Win32 adan-078 / win32 adan-094 / win32 dialer-gen
bidounou
Messages postés
118
Statut
Membre
-
aranjuez31 Messages postés 8069 Statut Contributeur -
aranjuez31 Messages postés 8069 Statut Contributeur -
bonsoir!
excusez moi mais depuis ce matin j'essaie d'avoir une reponse a mon pb
avast detecte:
win32adan-078
win32 adan-094
win 32 dialer-gen
de plus je n'arrive pas a scanner avec bit defender car iexplorer me dit qu'il doit fermer car rencontre un pb
autant dire que je suis completement novice
je n'y connais rien en informatique et je suis seule devant mon ordi
excusez moi mais depuis ce matin j'essaie d'avoir une reponse a mon pb
avast detecte:
win32adan-078
win32 adan-094
win 32 dialer-gen
de plus je n'arrive pas a scanner avec bit defender car iexplorer me dit qu'il doit fermer car rencontre un pb
autant dire que je suis completement novice
je n'y connais rien en informatique et je suis seule devant mon ordi
A voir également:
- Win32 adan-078 / win32 adan-094 / win32 dialer-gen
- Telecharger adan - Télécharger - Histoire & Religion
- Télécharger win32 valide pour windows 7 gratuit - Forum Windows
- Puabundler win32 candyopen - Forum Virus
- Puabundler win32 rostpay ✓ - Forum Antivirus
- Puadimanager win32/offercore ✓ - Forum Virus
174 réponses
désolée je ne sais pas ce que tu veux dire
sinon je ne comprends le téléchargement que tu me demandes
;-)
sinon je ne comprends le téléchargement que tu me demandes
;-)
re,
je te demande si tu as ceci sur ton bureau, clik sur le lien:
http://img213.imageshack.us/my.php?image=prsentation15bb.jpg
et ensuite:
Telecharge ceci
http://cjoint.com/?mrlUOG2MIa
Execute le, ouvre Hcsrch
Puis le bloc note s ouvre, copie/colle le rapport
a+
--
je te demande si tu as ceci sur ton bureau, clik sur le lien:
http://img213.imageshack.us/my.php?image=prsentation15bb.jpg
et ensuite:
Telecharge ceci
http://cjoint.com/?mrlUOG2MIa
Execute le, ouvre Hcsrch
Puis le bloc note s ouvre, copie/colle le rapport
a+
--
ah oui carrément!!!
dès que j'allume le pc ça s'affiche!!
comment faites vous pour connaitre tous ça???
et vous souvenir de tous ce que vous apprenez!!
je suis épatée
sinon j'essaie à nouveau ce que tu me demandes de télécharger
dès que j'allume le pc ça s'affiche!!
comment faites vous pour connaitre tous ça???
et vous souvenir de tous ce que vous apprenez!!
je suis épatée
sinon j'essaie à nouveau ce que tu me demandes de télécharger
donc j'ai bien ça sur le bureau au démarrage du pc alors je le ferme mais après je ne sais pas où il est!
sinon qd je télécharge ce que tu me demandes iexplorer bloque le téléchargement et j'ai un doc joint
idemlog.exe.zip que j'ouvre mais après je ne comprends pas
sinon qd je télécharge ce que tu me demandes iexplorer bloque le téléchargement et j'ai un doc joint
idemlog.exe.zip que j'ouvre mais après je ne comprends pas
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
salut
logique que je saches, ca fait 1semaines que je m interresse a cette infection et apres c est la routine lol
Tu le met dans mes documents, puis tu l ouvres et tu double clik sur hcsrch,
il y a un probleme?
a+
logique que je saches, ca fait 1semaines que je m interresse a cette infection et apres c est la routine lol
Tu le met dans mes documents, puis tu l ouvres et tu double clik sur hcsrch,
il y a un probleme?
a+
il faudrait que je sache où il est!!! ;-)
car il s'affiche au démarage du pc et comme je clique sur la croix
je ne sais pas où il va
désolée j'avais prévenu je suis débutante voire complètement nulle en informatique
bon maintenant que je sais ce que ça veut dire je peux te dire :
lol
car il s'affiche au démarage du pc et comme je clique sur la croix
je ne sais pas où il va
désolée j'avais prévenu je suis débutante voire complètement nulle en informatique
bon maintenant que je sais ce que ça veut dire je peux te dire :
lol
re
salut aranjuez, como esta?
tu as telecharger mon petit programme, je vois pas ou ca peut bloquer lol
salut aranjuez, como esta?
tu as telecharger mon petit programme, je vois pas ou ca peut bloquer lol
quand je clique sur le lien http://cjoint.com/?mrlUOG2MIa
iexplorer bloque le téléchargement et ensuite j'ai un doc joint :
idemlog.exe.zip que j'ouvre et on me demande d'ouvrir
mrlUOGZMIa_idemlog.exe.zip et après une petite fenêtre quick s'ouvre avec un nombre 855 et une autre fenêtre Progress s'ouvre
que dois-je faire avec tout ça?
iexplorer bloque le téléchargement et ensuite j'ai un doc joint :
idemlog.exe.zip que j'ouvre et on me demande d'ouvrir
mrlUOGZMIa_idemlog.exe.zip et après une petite fenêtre quick s'ouvre avec un nombre 855 et une autre fenêtre Progress s'ouvre
que dois-je faire avec tout ça?
re
clik sur le lien ici
http://cjoint.com/?mrlUOG2MIa
choisit enregistrer, enregistre le dans mes documents
va dans mes documents et lance le
a+
clik sur le lien ici
http://cjoint.com/?mrlUOG2MIa
choisit enregistrer, enregistre le dans mes documents
va dans mes documents et lance le
a+
celui-ci a marché!
j'ai double cliqué sur Hcsrch et j'ai un rapport windows :
Rapport fait à 17:22:48,90 le 19/12/2005
Executé à partir de C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\QZTEMP
OS: Microsoft Windows XP [version 5.1.2600]
*********************************************
Vérification HKLM\...\...\...\...\ruins
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
"xedocne"=hex:24,3a,00,00,1c,0f,22,3e,3d,34,59,9f,5c,41,6c,13,00,00,00
"repiwoh"=hex:56,3c,00,00,2b,58,68,12,73,06,0d,49,6e,13,5e,13,00,00,00
"23plhps"=hex:0c,3e,00,00,ea,e1,d1,d5,c9,82,fb,f7,a4,59,94,13,00,00,00
"mgcppp"=hex:d9,3e,00,00,dc,d4,ec,91,f5,fb,c2,f3,84,e3,12,00,00,00
"tesvaf"=hex:86,3f,00,00,79,7a,59,54,5e,47,71,26,2b,36,12,00,00,00
"golmedi"=hex:51,40,00,00,2f,28,13,13,08,7d,7d,b2,63,14,53,13,00,00,00
"32refaselif"=hex:1f,41,00,00,10,15,2e,29,27,3d,40,49,44,8c,b7,a0,71,6a,81,17,\
00,00,00
"fxvmd"=hex:17,7a,00,00,ee,19,28,22,c8,f8,b9,42,a9,11,00,00,00
*********************************************
Fichiers détectés :
C:\WINDOWS\System32\close.bmp Présent !
C:\WINDOWS\System32\dating.bmp Présent !
C:\WINDOWS\System32\gambling.bmp Présent !
C:\WINDOWS\System32\idesk.conf Présent !
C:\WINDOWS\System32\insurance.bmp Présent !
C:\WINDOWS\System32\pharmacy.bmp Présent !
C:\WINDOWS\System32\spyware.bmp Présent !
C:\WINDOWS\System32\xxx.bmp Présent !
*********************************************
Recherche des processus aleatoires
d'après les modèles : cs***.exe, dm***.exe, ya***.exe
C:\WINDOWS\System32
dmcpl.exe
yaemu.exe
*********************************************
Recherche presence C:\WINDOWS\System32\idemlog.exe...
non trouvé...
j'ai double cliqué sur Hcsrch et j'ai un rapport windows :
Rapport fait à 17:22:48,90 le 19/12/2005
Executé à partir de C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\QZTEMP
OS: Microsoft Windows XP [version 5.1.2600]
*********************************************
Vérification HKLM\...\...\...\...\ruins
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
"xedocne"=hex:24,3a,00,00,1c,0f,22,3e,3d,34,59,9f,5c,41,6c,13,00,00,00
"repiwoh"=hex:56,3c,00,00,2b,58,68,12,73,06,0d,49,6e,13,5e,13,00,00,00
"23plhps"=hex:0c,3e,00,00,ea,e1,d1,d5,c9,82,fb,f7,a4,59,94,13,00,00,00
"mgcppp"=hex:d9,3e,00,00,dc,d4,ec,91,f5,fb,c2,f3,84,e3,12,00,00,00
"tesvaf"=hex:86,3f,00,00,79,7a,59,54,5e,47,71,26,2b,36,12,00,00,00
"golmedi"=hex:51,40,00,00,2f,28,13,13,08,7d,7d,b2,63,14,53,13,00,00,00
"32refaselif"=hex:1f,41,00,00,10,15,2e,29,27,3d,40,49,44,8c,b7,a0,71,6a,81,17,\
00,00,00
"fxvmd"=hex:17,7a,00,00,ee,19,28,22,c8,f8,b9,42,a9,11,00,00,00
*********************************************
Fichiers détectés :
C:\WINDOWS\System32\close.bmp Présent !
C:\WINDOWS\System32\dating.bmp Présent !
C:\WINDOWS\System32\gambling.bmp Présent !
C:\WINDOWS\System32\idesk.conf Présent !
C:\WINDOWS\System32\insurance.bmp Présent !
C:\WINDOWS\System32\pharmacy.bmp Présent !
C:\WINDOWS\System32\spyware.bmp Présent !
C:\WINDOWS\System32\xxx.bmp Présent !
*********************************************
Recherche des processus aleatoires
d'après les modèles : cs***.exe, dm***.exe, ya***.exe
C:\WINDOWS\System32
dmcpl.exe
yaemu.exe
*********************************************
Recherche presence C:\WINDOWS\System32\idemlog.exe...
non trouvé...
re,
1/
Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm
2/
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{06B8BADD-E8B1-4919-9EC0-03B2D9A44177}: NameServer = 85.255.114.100,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{21B07D0B-0B09-4FFD-9457-9BAA46582484}: NameServer = 85.255.114.100,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0CAA790-11A4-4089-A0FC-03C9F891531E}: NameServer = 85.255.114.100,85.255.112.151
O17 - HKLM\System\CS1\Services\Tcpip\..\{06B8BADD-E8B1-4919-9EC0-03B2D9A44177}: NameServer = 85.255.114.100,85.255.112.151
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Déconnecte toi d'internet c'est important
puis vérifie ceci:
demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"
valide avec ok
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
ouvre le bloc note et copie et colle ceci à l'interieur:
(met bien regedit4 sur la 1ere ligne !!)
************************
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\HCLEAN32.EXE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"Disabled"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
[-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]
*********************************
Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer
ensuite double clic sur fix.reg et accepte de fusionner
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
1- Double-clic sur KillBox.exe (Pocket Killbox)
Avec la methode du bloc note (voir video), voici la liste:
C:\WINDOWS\System32\close.bmp
C:\WINDOWS\System32\dating.bmp
C:\WINDOWS\System32\gambling.bmp
C:\WINDOWS\System32\idesk.conf
C:\WINDOWS\System32\insurance.bmp
C:\WINDOWS\System32\pharmacy.bmp
C:\WINDOWS\System32\spyware.bmp
C:\WINDOWS\System32\xxx.bmp
C:\WINDOWS\System32\dmcpl.exe
C:\WINDOWS\System32\yaemu.exe
C:\WINDOWS\System32\idemlog.exe
Laisse le pc redemarrer .
et remet un hijack this + le prog moe/regis
a+
1/
Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm
2/
¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{06B8BADD-E8B1-4919-9EC0-03B2D9A44177}: NameServer = 85.255.114.100,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{21B07D0B-0B09-4FFD-9457-9BAA46582484}: NameServer = 85.255.114.100,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0CAA790-11A4-4089-A0FC-03C9F891531E}: NameServer = 85.255.114.100,85.255.112.151
O17 - HKLM\System\CS1\Services\Tcpip\..\{06B8BADD-E8B1-4919-9EC0-03B2D9A44177}: NameServer = 85.255.114.100,85.255.112.151
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Déconnecte toi d'internet c'est important
puis vérifie ceci:
demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"
valide avec ok
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
ouvre le bloc note et copie et colle ceci à l'interieur:
(met bien regedit4 sur la 1ere ligne !!)
************************
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\HCLEAN32.EXE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\ruins]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"Disabled"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WareOut]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
[-HKEY_LOCAL_MACHINE\SOFTWARE\WareOut]
*********************************
Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer
ensuite double clic sur fix.reg et accepte de fusionner
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
1- Double-clic sur KillBox.exe (Pocket Killbox)
Avec la methode du bloc note (voir video), voici la liste:
C:\WINDOWS\System32\close.bmp
C:\WINDOWS\System32\dating.bmp
C:\WINDOWS\System32\gambling.bmp
C:\WINDOWS\System32\idesk.conf
C:\WINDOWS\System32\insurance.bmp
C:\WINDOWS\System32\pharmacy.bmp
C:\WINDOWS\System32\spyware.bmp
C:\WINDOWS\System32\xxx.bmp
C:\WINDOWS\System32\dmcpl.exe
C:\WINDOWS\System32\yaemu.exe
C:\WINDOWS\System32\idemlog.exe
Laisse le pc redemarrer .
et remet un hijack this + le prog moe/regis
a+
j' ai commençé la procédure
mais je bloque qd tu me dis de chercher connection dans demarrer
tu parles de connection free?
si c'est le cas qd je clic droit je ne trouve pas gestion de reseau
une fois qu j'aurai fait ça je doit ouvrir le bloc note
ça se trouve où?
sinon j'ai tout noté sur papier pour le faire hors connexion internet
mais à quel moment je peux me reconnecter?
je sais bcp de questions !!!
mais je bloque qd tu me dis de chercher connection dans demarrer
tu parles de connection free?
si c'est le cas qd je clic droit je ne trouve pas gestion de reseau
une fois qu j'aurai fait ça je doit ouvrir le bloc note
ça se trouve où?
sinon j'ai tout noté sur papier pour le faire hors connexion internet
mais à quel moment je peux me reconnecter?
je sais bcp de questions !!!
re
mais je bloque qd tu me dis de chercher connection dans demarrer
tu parles de connection free?
si c'est le cas qd je clic droit je ne trouve pas gestion de reseau
Déconnecte toi d'internet c'est important
puis vérifie ceci:
demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau <-- si t es deconnecté, tu clik droit sur ta connection, tu dois le voir
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"
valide avec ok
une fois qu j'aurai fait ça je doit ouvrir le bloc note
ça se trouve où?
dans tes programes
demarer < tous les programes < accessoires < bloc note
sinon j'ai tout noté sur papier pour le faire hors connexion internet
mais à quel moment je peux me reconnecter?
Tu te reconnectes des que tu as fait la manip avec kill box, au redemarrage tu peux te reco
a+
mais je bloque qd tu me dis de chercher connection dans demarrer
tu parles de connection free?
si c'est le cas qd je clic droit je ne trouve pas gestion de reseau
Déconnecte toi d'internet c'est important
puis vérifie ceci:
demarrer > connection > clic droit sur ta connection > propriétés
gestion de reseau <-- si t es deconnecté, tu clik droit sur ta connection, tu dois le voir
assure toi que protocole internet tcp/ip est en surbrillance (attention, ne décoche pas la case)> clic sur propriétés > selectionne "obtenir les adresses des serveurs automatiquement"
valide avec ok
une fois qu j'aurai fait ça je doit ouvrir le bloc note
ça se trouve où?
dans tes programes
demarer < tous les programes < accessoires < bloc note
sinon j'ai tout noté sur papier pour le faire hors connexion internet
mais à quel moment je peux me reconnecter?
Tu te reconnectes des que tu as fait la manip avec kill box, au redemarrage tu peux te reco
a+
bon je crois que j'ai trouvé
j'ai ouvert le bloc note et copié puis enregistré sous metfix.reg
par contre je ne trouve pas fix.reg où tu me demandes de double cliquer pour accepter de fusionner
!! avast m'a trouvé un trojano-1269 qu'il n'arrive pas a supprimer ni à mettre en quarantaine
d'ailleurs ewido m'a également averti pour des fichiers infectés!!!!!
j'ai ouvert le bloc note et copié puis enregistré sous metfix.reg
par contre je ne trouve pas fix.reg où tu me demandes de double cliquer pour accepter de fusionner
!! avast m'a trouvé un trojano-1269 qu'il n'arrive pas a supprimer ni à mettre en quarantaine
d'ailleurs ewido m'a également averti pour des fichiers infectés!!!!!
c'est chaud!
lorsque j'ai utilisé la méthode du bloc note kill box tout à trembler et je n'ai pas eu le temps de dire oui à tout le pc s'est éteind et à redémarré
maintenant j'ai 2 trojano:
3146 et 1269
et dans mes favoris des tas de dossiers!!!
ex:
sex and dating
online pharmacy etc...
où j'en suis??
lorsque j'ai utilisé la méthode du bloc note kill box tout à trembler et je n'ai pas eu le temps de dire oui à tout le pc s'est éteind et à redémarré
maintenant j'ai 2 trojano:
3146 et 1269
et dans mes favoris des tas de dossiers!!!
ex:
sex and dating
online pharmacy etc...
où j'en suis??
Rapport fait à 19:15:52,40 le 19/12/2005
Executé à partir de C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\QZTEMP
OS: Microsoft Windows XP [version 5.1.2600]
*********************************************
Vérification HKLM\...\...\...\...\ruins
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
"xedocne"=hex:67,13,00,00,59,48,6f,7b,7e,71,1a,58,19,02,29,13,00,00,00
"gib_ogol"=hex:9e,7c,00,00,9f,90,a0,a0,48,bd,c2,c8,19,de,f3,ee,14,00,00,00
"repiwoh"=hex:6b,7d,00,00,46,47,47,79,6e,6d,18,54,05,3e,35,13,00,00,00
"23plhps"=hex:35,14,00,00,3d,38,38,0c,10,d5,a2,ae,4f,70,7f,13,00,00,00
"mgcppp"=hex:34,15,00,00,31,39,01,3a,2e,1c,a7,54,79,44,12,00,00,00
"tesvaf"=hex:9c,00,00,00,97,60,b7,a2,b4,ad,0f,cc,c1,dc,12,00,00,00
"golmedi"=hex:66,01,00,00,5a,57,6e,7e,67,68,08,59,1e,03,2e,13,00,00,00
"32refaselif"=hex:34,02,00,00,0f,00,05,34,12,28,5f,54,73,bb,82,8f,6c,51,9c,17,\
00,00,00
"kutmd"=hex:48,3f,00,00,39,28,19,10,06,cb,68,0d,78,11,00,00,00
*********************************************
Fichiers détectés :
C:\WINDOWS\System32\dating.bmp Présent !
C:\WINDOWS\system32\favset.exe Présent !
C:\WINDOWS\System32\gambling.bmp Présent !
C:\WINDOWS\System32\idesk.conf Présent !
C:\WINDOWS\System32\insurance.bmp Présent !
C:\WINDOWS\System32\howiper.exe Présent !
C:\WINDOWS\System32\pharmacy.bmp Présent !
C:\WINDOWS\System32\spyware.bmp Présent !
C:\WINDOWS\System32\xxx.bmp Présent !
*********************************************
Recherche des processus aleatoires
d'après les modèles : cs***.exe, dm***.exe, ya***.exe
C:\WINDOWS\System32
csbaw.exe
dmcpl.exe
dmtuk.exe
*********************************************
Recherche presence C:\WINDOWS\System32\idemlog.exe...
non trouvé...
voici un hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 19:17:50, on 19/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\QuickZip4\QuickZip.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Propriétaire\Mes documents\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Desksite CMA] C:\Program Files\desksite\bin\cma.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dmtuk.exe] C:\WINDOWS\system32\dmtuk.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\system32\hgqhp.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{06B8BADD-E8B1-4919-9EC0-03B2D9A44177}: NameServer = 85.255.114.100,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{21B07D0B-0B09-4FFD-9457-9BAA46582484}: NameServer = 85.255.114.100,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0CAA790-11A4-4089-A0FC-03C9F891531E}: NameServer = 85.255.114.100,85.255.112.151
O17 - HKLM\System\CS1\Services\Tcpip\..\{06B8BADD-E8B1-4919-9EC0-03B2D9A44177}: NameServer = 85.255.114.100,85.255.112.151
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Executé à partir de C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\QZTEMP
OS: Microsoft Windows XP [version 5.1.2600]
*********************************************
Vérification HKLM\...\...\...\...\ruins
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins]
"xedocne"=hex:67,13,00,00,59,48,6f,7b,7e,71,1a,58,19,02,29,13,00,00,00
"gib_ogol"=hex:9e,7c,00,00,9f,90,a0,a0,48,bd,c2,c8,19,de,f3,ee,14,00,00,00
"repiwoh"=hex:6b,7d,00,00,46,47,47,79,6e,6d,18,54,05,3e,35,13,00,00,00
"23plhps"=hex:35,14,00,00,3d,38,38,0c,10,d5,a2,ae,4f,70,7f,13,00,00,00
"mgcppp"=hex:34,15,00,00,31,39,01,3a,2e,1c,a7,54,79,44,12,00,00,00
"tesvaf"=hex:9c,00,00,00,97,60,b7,a2,b4,ad,0f,cc,c1,dc,12,00,00,00
"golmedi"=hex:66,01,00,00,5a,57,6e,7e,67,68,08,59,1e,03,2e,13,00,00,00
"32refaselif"=hex:34,02,00,00,0f,00,05,34,12,28,5f,54,73,bb,82,8f,6c,51,9c,17,\
00,00,00
"kutmd"=hex:48,3f,00,00,39,28,19,10,06,cb,68,0d,78,11,00,00,00
*********************************************
Fichiers détectés :
C:\WINDOWS\System32\dating.bmp Présent !
C:\WINDOWS\system32\favset.exe Présent !
C:\WINDOWS\System32\gambling.bmp Présent !
C:\WINDOWS\System32\idesk.conf Présent !
C:\WINDOWS\System32\insurance.bmp Présent !
C:\WINDOWS\System32\howiper.exe Présent !
C:\WINDOWS\System32\pharmacy.bmp Présent !
C:\WINDOWS\System32\spyware.bmp Présent !
C:\WINDOWS\System32\xxx.bmp Présent !
*********************************************
Recherche des processus aleatoires
d'après les modèles : cs***.exe, dm***.exe, ya***.exe
C:\WINDOWS\System32
csbaw.exe
dmcpl.exe
dmtuk.exe
*********************************************
Recherche presence C:\WINDOWS\System32\idemlog.exe...
non trouvé...
voici un hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 19:17:50, on 19/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\QuickZip4\QuickZip.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Propriétaire\Mes documents\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Desksite CMA] C:\Program Files\desksite\bin\cma.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dmtuk.exe] C:\WINDOWS\system32\dmtuk.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\system32\hgqhp.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{06B8BADD-E8B1-4919-9EC0-03B2D9A44177}: NameServer = 85.255.114.100,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{21B07D0B-0B09-4FFD-9457-9BAA46582484}: NameServer = 85.255.114.100,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0CAA790-11A4-4089-A0FC-03C9F891531E}: NameServer = 85.255.114.100,85.255.112.151
O17 - HKLM\System\CS1\Services\Tcpip\..\{06B8BADD-E8B1-4919-9EC0-03B2D9A44177}: NameServer = 85.255.114.100,85.255.112.151
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
