pc infecté,pub, registre modifié..help please Résolu/Fermé

Question

bonjour à tous,
je viens de faire un scan avec spybot qui m'indique pas mal d'infections, j'ai avira comme antivirus qui ne m'a rien détecté et winpatrol qui n'a rien vu venir non plus apparemment, pourtant en effectuant une vérification avec spybot je constate des modifications du registre et pas mal d'éléments infectés.
Je recommence à avoir des pub intempestives au sujet  d'infection pc et j'ai déjà eu ce problème il y a peu de temps, problème qui m'a couté un nettoyage complet et une remise a zero de mon pc chez un depanneur car je n'ai pas le cd d'installation xp,  en fait mon pc était infecté par trojans, rootkit , code heurt et ce même type de virus qui ont fini par prendre possession de mon pc (fichiers corrompus, logiciels innutilisables, adresse ip bloquée et plus de connexion jusqu'à ca que j'arrive à me faire aider pour récupèrer une connexion alors que j'ai cherché de l'aide sur un forum par le biais de qui j'ai suivi les conseils de faire un rapport Hidjack this et un scan en ligne avec panda malheureusement suite à ce scan en ligne j'ai perdu totalement ma connexion et j'avais un message disant que mon systeme allais fermer dans 30sec j'ai essayé de faire ce que j'ai pu et mon pc a definitivement planté donc direction dépanneur)
voilà, je recherche de l'aide sur votre forum car lorsque j'ai voulu revenir vers la personne qui m'a gentillement prêté attention je ne pouvai plus y accèder hors peut-être que je n'ai pas été prise au sérieux n'ayant plus de connexion et pas d'autre pc je n'ai pas pu les tenir informé pendant 1bonne semaine.. en bref je ne suis pas une pro de l'informatique mais je sais que j'ai tout intérêt à résoudre ce problême avant qu'il n'empire donc si quelqu'un peut m'aider je vous en serai vraiment très reconnaissante.Merci d'avance
RE: je dois peut-ètre ajouter j'ai reçu des message via msn de la part de mes amis qui n'étaient pas connectés me proposant d'accepter de partager des fichiers hors je n'ai pas accepté mais je ne suis pas seule à utiliser mon pc et mon ami a déjà accepté ce message mais n'a rien reçu comme fichier..

moK´s@ · Answer

salut sicat,

ca parait desastreux vu comme ca...

Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)


puis 

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

et 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! 

hijack this :

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

@+

bon courrage

sicat · Answer

merci pour ton aide donc je te poste le repport avec navilogue parcontre lors de la recherche du coup je n'ai pas arrêté d'avoir des messages signalant code heurt crypted de la part de mon antivirus avira mais je les ai tous ignoré pour suivre uniquement tes consignes tes consignes..
voici le premier  rapport en espèrant que ce ne soit pas si désatreux..
Search Navipromo version 2.0.5 commencé le 21/07/2007 à 16:23:29,73
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\PackardBell\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :


Processus caché(s) dans C:\WINDOWS\system32 :



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Lanconfig trouvé !  
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
C:\WINDOWS\system32\lxxdtgxxd.dat trouvé !
** 
C:\WINDOWS\system32\lxxdtgxxd.dat trouvé !
*** 
**** 
C:\WINDOWS\system32\lxxdtgxxd_navps.dat trouvé !
***** 
****** 
******* 
******** 

3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 21/07/2007 à 16:26:42,28 ***

sicat · Answer

je te poste ici le rapport fix
MSN_Fix 1.337  
 
C:\Documents and Settings\PackardBell\Bureau\MSNFix\MSNFix 
Fix exécuté le 21/07/2007 - 16:36:08,50 By PackardBell 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\WINDOWS\_default.pif  
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\WINDOWS\_default.pif   
 
 
 
************************ Nettoyage du registre 
 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 21072007_16372290.zip
 
                      Info ... Info .... Info .... Info .... Info .... Info    
 
Le groupe  "Casahack Security Team" propose une copie de MSNFix sous le nom de MSN_reg   
Ce groupe n'est et n'a jamais été associé à MSNFix   
l'outil diffusé sous l appellation MSN_reg par Net-Viper n est qu'une copie de MSNFix
Alerte diffusée le 14 juillet http://sosvirus.changelog.fr/Alerte_copieur.html
 
MSNFix ne dispose d'auncun site de téléchargement miroir
Seule la version téléchargée à partir de changelog.fr peut être estampillée officielle.
 
                      Info ... Info .... Info .... Info .... Info .... Info    
 
------------------------------------------------------------------------  
Auteur : !aur3n7             Contact: https://www.aceboard.fr/     
------------------------------------------------------------------------   
Commande ECHO d‚sactiv‚e.
---------------------------------------------   END   ---------------------------------------------

moK´s@ · Answer

re,

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau. 

post le rapport

@+

sicat · Answer

re,
voici le rapport de nettoyage navilog
Clean Navipromo version 2.0.5 commencé le 21/07/2007 à 16:57:49,84

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)
 

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\PackardBell\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\PackardBell\Local Settings\Temp effectué !

 
*** Sauvegarde du registre vers dossier Backupnavi*** 
 
 
sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

* 
C:\WINDOWS\System32\lxxdtgxxd.dat trouvé !
Copie C:\WINDOWS\system32\lxxdtgxxd.dat réalise avec succes !
C:\WINDOWS\system32\lxxdtgxxd.dat supprimé !

** 
*** 
**** 
C:\WINDOWS\System32\lxxdtgxxd_navps.dat trouvé !
Copie C:\WINDOWS\system32\lxxdtgxxd_navps.dat réalise avec succes !
C:\WINDOWS\system32\lxxdtgxxd_navps.dat supprimé !

***** 
C:\WINDOWS\System32\lxxdtgxxd_nav.dat trouvé !
Copie C:\WINDOWS\system32\lxxdtgxxd_nav.dat réalise avec succes !
C:\WINDOWS\system32\lxxdtgxxd_nav.dat supprimé !

****** 
******* 
******** 

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !

*** Nettoyage termine le 21/07/2007 à 17:03:27,42 ***


Sinon même probleme avec mon antivirus lors du nettoyage et j'ai continué de l'ignoré..
J'ai posté le rapport msn fix que tu m'as demandé de faire et ensuite avant de t'envoyer ce 2eme rapport navilog j'ai tenté de suivre ta procédure concernant SDFix mais je n'arriv pas à redémarrer en mode sans échec lorsque je presse f8 comme tu me l'a demandé il me propose de redémarrer sur mon disque dur ou sur mon lecteur cd j'avais déjà réussi à le redémarrer en mode ss echec manuellement mais je ne me souviens plus de la procédure si tu peux m'aider aussi là dessus..Merci..
autre chose est-ce mon antivirus était corrompu car il n'apparait plus je me demande s'il a été nettoyé du coup..

moK´s@ · Answer

re,

ok c´est bon pour navilog get msn fix...

pour le mode sans echec :

http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

note bien comment ca se déroule car sinon tu auras des problemes pour revenir en mode normal


@+

sicat · Answer

voici le rapport SDFix
SDFix: Version 1.92

Run by PackardBell on 21/07/2007 at 17:28

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\PACKAR~1\Bureau\DOSSIE~1\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------


Files with Hidden Attributes:

C:\Program Files\BillP Studios\WinPatrol\_Setup.dll
C:\Program Files\BillP Studios\WinPatrol\Setup.exe

                                 Finished 
 parcontre j'ai une alerte de winpatrol comme quoi scotty a détecté une modification dans le fichier HOSTS emplacement win\syst32\drivers\etc\hosts et me propose de l'accepter ou de la refuser je peux également désactiver la surveillance de ce fichier je ne sais pas trop quoi faire si tu peux me conseiller..
Merci

moK´s@ · Answer

re,

fais ceci :

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici

sicat · Answer

enfait pour winpatrol j'ai accepté la modification jespère avoir birn fait j'ai consulté l'ancien fichier qui regroupait enormément d'adresses ip de différentes très mauvaises adresses et le nouveau fichiers qui ne signalait qu'une adresse ip appelée localhost

moK´s@ · Answer

oui tu as bien fais je pense que c´est lié au passge de navilog...

passe clean

sicat · Answer

ok merci je te poste ici le rapport Hijaxkthis et je m'occup de clean parcontre mon antivirus continue dès que je fais des scans et les pub securité reviennent enfin c normal je pense étant donné qu'on a pas terminé..
voilà le rapport
Logfile of HijackThis v1.99.1
Scan saved at 18:11:41, on 21/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.5.19.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

sicat · Answer

voici pour le rapport de clean c tout ce que j'ai..
 21/07/2007 a 18:18:22,89 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport !

moK´s@ · Answer

ok j´attends clean 

apres on fera autre chose..

sicat · Answer

j'ai un message de mon antivirus disant c:\progfiles\...\hijackthis vf.exe the heuristic detected a suspicious file (PCK/Dumped) soit il détecte un virus dans hijackthis et c'est arrivé tout à l'heure lors du scan hijack je l'ignore mais je me demande si j'ai pas tout intérêt à virer mon antivirus qui m'a l'air d'être sous mauvais contrôle il se manifeste uniquement lors des scans comme s'ils le dérangeaient alors qu'il ne bouge pas autrement de plus mon icone avais disparu tout à l'heure et a réapparu au dernier redémarrage..??

moK´s@ · Answer

re,

c´est antivir c´est ca?

ignore le pour le moment...

fais ceci :

Télécharge LopxpMH sur ton Bureau.

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir.

@+

sicat · Answer

mon antivirus c'est avira antivir voici le rapport LopxpMH Rapport lopxpMH2 version 2.0 fait à 18:40:10,07 le 21/07/2007 C:\Documents and Settings\PackardBell ****************************************** ## Répertoires Application Data Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\Documents and Settings\Administrateur\Application Data 12/07/2007 14:36 . 12/07/2007 14:36 .. 12/07/2007 14:36 Microsoft 12/07/2007 14:36 62 desktop.ini 1 fichier(s) 62 octets 3 Rép(s) 68 711 014 400 octets libres Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data 12/07/2007 14:36 . 12/07/2007 14:36 .. 12/07/2007 14:36 Microsoft 12/07/2007 14:38 2 128 656 IconCache.db 1 fichier(s) 2 128 656 octets 3 Rép(s) 68 711 010 304 octets libres Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\Documents and Settings\All Users\Application Data 12/07/2007 13:50 . 12/07/2007 13:50 .. 12/07/2007 21:02 AntiVir PersonalEdition Classic 17/07/2007 18:06 Apple Computer 12/07/2007 15:02 CyberLink 12/07/2007 22:54 Google 21/07/2007 14:10 HP 12/07/2007 13:50 Microsoft 12/07/2007 21:37 MSN6 21/07/2007 14:04 Sonic 13/07/2007 00:27 Spybot - Search & Destroy 12/07/2007 21:19 305 addr_file.html 12/07/2007 13:51 62 desktop.ini 21/07/2007 13:51 1 088 hpzinstall.log 3 fichier(s) 1 455 octets 11 Rép(s) 68 711 010 304 octets libres Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\Documents and Settings\Default User\Application Data 12/07/2007 13:50 . 12/07/2007 13:50 .. 12/07/2007 13:50 Microsoft 12/07/2007 13:51 62 desktop.ini 1 fichier(s) 62 octets 3 Rép(s) 68 711 010 304 octets libres Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 12/07/2007 13:51 . 12/07/2007 13:51 .. 0 fichier(s) 0 octets 2 Rép(s) 68 711 010 304 octets libres Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\Documents and Settings\LocalService\Application Data 12/07/2007 13:43 . 12/07/2007 13:43 .. 12/07/2007 13:43 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 68 711 010 304 octets libres Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 12/07/2007 13:43 . 12/07/2007 13:43 .. 12/07/2007 13:43 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 68 711 010 304 octets libres Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\Documents and Settings\NetworkService\Application Data 12/07/2007 13:43 . 12/07/2007 13:43 .. 12/07/2007 13:43 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 68 711 010 304 octets libres Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 12/07/2007 13:43 . 12/07/2007 13:43 .. 12/07/2007 13:43 Microsoft 0 fichier(s) 0 octets 3 Rép(s) 68 711 006 208 octets libres Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\Documents and Settings\PackardBell\Application Data 12/07/2007 13:44 . 12/07/2007 13:44 .. 12/07/2007 20:34 Adobe 12/07/2007 20:28 Ahead 13/07/2007 13:54 CyberLink 21/07/2007 14:11 HP 12/07/2007 13:44 Identities 12/07/2007 15:08 InterTrust 12/07/2007 20:52 Macromedia 12/07/2007 13:44 Microsoft 12/07/2007 21:19 Mozilla 12/07/2007 21:37 MSN6 15/07/2007 16:50 WinPatrol 12/07/2007 13:44 62 desktop.ini 1 fichier(s) 62 octets 13 Rép(s) 68 711 006 208 octets libres Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\Documents and Settings\PackardBell\Local Settings\Application Data 12/07/2007 13:44 . 12/07/2007 13:44 .. 21/07/2007 14:10 ApplicationHistory 12/07/2007 22:54 Google 21/07/2007 14:11 HP 13/07/2007 01:14 Identities 21/07/2007 14:11 IsolatedStorage 12/07/2007 13:44 Microsoft 12/07/2007 21:19 Mozilla 17/07/2007 18:07 OLYMPUS 12/07/2007 20:22 77 312 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 21/07/2007 14:10 134 fusioncache.dat 21/07/2007 13:50 17 032 GDIPFONTCACHEV1.DAT 12/07/2007 13:48 3 712 656 IconCache.db 4 fichier(s) 3 807 134 octets 10 Rép(s) 68 711 006 208 octets libres Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 12/07/2007 13:03 . 12/07/2007 13:03 .. 12/07/2007 13:03 Microsoft 12/07/2007 13:03 62 desktop.ini 1 fichier(s) 62 octets 3 Rép(s) 68 711 006 208 octets libres Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 12/07/2007 13:03 . 12/07/2007 13:03 .. 0 fichier(s) 0 octets 2 Rép(s) 68 711 006 208 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks ****************************************** ## Répertoires de C:\Program Files Le volume dans le lecteur C s'appelle SYSTEM Le numéro de série du volume est F495-07BC Répertoire de C:\Program Files 21/07/2007 18:10 . 21/07/2007 18:10 .. 12/07/2007 15:08 Adobe 12/07/2007 15:04 Ahead 12/07/2007 14:49 Analog Devices 20/07/2007 16:31 AntiVir PersonalEdition Classic 12/07/2007 20:58 17 180 760 antivir_workstation_win7u_en_h.exe 15/07/2007 16:50 BillP Studios 12/07/2007 23:34 BitComet 13/07/2007 02:16 CCleaner 12/07/2007 12:57 ComPlus Applications 12/07/2007 15:02 CyberLink 12/07/2007 15:02 CyberLink DVD Solution 12/07/2007 15:03 Fichiers communs 21/07/2007 13:59 Hewlett-Packard 21/07/2007 18:11 Hijackthis Version Française 21/07/2007 13:59 HP 21/07/2007 14:01 Internet Explorer 12/07/2007 14:46 Messenger 12/07/2007 13:01 microsoft frontpage 12/07/2007 14:43 Movie Maker 19/07/2007 15:22 Mozilla Firefox 12/07/2007 12:57 MSN 12/07/2007 12:57 MSN Gaming Zone 12/07/2007 21:55 MSN Messenger 17/07/2007 18:03 MSXML 4.0 21/07/2007 17:03 Navilog1 12/07/2007 14:43 NetMeeting 17/07/2007 18:05 OLYMPUS 12/07/2007 14:43 Outlook Express 13/07/2007 13:54 Poker 17/07/2007 18:06 QuickTime 12/07/2007 20:42 SAGEM 12/07/2007 20:41 Securitoo 12/07/2007 13:00 Services en ligne 13/07/2007 00:43 Spybot - Search & Destroy 11/03/2004 13:27 40 960 Uninstall_CDS.exe 21/07/2007 17:41 Wanadoo 12/07/2007 15:04 Windows Media Player 12/07/2007 12:57 Windows NT 12/07/2007 13:01 xerox 2 fichier(s) 17 221 720 octets 39 Rép(s) 68 711 002 112 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow * Mozilla Firefox (1 autorisé 2 interdit) ---------- C:\DOCUMENTS AND SETTINGS\PACKARDBELL\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\2L44PSFG.DEFAULT\HOSTPERM.1 ****************************************** ## Registre ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" *************** Fin du rapport ****************

moK´s@ · Answer

re,

avec hijack this coche ceci :

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.5.19.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)

quitte tes applications et navigateur et fix les lignes ci dessus.

par panneau de configuration ajout et supression de programme supprime ceci :

C:\Program Files\BitComet	ools\BitCometBHO

puis :

*Télécharge et installe CCleaner (n'installe pas la barre d'outil Yahoo)

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

- Dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis clic en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs" et tu auras un message pour sauvegarder ta base de registre tu clic "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites, tu pourras les supprimer si ton ordinateur n'a plus de problémes.

- Relance Ccleaner, vas dans l'onglet "nettoyeur" présent sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"

Si tu as besoin d'aide avec Ccleaner, regarde ce tutoriel :
https://kerio.probb.fr/

dis moi quoi

sicat · Answer

re,
j'ai donc supprimé mon programme bitcomet et suivi tes consignes pour le fix hijackthis ainsi que pour ccleaner parcontre  d'erreur est-ce que je dois "fusionner" les inscriptions dans le registre ou juste garder de côté les fichier enregistrés après réparation de ccleaner?
et par rapport à titan poker je l'ai fixé est-ce qu'il est nécessaire que je le supprime aussi?
sinon j'ai toujours les pubs alerte sécurité et le problème avec avira..

moK´s@ · Answer

re,

oui supprime titan poker

oui tu garde de coté les réparation de ccleaner si tu as des problemes dans ce cas tu les fusionne avec le registre 

* FAIS UN CLIC-DROIT sur le lien ci dessous

http://metallica.geekstogo.com/EGDACCESS.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)


* FAIS UN CLIC-DROIT sur le lien ci dessous

http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)


* télécharge Navipromo.zip (par lazzzy)

http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07H.zip
et décompresse-le sur ton bureau

* Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici

https://forum.pcastuces.com/default.asp#haut

à la lettre C

Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.


* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Sélectionne l'option "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
* Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
* Clique exit pour fermer le programme BFU.
Recommence encore une fois

* redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

sicat · Answer

ok bon apparement ça ne veut rien savoir j'ai enregistré les 2liens avc mozilla car IE ne me laissai pas appliquer cette consigne et sinon impossible de telecharger Navipromo lorsque je clique dessus il ne veut pas m'afficher la page sois disant la page a été supprimée..

moK´s@ · Answer

re,

 tu peux me dire exactement c´est quoi comme pubs?

sicat · Answer

enfait g pas pris le temps de regarder chaque fois que ça vient je ferme directement  ça vient j'ai une nouvelle fenetre internet qui souvre avec"ALERTE SECURITE" et qui me di que j'ai tel ou tel virus +une autre petite fenetre type windows qui s'ouvre pour me dire que des virus ont été détectés et je commence également à avoir des pubs "voyance" qui me demande ma date de naissance, en tout cas elles apparaissent aussi bien quand je navigue sur IE que sur Mozilla ..
dès que ça revient je te donne plus de détails si besoin..

moK´s@ · Answer

re,

tu peux faire ca en attendant .

télécharges smitfraudfix :

En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
cela vas générer un rapport.

Copie/colle le rapport sur le forum stp.

sicat · Answer

voilà le rapport smitfraudfix
SmitFraudFix v2.205

Rapport fait à 22:34:09,03, 21/07/2007
Executé à partir de C:\Documents and Settings\PackardBell\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\windows\system32\lxxdtgxxd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PackardBell


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PackardBell\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PACKAR~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 3Com 3C920B-EMB-WNM Integrated Fast Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E1F9366F-F00F-4EF2-8FDA-BE477FC92C39}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E1F9366F-F00F-4EF2-8FDA-BE477FC92C39}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E1F9366F-F00F-4EF2-8FDA-BE477FC92C39}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Sinon je n'ai pour l'instant pas eu de pubs depuis ton dernier message parcontre lors du telechargement avira s'est encore manifesté..

moK´s@ · Answer

toujours pas de pubs a l´horizon?

sicat · Answer

là j'ai eu des pubs mais différentes de celles d'alerte securité; c'était de spartoo.com "le meilleur de la chaussure" + une autre "comparez les prix, votre voyage au meilleur prix en un clic" de voyage-facile.com et depuis mozilla sinon je suis sur IE pour le forum et pour le moment R.A.S de ce côté..

moK´s@ · Answer

sur ie tu nás pas de pub c´est ca?

sicat · Answer

non pas depuis environ 2bonnes heures on va dire..

moK´s@ · Answer

ou est ce que tu as eu les pubs de spartoo.com "le meilleur de la chaussure" + une autre "comparez les prix, votre voyage au meilleur prix en un clic" de voyage-facile.com?

sicat · Answer

sur mozilla je faisais des recherches qui n'ont aucun rapport avec ça enfait je cherchais des infos sur un projet  que j'ai et j'ai parcouru quelques discussions à ce sujet sur des sites genre apce où les gens échangent et sinon j'ai parcouru un arcticle sur le sujet qui m'intéresse sur www.pic-inter.com à partir duquel j'ai eu une fenêtre de pub qui s'est ouverte.. sinon ces 2dernières sont  le genre de pub qui peuvent me concerner ça m'arrive d'acheter en ligne, et dernièrement en tout cas depuis que j'ai récupèré mon pc j'ai parcouru pas mal de sites de voyage mais plutôt last-minute ou marmara mais pas celui -ci..

moK´s@ · Answer

oui je voie

y a plus  d´infection en faite

dans mozilla tu fais outil et options et dans l´onglet contenu verifie que tu as de coché ceci :

bloquer les fenetre pop up

puis tu peux aussi telecharger ceci qui va s´integrer a firefox :

adblock plus

dis moi quoid

puis fais ce scan pour verifier :

* télécharge AVG Anti-Spyware (ewido)

https://www.avg.com/en-ww/free-antivirus-download
http://www.infos-du-net.com/telecharger/Ewido-Security-Suite,0301-734.html
* tu l'installes

* lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente
si tu n'arrives pas à le mettre à jour prends ici les màj
http://downloads.ewido.net/avgas-signatures-full-current.exe

Sur la page "analyse":
•- tu choisis d'abord l'onglet "paramètres".
- sous « Comment réagir » clic sur « Actions recommandées » et dans le menu déroulant, choisir « Supprimer » 

Copie Et colle le rapport ici 

Ps : une fois le scan terminé tu supprime bien tout ce qu´il a trouvé.

1>tu le mets a jour > click sur l´onglet mis a jour puis commencer la mise a jour.
2>tu click sur l´onglet analyse puis sur le sous onglet parametre >comment reagir tu click sur ce que tu voie en dessous en bleu et tu regle sur supprimer. 
3>a droite "rapports" tu coche la case "généré un rapport a chaque analyse.

puis tu lance l´analyse tu click sur le sous onglet analyse puis analyse complete du systeme


a la fin tu post le rapport

sicat · Answer

j'ai retrouvé dans l'historique de mozilla le genre de fenêtre securité qui s'affichent;
ex: dans un encart bleu typ windoxs j'ai eu "Spyware-Secure.com dit  avertissement la perte de vitesse de votre ordinateur peut s'expliquer par la présence d'espiogiciels ou de publiciels.Spyware secure analyse votre system GRATUITEMENT telechargez spyware secure sans aucun frais puis une fenêtre internet qui me marque en gros alerte securité me disant la même chose avec une fausse fenêtre disant que mon ordinateur cours un risque et dessous j'ai un onglet avec marquer en groscliquez pour continuer..

moK´s@ · Answer

oui efface l´historique, spywaresecure, c´est ce que l´on a supprimé avec navilog...

telecharge ceci :

https://freewares-tutos.blogspot.com/2006/10/atf-cleaner.html

y a un onglet pour ie et un autre pour firefox et meme opera...

@+

sicat · Answer

ok voici le rapport
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	01:08:52 22/07/2007

 + Résultat de l'analyse:	



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé.
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé.
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Erreur lors du nettoyage.
HKU\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé.
C:\Documents and Settings\PackardBell\Cookies\packardbell@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\PackardBell\Cookies\packardbell@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\PackardBell\Cookies\packardbell@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.6:C:\Documents and Settings\PackardBell\Application Data\Mozilla\Firefox\Profiles\2l44psfg.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
:mozilla.7:C:\Documents and Settings\PackardBell\Application Data\Mozilla\Firefox\Profiles\2l44psfg.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\PackardBell\Cookies\packardbell@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.


Fin du rapport

donc seul 1erreur lors du nettoyage d'un adware generic non nettoyé apparemment sinon avira continuait de se manifester pendant l'analyse et je continue de l'ignorer..

moK´s@ · Answer

re,

passe un coup de spybot

sicat · Answer

ok tout d'abord merci encore de suivre tout ça d'aussi prêt..
donc j'ai passé 2fois spybot avec un redémarrage car il a une erreur qu'il n'a pas pu corriger même la seconde fois c'est "LOG Activity:SchedLgU.txt c:\windows\SchedLgV.txt " et en revenant sur le forum par IE je viens d'avoir à nouveau 2fois  le message d'alerte securité dont jet'ai parlé tout à l'heure(celui que j'ai retrouvé dans l'historique de mozzilla)
bref je te poste mes rapports spybot (sachant que pour le premier il a détecté 49 pb dont 41 qu'il avait détecté  qui ont réapparu certainement parce que j'ai préféré ne  pas les corriger avant de  demander de l'aide)
_
22.07.2007 01:22:49 - ##### check started #####
22.07.2007 01:22:49 - ### Version: 1.4
22.07.2007 01:22:49 - ### Date: 22/07/2007 01:22:49
22.07.2007 01:22:49 - ##### checking bots #####
22.07.2007 01:32:42 - ##### checking usage tracking #####
22.07.2007 01:32:42 - found: Common Dialogs History 16 files
22.07.2007 01:32:42 - found: Log  Activity: SchedLgU.Txt SchedLgU.Txt
22.07.2007 01:32:42 - found: Log  Shutdown: System32\wbem\logs\wbemess.log System32\wbem\logs\wbemess.log
22.07.2007 01:32:42 - found: Log  Shutdown: System32\wbem\logs\winmgmt.log System32\wbem\logs\winmgmt.log
22.07.2007 01:32:42 - found: Log  Shutdown: System32\wbem\logs\wmiprov.log System32\wbem\logs\wmiprov.log
22.07.2007 01:32:43 - found: Adobe Acrobat Reader 5 Recent file #1 
22.07.2007 01:32:43 - found: Adobe Acrobat Reader 5 Recent file #2 
22.07.2007 01:32:43 - found: Ahead Nero Burning Rom Browser directory 
22.07.2007 01:32:43 - found: Ahead Nero Burning Rom Working directory 
22.07.2007 01:32:43 - found: Internet Explorer Download directory 
22.07.2007 01:32:43 - found: Internet Explorer User agent 
22.07.2007 01:32:43 - found: Internet Explorer User agent 
22.07.2007 01:32:43 - found: Internet Explorer User agent 
22.07.2007 01:32:43 - found: Internet Explorer User agent 
22.07.2007 01:32:43 - found: Internet Explorer User agent 
22.07.2007 01:32:43 - found: Internet Explorer AutoComplete data 3 fichiers
22.07.2007 01:32:43 - found: MS Management Console Recent command list 2 fichiers
22.07.2007 01:32:43 - found: MS Media Player Recent open directory 
22.07.2007 01:32:44 - found: MS Media Player  Application data file (global) 
22.07.2007 01:32:44 - found: MS Media Player Last opened playlist 
22.07.2007 01:32:44 - found: MS Media Player Last opened playlist 
22.07.2007 01:32:44 - found: MS Media Player Last opened playlist 
22.07.2007 01:32:44 - found: MS Media Player Last opened playlist 
22.07.2007 01:32:44 - found: MS Media Player Client ID 
22.07.2007 01:32:44 - found: MS Media Player Client ID 
22.07.2007 01:32:44 - found: MS Direct3D Most recent application 
22.07.2007 01:32:44 - found: MS Direct3D Most recent application 
22.07.2007 01:32:44 - found: MS DirectDraw Most recent application 
22.07.2007 01:32:44 - found: MS Search Assistant Typed search terms history 
22.07.2007 01:32:45 - found: Windows Drivers installation paths 
22.07.2007 01:32:45 - found: Windows.OpenWith Open with list - .AVI extension 4 fichiers
22.07.2007 01:32:45 - found: Windows.OpenWith Open with list - .BMP extension 3 fichiers
22.07.2007 01:32:45 - found: Windows Explorer Recent wallpaper list 38 fichiers
22.07.2007 01:32:45 - found: Windows Explorer Stream history 7 fichiers
22.07.2007 01:32:45 - found: Windows Explorer User Assistant history IE 8 fichiers
22.07.2007 01:32:45 - found: Windows Explorer User Assistant history files 105 fichiers
22.07.2007 01:32:45 - found: Windows Explorer Last visited history 5 fichiers
22.07.2007 01:32:45 - found: Windows Explorer Recent file global history 
22.07.2007 01:32:45 - found: Windows Media SDK Computer name 
22.07.2007 01:32:45 - found: Windows Media SDK Computer name 
22.07.2007 01:32:45 - found: Windows Media SDK Computer name 
22.07.2007 01:32:45 - found: Windows Media SDK Unique ID 
22.07.2007 01:32:45 - found: Windows Media SDK Unique ID 
22.07.2007 01:32:45 - found: Windows Media SDK Unique ID 
22.07.2007 01:32:45 - found: Windows Media SDK Volume serial number 
22.07.2007 01:32:45 - found: Windows Media SDK Volume serial number 
22.07.2007 01:32:45 - found: Windows Media SDK Volume serial number 
22.07.2007 01:32:45 - found: Cookie Cookie (23)
22.07.2007 01:32:45 - found: Cache Cache (1097)
22.07.2007 01:32:45 - ##### check finished #####

__________________________________________________________________________

--- Report generated: 2007-07-22 01:32 ---

Common Dialogs: History  (16 files) (Clé du registre, nothing done)
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log:  Activity: SchedLgU.Txt (Sauver le fichier, nothing done)
  C:\WINDOWS\SchedLgU.Txt

Log:  Shutdown: System32\wbem\logs\wbemess.log (Sauver le fichier, nothing done)
  C:\WINDOWS\System32\wbem\logs\wbemess.log

Log:  Shutdown: System32\wbem\logs\winmgmt.log (Sauver le fichier, nothing done)
  C:\WINDOWS\System32\wbem\logs\winmgmt.log

Log:  Shutdown: System32\wbem\logs\wmiprov.log (Sauver le fichier, nothing done)
  C:\WINDOWS\System32\wbem\logs\wmiprov.log

Adobe Acrobat Reader 5: Recent file #1 (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Adobe\Acrobat Reader\5.0\AVGeneral\cRecentFiles\c1

Adobe Acrobat Reader 5: Recent file #2 (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Adobe\Acrobat Reader\5.0\AVGeneral\cRecentFiles\c2

Ahead Nero Burning Rom: Browser directory (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Ahead\Nero - Burning Rom\Settings\BrowserDir!=

Ahead Nero Burning Rom: Working directory (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Ahead\Nero - Burning Rom\Settings\WorkingDir!=

Internet Explorer: Download directory (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Internet Explorer\Download Directory!=

Internet Explorer: User agent (Modification du registre, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: AutoComplete data  (3 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Internet Explorer\IntelliForms\SPW

MS Management Console: Recent command list  (2 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Microsoft Management Console\Recent File List

MS Media Player: Recent open directory (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\MediaPlayer\Player\Settings\OpenDir!=

MS Media Player:  Application data file (global)  () (Fichier, nothing done)
  C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\wmplibrary_v_0_12.db

MS Media Player: Last opened playlist (Valeur du registre, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\MediaPlayer\Preferences\LastPlaylist

MS Media Player: Last opened playlist (Valeur du registre, nothing done)
  HKEY_USERS\S-1-5-19\Software\Microsoft\MediaPlayer\Preferences\LastPlaylist

MS Media Player: Last opened playlist (Valeur du registre, nothing done)
  HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Preferences\LastPlaylist

MS Media Player: Last opened playlist (Valeur du registre, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\MediaPlayer\Preferences\LastPlaylist

MS Media Player: Client ID (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-19\Software\Microsoft\MediaPlayer\Player\Settings\Client ID!=

MS Media Player: Client ID (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Player\Settings\Client ID!=

MS Direct3D: Most recent application (Modification du registre, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name!=

MS Direct3D: Most recent application (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Direct3D\MostRecentApplication\Name!=

MS DirectDraw: Most recent application (Modification du registre, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=

MS Search Assistant: Typed search terms history (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Search Assistant\ACMru

Windows: Drivers installation paths (Modification du registre, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\Installation Sources!=

Windows.OpenWith: Open with list - .AVI extension  (4 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.AVI\OpenWithList

Windows.OpenWith: Open with list - .BMP extension  (3 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BMP\OpenWithList

Windows Explorer: Recent wallpaper list  (38 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\MRU

Windows Explorer: Stream history  (7 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

Windows Explorer: User Assistant history IE  (8 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files  (105 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: Last visited history  (5 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: Recent file global history (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Media SDK: Computer name (Modification du registre, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Unique ID (Modification du registre, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Unique ID (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Unique ID (Modification du registre, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Volume serial number (Valeur du registre, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Windows Media SDK: Volume serial number (Valeur du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Windows Media SDK: Volume serial number (Valeur du registre, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Cookie: Cookie (23) (Cookie, nothing done)
  

Cache: Cache (1097) (Cache, nothing done)
  

Félicitations!: Aucun mouchard n'a été trouvé. ()
  


--- Spybot - Search & Destroy version: 1.4  (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-07-13 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-07-18 Includes\Cookies.sbi (*)
2007-05-30 Includes\Dialer.sbi (*)
2007-07-18 Includes\DialerC.sbi (*)
2007-07-11 Includes\Hijackers.sbi (*)
2007-07-18 Includes\HijackersC.sbi (*)
2007-07-11 Includes\Keyloggers.sbi (*)
2007-07-18 Includes\KeyloggersC.sbi (*)
2007-07-18 Includes\Malware.sbi (*)
2007-07-18 Includes\MalwareC.sbi (*)
2007-07-11 Includes\PUPS.sbi (*)
2007-07-18 Includes\PUPSC.sbi (*)
2007-07-18 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-07-18 Includes\SecurityC.sbi (*)
2007-07-11 Includes\Spybots.sbi (*)
2007-07-18 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti (*)
2007-07-18 Includes\Trojans.sbi (*)
2007-07-18 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll

________________________________________________________________________________

22.07.2007 01:37:53 - ##### check started #####
22.07.2007 01:37:53 - ### Version: 1.4
22.07.2007 01:37:53 - ### Date: 22/07/2007 01:37:53
22.07.2007 01:37:54 - ##### checking bots #####
22.07.2007 01:52:41 - ##### checking usage tracking #####
22.07.2007 01:52:41 - found: Log  Activity: SchedLgU.Txt SchedLgU.Txt
22.07.2007 01:52:41 - found: Log  Shutdown: System32\wbem\logs\wbemess.log System32\wbem\logs\wbemess.log
22.07.2007 01:52:41 - found: Log  Shutdown: System32\wbem\logs\winmgmt.log System32\wbem\logs\winmgmt.log
22.07.2007 01:52:41 - found: Log  Shutdown: System32\wbem\logs\wmiprov.log System32\wbem\logs\wmiprov.log
22.07.2007 01:52:55 - found: Windows Explorer User Assistant history IE 1 fichiers
22.07.2007 01:52:55 - found: Windows Explorer User Assistant history files 1 fichiers
22.07.2007 01:52:56 - ##### check finished #####

________________________________________________________________________________

--- Report generated: 2007-07-22 01:52 ---

Log:  Activity: SchedLgU.Txt (Sauver le fichier, nothing done)
  C:\WINDOWS\SchedLgU.Txt

Log:  Shutdown: System32\wbem\logs\wbemess.log (Sauver le fichier, nothing done)
  C:\WINDOWS\System32\wbem\logs\wbemess.log

Log:  Shutdown: System32\wbem\logs\winmgmt.log (Sauver le fichier, nothing done)
  C:\WINDOWS\System32\wbem\logs\winmgmt.log

Log:  Shutdown: System32\wbem\logs\wmiprov.log (Sauver le fichier, nothing done)
  C:\WINDOWS\System32\wbem\logs\wmiprov.log

Windows Explorer: User Assistant history IE  (1 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files  (1 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Félicitations!: Aucun mouchard n'a été trouvé. ()
  


--- Spybot - Search & Destroy version: 1.4  (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-07-13 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-07-18 Includes\Cookies.sbi (*)
2007-05-30 Includes\Dialer.sbi (*)
2007-07-18 Includes\DialerC.sbi (*)
2007-07-11 Includes\Hijackers.sbi (*)
2007-07-18 Includes\HijackersC.sbi (*)
2007-07-11 Includes\Keyloggers.sbi (*)
2007-07-18 Includes\KeyloggersC.sbi (*)
2007-07-18 Includes\Malware.sbi (*)
2007-07-18 Includes\MalwareC.sbi (*)


___________________________________________________________________________

--- Report generated: 2007-07-22 01:35 ---

Common Dialogs: History  (16 files) (Clé du registre, fixed)
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log:  Activity: SchedLgU.Txt (Sauver le fichier, fixing failed)
  C:\WINDOWS\SchedLgU.Txt

Log:  Shutdown: System32\wbem\logs\wbemess.log (Sauver le fichier, fixed)
  C:\WINDOWS\System32\wbem\logs\wbemess.log

Log:  Shutdown: System32\wbem\logs\winmgmt.log (Sauver le fichier, fixed)
  C:\WINDOWS\System32\wbem\logs\winmgmt.log

Log:  Shutdown: System32\wbem\logs\wmiprov.log (Sauver le fichier, fixed)
  C:\WINDOWS\System32\wbem\logs\wmiprov.log

Adobe Acrobat Reader 5: Recent file #1 (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Adobe\Acrobat Reader\5.0\AVGeneral\cRecentFiles\c1

Adobe Acrobat Reader 5: Recent file #2 (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Adobe\Acrobat Reader\5.0\AVGeneral\cRecentFiles\c2

Ahead Nero Burning Rom: Browser directory (Modification du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Ahead\Nero - Burning Rom\Settings\BrowserDir!=

Ahead Nero Burning Rom: Working directory (Modification du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Ahead\Nero - Burning Rom\Settings\WorkingDir!=

Internet Explorer: Download directory (Modification du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Internet Explorer\Download Directory!=

Internet Explorer: User agent (Modification du registre, fixed)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, fixed)
  HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, fixed)
  HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, fixed)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: AutoComplete data  (3 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Internet Explorer\IntelliForms\SPW

MS Management Console: Recent command list  (2 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Microsoft Management Console\Recent File List

MS Media Player: Recent open directory (Modification du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\MediaPlayer\Player\Settings\OpenDir!=

MS Media Player:  Application data file (global)  () (Fichier, fixed)
  C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\wmplibrary_v_0_12.db

MS Media Player: Last opened playlist (Valeur du registre, fixed)
  HKEY_USERS\.DEFAULT\Software\Microsoft\MediaPlayer\Preferences\LastPlaylist

MS Media Player: Last opened playlist (Valeur du registre, fixed)
  HKEY_USERS\S-1-5-19\Software\Microsoft\MediaPlayer\Preferences\LastPlaylist

MS Media Player: Last opened playlist (Valeur du registre, fixed)
  HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Preferences\LastPlaylist

MS Media Player: Last opened playlist (Valeur du registre, fixed)
  HKEY_USERS\S-1-5-18\Software\Microsoft\MediaPlayer\Preferences\LastPlaylist

MS Media Player: Client ID (Modification du registre, fixed)
  HKEY_USERS\S-1-5-19\Software\Microsoft\MediaPlayer\Player\Settings\Client ID!=

MS Media Player: Client ID (Modification du registre, fixed)
  HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Player\Settings\Client ID!=

MS Direct3D: Most recent application (Modification du registre, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name!=

MS Direct3D: Most recent application (Modification du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Direct3D\MostRecentApplication\Name!=

MS DirectDraw: Most recent application (Modification du registre, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=

MS Search Assistant: Typed search terms history (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Search Assistant\ACMru

Windows: Drivers installation paths (Modification du registre, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\Installation Sources!=

Windows.OpenWith: Open with list - .AVI extension  (4 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.AVI\OpenWithList

Windows.OpenWith: Open with list - .BMP extension  (3 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BMP\OpenWithList

Windows Explorer: Recent wallpaper list  (38 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\MRU

Windows Explorer: Stream history  (7 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

Windows Explorer: User Assistant history IE  (8 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files  (105 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: Last visited history  (5 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: Recent file global history (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Media SDK: Computer name (Modification du registre, fixed)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Modification du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Modification du registre, fixed)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Unique ID (Modification du registre, fixed)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Unique ID (Modification du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Unique ID (Modification du registre, fixed)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Volume serial number (Valeur du registre, fixed)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Windows Media SDK: Volume serial number (Valeur du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Windows Media SDK: Volume serial number (Valeur du registre, fixed)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Cookie: Cookie (23) (Cookie, fixed)
  

Cache: Cache (1097) (Cache, fixed)
  

Félicitations!: Aucun mouchard n'a été trouvé. ()
  


--- Spybot - Search & Destroy version: 1.4  (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-07-13 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-07-18 Includes\Cookies.sbi (*)
2007-05-30 Includes\Dialer.sbi (*)
2007-07-18 Includes\DialerC.sbi (*)
2007-07-11 Includes\Hijackers.sbi (*)
2007-07-18 Includes\HijackersC.sbi (*)
2007-07-11 Includes\Keyloggers.sbi (*)
2007-07-18 Includes\KeyloggersC.sbi (*)
2007-07-18 Includes\Malware.sbi (*)
2007-07-18 Includes\MalwareC.sbi (*)
2007-07-11 Includes\PUPS.sbi (*)
2007-07-18 Includes\PUPSC.sbi (*)
2007-07-18 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-07-18 Includes\SecurityC.sbi (*)
2007-07-11 Includes\Spybots.sbi (*)
2007-07-18 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti (*)
2007-07-18 Includes\Trojans.sbi (*)
2007-07-18 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll

________________________________________________________________________

--- Report generated: 2007-07-22 01:53 ---

Log:  Activity: SchedLgU.Txt (Sauver le fichier, fixing failed)
  C:\WINDOWS\SchedLgU.Txt

Log:  Shutdown: System32\wbem\logs\wbemess.log (Sauver le fichier, fixed)
  C:\WINDOWS\System32\wbem\logs\wbemess.log

Log:  Shutdown: System32\wbem\logs\winmgmt.log (Sauver le fichier, fixed)
  C:\WINDOWS\System32\wbem\logs\winmgmt.log

Log:  Shutdown: System32\wbem\logs\wmiprov.log (Sauver le fichier, fixed)
  C:\WINDOWS\System32\wbem\logs\wmiprov.log

Windows Explorer: User Assistant history IE  (1 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files  (1 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Félicitations!: Aucun mouchard n'a été trouvé. ()
  


--- Spybot - Search & Destroy version: 1.4  (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-07-13 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-07-18 Includes\Cookies.sbi (*)
2007-05-30 Includes\Dialer.sbi (*)
2007-07-18 Includes\DialerC.sbi (*)
2007-07-11 Includes\Hijackers.sbi (*)
2007-07-18 Includes\HijackersC.sbi (*)
2007-07-11 Includes\Keyloggers.sbi (*)
2007-07-18 Includes\KeyloggersC.sbi (*)
2007-07-18 Includes\Malware.sbi (*)
2007-07-18 Includes\MalwareC.sbi (*)
2007-07-11 Includes\PUPS.sbi (*)

moK´s@ · Answer

peux tu reposter un hijack this stp

sicat · Answer

les pubs repartent dont les même "alerte securité" puis à nouveau "horoscope quel est votre signe" puis une nouvelle "~dépêche sécurité informatique Alerte du centre de sécurité "avec page "Spyware secure "avec  Le Monde et google en page et une fenêtre disant attention vos données confidentielles sont menacées votre antivirus n'est pas efficace et un onglet analyse..

sicat · Answer

voilà le rapport c'est avira qui va pas être content..il fait tout pour m'empêcher de faire de scans..

Logfile of HijackThis v1.99.1
Scan saved at 02:34:32, on 22/07/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

moK´s@ · Answer

refais ceci :

double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

sicat · Answer

ok je crois qu'avira me déclare la guerre lol.. il a tout fait pour me faire dévier des manip en plus j'ai voulu me servir du raccourci mais il ne retrouvai plus le fichier j'ai du désinstaller et réinstaller 2fois navilog j'avai renommé navilogsetup mais j'aurai peut dû renommer le raccourci..
Enfin voilà le rapport
Search Navipromo version 2.0.5 commencé le 22/07/2007 à  2:44:20,79
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\PackardBell\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\lxxdtgxxd.dat 
C:\windows\system32\lxxdtgxxd.exe 
c:\WINDOWS\system32\lxxdtgxxd_nav.dat 
c:\WINDOWS\system32\lxxdtgxxd_navps.dat 

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\lxxdtgxxd.exe 


*** Recherche fichiers *** 


C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Lanconfig trouvé !  
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
C:\WINDOWS\system32\lxxdtgxxd.dat trouvé !
** 
C:\WINDOWS\system32\lxxdtgxxd.dat trouvé !
*** 
**** 
C:\WINDOWS\system32\lxxdtgxxd_navps.dat trouvé !
***** 
****** 
******* 
******** 

3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 22/07/2007 à  2:48:04,26 ***

sicat · Answer

à la fin du rapport il ya C:\windows\system32\lxxdtgxxd.dat trouvé et il setrouve que tout à l'heure winpatrol m'a alerté ma demandant si j'acceptais d'ajouter ce fichier au démarrage j'ai accepté j'aurai certainement pas dû mais lorsqu'il s'agit de sytem32 je ne m'aventur pas à prendre des décision en général et là j'ai préféré accepté de manière à ne pas perdre quelque chose d'important alors je ne sais pas si j'ai bien fait je ne sais pas plus lire ces rapports  mais je préfère t'en parler au cas où..

moK´s@ · Answer

non tu n´as pas bien fais...

2)Recherche Heuristique :
*
C:\WINDOWS\system32\lxxdtgxxd.dat trouvé !
**
C:\WINDOWS\system32\lxxdtgxxd.dat trouvé ! 


y fo etre vigilant avec le system 32!!!

si tes protections t´avertissent d´une intrusion surtout concernant le system 32, n´accepte pas, sauf si tu es sur...

avira ne doit pas trop aimer les outils que l´on utilise, je le comprends, c´est un bon anti virus...

bon en attendant fais ceci :

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

post le rapport stp

@+

sicat · Answer

aie dsl j'aurai dû te demander.. bon merci à l'avenir je le saurai..et merci tu me rassure par rapport à avira parce que franchement je commençais à douter..
voilà le rapport
Clean Navipromo version 2.0.5 commencé le 22/07/2007 à  3:17:38,03

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


*** Creation backups fichiers trouvés par Blacklight *** 

Copie vers "C:\Program Files
avilog1\Backupnavi"


*** Suppression des fichiers trouvés avec Blacklight ***

c:\WINDOWS\system32\lxxdtgxxd.dat supprimé ! 
C:\windows\system32\lxxdtgxxd.exe supprimé ! 
c:\WINDOWS\system32\lxxdtgxxd_nav.dat supprimé ! 
c:\WINDOWS\system32\lxxdtgxxd_navps.dat supprimé ! 
 
** 2ème passage ** 
 
C:\WINDOWS\system32\lxxdtgxxd.exe absent ! 
C:\WINDOWS\system32\lxxdtgxxd.dat absent ! 
C:\WINDOWS\system32\lxxdtgxxd_nav.dat absent ! 
C:\WINDOWS\system32\lxxdtgxxd_navps.dat absent ! 
C:\WINDOWS\system32\lxxdtgxxd_navup.dat absent ! 
C:\WINDOWS\system32\lxxdtgxxd_navtmp.dat absent ! 
C:\WINDOWS\system32\lxxdtgxxd_m2s.xml absent ! 


C:\WINDOWS\prefetch\lxxdtgxxd*.pf trouvé ! 
Copie C:\WINDOWS\prefetch\lxxdtgxxd*.pf réalise avec succes !
C:\WINDOWS\prefetch\lxxdtgxxd*.pf supprimé !

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\PackardBell\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\PackardBell\Local Settings\Temp effectué !

 
*** Sauvegarde du registre vers dossier Backupnavi*** 
 
 
sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

* 
** 
*** 
**** 
***** 
****** 
******* 
******** 

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !

*** Nettoyage termine le 22/07/2007 à  3:21:30,03 ***

sicat · Answer

dis moi j'ai remarqué que mon poste avais été coché comme problème résolu c'est le cas?

moK´s@ · Answer

re 

peux tu  refaire l´option 1 de navilog, car je te signal que l´on a supprimé la meme infection au post 5 de ce topic, alors je sais pas si c´est winpatrol qui fout ca merde ou?! mais on va verifier...parce que jamais ca n´arrive ce genre de truc...

sicat · Answer

ok,  winpatrol est censé éviter les intrusions et me demande alors moi c clair je ne suis pas douée pour preuve tout à l'heure mais hormis ses patrouilles il est rare qu'il se manifeste pour ça  c'est vrai que je l'ai installé il y a 3-4jours sous conseil mais je ne le connai pas encore très bien..tu connais tout ça  mieux que moi alors c'est possible,.. voilà le rapport

Search Navipromo version 2.0.5 commencé le 22/07/2007 à  3:36:13,57
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\PackardBell\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/22/07 at 03:36:28.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ..........................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/22/07 at 03:38:14 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 

3)Recherche Certificats :


*** Analyse Terminé le 22/07/2007 à  3:39:02,75 ***

sicat · Answer

bon on y est depuis 15h35 quand même je crois que j'ai un peu abusé de ta bonne volonté je vais peut-être te laisser dormir je ne me suis pas rendue compte de l'heure je reviendrai demain voir si tu es là en tout cas mille merci pour toute l'attention que tu as porté sur mon cas aujourdhui!!
merci moK's@!et bonne nuit!!

sicat · Answer

bonjour moK's@!
si tu es là donc je t'avais posté un rapport de recherche navipromo hier comme demandé  en attendant ta réponse j'ai fais à nouveau une analyse complète avec AVG je te poste le rapport et je vais refaire les manip via CCleaner car avira m'a signalé des intrus dans les fichiers system donc je vais refaire les manip pour voir s'il n'y a pas d'erreur et te poster à nouveaux le rapport  d'une nouvelle recherche navipropmo
voilà pour AVG
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	13:17:56 22/07/2007

 + Résultat de l'analyse:	



C:\Documents and Settings\PackardBell\Cookies\packardbell@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\PackardBell\Cookies\packardbell@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.


Fin du rapport

sicat · Answer

avant de te poster le rapport j'ai des fichiers en quarantaine sur avira que je te reporte ici dont un TR/Dlr Agent 69632 que j'ai mis en quarantaine tout à l'heure a 12h50
TR/Dlr Agent 69632 le 22/07/07 à 12:50 source C:\System volum information\_restore{077DDFD-1184-4508-BD3F-4DB25089B441}\RP17\A0003224.exe
et les 3suivants qui sont en quarantaine je les y ai mis sans faire exprès lors des différents scans que j'ai dû faire car avira se manifestait  sans arrêt et très vite et je l'ignorai à chaque fois mais ceux-là ont été mis en quarantaine par mégarde
PCK\dumped le 22/07/07 à 02:51 source c:\programme files\hijackthis version française\hijackthis vf.exe
HEURT/exploit HTML le 22/07/07 à 02:42  source c:\programme files
avilog1
avilog1.bat
HEURT/exploit HTML le 22/07/07 à 02:40  source c:\programme files
avilog1
avilog1.bat
PCK\dumped le22/07/07 à 02:34 source c:\programme files\hijackthis version française\hijackthis vf.exe

sinon voilà le rapport de la recherche navipromo
Search Navipromo version 2.0.5 commencé le 22/07/2007 à 13:33:29,95
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\PackardBell\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/22/07 at 13:33:42.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ...........................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/22/07 at 13:35:28 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 

3)Recherche Certificats :


*** Analyse Terminé le 22/07/2007 à 13:36:19,51 ***

sicat · Answer

voilà sinon je viens également de repasser spybot voilà le rapport

--- Report generated: 2007-07-22 14:24 ---

Common Dialogs: History  (21 files) (Clé du registre, fixed)
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log:  Activity: SchedLgU.Txt (Sauver le fichier, fixing failed)
  C:\WINDOWS\SchedLgU.Txt

Log:  Shutdown: System32\wbem\logs\wbemess.log (Sauver le fichier, fixed)
  C:\WINDOWS\System32\wbem\logs\wbemess.log

Log:  Shutdown: System32\wbem\logs\winmgmt.log (Sauver le fichier, fixed)
  C:\WINDOWS\System32\wbem\logs\winmgmt.log

Log:  Shutdown: System32\wbem\logs\wmiprov.log (Sauver le fichier, fixed)
  C:\WINDOWS\System32\wbem\logs\wmiprov.log

Internet Explorer: AutoComplete data  (1 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Internet Explorer\IntelliForms\SPW

MS Direct3D: Most recent application (Modification du registre, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name!=

MS DirectDraw: Most recent application (Modification du registre, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name!=

Windows Explorer: User Assistant history IE  (4 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files  (21 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: Last visited history  (4 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: Recent file global history (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Media SDK: Computer name (Modification du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Unique ID (Modification du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Volume serial number (Valeur du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Cookie: Cookie (15) (Cookie, fixed)
  

Cache: Cache (553) (Cache, fixed)
  

Félicitations!: Aucun mouchard n'a été trouvé. ()
  


--- Spybot - Search & Destroy version: 1.4  (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-07-13 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-07-18 Includes\Cookies.sbi (*)
2007-05-30 Includes\Dialer.sbi (*)
2007-07-18 Includes\DialerC.sbi (*)
2007-07-11 Includes\Hijackers.sbi (*)
2007-07-18 Includes\HijackersC.sbi (*)
2007-07-11 Includes\Keyloggers.sbi (*)
2007-07-18 Includes\KeyloggersC.sbi (*)
2007-07-18 Includes\Malware.sbi (*)
2007-07-18 Includes\MalwareC.sbi (*)
2007-07-11 Includes\PUPS.sbi (*)
2007-07-18 Includes\PUPSC.sbi (*)
2007-07-18 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-07-18 Includes\SecurityC.sbi (*)
2007-07-11 Includes\Spybots.sbi (*)
2007-07-18 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti (*)
2007-07-18 Includes\Trojans.sbi (*)
2007-07-18 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll

1 problème n'a pas étérésolu il va se relancer après un redémarrage et je te posterai ce rapport aussi

sicat · Answer

donc j'ai relancé spybot mais il ne peut pas corriger cet élément : Log:  Activity: SchedLgU.Txt (Sauver le fichier, fixing failed) C:\WINDOWS\SchedLgU.Txt

voici les rapports

22.07.2007 14:30:06 - ##### check started #####
22.07.2007 14:30:06 - ### Version: 1.4
22.07.2007 14:30:06 - ### Date: 22/07/2007 14:30:06
22.07.2007 14:30:07 - ##### checking bots #####
22.07.2007 14:44:54 - ##### checking usage tracking #####
22.07.2007 14:44:54 - found: Common Dialogs History 2 files
22.07.2007 14:44:54 - found: Log  Activity: SchedLgU.Txt SchedLgU.Txt
22.07.2007 14:44:54 - found: Log  Shutdown: System32\wbem\logs\wbemess.log System32\wbem\logs\wbemess.log
22.07.2007 14:44:54 - found: Log  Shutdown: System32\wbem\logs\winmgmt.log System32\wbem\logs\winmgmt.log
22.07.2007 14:44:54 - found: Log  Shutdown: System32\wbem\logs\wmiprov.log System32\wbem\logs\wmiprov.log
22.07.2007 14:44:58 - found: Internet Explorer AutoComplete data 1 fichiers
22.07.2007 14:45:07 - found: Windows Explorer User Assistant history IE 1 fichiers
22.07.2007 14:45:07 - found: Windows Explorer User Assistant history files 1 fichiers
22.07.2007 14:45:07 - found: Windows Explorer Last visited history 2 fichiers
22.07.2007 14:45:07 - found: Windows Explorer Recent file global history 
22.07.2007 14:45:08 - found: Cookie Cookie (4)
22.07.2007 14:45:08 - found: Cache Cache (129)
22.07.2007 14:45:08 - ##### check finished #####
--- Report generated: 2007-07-22 14:45 ---

Common Dialogs: History  (2 files) (Clé du registre, fixed)
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log:  Activity: SchedLgU.Txt (Sauver le fichier, fixing failed)
  C:\WINDOWS\SchedLgU.Txt

Log:  Shutdown: System32\wbem\logs\wbemess.log (Sauver le fichier, fixed)
  C:\WINDOWS\System32\wbem\logs\wbemess.log

Log:  Shutdown: System32\wbem\logs\winmgmt.log (Sauver le fichier, fixed)
  C:\WINDOWS\System32\wbem\logs\winmgmt.log

Log:  Shutdown: System32\wbem\logs\wmiprov.log (Sauver le fichier, fixed)
  C:\WINDOWS\System32\wbem\logs\wmiprov.log

Internet Explorer: AutoComplete data  (1 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Internet Explorer\IntelliForms\SPW

Windows Explorer: User Assistant history IE  (1 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files  (1 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: Last visited history  (2 fichiers) (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: Recent file global history (Clé du registre, fixed)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Cookie: Cookie (4) (Cookie, fixed)
  

Cache: Cache (129) (Cache, fixed)
  

Félicitations!: Aucun mouchard n'a été trouvé. ()
  


--- Spybot - Search & Destroy version: 1.4  (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-07-13 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-07-18 Includes\Cookies.sbi (*)
2007-05-30 Includes\Dialer.sbi (*)
2007-07-18 Includes\DialerC.sbi (*)
2007-07-11 Includes\Hijackers.sbi (*)
2007-07-18 Includes\HijackersC.sbi (*)
2007-07-11 Includes\Keyloggers.sbi (*)
2007-07-18 Includes\KeyloggersC.sbi (*)
2007-07-18 Includes\Malware.sbi (*)
2007-07-18 Includes\MalwareC.sbi (*)
2007-07-11 Includes\PUPS.sbi (*)
2007-07-18 Includes\PUPSC.sbi (*)
2007-07-18 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-07-18 Includes\SecurityC.sbi (*)
2007-07-11 Includes\Spybots.sbi (*)
2007-07-18 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti (*)
2007-07-18 Includes\Trojans.sbi (*)
2007-07-18 Includes\TrojansC.sbi (*)
2007-06-06 Plugins\TCPIPAddress.dll


__________________________________________________________________________

--- Report generated: 2007-07-22 14:45 ---

Common Dialogs: History  (2 files) (Clé du registre, nothing done)
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log:  Activity: SchedLgU.Txt (Sauver le fichier, nothing done)
  C:\WINDOWS\SchedLgU.Txt

Log:  Shutdown: System32\wbem\logs\wbemess.log (Sauver le fichier, nothing done)
  C:\WINDOWS\System32\wbem\logs\wbemess.log

Log:  Shutdown: System32\wbem\logs\winmgmt.log (Sauver le fichier, nothing done)
  C:\WINDOWS\System32\wbem\logs\winmgmt.log

Log:  Shutdown: System32\wbem\logs\wmiprov.log (Sauver le fichier, nothing done)
  C:\WINDOWS\System32\wbem\logs\wmiprov.log

Internet Explorer: AutoComplete data  (1 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Internet Explorer\IntelliForms\SPW

Windows Explorer: User Assistant history IE  (1 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files  (1 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: Last visited history  (2 fichiers) (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: Recent file global history (Clé du registre, nothing done)
  HKEY_USERS\S-1-5-21-1085031214-1292428093-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Cookie: Cookie (4) (Cookie, nothing done)
  

Cache: Cache (129) (Cache, nothing done)
  _____________________________________________________________________________

sicat · Answer

mok's@ pour que tu t'y retrouves parce que je t'ai posté pas mal de trucs depuis, la dernière manip que tu m'as demandé est sur le topic 46..

moK´s@ · Answer

salut sicat,

tu as fais plusieurs scans a ce que je voie...

pour SchedLgU.Txt 

apparement il est clean:
http://www.safer-networking.org/fr/faq/6.html 

sinon pour tes trojants en quarrantaine :S

>supprime les tous de ta quarantaine.

puis fais ceci :

tapes ceci dans Démarrer/Exécuter:
%SystemRoot%\System32\restore\rstrui.exe
Paramètres de restauration/Désactivé la restauration sur tous les lecteurs.
Reboot.
Ensuite refais l'inverse, réactive. 

comment faire :

¤Désactive ta restauration système:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique

et

il serait bien que tu fasse ce scan en ligne et que tu post son rapport :

https://www.bitdefender.com/toolbox/

Clique sur "I agree" et suis la manip.

ps : fais le avec ie...

@+

sicat · Answer

salut moK's@!et merci!
donc j'ai désactiver le planificateur de tâches comme je ne m'en sers pas comme ça ça supprime le fichier ShedLgU.txt ensuite j'ai suivi tes consigne j'ai désactivé la restauration sur tous les lecteurs puis appliqué et redémarré mon pc puis j'ai décoché la désactivation puis appliqué ensuite j'ai fais le scan en ligne mon disque dur externe étant branché il allais mettre beaucoup de temps donc g arrêté le scan puis débranché mon externe et repris le scan..parcontre j'ai eu du mal à  coller le rapport que voilà car j'avai un message disant IE doit fermer Woobrowser à rencontré un probleme et doit fermer à 2reprises..

BitDefender Online Scanner - Real Time Virus Report
  
  
 
Generated at: Sun, Jul 22, 2007 - 21:05:31
 

--------------------------------------------------------------------------------

 
  
  
 
Scan Info
  
  
 
Scanned Files
 188576
 
Infected Files
 0
 
  
  
 
 
  
  
 
Virus Detected
  
  
 
No virus found.
 
 
  
  
 
 
  
  
 
 

--------------------------------------------------------------------------------
  
  
 
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

moK´s@ · Answer

re,

bon ca a l´air bon comme tu voie y a pas de virus...

par contre il serait bien que tu fasse pareil pour ton disque dure externe...

@+

sicat · Answer

ok je my remet alors..
sinon peux-tu me dire si je peux enlever dès maintenant tous les log telechargés depuis le début et si tu penses que je peux remettre bitcomet et titan poker ou si tu me conseille autre chose..
en tout cas mille merci à toi pour tout!!!
@+++

moK´s@ · Answer

re,

oui tu peux supprimé les outils que l´on a utilisés

pour bitcomet > non > lop.com infection

titan poker, je sais pas trop?! moi j´utilise everest poker mais lui aussi est infecté par adaware casino ;-)

de rien,

@+

sicat · Answer

ok merci pour tes conseils dommage pour bitcomet j'étais bien sur mininova..
sinon pour titan poker  je vais voir il me plaît bien mais j'en ai pas essayé d'autres en même temps je peux pas transférer mon compte même fun ce serai dommage de perdre tout ça.. ;-)
je vais tout de même garder AVG jusqu'à la fin de la démo..
en tout cas tu m'as été d'un grand secours tu me dira ça aurai certainement pu être pire comme quoi le "on est jamais mieux servi que par soi même" sonne pas très juste ou alors tu étais une exeption qui confirme la règle ;-) sérieusement merci beaucoup!!! @+++

moK´s@ · Answer

bitcomet>e-mule?
bah va-zy garde titan poker ca peut pas etre pire que everest poker lol
oui garde avg, tu peux passer un scan de temps en temps pour voir si tout est ok meme apres la periode d´essaie y a just la protection en temps réel qui se desactive...
je suis helpeur, bien content d´avoir pu t´aider et de recevoir tes remerciment en retour ;-)

post le rapport de bit defender, pour le disque externe...

et puis j´ai vu que tu n´as pas de par feu!!!

ce que je peux te proposer :

kerio ou zone alarm :

https://kerio.probb.fr/

(merci a boulepate pour le site!!!)

sur cette page tu as le choix entre kerio et zone alarm, zone alarm est plus facile a configurer que kerio mais un peu moins performant, a toi de voir...

tutorials :

zone alarm :

http://forum.telecharger.01net.com/forum/

kerio 4.2.

https://kerio.probb.fr/

kerio autre version 4.5.

https://kerio.probb.fr/

puis tu peux installer ca aussi :

http://www.brightfort.com/spywareblaster.html

c´est un resident, il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"

telecharge aussi cet anti spyware il a aussi un resident le teatimer :

spybot

spybot

ca evitera que tu te fasse infecté a nouveau dans le futur...

bonne fin de soirée

@+

sicat · Answer

ok merci beaucoup pour toutes ces infos pour titan j'hésitai mais si tu me dis que ça peut pas être pire je te fais confiance!sinon je prendrai kerrio s'il est +performant comme il y a un tuto, avec spywareblaster et spybot par contre est-ce que je dois virer le spybot&destroy que j'ai ?et je garde  avira.. j'ai relancé le scan il y a peu donc le temps que ça se fasse une petite heure et je te poste le rapport!

moK´s@ · Answer

as tu as deja spybot

tu as le tea timer?

si il n´est pas actif 

fais comme ceci pour l´activer :

ouvrir spybot
dans la colonne de gauche : sélectionne "outils"
puis double clic sur "résident" 

puis dans la fenetre de droite coche toutes les 2 ou 3 cases...

oui garde avira...

poste le rapport de bitdefender, je le regarderais surement demain dans la soirée car je vais pas tarder

@+

sicat · Answer

ok je te remercie!
demain tu pourras me dire aussi si je peux garder winpatrol  il bloque lui aussi les intrusions..
Bonne soirée à toi moK's@ merci encore!!

sicat · Answer

voilà le rapport!bon ça m'a l'air bon comme tu peux constater!

BitDefender Online Scanner - Real Time Virus Report
  
  
 
Generated at: Sun, Jul 22, 2007 - 23:04:19
 

--------------------------------------------------------------------------------

 
  
  
 
Scan Info
  
  
 
Scanned Files
 200566
 
Infected Files
 0
 
  
  
 
 
  
  
 
Virus Detected
  
  
 
No virus found.
 
 
  
  
 
 
  me reste plus qu'à télécharger ce que tu m'as dit et si tu peux me redir pour winpatrol si je le garde quand même ou pas..
Merci beaucoup!!@+

sicat · Answer

salut moKs@! je t'ai posté le scan bitdefender en ligne pour mon disque dur externe et je me permet de te poster ce scan d'avira programmé a 12:00 j'ai mis les 6 en quarantaine mais je préfèrerai que tu me dise ce que je dois en faire..merci d'avance.. AntiVir PersonalEdition Classic Report file date: lundi 23 juillet 2007 12:00 Scanning for 974167 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 1) [5.1.2600] Username: SYSTEM Computer name: IXTREME-PB Version information: BUILD.DAT : 247 14437 Bytes 10/05/2007 11:55:00 AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:14 AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:54 LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:04 LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:18:59 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58 ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 19:19:31 ANTIVIR2.VDF : 6.39.0.148 395776 Bytes 16/07/2007 19:04:05 ANTIVIR3.VDF : 6.39.0.176 359936 Bytes 22/07/2007 19:02:46 AVEWIN32.DLL : 7.4.0.44 2499072 Bytes 19/07/2007 19:03:45 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26 AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVPACK32.DLL : 7.3.0.13 360488 Bytes 12/07/2007 19:19:31 AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:08 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:05 AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:26 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42 RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:18 RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:42 Configuration settings for the scan: Jobname..........................: Local Hard Disks Configuration file...............: C:\Program Files\AntiVir PersonalEdition Classic\alldiscs.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: K:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR, Start of the scan: lundi 23 juillet 2007 12:00 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'logon.scr' - '1' Module(s) have been scanned Scan process 'usnsvc.exe' - '1' Module(s) have been scanned Scan process 'Watch.exe' - '1' Module(s) have been scanned Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned Scan process 'hpqimzone.exe' - '1' Module(s) have been scanned Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned Scan process 'hpqste08.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'hpqtra08.exe' - '1' Module(s) have been scanned Scan process 'ALERTM~1.EXE' - '1' Module(s) have been scanned Scan process 'PollingModule.exe' - '1' Module(s) have been scanned Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned Scan process 'Inactivity.exe' - '1' Module(s) have been scanned Scan process 'Toaster.exe' - '1' Module(s) have been scanned Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned Scan process 'ComComp.exe' - '1' Module(s) have been scanned Scan process 'SMAgent.exe' - '1' Module(s) have been scanned Scan process 'slserv.exe' - '1' Module(s) have been scanned Scan process 'HPZipm12.exe' - '1' Module(s) have been scanned Scan process 'GestionnaireInternet.exe' - '1' Module(s) have been scanned Scan process 'MMonitor.exe' - '1' Module(s) have been scanned Scan process 'FTRTSVC.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'PowerBar.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'avgas.exe' - '1' Module(s) have been scanned Scan process 'guard.exe' - '0' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'jusched.exe' - '1' Module(s) have been scanned Scan process 'TaskBarIcon.exe' - '1' Module(s) have been scanned Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned Scan process 'qttask.exe' - '1' Module(s) have been scanned Scan process 'WinPatrol.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned Scan process 'SMTray.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 51 processes with 51 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Boot sector 'K:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '18' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000005.exe [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Dumped). Please verify the origin of the file [INFO] The file was moved to '46d4902e.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000012.bat [DETECTION] Contains suspicious code HEUR/Exploit.HTML [INFO] The file was moved to '46d49037.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000055.exe [DETECTION] Contains signature of the dropper DR/Tool.Reboot.F.19 [INFO] The file was moved to '46d49041.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000063.exe [DETECTION] Contains signature of the SPR/Tool.PsKill.2 program [INFO] The file was moved to '46d49043.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000112.exe [DETECTION] Contains signature of the SPR/Tool.Reboot.C program [INFO] The file was moved to '46d49047.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000113.exe [DETECTION] Contains signature of the SPR/Tool.Hardoff.A program [INFO] The file was moved to '46d4904a.qua'! Begin scan in 'D:\' Begin scan in 'K:\' End of the scan: lundi 23 juillet 2007 13:32 Used time: 1:32:30 min The scan has been done completely. 3278 Scanning directories 82731 Files were scanned 6 viruses and/or unwanted programs were found 1 classified as suspicious: 0 files were deleted 0 files were repaired 6 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 82724 Files not concerned 725 Archives were scanned 1 Warnings 0 Notes 0 Hidden objects were found AntiVir PersonalEdition Classic Report file date: lundi 23 juillet 2007 12:00 Scanning for 974167 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 1) [5.1.2600] Username: SYSTEM Computer name: IXTREME-PB Version information: BUILD.DAT : 247 14437 Bytes 10/05/2007 11:55:00 AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:14 AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:54 LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:04 LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:18:59 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58 ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 19:19:31 ANTIVIR2.VDF : 6.39.0.148 395776 Bytes 16/07/2007 19:04:05 ANTIVIR3.VDF : 6.39.0.176 359936 Bytes 22/07/2007 19:02:46 AVEWIN32.DLL : 7.4.0.44 2499072 Bytes 19/07/2007 19:03:45 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26 AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVPACK32.DLL : 7.3.0.13 360488 Bytes 12/07/2007 19:19:31 AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:08 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:05 AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:26 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42 RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:18 RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:42 Configuration settings for the scan: Jobname..........................: Local Hard Disks Configuration file...............: C:\Program Files\AntiVir PersonalEdition Classic\alldiscs.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: K:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR, Start of the scan: lundi 23 juillet 2007 12:00 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'logon.scr' - '1' Module(s) have been scanned Scan process 'usnsvc.exe' - '1' Module(s) have been scanned Scan process 'Watch.exe' - '1' Module(s) have been scanned Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned Scan process 'hpqimzone.exe' - '1' Module(s) have been scanned Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned Scan process 'hpqste08.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'hpqtra08.exe' - '1' Module(s) have been scanned Scan process 'ALERTM~1.EXE' - '1' Module(s) have been scanned Scan process 'PollingModule.exe' - '1' Module(s) have been scanned Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned Scan process 'Inactivity.exe' - '1' Module(s) have been scanned Scan process 'Toaster.exe' - '1' Module(s) have been scanned Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned Scan process 'ComComp.exe' - '1' Module(s) have been scanned Scan process 'SMAgent.exe' - '1' Module(s) have been scanned Scan process 'slserv.exe' - '1' Module(s) have been scanned Scan process 'HPZipm12.exe' - '1' Module(s) have been scanned Scan process 'GestionnaireInternet.exe' - '1' Module(s) have been scanned Scan process 'MMonitor.exe' - '1' Module(s) have been scanned Scan process 'FTRTSVC.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'PowerBar.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'avgas.exe' - '1' Module(s) have been scanned Scan process 'guard.exe' - '0' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'jusched.exe' - '1' Module(s) have been scanned Scan process 'TaskBarIcon.exe' - '1' Module(s) have been scanned Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned Scan process 'qttask.exe' - '1' Module(s) have been scanned Scan process 'WinPatrol.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned Scan process 'SMTray.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 51 processes with 51 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Boot sector 'K:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '18' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000005.exe [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Dumped). Please verify the origin of the file [INFO] The file was moved to '46d4902e.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000012.bat [DETECTION] Contains suspicious code HEUR/Exploit.HTML [INFO] The file was moved to '46d49037.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000055.exe [DETECTION] Contains signature of the dropper DR/Tool.Reboot.F.19 [INFO] The file was moved to '46d49041.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000063.exe [DETECTION] Contains signature of the SPR/Tool.PsKill.2 program [INFO] The file was moved to '46d49043.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000112.exe [DETECTION] Contains signature of the SPR/Tool.Reboot.C program [INFO] The file was moved to '46d49047.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000113.exe [DETECTION] Contains signature of the SPR/Tool.Hardoff.A program [INFO] The file was moved to '46d4904a.qua'!Begin scan in 'D:\' Begin scan in 'K:\' End of the scan: lundi 23 juillet 2007 13:32 Used time: 1:32:30 min The scan has been done completely. 3278 Scanning directories 82731 Files were scanned 6 viruses and/or unwanted programs were found 1 classified as suspicious: 0 files were deleted 0 files were repaired 6 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 82724 Files not concerned 725 Archives were scanned 1 Warnings 0 Notes 0 Hidden objects were found AntiVir PersonalEdition Classic Report file date: lundi 23 juillet 2007 12:00 Scanning for 974167 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 1) [5.1.2600] Username: SYSTEM Computer name: IXTREME-PB Version information: BUILD.DAT : 247 14437 Bytes 10/05/2007 11:55:00 AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:14 AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:54 LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:04 LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:18:59 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58 ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 19:19:31 ANTIVIR2.VDF : 6.39.0.148 395776 Bytes 16/07/2007 19:04:05 ANTIVIR3.VDF : 6.39.0.176 359936 Bytes 22/07/2007 19:02:46 AVEWIN32.DLL : 7.4.0.44 2499072 Bytes 19/07/2007 19:03:45 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26 AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVPACK32.DLL : 7.3.0.13 360488 Bytes 12/07/2007 19:19:31 AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:08 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:05 AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:26 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42 RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:18 RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:42 Configuration settings for the scan: Jobname..........................: Local Hard Disks Configuration file...............: C:\Program Files\AntiVir PersonalEdition Classic\alldiscs.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: K:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR, Start of the scan: lundi 23 juillet 2007 12:00 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'logon.scr' - '1' Module(s) have been scanned Scan process 'usnsvc.exe' - '1' Module(s) have been scanned Scan process 'Watch.exe' - '1' Module(s) have been scanned Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned Scan process 'hpqimzone.exe' - '1' Module(s) have been scanned Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned Scan process 'hpqste08.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'hpqtra08.exe' - '1' Module(s) have been scanned Scan process 'ALERTM~1.EXE' - '1' Module(s) have been scanned Scan process 'PollingModule.exe' - '1' Module(s) have been scanned Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned Scan process 'Inactivity.exe' - '1' Module(s) have been scanned Scan process 'Toaster.exe' - '1' Module(s) have been scanned Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned Scan process 'ComComp.exe' - '1' Module(s) have been scanned Scan process 'SMAgent.exe' - '1' Module(s) have been scanned Scan process 'slserv.exe' - '1' Module(s) have been scanned Scan process 'HPZipm12.exe' - '1' Module(s) have been scanned Scan process 'GestionnaireInternet.exe' - '1' Module(s) have been scanned Scan process 'MMonitor.exe' - '1' Module(s) have been scanned Scan process 'FTRTSVC.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'PowerBar.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'avgas.exe' - '1' Module(s) have been scanned Scan process 'guard.exe' - '0' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'jusched.exe' - '1' Module(s) have been scanned Scan process 'TaskBarIcon.exe' - '1' Module(s) have been scanned Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned Scan process 'qttask.exe' - '1' Module(s) have been scanned Scan process 'WinPatrol.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned Scan process 'SMTray.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 51 processes with 51 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Boot sector 'K:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '18' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000005.exe [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Dumped). Please verify the origin of the file [INFO] The file was moved to '46d4902e.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000012.bat [DETECTION] Contains suspicious code HEUR/Exploit.HTML [INFO] The file was moved to '46d49037.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000055.exe [DETECTION] Contains signature of the dropper DR/Tool.Reboot.F.19 [INFO] The file was moved to '46d49041.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000063.exe [DETECTION] Contains signature of the SPR/Tool.PsKill.2 program [INFO] The file was moved to '46d49043.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000112.exe [DETECTION] Contains signature of the SPR/Tool.Reboot.C program [INFO] The file was moved to '46d49047.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000113.exe [DETECTION] Contains signature of the SPR/Tool.Hardoff.A program [INFO] The file was moved to '46d4904a.qua'! Begin scan in 'D:\' Begin scan in 'K:\' End of the scan: lundi 23 juillet 2007 13:32 Used time: 1:32:30 min The scan has been done completely. 3278 Scanning directories 82731 Files were scanned 6 viruses and/or unwanted programs were found 1 classified as suspicious: 0 files were deleted 0 files were repaired 6 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 82724 Files not concerned 725 Archives were scanned 1 Warnings 0 Notes 0 Hidden objects were found AntiVir PersonalEdition Classic Report file date: lundi 23 juillet 2007 12:00 Scanning for 974167 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 1) [5.1.2600] Username: SYSTEM Computer name: IXTREME-PB Version information: BUILD.DAT : 247 14437 Bytes 10/05/2007 11:55:00 AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:14 AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:54 LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:04 LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:18:59 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58 ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 19:19:31 ANTIVIR2.VDF : 6.39.0.148 395776 Bytes 16/07/2007 19:04:05 ANTIVIR3.VDF : 6.39.0.176 359936 Bytes 22/07/2007 19:02:46 AVEWIN32.DLL : 7.4.0.44 2499072 Bytes 19/07/2007 19:03:45 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26 AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVPACK32.DLL : 7.3.0.13 360488 Bytes 12/07/2007 19:19:31 AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:08 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:05 AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:26 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42 RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:18 RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:42 Configuration settings for the scan: Jobname..........................: Local Hard Disks Configuration file...............: C:\Program Files\AntiVir PersonalEdition Classic\alldiscs.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: K:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR, Start of the scan: lundi 23 juillet 2007 12:00 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'logon.scr' - '1' Module(s) have been scanned Scan process 'usnsvc.exe' - '1' Module(s) have been scanned Scan process 'Watch.exe' - '1' Module(s) have been scanned Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned Scan process 'hpqimzone.exe' - '1' Module(s) have been scanned Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned Scan process 'hpqste08.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'hpqtra08.exe' - '1' Module(s) have been scanned Scan process 'ALERTM~1.EXE' - '1' Module(s) have been scanned Scan process 'PollingModule.exe' - '1' Module(s) have been scanned Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned Scan process 'Inactivity.exe' - '1' Module(s) have been scanned Scan process 'Toaster.exe' - '1' Module(s) have been scanned Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned Scan process 'ComComp.exe' - '1' Module(s) have been scanned Scan process 'SMAgent.exe' - '1' Module(s) have been scanned Scan process 'slserv.exe' - '1' Module(s) have been scanned Scan process 'HPZipm12.exe' - '1' Module(s) have been scanned Scan process 'GestionnaireInternet.exe' - '1' Module(s) have been scanned Scan process 'MMonitor.exe' - '1' Module(s) have been scanned Scan process 'FTRTSVC.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'PowerBar.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'avgas.exe' - '1' Module(s) have been scanned Scan process 'guard.exe' - '0' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'jusched.exe' - '1' Module(s) have been scanned Scan process 'TaskBarIcon.exe' - '1' Module(s) have been scanned Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned Scan process 'qttask.exe' - '1' Module(s) have been scanned Scan process 'WinPatrol.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned Scan process 'SMTray.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 51 processes with 51 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Boot sector 'K:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '18' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000005.exe [DETECTION] File has been compressed with an unusual runtime compression tool (PCK/Dumped). Please verify the origin of the file [INFO] The file was moved to '46d4902e.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000012.bat [DETECTION] Contains suspicious code HEUR/Exploit.HTML [INFO] The file was moved to '46d49037.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000055.exe [DETECTION] Contains signature of the dropper DR/Tool.Reboot.F.19 [INFO] The file was moved to '46d49041.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000063.exe [DETECTION] Contains signature of the SPR/Tool.PsKill.2 program [INFO] The file was moved to '46d49043.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000112.exe [DETECTION] Contains signature of the SPR/Tool.Reboot.C program [INFO] The file was moved to '46d49047.qua'! C:\System Volume Information\_restore{077DDFD0-1184-4508-BD3F-4DB25089B441}\RP1\A0000113.exe [DETECTION] Contains signature of the SPR/Tool.Hardoff.A program [INFO] The file was moved to '46d4904a.qua'!Begin scan in 'D:\' Begin scan in 'K:\' End of the scan: lundi 23 juillet 2007 13:32 Used time: 1:32:30 min The scan has been done completely. 3278 Scanning directories 82731 Files were scanned 6 viruses and/or unwanted programs were found 1 classified as suspicious: 0 files were deleted 0 files were repaired 6 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 82724 Files not concerned 725 Archives were scanned 1 Warnings 0 Notes 0 Hidden objects were found merci @+tard!!

moK´s@ · Answer

salut sicat,

fais ceci :

Fais ceci:
tapes ceci dans Démarrer/Exécuter:
%SystemRoot%\System32\restore\rstrui.exe
Paramètres de restauration/Désactivé la restauration sur tous les lecteurs.
Reboot.
Ensuite refais l'inverse, réactive. 

comment faire :

¤Désactive ta restauration système:
Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique

@+

sicat · Answer

Salut moK's@!
bon j'ai suivi ton conseil mais juste pour être sûre quand je reboot je redémarre enfait c ce que je fait j'espère ne pas me tromper sinon au moment de redémarrer après avoir désactivé j'ai eu un mess de teatimer mais je n'ai pas eu le temps de le lire..est-ce que je dois supprimer ce que j'ai mis en quarantaine maintenant?

sicat · Answer

re,
sinon j'ai téléchargé tous les log que tu m'as conseillé parcontre j'ai des pubs qui reviennent sur mozzila malgré adblockplus..et la mule me fai ramer quand même si tu en connais un autre bien aussi à la limite je testerai bien!mersi moK's@!

moK´s@ · Answer

re,

oui supprime tout ce qui est dans ta quarantaine.

quelles genre de pubs tu as sur firefox?

e-mule te fais ramer? tu l´as bien configuré?

sicat · Answer

c'était cet après midi les pubs je ne sais plus trop mais ce n'était pas  des pubs de sécurité c'était genre voyage ou astro et x  je crois sinon pour emule je pense l'avoir bien configuré mais je vais vérifier en tout cas j'ai dû mettre 3téléchargements et dès que je le connecte ça ralenti..tu penses que c'est possible que ces pubs soient dû à mon installation de la mule?je l'ai pris sur le forum dans les téléchargements donc normalement ça doit être bon, sinon je n'ai pas trouvé certaines options me permettant de configurer la mule de manière à ne pas etre ralentie sur le net genre le nombre de téléchargements maxi mais j'ai réglé les débits descendants et montant par rapport à un test que j'ai fait par contre j'ai reporté le TCP et UDP que l'on m'indiquait suite au test car le test ne les détectait pas  et je n'ai pas réussi à voir pour  le parefeu xp et  ne peux pas ouvrir ces ports dans le parefeu xp depuis la mule car cet onglet est bloqué j'ai suivi les conseils depuis le forum ou j'ai téléchargé Kerio et j'ai bien configuré kerio comme indiqué et apparemment si c'est le cas ça ne doit pas poser de problème pour la mule mais je vais vérifier il faut peut-être que je la rentre dans kerio??là j'ai déconnecté la mule qui met énormément de temps à télécharger je sais que ce n'est pas bitcomet et même si dans mon souvenir la mule est +lente je vais tout de même vérifier la configuration +tard..
sinon dis moi si je dois faire d'autre scan parcontre je ne vais pas tarder donc si c'est le cas j'essairai de te poster ça ce soir sinon demain si ça ne te dérange pas..merci moK's@ à+tard!

moK´s@ · Answer

salut sicat,

bon eh bien si c´est pas des pubs de securité c´est deja ca...

met ton explorateur a jour a savoir la version 7.0 de ie

et dis moi quoi

pour e-mule voici un site ou tout est expliqué

http://www1.emule-inside.net/?tm=1&kw=Cloud+Processing&KW1=Emule%20Dedicated%20Servers&KW2=Proxy%20Servers&KW3=Cloud%20Security&searchbox=0&domainname=0&backfill=0

tu as kerio, donc le par feu de windows devrait etre desactivé.

dans kerio faut que tu crée une régle pour ton tcp et udp comme ceci :

http://www.emule-france.com/forum/tutoriel-kerio-personal-firewall,t49705.htm

sur la planet en bas a droite tes fleches sont de quelle couleur?


et puis fais ce scan :

 •Télécharge PCA (d'Evosla) < http://ww25.evosla.com/pca_cpt.php?agr=pca_securite > ,
•Décompresse-le sur ton " Bureau " au moyen d'un clic-droit (Extraire ici...),
Double-clic sur l'icône "pca.exe" ( en forme de grenade qui est sur le bureau ) pour le lancer.

1°- •Clique sur l'onglet "diagnostic du PC" puis "analyser".
•Laisse l'analyse se dérouler. Cela ne prend que quelques secondes.
•Clique sur "enregistrer le rapport" en bas à droite et sauvegarde-le sur le bureau.
•Le rapport va être positionné sur ton bureau "PCA_LOG.txt"
• Poste-le et supprime-le de ton bureau.

2°- Ensuite relance "pca.exe" ( qui est sur ton bureau )
- •Clique sur l'onglet " Analyse antivirus " ---> lance l'analyse "scanner"
- Enregistre le rapport ( en bas à droite ) sur le bureau
Clic sur [Nettoyer]
Poste le rapport mis sur ton bureau " PCA_SCAN-LOG.txt " » 


@+

sicat · Answer

Salut moK's@!et encore merci!
bon je vais voir pour la nouvelle version de IE mais il faut que j'installe windows update apparemment..
est-ce que c'est vraiment nécessaire cette mise à jour?si oui je m'en occupe sinon en attendant je vais voir pour configurer tout ça en fait je ne voi la mule nulle part dans mon firewall donc ça vient de moi c sûr!je te remercie je m'occupe de ça et je te dis quoi +tard ou demain midi selon quand je peux m'en occuper au plus vite! MERCI!et bonne soirée en attendant!@+

moK´s@ · Answer

de rien, je serais la demain soir...

pour ie la version 0.7 corrige des probleme de securité alors...

@+

sicat · Answer

ok d'accord alors je vais lemettre à jour, merci quand même!
à demain soir alors!bonne soirée

moK´s@ · Answer

bonne soirée...

sicat · Answer

Salut moK's@!!
bon je crois que c bon j'ai revu toute les configurations emule et kerio et g rentré la mule dans kerio et vu pour tcp et udp puis j'ai revu ma config de la mule où effectivement j'ai m...é..donc je vais voir ce qu'il en est du ralentissement sur le net normalemnt  ça devrait être mieux..
Parcontre je n'ai pas pu installer IE7 enfait j'ai le sp1 de xp et ce n'est pas compatible alors peut être que je devrait installer sp2 sinon en attendant j'ai fait une mise à jour de sécurité pour IE6.. je reviens ce soir je verrai ce que je peux faire pour sp2 et je te demanderai confirmation quand même..
@++!

moK´s@ · Answer

salut sicat,

oui instal le sp2...

@+

sicat · Answer

salut moK's@!!
bon je me suis occupée de mes installation donc je pense que j'ai installé sp2 et IE7 avec succès en tout cas j'espère..
par contre il me demande beaucoup de choses par rapport à la sécurité par exemple si je souhaite activer le filtre anti-hameçonnage je croi et j'ai dit me redemander ultèrieurement et pour les mises à jours automatique sp2 je ne l'ai pas activé pour le moment donc je préfère attendre tes conseils pour le faire voilà donc je passerai voir si tu as eu mon message sinon départ  en vacances dimanche donc au pire je repasserai +tard!
merci beaucoup à toi et bonne vacances si tu pars!! sinon bon courage en tout cas!!
@++

moK´s@ · Answer

salut sicat,

bon tout s´arragnge on dirait, oui accepte les mises a jour automatique...

bonne vacances ;-)

moi je pars pas je suis en cours...

@+

sicat · Answer

Salut moK's@!
merci pour tout!! tout à l'air d'être bien en ordre grâce à toi!
départ demain..
bon courage à toi pour tes cours @+++ Merci!!

moK´s@ · Answer

salut sicat,

bonne vacances.

merci...

@+

Pc infecté,pub, registre modifié..help please

81 réponses