analyse complète terminée. Durée 00:06:46
19:33: Traces trouvées : 1
19:33: Processus de suppression lancé.
19:33: Mise en quarantaine de toutes les traces : metriweb.be cookie
19:33: Processus de suppression lancé. Durée 00:00:00
********
19:25: |··· Début de session, dimanche 11 décembre 2005 ···|
19:25: Spy Sweeper démarrée
19:26: Les définitions de logiciels espions ont été mises à jour.
19:26: Avertissement: Unable to write hosts file. Could not open hosts file with (Read/Write) permissions: Cannot create file "C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS". Accès refusé
19:26: Avertissement: Unable to write hosts file. Could not open hosts file with (Read/Write) permissions: Cannot create file "C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS". Accès refusé
19:26: |··· Fin de session, dimanche 11 décembre 2005 ···|
19:26: |··· Début de session, dimanche 11 décembre 2005 ···|
19:26: Spy Sweeper démarrée
19:26: Analyse lancée avec la version des définitions 582
19:26: Démarrage de l’analyse de la mémoire
19:28: Analyse de la mémoire terminée, temps passé : 00:02:05
19:28: Démarrage de l’analyse du Registre
19:28: Analyse du Registre terminée, temps passé :00:00:07
19:28: Démarrage de l’analyse des cookies
19:28: Trouvé Spy Cookie: metriweb.be cookie
19:28: albert@metriweb[1].txt (ID = 2993)
19:28: Analyse des cookies terminée, temps passé : 00:00:00
19:28: Démarrage de l’analyse des fichiers
19:28: Avertissement: Failed to open file "c:\pagefile.sys". Accès refusé
19:29: Avertissement: Failed to open file "c:\windows\system32\config\system.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\software.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\default.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\security". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\sam". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\security.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\sam.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\system". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\software". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\system32\config\default". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:29: Avertissement: Failed to open file "c:\windows\softwaredistribution\eventcache\{8f7ae939-fb67-45bb-a864-3e7ebd8ce0b1}.bin". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\networkservice\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\networkservice\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\localservice\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\localservice\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\albert\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\albert\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:30: Avertissement: Failed to open file "c:\documents and settings\albert\local settings\temp\zlt01673.tmp". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:31: Avertissement: Failed to open file "c:\documents and settings\albert\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:31: Avertissement: Failed to open file "c:\documents and settings\albert\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
19:33: Analyse des fichiers terminée, temps passé : 00:04:32
19:33: Analyse complète terminée. Durée 00:06:46
19:33: Traces trouvées : 1
19:33: Processus de suppression lancé.
19:33: Mise en quarantaine de toutes les traces : metriweb.be cookie
19:33: Processus de suppression lancé. Durée 00:00:00
********
19:25: |··· Début de session, dimanche 11 décembre 2005 ···|
19:25: Spy Sweeper démarrée
19:26: Les définitions de logiciels espions ont été mises à jour.
19:26: Avertissement: Unable to write hosts file. Could not open hosts file with (Read/Write) permissions: Cannot create file "C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS". Accès refusé
19:26: Avertissement: Unable to write hosts file. Could not open hosts file with (Read/Write) permissions: Cannot create file "C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS". Accès refusé
19:26: |··· Fin de session, dimanche 11 décembre 2005 ···|
