infection psw.x vir et vundo --> analyse Hijackthis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nickW » 19 Nov 2007, 22:34

Bonsoir,

Que contient le fichier: C:\WINDOWS\system32\tmp.reg
Attention:
Ouvrir le fichier dans le Bloc-notes, ne pas faire un double clic dessus, ne pas le fusionner dans le Registre.



Nettoyage (final? ... je l'espère :wink:)


Toutes ces manips doivent être réalisées depuis un compte ayant les droits Administrateur.
Les étapes 1 et 2 doivent être réalisées en ayant fermé toutes les fenêtres de programme.


Étape 1: Création du fichier reparlsa.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom de reparlsa.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00



Fermer le Bloc-notes.


Étape 2: Utilisation du fichier reparlsa.reg
Faire un clic droit sur reparlsa.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 3: Kaspersky Lab OnLine Scanner
Exécuter une analyse Anti-Virus et Anti-Spyware en ligne via Kaspersky Lab OnLine Scanner.

Ceci doit être réalisé exclusivement avec Internet Explorer.

Aller sur la page http://www.kaspersky.com/kos/eng/partne ... bscan.html
Cliquer sur le bouton "Accept/J'accepte"
Il y a demande d'installation de contrôle(s) ActiveX.
Normalement, IE bloque cette action (bloqueur de fenêtres publicitaires intempestives). Il faut faire un clic droit sur la barre jaune située en haut de la fenêtre et "Accepter temporairement...".
Accepter la licence ("Accept/J'accepte") puis l'installation de contrôle(s) ActiveX ("Installer")
Kaspersky On-line Scanner s'installe et télécharge les définitions de virus (400KB, puis 9 Mo à télécharger).
Sur l'écran de sélection des éléments à analyser, choisir "Poste de travail"
Le scan est lancé. La fenêtre permet de suivre la progression de l'analyse.
Lorsque la fenêtre affiche "The scan is complete", cliquer sur le bouton "Save as text/Sauver en texte" et enregistrer le fichier rapport sous le nom kasper1.txt

NOTE:
S'il y a affichage du message "La licence de Kaspersky On-line Scanner est périmée", aller dans Panneau de configuration---->Ajout/Suppression de programmes puis désinstaller On-Line Scanner. Ensuite, se reconnecter sur le site de Kaspersky pour réessayer.



Étape 4: Deckard's System Scanner (DSS) (de Deckard)
Fermer toutes les fenêtres de programme ouvertes, pas de connexion Internet active.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (3 fois).
Lorsque l'outil a terminé le balayage, deux fichiers texte vont s'ouvrir dans le Bloc-notes:
main.txt <- ouvert dans une fenêtre normale
extra.txt <- ouvert dans une fenêtre réduite
Fermer ces deux fenêtres du Bloc-notes.


Étape 5: Résultats
Envoyer en réponse:
*- un des deux rapports de Deckard's System Scanner (contenu du fichier main.txt situé dans le dossier C:\Deckard\System Scanner).
*- le rapport du scan en ligne Kaspersky (contenu du fichier kasper1.txt)


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Ange » 23 Nov 2007, 15:41

bonjour,

Désolé pour le temps de réponse, un peu débordé ces temps ci

Manip effectuée, voici les rapport demandés :

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Friday, November 23, 2007 3:31:25 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 23/11/2007
Kaspersky Anti-Virus database records: 464543
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - Folders:
C:\

Scan Statistics:
Total number of scanned objects: 73771
Number of viruses found: 7
Number of infected objects: 41
Number of suspicious objects: 0
Duration of the scan process: 01:04:58

Infected Object Name / Virus Name / Last Action
C:\avenger\backup.zip/avenger/ayvbflss.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\avenger\backup.zip/avenger/gpvoikpp.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\avenger\backup.zip/avenger/kijvghqu.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\avenger\backup.zip/avenger/moykyyyb.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\avenger\backup.zip/avenger/nflawsnd.dll Infected: Trojan.Win32.BHO.xe skipped
C:\avenger\backup.zip/avenger/ppyggsyt.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\avenger\backup.zip/avenger/sabanhxg.dll Infected: Trojan.Win32.BHO.xe skipped
C:\avenger\backup.zip/avenger/seigypsy.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\avenger\backup.zip/avenger/selrohac.dll Infected: Trojan.Win32.BHO.xe skipped
C:\avenger\backup.zip/avenger/tabudrku.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\avenger\backup.zip ZIP: infected - 10 skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Sony Corporation\SonicStage\Packages\MtData.ldb Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Sony Corporation\SonicStage\Packages\MtData.mdb Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Philippe\Application Data\$_hpcst$.hpc Object is locked skipped
C:\Documents and Settings\Philippe\Application Data\MailWasherPro\tmpLog.txt Object is locked skipped
C:\Documents and Settings\Philippe\Application Data\MailWasherPro\Training\Training archive - junk.rot135 Object is locked skipped
C:\Documents and Settings\Philippe\Application Data\MailWasherPro\Training\Training archive - legitimate.rot135 Object is locked skipped
C:\Documents and Settings\Philippe\Application Data\MailWasherPro\Trash.rot135 Object is locked skipped
C:\Documents and Settings\Philippe\Bureau\Navilog1.exe/file7 Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped
C:\Documents and Settings\Philippe\Bureau\Navilog1.exe Inno: infected - 1 skipped
C:\Documents and Settings\Philippe\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Philippe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Philippe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Philippe\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Philippe\Local Settings\Historique\History.IE5\MSHist012007112320071124\index.dat Object is locked skipped
C:\Documents and Settings\Philippe\Local Settings\Temp\WCESLog.log Object is locked skipped
C:\Documents and Settings\Philippe\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Documents and Settings\Philippe\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Philippe\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Philippe\NTUSER.DAT.LOG Object is locked skipped
C:\Program Files\Navilog1\reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped
C:\Program Files\Nero\Nero8\Nero BackItUp\BIU1.txt Object is locked skipped
C:\Program Files\Radmin\radmin.exe Infected: not-a-virus:RemoteAdmin.Win32.RAdmin.22 skipped
C:\Program Files\Radmin\r_server.exe Infected: not-a-virus:RemoteAdmin.Win32.RAdmin.22 skipped
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071112-140655-807.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aki skipped
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071112-140822-712.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aki skipped
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071112-140919-329.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aki skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP1\A0000005.dll Infected: not-a-virus:AdWare.Win32.SecToolBar.k skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP1\A0000010.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP1\A0000241.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP1\A0000305.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP2\A0000489.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP2\A0000502.dll Infected: not-a-virus:AdWare.Win32.SecToolBar.k skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP2\A0000517.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP2\A0000540.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP2\A0000564.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP2\A0000581.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP2\A0000736.dll Infected: Trojan-Downloader.Win32.ConHook.hl skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP4\A0000892.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP4\A0000898.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP4\A0000903.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP4\A0000905.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP4\A0000906.dll Infected: Trojan.Win32.BHO.xe skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP4\A0000908.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP4\A0000911.dll Infected: Trojan.Win32.BHO.xe skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP4\A0000912.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP4\A0000913.dll Infected: Trojan.Win32.BHO.xe skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP4\A0000914.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\System Volume Information\_restore{8CEE87BF-8C19-46ED-B1DB-A2F238916F97}\RP5\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\byxyvwu.dll.vir Infected: not-a-virus:AdWare.Win32.Virtumonde.aki skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\DEFAULT.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\SOFTWARE.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\SYSTEM.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\JETDF2C.tmp Object is locked skipped
C:\WINDOWS\Temp\JETDFD6.tmp Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_118.dat Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.

Deckard's System Scanner v20071014.68
Run by Philippe on 2007-11-23 15:44:53
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Philippe.exe) --------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:44:57, on 23/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
D:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Sony\HotKey Utility\HKserv.exe
C:\Program Files\Sony\HotKey Utility\HKWnd.exe
C:\Program Files\sony\vaio power management\SPMgr.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Apoint\Apntex.exe
D:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Philippe\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Philippe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Philippe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [HPWS myPrintMileage Agent] C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Norton Ghost 9.0] D:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [RemoveCpl] RemoveCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RogueMonitor] D:\Program Files\RogueRemover PRO\RogueRemoverPRO.exe /monitor
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - .DEFAULT User Startup: VAIO Launcher.lnk = C:\Program Files\sony\VAIO Launcher\Launcher.exe (User 'Default user')
O4 - Startup: MailWasherPro.lnk = D:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Audio Filter.lnk = C:\Program Files\sony\sonicstage mastering studio\audio filter\SSMSFilter.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 4875328533
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://192.9.200.110/plugin/h263ctrl.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Norton Ghost - Symantec Corporation - D:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Program Files\sony\vaio entertainment\VzTaskScheduler.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\VmGateway.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

--
End of file - 12936 bytes

-- Files created between 2007-10-23 and 2007-11-23 -----------------------------

2007-11-23 13:54:36 0 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2007-11-23 13:54:34 0 d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-11-23 13:54:33 0 d-------- C:\WINDOWS\LastGood
2007-11-23 09:43:57 0 d-------- C:\Documents and Settings\Philippe\Application Data\UseNeXT
2007-11-19 10:45:19 0 --------- C:\WINDOWS\system32\drivers\
2007-11-17 16:21:59 0 d--hs---- C:\Diskeeper
2007-11-17 11:12:07 0 dr-h----- C:\Documents and Settings\Philippe\Recent
2007-11-14 09:35:53 2015 -r-h----- C:\WINDOWS\system32\drivers\hosts
2007-11-13 15:41:40 0 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-11-12 17:47:24 0 d-------- C:\Documents and Settings\Philippe\Application Data\Ufasoft
2007-11-12 16:00:22 0 d-------- C:\Documents and Settings\Philippe\Application Data\RegistrySmart
2007-11-12 15:37:45 0 d-------- C:\Program Files\MSXML 6.0
2007-11-12 15:34:26 0 d-------- C:\Program Files\MSBuild
2007-11-12 15:30:25 0 d-------- C:\WINDOWS\system32\XPSViewer
2007-11-12 15:29:08 0 d-------- C:\Program Files\Reference Assemblies
2007-11-12 15:04:53 0 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2007-11-12 14:30:40 0 d-------- C:\WINDOWS\system32\fr-fr
2007-11-12 14:26:32 0 d-------- C:\WINDOWS\network diagnostic
2007-11-12 14:06:41 0 d--hs---- C:\Documents and Settings\Philippe\UserData
2007-11-12 13:13:42 4980 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-12 12:17:07 0 d-------- C:\VundoFix Backups
2007-11-12 12:07:47 0 d-------- C:\Program Files\Navilog1
2007-11-11 18:31:11 0 d-------- C:\Program Files\Avira
2007-11-11 18:31:11 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-11-11 18:28:36 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Talkback
2007-11-11 18:28:08 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Mozilla
2007-11-11 17:41:09 0 d-------- C:\Program Files\Trend Micro
2007-11-11 16:49:31 0 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-11 13:54:39 0 d-------- C:\Program Files\Enigma Software Group
2007-11-11 10:42:53 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Sony Corporation
2007-11-11 10:42:53 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2007-11-11 10:42:53 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Identities
2007-11-11 10:42:52 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2007-11-11 10:42:52 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-11-11 10:42:52 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2007-11-11 10:42:52 0 dr-h----- C:\Documents and Settings\Administrateur\Recent
2007-11-11 10:42:52 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2007-11-11 10:42:52 0 dr------- C:\Documents and Settings\Administrateur\Mes documents
2007-11-11 10:42:52 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2007-11-11 10:42:52 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2007-11-11 10:42:52 0 dr------- C:\Documents and Settings\Administrateur\Favoris
2007-11-11 10:42:52 0 d---s---- C:\Documents and Settings\Administrateur\Cookies
2007-11-11 10:42:52 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2007-11-11 10:42:52 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2007-11-11 10:42:52 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
2007-11-11 10:42:52 0 d-------- C:\Documents and Settings\Administrateur\Application Data\Sun
2007-11-11 10:42:51 1048576 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2007-11-11 10:28:02 0 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-10 13:42:31 0 d-------- C:\Documents and Settings\All Users\Application Data\Diskeeper Corporation
2007-11-10 13:01:21 0 d-------- C:\Program Files\Fichiers communs\Nero
2007-11-06 10:01:13 0 d-------- C:\Documents and Settings\LocalService\Application Data\Help
2007-11-02 09:13:45 0 d-------- C:\Documents and Settings\Philippe\Application Data\Nero
2007-11-02 09:08:51 0 d-------- C:\Program Files\Nero
2007-11-02 09:08:51 0 d-------- C:\Documents and Settings\All Users\Application Data\Nero
2007-11-01 11:11:46 0 d-------- C:\Documents and Settings\Philippe\Application Data\Sonic
2007-11-01 11:08:26 0 d-------- C:\Documents and Settings\Philippe\Application Data\Leadertech
2007-11-01 10:22:12 0 d-------- C:\Documents and Settings\Philippe\dwhelper
2007-10-30 19:53:32 97280 --a------ C:\WINDOWS\b147.exe
2007-10-30 12:58:42 409600 --a------ C:\WINDOWS\system32\wrap_oal.dll <Not>
2007-10-30 12:58:42 0 d-------- C:\Program Files\OpenAL
2007-10-30 12:58:41 114688 --a------ C:\WINDOWS\system32\OpenAL32.dll <Not>
2007-10-30 09:48:41 0 d-------- C:\Documents and Settings\Philippe\Application Data\FileZilla
2007-10-28 14:57:33 0 d-------- C:\Program Files\DivXCodec
2007-10-28 14:55:40 180224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2007-10-28 14:55:40 765952 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-10-28 14:25:17 0 d-------- C:\Program Files\Windows Media Connect 2
2007-10-28 14:23:05 0 d-------- C:\WINDOWS\system32\drivers\UMDF
2007-10-28 10:59:53 0 d-------- C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage
2007-10-27 12:32:18 0 d-------- C:\Documents and Settings\Philippe\Application Data\MailWasherPro
2007-10-26 13:38:47 0 d-------- C:\WINDOWS\system32\WinXP
2007-10-26 13:38:47 0 d-------- C:\WINDOWS\system32\Win2K
2007-10-26 13:38:44 192512 -----n--- C:\WINDOWS\system32\DetectHardware.exe <Not>
2007-10-26 13:38:44 143360 -----n--- C:\WINDOWS\system32\bcmwlu00.exe <Not>
2007-10-26 13:38:44 462848 -----n--- C:\WINDOWS\system32\bcmwltry.exe <Not>
2007-10-26 12:49:40 0 d-------- C:\Program Files\Microsoft ActiveSync
2007-10-26 12:30:59 0 d-------- C:\Documents and Settings\Philippe\Application Data\Help
2007-10-26 08:21:39 0 d-------- C:\Documents and Settings\Philippe\Application Data\IsolatedStorage
2007-10-26 08:20:07 0 d-------- C:\WINDOWS\system32\URTTemp
2007-10-25 13:02:02 210032 --a------ C:\WINDOWS\system32\DBCLIENT.DLL
2007-10-25 12:53:39 0 d-------- C:\Documents and Settings\All Users\Application Data\Macromedia
2007-10-25 12:53:11 0 d-------- C:\Program Files\Macromedia
2007-10-25 12:53:11 0 d-------- C:\Program Files\Fichiers communs\Macromedia
2007-10-25 12:48:03 0 d-------- C:\Program Files\Symantec
2007-10-25 12:31:13 0 d-------- C:\WINDOWS\Downloaded Installations
2007-10-25 12:17:23 0 d-------- C:\Program Files\Radmin
2007-10-24 21:48:03 42392 --a------ C:\Documents and Settings\Philippe\Application Data\GDIPFONTCACHEV1.DAT
2007-10-24 14:33:06 81920 -----n--- C:\WINDOWS\system32\vdrmux.dll <Not>
2007-10-24 14:33:06 155721 -----n--- C:\WINDOWS\system32\RALMain.dll <Not>
2007-10-24 14:33:06 294912 -----n--- C:\WINDOWS\system32\pvmjpg21.dll <Not>
2007-10-24 14:33:06 44544 -----n--- C:\WINDOWS\system32\msxml4a.dll <Not>
2007-10-24 14:33:06 73728 -----n--- C:\WINDOWS\system32\MMAviAx.dll <Not>
2007-10-24 14:33:06 32768 -----n--- C:\WINDOWS\system32\MLPagAx.dll <Not>
2007-10-24 14:33:06 40960 -----n--- C:\WINDOWS\system32\langserv.dll <Not>
2007-10-24 14:33:06 204881 -----n--- C:\WINDOWS\system32\DiskIO.dll <Not>
2007-10-24 14:33:06 32838 -----n--- C:\WINDOWS\system32\Cachex.dll <Not>
2007-10-24 14:33:06 114759 -----n--- C:\WINDOWS\system32\Aviprax.dll <Not>
2007-10-24 14:32:24 0 d-------- C:\WINDOWS\system32\Quicktime
2007-10-24 14:32:22 0 d-------- C:\Documents and Settings\All Users\Application Data\SmartSound Software Inc
2007-10-24 14:32:21 0 d-------- C:\Program Files\SmartSound Software
2007-10-24 14:30:21 11264 --a------ C:\WINDOWS\system32\drivers\asapiW2k.sys <Not>
2007-10-24 14:30:14 406016 --a------ C:\WINDOWS\system32\PSDrvCheck.exe
2007-10-24 14:30:14 19456 --a------ C:\WINDOWS\system32\asapi.dll <Not>
2007-10-24 14:30:12 90112 --a------ C:\WINDOWS\unvise32.exe <Not>
2007-10-24 14:27:54 49152 --a------ C:\WINDOWS\system32\PCLEGetGuid.dll <Not>
2007-10-24 14:25:01 0 d-------- C:\Documents and Settings\All Users\Application Data\Pinnacle
2007-10-24 14:24:59 0 d-------- C:\Program Files\Pinnacle
2007-10-24 14:24:35 14165 -----n--- C:\WINDOWS\system32\drivers\Pclepci.sys <Not>
2007-10-24 13:03:30 0 d-------- C:\WINDOWS\system32\LogFiles
2007-10-24 12:12:34 0 d-------- C:\Documents and Settings\NetworkService\Application Data\Intel
2007-10-24 12:09:05 0 d-------- C:\Program Files\Corel
2007-10-24 12:05:41 0 d-------- C:\Program Files\Fichiers communs\Corel
2007-10-24 11:35:33 0 d-------- C:\Documents and Settings\All Users\Application Data\Corel
2007-10-24 11:30:10 3714 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2007-10-24 11:30:10 88 -r-hs---- C:\WINDOWS\system32\8C01962A35.sys
2007-10-24 11:25:06 0 d-------- C:\Documents and Settings\Philippe\Application Data\Corel
2007-10-24 11:18:25 0 d-------- C:\Documents and Settings\All Users\Application Data\Adobe Systems
2007-10-24 11:18:04 0 d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared
2007-10-24 09:27:31 0 d-------- C:\WINDOWS\ShellNew
2007-10-24 09:21:46 0 d-------- C:\Program Files\MSXML 4.0
2007-10-23 12:55:40 0 d-------- C:\Documents and Settings\Philippe\Application Data\Azureus
2007-10-23 12:40:47 0 d-------- C:\Documents and Settings\Philippe\Application Data\WinRAR
2007-10-23 12:03:58 1467 --a------ C:\WINDOWS\mozver.dat
2007-10-23 12:01:44 0 d-------- C:\Documents and Settings\Philippe\Application Data\Talkback
2007-10-23 12:01:31 0 --a------ C:\WINDOWS\nsreg.dat
2007-10-23 12:01:28 0 d-------- C:\Documents and Settings\Philippe\Application Data\Mozilla


-- Find3M Report ---------------------------------------------------------------

2007-11-23 14:09:04 505148 --a------ C:\WINDOWS\system32\perfh00C.dat
2007-11-23 14:09:04 83484 --a------ C:\WINDOWS\system32\perfc00C.dat
2007-11-11 17:27:41 0 d-------- C:\Program Files\Fichiers communs
2007-11-01 11:12:53 0 d-------- C:\Program Files\MoodLogic
2007-11-01 11:06:56 0 d-------- C:\Documents and Settings\Philippe\Application Data\Sony Corporation
2007-10-29 11:19:09 0 d-------- C:\Documents and Settings\Philippe\Application Data\Macromedia
2007-10-28 16:13:38 0 d--h----- C:\Program Files\InstallShield Installation Information
2007-10-28 10:44:29 0 d-------- C:\Program Files\Google
2007-10-26 12:51:54 2508 --a------ C:\Documents and Settings\Philippe\Application Data\$_hpcst$.hpc
2007-10-25 12:49:34 0 d-------- C:\Program Files\Fichiers communs\Symantec Shared
2007-10-24 15:20:07 0 d-------- C:\Documents and Settings\Philippe\Application Data\AdobeUM
2007-10-24 14:20:40 0 d-------- C:\Documents and Settings\Philippe\Application Data\Adobe
2007-10-24 11:13:41 0 d-------- C:\Program Files\Fichiers communs\Adobe
2007-10-23 12:06:31 0 d-------- C:\Program Files\Java
2007-10-22 22:04:20 0 d-------- C:\Program Files\Messenger
2007-10-22 18:18:57 0 d-------- C:\Documents and Settings\Philippe\Application Data\Google
2007-10-22 16:26:03 0 d-------- C:\Program Files\Hewlett-Packard
2007-10-22 15:10:54 0 d-------- C:\Program Files\Intel
2007-10-22 15:01:29 0 d-------- C:\Program Files\InterVideo
2007-10-22 14:47:02 0 d-------- C:\Program Files\sony
2007-10-22 14:45:06 0 d-------- C:\Program Files\Fichiers communs\Sony Shared
2007-10-22 14:44:28 0 d-------- C:\Program Files\Fichiers communs\InstallShield
2007-10-22 13:02:37 0 d-------- C:\Program Files\Microsoft Works
2007-10-22 12:59:43 0 d-------- C:\Program Files\Sonic
2007-10-22 12:39:47 0 d-------- C:\Program Files\Utimaco
2007-10-22 12:39:00 0 d-------- C:\Program Files\TvTvHTML
2007-10-22 12:39:00 0 d-------- C:\Program Files\TVTV EPG Installer
2007-10-10 14:53:54 184320 --a------ C:\WINDOWS\b111.exe


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Program Files\Apoint\Apoint.exe" [07/11/2003 18:21]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [26/08/2004 20:00]
"HKSERV.EXE"="C:\Program Files\Sony\HotKey Utility\HKserv.exe" [29/06/2004 13:49]
"Switcher.exe"="C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe" [19/01/2004 09:49]
"SonyPowerCfg"="C:\Program Files\sony\vaio power management\SPMgr.exe" [29/06/2004 20:45]
"Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [19/09/2003 18:42]
"Mouse Suite 98 Daemon"="ICO.EXE" [14/03/2002 15:46 C:\WINDOWS\system32\ico.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [19/08/2004 15:10 C:\WINDOWS\system32\bthprops.cpl]
"ISBMgr.exe"="C:\Program Files\Sony\ISB Utility\ISBMgr.exe" [20/02/2004 13:12]
"HPWS myPrintMileage Agent"="C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe" [01/12/2004 13:08]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [25/09/2007 00:11]
"Norton Ghost 9.0"="D:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe" [10/11/2004 10:03]
"bcmwltry"="bcmwltry.exe" [25/07/2003 07:28 C:\WINDOWS\system32\bcmwltry.exe]
"RemoveCpl"="RemoveCpl.exe" [14/01/2003 22:50 C:\WINDOWS\system32\RemoveCpl.exe]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [11/11/2007 18:39]
"!AVG Anti-Spyware"="D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [13/11/2007 15:34]
"ezShieldProtector for Px"="C:\WINDOWS\system32\ezSP_Px.exe" [20/08/2002 11:29]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\PROGRA~1\MICROS~3\wcescomm.exe" [26/06/2006 20:45]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 15:09]
"RogueMonitor"="D:\Program Files\RogueRemover PRO\RogueRemoverPRO.exe" [29/09/2007 23:17]

C:\Documents and Settings\Philippe\Menu D‚marrer\Programmes\D‚marrage\
MailWasherPro.lnk - D:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe [30/10/2007 12:16:26]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [22/10/2007 12:50:13]
Audio Filter.lnk - C:\Program Files\sony\sonicstage mastering studio\audio filter\SSMSFilter.exe [22/10/2007 15:51:05]
Microsoft Office.lnk - D:\Program Files\Microsoft Office\Office10\OSA.EXE [13/02/2001 08:01:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs BthServ




-- End of Deckard's System Scanner: finished at 2007-11-23 15:45:28 ------------
Ange
 
Messages: 15
Inscription: 12 Nov 2007, 13:45
Localisation: Saint Brieuc

Messagede Ange » 23 Nov 2007, 15:51

voici le contenu du fichier C:\WINDOWS\system32\tmp.reg

3 dossiers contenant tous le même fichier INDEX.dat

puis des fichiers nommés :

JET43D3.tmp
JET44AF.tmp
JET54EB.tmp
JET 55BD.tmp
JETDF2C.tmp
JETDFD6.tmp
Perlib_Perfdata_6cc.dat
Perlib_Perfdata_17c.dat
Perlib_Perfdata_118.dat
Perlib_Perfdata_154.dat
Perlib_Perfdata_668.dat
Perlib_Perfdata_750.dat
Ange
 
Messages: 15
Inscription: 12 Nov 2007, 13:45
Localisation: Saint Brieuc

Messagede nickW » 24 Nov 2007, 00:49

Bonsoir,

Les logs ne montrent plus rien de "méchant". :D

Les logs montrent:
*- qu'il y a des failles de sécurité
*- qu'il y a des mises à jour à effectuer,
*- qu'il y a des programmes "inutiles au démarrage" à enlever.


Avant d'entreprendre ces dernières manips de nettoyage, peux-tu me dire comment se comporte le PC?
*- messages d'erreur
*- signalement de fichiers infectés
*- autres....?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Ange » 24 Nov 2007, 09:23

bonjour,

Mazette... tu m'as posté ton message à 00h50... décidément il n'y a pas d'heure pour les braves

Pour ce qui concerne le PC je n'ai plus aucune alerte d'aucune sorte. Donc, de mon point de vue,
il n'y a plus d'infection virale.

Pour info je n'ai pas réactivé spybot, j'attends une éradication totale pour le réinstaller, sinon il va me détecter
des changements dans la bdr.

Voilà, c'est presque la fin (snif, tu va me manquer)... quoi que... au 1er mai je reprend la gestion d'un réseau
et vu que tu touches ta bille en matière de sécurité et si les réseaux te sont familiers j'aurais besoin de conseils
dans ce domaine (logiciels de sécurité réseaux par ex). En tout état de cause, tout ceci sera rémunérateur, ça va de soi.

La FORCE tranquille, la SAGESSE et la BEAUTE d'une informaticienne de talent... MERCI encore mille et une fois.
Ange
 
Messages: 15
Inscription: 12 Nov 2007, 13:45
Localisation: Saint Brieuc

Messagede Jim Rakoto » 24 Nov 2007, 14:18

Salut


La FORCE tranquille, la SAGESSE et la BEAUTE d'une informaticienne de talent


Philosophiquement, rien à dire. j'ai dit :D

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede nickW » 24 Nov 2007, 22:02

Bonsoir,

Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires à appliquer:

Un conseil important:
Il faut créer un nouveau point de restauration système.
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
http://assiste.com.free.fr/p/comment/co ... ation.html


Un conseil important:
Il faut installer un vrai pare-feu.
Voir ICI et ICI.
Penser à désactiver complètement celui de Windows XP (y compris dans les services).


Un conseil:
Lire Quel comportement devez-vous adopter en tout temps?
Lire les Recommandations du "kit de sécurité", et en appliquer les mesures préventives.


Un conseil:
Utiliser Ccleaner régulièrement.
Par exemple, prendre l'habitude de le lancer systématiquement avant d'éteindre le PC, ou une fois par jour.


Un conseil:
La version d'essai de AVG Anti-Spyware reste utilisable sans limitation de durée, mais avec deux restrictions:
*- pas de surveillance en temps réel,
*- pas de mise à jour automatique en ligne.
Tu peux donc choisir de le laisser installé, et de l'utiliser de temps en temps (pour faire du "nettoyage") en faisant une mise à jour manuelle avant d'exécuter le balayage.


Un conseil:
Penser aux mises à jour.
Adobe Reader 8: http://www.adobe.com/fr/products/reader/
Note:
Si tu veux absolument conserver Adobe Reader, je te conseille d'essayer Adobe Reader SpeedUp 1.36
Sinon, il existe un autre programme pour lire des fichiers PDF, bien moins gourmand en ressources, et gratuit:
Foxit Reader: http://www.foxitsoftware.com/pdf/rd_intro.php


Un conseil:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Version téléchargeable (clic droit sur le lien): http://assiste.com.free.fr/ftp/Startups-vf.chm
Sont dans ce cas:

O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"--->mise à jour automatique: mieux vaut la faire soi-même, à condition d'y penser
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Program Files\Corel\Corel Snapfire\Corel Photo Downloader.exe--->lire attentivement la liste de Pacman
O4 - HKLM\..\Run: [Norton Ghost 9.0] D:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [RemoveCpl] RemoveCpl.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe--->lire attentivement la liste de Pacman
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE--->un véritable dévoreur de ressources, inutile

Il est possible d'utiliser Spybot-S&D (dans Outils---->Démarrage système) pour décocher les lignes correspondant aux programmes dont tu veux supprimer le lancement automatique à chaque démarrage du système.
Si tu as ensuite des regrets, il te suffira de recocher ces lignes.


Un conseil:
Il est possible de supprimer Deckard's System Scanner (fichier téléchargé dss.exe et dossier des sauvegardes C:\Deckard\System Scanner).
Il est possible de supprimer The Avenger (fichier téléchargé avenger.zip, exécutable avenger.exe, fichiers des données aven1.txt et aven2.txt, et fichier rapport C:\avenger.txt).
Note: The Avenger a également sauvegardé les modifications qu'il a effectuées dans le fichier archive C:\avenger\backup.zip. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer cette archive.
Penser à réactiver TeaTimer de Spybot-S&D ou le gardien RogueMonitor de RogueRemover Pro.


Voilì, voilò, voilà.

Salut,

PS: Une bonne habitude à prendre:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Ange » 26 Nov 2007, 23:27

bonsoir,

Oups, j'ai lu rapidement les manips à réaliser et je m'aperçois que j'en ai pour un long moment de lecture...

donc avant de te répondre par OK, il me faut du temps et comme je suis en déplacement professionnel à
Lyon jusqu'à dimanche soir... la semaine prochaine sans aucun doute.


Mais encore mille fois merci pour ce beau morceau d'architecture :wink:

Dès que je trouve le temps, je te répond... mais à propos, un tel travail mérite un don, je m'occupe de tout ça dans une semaine
et si tu peux me mettre le lien où je peux verser mon obole je t'en seai reconnaissant (ça m'éviterai de chercher, fainéant ??!!! nan)

Merci encore à toi et à toute l'équipe de ce site qui fait réellement un excellent travail
Ange
 
Messages: 15
Inscription: 12 Nov 2007, 13:45
Localisation: Saint Brieuc

Messagede nickW » 27 Nov 2007, 00:41

nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Précédente

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 10 invités