[Spyware] pc à nouveau infecté par Trojan

Bonsoir Boulepate

Merci de venir à ma rescousse.
J'ai juste Spybot
La dernière fois que je l'ai exécuté il n'a rien signalé de très supect à mes yeux.

Feldine

Voila la copie du rapport AVG :

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 20:15:07 17/03/2007

+ Résultat de l'analyse:



C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : Nettoyé.
C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@goclick[2].txt -> TrackingCookie.Goclick : Nettoyé.
C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@overture[2].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Nettoyé.
C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@tribalfusion[2].txt -> TrackingCookie.Tribalfusion : Nettoyé.
C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.


Fin du rapport

Bonjour,

pas moyen de copier le log comba scan, chaque fois la session IE se ferme !

Feldine

Voilà déjà le rapprot Smitfraud.
Je lance Clean de ce pas.

Feldine

SmitFraudFix v2.148

Rapport fait à 20:52:45,79, 18/03/2007
Executé à partir de C:\Documents and Settings\HP_Propri‚taire\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HP_Propri‚taire\Application Data

C:\Documents and Settings\LocalService\Application Data\AlfaCleaner PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HP_PRO~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Et voilà le rapport Clean.
A+

feldine

Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le 18/03/2007 a 20:55:50,68

*** Recherche de fichiers sur C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND

*** Fin du rapport !

Bonjour Boulepate,

Voci les 3 logs (après exécution en mode sans échec).
Feldine

Smitfraud

SmitFraudFix v2.148

Rapport fait à 7:07:32,56, 19/03/2007
Executé à partir de C:\Documents and Settings\HP_Propri‚taire\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Documents and Settings\LocalService\Application Data\AlfaCleaner supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



Clean

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Option 2, executee le 19/03/2007 a 7:11:21,62

Microsoft Windows XP [version 5.1.2600]

*** Suppression de fichiers sur C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de "C:\WINDOWS\Downloaded Program Files\CONFLICT.1"


*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


Lopxp

Rapport fait à 7:12:22,07 le 19/03/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

02/02/2006 20:19 <REP> .
02/02/2006 20:19 <REP> ..
02/02/2006 20:19 <REP> Apple Computer
02/02/2006 20:19 <REP> Identities
02/02/2006 20:19 <REP> Intervideo
02/02/2006 20:19 <REP> Microsoft
02/02/2006 20:19 <REP> SampleView
02/02/2006 20:19 <REP> Sun
02/02/2006 20:19 <REP> Symantec
02/02/2006 20:19 62 desktop.ini
1 fichier(s) 62 octets
9 R‚p(s) 158ÿ795ÿ276ÿ288 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

02/02/2006 20:19 <REP> .
02/02/2006 20:19 <REP> ..
02/02/2006 20:19 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
02/02/2006 20:19 <REP> Apple Computer
02/02/2006 20:19 <REP> ApplicationHistory
02/02/2006 20:19 <REP> Microsoft
02/02/2006 20:19 135 fusioncache.dat
02/02/2006 20:19 1ÿ930ÿ896 IconCache.db
2 fichier(s) 1ÿ931ÿ031 octets
6 R‚p(s) 158ÿ795ÿ276ÿ288 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\Documents and Settings\All Users\Application Data

23/10/2004 19:30 <REP> .
23/10/2004 19:30 <REP> ..
30/08/2006 21:45 <REP> 4D
17/09/2006 17:08 <REP> Adobe
01/01/2004 17:44 <REP> Apple Computer
01/01/2004 15:51 <REP> Hewlett-Packard
01/01/2004 17:36 <REP> InterVideo
01/01/2004 14:59 <REP> Microsoft
01/01/2004 17:57 <REP> Motive
01/01/2004 17:44 <REP> QuickTime
01/01/2004 14:11 <REP> SBSI
29/01/2006 12:48 <REP> Spybot - Search & Destroy
01/01/2004 21:04 <REP> Symantec
12/12/2006 21:13 <REP> Yahoo!
01/01/2004 14:59 62 desktop.ini
01/01/2004 15:41 1ÿ410 hpzinstall.log
18/05/2006 15:32 1ÿ755 QTSBandwidthCache
3 fichier(s) 3ÿ227 octets
14 R‚p(s) 158ÿ795ÿ276ÿ288 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\Documents and Settings\Default User\Application Data

23/10/2004 19:30 <REP> .
23/10/2004 19:30 <REP> ..
11/01/2005 10:44 <REP> Apple Computer
01/01/2004 14:06 <REP> Identities
11/01/2005 10:44 <REP> Intervideo
01/01/2004 14:59 <REP> Microsoft
11/01/2005 10:44 <REP> SampleView
11/01/2005 10:44 <REP> Sun
11/01/2005 10:44 <REP> Symantec
01/01/2004 14:59 62 desktop.ini
1 fichier(s) 62 octets
9 R‚p(s) 158ÿ795ÿ276ÿ288 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

01/01/2004 14:59 <REP> .
01/01/2004 14:59 <REP> ..
11/01/2005 10:44 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
11/01/2005 10:44 <REP> Apple Computer
11/01/2005 10:44 <REP> ApplicationHistory
01/01/2004 14:05 <REP> Microsoft
11/01/2005 10:44 135 fusioncache.dat
11/01/2005 10:44 1ÿ979ÿ044 IconCache.db
2 fichier(s) 1ÿ979ÿ179 octets
6 R‚p(s) 158ÿ795ÿ276ÿ288 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\Documents and Settings\HP_Propri‚taire\Application Data

11/01/2005 10:49 <REP> .
11/01/2005 10:49 <REP> ..
08/03/2005 15:50 <REP> Adobe
09/03/2005 11:01 <REP> AdobeUM
11/01/2005 10:49 <REP> Apple Computer
12/12/2006 20:30 <REP> FlashFXP
15/11/2005 22:18 <REP> Google
11/01/2005 10:49 <REP> Identities
11/01/2005 10:49 <REP> Intervideo
29/01/2007 20:09 <REP> Lavasoft
04/07/2005 21:28 <REP> Macromedia
11/01/2005 10:49 <REP> Microsoft
05/09/2006 22:11 <REP> OpenOffice.org2
10/03/2006 21:08 <REP> Real
11/01/2005 10:49 <REP> SampleView
11/01/2005 10:49 <REP> Sun
11/01/2005 10:49 <REP> Symantec
21/12/2005 20:36 <REP> Webshots
21/08/2006 16:28 <REP> WholeSecurity
11/01/2005 10:49 62 desktop.ini
1 fichier(s) 62 octets
19 R‚p(s) 158ÿ795ÿ272ÿ192 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\Documents and Settings\HP_Propri‚taire\Local Settings\Application Data

11/01/2005 10:49 <REP> .
11/01/2005 10:49 <REP> ..
11/01/2005 10:49 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
09/03/2005 11:01 <REP> Adobe
11/01/2005 10:49 <REP> Apple Computer
11/01/2005 10:49 <REP> ApplicationHistory
15/11/2005 22:18 <REP> Google
11/01/2005 10:53 <REP> HP
07/07/2005 21:25 <REP> Identities
11/01/2005 14:48 <REP> IsolatedStorage
11/01/2005 10:49 <REP> Microsoft
28/02/2006 21:05 <REP> WMTools Downloaded Files
25/06/2006 15:25 7ÿ168 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
11/01/2005 10:49 138 fusioncache.dat
11/01/2005 10:53 26ÿ920 GDIPFONTCACHEV1.DAT
03/07/2006 22:42 2ÿ111ÿ194 IconCache.db
4 fichier(s) 2ÿ145ÿ420 octets
12 R‚p(s) 158ÿ795ÿ272ÿ192 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

01/01/2004 14:08 <REP> .
01/01/2004 14:08 <REP> ..
01/01/2004 14:08 <REP> Microsoft
18/02/2006 10:53 <REP> Symantec
0 fichier(s) 0 octets
4 R‚p(s) 158ÿ795ÿ272ÿ192 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

01/01/2004 14:08 <REP> .
01/01/2004 14:08 <REP> ..
29/01/2006 13:06 <REP> Google
01/01/2004 14:08 <REP> Microsoft
0 fichier(s) 0 octets
4 R‚p(s) 158ÿ795ÿ272ÿ192 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

01/01/2004 14:08 <REP> .
01/01/2004 14:08 <REP> ..
01/01/2004 14:08 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 158ÿ795ÿ272ÿ192 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

01/01/2004 14:08 <REP> .
01/01/2004 14:08 <REP> ..
01/01/2004 14:08 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 158ÿ795ÿ272ÿ192 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

23/10/2004 19:29 <REP> .
23/10/2004 19:29 <REP> ..
11/01/2005 10:48 <REP> Apple Computer
01/01/2004 14:07 <REP> Identities
11/01/2005 10:48 <REP> Intervideo
01/01/2004 14:07 <REP> Microsoft
11/01/2005 10:48 <REP> SampleView
11/01/2005 10:48 <REP> Sun
11/01/2005 10:48 <REP> Symantec
01/01/2004 14:07 62 desktop.ini
1 fichier(s) 62 octets
9 R‚p(s) 158ÿ795ÿ268ÿ096 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

01/01/2004 14:07 <REP> .
01/01/2004 14:07 <REP> ..
11/01/2005 10:48 <REP> {7148F0A6-6813-11D6-A77B-00B0D0142030}
11/01/2005 10:48 <REP> Apple Computer
11/01/2005 10:48 <REP> ApplicationHistory
01/01/2004 14:07 <REP> Microsoft
11/01/2005 10:48 135 fusioncache.dat
11/01/2005 10:48 1ÿ979ÿ044 IconCache.db
2 fichier(s) 1ÿ979ÿ179 octets
6 R‚p(s) 158ÿ795ÿ268ÿ096 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\WINDOWS\Tasks

14/09/2006 21:32 284 AppleSoftwareUpdate.job
01/01/2004 21:53 65 desktop.ini
01/01/2004 21:05 426 Symantec NetDetect.job
01/01/2004 14:08 6 SA.DAT
01/01/2004 14:04 <REP> ..
01/01/2004 14:04 <REP> .
4 fichier(s) 781 octets
2 R‚p(s) 158ÿ795ÿ268ÿ096 octets libres

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle HP_PAVILION
Le num‚ro de s‚rie du volume est 081D-C821

R‚pertoire de C:\Program Files

19/03/2007 07:01 <REP> .
19/03/2007 07:01 <REP> ..
29/01/2007 20:09 <REP> Ad-Aware SE Personal
17/09/2006 17:07 <REP> Adobe
25/02/2007 09:21 <REP> Alice SSID
25/02/2007 13:36 <REP> Alice_Triway_WiFi
09/03/2005 10:54 <REP> America
12/03/2007 21:05 <REP> Apple Software Update
28/01/2007 18:30 <REP> a-squared Free
11/01/2005 10:45 <REP> ATI Technologies
29/01/2007 20:38 <REP> CCleaner
09/03/2005 10:32 <REP> Combat Mission Beyond Overlord
01/01/2004 14:03 <REP> ComPlus Applications
09/03/2005 09:20 <REP> EA GAMES
16/06/2006 18:18 <REP> Easy Internet signup
28/01/2007 17:21 <REP> eBay
19/03/2007 07:01 <REP> Fichiers communs
13/12/2006 00:29 <REP> FlashFXP
26/08/2006 08:43 <REP> FLVPlayer
25/02/2007 13:32 <REP> Generic
17/12/2005 13:15 <REP> Google
17/03/2007 19:44 <REP> Grisoft
01/01/2004 17:57 <REP> Help and Support Additions
01/01/2004 15:51 <REP> Hewlett-Packard
17/03/2007 18:54 <REP> Hijackthis Version Fran‡aise
27/08/2006 15:34 <REP> Histoire
01/01/2004 17:25 <REP> HP
01/01/2004 15:03 <REP> Internet Explorer
11/01/2005 10:47 <REP> InterVideo
12/03/2007 21:07 <REP> iPod
12/03/2007 21:07 <REP> iTunes
01/01/2004 15:07 <REP> Java
01/01/2004 14:03 <REP> Messenger
30/08/2006 21:43 <REP> Micro Application
11/01/2005 14:37 <REP> Microsoft Encarta
01/01/2004 14:06 <REP> microsoft frontpage
01/01/2004 14:04 <REP> Movie Maker
01/01/2004 14:02 <REP> MSN
01/01/2004 14:03 <REP> MSN Gaming Zone
23/10/2004 19:34 <REP> NetMeeting
28/01/2007 11:42 <REP> Norton AntiVirus
07/01/2006 12:15 <REP> Norton Personal Firewall
05/09/2006 22:07 <REP> OpenOffice.org 2.0
14/03/2007 22:33 <REP> Operation Panzer
23/10/2004 19:34 <REP> Outlook Express
01/01/2004 17:58 <REP> PC-Doctor for Windows
09/04/2006 10:45 <REP> Phototool
21/08/2005 09:15 <REP> PIXELA
12/03/2007 21:06 <REP> QuickTime
10/03/2006 21:09 <REP> Real
30/04/2005 08:35 <REP> Rising Sun
01/01/2004 18:06 <REP> Services en ligne
02/01/2004 06:00 <REP> SiS VGA Utilities V3.59e
01/01/2004 17:34 <REP> Sonic
01/01/2004 17:34 <REP> Sonic RecordNow!
29/01/2007 20:51 <REP> Spybot - Search & Destroy
09/03/2005 10:41 <REP> SSI
23/01/2006 22:46 <REP> Symantec
07/01/2006 12:12 <REP> SymNetDrv
04/07/2005 21:15 <REP> Tiscali
08/03/2005 16:08 <REP> UBISOFT
21/12/2005 20:36 <REP> Webshots
05/01/2006 01:00 <REP> Windows Media Player
23/10/2004 19:34 <REP> Windows NT
09/04/2006 10:47 <REP> WinRAR
20/02/2006 21:00 <REP> WinZip
25/02/2007 13:34 <REP> Wireless 802.11g Monitor
01/01/2004 14:06 <REP> xerox
12/12/2006 21:12 <REP> Yahoo!
0 fichier(s) 0 octets
69 R‚p(s) 158ÿ795ÿ264ÿ000 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
*.mail.accenture.com REG_BINARY
www.ratp.info REG_BINARY
abonnement.aliceadsl.fr REG_BINARY
www31.ratp.info REG_BINARY
www8.ratp.info REG_BINARY
www.pagesjaunes.fr REG_BINARY
www.scarouge.com REG_BINARY

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************

Merci Boulepate,

Une question avant de lancer kaspersky : j'ai supprimé le fichier MS_update_0612_KB74062.exe

mais il y en a un autre qui s'appelle :
MS_update_0612_KB74062.exe-0A5D5F37.pf

Est-ce que je dois le supprimer aussi ?

Bonne journée,
Feldine

Bonne nuit, alors, plutôt ;-)

Kaspersky est en train de tourner.
Dès qu'il a fini, je colle le rapport et je fais l'autre manip (et je file au bureau ! )

Feldine

Ci-dessous le rapprot Kaspersky (pas bô ! )

A+
Feldine

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Monday, March 19, 2007 8:47:05 AM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 19/03/2007
Kaspersky Anti-Virus database records: 266924
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
H:\
I:\
J:\
K:\

Scan Statistics:
Total number of scanned objects: 79690
Number of viruses found: 4
Number of infected objects: 3 / 0
Number of suspicious objects: 2
Duration of the scan process: 00:51:38

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudC6.zip.mwt/winstall.exe Suspicious: Password-protected-EXE skipped
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudC6.zip.mwt ZIP: suspicious - 1 skipped
C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\Confid.log Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\Content.log Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\Privacy.log Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\Restrict.log Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\settings.dat Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\WebHist.log Object is locked skipped
C:\Documents and Settings\HP_Propriétaire\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\HP_Propriétaire\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\HP_Propriétaire\Local Settings\Historique\History.IE5\MSHist012007031920070320\index.dat Object is locked skipped
C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\hpodvd09.log Object is locked skipped
C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp\~DFA9CB.tmp Object is locked skipped
C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\HP_Propriétaire\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\HP_Propriétaire\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Program Files\Fichiers communs\Symantec Shared\SNDALRT.log Object is locked skipped
C:\Program Files\Fichiers communs\Symantec Shared\SNDCON.log Object is locked skipped
C:\Program Files\Fichiers communs\Symantec Shared\SNDDBG.log Object is locked skipped
C:\Program Files\Fichiers communs\Symantec Shared\SNDFW.log Object is locked skipped
C:\Program Files\Fichiers communs\Symantec Shared\SNDIDS.log Object is locked skipped
C:\Program Files\Fichiers communs\Symantec Shared\SNDSYS.log Object is locked skipped
C:\Program Files\Norton AntiVirus\AVApp.log Object is locked skipped
C:\Program Files\Norton AntiVirus\AVError.log Object is locked skipped
C:\Program Files\Norton AntiVirus\AVVirus.log Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{86E11626-5203-4B6B-99A3-889F6E4C5699}\RP2\A0002189.dll Infected: Trojan-Spy.Win32.BZub.hx skipped
C:\System Volume Information\_restore{86E11626-5203-4B6B-99A3-889F6E4C5699}\RP2\A0002190.exe Infected: Trojan-Downloader.Win32.Murlo.ek skipped
C:\System Volume Information\_restore{86E11626-5203-4B6B-99A3-889F6E4C5699}\RP2\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\pvyguaaa.exe Infected: Trojan-Spy.Win32.BZub.hl skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
D:\System Volume Information\_restore{86E11626-5203-4B6B-99A3-889F6E4C5699}\RP2\change.log Object is locked skipped

Scan process completed.

Bonsoir Boulepate,

Je viens de faire le ménage avec les 'produits' que tu m'as indiqués et j'ai créé un nouveau point de restauration.

Appremment la navigation sur IE semble fonctioner à nouveau.
J'ai fait tourner Hijackthis au cas où (ci-dessous le log).

Tu penses qu'il y a encore d'autres choses à faire ?

Merci :-)
Feldine

Logfile of HijackThis v1.99.1
Scan saved at 21:52:58, on 19/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Wireless 802.11g Monitor\WLService.exe
c:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe
c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Webshots\webshots.scr
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MS Explorer - {705D9401-8A21-8145-25A1-8F35813F4101} - C:\WINDOWS\system\lsdctl32.dll (file missing)
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [TVAgent WiFi] C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: www.amazon.fr
O15 - Trusted Zone: www.fnac.com
O15 - Trusted Zone: http://www.hosting-media.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Salut Boulepate,

J'en suis à peine à la réinstallation de JAva. J'ai downloadé l'exécutable, mais je n'arrive pas à le lancer : j'ai un messager d'erreur qui dit qu'il ne peut pas s'exécuter en raison des paramètres du proxy.
Je n'arrive pas non plus à télécharger Blacklight.

Par ailleurs, le Pc a eu un mal fou à démarrer et je ne vois pas l'icone du parefu. Je vis redémarrer l'ordi pour faire une nouvelle tentative.

A+
Feldine

Bonsoir Boulepate,

J'ai refait tourner CCleaner et défragmenté (une fois pour l'instant mais c'est vraiment très long). Toujours impossible de réinstaller Java.

A chaque exécution, Ccleaner trouve le fichier suivant :
C:\WINDOWS\system32\wbem\Logs\wbemess.log
Est-ce normal ?

Par ailleurs, le centre de sécurité windows m'indique qu'un parefeu est actif, mais :
- impossible d'afficher les paramètres du parefeu windows en passant par le panneau de config(message d'erreur 'en raison d'un problème non identifié...)
- le parefeu Norton qui apparaissait jusqu'à présent est signalé désactivé.

Tout ça ne me semble pas de très bon augure :-(
Quel est ton conseil ?

Merci,
Feldine

Hello,

Le parefeu Symantec était déjà installé sur le PC quand je l'ai récupéré...
Je vais voir comment faire pour le remettre.

En attendant, je n'ai toujours pas pu réinstaller Java, ni télécharger Blacklight...

Mais j'ai exécuté Silent runners, voilà le log. Pourquoi disais-tu que c'était de la curiosité ?

A+
Feldine

"Silent Runners.vbs", revision R50, https://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"TVAgent WiFi" = "C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe" ["Alice"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"hpsysdrv" = "c:\windows\system\hpsysdrv.exe" ["Hewlett-Packard Company"]
"HPHUPD06" = "c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" ["Hewlett-Packard"]
"HPHmon06" = "C:\WINDOWS\system32\hphmon06.exe" ["Hewlett-Packard"]
"KBD" = "C:\HP\KBD\KBD.EXE" ["Hewlett-Packard Company"]
"Recguard" = "C:\WINDOWS\SMINST\RECGUARD.EXE" [empty string]
"SiS Windows KeyHook" = "C:\WINDOWS\system32\keyhook.exe" ["Silicon Integrated Systems Corporation"]
"ccApp" = ""C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"PS2" = "C:\WINDOWS\system32\ps2.exe" ["Hewlett-Packard Company"]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"AlcWzrd" = "ALCWZRD.EXE" ["RealTek Semicoductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"iTunesHelper" = ""C:\Program Files\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"!AVG Anti-Spyware" = ""C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{8b15971b-5355-4c82-8c07-7e181ea07608}\(Default) = "Fax"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser" [MS]
{94de52c8-2d59-4f1b-883e-79663d2d9a8c}\(Default) = "Fax Provider"
\StubPath = "rundll32.exe C:\WINDOWS\system32\Setup\FxsOcm.dll,XP_UninstallProvider" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{705D9401-8A21-8145-25A1-8F35813F4101}\(Default) = "MS Explorer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system\lsdctl32.dll" [file not found]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = (no title provided)
-> {HKLM...CLSID} = "CNisExtBho Class"
\InProcServer32\(Default) = "c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = (no title provided)
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "c:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
{E5A1691B-D188-4419-AD02-90002030B8EE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "FlashFXP Helper for Internet Explorer"
\InProcServer32\(Default) = "C:\PROGRA~1\FlashFXP\IEFlash.dll" ["IniCom Networks, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {HKLM...CLSID} = "RecordNow! SendToExt"
\InProcServer32\(Default) = "c:\Program Files\Sonic RecordNow!\shlext.dll" [null data]
"{7F67036B-66F1-411A-AD85-759FB9C5B0DB}" = "SampleView"
-> {HKLM...CLSID} = "SampleView"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ShellvRTF.dll" ["XSS"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{A155339D-CCCD-4714-85EB-3754B804C9DF}" = "a-squared Free Context Menu Shell Extension"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL" ["Emsi Software GmbH"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Program Files\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Program Files\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "c:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL" ["Emsi Software GmbH"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "c:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2FREE~1.DLL" ["Emsi Software GmbH"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "%APPDATA%\Webshots\The Webshots Desktop\Webshots Wallpaper.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\HP_Propriétaire\Application Data\Webshots\The Webshots Desktop\Webshots Wallpaper.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssstars.scr" [MS]


Startup items in "HP_Propriétaire" & "All Users" startup folders:
-----------------------------------------------------------------

C:\Documents and Settings\HP_Propriétaire\Menu Démarrer\Programmes\Démarrage
"Webshots" -> shortcut to: "C:\Program Files\Webshots\Launcher.exe /t" [null data]

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"HP Digital Imaging Monitor" -> shortcut to: "C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Program Files\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
"Symantec NetDetect" -> launches: "C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{B2847E28-5D7D-4DEB-8B67-05D28BCF79F5}"
-> {HKLM...CLSID} = "Vue HP"
\InProcServer32\(Default) = "c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll" ["Hewlett-Packard Company"]
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "c:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{B2847E28-5D7D-4DEB-8B67-05D28BCF79F5}"
-> {HKLM...CLSID} = "Vue HP"
\InProcServer32\(Default) = "c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll" ["Hewlett-Packard Company"]
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "c:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{B2847E28-5D7D-4DEB-8B67-05D28BCF79F5}" = (no title provided)
-> {HKLM...CLSID} = "Vue HP"
\InProcServer32\(Default) = "c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll" ["Hewlett-Packard Company"]
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "c:\Program Files\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{B2847E28-5D7D-4DEB-8B67-05D28BCF79F5}\(Default) = "Vue HP"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll" ["Hewlett-Packard Company"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[Strings]: SAFESITE_VALUE="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2ffr%2f%3f"

Missing lines (compared with English-language version):
[Strings]: 2 lines


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["Anti-Malware Development a.s."]
R54G Wireless Service, R54G Wireless Service, "C:\Program Files\Wireless 802.11g Monitor\WLService.exe" [null data]
Service de l'iPod, iPod Service, ""C:\Program Files\iPod\bin\iPodService.exe"" ["Apple Inc."]
Service Norton AntiVirus Auto-Protect, navapsvc, ""c:\Program Files\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Network Proxy, ccProxy, ""c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
SymWMI Service, SymWSC, ""c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe"" ["Symantec Corporation"]


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 36 seconds, including 9 seconds for message boxes)

Effectivement, ça m'a l'air d'aller beaucoup mieux après désinstallation de Norton et installation de Kerio.
J'ai pu installer Java, et blakclight (qui n'a rien trouvé de suspect).

Je pesne que je vais installer un autre antivirus que Norton également !

A+
Feldine

Bonsoir Boulepate,

Me voilà de retour.

J'ai désinstallé Symantec qui ralentissait énormément le pc et empêchait de fonctionner correctement les applications (je m'en rends compte maintenant que je l'ai désinstallé).

Je suis toute ouïe si'il y a d'autres mises à jour à faire ;-).

Feldine

Bonjour Boulepate,

J'ai commencé les MAJ de Windows. Mais quand je démarre le pc, si j'ouvre une session internet, je n'ai aucun pble de connexion alors que si je la ferme et que jen ouvre ensuite une 2ème (ou que j'esaie de refaire une MAJ windows), ça rame et ça finit par planter...
Il faudrait sans doute aussi que je défragmente le disque à nouveau peut-être ?

Merci,
Feldine

Bonsoir Boulepate,


J'ai encore besoin de tes lumières...
Je n'ai pas réussi à résoudre mon problème de connexion,je n'accède pas aux sites internet lorsque Kerio est actif.

AVG antispyawre est actif aussi et il a un bouclier résident : tu penses qu'ils se concurrencent ?

En plus je pensais avoir fini le ménage sur le disque, mais AVG trouve un trace d'une menace 'Dropper agent b' qu'il ne me propose pas de supprimer mais simplement d'ignorer ?

J'avoue que je suis un peu perdue.
Merci par avance pour ta réponse,

Feldine