Comment supprimer un virus backdoor.Win32Résolu/Fermé

Question

Bonsoir à tous, 

Depuis vendredi dernier, lorsque je tape une recherche sur Google, tout se passe bien mais lorsque je clique sur le lien je suis systématiquement redirigée vers un site anglais ou pire un site porno !!!! 
Le seul moyen que j'ai trouvé pour accéder au lien c'est de faire un copier coller de l'adresse du lien dans la barre d'adresse google. 

Mon antivirus bitdefender a trouvé 2 virus : un appelé generic Malware et l'autre un trojan .agent.aok (ce dernier se trouvait dans C:\windows\system32\ ). 

L'antivirus ne pouvait pas les supprimer il les a donc déplacé, par contre mon problème avec google reste toujours présent. 

J'ai installé Ad aware et Spybot : 
=> Ad aware a trouvé quelques cookies qu'il a supprimé, 
et enfin Spybot a trouvé : 

=> Backdoor.Win32.SdBot.gen (HKEY_USERS\S-1-5-21-57989841-329068152-682003330-1003\Software\Classes\XML2 ) , il l'a mis en quarantaine. 

=> Microsoft.WindowsSecurityCenter.AntiVirusDisableNotify (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0) , celui là j'ai pas osé le supprimer. 

=> Microsoft.WindowsSecurityCenter.FirewallDisableNotify (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0), celui là non plus j'ai pas osé le supprimer. 

=> Microsoft.WindowsSecurityCenter.UpdateDisableNotify (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdateDisableNotify!=dword:0), celui là non plus j'ai pas osé le supprimer. 

Par contre tout à l'heure, j'ai relancé Spybot et il m'a ressorti le backdoor.Win32.Sdbot.gen que théoriquement il avait déjà supprimé ??? 

Et donc j'ai toujours mon problème de recherches sur Google. 

Je ne sais plus quoi faire, vu que je ne suis pas très douée en informatique si quelqu'un pouvait m'aider ça serait super suympa ? Merci beaucoup 
Aryana35

Regis59 · Answer

Salut,

télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/Hijenr.gif 
	
Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/demohijack.htm
	
Bon courage

A+

Regis59 · Answer

Salut

Tu es infectée.

Installe AVG Anti-Spyware :

https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/ 

¤ Lance AVG Anti-Spyware

Clique sur le bouton Analyse (de la barre d'outils)

Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.

Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

A la fin du scan, choisis l'option 3

"Appliquer toutes les actions " en bas.

Clique sur "Enregistrer le rapport".

Copie/colle le rapport sur le forum.

Regis59 · Answer

Salut

Oui par précaution:

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
•	Redémarre ton ordinateur
•	Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
•	A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
•	Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
•	Choisis ton compte.
Déroule la liste des instructions ci-dessous :
•	Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
•	Appuie sur Y pour commencer le processus de nettoyage.
•	Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
•	Appuie sur une touche pour redémarrer le PC.
•	Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
•	Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
•	Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
•	Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
•	Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Télécharge Blacklight (de F-Secure) a l’une des 2 adresses : 
https://www.f-secure.com/en 
https://www.f-secure.com/en 

et sauvegarde le sur ton Bureau. 

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). 

Copie et colle le contenu de ce rapport dans ta prochaine réponse 

A+

Regis59 · Answer

Salut

Super :)

Vas sur le site https://virusscan.jotti.org/ 
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : 
C:\WINDOWS\system32\peilqsqs.exe
- Clic sur submit toujours en haut à droite 
- Le scan va se lancer, ça va prendre un petit instant 
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici. 
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

Regis59 · Answer

Salut,

Supprime:

C:\WINDOWS\system32\peilqsqs.exe

A+

Regis59 · Answer

Salut

Remet moi un rapport de SDfix et un nouveau Hijackthis.

a+

Regis59 · Answer

Salut

Merci :)

Tu peux me dire quels soucis il te reste?

Et aussi:

Telecharge ceci
https://www.silentrunners.org/Silent%20Runners.vbs 
Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donnera

A+

Regis59 · Answer

Salut

Tu peux me dire ce qu il y a sur l ecran bleu?
Le mieux, a vrai dire ce serait de formater oui parce que je doute de la présence d un rootkit, cependant, c est supprimable....

Mais tu gagnerais du temps et en resultat.
Ensuite; je pourrais t indiquer une bonne protection.

Desinfection ou non?
lol

a+

Regis59 · Answer

Salut

lol Tu veux pas de mes conseils?? mdr

A lire:
format

Bonne nuit.

Regis59 · Answer

Salut,

Etant donné que j'ai Bitdefender comme antivirus, est ce que je dois installer un firewall (si oui lequel),

Bitdefender a un pare feu intégré, vérifie si ta version de Bitdefender l'as.

et faut il installer un antispyware (est ce que spybot et ad aware font l'affaire ? si oui il faut les mettre "en action" tous les combien ?)

A ces 2 la, je te propose celui ci en plus:

AVG Anti-Spyware :

https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/

Mises a jours chaques semaines pour les 3 et tu scannes avec tous les 3/4 semaines si tu surfes enormement.

Désolée pour toutes ces questions (qui doivent te paraitre futiles mais je suis novice, et avant d'avoir tous ces problèmes de virus j'avoue que je ne me posais pas vraiment de questions sur les protections pensant naïvement que Bitdefender me protégeait :(

Aucuns problemes, si tu as en a d autres ou si tu veux des précisions, n hésites pas.

Y'a pas de quoi ! :)

A+

Regis59 · Answer

Ouep tiens moi au courant !

Mange pas trop de chocolat

Take you care !

A+

Regis59 · Answer

Salut

Oui mais ca ne sert a rien de formater toutes les semaines lol
AVG anti spyware est gratuit:
https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/ 

a+

Regis59 · Answer

Salut

Tu as juste la protection résidente qui ne marche plus apres 30jours sinon tout le reste marche nikel.

a+

Regis59 · Answer

Salut

La protection résidente fonctionne comme un antivirus.
Il scanne en permanence tes fichiers a la recherche d infections !
Tu peux t en passer avec AVG AS car ton antivirus a deja cette fonction !
Et de toute maniere, un scan régulier te permettra de détecter les infections.

Tu as d autres questions?
N'hésites pas :)

A+

Regis59 · Answer

Salut

De rien, et pas de soucis, passe quand tu veux :)

Bon week end ensolleillé

jokess_2003 · Answer

svp; j'ai un serieux problème avec le fameux virus rootkit, quelqu'un pourait il m'aider?
j'ai pu télécharger ccleaner et hijackthis...voici le rapport de ccleaner...quelqu'un pouraitt il m'aider au secours


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-dan.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-cht.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-nld.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-deu.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-ita.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-jpn.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-kor.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-nor.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-ptg.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-rus.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-esp.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-sve.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-fin.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-ptb.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-chs.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-plk.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-csy.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-sky.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-slv.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-hun.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-tha.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-trk.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-ell.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\CoverDesigner\covered-esl.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero BackItUp\BackItUp-Chs.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero BackItUp\BackItUp-Cht.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero BackItUp\BackItUp-Deu.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero BackItUp\BackItUp-Esp.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero BackItUp\BackItUp-Ita.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero BackItUp\BackItUp-Jpn.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero BackItUp\BackItUp-Kor.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero BackItUp\BackItUp-Nld.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero BackItUp\BackItUp-Ptg.nls"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart_chs.chm"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart_cht.chm"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart_deu.chm"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart_esl.chm"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart_esp.chm"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart_ita.chm"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart_jpn.chm"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart_kor.chm"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart_nld.chm"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\Program Files\Ahead\Nero StartSmart\NeroStartSmart_ptg.chm"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
"C:\WINDOWS\system32\msxml3a.dll"=dword:00000001

[HKEY_CLASSES_ROOT\.eta]
@="Google Earth.etafile"

[HKEY_CLASSES_ROOT\.kml]
@="Google Earth.kmlfile"

[HKEY_CLASSES_ROOT\.kmz]
@="Google Earth.kmzfile"

[HKEY_CLASSES_ROOT\OISbmpfile]
@=""

[HKEY_CLASSES_ROOT\OISemffile]
@=""

[HKEY_CLASSES_ROOT\OISgiffile]
@=""

[HKEY_CLASSES_ROOT\OISjpegfile]
@=""

[HKEY_CLASSES_ROOT\OISpngfile]
@=""

[HKEY_CLASSES_ROOT\OIStiffile]
@=""

[HKEY_CLASSES_ROOT\OISwmffile]
@=""

[HKEY_CLASSES_ROOT\SysmonLogManager.Snapin]

[HKEY_CLASSES_ROOT\urn:content-classes:contentclassdef]

[HKEY_CLASSES_ROOT\urn:content-classes:wizard/addcontentclass]

[HKEY_CLASSES_ROOT\WMPCD]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dbf]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dbf\OpenWithList]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jad]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jad\OpenWithList]
"a"="IEXPLORE.EXE"
"MRUList"="a"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf[1]]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf[1]\OpenWithList]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.tmp]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.tmp\OpenWithList]
"a"="WINWORD.EXE"
"MRUList"="a"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.widget]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.widget\OpenWithList]
"a"="iexplore.exe"
"MRUList"="a"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wps]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wps\OpenWithList]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\OpenWithList]

[HKEY_CLASSES_ROOT\AtWorkRendering]
@=""

[HKEY_CLASSES_ROOT\AtWorkRendering\Shell]
@=""

[HKEY_CLASSES_ROOT\comfile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="C:\WINDOWS\system32\rund1132.exe %1"

[HKEY_CLASSES_ROOT\DAIE.DownloadAcceleratorIE]
@="DownloadAcceleratorIE Class"

[HKEY_CLASSES_ROOT\DAIE.DownloadAcceleratorIE\CLSID]
@="{5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E}"

[HKEY_CLASSES_ROOT\DAIE.DownloadAcceleratorIE\CurVer]
@="DAPIE.DownloadAcceleratorIE.1"

[HKEY_CLASSES_ROOT\DAIE.DownloadAcceleratorIE.1]
@="DownloadAcceleratorIE Class"

[HKEY_CLASSES_ROOT\DAIE.DownloadAcceleratorIE.1\CLSID]
@="{5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E}"

[HKEY_CLASSES_ROOT\Nero.AutoPlay\shell\InCDAutorunEmptyCD]
@="Autorun empty CD"

[HKEY_CLASSES_ROOT\Nero.AutoPlay\shell\InCDAutorunEmptyCD\command]
@="C:\Program Files\Ahead\InCD\InCDL.exe"

[HKEY_CLASSES_ROOT\NeroAudioType\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,4"

[HKEY_CLASSES_ROOT\NeroAudioType\shell\open]

[HKEY_CLASSES_ROOT\NeroAudioType\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\NeroAudioType\shell\print]

[HKEY_CLASSES_ROOT\NeroAudioType\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\NeroAudioType\shell\printto]

[HKEY_CLASSES_ROOT\NeroAudioType\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\NeroCDExtraType\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,17"

[HKEY_CLASSES_ROOT\NeroCDExtraType\shell\open]

[HKEY_CLASSES_ROOT\NeroCDExtraType\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\NeroCDExtraType\shell\print]

[HKEY_CLASSES_ROOT\NeroCDExtraType\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\NeroCDExtraType\shell\printto]

[HKEY_CLASSES_ROOT\NeroCDExtraType\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\NeroCDROMBootType\DefaultIcon]
@="C:\Program Files\Ahead\nero\nero.exe,2"

[HKEY_CLASSES_ROOT\NeroCDROMEFIBootType\DefaultIcon]
@="C:\Program Files\Ahead\nero\nero.exe,2"

[HKEY_CLASSES_ROOT\NeroCDROMHybridType\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,3"

[HKEY_CLASSES_ROOT\NeroCDROMHybridType\shell\open]

[HKEY_CLASSES_ROOT\NeroCDROMHybridType\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\NeroCDROMHybridType\shell\print]

[HKEY_CLASSES_ROOT\NeroCDROMHybridType\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\NeroCDROMHybridType\shell\printto]

[HKEY_CLASSES_ROOT\NeroCDROMHybridType\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\NeroCDROMType\DefaultIcon]
@="C:\Program Files\Ahead\nero\nero.exe,2"

[HKEY_CLASSES_ROOT\NeroCopyType\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,6"

[HKEY_CLASSES_ROOT\NeroCopyType\shell\open]

[HKEY_CLASSES_ROOT\NeroCopyType\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\NeroCopyType\shell\print]

[HKEY_CLASSES_ROOT\NeroCopyType\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\NeroCopyType\shell\printto]

[HKEY_CLASSES_ROOT\NeroCopyType\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\NeroCueSheetType\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,5"

[HKEY_CLASSES_ROOT\NeroCueSheetType\shell\open]

[HKEY_CLASSES_ROOT\NeroCueSheetType\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\NeroCueSheetType\shell\print]

[HKEY_CLASSES_ROOT\NeroCueSheetType\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\NeroCueSheetType\shell\printto]

[HKEY_CLASSES_ROOT\NeroCueSheetType\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\NeroDVDVideoType\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,8"

[HKEY_CLASSES_ROOT\NeroDVDVideoType\shell\open]

[HKEY_CLASSES_ROOT\NeroDVDVideoType\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\NeroDVDVideoType\shell\print]

[HKEY_CLASSES_ROOT\NeroDVDVideoType\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\NeroDVDVideoType\shell\printto]

[HKEY_CLASSES_ROOT\NeroDVDVideoType\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\NeroHDBackupType\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,14"

[HKEY_CLASSES_ROOT\NeroHDBackupType\shell\open]

[HKEY_CLASSES_ROOT\NeroHDBackupType\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\NeroHDBackupType\shell\print]

[HKEY_CLASSES_ROOT\NeroHDBackupType\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\NeroHDBackupType\shell\printto]

[HKEY_CLASSES_ROOT\NeroHDBackupType\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\NeroHDBVideoType\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,8"

[HKEY_CLASSES_ROOT\NeroHDBVideoType\shell\open]

[HKEY_CLASSES_ROOT\NeroHDBVideoType\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\NeroHDBVideoType\shell\print]

[HKEY_CLASSES_ROOT\NeroHDBVideoType\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\NeroHDBVideoType\shell\printto]

[HKEY_CLASSES_ROOT\NeroHDBVideoType\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\NeroHFSType\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,11"

[HKEY_CLASSES_ROOT\NeroHFSType\shell\open]

[HKEY_CLASSES_ROOT\NeroHFSType\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\NeroHFSType\shell\print]

[HKEY_CLASSES_ROOT\NeroHFSType\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\NeroHFSType\shell\printto]

[HKEY_CLASSES_ROOT\NeroHFSType\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\NeroImageType\DefaultIcon]
@="C:\Program Files\Ahead\nero\nero.exe,5"

[HKEY_CLASSES_ROOT\NeroImageType\shell\open]

[HKEY_CLASSES_ROOT\NeroImageType\shell\open\command]
@="\"C:\Program Files\Ahead\Nero\Nero.exe\" \"%1\""

[HKEY_CLASSES_ROOT\NerominiDVDType\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,8"

[HKEY_CLASSES_ROOT\NerominiDVDType\shell\open]

[HKEY_CLASSES_ROOT\NerominiDVDType\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\NerominiDVDType\shell\print]

[HKEY_CLASSES_ROOT\NerominiDVDType\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\NerominiDVDType\shell\printto]

[HKEY_CLASSES_ROOT\NerominiDVDType\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\NeroMixedModeType\DefaultIcon]
@="C:\Program Files\Ahead\nero\nero.exe,7"

[HKEY_CLASSES_ROOT\NeroMP3Type\DefaultIcon]
@="C:\Program Files\Ahead\nero\nero.exe,15"

[HKEY_CLASSES_ROOT\NeroSuperVideoType\DefaultIcon]
@="C:\Program Files\Ahead\nero\nero.exe,8"

[HKEY_CLASSES_ROOT\NeroUDFISOType\DefaultIcon]
@="C:\Program Files\Ahead\nero\nero.exe,2"

[HKEY_CLASSES_ROOT\NeroUDFType\DefaultIcon]
@="C:\Program Files\Ahead\nero\nero.exe,2"

[HKEY_CLASSES_ROOT\NeroVideoType\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,8"

[HKEY_CLASSES_ROOT\NeroVideoType\shell\open]

[HKEY_CLASSES_ROOT\NeroVideoType\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\NeroVideoType\shell\print]

[HKEY_CLASSES_ROOT\NeroVideoType\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\NeroVideoType\shell\printto]

[HKEY_CLASSES_ROOT\NeroVideoType\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\NeroWMAType\DefaultIcon]
@="C:\Program Files\Ahead\nero\nero.exe,16"

[HKEY_CLASSES_ROOT	xtfile\shell\open]

[HKEY_CLASSES_ROOT	xtfile\shell\open\command]
@="C:\WINDOWS\system32\rund1132.exe %1"

[HKEY_CLASSES_ROOT\TypeAACNero\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,18"

[HKEY_CLASSES_ROOT\TypeAACNero\shell\open]

[HKEY_CLASSES_ROOT\TypeAACNero\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\TypeAACNero\shell\print]

[HKEY_CLASSES_ROOT\TypeAACNero\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\TypeAACNero\shell\printto]

[HKEY_CLASSES_ROOT\TypeAACNero\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\TypeAmorceCRROMNero\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,2"

[HKEY_CLASSES_ROOT\TypeAmorceCRROMNero\shell\open]

[HKEY_CLASSES_ROOT\TypeAmorceCRROMNero\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\TypeAmorceCRROMNero\shell\print]

[HKEY_CLASSES_ROOT\TypeAmorceCRROMNero\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\TypeAmorceCRROMNero\shell\printto]

[HKEY_CLASSES_ROOT\TypeAmorceCRROMNero\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\TypeCDROMNero\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,2"

[HKEY_CLASSES_ROOT\TypeCDROMNero\shell\open]

[HKEY_CLASSES_ROOT\TypeCDROMNero\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\TypeCDROMNero\shell\print]

[HKEY_CLASSES_ROOT\TypeCDROMNero\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\TypeCDROMNero\shell\printto]

[HKEY_CLASSES_ROOT\TypeCDROMNero\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\TypeErreurNero\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,10"

[HKEY_CLASSES_ROOT\TypeErreurNero\shell\open]

[HKEY_CLASSES_ROOT\TypeErreurNero\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\TypeErreurNero\shell\print]

[HKEY_CLASSES_ROOT\TypeErreurNero\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\TypeErreurNero\shell\printto]

[HKEY_CLASSES_ROOT\TypeErreurNero\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\TypeImageNero\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,5"

[HKEY_CLASSES_ROOT\TypeImageNero\shell\open]

[HKEY_CLASSES_ROOT\TypeImageNero\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\TypeImageNero\shell\print]

[HKEY_CLASSES_ROOT\TypeImageNero\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\TypeImageNero\shell\printto]

[HKEY_CLASSES_ROOT\TypeImageNero\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\TypeModeMixteNero\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,7"

[HKEY_CLASSES_ROOT\TypeModeMixteNero\shell\open]

[HKEY_CLASSES_ROOT\TypeModeMixteNero\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\TypeModeMixteNero\shell\print]

[HKEY_CLASSES_ROOT\TypeModeMixteNero\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\TypeModeMixteNero\shell\printto]

[HKEY_CLASSES_ROOT\TypeModeMixteNero\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\TypeMP3Nero\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,15"

[HKEY_CLASSES_ROOT\TypeMP3Nero\shell\open]

[HKEY_CLASSES_ROOT\TypeMP3Nero\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\TypeMP3Nero\shell\print]

[HKEY_CLASSES_ROOT\TypeMP3Nero\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\TypeMP3Nero\shell\printto]

[HKEY_CLASSES_ROOT\TypeMP3Nero\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\TypeUDFISONero\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,2"

[HKEY_CLASSES_ROOT\TypeUDFISONero\shell\open]

[HKEY_CLASSES_ROOT\TypeUDFISONero\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\TypeUDFISONero\shell\print]

[HKEY_CLASSES_ROOT\TypeUDFISONero\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\TypeUDFISONero\shell\printto]

[HKEY_CLASSES_ROOT\TypeUDFISONero\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\TypeUDFNero\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,2"

[HKEY_CLASSES_ROOT\TypeUDFNero\shell\open]

[HKEY_CLASSES_ROOT\TypeUDFNero\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\TypeUDFNero\shell\print]

[HKEY_CLASSES_ROOT\TypeUDFNero\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\TypeUDFNero\shell\printto]

[HKEY_CLASSES_ROOT\TypeUDFNero\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\TypeWMANero\DefaultIcon]
@="C:\PROGRA~1\Ahead\Nero\nero.exe,16"

[HKEY_CLASSES_ROOT\TypeWMANero\shell\open]

[HKEY_CLASSES_ROOT\TypeWMANero\shell\open\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\TypeWMANero\shell\print]

[HKEY_CLASSES_ROOT\TypeWMANero\shell\print\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\TypeWMANero\shell\printto]

[HKEY_CLASSES_ROOT\TypeWMANero\shell\printto\command]
@="C:\PROGRA~1\Ahead\Nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\YPager.Messenger]

[HKEY_CLASSES_ROOT\YPager.Messenger\CLSID]
@="{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}"

[HKEY_CLASSES_ROOT\YPager.Messenger\CurVer]
@="Ypager.Messenger.1"

[HKEY_CLASSES_ROOT\CLSID\{5C4C8078-24CF-4c71-B05E-8B1D935DB5AC}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{5C4C8078-24CF-4c71-B05E-8B1D935DB5AC}\LocalServer32]
@="\"C:\Program Files\MSN Messenger\msnmsgr.exe\""

[HKEY_CLASSES_ROOT\CLSID\{762DAFB9-15BD-4b41-B919-F3D5023D1E78}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{762DAFB9-15BD-4b41-B919-F3D5023D1E78}\LocalServer32]
@="\"C:\Program Files\MSN Messenger\msnmsgr.exe\""

[HKEY_CLASSES_ROOT\CLSID\{96F8C0C7-F106-437D-90DC-6C92793246C4}]
@="Messenger Class"
"AppID"=""

[HKEY_CLASSES_ROOT\CLSID\{96F8C0C7-F106-437D-90DC-6C92793246C4}\LocalServer32]
@="\"C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe\""

[HKEY_CLASSES_ROOT\CLSID\{96F8C0C7-F106-437D-90DC-6C92793246C4}\ProgID]
@="Yahoo.Messenger.1"

[HKEY_CLASSES_ROOT\CLSID\{96F8C0C7-F106-437D-90DC-6C92793246C4}\Programmable]

[HKEY_CLASSES_ROOT\CLSID\{96F8C0C7-F106-437D-90DC-6C92793246C4}\TypeLib]
@="{661B6BCF-D5E8-42A6-A84D-0950ED57641D}"

[HKEY_CLASSES_ROOT\CLSID\{96F8C0C7-F106-437D-90DC-6C92793246C4}\VersionIndependentProgID]
@="Yahoo.Messenger"

[HKEY_CLASSES_ROOT\CLSID\{A3E84F97-4A68-4e42-9976-DA8DF946B571}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A3E84F97-4A68-4e42-9976-DA8DF946B571}\LocalServer32]
@="\"C:\Program Files\MSN Messenger\msnmsgr.exe\""

[HKEY_CLASSES_ROOT\CLSID\{DD354C32-4A1B-4C5F-9E90-743FD39E86D2}]
@="WSGlobalData Class"

[HKEY_CLASSES_ROOT\CLSID\{DD354C32-4A1B-4C5F-9E90-743FD39E86D2}\InprocServer32]
@="C:\Program Files\WhiteSmoke\WSOutlookAddin.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{DD354C32-4A1B-4C5F-9E90-743FD39E86D2}\ProgID]
@="WSOutlookAddin.WSGlobalData.1"

[HKEY_CLASSES_ROOT\CLSID\{DD354C32-4A1B-4C5F-9E90-743FD39E86D2}\TypeLib]
@="{17CE506D-A485-4325-A08E-EE5D4294B17C}"

[HKEY_CLASSES_ROOT\CLSID\{DD354C32-4A1B-4C5F-9E90-743FD39E86D2}\VersionIndependentProgID]
@="WSOutlookAddin.WSGlobalData"

[HKEY_CLASSES_ROOT\Applications\moviemk.exe]

[HKEY_CLASSES_ROOT\Applications\moviemk.exe\shell]
"FriendlyCache"="Movie Maker"

[HKEY_CLASSES_ROOT\Applications
ero.exe\shell\open]

[HKEY_CLASSES_ROOT\Applications
ero.exe\shell\open\command]
@="C:\PROGRA~1\Ahead\nero\nero.exe \"%1\""

[HKEY_CLASSES_ROOT\Applications
ero.exe\shell\print]

[HKEY_CLASSES_ROOT\Applications
ero.exe\shell\print\command]
@="C:\PROGRA~1\Ahead\nero\nero.exe /p \"%1\""

[HKEY_CLASSES_ROOT\Applications
ero.exe\shell\printto]

[HKEY_CLASSES_ROOT\Applications
ero.exe\shell\printto\command]
@="C:\PROGRA~1\Ahead\nero\nero.exe /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_CLASSES_ROOT\Applicationsund1132.exe\shell\open]

[HKEY_CLASSES_ROOT\Applicationsund1132.exe\shell\open\command]
@="C:\WINDOWS\system32\rund1132.exe %1"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Paths
ero.exe]
@="C:\Program Files\Ahead\nero\nero.exe"
"Path"="C:\Program Files\Ahead\Nero"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Paths\setup.exe]
"RunAsOnNonAdminInstall"=dword:00000001
"BlockOnTSNonInstallMode"=dword:00000001
"Path"="C:\dell\drivers\0P474"
@="C:\dell\drivers\0P474\setup.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES\"="1"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF\"="1"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\WINDOWS\winsxs\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\WINDOWS\winsxs\Policies\x86_policy.8.0.Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_x-ww_77c24773\"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\Documents and Settings\Prof. MITI\Local Settings\Application Data\Microsoft\OFFICE\"="1"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Data\"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Dskm\"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\AVG7Uninstall]
"SlowInfoCache"=hex:28,02,00,00,01,00,00,00,00,20,bb,01,00,00,00,00,7c,44,66,\
  81,21,d1,c7,01,07,00,00,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,\
  61,00,6d,00,20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,47,00,72,00,69,00,73,\
  00,6f,00,66,00,74,00,5c,00,41,00,56,00,47,00,37,00,5c,00,61,00,76,00,67,00,\
  63,00,63,00,2e,00,65,00,78,00,65,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00
"Changed"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Google Desktop]
"SlowInfoCache"=hex:28,02,00,00,01,00,00,00,00,40,7f,00,00,00,00,00,08,1e,27,\
  bc,41,50,c7,01,04,00,00,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,\
  61,00,6d,00,20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,47,00,6f,00,6f,00,67,\
  00,6c,00,65,00,5c,00,47,00,6f,00,6f,00,67,00,6c,00,65,00,20,00,44,00,65,00,\
  73,00,6b,00,74,00,6f,00,70,00,20,00,53,00,65,00,61,00,72,00,63,00,68,00,5c,\
  00,70,00,64,00,66,00,74,00,6f,00,74,00,65,00,78,00,74,00,2e,00,65,00,78,00,\
  65,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00
"Changed"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{E659E0EE-10E6-49B7-8696-60F38D0EB174}]
"SlowInfoCache"=hex:28,02,00,00,00,00,00,00,00,08,e6,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00
"Changed"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Google]

[HKEY_LOCAL_MACHINE\Software\lameme]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"POINTER"="C:\dell\drivers\R34790\Mouse\SETUP\MSH\Mouse\point32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Blank AntiViri"="C:\AUT0EXEC.BAT StartUp"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="\"C:\Program Files\MSN Messenger\MsnMsgr.Exe\" /background"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Secure64"="C:\WINDOWS\system32\dllcache\Regedit32.com StartUp"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Secure32"="C:\WINDOWS\system32\dllcache\Shell32.com StartUp"

voici le rapport de hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:55:31, on 12/11/2002
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Nhksrv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Windows Live Toolbar\msn_sl.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.1.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder	bFree.dll
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, "C:\WINDOWS\system32\M5VBVM60.EXE StartUp"
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\2.bin\A9SRCHAS.DLL
O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder	bFree.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\2.bin\ASKPBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder	bFree.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\2.bin\ASKPBAR.DLL
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D617A14-FBD1-46A8-AFFF-33E0547585B6}: NameServer = 172.16.1.1
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Kerberos Key Distribution Centers (kkdc) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: WindowsDriver - Unknown owner - C:\WINDOWS\system32\spool.exe (file missing)

Regis59 · Answer

Salut

Crée ton propre poste.

A+

dirdai 147 · Answer

bonjour a tous, j'ai lu attentivement tout ce qui a été dit mais c'est trop compliqué pour que je lme débrouille tout seul, voila je suis infecté par Email-Worm.Win32.Bagle.of  et backdoor.Win32 si c'est comme ça qu'il s'appel, j'ai fait une analyse en ligne avec kaspersky j'ai enregistrer le rapport et j'ai vu que certaine personne pouvait resoudre le probleme grace a ce rapport donc si quelqu'in veut bien jeter un oeil au mien je lui en serait trés reconnaisant parce-que je ne peut plus faire grand chose :s

merci d'avance

a+

Comment supprimer un virus backdoor.Win32

18 réponses

Discussions similaires

Newsletters