[OK] Nouvelle demande de secours- Merci _ qwerty

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] Nouvelle demande de secours- Merci _ qwerty

Messagede qwerty » 20 Mar 2008, 23:48

Bonjour,
J'ai, suite à des téléchargements bêtes et imprudents, de nouveau infesté mon ordinateur.
J'ai bien réalisé la PAD. 2 fois de suite. Cependant, à la fin de la manoeuvre, l'état semble inchangé: nombreux popups incontrolables, spam, ordinateur ralenti, et AVG spyware dit "detecter le virus lop"
Je vous transmet donc Hijack2.text et nav1.txt, dans l'espoir d'une aide secourable.
Merci encore.

PS: J'ai rempli mon 'profil config', mais il n'est guère informatif.


Hijack2.text
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:21:19, on 20/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
F:\PROGRA~1\Grisoft\AVG7\avgemc.exe
F:\Program Files\Bonjour\mDNSResponder.exe
F:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
F:\Program Files\QuickTime\qttask.exe
F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
F:\Program Files\Winamp\winampa.exe
F:\PROGRA~1\Grisoft\AVG7\avgcc.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
F:\WINDOWS\system32\Rundll32.exe
F:\Program Files\Messenger\MSMSGS.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\installs\Sécurité\assisteforum\GiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7B5F11F5-B82F-49DC-9188-5983D7243C4A} - (no file)
O2 - BHO: (no name) - {CC2F66C8-F21C-4DA4-A613-B466CB01AF16} - F:\WINDOWS\system32\ddabc.dll
O2 - BHO: (no name) - {F06897A7-6594-4D78-B728-34FC4A3F350D} - F:\WINDOWS\system32\geede.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [WinampAgent] "F:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [BMef3ef7d3] Rundll32.exe "F:\WINDOWS\system32\dvecwrxu.dll",s
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] F:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/ka ... nicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 8085129781
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - F:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - F:\WINDOWS\System32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - F:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - F:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - F:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - F:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service COM de gravure de CD IMAPI (ImapiService) - Unknown owner - F:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - F:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - F:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - F:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - F:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - F:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - F:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - F:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - F:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 8603 bytes


navi1.text
Search Navipromo version 3.5.0 commencé le 20/03/2008 à 23:23:11,81

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spéblurpte !!!

Outil exécuté depuis F:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans F:\WINDOWS ***



*** Recherche dossiers dans F:\Program Files ***



*** Recherche dossiers dans F:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "F:\Documents and Settings\Administrateur\applic~1" ***



*** Recherche dossiers dans "F:\Documents and Settings\Administrateur\locals~1\applic~1" ***



*** Recherche dossiers dans "F:\Documents and Settings\Administrateur\menudm~1\progra~1" ***


*** Recherche dossiers dans F:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans F:\WINDOWS\system32 *

* Recherche dans "F:\Documents and Settings\Administrateur\locals~1\applic~1" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans F:\WINDOWS\system32 :


* Dans "F:\Documents and Settings\Administrateur\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !

4)Recherche fichiers connus :

F:\WINDOWS\system32\cbadd.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
F:\WINDOWS\system32\edeeg.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 20/03/2008 à 23:31:51,48 ***

[/b]
qwerty
 
Messages: 24
Inscription: 26 Mai 2007, 23:25

Messagede nickW » 24 Mar 2008, 00:48

Bonsoir,

Toujours aucun pare-feu!


Tu as utilisé une version bêta obsolète de HijackThis.
Il faut la désinstaller, puis:
HijackThis (de TrendMicro), installation
Télécharger HijackThis de TrendMicro depuis la page:
http://www.trendsecure.com/portal/en-US ... e=download
Cliquer sur le lien: Download HijackThis Installer
Enregistrer ce fichier sur le Bureau.

Fermer absolument toutes les applications, les connexions et les navigateurs.
Lancer l'installation par un double clic sur HJTInstall.exe
Si elle s'affiche, lire et accepter la licence (cliquer sur le bouton I Accept)

Fermer HijackThis.



Premiers nettoyages:


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet, et des redémarrages sont possibles).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.



Étape 1: Pas de processus de contrôle en temps réel
Désactiver TeaTimer de Spybot-S&D.
Dans la SysBarre (zone située juste à gauche de l'horloge) faire un clic droit sur l'icône du Résident de Spybot-S&D et choisir "Quitter Résident de Spybot-S&D".
Lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer. Fermer Spybot-S&D.
Faire redémarrer le PC.
Note:
Il ne faut pas réactiver TeaTimer avant la fin du nettoyage du PC (je te dirai quand et comment le faire).


Étape 2: Ccleaner
Lancer le programme.
Dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 3: Deckard's System Scanner (DSS) (de Deckard)
Télécharger Deckard's System Scanner (DSS) depuis http://deckard.geekstogo.com/dss.exe
Enregistrer ce fichier sur le Bureau.


Étape 4: VundoFix (de Atribune)
Télécharger VundoFix.exe depuis:
http://www.atribune.org/ccount/click.php?id=4
Enregistrer le fichier sur le Bureau.
Fermer tous les programmes: il va y avoir arrêt du PC.
Lancer le programme en faisant un double clic sur VundoFix.exe
Cliquer sur le bouton Scan for Vundo Image
Lorsque le balayage (scan) est terminé, cliquer sur le bouton Fix Vundo Image
S'il y a infection, cliquer sur Yes sur l'invite de demande de suppression de fichiers
Le Bureau va disparaître un moment lors de la suppression des fichiers
Une fenêtre annonce que le PC va redémarrer: cliquer sur OK

Note:
Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer.
Si tel est le cas, l'outil se lancera au prochain redémarrage. Il faut simplement suivre les instructions ci-dessus, à partir de "Cliquer sur le bouton Scan for Vundo".



Étape 5: Deckard's System Scanner (DSS) (de Deckard)
Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 6: Résultats
Envoyer en réponse:
*- le rapport de VundoFix (contenu du fichier C:\vundofix.txt)

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier C:\Deckard\System Scanner).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede qwerty » 24 Mar 2008, 13:34

Bonjour, et merci pour la réponse.

voici donc vundofix.txt:
VundoFix V7.0.3

Scan started at 22:55:20 17/03/2008

Listing files found while scanning....

No infected files were found.


VundoFix V7.0.3

Scan started at 20:44:34 18/03/2008

Listing files found while scanning....

No infected files were found.


VundoFix V7.0.3

Scan started at 00:22:18 20/03/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V7.0.3

Scan started at 13:04:20 24/03/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

qwerty
 
Messages: 24
Inscription: 26 Mai 2007, 23:25

Messagede qwerty » 24 Mar 2008, 13:36

main.txt
Deckard's System Scanner v20071014.68
Run by Administrateur on 2008-03-24 13:26:55
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 4 Restore Point(s) --
4: 2008-03-24 12:27:09 UTC - RP273 - Deckard's System Scanner Restore Point
3: 2008-03-22 15:43:54 UTC - RP272 - Point de vérification système
2: 2008-03-18 19:10:30 UTC - RP271 - Opération de restauration
1: 2008-03-17 19:48:39 UTC - RP270 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.

Percentage of Memory in Use: 76% (more than 75%).
System Drive F: has 1.79 GiB (less than 15%) free.


-- HijackThis (run as Administrateur.exe) --------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:27:59, on 24/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
F:\Program Files\QuickTime\qttask.exe
F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
F:\Program Files\Winamp\winampa.exe
F:\PROGRA~1\Grisoft\AVG7\avgcc.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
F:\WINDOWS\system32\Rundll32.exe
F:\Program Files\Messenger\MSMSGS.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
F:\PROGRA~1\Grisoft\AVG7\avgemc.exe
F:\Program Files\Bonjour\mDNSResponder.exe
F:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\Documents and Settings\Administrateur\Bureau\dss.exe
F:\PROGRA~1\TRENDM~1\HIJACK~1\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {751A2538-0EF2-4750-AEC5-77228A670BA8} - F:\WINDOWS\system32\ddabc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7B5F11F5-B82F-49DC-9188-5983D7243C4A} - (no file)
O2 - BHO: (no name) - {F06897A7-6594-4D78-B728-34FC4A3F350D} - F:\WINDOWS\system32\geede.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [WinampAgent] "F:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [BMef3ef7d3] Rundll32.exe "F:\WINDOWS\system32\uygskdax.dll",s
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] F:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/ka ... nicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 8085129781
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - F:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - F:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

--
End of file - 6929 bytes

-- HijackThis Fixed Entries (F:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------

backup-20070826-032215-169 O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

-- File Associations -----------------------------------------------------------

.js - jsfile - DefaultIcon - "F:\Program Files\Adobe\Adobe Dreamweaver CS3\Dreamweaver.exe",7
.js - jsfile - shell\open\command - "F:\Program Files\Adobe\Adobe Dreamweaver CS3\Dreamweaver.exe","%1"


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R3 Pfc (Padus ASPI Shell) - f:\windows\system32\drivers\pfc.sys <Not>

S3 catchme - f:\docume~1\admini~1\locals~1\temp\catchme.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 Bonjour Service (##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##) - "f:\program files\bonjour\mdnsresponder.exe" <Not>

S3 FLEXnet Licensing Service - "f:\program files\fichiers communs\macrovision shared\flexnet publisher\fnplicensingservice.exe" <Not>
S3 NBService - f:\program files\nero\nero 7\nero backitup\nbservice.exe


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Contrôleur RAID
Device ID: PCI\VEN_1095&DEV_3114&SUBSYS_81361043&REV_02\4&22775069&0&6070
Manufacturer:
Name: Contrôleur RAID
PNP Device ID: PCI\VEN_1095&DEV_3114&SUBSYS_81361043&REV_02\4&22775069&0&6070
Service:


-- Files created between 2008-02-24 and 2008-03-24 -----------------------------

2008-03-24 12:22:52 91200 --a------ F:\WINDOWS\system32\uygskdax.dll
2008-03-23 00:17:38 92224 --a------ F:\WINDOWS\system32\pyecagbg.dll
2008-03-22 00:17:37 91712 --a------ F:\WINDOWS\system32\xbruqkgt.dll
2008-03-21 00:17:58 89664 --a------ F:\WINDOWS\system32\tytblirj.dll
2008-03-20 23:21:46 0 d-------- F:\Program Files\Navilog1
2008-03-19 22:50:12 0 d-------- F:\Documents and Settings\Administrateur\.housecall6.6
2008-03-19 00:11:20 0 d-------- F:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-03-19 00:11:17 0 d-------- F:\WINDOWS\system32\Kaspersky Lab
2008-03-18 23:58:10 0 d-------- F:\WINDOWS\CSC
2008-03-18 21:41:07 0 d-------- F:\Documents and Settings\Administrateur\Application Data\Grisoft
2008-03-18 21:13:14 2880 --a------ F:\WINDOWS\system32\tmp.reg
2008-03-18 21:12:19 25600 --a------ F:\WINDOWS\system32\WS2Fix.exe
2008-03-18 21:12:19 289144 --a------ F:\WINDOWS\system32\VCCLSID.exe <Not>
2008-03-18 21:12:19 86528 --a------ F:\WINDOWS\system32\VACFix.exe <Not>
2008-03-18 21:12:19 288417 --a------ F:\WINDOWS\system32\SrchSTS.exe <Not>
2008-03-18 21:12:19 82432 --a------ F:\WINDOWS\system32\IEDFix.exe <Not>
2008-03-18 21:12:19 51200 --a------ F:\WINDOWS\system32\dumphive.exe
2008-03-18 20:44:34 0 d-------- F:\VundoFix Backups
2008-03-18 20:41:22 0 dr-h----- F:\Documents and Settings\Administrateur\Recent
2008-03-18 20:36:00 0 d-------- F:\Program Files\CCleaner
2008-03-16 15:35:27 691545 --a------ F:\WINDOWS\unins000.exe
2008-03-15 20:30:07 98368 --a------ F:\WINDOWS\system32\xnabqjfw.dll
2008-03-15 20:29:27 189303 --ahs---- F:\WINDOWS\system32\cbadd.ini2
2008-03-15 20:29:26 298496 --a------ F:\WINDOWS\system32\ddabc.dll
2008-03-15 19:26:59 98368 --a------ F:\WINDOWS\system32\nscdkafj.dll
2008-03-11 19:14:35 0 d-------- F:\Program Files\Bonjour
2008-03-11 18:55:47 0 d-------- F:\Program Files\Fichiers communs\Macrovision Shared
2008-03-10 21:10:02 42496 --a------ F:\WINDOWS\system32\wvuvwxy.dll
2008-03-10 21:00:21 192937 --a------ F:\WINDOWS\system32\edeeg.ini2
2008-03-10 20:56:53 42496 --a------ F:\WINDOWS\system32\awtsppm.dll


-- Find3M Report ---------------------------------------------------------------

2008-03-23 13:14:53 0 d-------- F:\Program Files\Mozilla Thunderbird
2008-03-19 21:37:41 0 d-------- F:\Documents and Settings\Administrateur\Application Data\AVG7
2008-03-17 01:07:14 0 d-------- F:\Program Files\eMule
2008-03-16 22:09:09 0 d-------- F:\Documents and Settings\Administrateur\Application Data\Help
2008-03-15 23:24:11 0 d-------- F:\Program Files\Fichiers communs\Adobe
2008-03-12 00:22:55 0 d-------- F:\Documents and Settings\Administrateur\Application Data\FileZilla
2008-03-11 19:35:26 0 d-------- F:\Documents and Settings\Administrateur\Application Data\Adobe
2008-03-11 18:55:47 0 d-------- F:\Program Files\Fichiers communs
2008-03-11 13:08:34 0 d-------- F:\Program Files\Fichiers communs\Macromedia
2008-03-10 22:36:45 0 d-------- F:\Documents and Settings\Administrateur\Application Data\Macromedia
2008-03-06 19:23:38 0 d-------- F:\Program Files\Java
2008-02-23 15:13:58 0 d-------- F:\Program Files\Agent
2008-02-20 23:24:13 0 d-------- F:\Program Files\FileZilla Client
2008-02-10 03:02:04 0 d-------- F:\Documents and Settings\Administrateur\Application Data\foobar2000
2008-02-07 22:26:31 0 d-------- F:\Program Files\Orbitdownloader
2008-02-07 22:21:03 0 d-------- F:\Program Files\Easy Video Downloader
2008-02-07 22:19:15 0 d-------- F:\Documents and Settings\Administrateur\Application Data\Orbit
2008-02-07 20:35:02 0 d-------- F:\Program Files\FDRLab
2008-02-03 17:27:34 0 d--h----- F:\Program Files\InstallShield Installation Information
2008-02-02 20:12:11 60416 --a------ F:\WINDOWS\ALCFDRTM.EXE <Not>
2008-01-30 23:51:51 0 d-------- F:\Documents and Settings\Administrateur\Application Data\Thunderbird


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{751A2538-0EF2-4750-AEC5-77228A670BA8}]
15/03/2008 20:29 298496 --a------ F:\WINDOWS\system32\ddabc.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7B5F11F5-B82F-49DC-9188-5983D7243C4A}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F06897A7-6594-4D78-B728-34FC4A3F350D}]
F:\WINDOWS\system32\geede.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [26/10/2004 20:10]
"SunJavaUpdateSched"="F:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [22/02/2008 04:25]
"QuickTime Task"="F:\Program Files\QuickTime\qttask.exe" [11/09/2007 20:45]
"NeroFilterCheck"="F:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [12/01/2006 14:40]
"EPSON Stylus C46 Series"="F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.exe" [13/01/2004 19:00]
"WinampAgent"="F:\Program Files\Winamp\winampa.exe" [15/01/2008 23:54]
"AVG7_CC"="F:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [03/02/2008 03:35]
"Adobe Reader Speed Launcher"="F:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/01/2008 22:16]
"!AVG Anti-Spyware"="F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [11/06/2007 10:25]
"BMef3ef7d3"="F:\WINDOWS\system32\uygskdax.dll" [24/03/2008 12:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="F:\Program Files\Messenger\MSMSGS.exe" [13/10/2004 17:24]
"ctfmon.exe"="F:\WINDOWS\system32\ctfmon.exe" [20/08/2004 00:09]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [16/11/2006 18:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 F:\WINDOWS\system32\ddabc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
Auto\command- rfyvjfcke.exe
AutoRun\command- F:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL rfyvjfcke.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
Auto\command- rfyvjfcke.exe
AutoRun\command- F:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL rfyvjfcke.exe




-- End of Deckard's System Scanner: finished at 2008-03-24 13:28:40 ------------


qwerty
 
Messages: 24
Inscription: 26 Mai 2007, 23:25

Messagede qwerty » 24 Mar 2008, 13:41

et extra.txt

A propos de firewalls... la question est probablement niaise, mais n'y a t'il pas un firewall intégré dans windows xp lui-même? Ne vaut-il rien?

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professionnel (build 2600) SP 2.0
Architecture: X86; Language: French

CPU 0: AMD Athlon(tm) 64 Processor 2800+
Percentage of Memory in Use: 73%
Physical Memory (total/avail): 511.3 MiB / 134.93 MiB
Pagefile Memory (total/avail): 1246.41 MiB / 844.06 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1930.92 MiB

A: is Removable (No Media)
C: is Fixed (FAT32) - 6.82 GiB total, 6.64 GiB free.
D: is Fixed (NTFS) - 74.53 GiB total, 22.61 GiB free.
E: is Fixed (FAT32) - 9.53 GiB total, 3.28 GiB free.
F: is Fixed (NTFS) - 30.43 GiB total, 1.79 GiB free.
G: is CDROM (No Media)
H: is CDROM (No Media)
I: is Fixed (NTFS) - 149.05 GiB total, 58.78 GiB free.

\\.\PHYSICALDRIVE1 - FUJITSU MPF3102AT - 9.54 GiB - 1 partition
\PARTITION0 (bootable) - Unknown - 9.54 GiB - E:

\\.\PHYSICALDRIVE2 - SAMSUNG HD160HJ - 149.05 GiB - 1 partition
\PARTITION0 - Gestionnaire de disque logique - 149.05 GiB - I:

\\.\PHYSICALDRIVE0 - WDC WD400BB-00DKA0 - 37.27 GiB - 2 partitions
\PARTITION0 (bootable) - Unknown - 6.83 GiB - C:
\PARTITION1 - Étendu avec Inter. 13 étendue - 30.43 GiB - F:

\\.\PHYSICALDRIVE3 - WDC WD80 0BB-22JHA0 USB Device - 74.53 GiB - 1 partition
\PARTITION0 (bootable) - Système de fichiers installable - 74.53 GiB - D:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is enabled.

FW: Pare Feu AVG 7.5.500 v7.5.500 (@Company_Name) Disabled
AV: AVG 7.5.519 v7.5.519 (Grisoft)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"F:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="F:\\Program Files\\Grisoft\\AVG7\\avginet.exe:*:Enabled:avginet.exe"
"F:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="F:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"F:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="F:\\Program Files\\Grisoft\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe"
"F:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"="F:\\Program Files\\Grisoft\\AVG7\\avgemc.exe:*:Enabled:avgemc.exe"
"F:\\Program Files\\eMule\\emule.exe"="F:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"F:\\Program Files\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"="F:\\Program Files\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe:*:Enabled:Adobe Dreamweaver CS3"


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=F:\Documents and Settings\All Users
APPDATA=F:\Documents and Settings\Administrateur\Application Data
CLIENTNAME=Console
CommonProgramFiles=F:\Program Files\Fichiers communs
COMPUTERNAME=MAISON-DPZLRV7O
ComSpec=F:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=F:
HOMEPATH=\Documents and Settings\Administrateur
LOGONSERVER=\\MAISON-DPZLRV7O
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=F:\WINDOWS\system32;F:\WINDOWS;F:\WINDOWS\System32\Wbem;F:\Program Files\ATI Technologies\ATI Control Panel
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 4 Stepping 10, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=040a
ProgramFiles=F:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=F:
SystemRoot=F:\WINDOWS
TEMP=F:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
TMP=F:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
USERDOMAIN=MAISON-DPZLRV7O
USERNAME=Administrateur
USERPROFILE=F:\Documents and Settings\Administrateur
windir=F:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Administrateur (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> F:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
--> F:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
--> F:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
--> F:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
--> F:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
--> F:\WINDOWS\UNNeroVision.exe /UNINSTALL
--> F:\WINDOWS\UNRecode.exe /UNINSTALL
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 F:\WINDOWS\INF\PCHealth.inf
Adobe Anchor Service CS3 --> MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3 --> MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3 --> MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting --> MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe Camera Raw 4.0 --> MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps --> MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Default Language CS3 --> MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3 --> MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe Dreamweaver CS3 --> F:\Program Files\Fichiers communs\Adobe\Installers\ad19d2ae8332572b119cf35fd0a30d8\Setup.exe
Adobe Dreamweaver CS3 --> MsiExec.exe /I{4BDB76C6-902E-41D5-9064-68768E02886B}
Adobe ExtendScript Toolkit 2 --> MsiExec.exe /I{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}
Adobe Extension Manager CS3 --> MsiExec.exe /I{BE5F3842-8309-4754-92D5-83E02E6077A3}
Adobe Fireworks CS3 --> F:\Program Files\Fichiers communs\Adobe\Installers\ba9815ac58164aa9fea0bd903e9fe83\Setup.exe
Adobe Fireworks CS3 --> MsiExec.exe /I{21C4D775-368A-46C4-8DC3-4207165B7115}
Adobe Flash Player Plugin --> F:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Help Viewer CS3 --> MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe PDF Library Files --> MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Reader 8.1.2 - Français --> MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}
Adobe Setup --> MsiExec.exe /I{D2E18162-47FB-4216-8AB3-F420C1AF75A4}
Adobe Setup --> MsiExec.exe /I{F73A5E2B-FC9D-4E80-82CB-B7B167C5DED7}
Adobe Type Support --> MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3 --> MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client --> MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe XMP Panels CS3 --> MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}
Allok Video Joiner 2.0.4 --> "F:\Program Files\Allok Video Joiner\unins000.exe"
Allok Video Splitter 2.2.0 --> "F:\Program Files\Allok Video Splitter\unins000.exe"
Archiveur WinRAR --> F:\Program Files\WinRAR\uninstall.exe
ATI - Utilitaire de désinstallation du logiciel --> F:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Control Panel --> RunDll32 F:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "F:\Program Files\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver --> rundll32 F:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
AVG 7.5 --> F:\Program Files\Grisoft\AVG7\setup.exe /UNINSTALL
AVG Anti-Spyware 7.5 --> F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\Uninstall.exe
CCleaner (remove only) --> "F:\Program Files\CCleaner\uninst.exe"
Correctif pour Lecteur Windows Media 11 (KB939683) --> "F:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB914440) --> "F:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Correctif Windows XP - KB873339 --> F:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Correctif Windows XP - KB885835 --> F:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Correctif Windows XP - KB885836 --> F:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Correctif Windows XP - KB886185 --> F:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Correctif Windows XP - KB887472 --> F:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Correctif Windows XP - KB888302 --> F:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Correctif Windows XP - KB890859 --> "F:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Correctif Windows XP - KB891781 --> F:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Creative DVD Audio Plugin for Audigy Series --> "F:\Program Files\Creative\CTDPlugin\CTUIDVD.exe " -u
dBpowerAMP Music Converter --> "F:\WINDOWS\system32\SpoonUninstall.exe" <uninstall>F:\WINDOWS\system32\SpoonUninstall-dBpowerAMP Music Converter.dat
DivX Codec --> F:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Content Uploader --> F:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Converter --> F:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player --> F:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player --> F:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Easy Video Downloader v. 1.5 --> "F:\Program Files\Easy Video Downloader\unins000.exe"
eMule --> "F:\Program Files\eMule\Uninstall.exe"
EPSON Logiciel imprimante --> F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
Express Burn --> F:\Program Files\NCH Swift Sound\ExpressBurn\uninst.exe
FileZilla Client 3.0.7.1 --> F:\Program Files\FileZilla Client\uninstall.exe
foobar2000 v0.9.4.2 --> "F:\Program Files\foobar2000\uninstall.exe"
Forté Agent --> F:\PROGRA~1\Agent\UNWISE.EXE F:\PROGRA~1\Agent\INSTALL.LOG
Free Mp3 Wma Converter V 1.6.3 --> "F:\Program Files\Free Audio Pack\unins000.exe"
HijackThis 2.0.2 --> "F:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399) --> "F:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
InterVideo Installer --> "F:\Program Files\InterVideo\Installer\IVIUninstaller.exe" "F:\Program Files\InterVideo\Installer"
InterVideo WinDVD 5 --> "F:\Program Files\InstallShield Installation Information\{1B399A41-C1D0-40A2-9E4F-095868EFAF01}\setup.exe" REMOVEALL
InterVideo WinDVD Creator 2 --> "F:\Program Files\InstallShield Installation Information\{2FCE4FC5-6930-40E7-A4F1-F862207424EF}\setup.exe" REMOVEALL
InterVideo WinRip --> RunDll32 F:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "F:\Program Files\InstallShield Installation Information\{D32D4182-DE6C-457E-838C-8D7B9CE332BA}\setup.exe" REMOVEALL
Java(TM) 6 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Kaspersky Online Scanner --> F:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
Microsoft Compression Client Pack 1.0 for Windows XP --> "F:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office Standard Edition 2003 --> MsiExec.exe /I{9012040C-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "F:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB911564) --> "F:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782) --> "F:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398) --> "F:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 8 (KB917734) --> "F:\WINDOWS\$NtUninstallKB917734_WMP8$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB911565) --> "F:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782) --> "F:\WINDOWS\$NtUninstallKB936782_WMP9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB890046) --> "F:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB893756) --> "F:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896358) --> "F:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896423) --> "F:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896424) --> "F:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB896428) --> "F:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB899587) --> "F:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB899589) --> "F:\WINDOWS\$NtUninstallKB899589$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB899591) --> "F:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB900725) --> "F:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB901017) --> "F:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB901214) --> "F:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB902400) --> "F:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB904706) --> "F:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB905414) --> "F:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB905749) --> "F:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB908519) --> "F:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB911562) --> "F:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB911927) --> "F:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB912919) --> "F:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB913580) --> "F:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB914388) --> "F:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB914389) --> "F:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917344) --> "F:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917422) --> "F:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB917953) --> "F:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB918118) --> "F:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB919007) --> "F:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB920213) --> "F:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB920670) --> "F:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB920683) --> "F:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB920685) --> "F:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB921398) --> "F:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB921503) --> "F:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB921883) --> "F:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB922616) --> "F:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB922819) --> "F:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923191) --> "F:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923414) --> "F:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923689) --> "F:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923789) --> F:\WINDOWS\system32\MacroMed\Flash\genuinst.exe F:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB923980) --> "F:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB924191) --> "F:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB924270) --> "F:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB924496) --> "F:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB924667) --> "F:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB925902) --> "F:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB926255) --> "F:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB926436) --> "F:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB927779) --> "F:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB927802) --> "F:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB928255) --> "F:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB928843) --> "F:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB929123) --> "F:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB930178) --> "F:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB931261) --> "F:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB931784) --> "F:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB932168) --> "F:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB933729) --> "F:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB935839) --> "F:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB935840) --> "F:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB936021) --> "F:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB937143) --> "F:\WINDOWS\$NtUninstallKB937143$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB937894) --> "F:\WINDOWS\$NtUninstallKB937894$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938127) --> "F:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938829) --> "F:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB939653) --> "F:\WINDOWS\$NtUninstallKB939653$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941202) --> "F:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941568) --> "F:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569) --> "F:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941644) --> "F:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB942615) --> "F:\WINDOWS\$NtUninstallKB942615$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB943055) --> "F:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB943460) --> "F:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB943485) --> "F:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB944653) --> "F:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946026) --> "F:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB898461) --> "F:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB900485) --> "F:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB904942) --> "F:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB908531) --> "F:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB910437) --> "F:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB911280) --> "F:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB916595) --> "F:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB920872) --> "F:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB922582) --> "F:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB927891) --> "F:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB930916) --> "F:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB933360) --> "F:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB938828) --> "F:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB942763) --> "F:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB942840) --> "F:\WINDOWS\$NtUninstallKB942840$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB946627) --> "F:\WINDOWS\$NtUninstallKB946627$\spuninst\spuninst.exe"
Monkey's Audio --> "F:\Program Files\Monkey's Audio\unins000.exe"
Mozilla Firefox (2.0.0.12) --> F:\PROGRA~1\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (1.5.0.14) --> F:\PROGRA~1\MOZILL~2\uninstall\uninstall.exe /ua "1.5.0.14 (fr)"
Navilog1 3.5.0 --> "F:\Program Files\Navilog1\unins000.exe"
Nero 7 Ultra Edition --> MsiExec.exe /I{4908C75E-E5E2-43F7-B1DF-023CBA831036}
NVIDIA Drivers --> F:\WINDOWS\System32\NVUNINST.EXE UninstallGUI
Power MP3 Cutter Joiner 1.11 --> "F:\Program Files\Sagasoft\Power MP3 Cutter Joiner\unins000.exe"
QuickTime --> F:\WINDOWS\unvise32qt.exe F:\WINDOWS\system32\QuickTime\Uninstall.log
Real Alternative 1.52 --> "F:\Program Files\Real Alternative\unins000.exe"
Realtek AC'97 Audio --> RunDll32 F:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "F:\Program Files\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
Slice Uninstall --> F:\Program Files\NCH Swift Sound\Slice\uninst.exe
SoundTap --> F:\Program Files\NCH Swift Sound\SoundTap\uninst.exe
Spybot - Search & Destroy --> "F:\Program Files\Spybot - Search & Destroy\unins001.exe"
Spybot - Search & Destroy 1.5.2.20 --> "F:\WINDOWS\unins000.exe"
Switch --> F:\Program Files\NCH Swift Sound\Switch\uninst.exe
VideoLAN VLC media player 0.8.5-freehd --> F:\Program Files\VideoLAN\VLC\uninstall.exe
Winamp --> "F:\Program Files\Winamp\UninstWA.exe"
Windows Media Format 11 runtime --> "F:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"


-- Application Event Log -------------------------------------------------------

Event Record #/Type2128 / Error
Event Submitted/Written: 03/23/2008 01:42:26 PM
Event ID/Source: 1000 / Application Error
Event Description:
Application défaillante firefox.exe, version 1.8.20080.20121, module défaillant js3250.dll, version 4.0.0.0, adresse de défaillance 0x00002fa8.
Traitement de l'événement propre au support pour [firefox.exe!ws!]

Event Record #/Type2122 / Error
Event Submitted/Written: 03/23/2008 00:18:04 AM
Event ID/Source: 1000 / Application Error
Event Description:
Application défaillante firefox.exe, version 1.8.20080.20121, module défaillant unknown, version 0.0.0.0, adresse de défaillance 0x011f140a.
Traitement de l'événement propre au support pour [firefox.exe!ws!]

Event Record #/Type2109 / Error
Event Submitted/Written: 03/22/2008 00:18:18 AM
Event ID/Source: 1000 / Application Error
Event Description:
Application défaillante firefox.exe, version 1.8.20080.20121, module défaillant unknown, version 0.0.0.0, adresse de défaillance 0x01f415aa.
Traitement de l'événement propre au support pour [firefox.exe!ws!]

Event Record #/Type2088 / Error
Event Submitted/Written: 03/19/2008 09:41:25 PM
Event ID/Source: 1000 / Application Error
Event Description:
Application défaillante firefox.exe, version 1.8.20080.20121, module défaillant unknown, version 0.0.0.0, adresse de défaillance 0x0334140a.
Traitement de l'événement propre au support pour [firefox.exe!ws!]

Event Record #/Type2076 / Error
Event Submitted/Written: 03/18/2008 11:50:55 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Application bloquée TeaTimer.exe, version 1.5.2.16, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type10094 / Error
Event Submitted/Written: 03/20/2008 08:54:09 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger :
AFD
AVG Anti-Spyware Driver
Avg7Core
Avg7RsW
Avg7RsXP
Fips
IPSec
MRxSmb
NetBIOS
NetBT
Processor
RasAcd
Rdbss
Tcpip

Event Record #/Type10093 / Error
Event Submitted/Written: 03/20/2008 08:54:09 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Le service Services IPSEC dépend du service Pilote IPSEC qui n'a pas pu démarrer en raison de l'erreur :
%%31

Event Record #/Type10092 / Error
Event Submitted/Written: 03/20/2008 08:54:09 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Le service ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## dépend du service Pilote du protocole TCP/IP qui n'a pas pu démarrer en raison de l'erreur :
%%31

Event Record #/Type10091 / Error
Event Submitted/Written: 03/20/2008 08:54:09 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Le service Assistance TCP/IP NetBIOS dépend du service Environnement de prise en charge de réseau AFD qui n'a pas pu démarrer en raison de l'erreur :
%%31

Event Record #/Type10090 / Error
Event Submitted/Written: 03/20/2008 08:54:09 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Le service Client DNS dépend du service Pilote du protocole TCP/IP qui n'a pas pu démarrer en raison de l'erreur :
%%31



-- End of Deckard's System Scanner: finished at 2008-03-24 13:28:40 ------------


qwerty
 
Messages: 24
Inscription: 26 Mai 2007, 23:25

Messagede nickW » 24 Mar 2008, 21:19

Bonsoir,

Premiers nettoyages:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet et il y aura des redémarrages).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.



Étape 1: The Avenger (de Swandog46), téléchargement
Télécharger The Avenger en cliquant sur ce lien: http://swandog46.geekstogo.com/avenger2/download.php
Enregistrer ce fichier sur le Bureau.
Extraire de l'archive avenger.zip le fichier avenger.exe et le placer sur le Bureau.


Étape 2: Création du fichier aven1.txt
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Dans le Bloc-notes, vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sur le Bureau sous le nom de aven1.txt

Code: Tout sélectionner
Begin copying here:
Files to delete:
F:\WINDOWS\system32\uygskdax.dll
F:\WINDOWS\system32\pyecagbg.dll
F:\WINDOWS\system32\xbruqkgt.dll
F:\WINDOWS\system32\tytblirj.dll
F:\WINDOWS\system32\xnabqjfw.dll
F:\WINDOWS\system32\cbadd.ini2
F:\WINDOWS\system32\ddabc.dll
F:\WINDOWS\system32\nscdkafj.dll
F:\WINDOWS\system32\wvuvwxy.dll
F:\WINDOWS\system32\edeeg.ini2
F:\WINDOWS\system32\awtsppm.dll
F:\WINDOWS\system32\rfyvjfcke.exe

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{751A2538-0EF2-4750-AEC5-77228A670BA8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7B5F11F5-B82F-49DC-9188-5983D7243C4A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F06897A7-6594-4D78-B728-34FC4A3F350D}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | BMef3ef7d3


Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 3: The Avenger (de Swandog46), exécution
Fermer toutes les fenêtres de programme (il va y avoir redémarrage du PC).
Lancer The Avenger en cliquant sur son icône située sur le Bureau.
Cliquer sur OK sur le message d'avertissement.
Cliquer sur l'icône Image représentant un dossier jaune.

Il y a ouverture d'une nouvelle fenêtre "Open script file"
Dans cette fenêtre, naviguer jusqu'au Bureau et sélectionner (double clic) le fichier aven1.txt

Le contenu du fichier aven1.txt doit s'afficher dans la zone blanche (sous "Input script here:").

Ensuite cliquer sur le bouton Image "Execute" pour lancer l'exécution du script.

Cliquer sur "Oui" deux fois quand demandé (fenêtres "Confirm execution" et "First step completed").
Il va y avoir un ou deux redémarrages (avec une brève apparition d'une fenêtre de commande à fond noir).
En fin d'exécution, le rapport s'affichera dans le Bloc-notes.
Fermer le Bloc-notes.


Étape 4: Deckard's System Scanner (DSS) (de Deckard)
Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 5: Résultats
Envoyer en réponse:
*- le rapport de The Avenger (contenu du fichier C:\avenger.txt)
*- le rapport principal de Deckard's System Scanner (contenu du fichier main.txt situé dans le dossier C:\Deckard\System Scanner).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede qwerty » 24 Mar 2008, 22:16

Bonsoir Nickw. Voici avenger.txt
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Mar 24 22:01:21 2008

22:01:11: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
22:01:14: Error: Invalid registry syntax in command:
"HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "F:\WINDOWS\system32\uygskdax.dll" deleted successfully.
File "F:\WINDOWS\system32\pyecagbg.dll" deleted successfully.
File "F:\WINDOWS\system32\xbruqkgt.dll" deleted successfully.
File "F:\WINDOWS\system32\tytblirj.dll" deleted successfully.
File "F:\WINDOWS\system32\xnabqjfw.dll" deleted successfully.
File "F:\WINDOWS\system32\cbadd.ini2" deleted successfully.
File "F:\WINDOWS\system32\ddabc.dll" deleted successfully.
File "F:\WINDOWS\system32\nscdkafj.dll" deleted successfully.
File "F:\WINDOWS\system32\wvuvwxy.dll" deleted successfully.
File "F:\WINDOWS\system32\edeeg.ini2" deleted successfully.
File "F:\WINDOWS\system32\awtsppm.dll" deleted successfully.

Error: file "F:\WINDOWS\system32\rfyvjfcke.exe" not found!
Deletion of file "F:\WINDOWS\system32\rfyvjfcke.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{751A2538-0EF2-4750-AEC5-77228A670BA8}" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{751A2538-0EF2-4750-AEC5-77228A670BA8}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7B5F11F5-B82F-49DC-9188-5983D7243C4A}" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F06897A7-6594-4D78-B728-34FC4A3F350D}" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|BMef3ef7d3" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



et main.txt
Deckard's System Scanner v20071014.68
Run by Administrateur on 2008-03-24 22:12:22
Computer is in Normal Mode.
--------------------------------------------------------------------------------

System Drive F: has 1.79 GiB (less than 15%) free.


-- HijackThis (run as Administrateur.exe) --------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:12:23, on 24/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
F:\Program Files\QuickTime\qttask.exe
F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
F:\Program Files\Winamp\winampa.exe
F:\PROGRA~1\Grisoft\AVG7\avgcc.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
F:\Program Files\Messenger\MSMSGS.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
F:\PROGRA~1\Grisoft\AVG7\avgemc.exe
F:\Program Files\Bonjour\mDNSResponder.exe
F:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\Documents and Settings\Administrateur\Bureau\dss.exe
F:\PROGRA~1\TRENDM~1\HIJACK~1\ADMINI~1.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {BA6C3488-6178-4422-821E-771D3590699C} - F:\WINDOWS\system32\ddabc.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [WinampAgent] "F:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] F:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/ka ... nicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 8085129781
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - F:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - F:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

--
End of file - 6639 bytes

-- Files created between 2008-02-24 and 2008-03-24 -----------------------------

2008-03-20 23:21:46 0 d-------- F:\Program Files\Navilog1
2008-03-19 22:50:12 0 d-------- F:\Documents and Settings\Administrateur\.housecall6.6
2008-03-19 00:11:20 0 d-------- F:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-03-19 00:11:17 0 d-------- F:\WINDOWS\system32\Kaspersky Lab
2008-03-18 23:58:10 0 d-------- F:\WINDOWS\CSC
2008-03-18 21:41:07 0 d-------- F:\Documents and Settings\Administrateur\Application Data\Grisoft
2008-03-18 21:13:14 2880 --a------ F:\WINDOWS\system32\tmp.reg
2008-03-18 21:12:19 25600 --a------ F:\WINDOWS\system32\WS2Fix.exe
2008-03-18 21:12:19 289144 --a------ F:\WINDOWS\system32\VCCLSID.exe <Not>
2008-03-18 21:12:19 86528 --a------ F:\WINDOWS\system32\VACFix.exe <Not>
2008-03-18 21:12:19 288417 --a------ F:\WINDOWS\system32\SrchSTS.exe <Not>
2008-03-18 21:12:19 82432 --a------ F:\WINDOWS\system32\IEDFix.exe <Not>
2008-03-18 21:12:19 51200 --a------ F:\WINDOWS\system32\dumphive.exe
2008-03-18 20:44:34 0 d-------- F:\VundoFix Backups
2008-03-18 20:41:22 0 dr-h----- F:\Documents and Settings\Administrateur\Recent
2008-03-18 20:36:00 0 d-------- F:\Program Files\CCleaner
2008-03-16 15:35:27 691545 --a------ F:\WINDOWS\unins000.exe
2008-03-11 19:14:35 0 d-------- F:\Program Files\Bonjour
2008-03-11 18:55:47 0 d-------- F:\Program Files\Fichiers communs\Macrovision Shared


-- Find3M Report ---------------------------------------------------------------

2008-03-24 18:29:38 0 d-------- F:\Program Files\Mozilla Thunderbird
2008-03-19 21:37:41 0 d-------- F:\Documents and Settings\Administrateur\Application Data\AVG7
2008-03-17 01:07:14 0 d-------- F:\Program Files\eMule
2008-03-16 22:09:09 0 d-------- F:\Documents and Settings\Administrateur\Application Data\Help
2008-03-15 23:24:11 0 d-------- F:\Program Files\Fichiers communs\Adobe
2008-03-12 00:22:55 0 d-------- F:\Documents and Settings\Administrateur\Application Data\FileZilla
2008-03-11 19:35:26 0 d-------- F:\Documents and Settings\Administrateur\Application Data\Adobe
2008-03-11 18:55:47 0 d-------- F:\Program Files\Fichiers communs
2008-03-11 13:08:34 0 d-------- F:\Program Files\Fichiers communs\Macromedia
2008-03-10 22:36:45 0 d-------- F:\Documents and Settings\Administrateur\Application Data\Macromedia
2008-03-06 19:23:38 0 d-------- F:\Program Files\Java
2008-02-23 15:13:58 0 d-------- F:\Program Files\Agent
2008-02-20 23:24:13 0 d-------- F:\Program Files\FileZilla Client
2008-02-10 03:02:04 0 d-------- F:\Documents and Settings\Administrateur\Application Data\foobar2000
2008-02-07 22:26:31 0 d-------- F:\Program Files\Orbitdownloader
2008-02-07 22:21:03 0 d-------- F:\Program Files\Easy Video Downloader
2008-02-07 22:19:15 0 d-------- F:\Documents and Settings\Administrateur\Application Data\Orbit
2008-02-07 20:35:02 0 d-------- F:\Program Files\FDRLab
2008-02-03 17:27:34 0 d--h----- F:\Program Files\InstallShield Installation Information
2008-02-02 20:12:11 60416 --a------ F:\WINDOWS\ALCFDRTM.EXE <Not>
2008-01-30 23:51:51 0 d-------- F:\Documents and Settings\Administrateur\Application Data\Thunderbird


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BA6C3488-6178-4422-821E-771D3590699C}]
F:\WINDOWS\system32\ddabc.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [26/10/2004 20:10]
"SunJavaUpdateSched"="F:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [22/02/2008 04:25]
"QuickTime Task"="F:\Program Files\QuickTime\qttask.exe" [11/09/2007 20:45]
"NeroFilterCheck"="F:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [12/01/2006 14:40]
"EPSON Stylus C46 Series"="F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.exe" [13/01/2004 19:00]
"WinampAgent"="F:\Program Files\Winamp\winampa.exe" [15/01/2008 23:54]
"AVG7_CC"="F:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [03/02/2008 03:35]
"Adobe Reader Speed Launcher"="F:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/01/2008 22:16]
"!AVG Anti-Spyware"="F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [11/06/2007 10:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="F:\Program Files\Messenger\MSMSGS.exe" [13/10/2004 17:24]
"ctfmon.exe"="F:\WINDOWS\system32\ctfmon.exe" [20/08/2004 00:09]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [16/11/2006 18:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 F:\WINDOWS\system32\ddabc.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
Auto\command- rfyvjfcke.exe
AutoRun\command- F:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL rfyvjfcke.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
Auto\command- rfyvjfcke.exe
AutoRun\command- F:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL rfyvjfcke.exe

-- End of Deckard's System Scanner: finished at 2008-03-24 22:12:45 ------------
qwerty
 
Messages: 24
Inscription: 26 Mai 2007, 23:25

Messagede nickW » 25 Mar 2008, 00:49

Re-Bonsoir,

Nouvelles petites manips:


Étape 1: Création du fichier reparlsa.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom de reparlsa.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00



Fermer le Bloc-notes.


Étape 2: Utilisation du fichier reparlsa.reg
Faire un clic droit sur reparlsa.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 3: HijackThis
Fermer toutes les fenêtres de programme. Pas d'Internet Explorer ouvert.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" ou "Scan"
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", puis cliquer sur le bouton "Back".
Cocher la case située devant la ligne ci-dessous, puis cliquer sur Fix checked:
(si cette ligne est absente, le signaler en réponse, après la fin de l'ensemble des étapes).

O2 - BHO: (no name) - {BA6C3488-6178-4422-821E-771D3590699C} - F:\WINDOWS\system32\ddabc.dll (file missing)

Fermer HijackThis.


Question subsidiaire:

Comment se comporte le PC?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede qwerty » 25 Mar 2008, 21:55

La ligne 02-BH0.... était bien présente.

Mon PC semble fonctionner à présent normalement. Vitesse normale, plus de pub trash, plus d'évenements et arrêts intempestifs, etc...
Merci 1000 fois.
qwerty
 
Messages: 24
Inscription: 26 Mai 2007, 23:25

Messagede nickW » 26 Mar 2008, 01:17

Bonsoir,

Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires à appliquer:

ImageUn conseil important:
Il faut créer un nouveau point de restauration système.
Après nettoyage du PC, il faut vider les fichiers stockés dans les dossiers de la Restauration système, puis créer un nouveau point de restauration qui sera utilisable en cas de problème.
Méthode:
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
Explications détaillées:
http://assiste.com.free.fr/p/comment/co ... ation.html


ImageUn conseil important:
Il faut installer un vrai pare-feu.
Voir ICI et ICI.
Penser à désactiver complètement celui de Windows XP (y compris dans les services).


ImageUn conseil important:
Proscrire l'utilisation de P2P illicite!
eMule est l'antithèse de la sécurité (© Jim Rakoto).


ImageUn conseil:
Il est possible de supprimer le fichier reparlsa.reg
Il est possible de supprimer VundoFix (fichier téléchargé VundoFix.exe, dossier des sauvegardes C:\VundoFix Backups, et fichier rapport C:\vundofix.txt).
Il est possible de supprimer The Avenger (fichier téléchargé avenger.zip, exécutable avenger.exe, fichier(s) de travail aven*.txt et fichier rapport C:\avenger.txt).
Note: The Avenger a également sauvegardé les modifications qu'il a effectuées dans le fichier archive C:\avenger\backup.zip. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer cette archive.
Il est possible de supprimer Deckard's System Scanner (fichier téléchargé dss.exe).
Note: Le dossier C:\Deckard\System Scanner contient des sauvegardes. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer ce dossier.


ImageUn conseil:
Réactiver TeaTimer de Spybot-S&D selon la méthode ci-dessous:
  • Supprimer tous les clichés du Registre créés par TeaTimer de Spybot-S&D
    Selon l'OS, aller avec l'Explorateur Windows jusqu'au dossier:
    * Windows 95/98
    C:\Windows\Application Data\Spybot - Search & Destroy\Snapshots2
    * Windows ME
    C:\Windows\All Users\Application Data\Spybot - Search & Destroy\Snapshots2
    * Windows NT/2000/XP
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2
    * Windows Vista
    C:\ProgramData\Spybot - Search & Destroy\Snapshots2
    Mettre dans une archive (fichier .zip) tous les fichiers qui s'y trouvent pour les sauvegarder, puis supprimer tous ces fichiers (ne conserver que l'archive de sauvegarde).
  • Re-lancer TeaTimer de Spybot-S&D.
    Aller avec l'Explorateur Windows jusqu'au dossier C:\Program Files\Spybot - Search & Destroy.
    Faire un double clic sur TeaTimer.exe pour le lancer.
  • Arrêter TeaTimer de Spybot-S&D de façon à enregistrer de nouveaux clichés du Registre.
    Dans la barre système (à coté de l'horloge), faire un clic droit sur l'icône de Résident de Spybot-SD puis choisir Quitter Résident de Spybot-S&D.
    Lors de cette procédure d'arrêt, il y a sauvegarde des clichés du Registre créés par TeaTimer de Spybot-S&D.
  • Re-lancer TeaTimer de Spybot-S&D.
    Aller avec l'Explorateur Windows jusqu'au dossier C:\Program Files\Spybot - Search & Destroy.
    Faire un double clic sur TeaTimer.exe pour le lancer.
  • Réactiver le lancement automatique de TeaTimer.
    Lancer Spybot-S&D, Mode avancé, Outils, Résident, cocher la case située devant TeaTimer. Fermer Spybot-S&D.



Voilì, voilò, voilà.

Salut,

PS: Une bonne habitude à prendre:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 22 invités