trojan help......

Question

Bonjour,
nous avons fait un scan et a priori nous avons toujours des virus trojan virtumonde et autres....
comment peut on nettoyer completement le pc
je suis totalement novice en la matiere
nous utilisons bit defender comme antivir et antispyware...
merci d avance pour votre aide
pano27 
ci joint scan comLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:42:46, on 09/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\documents and settings\arnaud\local settings\application data\sekkqyg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files	rend micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lo.st
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://eo.st
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [ItsTV] "C:\Program Files\ItsLabel\ItsTV.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [sekkqyg] "c:\documents and settings\arnaud\local settings\application data\sekkqyg.exe" sekkqyg
O4 - HKCU\..\Run: [SfKg6wIPu] C:\Documents and Settings\Arnaud\Application Data\Microsoft\Windows	pytddiy.exe
O4 - HKCU\..\Run: [WinButler] C:\Documents and Settings\Arnaud\Application Data\WinButler\WinButler.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin2.valueactive.eu/Register/Branding/olr3313/OCX/v1018/flashax.cab
O20 - AppInit_DLLs: liwoia.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PTK License-FIGHTERS-297811811 - Unknown owner - C:\Program Files\Fighters\licenseservice.exe (file missing)
O23 - Service: PTK Live Update-FIGHTERS-297811811 - Unknown owner - C:\Program Files\Fighters\updateservice.exe (file missing)
O23 - Service: PTK Scanner-FIGHTERS-297811811 - Unknown owner - C:\Program Files\Fighters\ScannerService.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

anthony5151 · Answer

Bonjour,



Ton ordinateur est infecté par MagicControl/navipromo (entre autre !), qui s'installe via des programmes dits "gratuits", dont ceux-ci :

 * go-astro
 * GoRecord
 * HotTVPlayer / HotTVPlayer & Paris Hilton
 * Live-Player
 * MailSkinner
 * Messenger Skinner
 * Instant Access
 * InternetGameBox
 * Officiale Emule (Version d'Emule modifiée)
 * Sudoplanet
 * Webmediaplayer


Pour désinfecter, merci de suivre exactement cette procédure :

# Désactive le TeaTimer de Spybot (tu le réactiveras après ta désinfection) :
Lance Spybot --> clique sur Mode => coche Mode avancé => Outils => Résident => décoche la case Résident Tea Timer


# Télécharge maintenant Navilog1 depuis-ce lien : 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, lance Navilog depuis le raccourci présent sur le bureau

Au menu principal, Fais le choix 1 
Laisse toi guider et patiente. 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche le bloc note va s'ouvrir. 
Copie-colle l'intégralité du rapport ici.

anthony5151 · Answer

Re,


Relance Navilog à l'aide du raccourci navilog1 présent sur le bureau et laisse-toi guider. 

Au menu principal, choisis 2 et valide. 
Le fix va t'informer qu'il va alors redémarrer ton PC 
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts 
Appuie sur une touche comme demandé. 
(si ton Pc ne redémarre pas automatiquement, fais le toi même) 
Au redémarrage de ton PC, choisis ta session habituelle. 

Patiente jusqu'au message : 
*** Nettoyage Termine le ..... *** 



Puis poste un nouveau rapport hijackthis stp

Je te rappelle qu'il y a plusieurs infections sur ton PC : ce n'est donc pas terminé.

anthony5151 · Answer

Re,


Tout n'a pas été supprimé :(

Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments  détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes

Poste le rapport de scan après la suppression ici

anthony5151 · Answer

L'infection Navipromo a été supprimée, mais il reste encore EoRezo et Vundo à supprimer (ça n'a pas été fait complètement).



Pour EoRezo :


Télécharge Ad-Remover (de C_XX) sur ton Bureau.

/!\ Déconnecte toi et ferme toutes les applications en cours /!\

&#9679; Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files ) 
&#9679; Double clique sur l'icône Ad-remover située sur ton Bureau 
&#9679; Au menu principal choisis l'option "A" 
&#9679; Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report(date).log )

pano27 · Answer

ci joint le rapport comme demande   
F --------- Logfile of AD-Remover 1.0.3.3 by C_XX ---------    

START at: 19:28:58 | 17/11/2008 
ON: Microsoft Windows XP [version 5.1.2600] ( Windows XP ) 
Internet Explorer: 7.0.5730.13
OPTION: Scan
EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
USER: Arnaud | PC: PCDEARNAUD
BOOT MODE: Normal 
DRIVE(S): C:\ 
~> Systemdrive: C:\
 
--------- [ PROCESSES ] ---------

\SystemRoot\System32\smss.exe [512]   
\??\C:\WINDOWS\system32\csrss.exe [572]   
\??\C:\WINDOWS\system32\winlogon.exe [600]   
C:\WINDOWS\system32\services.exe [644]   
C:\WINDOWS\system32\lsass.exe [656]   
C:\WINDOWS\system32\Ati2evxx.exe [812]   
C:\WINDOWS\system32\svchost.exe [824]   
C:\WINDOWS\system32\svchost.exe [916]   
C:\WINDOWS\System32\svchost.exe [980]   
C:\WINDOWS\system32\svchost.exe [1028]   
C:\WINDOWS\system32\svchost.exe [1072]   
C:\WINDOWS\system32\Ati2evxx.exe [1364]   
C:\WINDOWS\Explorer.EXE [1440]   
C:\WINDOWS\system32\spoolsv.exe [1552]   
C:\WINDOWS\system32\ctfmon.exe [1728]   
C:\WINDOWS\System32\svchost.exe [1968]   
C:\WINDOWS\system32\svchost.exe [192]   
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe [408]   
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe [276]   
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe [544]   
C:\Program Files\Windows Media Player\WMPNetwk.exe [1156]   
C:\WINDOWS\System32\svchost.exe [1756]   
C:\WINDOWS\System32\alg.exe [2192]   
C:\WINDOWS\system32\wscntfy.exe [2256]   

---------------------------- [~> 24]


+---------------------------------------------------------------------------+
+-------------------------------  SERVICES FOUND
+---------------------------------------------------------------------------+ 


+---------------------------------------------------------------------------+
+-------------------------------  REGISTRY ELEMENTS FOUND
+---------------------------------------------------------------------------+ 

"HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo" 
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1" 
"HKEY_CURRENT_USER\SOFTWARE\EoRezo" 
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}" 
"HKEY_CLASSES_ROOT\EoRezoBHO.EoBho" 
"HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1" 
"HKEY_CLASSES_ROOT\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}" 
"HKEY_CLASSES_ROOT\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}" 

+---------------------------------------------------------------------------+
+-------------------------------  FILES\FOLDERS FOUND 
+---------------------------------------------------------------------------+ 

[28/10/2008 15:26|d--------] C:\Program Files\EoRezo 
[12/11/2008 23:08|d--------] C:\Documents and Settings\Arnaud\Application Data\EoRezo 
[26/08/2008 22:26|d--------] C:\Documents and Settings\All Users\MENUDM~1\PROGRA~1\EoRezo 

+---------- Added scan ...

+-----[HKLM\...\Run]
 

+-----[HKCU\...\Run]

ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe 

+-----[HKLM\...\Internet Explorer\MAIN]

Start Page : hxxp://www.msn.com/ 

+-----[HKCU\...\Internet Explorer\MAIN]

Start Page : hxxp://www.msn.com/ 

+---------------------------------------------------------------------------+
+-------------------------------  [ EOF - 67 lines ]
+---------------------------------------------------------------------------+

[ END at: 20:15:27 | 17/11/2008 ] - [ Time elapsed: 46 minutes, 28 seconds ]

anthony5151 · Answer

Parfait :)


/!\ Déconnecte toi et ferme toutes les applications en cours /!\

&#9679; Relance Ad-remover et choisis l'option B au menu principal &#8594; le programme va travailler ... 

&#9679; Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report(date).log )

pano27 · Answer

bonjour
ci joint nouveau scan comme convenu
F --------- Logfile of AD-Remover 1.0.3.3 by C_XX ---------    

START at: 19:13:19 | 18/11/2008 
ON: Microsoft Windows XP [version 5.1.2600] ( Windows XP )
Internet Explorer: 7.0.5730.13
OPTION: Clean
EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat
USER: Arnaud | PC: PCDEARNAUD
BOOT MODE: Normal 
DRIVE(S): C:\ 
~> Systemdrive: C:\
 
--------- [ PROCESSES ] ---------

\SystemRoot\System32\smss.exe [500]   
\??\C:\WINDOWS\system32\csrss.exe [568]   
\??\C:\WINDOWS\system32\winlogon.exe [596]   
C:\WINDOWS\system32\services.exe [640]   
C:\WINDOWS\system32\lsass.exe [652]   
C:\WINDOWS\system32\Ati2evxx.exe [808]   
C:\WINDOWS\system32\svchost.exe [820]   
C:\WINDOWS\system32\svchost.exe [912]   
C:\WINDOWS\System32\svchost.exe [976]   
C:\WINDOWS\system32\svchost.exe [1024]   
C:\WINDOWS\system32\svchost.exe [1060]   
C:\WINDOWS\system32\Ati2evxx.exe [1356]   
C:\WINDOWS\Explorer.EXE [1436]   
C:\WINDOWS\system32\spoolsv.exe [1548]   
C:\WINDOWS\system32\ctfmon.exe [1732]   
C:\WINDOWS\System32\svchost.exe [1964]   
C:\WINDOWS\system32\svchost.exe [172]   
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe [408]   
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe [492]   
C:\Program Files\Windows Media Player\WMPNetwk.exe [844]   
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe [956]   
C:\WINDOWS\System32\svchost.exe [1832]   
C:\WINDOWS\System32\alg.exe [2180]   
C:\WINDOWS\system32\wscntfy.exe [2504]   

---------------------------- [~> 24]


+---------------------------------------------------------------------------+
+-------------------------------  SERVICES DELETED
+---------------------------------------------------------------------------+ 


+---------------------------------------------------------------------------+
+-------------------------------  REGISTRY ELEMENTS DELETED 
+---------------------------------------------------------------------------+ 

"HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1"
"HKEY_CURRENT_USER\SOFTWARE\EoRezo"
"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}"
"HKEY_CLASSES_ROOT\EoRezoBHO.EoBho"
"HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1"
"HKEY_CLASSES_ROOT\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}"
"HKEY_CLASSES_ROOT\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}"

+---------------------------------------------------------------------------+
+-------------------------------  FILES\FOLDERS DELETED 
+---------------------------------------------------------------------------+ 

[28/10/2008 15:26|d--------] C:\Program Files\EoRezo  
[12/11/2008 23:08|d--------] C:\Documents and Settings\Arnaud\Application Data\EoRezo  
[26/08/2008 22:26|d--------] C:\Documents and Settings\All Users\MENUDM~1\PROGRA~1\EoRezo  

(!) ---- Temp files deleted.

(!) ---- Recycle bin emptied in all drives.

 

+---------- Added scan ...

+-----[HKLM\...\Run]
 

+-----[HKCU\...\Run]

ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe 

+-----[HKLM\...\Internet Explorer\MAIN]

Start Page : hxxp://fr.msn.com/ 

+-----[HKCU\...\Internet Explorer\MAIN]

Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome 

+---------------------------------------------------------------------------+
+-------------------------------  [ EOF - 69 lines ]
+---------------------------------------------------------------------------+

[ END at: 19:24:44 | 18/11/2008 ] - [ Time elapsed: 11 minutes, 24 seconds ]

anthony5151 · Answer

OK, poste un nouveau rapport hijackthis.


Ensuite, on va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...  Fais exactement ce qui suit : 

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :  http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- 
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! 

Dans ton cas, il s'agit de BitDefender (et du TeaTimer de Spybot si tu l'as réactivé depuis que je te l'ai fait désactiver)

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre... 

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
--------------------------------------------------------------------------------------------------------------------------------- 

Ensuite : 
double-clique sur C-Fix.exe (= combofix.exe ) . 

Appuie sur une touche pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

anthony5151 · Answer

Merci, poste maintenant celui de Combofix stp.

anthony5151 · Answer

Toujours avec toutes les protections désactivées, fais ceci :

Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File:: 
2008-11-16 12:08 . 2008-11-16 12:08 912 --a------ c:\windows\system32\onvwcdwj.dll    
2008-11-16 11:55 . 2008-11-16 11:55 912 --a------ c:\windows\system32\frbrkrss.dll    
2008-11-15 10:43 . 2008-11-15 10:43 912 --a------ c:\windows\system32\iykddgbl.dll    
2008-11-14 20:20 . 2008-11-14 20:20 912 --a------ c:\windows\system32\gktuugme.dll   
2008-11-14 10:41 . 2008-11-14 10:41 912 --a------ c:\windows\system32\skajlyvl.dll    
2008-11-04 23:01 . 2008-11-04 23:01 912 --a------ c:\windows\system32\fyufljuu.dll    
2008-11-03 23:01 . 2008-11-03 23:01 120 ---hs---- c:\windows\system32\vxqdchdy.tmp    
2008-11-02 18:28 . 2008-11-02 18:29 120 ---hs---- c:\windows\system32\lnkljube.tmp    

Registry:: 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-

------------------------------------------------------------------

- Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
- Quitte le Bloc Notes 

·  Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal ! 
Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt




Ensuite, redémarre ton ordinateur et poste un nouveau rapport hijackthis.

anthony5151 · Answer

Le rapport n'est pas complet...

anthony5151 · Answer

Là tu as fait un nouveau scan avec Combofix (et tu as oublié de désactiver ton antivirus, tu risques d'endommager ton ordinateur...)

Ce qu'il faut que tu fasses, c'est le CFScript comme indiqué plus bas

Utilisateur anonyme · Answer

Bonjour,

Anthony5151, Ce CFScript ne risque pas de fonctionner.


++

anthony5151 · Answer

Oula, oui tu as raison, quel boulet je suis :(
Merci de l'avoir signalé !


@ pano27 :

Excuse moi...
Toujours avec toutes les protections désactivées, fais ceci :

Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File::
c:\windows\system32\onvwcdwj.dll
c:\windows\system32\frbrkrss.dll
c:\windows\system32\iykddgbl.dll
c:\windows\system32\gktuugme.dll
c:\windows\system32\skajlyvl.dll
c:\windows\system32\fyufljuu.dll
c:\windows\system32\vxqdchdy.tmp
c:\windows\system32\lnkljube.tmp

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-

------------------------------------------------------------------

- Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
- Quitte le Bloc Notes

· Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

anthony5151 · Answer

Le script n'a pas été pris en compte...
De plus, tu as oublié de désactiver ton antivirus avant de lancer le scan, tu prends des risques...



Pour le script, vérifie qu'il n'y a aucune ligne blanche au début (la première ligne est File:: ) et qu'il est complet.

anthony5151 · Answer

Le rapport est daté du 27 novembre...  On va utiliser un autre logiciel :


---> Télécharge OTMoveIt3 (de OldTimer) sur ton Bureau : http://oldtimer.geekstogo.com/OTMoveIt3.exe 


--> Redémarre en mode sans échec : Tuto
Attention, n'utilise surtout pas la méthode avec l'utilitaire de configuration système !

---> Double-clique sur OTMoveIt3.exe afin de le lancer. 
---> Copie/colle le texte suivant dans le cadre « Paste Instructions for Items to be Moved » et clique sur Moveit : 


:processes 
explorer.exe 

:files 
c:\windows\system32\onvwcdwj.dll 
c:\windows\system32\frbrkrss.dll 
c:\windows\system32\iykddgbl.dll 
c:\windows\system32\gktuugme.dll 
c:\windows\system32\skajlyvl.dll 
c:\windows\system32\fyufljuu.dll 
c:\windows\system32\vxqdchdy.tmp 
c:\windows\system32\lnkljube.tmp 

:Reg 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 
"AppInit_DLLs"=- 

:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles 
Le nom du rapport correspond au moment de sa création : date_heure.log

anthony5151 · Answer

Tu as essayé avec quelle touche ?  C'est généralement sur la touche F8 qu'il faut appuyer, mais c'est aussi F5 sur certains PC.  Il faut tapoter plusieurs fois de suite dessus avant l'apparition du logo Windows.

Quand tu le fais, rien ne se passe ?

anthony5151 · Answer

Bonsoir,


Le problème c'est qu'en 10 jours, si tu as réutilisé ton PC, il y a des chances que d'autres fichiers infectés se soient créés... Pour vérifier :
- Relance MalwareBytes anti-malware et mets le à jour
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments  détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes

Poste le rapport de scan après la suppression ici




Pour le message de Windows, ce n'est pas grave, il va juste falloir refaire l'activation :
    * Menu Démarrer
    * Tous les programmes
    * Accessoires
    * Outils système
    * Clique sur Activation de Windows et laisse toi guider.

anthony5151 · Answer

Re,



L'un des utilisateurs de l'ordinateur a réinstallé l'infection navipromo que nous avions supprimé...  Pour rappel, cette infection s'installe à partir des logiciels piégés suivants :

* go-astro
* GoRecord
* HotTVPlayer / HotTVPlayer & Paris Hilton
* Live-Player
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Officiale Emule (Version d'Emule modifiée)
* Sudoplanet
* Webmediaplayer 


Attention à ce que tu télécharges, et pense à prévenir tous les utilisateurs de l'ordinateur...



Poste un nouveau rapport hijackthis stp

anthony5151 · Answer

Re,


Désolé pour le délai de réponse.


# Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
S'il ne supprime pas tout, supprime manuellement ce qui reste.

Vérifie en particulier que navilog a bien été supprimé.


# Ensuite, désactive le TeaTimer de Spybot (je te conseille de ne pas le réactiver ensuite...)
Lance Spybot --> clique sur Mode => coche Mode avancé => Outils => Résident => décoche la case Résident Tea Timer &#8594; redémarre ton ordinateur


# Puis télécharge à nouveau Navilog1 depuis-ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, lance Navilog depuis le raccourci présent sur le bureau

Au menu principal, Fais le choix 1 
Laisse toi guider et patiente. 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche le bloc note va s'ouvrir. 
Copie-colle l'intégralité du rapport ici.

anthony5151 · Answer

*** Recherche Programmes installés ***

Favorit
Favorit
Favorit
Favorit 

Toujours pareil, ce programme est infecté, attention à ne plus télécharger n'importe quoi... Préviens les autres utilisateurs du PC stp

Autre chose importante : ne fais pas de restauration système avant la fin de la désinfection.



Relance Navilog à l'aide du raccourci navilog1 présent sur le bureau et laisse-toi guider. 

Au menu principal, choisis 2 et valide. 
Le fix va t'informer qu'il va alors redémarrer ton PC 
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts 
Appuie sur une touche comme demandé. 
(si ton Pc ne redémarre pas automatiquement, fais le toi même) 
Au redémarrage de ton PC, choisis ta session habituelle. 

Patiente jusqu'au message : 
*** Nettoyage Termine le ..... *** 

Le bloc note va s'ouvrir, copie/colle ici le rapport, comme tu l’as fait pour l’autre.

anthony5151 · Answer

Re,


Très bien, navilog a supprimé les fichiers infectés. J'espère que tu n'as pas réinstallé de programmes piégés depuis...
Redémarre ton ordinateur et poste un nouveau rapport hijackthis stp


Pour répondre, je te conseille de taper ton texte directement dans le cadre en bas, plutôt que de cliquer sur "Répondre à anthony5151", sinon tes messages se retrouvent sur la première page.

anthony5151 · Answer

L'infection s'est à nouveau réinstallée... Quels programmes as-tu réinstallé depuis le dernier passage de navilog ?

pano27 · Answer

SUITE A TON MESSAGE DE CE JOUR. C EST JURE NOUS N AVONS RIEN TELECHARGE DEPUIS QUE TU NOUS A AVERTI.NOUS AVONS UTILISE LES MESSAGERIES ET MSN MESSENGER. CELA PEUT IL VENIR DE LA?????

anthony5151 · Answer

Je ne comprends pas... Pour vérifier :

Relance navilog à partir du raccourci présent sur le Bureau

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle l'intégralité du rapport ici.

pano27 · Answer

ci joint nouveau rapport navilog
joyeux noel a toi et a nouveau merci pour ton aide

Search Navipromo version 3.7.0 commencé le 23/12/2008 à  1:22:39,40

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free :               Intel(R) Celeron(R) D CPU 3.20GHz )
BIOS : BIOS Date: 01/18/2007 Ver: 08.00.12
USER : Arnaud ( Administrator )
BOOT : Normal boot

Antivirus : Bitdefender Antivirus 8.0 (Activated)


C:\ (Local Disk) - NTFS - Total:92 Go (Free:56 Go)
D:\ (Local Disk) - NTFS - Total:93 Go (Free:93 Go)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (CD or DVD)


Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit
Favorit
Favorit

*** Recherche dossiers dans "C:\windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Arnaud\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Arnaud\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Arnaud\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\windows\system32" *

* Recherche dans "C:\Documents and Settings\Arnaud\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wsqow"="\"c:\documents and settings\arnaud\local settings\application data\wsqow.exe\" wsqow"


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\windows\system32" :


* Dans "C:\Documents and Settings\Arnaud\locals~1\applic~1" : 

wsqow.exe trouvé !
wsqow.dat trouvé !
wsqow_nav.dat trouvé !
wsqow_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 23/12/2008 à  1:25:01,12 ***

anthony5151 · Answer

*** Recherche Programmes installés ***

Favorit
Favorit
Favorit 



Navilog détecte encore ce programme infecté :-S
Je crois que Favorit correspond à InternetGameBox



Essaye comme ça : menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> cherche Favorit ou InternetGameBox et désinstalle le.


Puis redémarre l'ordinateur, relance navilog et choisis l'étape 2 et poste le rapport.

anthony5151 · Answer

• Fais un clic droit sur poste de travail (qui est sur ton Bureau ou dans le menu démarrer), puis propriétés. 
• Sélectionne l'onglet restauration du système 
• Coche l'option Désactiver la restauration du système sur tous les lecteurs 
• Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système. 



Ensuite, redémarre ton ordinateur, et poste encore un nouveau rapport hijackthis

anthony5151 · Answer

L'infection est encore revenue, les fichiers ont seulement changé de nom... je n'avais jamais vu ça !


• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaitre : poste les tous les deux (dans deux messages différents)

pano27 · Answer

ci joint 2eme rapport comme demande
a priori nous avons un souci adware detecte par bitdifender....
desolee pas trop le temps de nous en occuper dernierement
merci encore pour ton aide

pano27 · Answer

ci joint 2eme rapport=====Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\program files\google\googletoolbar1.dll [2008-10-31 2436160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-09-20 328752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{381FFDE8-2394-4f90-B10D-FC6124A40F8C} - BitDefender Toolbar - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll [2008-12-02 86016]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BitDefender Antiphishing Helper"=C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe [2007-10-09 61440]
"BDAgent"=C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe [2008-12-02 368640]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\windows\system32\ctfmon.exe [2008-04-13 15360]
"eqysmqe"=c:\documents and settings\arnaud\local settings\application data\eqysmqe.exe [2009-01-11 212992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
C:\windows\system32\wlnotify.dll [2008-04-13 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\windows\system32\WgaLogon.dll [2008-09-05 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	ermsrv]
C:\windows\system32\wlnotify.dll [2008-04-13 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
C:\windows\system32\wlnotify.dll [2008-04-13 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
C:\windows\system32\wlnotify.dll [2008-04-13 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
C:\windows\System32\dimsntfy.dll [2008-04-13 19456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\windows\system32\Ati2evxx.dll [2006-02-07 61440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - C:\windows\system32\SHELL32.dll [2008-04-13 8517632]
CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - C:\windows\system32\SHELL32.dll [2008-04-13 8517632]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork	ermservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork	dtcp.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork	dpipe.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\SRService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\sr.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\SharedAccess]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etworkdsessmgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etworkdpwd.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etworkdpdd.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etworkdpcdd.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\ipnat.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\ip6fw.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\HelpSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\DcomLaunch]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\CryptSvc]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=
"NoDrives"=
"NoDriveAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"="C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"="C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

======List of files/folders created in the last 1 months======

2009-01-14 22:02:02 ----HDC---- C:\windows\$NtUninstallKB958687$
2009-01-06 00:03:33 ----D---- C:\Program Files\Spyware-Secure
2008-12-30 11:27:54 ----D---- C:sit
2008-12-24 15:18:33 ----A---- C:\cleannavi.txt
2008-12-22 10:01:05 ----D---- C:\Documents and Settings\Arnaud\Application Data\Help

======List of files/folders modified in the last 1 months======

2009-01-21 15:24:41 ----D---- C:\windows\Prefetch
2009-01-21 15:22:48 ----D---- C:\windows	emp
2009-01-21 02:09:25 ----D---- C:\Program Files\Original-Solitaire
2009-01-20 22:30:25 ----D---- C:\windows\system32
2009-01-18 00:40:12 ----D---- C:\Documents and Settings\Arnaud\Application Data\Image Zone Express
2009-01-15 23:08:16 ----HD---- C:\windows\inf
2009-01-15 20:53:42 ----D---- C:\windows\system32\ias
2009-01-15 20:53:42 ----D---- C:\windows\system32\CatRoot2
2009-01-14 22:08:56 ----D---- C:\WINDOWS
2009-01-14 22:07:38 ----A---- C:\windows\SchedLgU.Txt
2009-01-14 22:07:17 ----A---- C:\windows\bdagent.INI
2009-01-14 22:02:04 ----RSHDC---- C:\windows\system32\dllcache
2009-01-14 22:02:04 ----D---- C:\windows\system32\drivers
2009-01-14 22:01:54 ----HD---- C:\windows\$hf_mig$
2009-01-10 02:35:28 ----A---- C:\windows\system32\MRT.exe
2009-01-07 10:59:43 ----SHD---- C:\windows\Installer
2009-01-07 10:59:43 ----HD---- C:\Config.Msi
2009-01-06 00:03:33 ----RD---- C:\Program Files
2008-12-26 23:02:17 ----SHD---- C:\System Volume Information
2008-12-26 23:02:17 ----D---- C:\windows\system32\Restore
2008-12-24 15:23:44 ----D---- C:\Program Files\Navilog1
2008-12-23 01:25:01 ----A---- C:\fixnavi.txt
2008-12-22 16:50:02 ----D---- C:\Program Files	rend micro
2008-12-22 15:56:12 ----D---- C:\windows\Help

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 bdftdif;bdftdif; \??\C:\Program Files\Fichiers communs\BitDefender\BitDefender Firewall\bdftdif.sys []
R1 Imapi;Pilote de filtre de gravure CD; C:\windows\system32\DRIVERS\imapi.sys [2008-04-13 42112]
R1 intelppm;Pilote de processeur Intel; C:\windows\system32\DRIVERS\intelppm.sys [2008-04-13 40576]
R1 RDPCDD;RDPCDD; C:\windows\System32\DRIVERS\RDPCDD.sys [2001-08-28 4224]
R1 TermDD;Pilote de périphérique terminal; C:\windows\system32\DRIVERS	ermdd.sys [2008-04-13 40840]
R2 ElbyCDIO;ElbyCDIO Driver; C:\windows\System32\Drivers\ElbyCDIO.sys [2004-01-27 9728]
R3 Arp1394;Protocole client ARP 1394; C:\windows\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 ati2mtag;ati2mtag; C:\windows\system32\DRIVERS\ati2mtag.sys [2006-02-07 1480704]
R3 bdfsfltr;bdfsfltr; 730079007300740065006D00330032005C0044005200490056004500520053005C00620064006600730066006C00740072002E007300790073000000 []
R3 BDSelfPr;BDSelfPr; \??\C:\Program Files\BitDefender\BitDefender 2008\bdselfpr.sys []
R3 ElbyDelay;ElbyDelay; C:\windows\System32\Drivers\ElbyDelay.sys [2004-01-27 3840]
R3 HDAudBus;Pilote de bus Microsoft UAA pour High Definition Audio; C:\windows\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\windows\system32\DRIVERS\HPZid412.sys [2005-10-28 49664]
R3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\windows\system32\DRIVERS\HPZipr12.sys [2005-10-28 16496]
R3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\windows\system32\DRIVERS\HPZius12.sys [2005-10-28 21568]
R3 HTTP;HTTP; C:\windows\System32\Drivers\HTTP.sys [2008-04-13 264832]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\windows\system32\drivers\RtkHDAud.sys [2008-04-17 4707328]
R3 MRxDAV;Redirecteur client WebDav; C:\windows\system32\DRIVERS\mrxdav.sys [2008-04-13 180608]
R3 mssmbios;Pilote BIOS de gestion de systèmes Microsoft; C:\windows\system32\DRIVERS\mssmbios.sys [2008-04-13 15488]
R3 NIC1394;Pilote réseau 1394; C:\windows\system32\DRIVERS
ic1394.sys [2008-04-13 61824]
R3 Ps2;PS2; C:\windows\system32\DRIVERS\PS2.sys [2005-12-12 19072]
R3 PSched;Planificateur de paquets QoS; C:\windows\system32\DRIVERS\psched.sys [2008-04-13 69120]
R3 RasPppoe;Pilote PPPOE d'accès à distance; C:\windows\system32\DRIVERSaspppoe.sys [2008-04-13 41472]
R3 rdpdr;Pilote de redirecteur de périphérique Terminal Server; C:\windows\system32\DRIVERSdpdr.sys [2008-04-13 196224]
R3 rtl8139;Pilote NT de carte Realtek PCI Fast Ethernet à base RTL8139(A/B/C); C:\windows\system32\DRIVERS\RTL8139.SYS [2008-04-13 20992]
R3 Trufos;Trufos; \??\C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner	rufos.sys []
R3 usbccgp;Pilote parent générique USB Microsoft; C:\windows\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\windows\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Pilote de concentrateur standard USB Microsoft; C:\windows\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\windows\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 usbprint;Classe d'imprimantes USB Microsoft; C:\windows\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
R3 usbscan;Pilote de scanneur USB; C:\windows\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
R3 usbstor;Pilote de stockage de masse USB; C:\windows\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S1 i2omgmt;i2omgmt; C:\windows\system32\drivers\i2omgmt.sys []
S3 aec;Suppresseur d'écho acoustique (Noyau Microsoft); C:\windows\system32\drivers\aec.sys [2008-04-13 142592]
S3 catchme;catchme; \??\C:\DOCUME~1\Arnaud\LOCALS~1\Temp\catchme.sys []
S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\windows\system32\drivers\drmkaud.sys [2008-04-13 2944]
S3 HidUsb;Pilote de classe HID Microsoft; C:\windows\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
S3 Ip6Fw;Pilote du pare-feu Windows IPv6; C:\windows\system32\DRIVERS\Ip6Fw.sys [2008-04-13 36608]
S3 PDCOMP;PDCOMP; C:\windows\system32\drivers\PDCOMP.sys []
S3 PDFRAME;PDFRAME; C:\windows\system32\drivers\PDFRAME.sys []
S3 PDRELI;PDRELI; C:\windows\system32\drivers\PDRELI.sys []
S3 PDRFRAME;PDRFRAME; C:\windows\system32\drivers\PDRFRAME.sys []
S3 Profos;Profos; \??\C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\profos.sys []
S3 RDPWD;RDPWD; C:\windows\system32\drivers\RDPWD.sys [2008-04-13 139656]
S3 Secdrv;Secdrv; C:\windows\system32\DRIVERS\secdrv.sys [2008-04-13 20480]
S3 ser2pl;USB Filter Driver; C:\windows\system32\DRIVERS\ser2pl.sys [2007-02-02 42496]
S3 splitter;Splitter audio du noyau Microsoft; C:\windows\system32\drivers\splitter.sys [2008-04-13 6272]
S3 StillCam;Pilote d'appareil photo numérique série; C:\windows\system32\DRIVERS\serscan.sys [2001-08-23 6912]
S3 TDPIPE;TDPIPE; C:\windows\system32\drivers\TDPIPE.sys [2008-04-13 12040]
S3 TDTCP;TDTCP; C:\windows\system32\drivers\TDTCP.sys [2008-04-13 21896]
S3 WDICA;WDICA; C:\windows\system32\drivers\WDICA.sys []
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\windows\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\windows\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 AliIde;AliIde; C:\windows\system32\drivers\AliIde.sys []
S4 cbidf2k;cbidf2k; C:\windows\system32\drivers\cbidf2k.sys [2001-08-28 13952]
S4 CmdIde;CmdIde; C:\windows\system32\drivers\CmdIde.sys []
S4 dac2w2k;dac2w2k; C:\windows\system32\drivers\dac2w2k.sys []
S4 dpti2o;dpti2o; C:\windows\system32\drivers\dpti2o.sys []
S4 hpn;hpn; C:\windows\system32\drivers\hpn.sys []
S4 i2omp;i2omp; C:\windows\system32\drivers\i2omp.sys []
S4 IntelIde;IntelIde; C:\windows\system32\drivers\IntelIde.sys []
S4 perc2;perc2; C:\windows\system32\drivers\perc2.sys []
S4 perc2hib;perc2hib; C:\windows\system32\drivers\perc2hib.sys []
S4 ql12160;ql12160; C:\windows\system32\drivers\ql12160.sys []
S4 ql1280;ql1280; C:\windows\system32\drivers\ql1280.sys []
S4 sym_u3;sym_u3; C:\windows\system32\drivers\sym_u3.sys []
S4 TosIde;TosIde; C:\windows\system32\drivers\TosIde.sys []
S4 ultra;ultra; C:\windows\system32\drivers\ultra.sys []
S4 ViaIde;ViaIde; C:\windows\system32\drivers\ViaIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\windows\system32\Ati2evxx.exe [2006-02-07 405504]
R2 AudioSrv;Audio Windows; C:\windows\System32\svchost.exe [2008-04-13 14336]
R2 CryptSvc;Services de cryptographie; C:\windows\system32\svchost.exe [2008-04-13 14336]
R2 DcomLaunch;Lanceur de processus serveur DCOM; C:\windows\system32\svchost -k DcomLaunch []
R2 ERSvc;Error Reporting Service; C:\windows\System32\svchost.exe [2008-04-13 14336]
R2 helpsvc;Aide et support; C:\windows\System32\svchost.exe [2008-04-13 14336]
R2 LIVESRV;BitDefender Desktop Update Service; C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe [2008-12-02 1179648]
R2 ShellHWDetection;Détection matériel noyau; C:\windows\System32\svchost.exe [2008-04-13 14336]
R2 srservice;Service de restauration système; C:\windows\system32\svchost.exe [2008-04-13 14336]
R2 stisvc;Acquisition d'image Windows (WIA); C:\windows\system32\svchost.exe [2008-04-13 14336]
R2 Themes;Thèmes; C:\windows\System32\svchost.exe [2008-04-13 14336]
R2 VSSERV;BitDefender Virus Shield; C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe [2008-12-02 1261568]
R2 WebClient;WebClient; C:\windows\system32\svchost.exe [2008-04-13 14336]
R2 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]
R2 wscsvc;Centre de sécurité; C:\windows\System32\svchost.exe [2008-04-13 14336]
R2 XCOMM;BitDefender Communicator; C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe [2008-12-02 86016]
R3 ALG;Service de la passerelle de la couche Application; C:\windows\System32\alg.exe [2008-04-13 44544]
R3 FastUserSwitchingCompatibility;Compatibilité avec le Changement rapide d'utilisateur; C:\windows\System32\svchost.exe [2008-04-13 14336]
R3 HTTPFilter;HTTP SSL; C:\windows\System32\svchost.exe [2008-04-13 14336]
R3 Nla;NLA (Network Location Awareness); C:\windows\system32\svchost.exe [2008-04-13 14336]
R3 scan;BitDefender Threat Scanner; C:\windows\System32\svchost.exe [2008-04-13 14336]
R3 SSDPSRV;Service de découvertes SSDP; C:\windows\system32\svchost.exe [2008-04-13 14336]
R3 TermService;Services Terminal Server; C:\windows\System32\svchost -k DComLaunch []
R3 upnphost;Hôte de périphérique universel Plug-and-Play; C:\windows\system32\svchost.exe [2008-04-13 14336]
R3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 aspnet_state;Service d'état ASP.NET; C:\windows\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 COMSysApp;Application système COM+; C:\WINDOWS\system32\dllhost.exe [2008-04-13 5120]
S3 Dot3svc;Configuration automatique de réseau câblé; C:\windows\System32\svchost.exe [2008-04-13 14336]
S3 EapHost;Service Protocole EAP (Extensible Authentication Protocol); C:\windows\System32\svchost.exe [2008-04-13 14336]
S3 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-10-31 138168]
S3 hkmsvc;Service Gestion des clés et des certificats d'intégrité; C:\windows\System32\svchost.exe [2008-04-13 14336]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 ImapiService;Service COM de gravage de CD IMAPI; C:\windows\system32\imapi.exe [2008-04-13 150528]
S3 napagent;Agent de protection d'accès réseau; C:\windows\System32\svchost.exe [2008-04-13 14336]
S3 RDSessMgr;Gestionnaire de session d'aide sur le Bureau à distance; C:\WINDOWS\system32\sessmgr.exe [2008-04-13 142848]
S3 SwPrv;MS Software Shadow Copy Provider; C:\WINDOWS\system32\dllhost.exe [2008-04-13 5120]
S3 VSS;Cliché instantané de volume; C:\windows\System32\vssvc.exe [2008-04-13 295424]
S3 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S3 WmdmPmSN;Service de numéro de série du lecteur multimédia portable; C:\windows\System32\svchost.exe [2008-04-13 14336]
S3 WmiApSrv;Carte de performance WMI; C:\WINDOWS\system32\wbem\wmiapsrv.exe [2008-04-13 126464]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\windows\system32\svchost.exe [2008-04-13 14336]
S3 xmlprov;Service d'approvisionnement réseau; C:\windows\System32\svchost.exe [2008-04-13 14336]
S4 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2006-02-09 520192]
S4 HidServ;Accès du périphérique d'interface utilisateur; C:\windows\System32\svchost.exe [2008-04-13 14336]
S4 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe [2007-12-03 869672]
S4 NMIndexingService;NMIndexingService; C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe [2007-12-13 447784]
S4 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2007-08-09 73728]
S4 PTK License-FIGHTERS-297811811;PTK License-FIGHTERS-297811811; C:\Program Files\Fighters\licenseservice.exe []
S4 PTK Live Update-FIGHTERS-297811811;PTK Live Update-FIGHTERS-297811811; C:\Program Files\Fighters\updateservice.exe []
S4 PTK Scanner-FIGHTERS-297811811;PTK Scanner-FIGHTERS-297811811; C:\Program Files\Fighters\ScannerService.exe []

-----------------EOF-----------------

Trojan help......

31 réponses

Votre réponse

Discussions similaires

Newsletters