virus qui bloque l'acces aux postes clés (

Question

Bonjour

J ai quasiment tout essayé rien n'y fait :-(

voici le rapport sachant que tous les acces sont refusés sans raisons apparentes:

C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\s3hotkey.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe
C:\Program Files\Lexmark X5100 Series\lxbabmon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\QUICKT~1\qttask.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\cscript.exe

Lyonnais92 · Answer

Bonjour,

Tu as essayé quoi ?

pourquoi ?

les accès à quoi ?

les 10 dernières lignes, c'est quoi ?

Dis plus simplement, c'est quoi ton problème ?

@+

samlagaure · Answer

Lorsque je veux installer ou lancer un anti-virus digne de ce nom par exemple, un message m'indique en début ou en cours d'étape:

RESTRICTIONS

"Acces denied (accès refusé)"

ou encore

"cette opération à été annulée en raison de restrictions en vigueur sur cet ordinateur. Contactez votre administrateur système"

Ce symptôme est venu spontanément au fil de mes navigations sur le Net ( il y a une quinzaine de jours ), je n'ai jamais mis de mot de passe ( à part sur le BIOS au démarrage ) ni restreint quoique ce soit sur aucune session PC, aujourd'hui je ne peux avoir aucune action sur mon système. Ni le réparer, ni même le scanner pour avoir un rapport d'erreur, impossible d'y accéder ou d'inter-agir, c'est vraiment la Corée du Nord quoi ! 

J'ai récemment réussi à me connecter sur mon compte admin mais pas en mode sans échec ( qui a pour reultat de paralyser mon Pc sur la page d'ouverture de session), résultat mon clavier ne correspond plus le Q prend la place du A, la virgule celle du M etc...

Parois j'ai l'impression que ça provient des antivirus eux mêmes pour diverses raisons !  


 avec Ad-aware  les scans que je lance ne donnent rien.

Merci à ceux qui peuvent trouver la solution

Lyonnais92 · Answer

Bonjour,

OK, c'est plus clair.

Ton clavier me semble être le clavier américain.

Démarrer, panneau de configuration, options régionales. Essaye de mettre les paramètres français.

As tu le Cd de Windows ?

Tes fichiers perso sont sauvegardés ou non ?

Est ce que tu peiux faire ça :

Télécharge HijackThis ici: 
http://www.merijn.org/files/hijackthis.zip
ou ici :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum 

Démo : (Merci a Balltrap34 pour cette réalisation) 

http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm[/quote] 

Si oui, tu le fais et tu postes le rapport.

@+

samlagaure · Answer

Le clavier américain c'est uniquement lorsque je me connectes sur mon compte administrateur, le panneau de configuration n'existes plus (n'est plus proposé en tous cas) par le biais de la commande executer c'est idem en tapant control.exe j'ai un message windows qui me dit restriction etc... je vais essayé les liens mais pour en avoir essayé pas mal d'autres ça ne fonctionne pas car toujours problème d'accès.
- Je n'ai pas eu de CD windows lors de l'achat de mon PC en 2002 et la seule raison qui m'empêche de formater est que je veux essayé de conserver mes données. 

Je tente donc les liens .


Merci déjà !

samlagaure · Answer

Sachant que j'ai eu un message d'erreur durant le scan, le voici :



Logfile of HijackThis v1.99.1
Scan saved at 01:44:58, on 26/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\s3hotkey.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe
C:\Program Files\Lexmark X5100 Series\lxbabmon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\QUICKT~1\qttask.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Hammed\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\kytvn.dll/sp.html#29126%
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NC NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [ieaf32.exe] C:\WINDOWS\system32\ieaf32.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB003" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O5 "LPT1:" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [apiwb32.exe] C:\WINDOWS\system32\apiwb32.exe
O4 - HKLM\..\Run: [ntqj.exe] C:\WINDOWS\system32
tqj.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [sysaq.exe] C:\WINDOWS\sysaq.exe
O4 - HKLM\..\Run: [mszy32.exe] C:\WINDOWS\mszy32.exe
O4 - HKLM\..\Run: [sysbj32.exe] C:\WINDOWS\sysbj32.exe
O4 - HKLM\..\Run: [winxs.exe] C:\WINDOWS\winxs.exe
O4 - HKLM\..\Run: [ipwi.exe] C:\WINDOWS\system32\ipwi.exe
O4 - HKLM\..\Run: [ntud.exe] C:\WINDOWS\system32
tud.exe
O4 - HKLM\..\Run: [addwa.exe] C:\WINDOWS\addwa.exe
O4 - HKLM\..\Run: [sysun32.exe] C:\WINDOWS\sysun32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [msse.exe] C:\WINDOWS\system32\msse.exe
O4 - HKLM\..\Run: [sysss.exe] C:\WINDOWS\sysss.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\PROGRA~1\QUICKT~1\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iear.exe] C:\WINDOWS\iear.exe
O4 - HKLM\..\Run: [apisl.exe] C:\WINDOWS\apisl.exe
O4 - HKLM\..\Run: [appdi32.exe] C:\WINDOWS\system32\appdi32.exe
O4 - HKLM\..\Run: [appeb32.exe] C:\WINDOWS\appeb32.exe
O4 - HKLM\..\Run: [mfcvq.exe] C:\WINDOWS\system32\mfcvq.exe
O4 - HKLM\..\Run: [ntnk.exe] C:\WINDOWS
tnk.exe
O4 - HKLM\..\Run: [iptb.exe] C:\WINDOWS\iptb.exe
O4 - HKLM\..\Run: [netyc.exe] C:\WINDOWS
etyc.exe
O4 - HKLM\..\Run: [javark32.exe] C:\WINDOWS\system32\javark32.exe
O4 - HKLM\..\Run: [ntff.exe] C:\WINDOWS\system32
tff.exe
O4 - HKLM\..\Run: [appyn.exe] C:\WINDOWS\appyn.exe
O4 - HKLM\..\Run: [addsa.exe] C:\WINDOWS\system32\addsa.exe
O4 - HKLM\..\Run: [syscd.exe] C:\WINDOWS\system32\syscd.exe
O4 - HKLM\..\Run: [ipsz32.exe] C:\WINDOWS\ipsz32.exe
O4 - HKLM\..\Run: [7v3j] C:\WINDOWS\System32\z1552.exe gdtgh
O4 - HKLM\..\Run: [Microsoft WPCEmail] C:\WINDOWS\INET20~1\svchost.exe 
O4 - HKLM\..\Run: [apiil.exe] C:\WINDOWS\apiil.exe
O4 - HKLM\..\Run: [atlzc32.exe] C:\WINDOWS\system32\atlzc32.exe
O4 - HKLM\..\Run: [ipzk32.exe] C:\WINDOWS\system32\ipzk32.exe
O4 - HKLM\..\Run: [apijk32.exe] C:\WINDOWS\system32\apijk32.exe
O4 - HKLM\..\Run: [javanu32.exe] C:\WINDOWS\system32\javanu32.exe
O4 - HKLM\..\Run: [crth.exe] C:\WINDOWS\system32\crth.exe
O4 - HKLM\..\Run: [winhp32.exe] C:\WINDOWS\system32\winhp32.exe
O4 - HKLM\..\Run: [nethu32.exe] C:\WINDOWS\system32
ethu32.exe
O4 - HKLM\..\Run: [atlbr.exe] C:\WINDOWS\system32\atlbr.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [MediaDICO36] C:\Program Files\LanceMediaDICO36.exe Lancement
O4 - HKCU\..\Run: [WinUpgrade] "C:\WINDOWS\System32\z24692136722.exe " 
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - Startup: system.exe.ren
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/PackageHtmlCab.CAB
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2DAD3559-2923-4935-AD49-B673D2539944} (IASRunner Class) - https://support.lenovo.com/fr/en/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/fr/games3.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.70
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.70
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32:svchost.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Lyonnais92 · Answer

Re,

je ne te cache pas que je n'ai jamais vu ça.

On va commencer par ça :

Imprime ces instructions car il va y avoir un redémarrage de l'ordinateur. 

* Télécharge FixWareout de ce site sur le bureau: 
http://downloads.subratam.org/Fixwareout.exe 


* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. 
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. 

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse. 

Remets aussi un log Hijackthis.

@+

samlagaure · Answer

J'ai décroché avec les dessous du Pc depuis bien trop longtps pour comprendre ce que signifie "faire un log de" je lance la procédure ci-dessus.

Je me doutais  bien que j'avais du bon vieux virus H.I.V sur mon PC, je vous tiens au jus !

Lyonnais92 · Answer

Re,

faire un log, c'est créer un rapport. Au post 5, tu as posté un log hijackthis. Tu parles de résultat du scan.

Tout ça c'est la même chose.

Donc tu lances fixwareout. A la sortie, il va dire ce qu'il a fait (le log).

C'est ça dont j'ai besoin pour savoir ce qui s'est passé.

Le log-rapport d'hijackthis, c'est pour voir comment les choses ont évolué (normalement, les lignes 017 auront disparu.

_____________________________________________________________________________________________

Je ne sais pas où tu habites, mais pour moi, il la nuit est avancé. Je vais aller dormir.

Je vais te laisser du travail. Si tu peux, tu enchaines. Sinon, on fait ça plus tard.

Tu utilises le copier/coller (j'espère que ça marche), tu appuies en même temps sur les touches CTRL et C  pour copier (après avoir laissé trainer la souris sur la zone) et  CTRL et V pour coller.

Voila les instructions

Relance Hijackthis, choisis do a scan only, coche la case devant ces lignes :

O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file) 
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file) 
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file) 
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file) 
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file) 
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file) 
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file) 
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file) 
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file) 
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file) 
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file) 
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file) 
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file) 
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file) 
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file) 
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file) 
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file) 
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file) 
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file) 
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file) 
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file) 
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file) 
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file) 
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file) 
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file) 
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file) 
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file) 
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file) 
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file) 
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file) 
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file) 
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file) 
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file) 
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file) 
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file) 
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file) 
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file) 
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file) 
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file) 
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file) 
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file) 
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file) 
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file) 
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file) 
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file) 
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file) 
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file) 
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file) 
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file) 
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file) 
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file) 
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file) 
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file) 
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file) 
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file) 
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file) 
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file) 
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file) 
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file) 
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file) 
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file) 
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file) 
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file) 
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file) 
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file) 
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file) 
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file) 
O4 - HKLM\..\Run: [ieaf32.exe] C:\WINDOWS\system32\ieaf32.exe
O4 - HKLM\..\Run: [apiwb32.exe] C:\WINDOWS\system32\apiwb32.exe 
O4 - HKLM\..\Run: [ntqj.exe] C:\WINDOWS\system32
tqj.exe 
O4 - HKLM\..\Run: [sysaq.exe] C:\WINDOWS\sysaq.exe 
O4 - HKLM\..\Run: [mszy32.exe] C:\WINDOWS\mszy32.exe 
O4 - HKLM\..\Run: [sysbj32.exe] C:\WINDOWS\sysbj32.exe 
O4 - HKLM\..\Run: [winxs.exe] C:\WINDOWS\winxs.exe 
O4 - HKLM\..\Run: [ipwi.exe] C:\WINDOWS\system32\ipwi.exe 
O4 - HKLM\..\Run: [ntud.exe] C:\WINDOWS\system32
tud.exe 
O4 - HKLM\..\Run: [addwa.exe] C:\WINDOWS\addwa.exe 
O4 - HKLM\..\Run: [sysun32.exe] C:\WINDOWS\sysun32.exe 
O4 - HKLM\..\Run: [msse.exe] C:\WINDOWS\system32\msse.exe 
O4 - HKLM\..\Run: [sysss.exe] C:\WINDOWS\sysss.exe 
O4 - HKLM\..\Run: [iear.exe] C:\WINDOWS\iear.exe 
O4 - HKLM\..\Run: [apisl.exe] C:\WINDOWS\apisl.exe 
O4 - HKLM\..\Run: [appdi32.exe] C:\WINDOWS\system32\appdi32.exe 
O4 - HKLM\..\Run: [appeb32.exe] C:\WINDOWS\appeb32.exe 
O4 - HKLM\..\Run: [mfcvq.exe] C:\WINDOWS\system32\mfcvq.exe 
O4 - HKLM\..\Run: [ntnk.exe] C:\WINDOWS
tnk.exe 
O4 - HKLM\..\Run: [iptb.exe] C:\WINDOWS\iptb.exe 
O4 - HKLM\..\Run: [netyc.exe] C:\WINDOWS
etyc.exe 
O4 - HKLM\..\Run: [javark32.exe] C:\WINDOWS\system32\javark32.exe 
O4 - HKLM\..\Run: [ntff.exe] C:\WINDOWS\system32
tff.exe 
O4 - HKLM\..\Run: [appyn.exe] C:\WINDOWS\appyn.exe 
O4 - HKLM\..\Run: [addsa.exe] C:\WINDOWS\system32\addsa.exe 
O4 - HKLM\..\Run: [syscd.exe] C:\WINDOWS\system32\syscd.exe 
O4 - HKLM\..\Run: [ipsz32.exe] C:\WINDOWS\ipsz32.exe 
O4 - HKLM\..\Run: [7v3j] C:\WINDOWS\System32\z1552.exe gdtgh 
O4 - HKLM\..\Run: [Microsoft WPCEmail] C:\WINDOWS\INET20~1\svchost.exe 
O4 - HKLM\..\Run: [apiil.exe] C:\WINDOWS\apiil.exe 
O4 - HKLM\..\Run: [atlzc32.exe] C:\WINDOWS\system32\atlzc32.exe 
O4 - HKLM\..\Run: [ipzk32.exe] C:\WINDOWS\system32\ipzk32.exe 
O4 - HKLM\..\Run: [apijk32.exe] C:\WINDOWS\system32\apijk32.exe 
O4 - HKLM\..\Run: [javanu32.exe] C:\WINDOWS\system32\javanu32.exe 
O4 - HKLM\..\Run: [crth.exe] C:\WINDOWS\system32\crth.exe 
O4 - HKLM\..\Run: [winhp32.exe] C:\WINDOWS\system32\winhp32.exe 
O4 - HKLM\..\Run: [nethu32.exe] C:\WINDOWS\system32
ethu32.exe 
O4 - HKLM\..\Run: [atlbr.exe] C:\WINDOWS\system32\atlbr.exe 
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe 
O4 - Startup: system.exe.ren 
O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/PackageHtmlCab.CAB 
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france.exe 
O16 - DPF: {2DAD3559-2923-4935-AD49-B673D2539944} (IASRunner Class) - https://support.lenovo.com/fr/en/
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/fr/games3.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt

Ferme toutes les autres fenêtres (en particulier ton navigateur) et clique sur Fix checked.

Essaye de faire ça (pas sur que ce soit encore possible):

Tu désactives puis tu arrêtes ce service :
(tu mets type de démarrage sur désactivé puis tu cliques sur arrêter)
ICF

Tuto en image ici :

https://www.zebulon.fr/dossiers/windows/31-services.html


Si ça ne marche pas, tu sautes.
____________________________________________________

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en italique  ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.




C:\WINDOWS\system32\ieaf32.exe
C:\WINDOWS\system32\apiwb32.exe
C:\WINDOWS\system32
tqj.exe
C:\WINDOWS\sysaq.exe
C:\WINDOWS\mszy32.exe
C:\WINDOWS\sysbj32.exe
C:\WINDOWS\winxs.exe
C:\WINDOWS\system32\ipwi.exe
C:\WINDOWS\system32
tud.exe
C:\WINDOWS\addwa.exe
C:\WINDOWS\sysun32.exe
C:\WINDOWS\system32\msse.exe
C:\WINDOWS\sysss.exe
C:\WINDOWS\iear.exe
C:\WINDOWS\apisl.exe
C:\WINDOWS\system32\appdi32.exe
C:\WINDOWS\appeb32.exe
C:\WINDOWS\system32\mfcvq.exe
C:\WINDOWS
tnk.exe
C:\WINDOWS\iptb.exe
C:\WINDOWS
etyc.exe
C:\WINDOWS\system32\javark32.exe
C:\WINDOWS\system32
tff.exe
C:\WINDOWS\appyn.exe
C:\WINDOWS\system32\addsa.exe
C:\WINDOWS\system32\syscd.exe
C:\WINDOWS\ipsz32.exe
C:\WINDOWS\System32\z1552.exe  
C:\WINDOWS\INET20~1\svchost.exe
C:\WINDOWS\apiil.exe
C:\WINDOWS\system32\atlzc32.exe
C:\WINDOWS\system32\ipzk32.exe
C:\WINDOWS\system32\apijk32.exe
C:\WINDOWS\system32\javanu32.exe
C:\WINDOWS\system32\crth.exe
C:\WINDOWS\system32\winhp32.exe
C:\WINDOWS\system32
ethu32.exe
C:\WINDOWS\system32\atlbr.exe
C:\WINDOWS\System32\WinAvXX.exe


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

Si cela n'a pas été fait, tu redémarres l'ordi.

Tu postes le le rapport de OTMoveIt avec un nouveau rapport de Hijackthis;

Y a-t-il du mieux dans le fonctionnement de l'ordi ? 

___________________________________________
Bon courage. Je ne veux pas être optimiste trop tôt mais si tu réussis à faire tout ça, il y a de bonnes chances de s'en sortir.

@+

samlagaure · Answer

Voici le topo : En lançant fixwareout, il arrive ce qui m'etais presque toujours arrivé auparavant, j'ai eu le tps d'attraper un stylo pour noter rapidement avant le redemarrage ce que "l'invité de commande" ou ce qui ressemble en tous cas m'indique visiblement le produit n'a pas pu faire son effet, j'ai des messages du genre "failed" avec une liste et des numéros qui semblent correspondre à des tâches échouées:

Parmi elles au début : impossible d'ouvrir runs.txt
impossible d'ouvrir out2.reg
Writing 'flags' with data 8 failed. etc...
J'ai oublié de signaler que lorsque mon PC démarre (depuis une 15aine de jours)  "system.exe"  tente de s'ouvrir avec real player puis j'ai un message d'erreur.

samlagaure · Answer

Maintenant  le log ;-)

Logfile of HijackThis v1.99.1
Scan saved at 03:37:23, on 26/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\s3hotkey.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\QUICKT~1\qttask.exe
C:\Program Files\Lexmark X5100 Series\lxbabmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Documents and Settings\Hammed\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\kytvn.dll/sp.html#29126%
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NC NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [ieaf32.exe] C:\WINDOWS\system32\ieaf32.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB003" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O5 "LPT1:" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [apiwb32.exe] C:\WINDOWS\system32\apiwb32.exe
O4 - HKLM\..\Run: [ntqj.exe] C:\WINDOWS\system32
tqj.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [sysaq.exe] C:\WINDOWS\sysaq.exe
O4 - HKLM\..\Run: [mszy32.exe] C:\WINDOWS\mszy32.exe
O4 - HKLM\..\Run: [sysbj32.exe] C:\WINDOWS\sysbj32.exe
O4 - HKLM\..\Run: [winxs.exe] C:\WINDOWS\winxs.exe
O4 - HKLM\..\Run: [ipwi.exe] C:\WINDOWS\system32\ipwi.exe
O4 - HKLM\..\Run: [ntud.exe] C:\WINDOWS\system32
tud.exe
O4 - HKLM\..\Run: [addwa.exe] C:\WINDOWS\addwa.exe
O4 - HKLM\..\Run: [sysun32.exe] C:\WINDOWS\sysun32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [msse.exe] C:\WINDOWS\system32\msse.exe
O4 - HKLM\..\Run: [sysss.exe] C:\WINDOWS\sysss.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\PROGRA~1\QUICKT~1\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iear.exe] C:\WINDOWS\iear.exe
O4 - HKLM\..\Run: [apisl.exe] C:\WINDOWS\apisl.exe
O4 - HKLM\..\Run: [appdi32.exe] C:\WINDOWS\system32\appdi32.exe
O4 - HKLM\..\Run: [appeb32.exe] C:\WINDOWS\appeb32.exe
O4 - HKLM\..\Run: [mfcvq.exe] C:\WINDOWS\system32\mfcvq.exe
O4 - HKLM\..\Run: [ntnk.exe] C:\WINDOWS
tnk.exe
O4 - HKLM\..\Run: [iptb.exe] C:\WINDOWS\iptb.exe
O4 - HKLM\..\Run: [netyc.exe] C:\WINDOWS
etyc.exe
O4 - HKLM\..\Run: [javark32.exe] C:\WINDOWS\system32\javark32.exe
O4 - HKLM\..\Run: [ntff.exe] C:\WINDOWS\system32
tff.exe
O4 - HKLM\..\Run: [appyn.exe] C:\WINDOWS\appyn.exe
O4 - HKLM\..\Run: [addsa.exe] C:\WINDOWS\system32\addsa.exe
O4 - HKLM\..\Run: [syscd.exe] C:\WINDOWS\system32\syscd.exe
O4 - HKLM\..\Run: [ipsz32.exe] C:\WINDOWS\ipsz32.exe
O4 - HKLM\..\Run: [7v3j] C:\WINDOWS\System32\z1552.exe gdtgh
O4 - HKLM\..\Run: [Microsoft WPCEmail] C:\WINDOWS\INET20~1\svchost.exe 
O4 - HKLM\..\Run: [apiil.exe] C:\WINDOWS\apiil.exe
O4 - HKLM\..\Run: [atlzc32.exe] C:\WINDOWS\system32\atlzc32.exe
O4 - HKLM\..\Run: [ipzk32.exe] C:\WINDOWS\system32\ipzk32.exe
O4 - HKLM\..\Run: [apijk32.exe] C:\WINDOWS\system32\apijk32.exe
O4 - HKLM\..\Run: [javanu32.exe] C:\WINDOWS\system32\javanu32.exe
O4 - HKLM\..\Run: [crth.exe] C:\WINDOWS\system32\crth.exe
O4 - HKLM\..\Run: [winhp32.exe] C:\WINDOWS\system32\winhp32.exe
O4 - HKLM\..\Run: [nethu32.exe] C:\WINDOWS\system32
ethu32.exe
O4 - HKLM\..\Run: [atlbr.exe] C:\WINDOWS\system32\atlbr.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [MediaDICO36] C:\Program Files\LanceMediaDICO36.exe Lancement
O4 - HKCU\..\Run: [WinUpgrade] "C:\WINDOWS\System32\z24692136722.exe " 
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - Startup: system.exe.ren
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/PackageHtmlCab.CAB
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2DAD3559-2923-4935-AD49-B673D2539944} (IASRunner Class) - https://support.lenovo.com/fr/en/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/fr/games3.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - https://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.70
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.70
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32:svchost.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

samlagaure · Answer

J'ai mis en action Hijackthis :

Les lignes O4 et O16 ont été compréhensives et sont parties.
Les O2 et O20 sont quant à elles plus coriaces .

J'ai essayé individuellement les O2 et la ligne O20 un panneau d'erreur dû à la ligne O20 m'affiche en gros ceci :
"Unexpected error has occured at procedure modBackup - Make Backup (sltern = O20- Applnit - DLL : C\WINDOWS\System32\hrum363.txt/Error#5.Argument ou procedure incorrect."


La suite plus tard...Et merci encore d'essayer ;-

Lyonnais92 · Answer

Bonjour,

tu peux remettre un log hijackthis stp.
@+

samlagaure · Answer

Bonjour, 

J'y retourne de suite, PS: la commande "services.msc" s'ouvre, on y constate que l'HIdServ est déjà désactivé et arrêté lorsque je tente de changer les paramètres : "Acces denied"
Je tente la suite voici le rapport en attendant :
Logfile of HijackThis v1.99.1
Scan saved at 12:26:14, on 26/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Hammed\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\kytvn.dll/sp.html#29126%
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NC NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.70
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.70
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32:svchost.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

samlagaure · Answer

Enfin avec Move it en pleine suppression j'ai un panneau d'erreur qui s'affiche indiquant ceci : "Cannot create file C:\_OTMoveit\Moved Files\(date et heure).log

Le scan suite à la suppression :

Logfile of HijackThis v1.99.1
Scan saved at 12:39:58, on 26/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Hammed\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\kytvn.dll/sp.html#29126%
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = NC NUMERICABLE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.70
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.70
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32:svchost.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Lyonnais92 · Answer

Re

comme c'est un peu compliqué, je veux être sur que l'on est au clair.

Que fais tu ?

Que te reste-t-il à faire ?

@+

samlagaure · Answer

Rien, je crois avoir suivi toutes tes instructions à la lettre :-(

Lyonnais92 · Answer

Re,

il me semblait bien. OK.

1) poste le rapport de OTMoveIt que l'on voit si les fichiers ont été supprimmés.

2) relance hijackthis, choisis do a scan only et coche la case devant les lignes 02 que je t'ai donné. ferme toutes les fenêtres, clique sur fix checked. Ferme hijackthis.

3) relance hijackthis, choisis do a scan only et coche la case devant toutes les lignes 017. Ferme toutes les fenêtres et clique sur fix checked. Ferme hijackthis.

4) poste un nouverau log hijackthis que l'on voit le résultat.

@+

samlagaure · Answer

Hi

 ( je ne sais pas si tu as eu le tps de lire mes remarques avant de poster les logs ) comme je disais un message d'erreur avec un panneau m'indique qu'OTmove it n'a pas pu creer de rapport suite à une erreur d'accès, j'ai fait un copié collé de la rangée de droite qui correspond à "results" que voici

File/Folder C:\WINDOWS\system32\ieaf32.exe not found.
File/Folder C:\WINDOWS\system32\apiwb32.exe not found.
File/Folder C:\WINDOWS\system32
tqj.exe not found.
File/Folder C:\WINDOWS\sysaq.exe not found.
File/Folder C:\WINDOWS\mszy32.exe not found.
File/Folder C:\WINDOWS\sysbj32.exe not found.
File/Folder C:\WINDOWS\winxs.exe not found.
File/Folder C:\WINDOWS\system32\ipwi.exe not found.
File/Folder C:\WINDOWS\system32
tud.exe not found.
File/Folder C:\WINDOWS\addwa.exe not found.
File/Folder C:\WINDOWS\sysun32.exe not found.
File/Folder C:\WINDOWS\system32\msse.exe not found.
File/Folder C:\WINDOWS\sysss.exe not found.
File/Folder C:\WINDOWS\iear.exe not found.
File/Folder C:\WINDOWS\apisl.exe not found.
File/Folder C:\WINDOWS\system32\appdi32.exe not found.
File/Folder C:\WINDOWS\appeb32.exe not found.
File/Folder C:\WINDOWS\system32\mfcvq.exe not found.
File/Folder C:\WINDOWS
tnk.exe not found.
File/Folder C:\WINDOWS\iptb.exe not found.
File/Folder C:\WINDOWS
etyc.exe not found.
File/Folder C:\WINDOWS\system32\javark32.exe not found.
File/Folder C:\WINDOWS\system32
tff.exe not found.
File/Folder C:\WINDOWS\appyn.exe not found.
File/Folder C:\WINDOWS\system32\addsa.exe not found.
File/Folder C:\WINDOWS\system32\syscd.exe not found.
File/Folder C:\WINDOWS\ipsz32.exe not found.
File/Folder C:\WINDOWS\System32\z1552.exe not found.
File/Folder C:\WINDOWS\INET20~1\svchost.exe not found.
File/Folder C:\WINDOWS\apiil.exe not found.
File/Folder C:\WINDOWS\system32\atlzc32.exe not found.
File/Folder C:\WINDOWS\system32\ipzk32.exe not found.
File/Folder C:\WINDOWS\system32\apijk32.exe not found.
File/Folder C:\WINDOWS\system32\javanu32.exe not found.
File/Folder C:\WINDOWS\system32\crth.exe not found.
File/Folder C:\WINDOWS\system32\winhp32.exe not found.
File/Folder C:\WINDOWS\system32
ethu32.exe not found.
File/Folder C:\WINDOWS\system32\atlbr.exe not found.
File/Folder C:\WINDOWS\System32\WinAvXX.exe not found.
 
Created on 08/26/2007 16:36:52

samlagaure · Answer

Ave !

Bon les lignes O2 et  O17 comme la O20 ne s'effacent pas bien que le protocole ait été scrupuleusement suivi.

Dois-je ajouter un autre log ? (il doit-être identique au dernier)

samlagaure · Answer

N'est-il pas possible de déverrouiller manuellement la restriction d'accés au système pour ensuite lancer une suppression de files suspectes ?

Lyonnais92 · Answer

Re,

Avecta config, formatter, ça peut être tout perdre. En plus, comme tu n'as pas de Cd Windows, je ne vois pas bien comment tu peux faire. Et comme on ne sait pas si les fichoiers de restaurtation sur le pc ne sont pas infectés, il vaut mieux pas.

Mais sur, ton problème est un peu compliqué.

mais j'ai d'autres choses à voir avant.

1) on va essayer une autre méthode pour les 017 (si c'est possible) :

Aller dans Démarrer > Panneau de configuration > Connexions > clique droit sur la connexion > Propriétés > onglet Gestion de réseau
Mettre en surbrillance Protocole Internet (tcp/ip) puis cliquer sur le bouton Propriétés.
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne 017 =>(85.255.114.73 85.255.112.227 etc...)

Pour les éliminer, cocher : "Obtenir les adresses des serveurs DNS automatiquement" puis cliquer 2 fois sur"Ok" et redémarrer le PC.


2) Télécharge sur ton bureau DSS (ex Comboscan) :

(choisis enregistrer, puis Bureau comme emplacement) 

http://www.geekstogo.com/forum/files/

clique sur download (un peu bas dans la page)

Ferme toutes les applications en cours. 
Double-clic sur comboscan.exe pour lancer l'outil. 
Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK. 
A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK. 
Le rapport Comboscan.txt va s'afficher, copie le dans ta prochaine réponse. Si un rapport complémentaire a été créé, poste le aussi dans ta réponse.

3) Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : ruins
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient 

4) Si tu as réussi à faire le 1), remets un log Hijackthis.

@+

IBM · Answer

Re !

(Il faut savoir que le panneau de config ne m'est plus proposé, j'accède aux connections reseaux par l'icone de connexion internet en bas à droite de mon ecran)

Lorsque je suis sur le lien que tu m'indiques TCP/IP je n'ai accès à aucun des  3 boutons  en dessous (PROPRIETES) y compris un panneau indique en amont : "Vous n'avez pas les privilèges etc..."
Je tente le 2) et 3)

IBM · Answer

Chiotte de chiotte !


Je suis sincèrement désolé de voir tous tes efforts anéantis de la sorte, lorsque je lance DSS.exe j'ai un panneau d'erreur suivant "System Scanner cannot continue because you do not have administrative privilege...(je traduis la suite) vous aurez la possiblité de choisir un compte utilisateur utilisez celui de l'administrateur" Donc un panneau s'ouvre me demandant quel compte je souhaite utiliser et pour le compte administrateur il me demande un mot de passe ! je suis quasi sûr que quand bien même je trouverai ce mot de passe ca ne fonctionnerait pas.

Te sens-tu la pugnacité de continuer ?

Lyonnais92 · Answer

Re,

c'est bun peu ma faute. Je me suis trop concentré sur wareout, négligeant le problème des droits.

On va essayer de les restaurer.

Je conseille plutôt l'utilisation d'un outil plus gentil dans ces cas-là : VX2Finder (de Option^Explicit). C'est un outil qui ne sert plus, mais il demeure disponible. Faut juste le lancer et cliquer sur le bouton "Restore Policy", puis redémarrer. Sans danger. 





Télécharge VX2Finder   (de Option^Explicit)  ici 

http://www.downloads.subratam.org/VX2Finder.exe

Lance le et cliquer sur le bouton "Restore Policy", puis redémarre.

essaye le panneau de configuration.

Sinon, ouvre l'explorateur (tu peux ?), outils, options des dossiers, affichage

[Coche] « afficher les dossiers et fichiers cachés » 

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) » 

[Décoche] « masquer les extensions dont le type est connu » 

Puis fais [appliquer] pour valider les changements. 

Et [Ok] 

recommence la suppression des fichiers avec OTMoveIt.

Courage. J'ai encore des idées.

@+

IBM · Answer

Rien ne semble changer et  l'explorateur était déjà configuré de cette manière lorsque je suis allé dessus

Lyonnais92 · Answer

Re,

VX2Finder n'a rien changé dans les droits ?

est ce que tu accèdes au registre (démarrer, exécuter, regedit) ?


 @+

IBM · Answer

Oui j'y parviens ca m'ouvre une fenetre "editeur du registre" avec une liste


(PS: la commande "executer a toujours été disponible mais lorsque je lance la commande qui lance le panneau de config par exple j'ai un panneau d'erreur restriction)

Lyonnais92 · Answer

re,

as tu lancé OAD sur ruins ?

Avec quel résultat ?


Reprends la maneuvre avec DSS. Quand il te fais changer pour un utilisateur administrateur, choist le compte administrateur. Pour le mot de passe, tu ne fais rien (tu cliques sur OK ce qui revient à ne pas en avoir).

Tu me dis pour OAD et pour DSS.

@+

IBM · Answer

Je viens de lancer OAD en tappant "ruins" puis 6 pour type de recherche je le laisse finir avant de lancer DSS 
Comme tu peux constater, je n'ai pas tout fermé pdt ce tps est-ce un probleme ?

IBM · Answer

OAD cherche et vers la fin me lache une liste de "access denied" puis enfin file C\...n'a pas été trouvé.

DSS me mets un panneau d'erreur avec echec ouverture de session pour cause de restriction de stratégie appliquée ou mot de passe vide non utilisé ou restriction administrateur

Lyonnais92 · Answer

Re,

1) relance OAD et cherche sur winhp32

poste le rapport si tu en as un.

2) ouvre le registre (démarrer, exécuter, regedit).

Cherche la clé HKEY_LOCAL_MACHINE\System\CurentControlset\Services\Tcpip\Parameters.

Tu dois voir une ligne avec NameServer  REG_SZ  85.255.113.115 85.255.112.70 

Si tu fais un clic droit sur Name Server, as tu le droit de modifier ?

3) As tu un répertoire i386 sur ton ordi ? Si oui, quel est sa taille ?

Si tu fais clic droit sur C: (dans l'explorateur), as tu l'onglet sécurité ?

Tu as un XP familial ou un pro ?

Aurais tu accès à un autre ordi ayant le même windows ?

As tu les moyens de faire une sauvegarde de tes fichiers perso ? (sur un disque externe par exemple)

Je n'ai pas bien compris si tu peux ou non démarrer en mode sans échec (soit sur ta session soit sur une session administrateur).

Aurais tu la possibilité de créer une nouvelle session avec les droits d'administrateur ?

@+

balltrap34 · Answer

salut tous le monde

juste au passage cette ligne me fait penser au bon vieux CoolWebSearch 
je vous dirait normal avec un windows encore en sp1

peut etre faire utiliser ceci si il existe toujours pour voir
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix

ensuite passer 

CWShredder
https://www.trendmicro.com/en_us/forHome.html

il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next
a++

Lyonnais92 · Answer

Bonsoir,

merci balltrap.

Qu'il y avait du coolwebsearch, j'avais vu (au moins certaines  02 en sont la trace).

Mais je n'ai pas rencontré encore cette infection et je ne pensais pas que ce devait être la priorité.

Malagaure-IBM, faire les recommendations de balltrap en priorité.

Les liens sont actifs.

Je verrai le résultat au jour.

@+

balltrap34 · Answer

re
peut etre pas une priorite mais tu y verras plus clair apres je pense

demande lui par hazard en faisant une recherche si il trouve des fichiers comme par exemple 
cmd.com
regedit.com
a++

IBM · Answer

Ave Lyonnais 92 !

Pour OAD c'est acces denied à chaque coup ! et impossible de trouver le fichier resultat.txt en bout de course pour le log ad hoc.

Je teste l'action à Balltrap . Bonne nuit à tous!

IBM · Answer

SPHJFIX ne fonctionne pas to remove virus access needed ... voici le log


(8/27/07 00:28:59) SPSeHjFix started v1.1.2
(8/27/07 00:28:59) OS: WinXP Service Pack 1 (5.1.2600)
(8/27/07 00:28:59) Language: français
(8/27/07 00:28:59) Win-Path: C:\WINDOWS
(8/27/07 00:28:59) System-Path: C:\WINDOWS\System32
(8/27/07 00:28:59) Temp-Path: C:\DOCUME~1\IBM\LOCALS~1\Temp\
(8/27/07 00:29:09) No admin rights->terminate

Je suis sur XP pro

Comment fait on pour rechercher les repertoires i386 / cmd.com /regedit.com et leur taille

Je lance le second lien remove Coolwebsearch, j'en resterai là pour ajrd'hui

IBM · Answer

CoolWebsearch was not found on this system .
Si vs voulez le rapport qui va avec vous me dites ...

Lyonnais92 · Answer

Bonjour,

- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redemanderl'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller 
___________________________________________________________________

Télécharge clean.zip de malekal_morte
http://www.malekal.com/download/clean.zip 
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean. 
Ouvre le dossier Clean qui se trouve sur ton bureau. 
Double-clic sur clean.cmd. 
Une fenêtre noire va apparaître, suis les consignes. Choisis l'option 1
Poste le rapport qui se trouve ici C:\rapport_clean.txt 


@+

IBM · Answer

Bonjour

Au lancement de scan dialHelp après avoir choisi 1 un panneau d'erreur intitulé LFiles :

Erreur d'execution '75'
Erreur dans le chamin d'accès

Lyonnais92 · Answer

Bonjour,

clean.zip ?

pour diaghelp, essaye l'option 2 et l'option 3. Tout ne va pas fonctionner mais on devrait avoir des choses (j'ai testé sur un ordi sans droits d'admin).

Est ce que la fonction rechercher fonctionne ?

Si oui, peux tu lister les fichiers *.exe et *.dll créees dans les jours autour de l'apparition des problèmes sérieux ?

C'est avec ça que tu peux rechercher i386 (désolé d'avoir zappé cetet réponse).

J'aurais besoin que tu répondes à mes (nombreuses) queqtions du post 33. Merci.

@+

IBM · Answer

Bonjour, Je répond aux questions après ce post Diaghelp 3 : YOU NEAD ADMINISTRATORS RIGHTS... Voici pour Diaghelp 2 : FPort v2.0 - TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. https://www.mcafee.com/en-us/index.html Pid Process Port Proto Path 1240 -> 1025 TCP 1736 -> 1026 TCP 1136 -> 135 TCP 504 -> 3001 TCP 1240 -> 3002 TCP 1240 -> 3003 TCP 1452 -> 5000 TCP 4 System -> 1027 TCP 4 System -> 139 TCP 4 System -> 445 TCP 1240 -> 123 UDP 1240 -> 1900 UDP 1240 -> 3011 UDP 1736 -> 3292 UDP 1452 -> 3819 UDP 504 -> 3820 UDP 1136 -> 445 UDP 0 System -> 123 UDP 0 System -> 137 UDP 0 System -> 138 UDP 0 System -> 1900 UDP 4 System -> 3480 UDP 4 System -> 3881 UDP 0 System -> 4759 UDP 4 System -> 500 UDP PsList 1.26 - Process Information Lister Copyright (C) 1999-2004 Mark Russinovich Sysinternals - www.sysinternals.com Process information for HA-ORMPEE4TVSN1: Name Pid Pri Thd Hnd VM WS Priv Idle 0 0 1 0 0 20 0 System 4 8 54 326 1868 44 0 smss 740 11 3 21 3788 28 172 csrss 796 13 12 398 24624 2068 1592 winlogon 820 13 20 487 49440 1772 7068 services 868 9 17 286 19412 1044 1488 aawservice 288 8 8 123 144284 376 34620 alg 504 8 6 125 30312 264 1212 svchost 624 8 6 101 17028 248 948 ibmpmsvc 1048 8 5 36 17852 236 428 svchost 1136 8 8 237 16728 1040 1192 svchost 1240 8 81 1432 129600 3660 14688 wdfmgr 1280 8 5 59 12780 228 524 svchost 1440 8 5 70 12628 1008 936 svchost 1452 8 17 177 30408 336 1684 LEXBCES 1692 8 9 134 42384 240 1264 LEXPPS 1736 8 11 101 39188 448 1060 spoolsv 1728 8 13 137 41616 600 3416 lsass 880 9 20 308 36240 1092 3432 explorer 340 8 14 407 73500 11064 14272 IEXPLORE 3752 8 17 550 184728 15472 59820 cmd 6200 8 2 21 14672 1664 2556 pslist 7148 13 3 70 18580 1844 776 SpybotSD 3508 8 3 2930 1372740 2424 72764 ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com You do not have the DEBUG privilege, which is required to run this program ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com You do not have the DEBUG privilege, which is required to run this program ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com You do not have the DEBUG privilege, which is required to run this program ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com You do not have the DEBUG privilege, which is required to run this program Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 38BD-2921 Répertoire de C:\Program Files 27/08/2007 11:10 . 27/08/2007 11:10 .. 13/08/2007 12:39 Adobe 28/08/2006 16:40 Alice_Triway_WiFi 22/08/2007 22:01 CCleaner 14/08/2007 19:55 ComPlus Applications 22/03/2006 21:19 Conjugaison 22/03/2006 21:20 Definitions 20/01/2005 14:20 directx 17/04/2005 16:22 DivX 07/05/2004 16:18 180 307 DMW36.exe 08/06/2004 11:37 49 664 Désinstallation de MediaDICO36 dans Word.doc 02/06/2004 17:41 34 304 Désinstallation de MediaDICO4Word.doc 04/08/2007 23:19 Fichiers communs 22/03/2006 21:20 Francais-Anglais 17/02/2005 22:21 Hewlett-Packard 04/01/2004 15:57 121 344 IndexV2.dll 08/06/2004 11:37 81 920 Installation de MediaDICO36 dans Word.doc 23/08/2007 23:06 Internet Explorer 11/03/2004 20:23 InterVideo 16/04/2006 23:13 Java 15/02/2005 19:30 Kit ADSL 27/05/2004 14:25 252 416 LanceMediaDICO36.exe 08/08/2007 02:27 Lavasoft 22/03/2006 21:20 Lettres Types 01/12/2005 18:54 Lexmark X5100 Series 25/06/2004 11:19 1 785 Lisezmoi.txt 27/05/2004 14:24 280 576 MediaDico36.exe 23/06/2004 10:49 763 326 MEDIADICO36.HLP 28/05/2004 14:48 278 623 MediaDICO36Word.dll 02/06/2004 17:42 35 328 MediaDICO4Word.doc 13/11/2001 20:08 1 408 486 MediaR36.Pat 06/11/2004 13:47 Messenger 09/03/2004 22:26 microsoft frontpage 11/03/2004 16:51 Microsoft Office 27/11/2005 01:44 Movie Maker 05/08/2007 12:23 Mozilla Firefox 05/07/2006 22:40 Mozilla Thunderbird 20/08/2004 22:07 MSN 19/11/2005 17:01 MSN Apps 09/03/2004 22:13 MSN Gaming Zone 25/02/2006 12:44 MSN Messenger 26/08/2007 19:53 Navilog1 04/02/2006 23:41 NC NUMERICABLE 09/03/2004 22:15 NetMeeting 21/12/2005 12:48 Outlook Express 03/07/2006 00:26 QuickTime 02/06/2004 15:10 217 171 RAC36.exe 05/06/2006 01:44 Real 06/05/2004 14:59 184 403 RMW36.exe 21/08/2007 19:14 Samsung 27/08/2007 12:11 Spybot - Search & Destroy 22/03/2006 21:20 Style 22/01/2006 23:44 Support.com 22/03/2006 21:20 Synonymes 26/08/2007 03:35 Trojan Remover 21/12/2005 14:34 VideoLAN 13/09/2004 18:59 Wanadoo 11/03/2004 16:17 Windows Journal Viewer 15/07/2006 18:03 Windows Media Player 09/03/2004 22:13 Windows NT 09/03/2004 22:26 xerox 19/11/2005 17:24 Yahoo! 14 fichier(s) 3 889 653 octets 49 Rép(s) 8 795 389 952 octets libres

IBM · Answer

LIister les fichiers exe et dll risque de polluer la page plus de 1000fichiers rien que pour les *.exe

Je suis donc sur XP Pro.
42 Clean.zip : "Access denied" pas de log

33-1 whip 32 : Negatif

33-2 Je trouve bien la commande avec le bon numero, le lien modifier fonctionne, en refermant panneau "Impossible de modifier NameServer: erreur lors de l'ecriture du nouveau contenu de valeur. (que je n'ai pas changé au demeurant).

33-3-1 Recherche repertoire i386: il en existe 4 : 93,1Mo (driver cache) / 671 Octets / 98,8 Ko / 1 Ko.
33-3-2 Ds explorateur clic droit sur C: Partage et sécurité : Positif
33-3-3 Je ne possède pas d'ordi avec le même windows (ps: mon xp pro peut etre une copie ayant été xp familial à la base)
33-3-4 Pas de possibilité de sauvegarde externe pour l'instant
33-3-5 Je peux effectivement demarrer en mode sans echec sur ma session uniquement et sans reseau, le resultat semble être idem.
33-3-6 Quel est le protocole pour créer une nouvelle session avec les droits administrateur, je précise être déjà entré ds ma session admin (pas en mode sans echec car pas possible) pour les mêmes resultats negatifs.
J'espère ne rien avoir ommis.

PS: On m'a suggéré Spybot : à l'installation j'ai un message d'erreur qui dit : "Erreur lors de la création de la clé de registre Hkey Local_Machine\Software8...8{53707...484F} RegCreateKeyEx a échoué : code 5 Accès refusé.
Je continue l'install et il me scanne 636 Identifications  type Spyvampire CoolWWWebsearch et autres joyeusetés du genre seulement au moment de les réparer il y a bug !

Lyonnais92 · Answer

Re,

tu as 1000 *.exe ? même si tu restreint la date de création entre le 1 et le 20 aout 2007 ?

on est toujours sur ces droits SEDEBUG.

Tu n'as pas répondu sur l'accès au registre et la possibilité de modifier la clé.

Clic droit sur démarrer, explorer (ou démarrer, exécuter, explorer ou explorer.exe).

Clic droit sur C:

Clique sur propriétés.

Clique sur Sécurité.

Quels sont le noms d'utilisateurs et de groupes ?

Mets les en surbrillance l'un après l'autre

Qui a la case controle total autoriser cochée ?

@+

IBM · Answer

Pour l'acces au registre cf réponse 33-2

En cliquant droit sur C: + propriétés j'ai un panneau, je vais sur l'onglet Partage, deux possibilités (Partage Local & securité) (partage réseau & possibilité) Impossibilité de terminer l'assistant configuration votre compte n'a pas l'autorisation 
Nom d'utilisateurs de groupe n'apparait pas

Lyonnais92 · Answer

Re,

Tu télécharges AVG anti-spyware (gratuit même après la période d'essai) ici :

http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw

Tu enregistres le fichier dans un dossier.

A la fin du téléchargement, tu ouvres le dossier et tu doubles click sur avgas-setup-7.5.0.47.exe Tu suis les instructions.

Si on te demande de redémarrer ton ordinateur, tu le fais.

Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.

La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état", tu choisis inactif pour le bouclier résident.

Sur la page "mise à jour", tu coches les cases sur les mises à jour automatiques et tu fais une mise à jour manuelle (commencer la mise à jour). Tu redémarres l'ordinateur si nécessaire.
Sur la page "analyse", tu choisis d'abord l'onglet "paramètres". Tu coches "générer un rapport après chaque analyse" et "uniquement en cas de menaces". Tu choisis aussi l'option "quarantaine" pour "comment réagir", 'définir l'action par défaut ...'
Tu choisis l'onglet analyser, nouvelle analyse, analyse complète du système.
Aa fin de l'analyse, tu cliques sur "action", "appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre. 
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.


Tu as vérifié  combien tu as créés de fichiers *.exe entre le 1 et le 20 aôut  ?

@+

balltrap34 · Answer

salut

pour recuperer les droit il me semble que sdfix le fait

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

a faire en MSE et decompresser avant dans un dossier qui lui est propre
a++

IBM · Answer

Il  serait bien de changer de page qu en pensew vous ;

je continue sur sdfix


Merci







---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	20:22:23 27/08/2007

 + Résultat de l'analyse:	



HKLM\SOFTWARE\Classes\CLSID\{0059410E-8DEE-0D98-C3BC-33C7339C21E9} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0079FF9A-FD61-2E10-F545-1738C991EC0B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{013D29ED-4BEC-429C-5906-BA9871F852E0} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0152093B-52C0-D7E8-FBD3-2B2966BDB4FC} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{01D2AB2E-F21F-B5AE-9B4D-2760FBB33C6D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{02119D99-289A-830C-563D-3EDFD4A449D5} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{02AEE941-B1DB-3EAC-10FE-5DE07E619636} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{02E5DA79-DA5C-C19C-1D4B-D80A9ABEFF86} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{03366A3D-41F9-DA72-3EB8-2B95B53BE1FE} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{035AB507-A454-30C0-7879-F028430BA8A3} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0402ED77-6A3E-935E-AC06-95ADD3F1EC13} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{04287934-A971-5C77-BE0B-64B36D512D6F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{04D322D8-6E9F-B9CF-374F-684A98A210FF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{05563232-5F02-763A-E92E-D32E0B4BF53F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{05936A67-40A0-A0D5-9587-1B76477FEA8B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{05A55FD0-07CB-11D2-9597-D96F9FF82934} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{05A88A23-B9D1-7899-EB64-F4AEB6601F25} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{05B54EEA-CBAB-75C1-8A21-34789E39A7D5} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{05D28462-944E-6985-69CD-AF3E4EABB1C8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0619A956-9257-5FC3-5AF0-B50872BD2662} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0631CBDA-7F99-C68B-C89A-E8A19DA73BEE} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0652BFB3-DCA0-6EB5-0121-05A3DF7367B8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0656A676-3143-7AEE-8233-D6C8F6EB3F31} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0678BD57-7926-2CB9-09D4-78CBB306F3AF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{07BF4602-E2FB-340F-985F-24FA453D5964} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{07FCAF49-FD62-5DEF-3389-86CC7653686C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{08788D4D-B7F1-E0B7-38F5-5DE055657FD8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0880B42C-A5FF-7B56-F478-BFA831757B65} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{08BCB911-27A7-446C-4557-9FF6E0AB08B2} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{092CC6AA-538B-D8B7-4D6D-94C9785175B6} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0A28BEB8-1EA0-A145-1D54-2B42E5843DD8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0ADEE711-8B02-83DC-B2AE-86A9DD5436D7} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0AEC525A-ED03-D53F-46FA-32063DDB6198} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0B01EADD-4EEA-1744-7321-45BB28A5E86A} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0B01F3E9-B4C0-2C24-AA3E-F733655C3C34} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0B1EE411-AA39-3697-5178-CE2DA69880D8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0B7CFD10-5930-D230-8AE6-63D005DFAA54} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0B7DA733-FF81-0853-67C8-61DE180DAB2D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0C09C91F-D6A0-CAF8-74FC-941EE3124F50} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0C0D4791-72DA-02C9-E150-61A802FCA1A8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0C18E623-72CC-830F-C73A-DD00A95B5062} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0C547B86-675D-3A79-5648-2D3DF951F175} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0CB47655-F1F9-0848-D574-0B1EABE280A8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0CBAA30F-7114-C7D5-1986-02B4821F6A69} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0CDB1DD7-52B3-2820-650C-593397A1BE07} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0CE905C3-8455-A25B-CEAC-5D9DB1D32FCC} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0CEEC41A-54F9-F1D2-230D-B4B044ECC202} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0D477064-C0A0-92DC-477A-47E26D658ED6} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0DA5C488-C148-5DF5-F52E-033E83A175DF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0DC9678A-0260-8CEB-0563-594D9FB02903} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0DCB9E68-E0DA-5BCC-27DD-E95405C09A42} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0DF97C19-5FBD-BE15-697B-42AA2347B4A7} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0DFBCB63-C236-4AA8-9785-4DB42DA67929} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0E0566F7-EA1D-1C67-9F75-7DAC95434628} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0E0649E4-4EF1-5350-5D27-33BAD0093516} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0E203429-DA50-70B7-1AE9-3AD01EAF46A0} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0E4BFC7D-A620-1039-A544-DCBBF80CB7B5} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{0FEE2B12-C5D9-DD81-B7C2-838A42907D52} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{10098A3C-CA02-BD81-F78D-88E907150E64} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{102D7ADF-B1F2-150B-DD47-0D7AE8ECDFE0} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{10ABDCE8-0FE1-1F00-353B-C722D83B9139} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{10CD072E-A68D-DA55-AC5C-4CADA122CDB1} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{10DCC6BF-4320-96ED-E95C-D51538F50933} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{10EDACBE-902A-F6FD-A7D9-7D96FA804409} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1182AB83-7090-44B1-FE2E-B48198A41AC3} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{118C66D3-3C81-ABC0-D259-67DA083B7C2F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{119C2056-F0FC-98A4-94CE-0E4172116C61} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{11EB3E6A-EFA3-85E6-D818-DE13957C0E7E} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1204A789-0139-F9B1-BF9E-4BECFF8288F8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1213B49D-9D45-A2C8-01DB-95DEB4CC99FA} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{121A0A67-23E2-D6D6-BFBF-1D26532FDEE8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{127DCE58-43C3-C89B-6D1D-257429B31480} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{12FA8EE3-A02B-CF1E-DA5F-AEB55869AB79} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{12FBA720-E649-FF47-B062-F9A0126550A7} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1302E13C-B2E6-4C8C-5FF5-4CF6F791F3F3} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{13BD9B36-4820-8C12-1D26-537F1DF455E4} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1426F8F7-026C-1510-CDFC-CB9062ABBD21} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{143F0CC4-8D27-1804-BC97-F2655B846C8C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{14570B30-8EAD-750C-EC17-A00DFB10E964} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{14CCD766-C2E6-995C-44CF-01F3B7630E42} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{14CE5B7A-6546-0088-A736-F486C8A0A93F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1543D985-30C4-833D-0C16-5C0B34868EDC} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{156984A9-F699-740E-83F2-2DA8BCC50A03} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{15AC61A5-E699-0150-B1AE-88BB5ADD5624} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{15E5E5EB-E087-EF0F-B31A-9BD0E10CEB7B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{15F4A47C-8C2A-AC97-FF19-354878EF18EC} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{161F52CD-4121-1BCC-F50E-B9146F3AC521} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1680C9F9-C963-3F25-F481-EBF1DF741AE8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{17409720-5ED0-FD1E-30CC-A5B875F49EE6} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{174A517A-57C0-38A1-C5AD-FC8A4F20704B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1764636F-D6F6-5B3E-2615-46A13A0FF858} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1766F574-1FEC-29E3-BB86-27DB4E086FBF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{179408EE-D094-77D5-2292-789A736D6E90} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{17A1BA50-1F42-91DF-8D52-9482601397EF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{17FC710D-C0F3-9F8F-B630-C6A396F77B7E} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{181B2C16-1A3D-7B77-3704-47B27ADF77DD} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{18A2EFFD-B6E8-69B5-4ABB-1F1C8F860433} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{18BD7DCC-AC2A-B289-1768-2B64A69A9AAB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{18C2B1ED-7635-92A8-5DB5-E71520573650} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{18C9B52B-7151-9593-8427-72C86515DCDE} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1973C657-3456-8254-BA73-AF45736DAC56} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{19B3FEAA-8469-F427-3872-DB341DF3BC16} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{19D9B83E-6A67-ADBA-A6E2-544BECE927B7} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{19E66A49-D909-F575-BCC4-6D32ED8DD1A5} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1A69DA72-4CF3-AD1A-1738-F728300B89DD} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1A75C10D-DCA1-6A8F-9C09-C4038A478801} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1A764B1F-5738-A16E-7A1B-A977B8826F3D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1AF00634-C2FB-9A72-F991-B01C513D1D04} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1BFA8286-5407-CA22-83F1-B5897B8E64B1} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1C50DFC9-9FB4-4338-6B9C-818A0B1BB320} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1C716D90-1EF1-DAB0-7395-A99040661F78} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1C7373CB-D0CC-712E-8CD1-C898172A6764} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1C7E1FF1-5EAF-F4A9-CE65-C6783D1C38C7} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1CA0AD4B-4567-AA75-CB81-8F68F4CB4B17} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1D0D8469-DE38-6B08-0B53-CEC13868F0DB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1D200653-3395-8F3E-CE6F-90DFC9291C6B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1D30E5A0-28E5-58CC-B632-2ECF3ADEF219} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1D3E2C15-0CF2-F9E2-738A-4E2A38D1C765} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1D4E16CB-FA36-C50A-24B0-0F1B77AAC063} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1D55AF23-0EE3-016F-13A1-A8C619C47EB9} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1D625988-E8BB-2679-4764-1226C8D3423F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1DD02D78-94ED-2567-A517-60F003546033} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1DD32093-E374-341B-E07C-631608E16BFE} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1DFFBD4D-E8D2-D6F9-3733-F3C0A037E369} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1E89B7E4-116B-E570-EF01-82F82929A7FD} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1EB77D8F-DC5A-7E55-59FC-844CAE64FC70} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1EDDA893-407F-4AA4-792C-9D75EC6A544B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1EE99722-6957-F238-C8E0-A8C8F80F1EB6} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1F44AA6D-EC41-5147-FC97-D58C6D7B6574} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1F49B46E-A0DA-CDF6-D913-1FAB1FF1A5FC} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1F50B05E-F490-4773-D83E-94FEB595AE83} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1F69CF17-3EAB-08BE-CCFD-9FA5E95AD64E} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{1F7B837E-CC0C-8A77-DD3C-43144BEFEB4B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{20104286-DF9D-55B7-3987-0E150B2624FB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2011A482-9631-C233-4FD4-8C9792153745} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2033AF1C-D520-7182-0C22-FB9A711BC872} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{204CF7AD-DECD-3393-D1C2-CF61EC78EE41} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{205C6908-B58B-58E1-DDB3-F55EC80EF005} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{208A50C4-AA43-C00A-366F-102C233C5E34} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{21E654F5-CF30-4A95-C97F-98763D1324F9} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{22D86BA3-CC72-EE2D-3BE1-802B27CE44D4} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{234598CB-5651-C6B2-5F18-5E60FF9E4057} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2347CF0F-05E7-68D1-B57E-F27841B120F6} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2368F6A6-2EFF-B4BC-66B0-50E65096544D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{23804345-0FD5-5680-B6E9-05AEE8E0B54D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{23F257E0-B066-AEB7-2685-85F0FCB6FA44} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{24819649-3D0E-572E-E929-72CFF5116D7C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{248F4AA0-2FBE-AC94-9343-FA3E8832F5B2} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{24C88EC4-0FC2-9C0F-A5FD-F3DA397E615C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{24F97D98-2C49-E290-D498-F4BEB6261675} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2538EAC6-ED02-4856-02AA-04BFA5E633F7} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{255C0A8C-FFCB-9E14-D824-A3CA6BB01C10} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{25621D25-CCE1-BDB1-EAC4-31F0056830B8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2592478D-5A23-CA94-7339-22D7A0CDB1C7} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{25DECCE7-F1A6-9D7B-61B1-CD9A963DD1D1} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2636D4AB-1A37-A0D7-FA6E-E5B7DE21DBFB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{263DE9FD-A5FF-1173-6483-3084AC7F97CC} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{26E7E866-6D54-C7B1-81A2-0CF02B7B3F02} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{26F48417-BA3B-EB85-58BC-D6D86BF802EF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{26F6F77F-BB62-AC45-2249-A1698510CF0B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{27B7B1C6-9CB4-0DCD-50C3-E8A0B4BD572C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{27DFD847-512E-4338-58F6-FD49FC94A8E7} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{28749852-4EA9-0662-286C-D43C4474D30C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{28FF0DAA-6EDD-259A-83C4-EADDF15D72AD} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{29DA78D1-B9B4-67A0-5BB2-59403A46FD87} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{29FBD99D-346E-B31B-802B-EE460130FD4B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2A8AF1EF-EE13-821E-7C1B-7314624F9B91} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2A9662AA-4849-22DB-067B-367AC4291006} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2AD65A3E-9102-2908-97F3-ACC8FB4F5F27} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2B197D6D-2290-E3D1-81BE-D36E15D72877} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2B4B5589-B4B7-A432-BCE4-C96F8E7DB2A0} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2B5650C5-B88E-428F-09F9-0AA365391EAC} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2B91E7DA-0139-CAF2-705A-DC5942CF0C87} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2BEB5930-7738-6D7C-0175-118F5147FE64} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2C0B32E0-295D-9D74-A736-2C89A04196F2} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2CB7B816-31A3-1DED-8E62-A71F5431827F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2CE5CDE3-CDE1-DC80-2907-A183C22ABB18} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2CE711D5-3677-6478-9DBE-8A8DEE743E69} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2CFEA94E-5A24-A0DD-8BBF-23387F8EEBCF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2CFEC154-1E18-8A30-5463-8A3A27DAB092} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2D4B5942-8F66-295D-B11A-3B87A24FA44D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2D6035DE-3120-DCA0-6CA3-399E0B83B881} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2D6A3F39-74F8-F676-F044-9AEACBA3A3A2} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2DE2E32B-B55C-A5EA-49AC-83E7064764A8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2E0DA8F3-D533-C35F-86F9-7941DD3B56CB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2ECE8A5F-7B88-0E3A-7B26-178AA424B2CF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2EE5241D-6041-2CDD-BE05-C4263150CE85} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2F1DD172-0ADF-FF90-D55E-B35DFB2AA152} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2F71C161-9404-0890-EE38-E0DB36A3CA46} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2FA52032-1E94-2115-5339-3DD83C054D24} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2FF51826-0B4A-5060-2E29-012F5E708955} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{2FFCC592-EAD4-6D02-D413-20591011A0B5} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{302E2E2B-175B-DB57-B9B4-E06F5734627F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{30C3A30D-2398-1F51-D24E-D0BF5E8FA9C4} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{30F4CDF6-81B1-7562-8520-092C933C2A6A} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{31451140-D490-AC89-EE69-102E0A91D1F5} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{315397E1-2F75-F176-4C18-ED9C483D3FF6} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{319AAF29-5AF7-424D-A2BF-652F766BFD22} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{31CAFF31-CAF1-7646-DFFB-9816BE09D4B4} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{321EE6F6-38D2-4E50-0092-8423258A5117} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{325A30D6-CBA7-2D68-35E6-F46D58D22544} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{32E6B1AD-57DA-97FF-68F1-2FF8F480D770} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{339256AA-8BCF-874D-EF8C-FA209292FBD8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3394D852-9B10-F0CE-BFBD-7E2B1261B86E} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3399E1A9-BC61-B7F1-035F-9058DEB31A24} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{33AC10E4-94BE-C3D0-855D-41F27DCEDD3D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{33AFF50D-3DBF-7B1A-9ED9-47706F9F1C8D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{33B83AED-E143-6D33-8C35-97CF4D6BD485} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{33C77152-B550-0E68-4A8C-A73A3B6FA8D1} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{340F8BCF-8B84-64A3-3BC0-8BEDA7F94B34} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{344AC5DD-6D3A-D034-A6A0-0C3EB4B5AE67} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{34563B77-50A7-B32B-750C-907E592AD1F7} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{34794103-B86E-82C7-B7C0-2D802B322604} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{34A960FA-FEAE-C88C-D43B-38ED8EDEF4D9} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{35199E36-3422-845A-E57E-AEC0A5D08B2F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{35B8A425-0350-E3BD-CEB5-8BF8DD5BFF9C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{35DD3148-13AF-7E05-14A7-6EFF52CEAE58} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{36A51990-DC1B-F1C4-0E14-567C09368C42} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{36CC50DE-E932-3435-B11B-709E3AFE8849} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3739B70B-C6B3-2B4B-5988-766BCAC45148} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{37657683-0CE5-E146-5CDD-FD31D3CFDEE8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{37708770-E494-86C9-3D98-817566C59056} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{377FC94D-A085-2B89-B543-C2E033EE98D3} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{37CF6004-3B79-AF23-6CA0-AB547C1738EB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{381BBFBF-75F7-FA50-1A44-BAA75ADBF02A} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{38684DAB-CE7D-692F-F285-5CE5F24E21F4} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{38B38285-1192-F79E-1DFC-91016F827D80} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{38E6264E-B9B2-30F0-ABA6-5A1961E89E35} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{395AC10C-9B60-248F-194C-9D8697C487C3} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{396EC13B-FBD5-7CB6-FBE2-8F3EF6279037} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3A0CFF30-8DF7-B57D-9CDD-C367C5FEE986} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3A2FB291-EE29-9B25-92B7-C2EF27B58D34} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3A3A236D-485F-3BD2-2C16-8545899F02A9} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3AE8EE7B-7C3E-6FBF-C653-255CFF23FF5E} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3AEABCED-8F75-E658-FEAF-9C53AF605935} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3BA6AA5F-1515-ADF8-EF05-477D6B1F4983} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3BAC7FD1-B883-94FE-6C92-CDA8C5FC35B6} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3C4627AE-0AA1-6241-BD1A-86B034544854} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3C69E401-83BA-7846-3959-9348791DBFD2} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3C6D6FE2-DACB-D02F-CE7A-FC690B77B352} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3D1E8A6D-0FB0-0E2E-D985-66A3F50B7CDB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3DEDC85F-9AF4-A827-0655-10C0CCD8F206} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3E870595-519D-C0E4-FF31-D05C38801FF3} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3E905C20-9849-6789-7677-489C0D81C5DB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3EA8A2CB-EFF4-0E2E-EDCE-A0DCC3726BB4} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3EB510B6-951F-3179-585D-DFB2CF7A044C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3F279D4C-3F1D-88B9-97AA-309FE0DA4005} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3F7A0085-83DF-8EA3-6353-820069149E3B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3F914477-1DF9-D259-7203-3EB9F96EABDB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{3FF4DC00-DFBF-5AF6-26C7-ADA5FDD1BA63} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{401249DD-FC9A-788E-2A42-6F9CF15DDAD5} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4095C10B-6EC6-82D0-9EF0-BD6BFA3F2100} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{40A0E35D-1680-0A91-C3B8-64A0784852EF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{40F96ECF-F256-A2FB-6BF0-5B6FD5678995} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{41196237-BC88-9E50-C0A8-41D2474D43DF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4197FF54-5C18-A7E5-9CC3-32130092E2A4} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{41D0E5E5-4CC4-AAC1-982F-7B2573677ABE} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{41DD4452-2D56-E935-6EE4-63B88255DB25} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{41F5F193-2847-4C58-4289-83C6B29FA6AE} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{425869CC-CAF3-1D33-10A8-5A48605BB7DE} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{427792FE-C50B-E431-ABCE-3735EA006792} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{429E13B0-44EE-FDF4-B79F-325939852F8F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{42AB9CF3-E4ED-23DA-ED81-823FF391EB58} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{42B564F0-7ADE-60B1-EF1C-6A894D5FEF56} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{42C21F01-F6DE-4B57-9CA9-ECDBD48392AD} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{42DE119E-AE63-2908-88E0-D7B611D264A1} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{432D80CE-5941-97E4-D7AD-D9398766CDFC} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{435DCDD9-3B9E-86B0-4766-2C88AE5BABD3} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{43F180D7-BEB2-9D82-0058-EBDBF43E7CDD} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4483F166-F3B8-1965-BFB9-89C232CE9375} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{44CDEE57-A711-7BB5-5A48-6D6A0C169088} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{44D535F2-FECD-125A-C19F-C5AAC1173651} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{44FF9B6E-F797-2D86-0148-1DE3BCB54D24} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4504C936-6489-5173-C645-4CAC683228A5} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{45BE5D9D-A13A-9FA6-68C3-7E04D9D89E5B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{462ABAC7-66E3-5660-8CBA-66D2878BA39A} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{474BC714-CE9E-6D6E-EFD4-FC75E4F9B77C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{47B9F729-3189-E35B-F1F5-F72AEA8BA6CB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{480F93E5-1EA1-846B-4D48-DF3B6EE949C1} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{483B85DB-02AA-2855-E2A4-EF02FD55CE65} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{484906C5-5673-80DC-0AC6-EE6009066FA7} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{49067854-CD81-932C-FF39-319631A78BFC} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4938C672-4C71-763F-5CFE-2D84A8BEE597} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4990967D-A77F-78C6-04CB-7D9FC81AF19C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{49ABD4CA-43CE-2B84-0C13-B7E4A4937EFE} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{49FE9E16-856A-3121-F94B-0D522A4EABA7} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4A5ABB53-102D-C19C-B368-482572DCB536} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4A8FA403-6D03-3DF6-B04E-8F3E905BDA8C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4A91B99F-D4CA-0C93-F3F2-1D4062632089} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4AA78A1C-2787-A2EF-75B3-675D072C942A} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4ABB5929-6D33-1BD3-5889-307B70AC94D2} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4B02E42A-B623-F767-2CF1-00AA0DD56907} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4B1BD92A-D820-FD46-61B9-21E60CDD6E17} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4B1F2248-1481-1DBC-EEBD-29F80FEB4854} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4B33972E-DEC1-88EB-5E8B-A204CB6352D3} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4B4A7A1B-6339-9B82-A647-3BB28B29CC2F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4C67ADE9-3F57-417F-CB81-21BE366D1D10} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4C8800AB-6CF3-C966-4F43-113BB2B29CDB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4CC44A9A-EFC8-A88E-7497-8165E50B60F8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4CC594DF-0292-E368-A8D4-51511955AED9} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4D1B1005-4C66-86D2-0123-8C1F255C711B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4D253403-A759-B41F-BFC5-5B569B8A80CA} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4D3F045A-9870-CF55-CF30-851993A3AF6F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4D4601F5-8E7E-0E4E-5736-315F1F6D86C7} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4D6349C9-DB1F-F1BC-CA27-1B9D604C7F02} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4D7AAE7E-60D8-7CE4-E215-285680E2A5E4} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4D85109F-9B1A-EFDF-B061-FEADDEDF9ACB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4D8E7FD0-7790-B916-09D7-0575F565150C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4DB624D8-175B-4ECB-DF8C-D31A7653C5FE} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4E0B788A-64A7-A3AD-9CE7-5AB847C4197B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4EF1707B-B4FD-7792-AB9C-69E417130CC2} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4F9B791C-3B84-6C9B-0401-9D85FBAA515F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4FC8DEB1-F1D1-A372-C707-8CDE9041038F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{4FD5405E-0C06-B7B6-1BDA-2E2D18C8E9EF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5061A3C6-884B-9AB8-F5E1-55D04DEAF516} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{50B48177-18A1-B9B0-E399-90C5E06199DA} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{50BF8233-1F18-33EA-155D-8BA70712FAF3} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{51210ACC-D1ED-AB86-D910-0A930B850A8C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{514CDFE1-5B4B-0907-2D78-0540364AC64B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{51A5E55A-DBC8-0593-971A-EAE68569E372} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5213AF83-7FED-5A24-45C5-5E369B1EDFCC} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{52C881AE-E0BB-A519-E212-711BD6265712} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{52CD0F8D-B479-321E-14B5-AAC47839633C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{52E66C5C-7677-FF3C-13F5-F8EE7DD825AF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{52EE5932-7B3F-A426-717A-E8B9A8D79E2E} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{52F8F9CD-14A9-B376-D6F1-0CF3B6100277} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{52FCEB81-9114-EFEB-DD79-EB28BF9BAEC1} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{532D9DA8-7E64-F815-CD8C-30A97F0FBC8A} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{535C0868-F78C-D87B-99BF-4E0AEB7AC6A6} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{535E35AA-8D4A-594D-7AAF-C4036A8AE285} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{53930D97-4532-1E91-B33D-519D9E5AEB30} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5395C6CC-9119-AA2E-B008-2D31A543B883} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{54028461-3C8F-7634-DFE1-4BEC3EAEDF75} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5402CD2A-FA13-970A-A0C1-04FC6535CE9A} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{544B7F26-ABCC-6632-0DB7-C12341FA8D26} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5458BAA3-A40F-AB9F-E72F-77F8C6801EAA} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{54595623-DD6E-DF6D-5647-D57D6B2CFEEB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{548455C7-8C77-692F-0904-1B35B4C01430} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{54869853-24E2-1ED8-29CD-D04EE4F73800} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{54C5905E-0369-60F9-CDCB-EDB4F8270A70} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{55137207-2D44-07E6-708E-820432CCFFA5} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5624FB2A-5E7E-C67B-2C18-0AAF52EEFBB0} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{563D1E57-F852-8021-0147-EAEEA18FAA75} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{56791174-6E86-7AEF-B404-ED9E42ABFF73} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{574F5154-24C8-7C08-5A89-1EF0CC0ABB65} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{57AA538B-F827-6D87-4C8B-7BABB6F6EAD1} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{57C0C13E-E95C-411D-BCD9-A537E6B2AA24} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{57FDE903-AAC0-B3E7-73BF-3516CC3EA006} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5880036A-0118-7632-5BAB-52818C7FC91F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5899D6C8-2875-45AF-8736-13BE0C3BA5EC} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{58A9849D-12E0-4CBB-4B4C-84249CEA038D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{58BA44D2-4E05-CF21-D46C-343B479557D8} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5952B661-A49F-07C2-2FD6-A5C20926F8DF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{595E8685-EB6C-A3A5-926C-BC92B1D2352F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5A4A94ED-C74D-A00A-A13D-822AEF3CE343} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5AAEA235-BFAA-455F-5151-1C8ADB127CAA} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5ACA4795-58D2-18DF-8B28-5ADCC50CDA8F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5AD1C8F8-A89B-7AC1-A165-9D86BEDAA202} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5B539ABB-4124-C42B-3E68-7E7FC740FB02} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5B6D32FC-7E68-F50D-861F-4041172E35C4} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5BCDB351-F6CE-3209-14B3-9286BD7B588C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5C122CCE-83F0-7284-058B-11AE94CA9284} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5C12F704-431A-97DB-D01E-19248DFCBC19} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5C3A213E-C516-2035-30D7-EB54F97A970D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5C446BFC-02E1-6598-6240-0D9B1BE10C2F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5C772FB3-343E-2D8E-AD06-101478BB1F4D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5C8C375A-EA8C-0CDE-3A20-913C3F507F04} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5D05AE8D-FCC9-7DFB-55FF-DED6BCC19A8B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5DF80176-CDC7-77E9-4909-E10E7131683D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5FF9D913-AF6D-6D79-5A3A-75BA7425C8DF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{5FFCA022-FA50-3120-C21F-E6C00C517716} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{604133F1-BF83-5ACA-2FE2-2B601C6A7458} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{61704EFB-2CB9-E208-6F53-085E40335F62} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{618B75A2-344D-6234-758B-932CEA18F75B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{61D7C233-1C3C-2344-8212-77DF99E12940} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{62345138-C741-2C30-0B60-44BD604EE065} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{62594F8F-2B32-85F0-4FD3-5AB6A0A8D28A} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{62876854-EDA6-07DA-05A9-EA959624D86C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{630CE911-1C5F-5B88-32CC-C5938E8B0AC0} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{633C8BFF-B1D2-9627-66F6-74124A682441} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{644AA0C3-4FD2-7790-DA9A-C586AB07E429} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6469535C-868D-78CB-87BD-9BF74E0AEB7A} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{646F2028-8431-3C1F-122B-739B5643F144} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{64A6ABE0-9644-5928-19BA-9CBAE0E5D13F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{64B4C959-F47C-E57E-A0E5-F99C903141A2} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{652D4929-5C76-94A9-0C3D-31460592C199} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{653C8C5C-FA83-1C97-C8D5-86B2CDCD2786} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{65D9A653-FEE7-1F32-CC4D-FA547CDA683C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{65E4EABE-726D-A1A3-3F3F-16A9763122CD} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{660FEFD2-4306-0622-B7AB-060F0FC94E20} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{66986988-5B7C-BCCE-8321-B70B3F482869} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{66A6B404-64CF-F22B-5DA9-5DE0B5DEB9EE} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{66D26573-5DE3-E392-CE58-302D5344A675} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{66D794D9-8036-58BC-9B54-5EC422966E07} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{66E07AD0-5435-6A17-2F75-DA98D6E9D21E} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{66F47A0F-B4AA-B23E-011C-BD3F255CFC72} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6736D7AF-1767-D4C9-12FD-04BEE4128A75} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{677FA3DE-B011-FFA7-A440-87572E2E5E35} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{681772EF-1514-33C7-0408-B8771F24D4CB} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{683D9C12-2FA8-4B2B-E37E-3089E38C744E} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{686C35B9-5E7B-1BFA-0B2C-F8DBA37CB7CF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{68C5CF24-785E-97D7-630A-94036B407E7F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{69A8FA37-D46A-44DA-B6ED-604061C70664} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{69C2D265-3B93-BC0A-676E-D0FD27DA5AC6} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{69CD759E-4291-29B5-83E5-2B55FF15D74F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6A09CAF8-74FC-941E-3124-50B7F27A038B} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6A2FC992-C464-7D8E-A831-1F567C681F79} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6A47C456-BECE-DE20-8213-FEFEEA28BF82} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6BA46265-A7F0-AB90-AD08-51550B1A16B0} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6BE5F602-57FC-035D-69BB-0127DBDAD5A1} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6BF8EBD9-CE8E-58F9-81EE-D2CE5B18BBD3} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6C66CA22-7393-6B62-A8F4-419874BE0C08} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6CDF6A0C-8EC2-55AF-D52B-B41C47C0F1C6} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6CEBC165-91F6-1D4D-F490-A0F961E0C302} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6D01794F-897F-8819-97AE-A5364A9875AF} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6D29CBB6-4199-42AC-DD7B-C150601204D2} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6D3AEE7B-4550-8235-F762-03E3762279FD} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6D630876-786A-8F26-109F-C41B095EC5DC} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6D77EB9B-E45C-AC40-2FA5-24A2FA5092CC} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6DF861D0-BA9B-A44C-C0CF-FBF8C53F788C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6E0916BC-EDCC-1517-907C-7A0091C699A6} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6E0F0093-EF04-1478-FE8A-D4B3176F0CE3} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6E15F4D5-4588-FA6E-9B33-7152B249E5A0} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6ECB3E57-8FA6-E6B5-9DA7-41C925767742} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6EE4E0AD-CA47-9A72-7C18-9CF62AD4C96C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6EF1BD60-41F7-9C8A-32E2-8F5740459605} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{6F50E73A-6232-13C7-A27E-83C8C4197E89} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{7026BB07-544A-7707-6F20-39002A871229} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{70573871-9AF4-AA4B-A3E9-0408CBA9C49F} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{705AE961-E2F5-CF0B-A264-699350E41DFA} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{70661EB2-197E-6DF9-63A0-E060FEB65682} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{707DED97-78A0-CC69-A03B-E2A426EA0396} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{7086C740-A1C9-BFCD-1B90-E2E057CDD565} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{708A6730-F9CB-D58D-1A1A-478BEC083EC0} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{709E0880-D6B9-228A-431D-1A116C97843C} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{70B6D242-A76A-A3E8-4E2F-D03FF4541BA9} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{70C06EC5-199D-FEF2-7785-6D008B0AC3BA} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{70C45587-7F30-0A1B-F987-3F25A1729A43} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{713B605D-71E8-169E-A30F-39C4603AF036} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{715E36BD-60D8-3173-455B-08D3F2ABAC8D} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{716B13E6-C993-16C9-4012-0F26033DF787} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{7204E2C9-DF95-CE70-794E-1F3F2AD1DE08} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{726D2B7F-C41E-24A8-CA2E-30DD6D5653C9} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{729D5116-FD27-7182-7B60-9D3B7C3B8600} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{7369E702-7B86-0B57-D101-8BCC1671DEFE} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Classes\CLSID\{73C994D2-169A-3A21-18CA-289B70E63DA3} -> Adware.CoolWebSearch : Nettoyé et sauvegardé (mise en quarant

Lyonnais92 · Answer

Re,

est ce que tu peux donner la suite du rapport AVG (tu peux éliminer tout ce qui est semblable à ce que l'on voit).

Si SDfix fonctionne (et brétablit les droits), on aura fait un pas énorme.

merci Balltrap
@+

IBM · Answer

SDFix se;ble se lanceren crabe <panneau d erreur mais continue cepdt jusqu au bout sans resultats visibles>

la suite du scan .

HKU\S-1-5-21-1844237615-839522115-854245398-1003\Software\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\_default(53).pif:fkuom -> Downloader.Agent.bc : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\_tpiu000(8).exe:chcnz -> Downloader.Agent.bc : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\criw.dll -> Downloader.Agent.bc : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\vtr363.dll -> Downloader.Agent.bxx : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\Downloaded Program Files\Ole32ws.inf -> Downloader.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{85766195-B126-43A3-87F8-A2F55CA38C20}\RP290\A1270408.dll -> Downloader.VB.asx : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\klxptlei.exe -> Not-A-Virus.Hoax.Win32.Renos.dk : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\msbind32.exe -> Not-A-Virus.Hoax.Win32.Renos.fn : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.19:C:\Documents and Settings\Administrateur.HA-ORMPEE4TVSN1.000\Application Data\Mozilla\Firefox\Profiles\vkwy8zdp.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.11:C:\Documents and Settings\Administrateur.HA-ORMPEE4TVSN1.000\Application Data\Mozilla\Firefox\Profiles\vkwy8zdp.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.10:C:\Documents and Settings\Administrateur.HA-ORMPEE4TVSN1.000\Application Data\Mozilla\Firefox\Profiles\vkwy8zdp.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
:mozilla.24:C:\Documents and Settings\Administrateur.HA-ORMPEE4TVSN1.000\Application Data\Mozilla\Firefox\Profiles\vkwy8zdp.default\cookies.txt -> TrackingCookie.Netflame : Nettoyé.
C:\WINDOWS\system32\hrum363.txt -> Trojan.Agent.ali : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{85766195-B126-43A3-87F8-A2F55CA38C20}\RP290\A1270409.exe -> Trojan.Small : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

balltrap34 · Answer

salut
la quelque chose m echappe soit tu utilise mal les prog que l ont te donne
car avg trouve du CoolWebSearch 
et pas cwshredder.exe ?????????????????

dit nous si tu as maintenand acces a la base de registre

Lyonnais92 · Answer

Bonsoir,

oui c'est très bizarre.

Mais c'est difficile de se tromper dans l'emploi de cwshredder.

Il a accès au répertoire, mais pas de droits de modifications.

Je propose de réessayer le post 26 

relance  VX2Finder (de Option^Explicit) 

et cliquer sur le bouton "Restore Policy", puis redémarre l'ordi.

Réessaye de lancer diaghelp (post 40).

Ensuite, scan antivirus en ligne :

Scanner ensuite son PC avec un BitDefender en ligne (uniquement sous Internet Explorer) : 

https://www.bitdefender.com/toolbox/

Utilisation : 
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer. 
Ensuite, cliquer sur "Cliquez ici pour scanner". 
Patienter jusqu'à la fin du scan qui peut durer assez longtemps... 

Copier/coller le rapport entier sur le forum. 

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation) 
4. Exécution d'Hijackthis

Je lirai le résultat demain.

@+

balltrap34 · Answer

lol
le blocage active x sp2 risque pas de le gener il est en sp1

IBM · Answer

Bonsoir à tous,

Il faut dire que mon PC a un comportement bizarre, un coup il propose deux sessions en mode sans echec et un coup il ne me laisse pas le choix (la dernière opération -AVG- est la seule que j'ai pu réaliser en mode sans echec!!) .

Les restrictions sont toujours presentes; il n'est pas impossible que j'eusse fait une fausse manoeuvre mais à priori ca n'a pas ll'air compliqué bien que ce soit lourd, on installe, n selectionne les parametres qui sont souvent les principaux  puis on lance...je vais reessayer tout depuis le debut en mode sans echec pour voir après avoir réeffectué la manoeuvre 26.

Merci encore de perseverer les gars j'apprecie !

IBM · Answer

J'ai relancé VX2finder :

Restore Policy : un panneau dit :This will reset SedebugPriviliege for administrators. if you already removed the VX2 BETTERinternet using RConsole. je clique sur ok et mon pC est reboot ( j'ai tenté deux fois de suite ) ensuite j'ai été sur diaghelp qui me met la meme erreur qu'auparavant .

Je sais pas si ca peuw servir mais voici le log de vx2 :

Log for VX2.BetterInternet File Finder (ALL)

Files Found---
 
Additional Files---
 
Keys Under Notify---
crypt32chain
cryptnet
cscdll
ScCertProp
Schedule
sclgntfy
SensLogn
termsrv
wlballoon


Guardian Key--- is called: 

Guardian Key--- : 

User Agent String---

Lyonnais92 · Answer

Bonjour,

effectue le scan Bit defender on line.
Poste le log

Tu as dit que tu ne pouvais pas lancer le mode sans échec sur la session administrateur. Il se passe quoi ? Rien avec un écran noir et un tiret blanc en haut à gauche de l'écran qui clignote ? Si oui, laisse clignoter au moins 30 mn.

Si jamais tu arrive à accéder au mode sans échec, essaye de restaurer les droits d'administrateur ou de créer une nouvelle session avec les droits d'administrateur.

Courage.

@+

IBM · Answer

Bonjour,

En mode sans echec auparavant deux sessions m'etaient proposées (ADMIN & UTILISATEUR "IBM"
) 
Aujourd'hui une seule session s'ouvre l'autre ne m'est plus proposée, la dite session correspondant au compte admin vu les fichiers du bureau .

Bien à vous

LE SCAN :
BitDefender Online Scanner
	

 
	

 

Scan report generated at: Tue, Aug 28, 2007 - 04:19:55

 
	

 
	

 

Scan path: C:\;D:\;
	

 
	

 

 
	

 
	

 

Statistics

Time
	

00:45:31

Files
	

93902

Folders
	

2545

Boot Sectors
	

0

Archives
	

853

Packed Files
	

4290
	

 
	

 

Results

Identified Viruses
	

4

Infected Files
	

11

Suspect Files
	

0

Warnings
	

0

Disinfected
	

0

Deleted Files
	

11
	

 
	

 

Engines Info

Virus Definitions
	

750240

Engine build
	

AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

Scan plugins
	

14

Archive plugins
	

38

Unpack plugins
	

5

E-mail plugins
	

6

System plugins
	

1
	

 
	

 

Scan Settings

First Action
	

Disinfect

Second Action
	

Delete

Heuristics
	

Yes

Enable Warnings
	

Yes

Scanned Extensions
	

*;

Exclude Extensions
	

 

Scan Emails
	

Yes

Scan Archives
	

Yes

Scan Packed
	

Yes

Scan Files
	

Yes

Scan Boot
	

Yes
	

 
	

 
 

Scanned File
	

 Status

C:\Documents and Settings\Hammed\Bureau\hijackthis\backups\backup-20070826-041015-797-system.exe.ren
	

Infected with: Trojan.Agent.AZE

C:\Documents and Settings\Hammed\Bureau\hijackthis\backups\backup-20070826-041015-797-system.exe.ren
	

Deleted

C:\WINDOWS\appnz32.dll
	

Infected with: Trojan.Adclicker.Aj.H

C:\WINDOWS\appnz32.dll
	

Disinfection failed

C:\WINDOWS\appnz32.dll
	

Deleted

C:\WINDOWS\ienq32.dll
	

Infected with: Trojan.Adclicker.Aj.H

C:\WINDOWS\ienq32.dll
	

Disinfection failed

C:\WINDOWS\ienq32.dll
	

Deleted

C:\WINDOWS
_egonot.dat
	

Infected with: Trojan.Downloader.WinShow.M

C:\WINDOWS
_egonot.dat
	

Disinfection failed

C:\WINDOWS
_egonot.dat
	

Deleted

C:\WINDOWS
_vuwnuj.dat
	

Infected with: Trojan.Downloader.WinShow.M

C:\WINDOWS
_vuwnuj.dat
	

Disinfection failed

C:\WINDOWS
_vuwnuj.dat
	

Deleted

C:\WINDOWS\system32\hrum363.txt
	

Infected with: Trojan.Clicker.DB

C:\WINDOWS\system32\hrum363.txt
	

Deleted

C:\WINDOWS\system32\ieik32.dll
	

Infected with: Trojan.Adclicker.Aj.H

C:\WINDOWS\system32\ieik32.dll
	

Disinfection failed

C:\WINDOWS\system32\ieik32.dll
	

Deleted

C:\WINDOWS\system32\javafr32.dll
	

Infected with: Trojan.Adclicker.Aj.H

C:\WINDOWS\system32\javafr32.dll
	

Disinfection failed

C:\WINDOWS\system32\javafr32.dll
	

Deleted

C:\WINDOWS\system32\msgi32.dll
	

Infected with: Trojan.Adclicker.Aj.H

C:\WINDOWS\system32\msgi32.dll
	

Disinfection failed

C:\WINDOWS\system32\msgi32.dll
	

Deleted

C:\WINDOWS\system32\printer.exe.ren
	

Infected with: Trojan.Agent.AZE

C:\WINDOWS\system32\printer.exe.ren
	

Deleted

C:\WINDOWS\system32\WinAvXX.exe.ren
	

Infected with: Trojan.Agent.AZE

C:\WINDOWS\system32\WinAvXX.exe.ren
	

Deleted

Lyonnais92 · Answer

Re,

démarre en mode sans échec.

Le panneau de configuration s'ouvre ?

Si oui, créé une session nouvelle et donne lui les droits administrateur.

Redémarre en mode normal sur cette session.

Est elle valide (teste avec un programme qui plante actuellement comme diaghelp) ?

@+

IBM · Answer

J'ai fait cette operation et elle fonctionne bien :-) bon boulot les gars, Félicitations!

AReste à savoir si sur ma session habituelle la resolution du problème reste valable mais je pense que oui.

Je n'ai pas encore lancé diaghelp (je ne l'ai pas sur mon nouveau bureau) je pense qu'il va fonctionner 
SdFix s'est relancé à l'ouverture de session voici son scan

SDFix: Version 1.100

Run by Administrateur on 27/08/2007 at 21:07

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\ADMINI~1.000\Bureau\SDFix

Safe Mode:
Checking Services: 

Name:
ICF

ImagePath:
C:\WINDOWS\System32:svchost.exe 

ICF - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

C:\WINDOWS\SYSTEM32\ADDCK.EXE - Deleted
C:\WINDOWS\SYSTEM32\APIOF.EXE - Deleted
C:\WINDOWS\SYSTEM32\APPBG32.EXE - Deleted
C:\WINDOWS\SYSTEM32\CRET.EXE - Deleted
C:\WINDOWS\SYSTEM32\CRPP.EXE - Deleted
C:\WINDOWS\SYSTEM32\CRVO.EXE - Deleted
C:\WINDOWS\SYSTEM32\D3RW.EXE - Deleted
C:\WINDOWS\SYSTEM32\IPGD32.EXE - Deleted
C:\WINDOWS\SYSTEM32\JAVADT32.EXE - Deleted
C:\WINDOWS\SYSTEM32\KERNEL32.EXE - Deleted
C:\WINDOWS\SYSTEM32\MFCLK32.EXE - Deleted
C:\WINDOWS\SYSTEM32\MFCRF.EXE - Deleted
C:\WINDOWS\SYSTEM32\MFCRH.EXE - Deleted
C:\WINDOWS\SYSTEM32\NETBT.EXE - Deleted
C:\WINDOWS\SYSTEM32\NETFN32.EXE - Deleted
C:\WINDOWS\SYSTEM32\NETGL.EXE - Deleted
C:\WINDOWS\SYSTEM32\NETLC32.EXE - Deleted
C:\WINDOWS\SYSTEM32\NTRX32.EXE - Deleted
C:\WINDOWS\SYSTEM32\SDKEU.EXE - Deleted
C:\WINDOWS\SYSTEM32\SDKHF32.EXE - Deleted
C:\WINDOWS\SYSTEM32\SDKIO.EXE - Deleted
C:\WINDOWS\SYSTEM32\SDKYW.EXE - Deleted
C:\WINDOWS\SYSTEM32\SYSRW.EXE - Deleted
C:\WINDOWS\SYSTEM32\TMRSRV32.EXE - Deleted
C:\WINDOWS\SYSTEM32\WINPU32.EXE - Deleted
C:\WINDOWS\SYSTEM32\WINVP.EXE - Deleted
C:\WINDOWS\SYSTEM32\ADDMS32.DLL - Deleted
C:\WINDOWS\SYSTEM32\AGHPG.DLL - Deleted
C:\WINDOWS\SYSTEM32\AIAEW.DLL - Deleted
C:\WINDOWS\SYSTEM32\APIJT.DLL - Deleted
C:\WINDOWS\SYSTEM32\APILK32.DLL - Deleted
C:\WINDOWS\SYSTEM32\APIWC32.DLL - Deleted
C:\WINDOWS\SYSTEM32\APPBU32.DLL - Deleted
C:\WINDOWS\SYSTEM32\APPET32.DLL - Deleted
C:\WINDOWS\SYSTEM32\APPIO32.DLL - Deleted
C:\WINDOWS\SYSTEM32\APPKC32.DLL - Deleted
C:\WINDOWS\SYSTEM32\APPLM.DLL - Deleted
C:\WINDOWS\SYSTEM32\APPPR32.DLL - Deleted
C:\WINDOWS\SYSTEM32\APPUF32.DLL - Deleted
C:\WINDOWS\SYSTEM32\APPWX32.DLL - Deleted
C:\WINDOWS\SYSTEM32\ATLWF32.DLL - Deleted
C:\WINDOWS\SYSTEM32\ATLZU32.DLL - Deleted
C:\WINDOWS\SYSTEM32\BOJYH.DLL - Deleted
C:\WINDOWS\SYSTEM32\CROG32.DLL - Deleted
C:\WINDOWS\SYSTEM32\CRXQ32.DLL - Deleted
C:\WINDOWS\SYSTEM32\D3IR.DLL - Deleted
C:\WINDOWS\SYSTEM32\D3VC32.DLL - Deleted
C:\WINDOWS\SYSTEM32\DBXRI.DLL - Deleted
C:\WINDOWS\SYSTEM32\DECBV.DLL - Deleted
C:\WINDOWS\SYSTEM32\DPEKB.DLL - Deleted
C:\WINDOWS\SYSTEM32\ERMON.DLL - Deleted
C:\WINDOWS\SYSTEM32\EVCOS.DLL - Deleted
C:\WINDOWS\SYSTEM32\FDNCS.DLL - Deleted
C:\WINDOWS\SYSTEM32\FEWJR.DLL - Deleted
C:\WINDOWS\SYSTEM32\FKBDL.DLL - Deleted
C:\WINDOWS\SYSTEM32\FLLYY.DLL - Deleted
C:\WINDOWS\SYSTEM32\FSFFY.DLL - Deleted
C:\WINDOWS\SYSTEM32\GAARA.DLL - Deleted
C:\WINDOWS\SYSTEM32\GFSRD.DLL - Deleted
C:\WINDOWS\SYSTEM32\HXIFG.DLL - Deleted
C:\WINDOWS\SYSTEM32\ICUYN.DLL - Deleted
C:\WINDOWS\SYSTEM32\IEHR32.DLL - Deleted
C:\WINDOWS\SYSTEM32\IEWN32.DLL - Deleted
C:\WINDOWS\SYSTEM32\IPAT32.DLL - Deleted
C:\WINDOWS\SYSTEM32\IPRP.DLL - Deleted
C:\WINDOWS\SYSTEM32\IPXW32.DLL - Deleted
C:\WINDOWS\SYSTEM32\IXHRS.DLL - Deleted
C:\WINDOWS\SYSTEM32\JAVAAN.DLL - Deleted
C:\WINDOWS\SYSTEM32\JAVAEH.DLL - Deleted
C:\WINDOWS\SYSTEM32\JAVAFT.DLL - Deleted
C:\WINDOWS\SYSTEM32\JAVAIP.DLL - Deleted
C:\WINDOWS\SYSTEM32\JAVAIS32.DLL - Deleted
C:\WINDOWS\SYSTEM32\JAVALB32.DLL - Deleted
C:\WINDOWS\SYSTEM32\JAVASN.DLL - Deleted
C:\WINDOWS\SYSTEM32\JNXBP.DLL - Deleted
C:\WINDOWS\SYSTEM32\KAEMM.DLL - Deleted
C:\WINDOWS\SYSTEM32\KKDUE.DLL - Deleted
C:\WINDOWS\SYSTEM32\KSCAV.DLL - Deleted
C:\WINDOWS\SYSTEM32\LJWJH.DLL - Deleted
C:\WINDOWS\SYSTEM32\LPVUG.DLL - Deleted
C:\WINDOWS\SYSTEM32\LUMOK.DLL - Deleted
C:\WINDOWS\SYSTEM32\MFCPA.DLL - Deleted
C:\WINDOWS\SYSTEM32\MFCVQ.DLL - Deleted
C:\WINDOWS\SYSTEM32\MFCVZ.DLL - Deleted
C:\WINDOWS\SYSTEM32\MFCXK32.DLL - Deleted
C:\WINDOWS\SYSTEM32\MRSGS.DLL - Deleted
C:\WINDOWS\SYSTEM32\MSDB.DLL - Deleted
C:\WINDOWS\SYSTEM32\MSSJ.DLL - Deleted
C:\WINDOWS\SYSTEM32\MSSU32.DLL - Deleted
C:\WINDOWS\SYSTEM32\MWDGI.DLL - Deleted
C:\WINDOWS\SYSTEM32\NETFE.DLL - Deleted
C:\WINDOWS\SYSTEM32\NETHD32.DLL - Deleted
C:\WINDOWS\SYSTEM32\NETMY.DLL - Deleted
C:\WINDOWS\SYSTEM32\NETQC.DLL - Deleted
C:\WINDOWS\SYSTEM32\NETQC32.DLL - Deleted
C:\WINDOWS\SYSTEM32\NETWR32.DLL - Deleted
C:\WINDOWS\SYSTEM32\NTCY.DLL - Deleted
C:\WINDOWS\SYSTEM32\NTDA32.DLL - Deleted
C:\WINDOWS\SYSTEM32\NTFD32.DLL - Deleted
C:\WINDOWS\SYSTEM32\NTJJ32.DLL - Deleted
C:\WINDOWS\SYSTEM32\OMFUK.DLL - Deleted
C:\WINDOWS\SYSTEM32\PDXOS.DLL - Deleted
C:\WINDOWS\SYSTEM32\PMTXC.DLL - Deleted
C:\WINDOWS\SYSTEM32\QUPQR.DLL - Deleted
C:\WINDOWS\SYSTEM32\RKBEW.DLL - Deleted
C:\WINDOWS\SYSTEM32\SDKED32.DLL - Deleted
C:\WINDOWS\SYSTEM32\SDKHZ.DLL - Deleted
C:\WINDOWS\SYSTEM32\SDKOQ.DLL - Deleted
C:\WINDOWS\SYSTEM32\SDKXP32.DLL - Deleted
C:\WINDOWS\SYSTEM32\SIRENA~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\SLKDD.DLL - Deleted
C:\WINDOWS\SYSTEM32\SXCTF.DLL - Deleted
C:\WINDOWS\SYSTEM32\SYSEF.DLL - Deleted
C:\WINDOWS\SYSTEM32\SYSSA32.DLL - Deleted
C:\WINDOWS\SYSTEM32\SYSVI.DLL - Deleted
C:\WINDOWS\SYSTEM32\SYSZX.DLL - Deleted
C:\WINDOWS\SYSTEM32\TSTGA.DLL - Deleted
C:\WINDOWS\SYSTEM32\TXXMA.DLL - Deleted
C:\WINDOWS\SYSTEM32\UNWFQ.DLL - Deleted
C:\WINDOWS\SYSTEM32\VBAKH.DLL - Deleted
C:\WINDOWS\SYSTEM32\VPQUZ.DLL - Deleted
C:\WINDOWS\SYSTEM32\VZCYS.DLL - Deleted
C:\WINDOWS\SYSTEM32\WINIQ32.DLL - Deleted
C:\WINDOWS\SYSTEM32\WINRS32.DLL - Deleted
C:\WINDOWS\SYSTEM32\WINRW32.DLL - Deleted
C:\WINDOWS\SYSTEM32\WZFKB.DLL - Deleted
C:\WINDOWS\SYSTEM32\XCFQA.DLL - Deleted
C:\WINDOWS\SYSTEM32\XCQAD.DLL - Deleted
C:\WINDOWS\SYSTEM32\XRNXJ.DLL - Deleted
C:\WINDOWS\SYSTEM32\XYTGV.DLL - Deleted
C:\WINDOWS\SYSTEM32\ZDOZX.DLL - Deleted
C:\WINDOWS\SYSTEM32\ZHERP.DLL - Deleted
C:\WINDOWS\inet20000\mm.pid - Deleted
C:\WINDOWS\inet20000\www.google.com\favicon.ico - Deleted
C:\WINDOWS\inet20000\www.google.com\index.html - Deleted
C:\WINDOWS\inet20000\www.google.com	hank.html - Deleted
C:\WINDOWS\inet20000\www.google.com\Google_files\hp0.gif - Deleted
C:\WINDOWS\inet20000\www.google.com\Google_files\hp1.gif - Deleted
C:\WINDOWS\inet20000\www.google.com\Google_files\hp2.gif - Deleted
C:\WINDOWS\inet20000\www.google.com\Google_files\hp3.gif - Deleted
C:\WINDOWS\s32.txt  - Deleted
C:\WINDOWS\system32\id_cost.dol  - Deleted
C:\WINDOWS\system32\Kernel32.exe  - Deleted
C:\WINDOWS\system32\kr_done1  - Deleted
C:\WINDOWS\ws386.ini  - Deleted


Folder C:\WINDOWS\inet20000 - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\ADMINI~1.000\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe
C:\WINDOWS\system32\3A9CB52BFF.sys
C:\WINDOWS\system32\FF2BB59C3A.sys
C:\WINDOWS\system32\KGyGaAvL.sys

                                 Finished

Lyonnais92 · Answer

Re,

je crois que l'on vient de faire un grand pas.

Je vois ça en début d'AM.

Si tu as le temsp, tu as toute une batterie de choses à lancer !

Remettre un antivirus (antivir ) est la priorité absolue !!!

@+

IBM · Answer

Ok ! A noter que je viens d'ouvrir ma session habituelle qui reste bloquée (pas de panneau de config proposé) contrairement à la nuvelle session créée . En lancant Diaghelp j'ai le plantage habituel avec "erreur 75 " access denied etc.... Un autre scan s'est proposé je le poste

Username "Administrateur" - 28/08/2007 11:17:45 [Fixwareout edited 2007/07/05]

»»»»»Prerun check

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.113.115 85.255.112.70" <Value cleared.


PC crashed or was not allowed to reboot.
 
»»»»» Postrun check 
....
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "0mdm"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "1mdm"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "3mdm"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "}88AAC70DD872-FAEA-F954-07CE-FE70FBCC{"  Deleted 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "}36AD1A7ACA30-4139-6D74-E020-AFEFFCF6{"  Deleted 

Saving 'hklm\software\microsoft\windows\currentversion\run' to 'run1.hiv' was not successful

....
»»»»» Misc files. 
....
»»»»» Checking for older varients.
....

»»»»» Current runs (hklm hkcu "run" Keys Only)

....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»

Lyonnais92 · Answer

Re,

laisse tomber ta session habituelle pour le moment.

Installe antivir (tu trouves un lien de téléchargement sur ce site dans téléchargement).

Vérifie que le parefeu de Windows est activé

Relance hijackthis et poste le log.

@+

IBM · Answer

Pare feu activé, antivir installé.

Logfile of HijackThis v1.99.1
Scan saved at 16:13:23, on 28/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\lexpps.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\LAPTOP\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

IBM · Answer

PS le scan du post 64 a été effectué avant l'installation complète d'antivir dois-je le refaire ?

Merci

Lyonnais92 · Answer

Re,

je ne vois pas antivir, mais peut être qu'il n'est pas activé (en attente du numéro de licence ?).

On essaye de supprimer les lignes 02 (seulement elles mais toutes).

revenir post 9 pour la manip (cocher, fermer les fenêtres, cliquer)

au passage, on est débarrassé des 017.

Remets un log Hijackthis de contrôle.

Je vais revenir un peu tard (pas avant 22h je pense).

toujours voir pour antivir. Tu devrais avoir un parapluie rouge ouvert dans la barre des tâches .

@+

balltrap34 · Answer

salut juste pour avancer et voir si cela fait du menage

relance hijackthis coche et fix toutes ces lignes
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file) 
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt 



ensuite recherche et suppr si tu trouve ceci
C:\WINDOWS\System32\hrum363.txt  uniquement le fichier
assure toi avant de ceci
Affiche tous les fichiers et dossiers : 
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

 Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
 
Décocher masquer les extensions dont le type est connu
Puis fais "Ok" pour valider les changements.

Et appliquer

une foix fait ceci redemarre et remet nous un nouvel hijackthis
a++

ibm · Answer

Bonjour,

Les dites lignes ne parten toujours pas; le fichier hrum32 a bien été localisé je ne parviens pas à l'effacer, j'ai donc ouvert le dossier pour le dénaturer en effacant les données qui s'y trouvent.

Il existe une autre extension hrum363.TXT.bac dans doc&settings admin, je précise ne pas y avoir touché

balltrap34 · Answer

a tu essayer de le virer en mode sans echec
et vire l autre aussi et pense a remettre un hijack

ibm · Answer

Je suis parvenu à lancer DSS si vs voulez le scan demandez-le voici celui de hijack pour le moment

Logfile of HijackThis v1.99.1
Scan saved at 18:39:37, on 28/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\LAPTOP\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

ibm · Answer

Suppression en mode sans echec + Scan en mode normal : Negatif la ligne O20 est toujours dans le coup !

Logfile of HijackThis v1.99.1
Scan saved at 19:52:30, on 28/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\LAPTOP\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Lyonnais92 · Answer

Re,

poste le rapport DSS (et le rapport complémentaire ?)

@+

ibm · Answer

Bonsoir !

Rapport complémentaire ?

Deckard's System Scanner v20070826.66
Run by LAPTOP on 2007-08-28 22:45:13
Computer is in Normal Mode.
--------------------------------------------------------------------------------

[color=red]Total Physical Memory: 127 MiB (512 MiB recommended).[/color]


-- HijackThis (run as LAPTOP.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:45:22, on 28/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS
otepad.exe
C:\Documents and Settings\LAPTOP\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\LAPTOP.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

balltrap34 · Answer

salut

en premier lieu desactive adaware et avg anti spy il bloque tous
imperatif

ont vas tenter un reg pour voir si cela passe

ouvre le bloc note et copie colle ceci
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableRegistryTools"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableRegistryTools"=-

enregistre le sur ton bureau et donne lui comme nom essai .reg

ensuite vas sur ton bureau et double clik dessus et accepte la fusion
si cela passe tu auras deja acces a la base de registre

a++

ibm · Answer

Bonsoir,

Désolé du retard, j'ai inscrit les données essai.reg au registre, viré AVG ( le bouclier était pourtant inactif comme adaware d'ailleurs) je suis à l'ecoute pour la suite.

Que signifie la base de registre, quelle est sa fonction  ?

On pourra procéder par plus de tâches consecutives à la fois si tu veux ça évitera que l'on s'attende.



Merci toujours !!

Lyonnais92 · Answer

Bonjour,


recommence le post 67.

La base de registre stocke les informations nécessaires pour faire tourner l'ordi (logiciels à lancer au démarrage, droits accordés àn chaque utilisateur, identifiants, paramètres de chaque logiciel, ....).

Pour faciliter, quelles sont les heures (GMT) où tu peux travailler ?

@+

ibm · Answer

Bonjour,


Le resultat est négatif, impossible de veir à bout de ces ficues ligne 02 et 020, idem pour le fichier hrum363

Voici en gros mes horaires d'ouverture GMT 11.00 am till 7.00 pm + 8.00 pm till 2.00 am à plus ou moins 2 heures près ds le volume horaire

Lyonnais92 · Answer

RE,

tu peux faire ça stp :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\System32\gtv_sd.bin 
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 


Est ce que tu te souviens de ce qui a pu se passer le 12 aout vers 17 h GMT ?

@+

ibm · Answer

Slt,


Le 12 Aout doit certainement être le jour où j'ai télechargé puis lancé "TROJAN-REMOVER" que je viens de desinstaller ma session ayant tendance à bien ramer.

 Il m'a enlevé un tas de trojans, il en restait un auquel il ne pouvait pas acceder , je pense avoir cliqué par megarde ou dépis sur changer le nom du fichier qqchse comme ça. 



Virus total est en route actuellement

ibm · Answer

Fichier gtv_sd.bin reçu le 2007.08.29 14:35:45 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/32 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2007.8.29.0 2007.08.29 - 
AntiVir 7.4.1.63 2007.08.29 - 
Authentium 4.93.8 2007.08.28 - 
Avast 4.7.1029.0 2007.08.28 - 
AVG 7.5.0.484 2007.08.28 - 
BitDefender 7.2 2007.08.29 - 
CAT-QuickHeal 9.00 2007.08.25 - 
ClamAV 0.91.2 2007.08.29 - 
DrWeb 4.33 2007.08.29 - 
eSafe 7.0.15.0 2007.08.29 - 
eTrust-Vet 31.1.5093 2007.08.29 - 
Ewido 4.0 2007.08.29 - 
FileAdvisor 1 2007.08.29 - 
Fortinet 3.11.0.0 2007.08.29 - 
F-Prot 4.3.2.48 2007.08.28 - 
F-Secure 6.70.13030.0 2007.08.29 - 
Ikarus T3.1.1.12 2007.08.29 - 
Kaspersky 4.0.2.24 2007.08.29 - 
McAfee 5107 2007.08.28 - 
Microsoft 1.2803 2007.08.29 - 
NOD32v2 2490 2007.08.29 - 
Norman 5.80.02 2007.08.29 - 
Panda 9.0.0.4 2007.08.29 - 
Prevx1 V2 2007.08.29 - 
Rising 19.38.22.00 2007.08.29 - 
Sophos 4.21.0 2007.08.29 - 
Sunbelt 2.2.907.0 2007.08.25 - 
Symantec 10 2007.08.29 - 
TheHacker 6.1.9.175 2007.08.29 - 
VBA32 3.12.2.3 2007.08.28 - 
VirusBuster 4.3.26:9 2007.08.28 - 
Webwasher-Gateway 6.0.1 2007.08.29 - 
Information additionnelle 
File size: 12 bytes 
MD5: 985edc99f62a4f1f9ac163918eb56978 
SHA1: 2d8a5f6cefaa73ca33dc5c86f64636d632108b9d

Lyonnais92 · Answer

Re,

nan, trojan remover c'est le 14 :
2007-08-14 21:26:31 0 d-------- C:\Program Files\Trojan Remover 


Si tu as oublié, pas grave, juste pour accumuler le max d'info pour mieux travailler.

Quand tu auras posté le rapport de VirusTotal, peux tu mettre à jour Spybot et le lancer. Tu supprimes et tu vaccines tout ce qu'il trouve.

Tu dis le résultat (pas de log).
@+

Lyonnais92 · Answer

RE,

on a posté presque en même temps.

J'ai du mal à croire à ce résultat VirusTotal (mais il arrive que des fichiers "sains" coexistent avec des fichiers infectés).

Fais ça :

Ouvre ce lien http://secubox.gateweb.org/mad.php

clique sur parcourir. Cherche C:\WINDOWS\System32\gtv_sd.bin 

dans message sur écrit : 
Bonjour
à la demande de Lyonnais92.

 Aucun scanner de Virus Total ne le décèle.

 Le MD et le SHA1 sont inconnus de Google.
File size: 12 bytes 
MD5: 985edc99f62a4f1f9ac163918eb56978 
SHA1: 2d8a5f6cefaa73ca33dc5c86f64636d632108b9d

26 fichiers nocifs sont créés dans les 15 sec suivant sa création (dont des fichiers de 2nd Thought, SurfAssistant, ...)
Merci.

Tu cliques sur Envoyer.
@+

ibm · Answer

J'ai fait la dernière opération je valide le message et suis renvoyé sur un compte à creer, quand je clique sur m'enregistrer (our registrations are closed).

- Quant à spybot lors de son install j'ai déjà une erreur H_Key. Il me diagnostique quelque 600 erreurs au moment de les reparer un sablier apparait mais la page semble se bloquer ( 40min), j'ai fermé et relancé pour stopper le scan en cours après l'affichage de la première erreur WWWCoolwebserach (~550 elements). lorsque je la supprime au bout de 5min j'ai mon pc qui saute sur une page DOS avec ecran bleu erreur.

Je n'ai jamais autant perdu de temps vainement de toute ma vie !!!

Je crois que le hacker qui s'est occupé de mon PC a gagné. Quoi ? ça je me le demande. J'ai autant de respect pour ces types là que pour les petites frappes qui s'amusent à voler les autoradios à la roulotte.

Tant que je serai ds la force de l'âge il ne vaudra mieux pas que j'en rencontre un, un jour...

En tous cas merci à toi Lyonnais de t'être donné toute cette peine et d'avoir avec moi gaspillé autant de temps ! C'est vraiment sympathique à toi, j'en profite également pour saluer Balltrap qui s'est mêlé à la course.

Je ne formaterai pas mon PC, je le considère comme lettre ouverte, qu'ils s'amusent s'ils n'ont que ça à faire !

balltrap34 · Answer

salut
tu as executer le fichier reg que je t ai fait faire si oui fait ceci et dit moi si cela ouvre la base de registre

clik sur demarrer executer et tape regedit
si cela marche pas tape regedit.com
si cela ne fonctionne pas rend tois dans c:windows /regedit.exe et double clik dessus

et si la fenetre s ouvre ont pourrat stopper des processus
a++

ibm · Answer

Bjr !

Regedit fonctionne bien, reste à savoir si on pourra avoir une quelconque action dessus...

balltrap34 · Answer

oki si regedit fonctionne c est une bonne nouvelle

ouvre la base de registre et rend toi sur cette clef
pour cela il faut derouler les petit + a gauche
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\WINDOWS\System32\hrum363.txt 

et si tu voit ceci dans la fenetre de droite appinit_dlls"=C:\WINDOWS\System32\hrum363.txt 
suppr la valeur C:\WINDOWS\System32\hrum363.txt 


ensuite rend toi sur cette clef
Recherchez l'entrée sous HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
NvCpl28Deamon

et supprimez-la si elle existe.uniquement se qui est en gras et dans la fenetre de droite

recommencer avec cette clef
HKU\[code]\Software\Microsoft\Windows\CurrentVersion\
RunOnce\NvCpl28Deamon



et supprimez-la si elle existe.

ibm · Answer

J'ai effectué la suppression de la première clef.

La seconde je ne la trouve pas, la troisième non plus (pour celle là il n'existe qu'une seule valeur qui est non definie)

Lyonnais92 · Answer

Bonjour,

je comprends ta frustration et ta fatigue.

C'est une dure bataille, mais stratégiquement, elle est gagnée. On est dans le "nettoyage final". Ce n'est pas spectaculaire, ça peut être douloureux, mais on va y arriver.

On ne peut pas laisser un PC ouvert. C'est offrir sur un plateau des moyens aux hackers pour accentuer leurs méfaits. C'est aussi te faire courir un risque de sanction (de ton FAI par exemple) à cause de ce à quoi il pourarit servir.

J'ai besoin de parler avec balltrap pour être le + efficace possible. On le fera sur le post. je distinguerai quand je te parle et quand je lui parle. Tu ne mets pas en oeuvre avant qu'on ait dit de le faire.

Pour toi,

tu relances les 2 outils du post 34 et tu postes les logs.

Ensuite,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.(celui que tu as créé récemment)
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! 

@+

Lyonnais92 · Answer

RE

pour balltrap

Que penses tu de lui faire exécuter Zeb-Restore (httq://telechargement.zebulon.fr/telecharger-zeb-restore.html) ?

Que penses tu de lui faire exécuter la version de Combofix que sUBs a mis en téléchargement dans un dossier beta ?

@+

ibm · Answer

SDFix: Version 1.100

Run by LAPTOP on 29/08/2007 at 18:44

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\LAPTOP\Bureau\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------


Files with Hidden Attributes:

C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe
C:\WINDOWS\system32\3A9CB52BFF.sys
C:\WINDOWS\system32\FF2BB59C3A.sys
C:\WINDOWS\system32\KGyGaAvL.sys

                                 Finished 

______________________________________________________________________________



(8/29/07 18:31:11) SPSeHjFix started v1.1.2
(8/29/07 18:31:11) OS: WinXP Service Pack 1 (5.1.2600)
(8/29/07 18:31:11) Language: français
(8/29/07 18:31:11) Win-Path: C:\WINDOWS
(8/29/07 18:31:11) System-Path: C:\WINDOWS\System32
(8/29/07 18:31:11) Temp-Path: C:\DOCUME~1\LAPTOP\LOCALS~1\Temp\
(8/29/07 18:31:15) Disinfection started
(8/29/07 18:31:15) Bad-Dll(IEP): (not found)
(8/29/07 18:31:15) Bad-Dll(IEP) in BHO: (not found)
(8/29/07 18:31:15) UBF: 4 - UBB: 66 - UBR: 2
(8/29/07 18:31:15) UBF: 4 - UBB: 66 - UBR: 2
(8/29/07 18:31:15) Bad IE-pages: (none)
(8/29/07 18:31:15) Stealth-String not found
(8/29/07 18:31:15) Not infected->END 
_________________________________________________________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:20, on 29/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32
otepad.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\LAPTOP\Bureau\hijackthis\LAPTOP.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Lyonnais92 · Answer

Re,

1) Tu as refait  CWShredder ?

2) Supprime la version de OAD. Retélécharge le et réexcute le sur cette chaîne de caractère :
 
{0B3FE940-D86C-B10F-DEFD-0E10D5772B03}

(voir post  23)

3) Ouvre ce lien  (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php 
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp. 

@+

ibm · Answer

1) Oui resutat negatif

2)  29/08/2007 ---- 21:56:52,67  

----------------------------------
§§§§§§ [{0B3FE940-D86C-B10F-DEFD-OE10D5772B03}] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


3) en cours

balltrap34 · Answer

pour lyonnais

zeb restore oui

pour combo il y a une polemique en se moment il parle de retirer son fix sur les grands board

donc la j ose pas trop m avancer combo a virer systeme 32 sur certain cas apparament mais rien d averer vraimment

pour ibm

j ai vraiment l imprression qu un prog de securite nous bloque

on vas tenter quelque chose
demarre en mode sans echec
retourne dans la base de registre et suppr la valeur de la premiere clef que tu as deja fait si elle existe encore 
ensuite toujours en sans echec assure toi de ceci meme si tu la fait en mode normal
Affiche tous les fichiers et dossiers : 
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

 Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
 
Décocher masquer les extensions dont le type est connu
Puis fais "Ok" pour valider les changements.

Et appliquer


maintenand rend toi dans le dossier c/windows/systeme32 et cherche se fichier et suppr le
hrum363.txt
mefie toi c est par ordre alphabetique mais des fois il se trouve en fin de liste
ne passe pas par la fonction rechercher fait le manuellement

la relance hijack coche les 02 files missing et la 020 et cli_k sur fix

redemarre en mode normal et refait un nouvel hijack et donne le rapport

courage
a++

ibm · Answer

SmitFraudFix v2.217

Rapport fait à 23:38:38,70, 29/08/2007
Executé à partir de C:\Documents and Settings\LAPTOP\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\d3??.dll supprimé
C:\WINDOWS\system32\susp.exe supprimé
C:\WINDOWS\system32\components\flx?.dll supprimé
C:\WINDOWS\system32\components\flx??.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FB9FB46D-23DC-4D36-B823-BABB625AA016}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FB9FB46D-23DC-4D36-B823-BABB625AA016}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FB9FB46D-23DC-4D36-B823-BABB625AA016}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:32:45, on 30/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = virus qui bloque l acces aux postes cles?appreciation= 1&key=8404b4ef0a3dc3c0727bd2cbeadcd0e3
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Lyonnais92 · Answer

Bonjour,

1) tu as essayé de supprimer lavaleur de la clé 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 
"appinit_dlls"=C:\WINDOWS\System32\hrum363.txt 

en mode sans échec ?

2) relance OAD avec hrum363 comme chaîne de caractère à rechercher et poste le rapport.

3) Télécharge « clean.zip » 
http://www.malekal.com/download/clean.zip 
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ". 
 
•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ). 
•- Ouvre le dossier « clean » qui se trouve sur ton bureau. 
•- Double-clic sur « clean.cmd ». 
Une fenêtre noire va apparaître, choisis l’option 2. 

Clean va travailler. 
•- Redémarre normalement 
•- Poste qui se trouve ici C:\rapport_clean.txt.

4) Relance hijackthis, choisis open the misc tool section et open uninstall manager.

Clique sur save list et enregistre le fichier. Ouvre le avec le bloc-note pour le copier dans ta réponse.

5) Télécharge ccleaner : 

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto : 
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php 

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo ! 

¤ Lance CCleaner. 

Suppression des fichiers temporaires 

Va dans la section "Options" situé dans la marge gauche. Décoche Avancé. Retourne ensuite dans la section "Nettoyeur" 
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système) 
• Clique sur Analyse 
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois. 
• Une fois le scan terminé, clique sur Lancer le Nettoyage 

Suppression des incohérence du registre 

• Clique sur l'icône Erreurs situés dans la marge à gauche. 
• Puis clique sur Analyser les erreurs 
• Patiente pendant que CCleaner scan ton registre. 
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée. 
• Tu peux cliquer ensuite sur Corriger les erreurs. 

Refais 2 ou 3 fois cette recherche-correction

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement 

Dis nous approximativement le nombre d'erreurs traitées.

6) Télécharge la dernière version gratuite de Jv16 Power Tools ici :
http://telechargement.zebulon.fr/201-jv16-powertools.html

démo animée
http://perso.orange.fr/rginformatique/section%20virus/demo%20jv%2016%20v2.htm (merci balltrap)

Installe le.


Double clique sur l'icône créée sur le bureau,

Clique sur outil registre,

Clique sur outils puis nettoyeur de registre.

Clique sur continuer puis démarrer.

A la fin du scan, clique sur sélectionner, choisis sélection spéciale, éléments qui peuvent être supprimmés sans risques.

Clique sur supprimer (en bas à droite)

Clique sur fermer autant de fois que nécessaire pour quitter Jv16.

Avant de supprimer, clique sur trier et trie par couleur.

Donne nous le nombre approximatif de points verts (qui vont être supprimés)

Bon travail.

@+

IBM · Answer

2) 30/08/2007 ---- 18:03:32,73  

----------------------------------
§§§§§§ [hrum363] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="C:\WINDOWS\System32\hrum363.txt"

*******************
     [Fichier] 
*******************

c:\_OTMoveIt\MovedFiles\WINDOWS\System32\hrum363.txt
c:\Documents and Settings\LAPTOP\Recent\hrum363.txt.lnk
c:\WINDOWS\system32\hrum363.txt


*********************
     [Même date] 
*********************

[13/08/2007 ] ---> C:\WINDOWS\system32\hrum363.txt   
[30/08/2007 ] --- REP ---> C:\Program Files\TomTom HOME  
[30/08/2007 ] ---> C:\hiberfil.sys   



Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

IBM · Answer

3)
Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 30/08/2007 a 18:51:44,02 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
tentative de suppression de C:\WINDOWS\bbchk.exe 
tentative de suppression de C:\WINDOWS\sys???????????.exe 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\System32\Biprep.exe 
tentative de suppression de C:\WINDOWS\764.exe 
tentative de suppression de C:\WINDOWS\System32\wml.exe 
tentative de suppression de C:\WINDOWS\System32\vxddsk.exe 
tentative de suppression de C:\WINDOWS\System32\satmat.exe 
tentative de suppression de C:\WINDOWS\System32\WER8274.DLL 
tentative de suppression de C:\WINDOWS\System32\MSIXU.DLL 
tentative de suppression de C:\WINDOWS\System32\180ax.exe 
tentative de suppression de C:\WINDOWS\System32\updatetc.exe 
tentative de suppression de C:\WINDOWS\System32\salm.exe 
tentative de suppression de C:\WINDOWS\System32\fuamfu32.ini 
tentative de suppression de C:\WINDOWS\stcloader.exe 
tentative de suppression de C:\WINDOWS\pbar.dll 
tentative de suppression de C:\WINDOWS\flt.dll 
tentative de suppression de C:\WINDOWS\7search.dll 
tentative de suppression de C:\WINDOWS\bokja.exe 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport !

IBM · Answer

4)
Ad-Aware 2007
Adobe Download Manager 2.0 (Supprimer uniquement)
Adobe Reader 7.0.5
Adobe SVG Viewer 3.0
Alice ADSL - Installation principale
Avira AntiVir PersonalEdition Classic
Barre d'outils MSN
CCleaner (remove only)
Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations]
Correctif Windows XP - KB820291
Correctif Windows XP - KB821253
Correctif Windows XP - KB822603
Correctif Windows XP - KB823182
Correctif Windows XP - KB824105
Correctif Windows XP - KB824141
Correctif Windows XP - KB825119
Correctif Windows XP - KB826939
Correctif Windows XP - KB826942
Correctif Windows XP - KB828028
Correctif Windows XP - KB828035
Correctif Windows XP - KB829558
Correctif Windows XP - KB842773
Correctif Windows XP (SP2) Q322011
Correctif Windows XP (SP2) Q327979
Correctif Windows XP (SP2) Q814995
Creative DVD Audio Plugin for Audigy Series
HijackThis 2.0.2
IBM ThinkPad Power Management Driver
Intel(R) PRO Network Adapters and Drivers
Internet Expedition
Internet Explorer Q832894
InterVideo WinDVD 5
J2SE Runtime Environment 5.0 Update 6
Kaspersky Online Scanner
Kit de connexion ADSL
kit de connexion NC NUMERICABLE 1.0
Lecteur Windows Media 10
Lexmark X5100 Series
Macromedia Flash Player 8
Micro Application - 36 Dictionnaires et Recueils de Correspondance
Microsoft Office XP Professional
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB927891)
MSN Messenger 7.5
Navilog1 Version 2.0.9
Outlook Express Q820223
Pack réseau avancé pour Windows XP
QuickTime
RealPlayer
SAMSUNG CDMA Modem Driver Set
SAMSUNG Mobile Composite Device Software
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio
Samsung PC Studio 3 USB Driver Installer
Spybot - Search & Destroy 1.4
TomTom HOME
VideoLAN VLC media player 0.8.1
Visionneuse Journal Windows Microsoft
Windows Genuine Advantage v1.3.0254.0
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
Yahoo! Install Manager

Lyonnais92 · Answer

Bonjour,

Tout ça se déroule bien.

Je réinterviendrai plus tard.

N'oublie pas de nous informer pour la clé.

@+

IBM · Answer

Bonjourr,

1) Oui, j'ai tenté à plusieurs reprises de supprimer la clef en mode sans echec consecutivement  par tous les moyens indiqués sur ce post.

5) CCleaner commence à environ 15OO Erreurs à corriger pour n'en laisser aucune au bout de 3 scans

6) Jv 16 powertools affiche quelque 160 Items, lorsque je choisis de selectionner ceux pouvant être supprimés sans danger il ne m'en selectionne pas , je fais le test pour les autres afin de m'assurer de ma bonne manoeuvre,  bien sûr je n'ai pas effacé et il les selectionne.

J'ai effacé de moi-même quelques items de programmes que j'avais désinstallé et dont certains reliquats trainent toujours sur mon pc (Norton en particulier, je ne sais pas si cela est possible mais j'ai l'impression que cela constitue une niche bien douillette pour d'eventuels virus.

j' envoie un hijack, merci à toi !

IBM · Answer

Après avoir tenté via regedit la suppression du hrum363 en mode normal .

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:25, on 30/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = virus qui bloque l acces aux postes cles?appreciation= 1&key=8404b4ef0a3dc3c0727bd2cbeadcd0e3
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

balltrap34 · Answer

tu dit que tu as essayer de virer la clef en sans echec resultat oui/non?
a tu essayer toujours en sans echec de virer le fichier comme expliquer au post 93 resultat oui/non

la je commence a secher lol
a++

Lyonnais92 · Answer

Bonsoir,

1) tu fais une recherche avec OAD sur la chaîne de caractère iexpedition

2) désinstalles :

- Ad-Aware 2007 

- Internet expedition

- Kaspersky Online Scanner 

- Spybot - Search & Destroy 1.4 

3) ouvre C:\Program Files\Grisoft\AVG Anti-Spyware 7.5.

si tu vois une icône désinstalle, clique dessus et désinstalle.

Sinon, double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5.

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

4) Relance ccleaner (nettoyage de fichier et correction d'erreurs du registre)

5) Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes 

O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file) 
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file) 
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file) 
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file) 
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file) 
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file) 
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file) 
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file) 
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file) 
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file) 
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file) 
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file) 
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file) 
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file) 
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file) 
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file) 
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file) 
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file) 
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file) 
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file) 
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file) 
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file) 
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file) 
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file) 
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file) 
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file) 
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file) 
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file) 
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file) 
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file) 
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file) 
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file) 
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file) 
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file) 
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file) 
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file) 
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file) 
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file) 
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file) 
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file) 
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file) 
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file) 
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file) 
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file) 
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file) 
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file) 
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file) 
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file) 
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file) 
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file) 
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file) 
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file) 
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file) 
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file) 
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file) 
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file) 
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file) 
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file) 
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file) 
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file) 
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file) 
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file) 
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file) 
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file) 
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file) 
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file) 
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file) 
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file) 
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) 
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt 

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.


6) Redémarre l'ordi.

Poste un nouveau log hijackthis.

@+

balltrap34 · Answer

salut fait se que ta mis lyonnais et ensuite retelecharge smitfraudfix une mise a jour a ete faite avec pris en compte de ton soucis
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt 

imperatif desinstal la version que tu as
telecharge la nouvelle
 Version 2.218 (August 30, 2007)

passe l option 1 sauvegarde le rapport et seulement ensuite passe l option 2 en mode sans echec et sauvegarde le rapport 
et redemarre et donne moi les deux rapport stp merci

a++

IBM · Answer

Reponse au post 102

Oui j'ai tenté en mode sans echec et en mode normal via regedit puis via explorer puis via un hijack fix je l'ai refait en mode normal je connais la procedure par coeur j'ai du la faire cinq fois.

A chaque fois que je lance hijack je tente 'eliminer les lignes O2 puis O20 j'essaie individuellement ca ne marche pas !  tous  ensemble non plus! 

J'y retourne une énième fois en mode sans exhec avant de faire la suite

ibm · Answer

REPONSE POST 103

1)
 31/08/2007 ----  1:02:10,70  

----------------------------------
§§§§§§ [iexpedition] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iexpedition]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iexpedition]

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


2) Tous ceux desinstallent sauf iexpedition même après avoir desinstallé Spybot qui engendre un reboot
jJ'ai tenté de rechercher le fichier manuellement l'acces à Local settings est bloqué
J'ai essayé de retrouver la clef mais je ne la retrouve pas dans ARPCache

3
En ouvrant le grisoft je tombe sur un fichier qui ne donne rien en cliquant dessus, le programme a utiliser est à browser

Par OTMOVEIT Comme resultat d'operation j'ai "error I/O 1050 " meme en effacant le fichier ds AVG SPYWARE 7.5.== PAS DE RAPPORT OTmoveit donc.

CCleaner ok
redemarrage puis hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:24:52, on 31/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = virus qui bloque l acces aux postes cles?appreciation= 1&key=8404b4ef0a3dc3c0727bd2cbeadcd0e3
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin
pjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

ibm · Answer

SmitFraudFix v2.218

Rapport fait à  3:06:41,23, 31/08/2007
Executé à partir de C:\Documents and Settings\LAPTOP\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\LAPTOP


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\LAPTOP\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\LAPTOP\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="C:\WINDOWS\System32\hrum363.txt"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Connexion réseau Intel(R) PRO/100 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FB9FB46D-23DC-4D36-B823-BABB625AA016}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FB9FB46D-23DC-4D36-B823-BABB625AA016}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

__________________________________________________________________________________________________________
SmitFraudFix v2.218

Rapport fait à  3:14:59,07, 31/08/2007
Executé à partir de C:\Documents and Settings\LAPTOP\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FB9FB46D-23DC-4D36-B823-BABB625AA016}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FB9FB46D-23DC-4D36-B823-BABB625AA016}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

ibm · Answer

NOTA/ LES SCANS HIJACKS SONT IDENTIQUES AUX PRECEDENTS



Bonne nuit...

Lyonnais92 · Answer

Bonjour,

ibm,

1) la ligne 020 est toujours là ?

2) Relance OAD sur FAF1B8E9-63E5-A24C-2E5E-87B83DF91450 et poste le rapport

 3) Relance hijackthis, choisis open the misc tool section et open uninstall manager. 

Clique sur save list et enregistre le fichier. Ouvre le avec le bloc-note pour le copier dans ta réponse. 


balltrap,

Smitfraud fix n'a pas viré la ligne (pas de trace dans le log) ?!

que penses tu d'un script Avenger(plutôt qu'un bfu)  pour tuer :


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 
"appinit_dlls"="C:\WINDOWS\System32\hrum363.txt" 


c:\_OTMoveIt\MovedFiles\WINDOWS\System32\hrum363.txt 
c:\Documents and Settings\LAPTOP\Recent\hrum363.txt.lnk 
c:\WINDOWS\system32\hrum363.txt 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iexpedition] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iexpedition] 


C:\Program Files\Grisoft\AVG Anti-Spyware 7.5.

Le dossier internet expedition (je sais comment les trouver)

les clés liés aux 02

si oui, tu peux préparer le terrain ( pour


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 
"appinit_dlls"="C:\WINDOWS\System32\hrum363.txt" 
c:\WINDOWS\system32\hrum363.txt 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iexpedition] 

je ferai les autres par imitation).

Merci.

@+

IBM · Answer

Bjr,

Ligne O20 tjrs presente meme apres en avoir tenter un fix


 31/08/2007 ---- 12:53:37,04  

----------------------------------
§§§§§§ [FAF1B8E9-63E5-A24C-2E5E-87B83DF91450] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

IBM · Answer

Adobe Download Manager 2.0 (Supprimer uniquement)
Adobe Reader 7.0.5
Adobe SVG Viewer 3.0
Alice ADSL - Installation principale
Avira AntiVir PersonalEdition Classic
Barre d'outils MSN
CCleaner (remove only)
Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations]
Correctif Windows XP - KB820291
Correctif Windows XP - KB821253
Correctif Windows XP - KB822603
Correctif Windows XP - KB823182
Correctif Windows XP - KB824105
Correctif Windows XP - KB824141
Correctif Windows XP - KB825119
Correctif Windows XP - KB826939
Correctif Windows XP - KB826942
Correctif Windows XP - KB828028
Correctif Windows XP - KB828035
Correctif Windows XP - KB829558
Correctif Windows XP - KB842773
Correctif Windows XP (SP2) Q322011
Correctif Windows XP (SP2) Q327979
Correctif Windows XP (SP2) Q814995
HijackThis 2.0.2
IBM ThinkPad Power Management Driver
Intel(R) PRO Network Adapters and Drivers
Internet Expedition
Internet Explorer Q832894
InterVideo WinDVD 5
J2SE Runtime Environment 5.0 Update 6
jv16 PowerTools 1.3
Kit de connexion ADSL
kit de connexion NC NUMERICABLE 1.0
Lecteur Windows Media 10
Lexmark X5100 Series
Macromedia Flash Player 8
Micro Application - 36 Dictionnaires et Recueils de Correspondance
Microsoft Office XP Professional
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB927891)
MSN Messenger 7.5
Navilog1 Version 2.0.9
Outlook Express Q820223
Pack réseau avancé pour Windows XP
QuickTime
RealPlayer
SAMSUNG CDMA Modem Driver Set
SAMSUNG Mobile Composite Device Software
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio
Samsung PC Studio 3 USB Driver Installer
TomTom HOME
VideoLAN VLC media player 0.8.1
Visionneuse Journal Windows Microsoft
Windows Genuine Advantage v1.3.0254.0
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
Yahoo! Install Manager

balltrap34 · Answer

salut

c est pour lyonnais uniquement toi ne fait rien avec ceci

fait rapidement pas trop le temp lol
voici un lien des commandes
http://swandog46.geekstogo.com/avenger2/avenger2.html

Files to delete:
c:\WINDOWS\system32\hrum363.txt 

Registry values to replace with dummy: 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

a++

Lyonnais92 · Answer

RE,

1) ouvre la clé 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 


Dans la fenêtre de droite tu vois successivement et uniquement : ab par défaut puis REG_SZ puis valeur non définie ? oui - non

Dans la fenêtre de gauche, tu vois, en desous de Browser Helper Objects , la liste de tous les CLSI (cette longuse suite de caractères) que l'on voit aussi dans les lignes 02 du log Hijackthis  ? oui - non

Si oui (je suis quasi sûr à 100%) :

clic droit sur la première. Tu as une ligne autorisation ? oui - non 

Si oui, tu cliques sur autorisation. Une fenêtre s'ouvre avec une liste d'utilisateurs, dont le nom de ta session ? oui - non

Si oui, clique sur la ligne de ta session.

Est ce que contrôle total est coché ? oui - non

Si oui, ferme la fenêtre des autorisations, clic droit sur le CLSID et suppression. Ca marche ? oui - non

Si non, clique sur paramètres avancés, clique sur le nom de ta session, clique sur modifier. Peux tu cocher la case "contrôle total" "autoriser" ? Si oui tu le fais et tu essaies la maneuvre de suppression ci-dessus.

Sinon, tu démarres en mode sans échec et tu esayes les mêmes maneuvres avec ta session d'abord, avec la session administrateur en cas d'échec.

question complémentaire. Quand tu as clioqué sur apramètres avancés, est ce que la case devant "hérite de l'objet parent ..." est cochée ? Sinon, tu essayes de la cocher et de refaire les maneuvres d'attribution des droits de contrôle total  puis de suppression.

Tu nous dit le résultat.
@+
-

ibmm · Answer

RE : le lyonnais!

J'espère que t'es toujours effectif malgré le tps qui a passé, j'ai de bonnes news!

Voici ce qui s'est passé : Je me suis démené comme un fou à partir de ton dernier message voici ce qu'il en ressort :

Il  a bien ce que tu décris en 1. 
Grâce à toi, j'ai réussi à virer toutes les lignes O2 :
Voici le procédé.

Aller sur la lgne, puis clique droit: autorisations ---> Paramètres avancés--->Propriétaire---> la je selectionne la ligne qui correspond à ma session qui se trouve etre présente avec une ligne nommée "tous les utilisateurs"--->puis OK. : Ce qui nous raméne au panneau d'autorisation de base.
Là je coche Autoriser. 

Ce protocole me permet alors d'enfin effacer la ligne. J'ai dû procéder a chaque fois de la sorte pour chaque ligne O2, laborieux et fastidieux mais efficace ;-)


Pour la valeur hrum363 il en va autrement car je ne peux agir sur elle séparément . QUe proposes-tu ?

Voici le hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:26:52, on 12/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32	askmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWSegedit.exe
C:\Documents and Settings\LAPTOP\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww25.forums.spywareinfo.com/index.php?s=04b83a6361704b9c04430041122bc18c&showtopic=107849&st=15
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lyonnais92 · Answer

Bonjour,

je t'avouerai que je t'avais un peu oublié lol.

Mais je suis toujours là.

Fais ça :

télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


et enregistre le sur le bureau.

2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

ibmm · Answer

Voici le resultat au 1er lancement au bout de 10min une première fenetre appelée swreg.cfexe apparait où il est spécifié :"L'application ou la DLL:C\windows\systeme32\hrum363.txt n'est pas une image windows valide.verifez à l'aide de votre disquette d'installation". A chauqe fois que je ferme une autre aparait avec un autre titre "regedit.exe,net1.exe, RDNT.exe,catchme.cfexe" bref une quinzaine en tout. AU redemarrage je lance regedit et procède à la manière des lignes O2 du hijack de départ sur les HKEYs cette fois (au passage je pense que si j'avais fais ça au début cela m'aurait épargné de le refaire pour chacune des lignes). Bref je donne le nom de ma section en propriétaire et refait un combofix sans accros cette fois. tu as les deux ici : Le 1er: ComboFix 07-11-08.1 - LAPTOP 2007-11-11 23:28:39.1 - NTFSx86 Running from: C:\Documents and Settings\LAPTOP\Bureau\ComboFix.exe * Created a new restore point . Incapable d'obtenir les privilèges Système (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\doll193.exe C:\WINDOWS\g32.txt C:\WINDOWS\gui C:\WINDOWS\gui\drw43300.txt C:\WINDOWS\gui\drw43300.vdb C:\WINDOWS\gui\drw43301.txt C:\WINDOWS\gui\drw43301.vdb C:\WINDOWS\gui\drw43302.txt C:\WINDOWS\gui\drw43302.vdb C:\WINDOWS\gui\drw43303.txt C:\WINDOWS\gui\drw43303.vdb C:\WINDOWS\gui\drw43304.txt C:\WINDOWS\gui\drw43304.vdb C:\WINDOWS\gui\drw43305.txt C:\WINDOWS\gui\drw43305.vdb C:\WINDOWS\gui\drw43306.txt C:\WINDOWS\gui\drw43306.vdb C:\WINDOWS\gui\drw43307.txt C:\WINDOWS\gui\drw43307.vdb C:\WINDOWS\gui\drw43308.txt C:\WINDOWS\gui\drw43308.vdb C:\WINDOWS\gui\drw43309.txt C:\WINDOWS\gui\drw43309.vdb C:\WINDOWS\gui\drw43310.txt C:\WINDOWS\gui\drw43310.vdb C:\WINDOWS\gui\drw43311.txt C:\WINDOWS\gui\drw43311.vdb C:\WINDOWS\gui\drw43312.txt C:\WINDOWS\gui\drw43312.vdb C:\WINDOWS\gui\drw43313.txt C:\WINDOWS\gui\drw43313.vdb C:\WINDOWS\gui\drw43314.txt C:\WINDOWS\gui\drw43314.vdb C:\WINDOWS\gui\drw43315.txt C:\WINDOWS\gui\drw43315.vdb C:\WINDOWS\gui\drw43316.txt C:\WINDOWS\gui\drw43316.vdb C:\WINDOWS\gui\drw43317.txt C:\WINDOWS\gui\drw43317.vdb C:\WINDOWS\gui\drw43318.txt C:\WINDOWS\gui\drw43318.vdb C:\WINDOWS\gui\drw43319.txt C:\WINDOWS\gui\drw43319.vdb C:\WINDOWS\gui\drw43320.txt C:\WINDOWS\gui\drw43320.vdb C:\WINDOWS\gui\drw43321.txt C:\WINDOWS\gui\drw43321.vdb C:\WINDOWS\gui\drw43322.txt C:\WINDOWS\gui\drw43322.vdb C:\WINDOWS\gui\drw43323.txt C:\WINDOWS\gui\drw43323.vdb C:\WINDOWS\gui\drw43324.txt C:\WINDOWS\gui\drw43324.vdb C:\WINDOWS\gui\drw43325.txt C:\WINDOWS\gui\drw43325.vdb C:\WINDOWS\gui\drw43326.txt C:\WINDOWS\gui\drw43326.vdb C:\WINDOWS\gui\drw43327.txt C:\WINDOWS\gui\drw43327.vdb C:\WINDOWS\gui\drw43328.txt C:\WINDOWS\gui\drw43328.vdb C:\WINDOWS\gui\drw43329.txt C:\WINDOWS\gui\drw43329.vdb C:\WINDOWS\gui\drw43330.txt C:\WINDOWS\gui\drw43330.vdb C:\WINDOWS\gui\drw43331.txt C:\WINDOWS\gui\drw43331.vdb C:\WINDOWS\gui\drw43332.txt C:\WINDOWS\gui\drw43332.vdb C:\WINDOWS\gui\drw43333.txt C:\WINDOWS\gui\drw43333.vdb C:\WINDOWS\gui\drw43334.txt C:\WINDOWS\gui\drw43334.vdb C:\WINDOWS\gui\drw43335.txt C:\WINDOWS\gui\drw43335.vdb C:\WINDOWS\gui\drw43336.txt C:\WINDOWS\gui\drw43336.vdb C:\WINDOWS\gui\drw43337.txt C:\WINDOWS\gui\drw43337.vdb C:\WINDOWS\gui\drw43338.txt C:\WINDOWS\gui\drw43338.vdb C:\WINDOWS\gui\drw43339.txt C:\WINDOWS\gui\drw43339.vdb C:\WINDOWS\gui\drw43340.txt C:\WINDOWS\gui\drw43340.vdb C:\WINDOWS\gui\drw43341.txt C:\WINDOWS\gui\drw43341.vdb C:\WINDOWS\gui\drw43342.txt C:\WINDOWS\gui\drw43342.vdb C:\WINDOWS\gui\drw43343.txt C:\WINDOWS\gui\drw43343.vdb C:\WINDOWS\gui\drw43344.txt C:\WINDOWS\gui\drw43344.vdb C:\WINDOWS\gui\drw43345.txt C:\WINDOWS\gui\drw43345.vdb C:\WINDOWS\gui\drw43346.txt C:\WINDOWS\gui\drw43346.vdb C:\WINDOWS\gui\drw43347.txt C:\WINDOWS\gui\drw43347.vdb C:\WINDOWS\gui\drw43348.txt C:\WINDOWS\gui\drw43348.vdb C:\WINDOWS\gui\drw43349.txt C:\WINDOWS\gui\drw43349.vdb C:\WINDOWS\gui\drw43350.txt C:\WINDOWS\gui\drw43350.vdb C:\WINDOWS\gui\drw43351.txt C:\WINDOWS\gui\drw43351.vdb C:\WINDOWS\gui\drw43352.txt C:\WINDOWS\gui\drw43352.vdb C:\WINDOWS\gui\drw43353.txt C:\WINDOWS\gui\drw43353.vdb C:\WINDOWS\gui\drw43354.txt C:\WINDOWS\gui\drw43354.vdb C:\WINDOWS\gui\drw43355.txt C:\WINDOWS\gui\drw43355.vdb C:\WINDOWS\gui\drw43356.txt C:\WINDOWS\gui\drw43356.vdb C:\WINDOWS\gui\drw43357.txt C:\WINDOWS\gui\drw43357.vdb C:\WINDOWS\gui\drw43358.txt C:\WINDOWS\gui\drw43358.vdb C:\WINDOWS\gui\drw43359.txt C:\WINDOWS\gui\drw43359.vdb C:\WINDOWS\gui\drw43360.txt C:\WINDOWS\gui\drw43360.vdb C:\WINDOWS\gui\drw43361.txt C:\WINDOWS\gui\drw43361.vdb C:\WINDOWS\gui\drw43362.txt C:\WINDOWS\gui\drw43362.vdb C:\WINDOWS\gui\drw43363.txt C:\WINDOWS\gui\drw43363.vdb C:\WINDOWS\gui\drw43364.txt C:\WINDOWS\gui\drw43364.vdb C:\WINDOWS\gui\drw43365.txt C:\WINDOWS\gui\drw43365.vdb C:\WINDOWS\gui\drweb32.dll C:\WINDOWS\gui\DrWeb32.key C:\WINDOWS\gui\drwebase.vdb C:\WINDOWS\gui\drwnasty.txt C:\WINDOWS\gui\drwnasty.vdb C:\WINDOWS\gui\drwrisky.txt C:\WINDOWS\gui\drwrisky.vdb C:\WINDOWS\gui\drwtoday.txt C:\WINDOWS\gui\drwtoday.vdb C:\WINDOWS\gui\dwebio16.dll C:\WINDOWS\gui\dwebio32.dll C:\WINDOWS\gui\dwebllio.dll C:\WINDOWS\gui\dwn43301.txt C:\WINDOWS\gui\dwn43301.vdb C:\WINDOWS\gui\dwn43302.txt C:\WINDOWS\gui\dwn43302.vdb C:\WINDOWS\gui\dwn43303.txt C:\WINDOWS\gui\dwn43303.vdb C:\WINDOWS\gui\dwn43304.txt C:\WINDOWS\gui\dwn43304.vdb C:\WINDOWS\gui\dwn43305.txt C:\WINDOWS\gui\dwn43305.vdb C:\WINDOWS\gui\dwntoday.txt C:\WINDOWS\gui\dwntoday.vdb C:\WINDOWS\gui\dwr43301.txt C:\WINDOWS\gui\dwr43301.vdb C:\WINDOWS\gui\dwrtoday.txt C:\WINDOWS\gui\dwrtoday.vdb C:\WINDOWS\gui\gui.exe C:\WINDOWS\gui\gui.list C:\WINDOWS\gui ar.exe C:\WINDOWS\system32\7_exception.nls C:\WINDOWS\system32\away.exe.exe C:\WINDOWS\system32\bi.dll C:\WINDOWS\system32\components C:\WINDOWS\system32\drivers\alert_icon.gif C:\WINDOWS\system32\drivers\blank.gif C:\WINDOWS\system32\drivers\box_1.gif C:\WINDOWS\system32\drivers\box_2.gif C:\WINDOWS\system32\drivers\box_3.gif C:\WINDOWS\system32\drivers\button_buynow.gif C:\WINDOWS\system32\drivers\button_freescan.gif C:\WINDOWS\system32\drivers\close_icon.gif C:\WINDOWS\system32\drivers\detect.htm C:\WINDOWS\system32\drivers\download_box.gif C:\WINDOWS\system32\drivers\footer_back.jpg C:\WINDOWS\system32\drivers\header_1.gif C:\WINDOWS\system32\drivers\header_2.gif C:\WINDOWS\system32\drivers\header_3.gif C:\WINDOWS\system32\drivers\header_4.gif C:\WINDOWS\system32\drivers\header_bg.gif C:\WINDOWS\system32\drivers\icon_warning.gif C:\WINDOWS\system32\drivers\infected.gif C:\WINDOWS\system32\drivers\JIO45.sys C:\WINDOWS\system32\drivers\main_back.gif C:\WINDOWS\system32\drivers pf.sys C:\WINDOWS\system32\drivers\perfect_cleaner_box.jpg C:\WINDOWS\system32\drivers\product_1_header.gif C:\WINDOWS\system32\drivers\product_1_name_small.gif C:\WINDOWS\system32\drivers\product_2_header.gif C:\WINDOWS\system32\drivers\product_2_name_small.gif C:\WINDOWS\system32\drivers\product_3_header.gif C:\WINDOWS\system32\drivers\product_3_name_small.gif C:\WINDOWS\system32\drivers\product_features.gif C:\WINDOWS\system32\drivers\pt.htm C:\WINDOWS\system32\drivers emove_spyware_button.gif C:\WINDOWS\system32\drivers\s_detect.htm C:\WINDOWS\system32\drivers\secuity_center_logo.gif C:\WINDOWS\system32\drivers\sep_hor.gif C:\WINDOWS\system32\drivers\sep_vert.gif C:\WINDOWS\system32\drivers\shadow.jpg C:\WINDOWS\system32\drivers\spacer.gif C:\WINDOWS\system32\drivers\spy_away_box.jpg C:\WINDOWS\system32\drivers\star.gif C:\WINDOWS\system32\drivers\star_gray.gif C:\WINDOWS\system32\drivers\star_gray_small.gif C:\WINDOWS\system32\drivers\star_small.gif C:\WINDOWS\system32\drivers\style.css C:\WINDOWS\system32\drivers\symavc32.sys C:\WINDOWS\system32\drivers\v.gif C:\WINDOWS\system32\drivers\warning_icon.gif C:\WINDOWS\system32\drivers\win_logo.gif C:\WINDOWS\system32\drivers\x.gif C:\WINDOWS\system32\gtv_sd.bin C:\WINDOWS\system32\hrum363.txt C:\WINDOWS\system32\koos.exe C:\WINDOWS\system32\kprof C:\WINDOWS\system32\lfd32.ini C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\poof C:\WINDOWS\system32\pthreadVC.dll C:\WINDOWS\system32\svcp.csv C:\WINDOWS\system32\WanPacket.dll C:\WINDOWS\system32\winsub.xml C:\WINDOWS\system32\wpcap.dll C:\WINDOWS race C:\WINDOWS race race.txt C:\WINDOWS\wesre.exe C:\WINDOWS\xlavba8.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_JIO45 -------\LEGACY_NPF -------\LEGACY_NTIO256 -------\LEGACY_POOF -------\LEGACY_RUNTIME -------\LEGACY_RUNTIME2 -------\NPF -------\xlavba8 ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-11 to 2007-11-11 )))))))))))))))))))))))))))))))))))) . 2007-11-11 23:23 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-11 20:59 d-------- C:\WINDOWS\AU_Temp 2007-11-11 15:08 d-------- C:\Program Files\Avira 2007-11-11 15:08 d----c--- C:\Documents and Settings\All Users\Application Data\Avira 2007-11-11 02:53 d-------- C:\WINDOWS eport 2007-11-11 02:47 d-------- C:\WINDOWS\AU_Backup 2007-11-11 02:47 1,163,344 --a------ C:\WINDOWS\vsapi32.dll 2007-11-11 02:47 267,845 --a------ C:\WINDOWS sc.exe 2007-11-11 02:47 86,094 --a------ C:\WINDOWS\BPMNT.dll 2007-11-11 02:47 71,749 --a------ C:\WINDOWS\hcextoutput.dll 2007-11-11 02:42 d-------- C:\WINDOWS\AU_Log 2007-11-11 02:42 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL 2007-11-11 02:41 286,720 --a------ C:\WINDOWS\PATCH.EXE 2007-11-11 02:41 69,689 --a------ C:\WINDOWS\UNZIP.DLL 2007-11-09 14:19 d-------- C:\Program Files\Enigma Software Group 2007-11-09 13:56 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-11-09 13:51 54,960 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll 2007-11-09 13:50 d-------- C:\WINDOWS\system32\ZoneLabs 2007-11-09 13:49 d-------- C:\WINDOWS\Internet Logs 2007-11-09 13:12 d-------- C:\Program Files\NoAdware5.0 2007-11-09 02:05 d-------- C:\WINDOWS\system32\Kaspersky Lab 2007-11-09 02:05 d----c--- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2007-11-08 23:57 124,266 --a------ C:\WINDOWS oskrnl.exe 2007-11-08 23:57 12,960 --a------ C:\WINDOWS\system32 oskrnl.sys 2007-11-03 00:23 d-------- C:\WINDOWS\system32\CatRoot2 2007-11-01 00:52 d-------- C:\Program Files\InCode Solutions 2007-10-28 17:19 d-------- C:\Program Files\QuickTime 2007-10-28 17:18 d----c--- C:\Documents and Settings\All Users\Application Data\Apple Computer 2007-10-28 17:15 d-------- C:\Program Files\Apple Software Update 2007-10-28 17:15 d----c--- C:\Documents and Settings\All Users\Application Data\Apple 2007-10-27 03:31 d----c--- C:\Documents and Settings\LAPTOP\Application Data\BitTorrent 2007-10-27 03:27 d----c--- C:\Documents and Settings\LAPTOP\Application Data\DNA 2007-10-27 01:32 d----c--- C:\Documents and Settings\LAPTOP\Application Data\TomTom 2007-10-27 01:31 d----c--- C:\Documents and Settings\All Users\Application Data\TomTom 2007-10-27 01:30 d-------- C:\Program Files\TomTom HOME 2 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-11 10:52 --------- d-----w C:\Program Files\Windows Journal Viewer 2007-11-11 10:52 --------- d-----w C:\Program Files\Wanadoo 2007-11-11 10:52 --------- d-----w C:\Program Files\NC NUMERICABLE 2007-11-11 10:52 --------- d-----w C:\Program Files\MSN Messenger 2007-11-11 10:51 --------- d-----w C:\Program Files\Google 2007-11-11 10:51 --------- d-----w C:\Program Files\CCleaner 2007-11-02 17:23 --------- dc----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-11-01 20:30 --------- d-----w C:\Program Files\Trojan Remover 2007-11-01 20:28 --------- dc--a-w C:\Documents and Settings\All Users\Application Data\TEMP 2007-11-01 00:34 --------- d-----w C:\Program Files\Navilog1 2007-10-27 09:06 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-10-27 00:31 --------- d-----w C:\Program Files\TomTom HOME 2007-10-21 15:12 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2007-09-27 00:06 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\vlc 2007-09-23 23:30 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\TransRender 2007-09-23 23:29 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\Temporary 2007-09-23 23:29 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\Samsung 2007-09-23 23:29 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\ConvertTemp 2007-08-28 10:17 9,677 -c--a-w C:\dnsbak.reg 2004-06-25 10:19 1,785 ----a-r C:\Program Files\Lisezmoi.txt 2004-06-23 09:49 763,326 ----a-w C:\Program Files\MEDIADICO36.HLP 2004-06-08 10:37 81,920 ----a-r C:\Program Files\Installation de MediaDICO36 dans Word.doc 2004-06-08 10:37 49,664 ----a-r C:\Program Files\Désinstallation de MediaDICO36 dans Word.doc 2004-06-02 16:42 35,328 ----a-r C:\Program Files\MediaDICO4Word.doc 2004-06-02 16:41 34,304 ----a-r C:\Program Files\Désinstallation de MediaDICO4Word.doc 2004-06-02 14:10 217,171 ----a-w C:\Program Files\RAC36.exe 2004-05-28 13:48 278,623 ----a-w C:\Program Files\MediaDICO36Word.dll 2004-05-27 13:25 252,416 ----a-w C:\Program Files\LanceMediaDICO36.exe 2004-05-27 13:24 280,576 ----a-w C:\Program Files\MediaDico36.exe 2004-05-07 15:18 180,307 ----a-w C:\Program Files\DMW36.exe 2004-05-06 13:59 184,403 ----a-w C:\Program Files\RMW36.exe 2004-01-04 14:57 121,344 ----a-w C:\Program Files\IndexV2.dll 2001-11-13 19:08 1,408,486 ----a-w C:\Program Files\MediaR36.Pat 2006-06-05 01:11:44 88 --sh--r C:\WINDOWS\system32\3A9CB52BFF.sys 2005-04-17 15:20:23 56 --sh--r C:\WINDOWS\system32\FF2BB59C3A.sys 2006-06-05 01:11:58 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 06:24] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] "Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-03-16 11:34] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-11 17:46] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "@"="" [] [HKEY_USERS\.default\software\microsoft\windows\currentversion un] "noskrnl"=C:\WINDOWS oskrnl.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-11-02 19:46:35 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2005-08-29 11:10:59 C:\WINDOWS\Tasks\Low Battery Alarm Program.job" . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-11 23:53:57 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** . Completion time: 2007-11-11 23:58:34 - machine was rebooted . --- E O F --- Le 2nd: ComboFix 07-11-08.1 - LAPTOP 2007-11-12 0:06:18.2 - NTFSx86 Running from: C:\Documents and Settings\LAPTOP\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32 oskrnl.sys . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_NPF -------\LEGACY_NTIO256 -------\LEGACY_POOF -------\LEGACY_RUNTIME -------\LEGACY_RUNTIME2 ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-11 to 2007-11-11 )))))))))))))))))))))))))))))))))))) . 2007-11-11 23:23 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-11 20:59 d-------- C:\WINDOWS\AU_Temp 2007-11-11 15:08 d-------- C:\Program Files\Avira 2007-11-11 15:08 d----c--- C:\Documents and Settings\All Users\Application Data\Avira 2007-11-11 02:53 d-------- C:\WINDOWS eport 2007-11-11 02:47 d-------- C:\WINDOWS\AU_Backup 2007-11-11 02:47 1,163,344 --a------ C:\WINDOWS\vsapi32.dll 2007-11-11 02:47 267,845 --a------ C:\WINDOWS sc.exe 2007-11-11 02:47 86,094 --a------ C:\WINDOWS\BPMNT.dll 2007-11-11 02:47 71,749 --a------ C:\WINDOWS\hcextoutput.dll 2007-11-11 02:42 d-------- C:\WINDOWS\AU_Log 2007-11-11 02:42 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL 2007-11-11 02:41 286,720 --a------ C:\WINDOWS\PATCH.EXE 2007-11-11 02:41 69,689 --a------ C:\WINDOWS\UNZIP.DLL 2007-11-09 14:19 d-------- C:\Program Files\Enigma Software Group 2007-11-09 13:56 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-11-09 13:51 54,960 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll 2007-11-09 13:50 d-------- C:\WINDOWS\system32\ZoneLabs 2007-11-09 13:49 d-------- C:\WINDOWS\Internet Logs 2007-11-09 13:12 d-------- C:\Program Files\NoAdware5.0 2007-11-09 02:05 d-------- C:\WINDOWS\system32\Kaspersky Lab 2007-11-09 02:05 d----c--- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2007-11-08 23:57 124,266 --a------ C:\WINDOWS oskrnl.exe 2007-11-03 00:23 d-------- C:\WINDOWS\system32\CatRoot2 2007-11-01 00:52 d-------- C:\Program Files\InCode Solutions 2007-10-28 17:19 d-------- C:\Program Files\QuickTime 2007-10-28 17:18 d----c--- C:\Documents and Settings\All Users\Application Data\Apple Computer 2007-10-28 17:15 d-------- C:\Program Files\Apple Software Update 2007-10-28 17:15 d----c--- C:\Documents and Settings\All Users\Application Data\Apple 2007-10-27 03:31 d----c--- C:\Documents and Settings\LAPTOP\Application Data\BitTorrent 2007-10-27 03:27 d----c--- C:\Documents and Settings\LAPTOP\Application Data\DNA 2007-10-27 01:32 d----c--- C:\Documents and Settings\LAPTOP\Application Data\TomTom 2007-10-27 01:31 d----c--- C:\Documents and Settings\All Users\Application Data\TomTom 2007-10-27 01:30 d-------- C:\Program Files\TomTom HOME 2 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-11 10:52 --------- d-----w C:\Program Files\Windows Journal Viewer 2007-11-11 10:52 --------- d-----w C:\Program Files\Wanadoo 2007-11-11 10:52 --------- d-----w C:\Program Files\NC NUMERICABLE 2007-11-11 10:52 --------- d-----w C:\Program Files\MSN Messenger 2007-11-11 10:51 --------- d-----w C:\Program Files\Google 2007-11-11 10:51 --------- d-----w C:\Program Files\CCleaner 2007-11-02 17:23 --------- dc----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-11-01 20:30 --------- d-----w C:\Program Files\Trojan Remover 2007-11-01 20:28 --------- dc--a-w C:\Documents and Settings\All Users\Application Data\TEMP 2007-11-01 00:34 --------- d-----w C:\Program Files\Navilog1 2007-10-27 09:06 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-10-27 00:31 --------- d-----w C:\Program Files\TomTom HOME 2007-10-21 15:12 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2007-09-27 00:06 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\vlc 2007-09-23 23:30 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\TransRender 2007-09-23 23:29 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\Temporary 2007-09-23 23:29 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\Samsung 2007-09-23 23:29 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\ConvertTemp 2007-08-28 10:17 9,677 -c--a-w C:\dnsbak.reg 2004-06-25 10:19 1,785 ----a-r C:\Program Files\Lisezmoi.txt 2004-06-23 09:49 763,326 ----a-w C:\Program Files\MEDIADICO36.HLP 2004-06-08 10:37 81,920 ----a-r C:\Program Files\Installation de MediaDICO36 dans Word.doc 2004-06-08 10:37 49,664 ----a-r C:\Program Files\Désinstallation de MediaDICO36 dans Word.doc 2004-06-02 16:42 35,328 ----a-r C:\Program Files\MediaDICO4Word.doc 2004-06-02 16:41 34,304 ----a-r C:\Program Files\Désinstallation de MediaDICO4Word.doc 2004-06-02 14:10 217,171 ----a-w C:\Program Files\RAC36.exe 2004-05-28 13:48 278,623 ----a-w C:\Program Files\MediaDICO36Word.dll 2004-05-27 13:25 252,416 ----a-w C:\Program Files\LanceMediaDICO36.exe 2004-05-27 13:24 280,576 ----a-w C:\Program Files\MediaDico36.exe 2004-05-07 15:18 180,307 ----a-w C:\Program Files\DMW36.exe 2004-05-06 13:59 184,403 ----a-w C:\Program Files\RMW36.exe 2004-01-04 14:57 121,344 ----a-w C:\Program Files\IndexV2.dll 2001-11-13 19:08 1,408,486 ----a-w C:\Program Files\MediaR36.Pat 2006-06-05 01:11:44 88 --sh--r C:\WINDOWS\system32\3A9CB52BFF.sys 2005-04-17 15:20:23 56 --sh--r C:\WINDOWS\system32\FF2BB59C3A.sys 2006-06-05 01:11:58 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2007-11-11_23.56.13.66 ))))))))))))))))))))))))))))))))))))))))) . - 2007-11-11 22:27:55 270,336 ----a-w C:\WINDOWS\system32\config\systemprofile tuser.dat + 2007-11-11 23:06:06 270,336 ----a-w C:\WINDOWS\system32\config\systemprofile tuser.dat - 2007-08-05 10:30:45 121,336 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT + 2007-11-11 23:12:20 121,336 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 06:24] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] "Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-03-16 11:34] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-11 17:46] [HKEY_USERS\.default\software\microsoft\windows\currentversion un] "noskrnl"=C:\WINDOWS oskrnl.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-11-02 19:46:35 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2005-08-29 11:10:59 C:\WINDOWS\Tasks\Low Battery Alarm Program.job" . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-12 00:15:23 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** . Completion time: 2007-11-12 0:22:34 - machine was rebooted C:\ComboFix2.txt ... 2007-11-11 23:58 . --- E O F ---

ibmm · Answer

Le hijack au cas où tu en aurais besoin, tu as fais un super boulot merci pour ta patience en tous cas.

Je suppose qu'il reste quelques miettes à nettoyer ;-)

 Merci à toi! J'apprécie énormément les gens efficaces.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:43:25, on 12/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\LAPTOP\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.commentcamarche.net/forum/affich 3448031 virus qui bloque l acces aux postes cles
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lyonnais92 · Answer

Bonjour,

redémarre l'ordi

remets un log Hijackthis.

Lyonnais92 · Answer

Re,

il ne reste rien au sens du log Hijackthis.

tu as le scan en ligne de kaspersky. Fais le et poste le rapport.

Tu n'as pas d'anti spy. Volontaire ?

Le plus important, mais on fera ça en dernier, tu n'as pas le sp2. C'est une vraie faille de sécurité. C'est volontaire ?

ibmm · Answer

Bonjour, 

Je ne suis pas sur mon Pc sur lequel  nous avons travaillé, qu'entends-tu par anti spy ? 
J'ai "Antivir", puis un pare feu "ZoneAlarme"

Je n'ai jamais pu  telecharger sp2 sans doute à cause de la copie windows que j'utilise. Si nos PCs étaient livrés avec le logiciel windows on aurait pas ce probléme mais c'est un autre débat.

Je hikack ce soir .


A+

Merci a balltrap également !

Lyonnais92 · Answer

Bonjour,

un anti spsy : AVG anti spy, Spybot, Ad aware, Super antispy, SpySweeper.

Les 2 derniers sont récents.

Pour Windows, il y a des économies qui peuvent se révéler coûteuses. Les failles de sécurité ne sont pas comblées et sont exploitées par les créateurs de malwares.

ibmm · Answer

Bonjour, 

Certes, j'ai plusieurs Pcs à la maison, j'utilise celui-ci comme pc de fortune, les prix de logiciels d'exploitation sont tels qu'il devient inconsidéré d'aller s'en procurer en magasin lorsque l'on est pas une entreprise. :-(

Merci en tous cas !

Lyonnais92 · Answer

Bonsoir,

et le rapport de Kaspersky on line ?

ibmm · Answer

Bonjour, 

Voici le hijack pour commencer :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:14:42, on 12/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32	askmgr.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Documents and Settings\LAPTOP\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.commentcamarche.net/forum/affich 3448031 virus qui bloque l acces aux postes cles
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ibmm · Answer

Je n'ai pas mis l'exhaustivité du log; j'espère que tu comprendras

-------------------------------------------------------------------------------
 KASPERSKY ONLINE SCANNER REPORT
 Tuesday, November 13, 2007 12:58:57 AM
 Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
 Kaspersky Online Scanner version: 5.0.98.0
 Kaspersky Anti-Virus database last update: 14/11/2007
 Kaspersky Anti-Virus database records: 457789
-------------------------------------------------------------------------------

Scan Settings:
	Scan using the following antivirus database: extended
	Scan Archives: true
	Scan Mail Bases: true

Scan Target - My Computer:
	C:\
	D:\

Scan Statistics:
	Total number of scanned objects: 39288
	Number of viruses found: 6
	Number of infected objects: 10
	Number of suspicious objects: 0
	Duration of the scan process: 01:15:08

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\Administrateur.HA-ORMPEE4TVSN1.000\.housecall6.6\Quarantine\awzyalmd.zqy.ren.bac_a02372	Infected: Trojan-Clicker.Win32.Small.js	skipped
C:\Documents and Settings\Administrateur.HA-ORMPEE4TVSN1.000\Local Settings\Application Data\Mozilla\Firefox\Profiles\vkwy8zdp.default\Cache\3CD27B45d01/clean/pskill.exe	Infected: not-a-virus:RiskTool.Win32.PsKill.k	skipped
C:\Documents and Settings\Administrateur.HA-ORMPEE4TVSN1.000\Local Settings\Application Data\Mozilla\Firefox\Profiles\vkwy8zdp.default\Cache\3CD27B45d01	ZIP: infected - 1	skipped
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Outils d'administration\Stratégie de sécurité locale.lnk	Object is locked	skipped

(...)

C:\Documents and Settings\LAPTOP\Cookies\index.dat	Object is locked	skipped
C:\Documents and Settings\LAPTOP\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	Object is locked	skipped
C:\Documents and Settings\LAPTOP\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	skipped
C:\Documents and Settings\LAPTOP\Local Settings\Historique\History.IE5\index.dat	Object is locked	skipped
C:\Documents and Settings\LAPTOP\Local Settings\Historique\History.IE5\MSHist012007111220071113\index.dat	Object is locked	skipped
C:\Documents and Settings\LAPTOP\Local Settings\Temporary Internet Files\Content.IE5\index.dat	Object is locked	skipped
C:\Documents and Settings\LAPTOP\NTUSER.DAT	Object is locked	skipped
C:\Documents and Settings\LAPTOP
tuser.dat.LOG	Object is locked	skipped
C:\Documents and Settings\LAPTOP\UserData\index.dat	Object is locked	skipped
C:\Documents and Settings\LocalService\Cookies\index.dat	Object is locked	skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	Object is locked	skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	skipped
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	Object is locked	skipped
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	Object is locked	skipped
C:\Documents and Settings\LocalService
tuser.dat	Object is locked	skipped
C:\Documents and Settings\LocalService
tuser.dat.LOG	Object is locked	skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	Object is locked	skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	skipped
C:\Documents and Settings\NetworkService
tuser.dat	Object is locked	skipped
C:\Documents and Settings\NetworkService
tuser.dat.LOG	Object is locked	skipped
C:\Program Files\InstallShield Installation Information\{1ABB299D-6C4E-498E-BB6C-BAEAB72600DD}\setup.ilg	Object is locked	skipped
C:\Program Files\Mozilla Firefox\aaw2007.exe.part	Object is locked	skipped
C:\qoobox\Quarantine\C\WINDOWS\system32\drivers\Jio45.sys.vir	Object is locked	skipped
C:\qoobox\Quarantine\C\WINDOWS\system32\drivers\s_detect.htm.vir	Infected: Trojan-Downloader.JS.Agent.ms	skipped
C:\qoobox\Quarantine\catchme2007-11-11_235204.07.zip/symavc32.sys	Infected: Rootkit.Win32.Agent.jc	skipped
C:\qoobox\Quarantine\catchme2007-11-11_235204.07.zip/hrum363.txt	Infected: Trojan.Win32.Agent.ali	skipped
C:\qoobox\Quarantine\catchme2007-11-11_235204.07.zip/kprof	Infected: Trojan-Proxy.Win32.Wopla.ag	skipped
C:\qoobox\Quarantine\catchme2007-11-11_235204.07.zip/koos.exe	Infected: Trojan-Proxy.Win32.Wopla.ag	skipped
C:\qoobox\Quarantine\catchme2007-11-11_235204.07.zip/poof	Infected: Trojan-Proxy.Win32.Wopla.ag	skipped
C:\qoobox\Quarantine\catchme2007-11-11_235204.07.zip	ZIP: infected - 5	skipped
C:\System Volume Information\_restore{85766195-B126-43A3-87F8-A2F55CA38C20}\RP2\change.log	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB824141$\user32.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB824141$\win32k.sys	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\hh.exe	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\html32.cnv	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\itss.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\locator.exe	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\magnify.exe	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$
arrator.exe	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$
ewdev.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$
tdll.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$
tkrnlpa.exe	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$
toskrnl.exe	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\ole32.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\osk.exe	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$aspptp.sys	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$pcrt4.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$pcss.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\shell32.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\srv.sys	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\sysmain.sdb	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\user32.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\win32k.sys	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826942$
dis.sys	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826942$
disuio.sys	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826942$
etshell.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB828028$\msasn1.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\dao360.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\expsrv.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\msexch40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\msexcl40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\msjet40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\msjetol1.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\msjetoledb40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\msjint40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\msjter40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\msjtes40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\msltus40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\mspbde40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\msrd2x40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\msrd3x40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\msrepl40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\mstext40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\mswdat10.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\mswstr10.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\msxbde40.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallKB829558$\vbajet32.dll	Object is locked	skipped
C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx	Object is locked	skipped
C:\WINDOWS\$NtUninstallQ828026$\wmp.dll	Object is locked	skipped
C:\WINDOWS\Debug\oakley.log	Object is locked	skipped
C:\WINDOWS\Debug\PASSWD.LOG	Object is locked	skipped
C:\WINDOWS\Internet Logs\fwpktlog.txt	Object is locked	skipped
C:\WINDOWS\Internet Logs\IAMDB.RDB	Object is locked	skipped
C:\WINDOWS\Internet Logs\LAP.ldb	Object is locked	skipped
C:\WINDOWS\Internet Logs	vDebug.log	Object is locked	skipped
C:\WINDOWS\SchedLgU.Txt	Object is locked	skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Object is locked	skipped
C:\WINDOWS\Sti_Trace.log	Object is locked	skipped
C:\WINDOWS\system32\config\AppEvent.Evt	Object is locked	skipped
C:\WINDOWS\system32\config\default	Object is locked	skipped
C:\WINDOWS\system32\config\default.LOG	Object is locked	skipped
C:\WINDOWS\system32\config\SAM	Object is locked	skipped
C:\WINDOWS\system32\config\SAM.LOG	Object is locked	skipped
C:\WINDOWS\system32\config\SecEvent.Evt	Object is locked	skipped
C:\WINDOWS\system32\config\SECURITY	Object is locked	skipped
C:\WINDOWS\system32\config\SECURITY.LOG	Object is locked	skipped
C:\WINDOWS\system32\config\software	Object is locked	skipped
C:\WINDOWS\system32\config\software.LOG	Object is locked	skipped
C:\WINDOWS\system32\config\SysEvent.Evt	Object is locked	skipped
C:\WINDOWS\system32\config\system	Object is locked	skipped
C:\WINDOWS\system32\config\system.LOG	Object is locked	skipped
C:\WINDOWS\system32\h323log.txt	Object is locked	skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Object is locked	skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Object is locked	skipped
C:\WINDOWS\TEMP\ZLT02e8f.TMP	Object is locked	skipped
C:\WINDOWS\wiadebug.log	Object is locked	skipped
C:\WINDOWS\wiaservc.log	Object is locked	skipped
C:\WINDOWS\WindowsUpdate.log	Object is locked	skipped

Scan process completed.

jalobservateur · Answer

Lyonnais, tu es un dur de dur et patient !
Vrai travail de pro ! Etonnant! 
Et balltrap, fidèle à lui-même !
Vraiment riche d'éducation.
Bravo Messieurs ! ;-)

ibmm · Answer

Bonjour, 

J'ai lancé spybot qui me trouve 603 objets mais lorsque je clique sur réparer il s'affiche un sablier, j'ai laissé tourner (hors connection) pendant 5 heures et lorsque je reviens toujours le même écran avec le sablier.  :-(

"jalobservateur" tu ne serais pas de l'autre camp à tout hasard ? ;-)

Lyonnais92 · Answer

Bonjour,

Lis bien et exécute cette manip dans l’ordre. 

#Télécharge et installe ces logiciels (si tu ne les as pas), pour les 3 premiers mets les à jour, comme indiqué dans les démos ou tutos. 

Ne les utilises pas tout de suite. 


Antispywares et autres : 

 
* AVG AS 

AVG anti spyware 
https://www.01net.com/telecharger/
Met le a jour avant de lancer le scan. 
Tuto : 
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html 


Nettoyeurs (de fichiers inutiles) et autres : 

*Ccleaner (gratuit) 
Téléchargement : 
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto : 
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php 

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo ! 

======================================== 
->Affiches tous les fichiers et dossiers : 
cliques sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage 

[Coche] « afficher les dossiers et fichiers cachés » 

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) » 

[Décoche] « masquer les extensions dont le type est connu » 

Puis fais [appliquer] pour valider les changements. 

Et [Ok] 
======================================== 
Désactive puis réactive ta restauration système en suivant ce stuto :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
========================================

->Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec 
puis tape « entrée ». 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
===========================
 ->Lance CCleaner. 

Suppression des fichiers temporaires 

Va dans la section "Options" situé dans la marge gauche. Décoche "Avancé". 
Retourne ensuite dans la section "Nettoyeur" 
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système) 
• Clique sur [Analyse] 
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois. 
• Une fois le scan terminé, clique sur [Lancer le Nettoyage] 



======================================== 
->Lance AVG pour un scan complet "Analyse" ->"Paramètres" 

Sous la question "Comment réagir ?" : 

-> clique sur "Actions recommandées" et choisis "Quarantaines" 
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système" 

Si un fichier est infecté en fin d'analyse 

->Clique sur "Appliquer toutes les actions " 

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous". 

->Enregistre ce fichier texte sur ton bureau et [copie/colle le rapport en forum] 
======================================== 

->Relance CCleaner. 
Suppression des incohérences du registre 

• Clique sur l'icône [Erreurs] situés dans la marge à gauche 
• Puis clique sur [Analyser les erreurs] 
• Patiente pendant que CCleaner scan ton registre. 
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée. 
• Tu peux cliquer ensuite sur [Corriger les erreurs]. 

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement. 
======================================== 
->Vide ta Corbeille. 
======================================== 

->Défragmente tes partitions

->Redémarre en mode normal,

->Recoche la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

Poste le rapport de AVG antispy.

relance Hijackthis et copie/colle un nouveau rapport sur le forum. 

Comment va l'ordi ?

ibmm · Answer

Bonjour Le Lyonnais, 


AVG et Antivir semblent ralentir severement le redémarrage à part ça je n'ai pas constaté de difference notable.

Je vais lancer spybot pour voir s'il décèle toujours les 600 elements.

Voici les logs :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	13:39:37 17/11/2007

 + Résultat de l'analyse:	



C:\qoobox\Quarantine\catchme2007-11-11_235204.07.zip/koos.exe -> Proxy.Wopla.ag : Nettoyé et sauvegardé (mise en quarantaine).
C:\qoobox\Quarantine\catchme2007-11-11_235204.07.zip/kprof -> Proxy.Wopla.ag : Nettoyé et sauvegardé (mise en quarantaine).
C:\qoobox\Quarantine\catchme2007-11-11_235204.07.zip/poof -> Proxy.Wopla.ag : Nettoyé et sauvegardé (mise en quarantaine).
C:\qoobox\Quarantine\C\WINDOWS\system32\drivers\Jio45.sys.vir -> Rootkit.Agent.jc : Nettoyé et sauvegardé (mise en quarantaine).
C:\qoobox\Quarantine\catchme2007-11-11_235204.07.zip/symavc32.sys -> Rootkit.Agent.jc : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.17:C:\Documents and Settings\Administrateur.HA-ORMPEE4TVSN1.000\Application Data\Mozilla\Firefox\Profiles\vkwy8zdp.default\cookies.txt -> TrackingCookie.Casalemedia : Nettoyé.
:mozilla.14:C:\Documents and Settings\Administrateur.HA-ORMPEE4TVSN1.000\Application Data\Mozilla\Firefox\Profiles\vkwy8zdp.default\cookies.txt -> TrackingCookie.Webtrendslive : Nettoyé.
C:\qoobox\Quarantine\catchme2007-11-11_235204.07.zip/hrum363.txt -> Trojan.Agent.ali : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport
==================================================================

Rapport de défragmentation:

Volume (C:)
    Taille du volume                           = 18,63 Go
    Taille de cluster                          = 4 Ko
    Espace utilisé                             = 15,13 Go
    Espace libre                               = 3,50 Go
    Pourcentage d'espace libre                 = 18 %

Fragmentation du volume
    Fragmentation totale                       = 35 %
    Fragmentation de fichiers                  = 68 %
    Fragmentation de l'espace libre            = 3 %

Fragmentation de fichiers
    Total de fichiers                          = 38 667
    Taille moyenne de fichier                  = 502 Ko
    Total de fichiers fragmentés               = 124
    Total de fragments en trop                 = 57 511
    Nombre moyen de fragments par fichier      = 2,48

Fragmentation du fichier paginé
    Taille du fichier paginé                   = 192 Mo
    Total de fragments                         = 139

Fragmentation de dossier
    Total de dossiers                          = 3 731
    Dossiers fragmentés                        = 1
    Fragments de dossiers en trop              = 0

Fragmentation de la table de fichiers principale (MFT)
    Taille totale de la MFT                    = 65 Mo
    Nombre d'enregistrements dans la MFT       = 43 508
    Pourcentage d'utilisation de la MFT        = 65 %
    Total de fragments dans la MFT             = 18

--------------------------------------------------------------------------------
Fragments       Taille du fichierFichiers qui ne peuvent pas être défragmentés
219             13 Mo           \WINDOWS\PCHealth\HelpCtr\DataColl\CollectedData_2235.xml
256             22 Mo           \Documents and Settings\LAPTOP\Mes documents\TomTom\HOME\Downloads\Download Cache\v2_1_1_106_win.exe
237             26 Mo           \Documents and Settings\Ham\Local Settings\Temp\fla8.tmp
247             26 Mo           \Documents and Settings\Ham\Local Settings\Temporary Internet Files\Content.IE5\OL2RGDUJ\LES_GUIGNOLS_EMISSION_071014_CAN_4942_video_H[1].flv
440             28 Mo           \xscan.txt
603             37 Mo           \WINDOWS\VPTNFILE.819
422             42 Mo           \Documents and Settings\Ham\Local Settings\Temporary Internet Files\Content.IE5\MPKVA5UT\LES_GUIGNOLS_EMISSION_071018_CAN_5270_video_H[1].flv
427             42 Mo           \Documents and Settings\Ham\Local Settings\Temp\fla4.tmp
456             46 Mo           \Documents and Settings\Ham\Local Settings\Temporary Internet Files\Content.IE5\OL2RGDUJ\LES_GUIGNOLS_EMISSION_071016_CAN_5105_video_H[1].flv
438             46 Mo           \Documents and Settings\Ham\Local Settings\Temp\fla6.tmp
601             49 Mo           \Documents and Settings\Ham\Local Settings\Temporary Internet Files\Content.IE5\4PYZCXUF\LES_GUIGNOLS_EMISSION_071017_CAN_5208_video_H[1].flv
552             49 Mo           \Documents and Settings\Ham\Local Settings\Temp\fla2.tmp
464             53 Mo           \Documents and Settings\Ham\Bureau\Audio\Berlioz\Classique - VIVALDI - Les quatre saisons2.mp3
1,041           77 Mo           \Documents and Settings\LAPTOP\Mes documents\Downloads\ Institute 9 Special\Scene 2 Zafira, Cindy.avi
621             96 Mo           \Documents and Settings\Ham\Bureau\Audio\mo\mo\INTEGRALE - VOL. IX - (1937).ZIP
537             96 Mo           \Documents and Settings\Ham\Bureau\Audio\mo\MoINTEGRALE - VOL. IX - (1937).ZIP
190             120 Mo          \Documents and Settings\LAPTOP\Bureau\BE_NL_and_LU_plus_major_roads_of_WE 1409\BE_NL_and_LU_plus_major_roads_of_WE 1409\cline.dat
1,173           139 Mo          \Documents and Settings\LAPTOP\Mes documents\Downloads\Cock.Drainers\Cock.Drainers.LauraLion.wmv
802             148 Mo          \Documents and Settings\Ham\Bureau\PAPELARDS\docs\logos\AICS_Tryout_EN.zip
2,400           149 Mo          \Documents and Settings\LAPTOP\Mes documents\Downloads\Institute 9 Special \ Magic.WMV
2,542           167 Mo          \Documents and Settings\LAPTOP\Mes documents\Downloads\Institute 9 Special Camping\Panther.avi
2,715           193 Mo          \Documents and Settings\LAPTOP\Mes documents\Downloads\Institute 9 Special Camping\ Diamond.avi
2,773           194 Mo          \Documents and Settings\LAPTOP\Mes documents\Downloads\Institute 9 Special Camping\auren.avi
2,209           207 Mo          \Documents and Settings\LAPTOP\Bureau\BE_NL_and_LU_plus_major_roads_of_WE 1409.zip
2,690           208 Mo          \Documents and Settings\LAPTOP\Mes documents\Downloads\Drainers\Drainers.Zuz.wmv
4,628           277 Mo          \Documents and Settings\LAPTOP\Mes documents\Downloads\Institute 9 \Ice.avi
4,261           288 Mo          \Documents and Settings\LAPTOP\Mes documents\Downloads\MaDor.avi
2,922           496 Mo          \Documents and Settings\LAPTOP\Mes documents\Downloads\Se\Se.wmv
4,029           630 Mo          \Documents and Settings\LAPTOP\Mes documents\Downloads\L'obsession de Laure\Lobs.avi
13,181          678 Mo          \Documents and Settings\LAPTOP\Mes documents\Downloads\Jal.avi
==================================================================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:10:44, on 17/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32	askmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\LAPTOP\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.commentcamarche.net/forum/affich 3448031 virus qui bloque l acces aux postes cles
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe

Lyonnais92 · Answer

Re,

vide la quarantaine de avast.

Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.

Si c'est le cas tu as le choix entre ces deux possibilités :

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php

Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php 

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

Ensuite, si l'ordi est stable, il faut installer le SP2.

Et remets un rapport Hijackthis.

ibmm · Answer

[b]Bonjour, 

Une fois mon pare-feu téléchargé installé, devrais-je réactiver mon firewall windows ou pas ?

Je tente l'install d'sp2 dans l'heure et te fais un rapport.

Je suis parvenu à virer les elements spybot le log est en ci-dessous.

J'ai relancé AVG scan (il tourne actuellement ) et j'ai déja 3 tracking cookies trouvés (risque moyen) est-ce normal après ce qu'on vient de faire ?

Dernière question avant le scan, je souhaiterais désactiver les ActiveX la connection sera t-elle viable si je le fais ? comment proceder ?

Merci encore! [/b]


--- Search result list ---
CoolWWWSearch.HomeSearch: [SBI $A8649E31] Root class (Clé du registre, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NVideoCodec.Chl

CoolWWWSearch.HomeSearch: [SBI $A8649E31] Class ID (Clé du registre, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6BF52A52-394A-11D3-B153-00C04F79FAA6}

CoolWWWSearch.HomeSearch: [SBI $9370EF52]  Exécutable (Fichier, fixed)
  C:\WINDOWS\adiras.ini:lrbmza:$DATA

CoolWWWSearch.HomeSearch: [SBI $9370EF52]  Exécutable (Fichier, fixed)
  C:\WINDOWS\bevuf.dat:uygzll:$DATA

CoolWWWSearch.HomeSearch: [SBI $9370EF52]  Exécutable (Fichier, fixed)
  C:\WINDOWS\bkzro.dat:trupjd:$DATA

CoolWWWSearch.HomeSearch: [SBI $9370EF52]  Exécutable (Fichier, fixed)
  C:\WINDOWS\desktop(5)(3).ini:ijugca:$DATA

CoolWWWSearch.HomeSearch: [SBI $9370EF52]  Exécutable (Fichier, fixed)
  C:\WINDOWS\desktop(5)(4).ini:ijugca:$DATA

CoolWWWSearch.HomeSearch: [SBI $9370EF52]  Exécutable (Fichier, fixed)
  C:\WINDOWS\desktop(5).ini:ijugca:$DATA

CoolWWWSearch.HomeSearch: [SBI $9370EF52]  Exécutable (Fichier, fixed)
  C:\WINDOWS\ieuninst.exe:igfotu:$DATA

CoolWWWSearch.HomeSearch: [SBI $9370EF52]  Exécutable (Fichier, fixed)
  C:\WINDOWS\logs2.ini:yqcypm:$DATA

CoolWWWSearch.HomeSearch: [SBI $9370EF52]  Exécutable (Fichier, fixed)
  C:\WINDOWS\mshs.dll:ekajjh:$DATA

CoolWWWSearch.HomeSearch: [SBI $9370EF52]  Exécutable (Fichier, fixed)
  C:\WINDOWS
zytn.dat:bjeykq:$DATA

CoolWWWSearch.HomeSearch: [SBI $9370EF52]  Exécutable (Fichier, fixed)
  C:\WINDOWS\quzyn.txt:lwmqxd:$DATA

CoolWWWSearch.HomeSearch: [SBI $9370EF52]  Exécutable (Fichier, fixed)
  C:\WINDOWS\stub87.ini:xpqpvw:$DATA

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\acddp.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\aqvzn.dat

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\bjqmp.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\cycvv.dat

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\edhqp.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\epfci.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\ezjav.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\fcjej.dat

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\fnphy.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\gwzvt.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\ibzrp.dat

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\ilbxo.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\irxsi.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\iultz.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\iyujp.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\izkbu.dat

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\juvvx.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\jveky.dat

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\kbrwu.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\kgtzd.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\kospz.dat

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\lxpgu.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\mfoxc.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\miruy.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\mnkja.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\mxhyd.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\olsci.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\pacan.dat

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\qhmzv.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\qpclc.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32vkcm.dat

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\serov.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\suqct.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32	ckos.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\uslky.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\xejld.dat

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\xpqpv.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\xscof.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\xxmfo.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\ybwgf.txt

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\yjmis.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\yopok.dat

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\yxrmo.log

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\yyvfu.dat

CoolWWWSearch: [SBI $EE5CAFC4]  Donnée (Fichier, fixed)
  C:\WINDOWS\system32\zzijm.dat

Smitfraud-C.: [SBI $1167C539] Réglages (Valeur du registre, fixing failed)
  HKEY_USERS\.DEFAULT\WindowsSubVersion

Smitfraud-C.: [SBI $1167C539] Réglages (Valeur du registre, fixed)
  HKEY_USERS\S-1-5-18\WindowsSubVersion

MyWay.MyWebSearch: [SBI $DE2C892F]  Installeur (Fichier, fixed)
  C:\WINDOWS\Downloaded Program Files\f3initialsetup1.0.0.8-2.inf

Dialui-A: [SBI $76B7883B] Réglages désinstallation (Clé du registre, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iexpedition

Win32.Murlo.ff.rtk: [SBI $67E0FCFD] Réglages (Valeur du registre, fixed)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\UID


--- Spybot - Search & Destroy version: 1.5  (build: 20070830) ---

2007-08-31 blindman.exe (1.0.0.6)
2007-08-31 SDMain.exe (1.0.0.4)
2007-08-31 SDUpdate.exe (1.0.6.4)
2007-08-31 SDWinSec.exe (1.0.0.8)
2007-08-31 SpybotSD.exe (1.5.1.15)
2007-08-31 TeaTimer.exe (1.5.0.9)
2007-11-17 unins000.exe (51.46.0.0)
2007-08-31 Update.exe (1.4.0.5)
2007-08-31 advcheck.dll (1.5.3.0)
2007-04-02 aports.dll (2.1.0.0)
2007-04-02 DelZip179.dll (1.79.5.3)
2007-08-31 SDHelper.dll (1.5.0.8)
2007-08-31 Tools.dll (2.1.2.0)
2007-11-14 Includes\Cookies.sbi (*)
2007-10-31 Includes\Dialer.sbi (*)
2007-11-14 Includes\DialerC.sbi (*)
2007-11-07 Includes\Hijackers.sbi (*)
2007-11-14 Includes\HijackersC.sbi (*)
2007-10-04 Includes\Keyloggers.sbi (*)
2007-11-14 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2007-11-07 Includes\Malware.sbi (*)
2007-11-14 Includes\MalwareC.sbi (*)
2007-10-24 Includes\PUPS.sbi (*)
2007-11-14 Includes\PUPSC.sbi (*)
2007-11-14 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-11-14 Includes\SecurityC.sbi (*)
2007-11-07 Includes\Spybots.sbi (*)
2007-11-14 Includes\SpybotsC.sbi (*)
2007-11-06 Includes\Tracks.uti
2007-11-14 Includes\Trojans.sbi (*)
2007-11-14 Includes\TrojansC.sbi (*)
2008-12-24 Plugins\TCPIPAddress.dll



--- System information ---
Windows XP (Build: 2600) Service Pack 1 (5.1.2600)
 / DataAccess: Security Update for Microsoft Data Access Components
 / DirectX: DirectX Update 819696
 / Windows Media Player: Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations]
 / Windows Media Player / SP0: Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations]
 / Windows XP / SP2: Windows XP Hotfix (SP2) [See KB810243 for more information]
 / Windows XP / SP2: Pack réseau avancé pour Windows XP
 / Windows XP / SP2: Correctif Windows XP - KB820291
 / Windows XP / SP2: Correctif Windows XP - KB821253
 / Windows XP / SP2: Correctif Windows XP - KB822603
 / Windows XP / SP2: Correctif Windows XP - KB823182
 / Windows XP / SP2: Correctif Windows XP - KB824105
 / Windows XP / SP2: Correctif Windows XP - KB824141
 / Windows XP / SP2: Correctif Windows XP - KB824146
 / Windows XP / SP2: Correctif Windows XP - KB825119
 / Windows XP / SP2: Correctif Windows XP - KB826939
 / Windows XP / SP2: Correctif Windows XP - KB826942
 / Windows XP / SP2: Correctif Windows XP - KB828028
 / Windows XP / SP2: Correctif Windows XP - KB828035
 / Windows XP / SP2: Correctif Windows XP - KB829558
 / Windows XP / SP2: Correctif Windows XP - KB842773
 / Windows XP / SP2: Correctif Windows XP (SP2) Q322011
 / Windows XP / SP2: Correctif Windows XP (SP2) Q327979
 / Windows XP / SP2: Correctif Windows XP (SP2) Q814995
 / Windows XP / SP3: Windows Installer 3.1 (KB893803)
 / Windows XP / SP3: Mise à jour pour Windows XP (KB898461)
 / Windows XP / SP3: Mise à jour pour Windows XP (KB927891)


--- Startup entries list ---
Located: HK_LM:Run, !AVG Anti-Spyware
command: "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
   file: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
   size: 6731312
    MD5: CC6BC45DD5A58158645E7FB2953604FE

Located: HK_LM:Run, Adobe Reader Speed Launcher
command: "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
   file: C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
   size: 40048
    MD5: 66D4456C920E21BD2188F8CC33680DF5

Located: HK_LM:Run, avgnt
command: "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
   file: C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
   size: 249896
    MD5: 6E898F5959E7195D64594C30E9251938

Located: HK_LM:Run, QuickTime Task
command: "C:\Program Files\QuickTime\QTTask.exe" -atboottime
   file: C:\Program Files\QuickTime\QTTask.exe
   size: 286720
    MD5: 49CCFBE5D5225B9D3CC78C09DEE147D0

Located: HK_LM:RunOnce, SpybotSnD
command: "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
   file: C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
   size: 4943184
    MD5: C92780F50B8BB7A89E919585916494A9

Located: HK_CU:Run, SpybotSD TeaTimer
  where: S-1-5-21-1844237615-839522115-854245398-1007...
command: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
   file: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
   size: 1460560
    MD5: B7D4586BFC0DD6C3BE7DCCC252A3E97E

Located: HK_CU:RunOnce, SpybotDeletingB8958
  where: S-1-5-21-1844237615-839522115-854245398-1007...
command: command /c del "C:\WINDOWS\xtjwc.dat:bhmxdg:$DATA"
   file: 
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: HK_CU:RunOnce, SpybotDeletingD8530
  where: S-1-5-21-1844237615-839522115-854245398-1007...
command: cmd /c del "C:\WINDOWS\xtjwc.dat:bhmxdg:$DATA"
   file: C:\WINDOWS\system32\cmd.exe
   size: 388096
    MD5: 7C2769027921F5F798F5F482A80D2C06

Located: WinLogon, crypt32chain
command: crypt32.dll
   file: crypt32.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, cryptnet
command: cryptnet.dll
   file: cryptnet.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, cscdll
command: cscdll.dll
   file: cscdll.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, ScCertProp
command: wlnotify.dll
   file: wlnotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, Schedule
command: wlnotify.dll
   file: wlnotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, sclgntfy
command: sclgntfy.dll
   file: sclgntfy.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, SensLogn
command: WlNotify.dll
   file: WlNotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, termsrv
command: wlnotify.dll
   file: wlnotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!

Located: WinLogon, wlballoon
command: wlnotify.dll
   file: wlnotify.dll
   size: 0
    MD5: D41D8CD98F00B204E9800998ECF8427E
         Warning: if the file is actually larger than 0 bytes,
         the checksum could not be properly calculated!



--- Browser helper object list ---


--- ActiveX list ---
DirectAnimation Java Classes (DirectAnimation Java Classes)
          DPF name: DirectAnimation Java Classes
        CLSID name: 
         Installer: 
          Codebase: 
       description: 
    classification: Legitimate
    known filename: %WINDIR%\Java\classes\dajava.cab
         info link: 
       info source: Patrick M. Kolla

Microsoft XML Parser for Java (Microsoft XML Parser for Java)
          DPF name: Microsoft XML Parser for Java
        CLSID name: 
         Installer: 
          Codebase: 
       description: 
    classification: Legitimate
    known filename: %WINDIR%\Java\classes\xmldso.cab
         info link: 
       info source: Patrick M. Kolla

{41564D57-9980-0010-8000-00AA00389B71} ()
          DPF name: 
        CLSID name: 
         Installer: C:\WINDOWS\Downloaded Program Files\wmvadvd.inf
          Codebase: http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab
       description: 
    classification: Legitimate
    known filename: 
         info link: 
       info source: Safer Networking Ltd.

{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} ()
          DPF name: 
        CLSID name: 
         Installer: C:\WINDOWS\Downloaded Program Files\erma.inf
          Codebase: http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
       description: 
    classification: Open for discussion
    known filename: 
         info link: 
       info source: Safer Networking Ltd.

{9F1C11AA-197B-4942-BA54-47A8489BB47F} ()
          DPF name: 
        CLSID name: 
         Installer: C:\WINDOWS\Downloaded Program Files\iuctl.inf
          Codebase: http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38057.2693518519
       description: Windows Update
    classification: Legitimate
    known filename: %WINDIR%\System32\iuctl.dll,iuengine.dll
         info link: 
       info source: Patrick M. Kolla

{D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object)
          DPF name: 
        CLSID name: Shockwave Flash Object
         Installer: C:\WINDOWS\Downloaded Program Files\swflash.inf
          Codebase: http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
       description: Macromedia Shockwave Flash Player
    classification: Legitimate
    known filename: 
         info link: 
       info source: Patrick M. Kolla
              Path: C:\WINDOWS\System32\Macromed\Flash\
         Long name:        Flash9d.ocx
        Short name:                   
    Date (created): 11/06/2007 21:04:30
Date (last access): 17/11/2007 17:01:52
 Date (last write): 11/06/2007 21:04:30
          Filesize:            2267368
        Attributes:           archive 
               MD5: B01E2A41389FBA42B7B5A026EA88C9B7
             CRC32:           8980B6EC
           Version:           9.0.47.0



--- Process list ---
PID:    0 (   0) [System]
PID:  144 (   0) \SystemRoot\System32\smss.exe
 size: 45568
PID:  192 (   0) \??\C:\WINDOWS\system32\csrss.exe
 size: 4096
PID:  216 (   0) \??\C:\WINDOWS\system32\winlogon.exe
 size: 520704
PID:  260 (   0) C:\WINDOWS\system32\services.exe
 size: 101888
  MD5: FC0691097471EE374907E1024EDCBD43
PID:  272 (   0) C:\WINDOWS\system32\lsass.exe
 size: 11776
  MD5: B7B1C150AFF59455DB4DF082815F88F5
PID:  436 (   0) C:\WINDOWS\system32\svchost.exe
 size: 12800
  MD5: 333A4DB8410D8E24DB06D6AEBECDC7C2
PID:  468 (   0) C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
 size: 312880
  MD5: 5DCD235C061022BCDA9AA48670B64211
PID:  500 (   0) C:\WINDOWS\system32\svchost.exe
 size: 12800
  MD5: 333A4DB8410D8E24DB06D6AEBECDC7C2
PID:  712 (   0) C:\WINDOWS\Explorer.EXE
 size: 1000448
  MD5: F5909963533D861D169B737A1A8E1EF8
PID:  896 (   0) C:\WINDOWS\System32	askmgr.exe
 size: 136192
  MD5: 43D0E19C07536416037FDFBC372D2ECB
PID: 1020 (   0) C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
 size: 4943184
  MD5: C92780F50B8BB7A89E919585916494A9
PID: 1528 (   0) C:\WINDOWSegedit.exe
 size: 140800
  MD5: 6D58D6C99C797428AD28D9D67AAAAD9D


--- Browser start & search pages list ---
Spybot - Search & Destroy browser pages report, 17/11/2007 17:04:41

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
  C:\WINDOWS\SYSTEM32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
  http://www.commentcamarche.net/forum/affich 3448031 virus qui bloque l acces aux postes cles
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\@
  http://home.microsoft.com/access/autosearch.asp?p=%s
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
  C:\windows\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
  http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
  http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
  http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
  https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
  https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm


--- Winsock Layered Service Provider list ---


--- Uninstall list ---
  (AddressBook)

Adobe Flash Player ActiveX 9.0.47.0 (Adobe Flash Player ActiveX)
   uninstall cmd: C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
       publisher: Adobe Systems Incorporated
       help link: https://helpx.adobe.com/flash-player.html

Adobe SVG Viewer 3.0  3.0 (Adobe SVG Viewer)
 version (major): 3
install location: C:\WINDOWS\System32\Adobe\SVG Viewer 3.0
   uninstall cmd: C:\Program Files\Fichiers communs\Adobe\SVG Viewer 3.0\Uninstall\Winstall.exe -u -fC:\Program Files\Fichiers communs\Adobe\SVG Viewer 3.0\Uninstall\Install.log
       publisher: Adobe Systems, Inc.

Avira AntiVir PersonalEdition Classic  (AntiVir PersonalEdition Classic)
   uninstall cmd: C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
       publisher: Avira GmbH
       help link: http://www.avira.com/classic-support

AVG Anti-Spyware 7.5  (AVGAntiSpyware75)
install location: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5
   uninstall cmd: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\Uninstall.exe
       publisher: Grisoft Ltd.
       help link: https://www.avg.com/fr-fr/homepage

  (Branding)

CCleaner (remove only)  (CCleaner)
   uninstall cmd: "C:\Documents and Settings\LAPTOP\Bureau\CCleaner\uninst.exe"

  (Connection Manager)

  (DirectAnimation)

  (DirectDrawEx)

  (DXM_Runtime)

  (expinst)

  (Fontcore)

HijackThis 2.0.2 2.0.2 (HijackThis)
   uninstall cmd: "C:\Documents and Settings\LAPTOP\Bureau\HijackThis.exe" /uninstall
       publisher: TrendMicro

  (ICW)

  (IE40)

  (IE4Data)

  (IE5BAKEX)

  (IEData)

Internet Explorer Q832894  (ieupdate)
   uninstall cmd: C:\WINDOWS\ieuninst.exe C:\WINDOWS\INF\Q832894.inf

  (InstallShield Uninstall Information)

Kaspersky Online Scanner 5.0 (Kaspersky Online Scanner)
install location: C:\WINDOWS\System32\Kaspersky Lab\Kaspersky Online Scanner
   uninstall cmd: C:\WINDOWS\System32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
       publisher: Kaspersky Lab
         contact: Customer Support Department
       help link: https://my.kaspersky.com/en/kpc/newrequest?LANG=en

Windows XP Hotfix (SP2) [See KB810243 for more information]  (KB810243)
       publisher: Microsoft Corporation

Correctif Windows XP - KB824146 20030825.150634 (KB824146)
       publisher: Microsoft Corporation
       help link: https://support.microsoft.com/en-us/help/824146/

  (KB884016)

Windows Genuine Advantage Validation Tool (KB892130)  (KB892130)
    install date: 20071102
       publisher: Microsoft Corporation
       help link: https://www.microsoft.com/en-us/howtotell/default.aspx

  (KB893803)

  (Microsoft NetShow Player 2.0)

  (MobileOptionPack)

  (MPlayer2)

  (MSI30-Beta1)

  (MSI30-Beta2)

  (MSI30-KB884016)

  (MSI30-RC1)

  (MSI30-RC2)

  (MSI30a-KB884016)

  (MSI31-Beta)

  (MSI31-RC1)

  (MsJavaVM)

  (MSMSGS)

Barre d'outils MSN  (MSN Toolbar)
   uninstall cmd: C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\mtbs.exe c

  (NetMeeting)

Outlook Express Q820223  (oeupdate)
   uninstall cmd: C:\WINDOWS\Q820223.exe C:\WINDOWS\INF\Q820223.inf

  (OutlookExpress)

  (PCHealth)
   uninstall cmd: rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

IBM ThinkPad Power Management Driver 1.25.01 (Power Management Driver)
   uninstall cmd: RunDll32.exe tpinspm.dll,Uninstall

Intel(R) PRO Network Adapters and Drivers  (PROSet)
   uninstall cmd: Prounstl.exe

Correctif Windows XP (SP2) Q322011 20021111.164308 (Q322011)
   uninstall cmd: C:\WINDOWS\$NtUninstallQ322011$\spuninst\spuninst.exe
       publisher: Microsoft Corporation
       help link: Pour plus d'informations, consultez Q322011 à l'adresse https://support.microsoft.com/en-us

Correctif Windows XP (SP2) Q327979 20021114.125930 (Q327979)
   uninstall cmd: C:\WINDOWS\$NtUninstallQ327979$\spuninst\spuninst.exe
       publisher: Microsoft Corporation
       help link: Pour plus d'informations, consultez Q327979 à l'adresse https://support.microsoft.com/en-us

Correctif Windows XP (SP2) Q814995 20030219.141715 (Q814995)
   uninstall cmd: C:\WINDOWS\$NtUninstallQ814995$\spuninst\spuninst.exe
       publisher: Microsoft Corporation
       help link: https://support.microsoft.com/en-us/help/814995

Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations]  (Q828026)
   uninstall cmd: C:\WINDOWS\$NtUninstallQ828026$\spuninst\spuninst.exe
       publisher: Microsoft Corporation
       help link: https://support.microsoft.com/en-us/help/828026

  (RealJukebox 1.0)
   uninstall cmd: C:\Program Files\Fichiers communs\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0

RealPlayer  (RealPlayer 6.0)
   uninstall cmd: C:\Program Files\Fichiers communs\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0

SAMSUNG CDMA Modem Driver Set  (SAMSUNG CDMA Modem)
   uninstall cmd: C:\WINDOWS\System32\Samsung_USB_Drivers\3\SSCDUninstall.exe

SAMSUNG Mobile Composite Device Software  (SAMSUNG Mobile Composite Device)
   uninstall cmd: C:\WINDOWS\System32\Samsung_USB_Drivers\6\SSBCUninstall.exe

Samsung Mobile phone USB driver Software  (Samsung Mobile phone USB driver)
   uninstall cmd: C:\WINDOWS\System32\Samsung_USB_Drivers\5\SSSDUninstall.exe

SAMSUNG Mobile USB Modem Software  (SAMSUNG Mobile USB Modem)
   uninstall cmd: C:\WINDOWS\System32\Samsung_USB_Drivers\2\SSM_Uninstall.exe

SAMSUNG Mobile USB Modem 1.0 Software  (SAMSUNG Mobile USB Modem 1.0)
   uninstall cmd: C:\WINDOWS\System32\Samsung_USB_Drivers\1\SS_Uninstall.exe

  (SchedulingAgent)

  (Sevinst)

VideoLAN VLC media player 0.8.1 0.8.1 (VLC media player)
   uninstall cmd: C:\Program Files\VideoLAN\VLC\uninstall.exe
       publisher: VideoLAN Team

Windows Genuine Advantage Validation Tool (KB892130) 1.7.0036.0 (WGA)
       publisher: Microsoft Corporation
       help link: https://www.microsoft.com/en-us/howtotell/default.aspx

Windows Media Format Runtime  (Windows Media Format Runtime)
   uninstall cmd: "C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll

Lecteur Windows Media 10  (Windows Media Player)
   uninstall cmd: "C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall

Yahoo! Toolbar avec bloqueur de fenêtres pop-up  (Yahoo! Companion)
   uninstall cmd: C:\PROGRA~1\Yahoo!\Common\unyt.exe

Yahoo! Toolbar  (Yahoo! Toolbar)

  (ZZ-ZZ-D24VaAhvUyhcOVIjRkZOW0ZPRkNGQFtETzUzRU5FRltGC0ALRwtHCzUyJCM4MTEyJSQiOVo0WzlPNkReNTtIIA==)

kit de connexion NC NUMERICABLE 1.0  ({1ABB299D-6C4E-498E-BB6C-BAEAB72600DD})
   uninstall cmd: RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1ABB299D-6C4E-498E-BB6C-BAEAB72600DD}\setup.exe" -l0x40c ControlPanel

InterVideo WinDVD 5 5.1-B5.26 ({1B399A41-C1D0-40A2-9E4F-095868EFAF01})
 version (major): 5
 version (minor): 1
install location: C:\Program Files\InterVideo\DVD5
   uninstall cmd: "C:\Program Files\InstallShield Installation Information\{1B399A41-C1D0-40A2-9E4F-095868EFAF01}\setup.exe" REMOVEALL
       publisher: InterVideo Inc.
         contact: support@intervideo.com
       help link: https://www.windvdpro.com/fr/

Google Toolbar for Internet Explorer  ({2318C2B1-4965-11d4-9B18-009027A5CD4F})
   uninstall cmd: regsvr32 /u /s "c:\program files\google\googletoolbar1.dll"

 3.0.20070525 ({2CCBABCB-6427-4A55-B091-49864623C43F})
         version: 20070525
 version (major): 3

J2SE Runtime Environment 5.0 Update 6 1.5.0.60 ({3248F0A8-6813-11D6-A77B-00B0D0150060})
         version: 17104896
 version (major): 1
 version (minor): 5
  estimated size: 122273
    install date: 20060416
  install source: http://jdl.sun.com/webapps/download/GetFile/1.5.0_06plus-b05/windows-i586//
   uninstall cmd: MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
       publisher: Sun Microsystems, Inc.
         contact: https://www.java.com/en/
       help link: https://www.java.com/en/
          readme: C:\Program Files\Java\jre1.5.0_06\README.txt

WebFldrs XP 9.50.6513 ({350C940c-3D7C-4EE8-BAA9-00BCB3D54227})
         version: 154278257
 version (major): 9
 version (minor): 50
  estimated size: 2652
    install date: 20040309
  install source: C:\WINDOWS\System32\
       publisher: Microsoft Corporation
       help link: https://www.microsoft.com/en-us/windows/

TomTom HOME 2.1.1106 ({3C9EEFEF-1F71-4213-AC41-4BF5FE0FED95})
         version: 33621074
    install date: 20071027
install location: C:\Program Files\TomTom HOME 2
  install source: C:\DOCUME~1\LAPTOP\MESDOC~1\TomTom\HOME\DOWNLO~1\DOWNLO~1\V2_1_1~1.EXE
   uninstall cmd: C:\Program Files\InstallShield Installation Information\{3C9EEFEF-1F71-4213-AC41-4BF5FE0FED95}\setup.exe -runfromtemp -l0x040c -removeonly -removeonly -removeonly
       publisher: TomTom
       help link: https://help.tomtom.com/hc/fr

Visionneuse Journal Windows Microsoft 1.5.2315.3 ({43DCF766-6838-4F9A-8C91-D92DA586DFA7})
         version: 17107211
 version (major): 1
 version (minor): 5
  estimated size: 3715
    install date: 20040311
  install source: C:\DOCUME~1\Hammed\LOCALS~1\Temp\IXP000.TMP\
   uninstall cmd: MsiExec.exe /X{43DCF766-6838-4F9A-8C91-D92DA586DFA7}
       publisher: Microsoft
        comments: Visionneuse de documents créés avec l'application Journal Windows.
         contact: Microsoft

Windows Live Sign-in Assistant 4.100.313.1 ({49672EC2-171B-47B4-8CE7-50D7806360D7})
         version: 73662777
 version (major): 4
 version (minor): 100
  estimated size: 1220
    install date: 20070927
  install source: C:\DOCUME~1\LAPTOP\LOCALS~1\Temp\IXP000.TMP\
   uninstall cmd: MsiExec.exe /I{49672EC2-171B-47B4-8CE7-50D7806360D7}
       publisher: Microsoft Corporation

SAGEM F@st 800-840  ({4AE3A0CB-87B0-4F51-BECD-3D1F8DFDD62F})

Windows Genuine Advantage v1.3.0254.0 1.3.0254.0 ({63569CE9-FA00-469C-AF5C-E5D4D93ACF91})
         version: 16974078
 version (major): 1
 version (minor): 3
  estimated size: 519
    install date: 20051118
  install source: C:\DOCUME~1\Hammed\LOCALS~1\Temp\IXP000.TMP\
   uninstall cmd: MsiExec.exe /I{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}
       publisher: Microsoft
        comments: Your Comments
         contact: Customer Support Department
       help link: http://www.microsoft.com/genuine/downloads/whyValidate.aspx/help
  help telephone: 1-425.882.8080

  ({666ADC9C-9C34-4B56-8B22-0419F257FB80})

Apple Software Update 2.0.0.21 ({74EC78BC-B379-4E29-9006-8F161DCAABA6})
         version: 33554432
 version (major): 2
  estimated size: 2204
    install date: 20071028
install location: C:\Program Files\Apple Software Update\
  install source: C:\DOCUME~1\LAPTOP\LOCALS~1\Temp\IXP242.TMP\
   uninstall cmd: MsiExec.exe /I{74EC78BC-B379-4E29-9006-8F161DCAABA6}
       publisher: Apple Inc.
         contact: Assistance AppleCare
       help link: https://support.apple.com/fr-fr
  help telephone: 0825 888 024

Microsoft Office XP Professional 10.0.2627.5 ({9211040C-6000-11D3-8CFE-0050048383C9})
         version: 167774787
 version (major): 10
  estimated size: 158055
    install date: 20040311
install location: INSTALLLOCATION
  install source: D:\OfficeXP\
   uninstall cmd: MsiExec.exe /I{9211040C-6000-11D3-8CFE-0050048383C9}
       publisher: Microsoft Corporation
       help link: https://support.microsoft.com/en-us
          readme: C:\Program Files\Microsoft Office\Office10\1036\OFREAD10.HTM

QuickTime 7.2.0.240 ({95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC})
         version: 117571584
 version (major): 7
 version (minor): 2
  estimated size: 75787
    install date: 20071028
install location: C:\Program Files\QuickTime\
  install source: C:\DOCUME~1\LAPTOP\LOCALS~1\Temp\IXP242.TMP\
   uninstall cmd: MsiExec.exe /I{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}
       publisher: Apple Inc.
         contact: Assistance AppleCare
       help link: https://support.apple.com/fr-fr
  help telephone: (33) 0825 888 024

Adobe Reader 8.1.0 - Français 8.1.0 ({AC76BA86-7AD7-1036-7B44-A81000000003})
         version: 134283264
 version (major): 8
 version (minor): 1
  estimated size: 149605
    install date: 20071021
install location: C:\Program Files\Adobe\Reader 8.0\Reader\
  install source: C:\DOCUME~1\LAPTOP\LOCALS~1\Temp\Adobe Reader 8\
   uninstall cmd: MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81000000003}
       publisher: Adobe Systems Incorporated
        comments:    
         contact: Support clientèle
       help link: https://helpx.adobe.com/support.html
          readme: C:\Program Files\Adobe\Reader 8.0\Reader\Lisezmoi.htm

Kit de connexion ADSL 3.30.000 ({B0C5783F-AB91-460B-8238-BD9A8F6346D3})
         version: 52297728
install location: C:\Program Files\Kit ADSL
   uninstall cmd: RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B0C5783F-AB91-460B-8238-BD9A8F6346D3}\setup.exe" -l0x40c  -eth

TomTom HOME 2.1.1106 ({B3FAE1D6-EA8B-4470-83B7-7A95D37BCA2B})
         version: 33621074
 version (major): 2
 version (minor): 1
  estimated size: 1641
    install date: 20071027
install location: C:\Program Files\TomTom HOME 2\
  install source: C:\Program Files\TomTom HOME 2\{B3FAE1D6-EA8B-4470-83B7-7A95D37BCA2B}\
       publisher: TomTom
        comments: Main branch development
         contact: Customer Support Department
       help link: https://help.tomtom.com/hc/en-gb

Spybot - Search & Destroy 1.5.1.15 ({B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1)
    install date: 20071117
install location: C:\Program Files\Spybot - Search & Destroy\
   uninstall cmd: "C:\Program Files\Spybot - Search & Destroy\unins000.exe"
       publisher: Safer Networking Limited
       help link: https://www.safer-networking.org/?page=support

Micro Application - 36 Dictionnaires et Recueils de Correspondance 1.0.0.0 ({B410328C-0E8C-4DD2-9DB4-DE7766D0DFE0})
         version: 16777216
install location: C:\Program Files
   uninstall cmd: RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B410328C-0E8C-4DD2-9DB4-DE7766D0DFE0}\SETUP.EXE" -l0x40c  -uninst 

Samsung PC Studio 3.1.1.70208 ({C4A4722E-79F9-417C-BD72-8D359A090C97})
         version: 50331648
    install date: 20070821
install location: C:\Program Files\Samsung\Samsung PC Studio 3\
  install source: C:\DOCUME~1\Hammed\LOCALS~1\Temp\bye4A.tmp\Disk1\
   uninstall cmd: RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -l0x40c  -removeonly
       publisher: Samsung Electronics Co., Ltd.
        comments: Samsung PC Studio 3 Maintenance
         contact: Samsung Electronics Co., Ltd.
       help link: http://www.samsungmobile.co.kr
  help telephone: +82 2051 4151

Alice ADSL - Installation principale 2.00.000 ({CE5D7CE8-27E7-4452-AF33-F38F074BBD08})
         version: 33554432
install location: C:\Program Files\Alice_Triway_WiFi
   uninstall cmd: RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CE5D7CE8-27E7-4452-AF33-F38F074BBD08}\setup.exe" -l0x40c  -eth -pri

  ({D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5})

Google Toolbar for Internet Explorer 4.0.0.002 ({DBEA1034-5882-4A88-8033-81C4EF0CFA29})
         version: 67108864
 version (major): 4
  estimated size: 1096
    install date: 20070923
  install source: C:\Program Files\Google\Installers\
   uninstall cmd: MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
       publisher: Google Inc.

Samsung PC Studio 3 USB Driver Installer 1.00.0000 ({EBA29752-DDD2-4B62-B2E3-9841F92A3E3A})
         version: 16777216
    install date: 20070821
install location: C:\Program Files\Samsung\Samsung PC Studio 3
  install source: C:\DOCUME~1\Hammed\LOCALS~1\Temp\bye7C.tmp\Disk1\
   uninstall cmd: RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -l0x40c  -removeonly
       publisher: Samsung Electronics Co., Ltd.
        comments: Samsung PC Studio 3 Maintenance
         contact: Samsung Electronics Co., Ltd.
       help link: http://www.samsungmobile.co.kr
  help telephone: +82 2051 4151

Windows Live Messenger 8.1.0178.00 ({F6326B60-1B1D-4ABF-BFCD-7B7404F44411})
         version: 134283442
 version (major): 8
 version (minor): 1
  estimated size: 31939
    install date: 20070927
  install source: C:\DOCUME~1\LAPTOP\LOCALS~1\Temp\IXP000.TMP\
   uninstall cmd: MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
       publisher: Microsoft Corporation

Samsung PC Studio 3.0.0.70208 ({FCA211BA-1A9F-4128-8DAE-96192C68816D})
         version: 50331648
 version (major): 3
  estimated size: 1270
    install date: 20070821
install location: C:\Program Files\Samsung\Samsung PC Studio 3\
  install source: C:\Program Files\Samsung\Samsung PC Studio 3\{FCA211BA-1A9F-4128-8DAE-96192C68816D}\
       publisher: Samsung Electronics Co., Ltd.
         contact: Customer Support Department
       help link: http://www.samsungmobile.co.kr
  help telephone: 1-555-555-4505



--- System Services ---
Service (registry key): .NET CLR Data
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 0
          Type: 0
 Error Control: 0

Service (registry key): .NET CLR Networking
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 0
          Type: 0
 Error Control: 0

Service (registry key): .NETFramework
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 0
          Type: 0
 Error Control: 0

Service (registry key): 6to4
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Service d'application d'assistance IPv6
   Description: Fournit l'enregistrement de nom DDNS et la connectivité IPv6 automatique via un réseau IPv4. Si ce service est arrêté, d'autres ordinateurs pourraient ne pas être en mesure de le contacter par son nom et l'ordinateur disposera uniquement de la connectivité IPv6 s'il est connecté à un réseau IPv6 natif. Si ce service est désactivé, tous les services qui en dépendent explicitement ne pourront pas démarrer.
   Object name: LocalSystem
    Image path: %SystemRoot%\System32\svchost.exe -k netsvcs
    Image size: 12800
     Image MD5: 333A4DB8410D8E24DB06D6AEBECDC7C2
   Control Set: CurrentControlSet
         Start: 2
          Type: 32
 Error Control: 1
 Depends On services: RpcSS,tcpip6,winmgmt

Service (registry key): Abiosdsk
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 0

Service (registry key): abp480n5
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 1

Service (registry key): ac97intc
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Service d'installation du pilote audio Intel(r) 82801 (WDM)
    Image path: system32\drivers\ac97intc.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 3
          Type: 1
 Error Control: 1

Service (registry key): ACPI
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Pilote ACPI Microsoft
    Image path: System32\DRIVERS\ACPI.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 0
          Type: 1
 Error Control: 1

Service (registry key): ACPIEC
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Pilote de contrôleur intégré Microsoft
    Image path: System32\DRIVERS\ACPIEC.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 0
          Type: 1
 Error Control: 1

Service (registry key): ADILOADER
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: General Purpose USB Driver (adildr.sys)
   Control Set: CurrentControlSet
         Start: 2
          Type: 1
 Error Control: 1

Service (registry key): adiusbaw
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: USB ADSL WAN Adapter
   Control Set: CurrentControlSet
         Start: 3
          Type: 1
 Error Control: 1

Service (registry key): adpu160m
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 1

Service (registry key): aec
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Suppresseur d'écho acoustique (Noyau Microsoft)
    Image path: system32\drivers\aec.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 3
          Type: 1
 Error Control: 1

Service (registry key): AFD
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Environnement de prise en charge de réseau AFD
    Image path: \SystemRoot\System32\drivers\afd.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 2
          Type: 1
 Error Control: 1

Service (registry key): agp440
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Filtre de bus AGP Intel
    Image path: System32\DRIVERS\agp440.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 0
          Type: 1
 Error Control: 1

Service (registry key): Aha154x
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 1

Service (registry key): aic78u2
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 1

Service (registry key): aic78xx
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 1

Service (registry key): Alerter
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Avertissement
   Description: Informe les utilisateurs et les ordinateurs sélectionnés des alertes administratives. Si ce service est arrêté, les programmes qui utilisent les alertes administratives ne les recevront pas. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.
   Object name: NT AUTHORITY\LocalService
    Image path: %SystemRoot%\System32\svchost.exe -k LocalService
    Image size: 12800
     Image MD5: 333A4DB8410D8E24DB06D6AEBECDC7C2
   Control Set: CurrentControlSet
         Start: 2
          Type: 32
 Error Control: 1
 Depends On services: LanmanWorkstation

Service (registry key): ALG
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Service de la passerelle de la couche Application
   Description: Fournit la prise en charge des plugins de protocoles tiers pour le partage de connexion Internet et le pare-feu Internet.
   Object name: NT AUTHORITY\LocalService
    Image path: %SystemRoot%\System32\alg.exe
    Image size: 41984
     Image MD5: 292FBA8E83DB606519D45DD1FCBBD3B8
   Control Set: CurrentControlSet
         Start: 3
          Type: 16
 Error Control: 1

Service (registry key): AliIde
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 1

Service (registry key): amsint
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 1

Service (registry key): AntiVirScheduler
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: AntiVir PersonalEdition Classic Scheduler
   Description: Service to schedule AntiVir jobs and updates.
   Object name: LocalSystem
    Image path: "C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe"
    Image size: 63016
     Image MD5: A6FA9C14E649B2F3DE15390A1840774D
   Control Set: CurrentControlSet
         Start: 2
          Type: 272
 Error Control: 1

Service (registry key): AntiVirService
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: AntiVir PersonalEdition Classic Guard
   Description: Offers permanent protection against viruses and malware with the AntiVir search engine. 
   Object name: LocalSystem
    Image path: "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe"
    Image size: 214056
     Image MD5: F640EA98231D7B1DB730385813BFCE79
   Control Set: CurrentControlSet
         Start: 2
          Type: 272
 Error Control: 1

Service (registry key): AppMgmt
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Gestion d'applications
   Description: Fournit des services d'installation de logiciels tels que Attribuer, Publier et Supprimer.
   Object name: LocalSystem
    Image path: %SystemRoot%\system32\svchost.exe -k netsvcs
    Image size: 12800
     Image MD5: 333A4DB8410D8E24DB06D6AEBECDC7C2
   Control Set: CurrentControlSet
         Start: 3
          Type: 32
 Error Control: 1

Service (registry key): asc
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 1

Service (registry key): asc3350p
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 1

Service (registry key): asc3550
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 1

Service (registry key): Aspi32
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 0
          Type: 0
 Error Control: 0

Service (registry key): aswTdi
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 0
          Type: 0
 Error Control: 0

Service (registry key): AsyncMac
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Pilote de média asynchrone RAS
   Description: Pilote de média asynchrone RAS
    Image path: System32\DRIVERS\asyncmac.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 3
          Type: 1
 Error Control: 1

Service (registry key): atapi
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Contrôleur de disque dur IDE/ESDI standard
    Image path: System32\DRIVERS\atapi.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 0
          Type: 1
 Error Control: 1

Service (registry key): Atdisk
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 0

Service (registry key): Atmarpc
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Protocole client ATM ARP
   Description: Protocole client ATM ARP
    Image path: System32\DRIVERS\atmarpc.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 3
          Type: 1
 Error Control: 1
 Depends On services: Tcpip

Service (registry key): AudioSrv
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Audio Windows
   Description: Gère les périphériques audio pour les programmes basés sur Windows. Si ce service est arrêté, les périphériques et les effets audio ne fonctionneront pas correctement. Si ce service est désactivé, les services en dépendant explicitement ne démarreront pas.
   Object name: LocalSystem
    Image path: %SystemRoot%\System32\svchost.exe -k netsvcs
    Image size: 12800
     Image MD5: 333A4DB8410D8E24DB06D6AEBECDC7C2
   Control Set: CurrentControlSet
         Start: 2
          Type: 32
 Error Control: 1
 Depends On services: PlugPlay,RpcSs

Service (registry key): audstub
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Pilote audio Stub
    Image path: System32\DRIVERS\audstub.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 3
          Type: 1
 Error Control: 1

Service (registry key): AVG Anti-Spyware Driver
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: AVG Anti-Spyware Driver
    Image path: \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 1
          Type: 1
 Error Control: 1

Service (registry key): AVG Anti-Spyware Guard
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: AVG Anti-Spyware Guard
   Object name: LocalSystem
    Image path: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    Image size: 312880
     Image MD5: 5DCD235C061022BCDA9AA48670B64211
   Control Set: CurrentControlSet
         Start: 2
          Type: 16
 Error Control: 1

Service (registry key): AvgAsCln
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: AVG Anti-Spyware Clean Driver
    Image path: System32\DRIVERS\AvgAsCln.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 1
          Type: 1
 Error Control: 1

Service (registry key): avgntdd
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: avgntdd
    Image path: SYSTEM32\DRIVERS\avgntdd.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 1
          Type: 2
 Error Control: 1
 Depends On services: avgntmgr

Service (registry key): avgntmgr
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: avgntmgr
    Image path: SYSTEM32\DRIVERS\avgntmgr.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 0
          Type: 2
 Error Control: 1

Service (registry key): avipbb
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: avipbb
   Description: Avira's Driver for RootKit Detection
    Image path: System32\DRIVERS\avipbb.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 1
          Type: 1
 Error Control: 1

Service (registry key): AWZYALMD
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 2
          Type: 1
 Error Control: 0

Service (registry key): BattC
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 0
          Type: 0
 Error Control: 0

Service (registry key): Beep
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 1
          Type: 1
 Error Control: 1

Service (registry key): BITS
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Service de transfert intelligent en arrière-plan
   Description: Utilise la bande passante réseau inactive pour transférer des données.
   Object name: LocalSystem
    Image path: %SystemRoot%\System32\svchost.exe -k netsvcs
    Image size: 12800
     Image MD5: 333A4DB8410D8E24DB06D6AEBECDC7C2
   Control Set: CurrentControlSet
         Start: 3
          Type: 32
 Error Control: 1
 Depends On services: Rpcss

Service (registry key): Browser
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Explorateur d'ordinateur
   Description: Tient à jour une liste des ordinateurs présents sur le réseau et fournit cette liste aux ordinateurs désignés comme navigateurs. Si ce service est arrêté, la liste ne sera pas mise ou tenue à jour. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.
   Object name: LocalSystem
    Image path: %SystemRoot%\System32\svchost.exe -k netsvcs
    Image size: 12800
     Image MD5: 333A4DB8410D8E24DB06D6AEBECDC7C2
   Control Set: CurrentControlSet
         Start: 2
          Type: 32
 Error Control: 1
 Depends On services: LanmanWorkstation,LanmanServer

Service (registry key): catchme
 Registry path: \SYSTEM\CurrentControlSet\Services\
    Image path: \??\C:\DOCUME~1\LAPTOP\LOCALS~1\Temp\catchme.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 3
          Type: 1
 Error Control: 1

Service (registry key): cbidf2k
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 1

Service (registry key): cd20xrnt
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 1
 Error Control: 1

Service (registry key): Cdaudio
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 1
          Type: 1
 Error Control: 0

Service (registry key): Cdfs
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 4
          Type: 2
 Error Control: 1
 Depends On group: "SCSI CDROM Class"

Service (registry key): Cdrom
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Pilote de CD-ROM
    Image path: System32\DRIVERS\cdrom.sys
    Image size: 0
     Image MD5: D41D8CD98F00B204E9800998ECF8427E
   Control Set: CurrentControlSet
         Start: 1
          Type: 1
 Error Control: 1
 Depends On group: "SCSI miniport"

Service (registry key): Changer
 Registry path: \SYSTEM\CurrentControlSet\Services\
   Control Set: CurrentControlSet
         Start: 1
          Type: 1
 Error Control: 0

Service (registry key): CiSvc
 Registry path: \SYSTEM\CurrentControlSet\Services\
  Display name: Indexing Service
   Description: Indexes contents and properties of files on local and remote computers; provides rapid access to files through flexible querying language.
   Object name: LocalSystem
    Image path: %SystemRoot%\system32\cisvc.exe
    Image size: 5120
     Image MD5: 7901AF03767C140467671C7CEEB2C3FE
   Co

ibmm · Answer

Bonjour, 


Je n'ai pas pu installer sp2 en mode normal, en sans echec, après 1h d'installation(!) j'ai un message m'indiquant que l'installation ne peut être terminée car "acces denied"!

Je reéssaierai week end prochain en changeant les autorisation dans les HKey de regedit.
dernier scan hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:08:38, on 17/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32	askmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\LAPTOP\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.commentcamarche.net/forum/affich 3448031 virus qui bloque l acces aux postes cles
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Lyonnais92 · Answer

Bonsoir,

jamais 2 parefeus en même temps. Kerio suffit.

Je ne vois pas d'activeX;

Ta console java n'est pas à jour, ce qui constitue une faille de sécurité. (version 6, release 3)

Ouvre ce lien :
https://www.java.com/fr/download/manual.jsp

Choisis la première ligne de téléchargement puis installe java.

En fin d'installation, revient sur la page pour vérifier ton installation.

Quand l'installation a réussi, ouvre le panneau de configuration, Ajout/suppression de programmes et supprime 
J2SE Runtime Environment Version 5.0 Update xx.

Les tracding cookies, tu en as toujours.

Un petit utilitaire pour restaurer des clés essentielles :

http://telechargement.zebulon.fr/zeb-restore.html

J'attends de tes nouvelles.

Ibmm · Answer

Salut Le Lyonnais !


Voici le verdict : Pour l'installation de SP2 un seul mot d'ordre accès refusé (après 1h d'installation) .

La restauration des clés essentielles semble avoir bien fonctionné.

L'install de Java ne fonctionne pas, lorsque je clique sur l'îcone (pourtant bien enregistré du site sur mon bureau), un sablier s'affiche puis au bout de 5s plus rien n'est à sgnaler comme s'il avait abandonné l'install.

J'ai été sur les options internet pour les contrôles active X, pour les activer mais rien ne semble changer.

Autre souci, je ne parviens pas à désinstaller spybot.  le fichier uninstall semble ne pas être present.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:50:25, on 25/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32	askmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\LAPTOP\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.commentcamarche.net/forum/affich 3448031 virus qui bloque l acces aux postes cles
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Lyonnais92 · Answer

Bonjour,

pour désinstaller Spybot :

Spybot - Search & Destroy 1.5.1.15 ({B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1) 
install date: 20071117 
install location: C:\Program Files\Spybot - Search & Destroy\ 
uninstall cmd: "C:\Program Files\Spybot - Search & Destroy\unins000.exe" 
publisher: Safer Networking Limited 

Réussi ?

Ibmm · Answer

Re, Le Lyonnais...


Pardonnes moi mais que dois-je faire avec ces references ? où dois-je les chercher ? 
Dois-je simplement rechercher puis effacer les fichiers indiqués ?

Lyonnais92 · Answer

Re,

désolé,

tu ouvres l'explorateur Windows, tu cherches :


C:\Program Files\Spybot - Search & Destroy\unins000.exe

tu double-cliques dessus pour désinstaller spybot.

Ibmm · Answer

Slt


Lorsque je clique dessus, un panneau qui m'indique que le même fichier mais en .dat n'existe pas : desinstallation impossible.

Lyonnais92 · Answer

Bonjour,

solution :

tu supprimes le dossier.

derrière, tu fais passer ccleaner pour nettoyer le registre.

J'ai l'impresssion que je ne peux plus grand chose pour toi.

mais le fait de rester sous SP1 est une faille de sécurité permanente.

L'absence de mise à jour de la console java aussi.

Antivir est une bonne protection. 

AVG AS est une version payante ? Sinon la protection résidente va cesser.

Il semble que Spysweeper serait une meilleure protection.

Voir tuto ici :

http://www.malekal.com/tutorial_SpySweeper.php

IBMM · Answer

Merci Le Lyonnais,

Tu en as déjà fait beaucoup et je t'en suis infiniment reconnaissant.

Pour moi le PC est ok, je ne l'utilises quasiment pas, c'est juste qu'il contient d'anciens fichiers que je peux être amené à vouloir récupérer et que je voulais sauver.

D'autre part La page est suffisamment chargée  comme ça ;-)


AVG semble être gratuit...

PS: Si un jour les affaires ou autres t'amènent vers chez moi dans le Nord, ne manque pas de me contacter avant "keusty2005@AHOO.FR"

En attendant bonne continuation à toi ...

Lyonnais92 · Answer

Bonjour,

je vais mettre le post en résolu.

Evite d'utiliser l'ordi pour accéder au Net. Il est particulièrement vulnérable. La non mise à jour de l'OS, du navigateur, de la console java sont autant de failles de sécurité exploitées par les malwares et qui restent ouvertes.

AVG AS a été téléchargé pendant la désinfection. C'est donc la version gratuite et la protectioin résidente va disparaitre au bout de quelques semaines (bientôt). Tu peux le remplacer par Superantispyware ou Spysweeper qui, je crois, conservent la garde résidente même en version gratuite. A défaut, Spybot l'assure. Mais un seul antispy en garde résidente.

Bon surf.

Virus qui bloque l'acces aux postes clés (

139 réponses

Votre réponse

Newsletters