rapports de lazaa

Thanos · le 20 août 2006

Salut tout le monde

Je poste les rapport de lazaa qui les a mis dans une autre discussion =>

Lazaa * hier à 19h20

Bonjour a tous,

Je remonte ce post car je suis confronté au meme probème thespyguard, qui n'as pas été résolu...

J'suis pas un pro de l'informatique loin de la, alors j'ai besoin de vous,

J'ai fais un rapport smitfraudfix ainsi que HijackThis mais pour moi c'est du chinois alors si quelqu'un pouvais m'aider a partir de ca,

sa serait super icon_smile.gif

Si il y a d'autres manip a faire pour m'aider a résoudre ce problème,

dites les moi (en les expliquants un minimum svp icon_confused.gif )

et je le ferais au plus vite pour j'espere me débarasser de ces m**des... icon_frown.gif

voici le rapport : icon_smile.gif

SmitFraudFix v2.53

Rapport fait à 19:18:41,11, 19/08/2006

Executé à partir de C:\Documents and Settings\trois\Bureau

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ot.ico PRESENT !

C:\WINDOWS\system32\ts.ico PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\trois\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\trois\Favoris

C:\DOCUME~1\trois\Favoris\Antivirus Test Online.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

********************************************************************************

*****

Logfile of HijackThis v1.99.1

Scan saved at 19:36:28, on 19/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Dassault Systemes\B15\intel_a\code\bin\CATSysDemon.exe

C:\Program Files\Borland\InterBase\bin\ibguard.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Borland\InterBase\bin\ibserver.exe

C:\WINDOWS\system32\ishost.exe

C:\WINDOWS\system32\isnotify.exe

C:\WINDOWS\system32\issearch.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\ismon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\DOCUME~1\trois\MESDOC~1\FNTS~1\dvdplay.exe

C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\?icrosoft\d?xplore.exe

C:\Documents and Settings\trois\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = kontsp:50

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {4DA6886B-3CF2-690B-DCAA-10637E6AD39B} - C:\WINDOWS\system32\xidlacjx.dll

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\Safety Bar.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [297a6a7.exe] C:\WINDOWS\system32\297a6a7.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Real Alternative\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ugm] C:\WINDOWS\?icrosoft\d?xplore.exe

O4 - HKCU\..\Run: [Nuur] "C:\DOCUME~1\trois\MESDOC~1\FNTS~1\dvdplay.exe" -vt mt

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.amaena.com

O15 - Trusted Zone: http://locator.cdn.imageservr.com

O15 - Trusted Zone: http://scanner.sysprotect.com

O15 - Trusted Zone: http://*.systemdoctor.com

O15 - Trusted Zone: http://www.winantivirus.com

O15 - Trusted Zone: http://www.winantiviruspro.com

O15 - Trusted Zone: http://download.cdn.winsoftware.com

O15 - Trusted IP range: http://202.67.220.225

O15 - Trusted IP range: http://59.148.220.121

O15 - Trusted IP range: http://62.4.84.53

O15 - Trusted IP range: http://82.98.235.58

O15 - Trusted IP range: http://85.12.25.90

O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://www.drivecleaner.com/.freeware/inst...leanerstart.cab

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs:

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Program Files\Dassault Systemes\B15\intel_a\code\bin\CATSysDemon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe

O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Bienvenue sur ce forum lazaa

Comme je te le disait par MP , il faut se créer son propre sujet , sinon il risque de passer inaperçu!

lorsque tu veux répondre , utilise le bouton "Répondre" qui se trouve entre "Flash" et "Nouveau" en bas de page .

Ton pc est bien infecté!par ailleurs je ne voit ni antivirus, ni parefeu sur ce pc!!(tu utilises ce lui intégré au SP2 j'imagine?)

Donc pour commencer, effectue cette procédure stp =>

Quelques liens pour t'aider à commencer dans l'utilisation de ce forum :

Comment participer à un forum

retrouver ses messages et activer la notification par email

Commence par appliquer cette procédure préliminaire. Un membre de l'Espace sécurité, un junior ou moi-même s'occupera alors de toi :

--------------------------------------------------------------------------------------------------------------------------

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire

Tu as deux possiblités pour consulter les instructions qui suivent:

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure

-Dans le champs"Type" en bas de page ,choisis: Page web complète

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

La procédure:

Phase 1

J'attire ton attention sur le paramétrage d'Antivir qui est important, et sur le placement de Hijackthis.exe

Télécharger la dernière version d'HijackThis//OU LA( en cas d'indisponibilité !)

Télécharge Antivir

Installe Antivir : Il est impératif de le configurer correctement afin de faire le meilleur scan possible ,
voir la procédure suivante (imprime la s'il le faut) => Tutoriel de tesgaz

PRECISIONS IMPORTANTES: le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure, a reposé sur les critères suivants :
- failles de votre antivirus qui a laissé passer des malwares
- Antivir peut-être installé et désinstallé facilement
- Antivir est reconnu pour son efficacité en mode sans échec
- le tutorial de tesgaz permet de le paramétrer sans problème.

Phase 2

Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapote immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisis "Mode sans échec" avec les flèches du clavier, puis valide avec "Entrée".

en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

A l'ouverture de session, choisis la session courante et non celle de l'administrateur

Affiche tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>

-Active la case : "Afficher les fichiers et dossiers cachés"
-Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
-Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
-Puis, clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

Phase 3

Nettoyage rapide du disque dur : Clique sur Démarrer / Exécuter / tape CleanMgr et valide

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel, comme indiqué ci-dessous.
Utilisateurs XP, assurez vous également de faire ceci => suppression de tous les fichiers contenus dans les dossiers=>
-C:\TEMP
-C:\WINDOWS\TEMP
-C:\Documents And Settings\Session utilisateur\Local Settings\Temp
-C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
-Vider la corbeille

Recherche et élimination des parasites avec Antivir=>
lance un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)
Sauvegarde le rapport!

Redémarre le PC en mode normal

Installation et utilisation d'HijackThis=>

Crée un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisis "nouveau dossier" et le nommer HijackThis); dézippe le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis.
Renomme Hijackthis.exe en [votre pseudo sur zebulon].exe (ne pas insérer d'espace, ponctuation ou de caractères accentués dans le nom) ; crée un raccourci sur le bureau.
Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

Arrête tous les programmes en cours et ferme toutes les fenêtres

Lance HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile"

Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (pense à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de tes rapports ex : HijackThis 1, HijackThis 2...)

NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.

Phase 4

- Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis colle le (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu créeras sur le forum [Analyse rapports HijackThis, Eradication malwares] de manière à ce que nous te disions ce qu'il faut faire. Puis fais de même avec le rapport antivir.

- Attends l'analyse et la réponse.

Note: étant donné que tu n'as pas d'antivirus sur le pc, conserve Antivir !!

A ceci (rapport hijackthis + rapport Antivir) je te demanderai ceci :

Elimine la version de Smitfraudfix que tu as sur le pc : elle est dépasée!

A nouveau télécharge Smitfraudfix => http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd

Dans le menu, sélectionne 1

Poste le rapport ici.

@+

Modifié le 20 août 2006 par charles ingals

Lazaa · le 20 août 2006

Merci d'avoir créé ce nouveau post pour moi,

je pensais bien faire en n'ouvrant pas 2 post sur le meme sujet

Donc, j'ai suivi toute la procédure décrite.

J'ai installer/paramétré/éxécuter Antivir ainsi que Spybot search and destroy

Depuis ça va déjà beaucoup mieux !!

Je n'ai plus de fenetre spyguard, etc qui s'ouvre incéssament

Cependant il arrive encore que certains pop-up apparraissent (genre casino..etc) alors qu'il ne proviennent pas des sites que je visite. (c'est arrivé que 2 fois donc apparement c'est moins méchant qu'avant)

Et aussi, a un moment, j'ai eu 47 pages IE (vide) qui se sont ouvertent d'un coup d'un seul.

Est ce du aux pages IE parasite qui sont bloqués par spybot ou autre et qui se seraient toutes ouverte d'un coup pour une raison inconnu ?

Dans l'ensemble je dois dire que je ne suis plus trop embeté depuis que j'ai suivi la procédure décrite,

cependant je met quand meme le nouveau rapport smitfraudfix (fait avec la nouvelle version) et Hijackthis,

Comme ca si il y a encore des trucs qui peuvent etre améliorer pour repartir sur des bases saines sa serait parfait

En effet j'ai mon PC depuis peu et je n'avais pas d'antivirus jusque maintenant...

juste un anti spyware gratuit qui ne résolvé pas mes pb...

et les quelques visite sur des sites de Torrents m'ont malheuresement contaminés...

mais c'est bon j'ai retenu la leçon, plus de site de DL lol

Voici les rapports :

SmitFraudFix v2.81

Rapport fait à 16:10:22,26, 20/08/2006

Executé à partir de C:\Documents and Settings\trois\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ishost.exe PRESENT !

C:\WINDOWS\system32\ismon.exe PRESENT !

C:\WINDOWS\system32\isnotify.exe PRESENT !

C:\WINDOWS\system32\issearch.exe PRESENT !

C:\WINDOWS\system32\ixt?.dll PRESENT !

C:\WINDOWS\system32\ixt??.dll PRESENT !

C:\WINDOWS\system32\ot.ico PRESENT !

C:\WINDOWS\system32\components\flx?.dll PRESENT !

C:\WINDOWS\system32\components\flx??.dll PRESENT !

C:\WINDOWS\system32\components\flx???.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\trois\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT !

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\trois\Favoris

C:\DOCUME~1\trois\Favoris\Antivirus Test Online.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Safety Bar\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

***********************************************************************

Logfile of HijackThis v1.99.1

Scan saved at 16:11:28, on 20/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Dassault Systemes\B15\intel_a\code\bin\CATSysDemon.exe

C:\Program Files\Borland\InterBase\bin\ibguard.exe

C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\issearch.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Borland\InterBase\bin\ibserver.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\?icrosoft\d?xplore.exe

C:\DOCUME~1\trois\MESDOC~1\FNTS~1\dvdplay.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Documents and Settings\trois\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = kontsp:50

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {4DA6886B-3CF2-690B-DCAA-10637E6AD39B} - C:\WINDOWS\system32\xidlacjx.dll

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\Safety Bar.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [297a6a7.exe] C:\WINDOWS\system32\297a6a7.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Real Alternative\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ugm] C:\WINDOWS\?icrosoft\d?xplore.exe

O4 - HKCU\..\Run: [Nuur] "C:\DOCUME~1\trois\MESDOC~1\FNTS~1\dvdplay.exe" -vt mt

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.amaena.com

O15 - Trusted Zone: http://locator.cdn.imageservr.com

O15 - Trusted Zone: http://scanner.sysprotect.com

O15 - Trusted Zone: http://*.systemdoctor.com

O15 - Trusted Zone: http://www.winantivirus.com

O15 - Trusted Zone: http://www.winantiviruspro.com

O15 - Trusted Zone: http://download.cdn.winsoftware.com

O15 - Trusted IP range: http://202.67.220.225

O15 - Trusted IP range: http://59.148.220.121

O15 - Trusted IP range: http://62.4.84.53

O15 - Trusted IP range: http://82.98.235.58

O15 - Trusted IP range: http://85.12.25.90

O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://www.drivecleaner.com/.freeware/inst...leanerstart.cab

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs:

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Program Files\Dassault Systemes\B15\intel_a\code\bin\CATSysDemon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe

O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

***********************************************************************

Voila, pour moi cela ne me parle pas, mais je pense et j'espère qu'avec les manips effectué ces rapports sont de meilleur augures que les 2 précédents...

Si il reste des choses a faire pour que tout ailles au mieux alors je vous écoute

Merci d'avance, c'est bien sympa de passer un peu de temps pour aidé tout ceux qui son en galère

a+++

Modifié le 20 août 2006 par Lazaa

Thanos · le 20 août 2006

salut

Le pc est encore infecté par Purityscan entre autres!

Et aussi, a un moment, j'ai eu 47 pages IE (vide) qui se sont ouvertent d'un coup d'un seul.
Est ce du aux pages IE parasite qui sont bloqués par spybot ou autre et qui se seraient toutes ouverte d'un coup pour une raison inconnu ?

Non, c'est l'action d'un malware qui fait bugger IE ! on va s'en occuper!

Un point important: stp désactive le Teatimer de Spybot le temps de la désinfection, car il risque de gêner les modifications qui vont être faites au niveau de la base de registre !

Fais ca en priorité stp!! Pour le désactiver, ouvre Spybot =>clique sur l'onglêt "Mode" et choisis "Avancé".

Clique sur le bouton "Outils" en bas à gauche de la fenêtre.

Clique sur "Résident".

Décoche la case "Résident tea timer" , puis quitte le programme. Tu ne dois plus voir l'incône du tea timer dans la barre des tâches après ca!

Après ca, tu attaques comme ceci =>

Tu as deux possiblités pour consulter les instructions qui suivent:

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure

-Dans le champs"Type" en bas de page ,choisis: Page web complète

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

La procédure:

Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/en/download/

Installe la et mets à jour.

Démarre Ewido avec l'icône qui se trouve sur ton Bureau.

Clique sur Update Now,

attend la fin de cette mise à jour,

puis ferme le programme.

-Télécharge ATF Cleaner by Atribune sur ton bureau.

- Télécharge chercher.zip sur ton bureau

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier va être créé , nommé "Chercher".

Étape 1:

* Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4DA6886B-3CF2-690B-DCAA-10637E6AD39B}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"297a6a7.exe"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ugm"=-
"Nuur"=-
[-HKEY_CURRENT_USER\software\purityscan]

[-HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\ClickFlag]

[-HKEY_USERS\.DEFAULT\Software\Ttee]

[-HKEY_CURRENT_USER\Software\Toos]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PuritySCAn]

[-HKEY_CURRENT_USER\Software\Aubt]

-Aller en haut de page et cliquer sur le menu"Fichier" , une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau"

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant: kill.reg

-Dans le champs"Type" en bas de page ,choisis: "tous les fichiers"

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitter le Bloc Notes. ne clique pas sur le fichier maintenant!

=>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer:

si ce n'est pas le cas,reprends les informations ci dessus et recommence!

Étape 2:

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

Étape 3:

Passe par démarrer=> exécuter et tapes copie/colle ceci :

regsvr32 /u C:\WINDOWS\system32\xidlacjx.dll

Un message t'avertit que ca a réussi.

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = kontsp:50

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {4DA6886B-3CF2-690B-DCAA-10637E6AD39B} - C:\WINDOWS\system32\xidlacjx.dll

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\Safety Bar.dll

O4 - HKLM\..\Run: [297a6a7.exe] C:\WINDOWS\system32\297a6a7.exe

O4 - HKCU\..\Run: [ugm] C:\WINDOWS\?icrosoft\d?xplore.exe

O4 - HKCU\..\Run: [Nuur] "C:\DOCUME~1\trois\MESDOC~1\FNTS~1\dvdplay.exe" -vt mt

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O15 - Trusted Zone: http://www.amaena.com

O15 - Trusted Zone: http://locator.cdn.imageservr.com

O15 - Trusted Zone: http://scanner.sysprotect.com

O15 - Trusted Zone: http://*.systemdoctor.com

O15 - Trusted Zone: http://www.winantivirus.com

O15 - Trusted Zone: http://www.winantiviruspro.com

O15 - Trusted Zone: http://download.cdn.winsoftware.com

O15 - Trusted IP range: http://202.67.220.225

O15 - Trusted IP range: http://59.148.220.121

O15 - Trusted IP range: http://62.4.84.53

O15 - Trusted IP range: http://82.98.235.58

O15 - Trusted IP range: http://85.12.25.90

O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://www.drivecleaner.com/.freeware/inst...leanerstart.cab

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O20 - AppInit_DLLs:

-Ferme tous les programmes et clique sur "Fix Checked"

Étape 4:

Relance SmitfraudFix.cmd

Dans le menu, sélectionne 2

Une fois son travail terminé, au message "entrez votre choix" , choisis 3.

Quitte le programme.

Étape 5:

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

*Supprime les fichiers en grasdans C:\WINDOWS\System32:

C:\WINDOWS\system32\xidlacjx.dll

C:\WINDOWS\system32\297a6a7.exe

*Supprime les dossiers en gras:

C:\WINDOWS\?icrosoft

C:\Documents and Settings\trois\Mes Documents\FNTS~1

*Double clique sur le fichier kill.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

*Vide la corbeille.

Étape 6:

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

-Coche la case suivante:"select all"

-Clique sur Empty Selected et au message "Done Cleaning" sur Ok

* Relance Ewido et clique sur Scanner

Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

Étape 7:

Redémarre normalement et poste =>

-Le rapport SmitfraudFix (option 2)

-Le rapport d'Ewido.

-Un nouveau rapport hijackthis.

-Lance chercher.cmd comme ceci =>

Ouvre le dossier chercher sur ton bureau et double-clique sur chercher.cmd
Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande
Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
A nouveau menu Edition / copier
Dans un nouveau message ici, faire un clic droit / coller

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire

Allez courage

Modifié le 20 août 2006 par charles ingals

Lazaa · le 21 août 2006

Alors, pendant la manip je n'ai pas trouvé le fichier "C:\WINDOWS\system32\297a6a7.exe"

meme une recherche pour etre sur n'as rien donné.

De meme pour la ligne du scan hijackthis :

"O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

Elle n'y figuré plus apres avoir desactivé le teatimer de spybot.

J'ai été jusqu'au bout quand meme,

j'espere que sa aura fonctionné malgres les qqs erreurs que j'ai pu faire,

si il faut je recommencerai...

En effet j'ai oublié de lancé kill.reg avant de faire le premier rapport ewido

Donc je vais mettre le rapport quand meme, ensuite j'ai lancé eet supprimé kill.reg

et j'ai recommencé un nouveau Scan Ewido, je met donc aussi le deuxieme rapport Ewido...

Voici les rapports Smitfraudfix / Hijack this / Ewido 1 / Ewido 2 / chercher.cmd :

SmitFraudFix v2.81

Rapport fait à 13:46:42,87, 21/08/2006

Executé à partir de C:\Documents and Settings\trois\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\trois\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\trois\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

***************************************************************

Logfile of HijackThis v1.99.1

Scan saved at 13:47:33, on 21/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Dassault Systemes\B15\intel_a\code\bin\CATSysDemon.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Borland\InterBase\bin\ibguard.exe

C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Borland\InterBase\bin\ibserver.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Real Alternative\Update_OB\realsched.exe

C:\Program Files\Real Alternative\Update_OB\rnathchk.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\CyberLink\PowerDVD\PowerDVD.exe