probleme de virus

dadoux · le 24 septembre 2007

bonjour,voila j'ai un virus qui a infecter mon msn ,je n'arriver pas a le supprimer (anti-virus avast)

quelqu'un pourrait-il m'aider ....

merci,

jolas · le 24 septembre 2007

dadoux a dit :
bonjour,voila j'ai un virus qui a infecter mon msn ,je n'arriver pas a le supprimer (anti-virus avast)
quelqu'un pourrait-il m'aider ....

merci,

bonjour

telecharge spybot search & destroy et lance le puis laisse le faire

voila ciao

Natasha · le 24 septembre 2007

jolas a dit :
bonjour
telecharge spybot search & destroy et lance le puis laisse le faire

voila ciao

Bonsoir

Spybot ne fait pas l anti virus il lui faut juste passer la methode decrite icihttp://forum.zebulon.fr/index.php?showtopic=83986

Bon courage

Natasha

dadoux · le 25 septembre 2007

Natasha a dit :
Bonsoir

Spybot ne fait pas l anti virus il lui faut juste passer la methode decrite icihttp://forum.zebulon.fr/index.php?showtopic=83986

Bon courage

Natasha

voila le rapport

Logfile of HijackThis v1.99.1

Scan saved at 13:23:25, on 25/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\service32.exe

C:\WINDOWS\snet32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Documents and Settings\mariano\Application Data\Microsoft\Windows\gstfbue.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe

C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\mIRC\mirc.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Documents and Settings\mariano\Bureau\djbot\mirc.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\mariano\LOCALS~1\Temp\Rar$EX00.343\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMult.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {a6ec7b6a-5bdf-4e82-8ae9-732eb3e030bb} - C:\WINDOWS\system32\c_9FRA.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMult.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp27.tmp.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Multi_Media toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMult.dll

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [DNSE] "C:\Program Files\Fichiers communs\SystemDoctor\DNSE.exe" -c

O4 - HKLM\..\Run: [DC6V_Check] "C:\Program Files\Fichiers communs\SystemDoctor\usdrdc.exe"

O4 - HKLM\..\Run: [MDRV_Check] "C:\Program Files\Fichiers communs\SystemDoctor\usdrmdr.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000373.exe 61A847B5BBF72810329B385575FA01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310

O4 - HKLM\..\Run: [salestart] "C:\Program Files\Fichiers communs\WinAntiVirus Pro 2007\mav_startupmon.exe"

O4 - HKLM\..\Run: [systemOptimizer] rundll32.exe "C:\WINDOWS\vtrqpn.dll",forkonce

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ReJf5vH] C:\Documents and Settings\mariano\Application Data\Microsoft\Windows\gstfbue.exe

O4 - HKCU\..\Run: [uwa7pcw] "C:\Program Files\Fichiers communs\WinAntiVirus Pro 2007\uwa7pcw.exe" -c

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [surfAccuracy] C:\Documents and Settings\mariano\Application Data\SurfAccuracy\SAcc.exe

O4 - HKCU\..\Run: [supervisor.exe] C:\WINDOWS\supervisor.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jin...ows-i586-jc.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register3.valueactive.com/323/webolr/OCX/FlashAX.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F38EB86C-2C0A-4041-A474-C62D5A175F22}: NameServer = 217.175.160.11 217.175.160.12

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: c:\windows\system32\awvvsqn.dll

O20 - Winlogon Notify: c_9FRA - c_9FRA.dll (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: Version3 - {856F2F0A-265C-4E5E-B33C-6D04C51492ED} - direct3dx.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

merci de m'aider,

eclypse · le 25 septembre 2007

Salut

Tu as mis les pieds dans le plat xD

Bon jre avec ce qu'il te faut

eclypse · le 25 septembre 2007

Salut

Reouvre hijackthis et coche

Citation
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {a6ec7b6a-5bdf-4e82-8ae9-732eb3e030bb} - C:\WINDOWS\system32\c_9FRA.dll (file missing)

O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp27.tmp.dll

O4 - HKLM\..\Run: [DNSE] "C:\Program Files\Fichiers communs\SystemDoctor\DNSE.exe" -c

O4 - HKLM\..\Run: [DC6V_Check] "C:\Program Files\Fichiers communs\SystemDoctor\usdrdc.exe"

O4 - HKLM\..\Run: [MDRV_Check] "C:\Program Files\Fichiers communs\SystemDoctor\usdrmdr.exe"

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000373.exe 61A847B5BBF72810329B385575FA01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310

O4 - HKLM\..\Run: [salestart] "C:\Program Files\Fichiers communs\WinAntiVirus Pro 2007\mav_startupmon.exe"

O4 - HKLM\..\Run: [systemOptimizer] rundll32.exe "C:\WINDOWS\vtrqpn.dll",forkonce

O4 - HKCU\..\Run: [ReJf5vH] C:\Documents and Settings\mariano\Application Data\Microsoft\Windows\gstfbue.exe

O4 - HKCU\..\Run: [uwa7pcw] "C:\Program Files\Fichiers communs\WinAntiVirus Pro 2007\uwa7pcw.exe" -c

O4 - HKCU\..\Run: [surfAccuracy] C:\Documents and Settings\mariano\Application Data\SurfAccuracy\SAcc.exe

O4 - HKCU\..\Run: [supervisor.exe] C:\WINDOWS\supervisor.exe

016 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register3.valueactive.com/323/webolr/OCX/FlashAX.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F38EB86C-2C0A-4041-A474-C62D5A175F22}: NameServer = 217.175.160.11 217.175.160.12

O20 - AppInit_DLLs: c:\windows\system32\awvvsqn.dll

O20 - Winlogon Notify: c_9FRA - c_9FRA.dll (file missing)

O21 - SSODL: Version3 - {856F2F0A-265C-4E5E-B33C-6D04C51492ED} - direct3dx.dll (file missing)

Clique sur fix checked

2°) Procedure

BTFix (Bibi26)

Télécharge BTFix de Bibi26.

Dézippe l'archive sur ton Bureau.
Ouvre le dossier BTFix.
Double-clique sur BTFix.exe.
Clique sur Rechercher.
Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

LopxpMH2

Télécharge LopxpMH2.zip sur ton bureau.

Décompresse le en faisant un clic droit puis Extraire ici
Double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir.

SmitFraudFix (S!Ri)

Télécharge SmitFraudFix de "S!Ri"

Décompresse la totalité de l'archive sur ton bureau.
Double-clique sur smitfraudfix.cmd
Sélectionne "1" dans le menu pour créer un rapport des fichiers responsables de l'infection.
Sauvegarde ce rapport et postes-le

Citation
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

idem pour clean de malekal,avec pskill.exe,remove.reg

Clean (Malekal_morte)

Télécharge clean de Malekal_morte sur ton bureau.

Décompresse le, sur ton bureau par exemple.
Un nouveau dossier chercher va être créé clean.
Ouvre le et double-clique sur clean.
Cela va ouvrir une fenêtre noire. Un menu va apparaître, choisis l'option 1.
L'analyse va commencer, cela peut durer quelques minutes, Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.

VirtuMondoBeGone ()

Télécharges VirtuMondoBeGone (de ...) :

Execute-le puis clique sur continue puis sur start
Le soft t'indique qu'il redemarrera ton système s'il trouve une infection, répondre alors sur OUI

VundoFix (Atribune)

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

Double-clique VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est complété, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; cliques OK
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

@+

dadoux · le 26 septembre 2007

eclypse a dit :
Salut

Reouvre hijackthis et coche

Clique sur fix checked

2°) Procedure

BTFix (Bibi26)

Télécharge BTFix de Bibi26.

Dézippe l'archive sur ton Bureau.

Ouvre le dossier BTFix.

Double-clique sur BTFix.exe.

Clique sur Rechercher.

Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

LopxpMH2

Télécharge LopxpMH2.zip sur ton bureau.

Décompresse le en faisant un clic droit puis Extraire ici

Double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir.

SmitFraudFix (S!Ri)

Télécharge SmitFraudFix de "S!Ri"

Décompresse la totalité de l'archive sur ton bureau.

Double-clique sur smitfraudfix.cmd

Sélectionne "1" dans le menu pour créer un rapport des fichiers responsables de l'infection.

Sauvegarde ce rapport et postes-le

Clean (Malekal_morte)

Télécharge clean de Malekal_morte sur ton bureau.

Décompresse le, sur ton bureau par exemple.

Un nouveau dossier chercher va être créé clean.

Ouvre le et double-clique sur clean.

Cela va ouvrir une fenêtre noire. Un menu va apparaître, choisis l'option 1.

L'analyse va commencer, cela peut durer quelques minutes, Clean va travailler.

Un rapport Va etre généré, colle le contenu entier ici.

VirtuMondoBeGone ()

Télécharges VirtuMondoBeGone (de ...) :

Execute-le puis clique sur continue puis sur start

Le soft t'indique qu'il redemarrera ton système s'il trouve une infection, répondre alors sur OUI

VundoFix (Atribune)

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

Double-clique VundoFix.exe afin de le lancer

Clique sur le bouton Scan for Vundo

Lorsque le scan est complété, clique sur le bouton Remove Vundo

Une invite te demandera si tu veux supprimer les fichiers, clique YES

Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

Tu verras une invite qui t'annonce que ton PC va redémarrer; cliques OK

Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

@+

bon voila ,

BTFix 1.046 (par bibi26) - 27/09/2007 00:59:42 - Analyse

---> Fichiers/Dossiers trouvés

- [Heuristique] C:\Documents and Settings\mariano\Application Data\Microsoft\Windows\gstfbue.exe

- C:\Program Files\YourSiteBar

- C:\Program Files\AskPBar

- C:\Documents and Settings\mariano\Application Data\SurfAccuracy

---> Analyse terminée

ensuite,

Rapport lopxpMH2 version 2.0 fait à 0:31:52,39 le 27/09/2007

C:\Documents and Settings\mariano\Mes documents\enregistrement

******************************************

## Répertoires Application Data

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\Documents and Settings\Administrateur\Application Data

09/08/2007 09:14 <REP> .

09/08/2007 09:14 <REP> ..

09/08/2007 09:14 <REP> Microsoft

09/08/2007 09:17 <REP> WinAntiVirus Pro 2007

09/08/2007 09:14 62 desktop.ini

1 fichier(s) 62 octets

4 Rép(s) 11 336 773 632 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

09/08/2007 09:14 <REP> .

09/08/2007 09:14 <REP> ..

09/08/2007 09:14 <REP> Microsoft

09/08/2007 09:18 2 656 656 IconCache.db

1 fichier(s) 2 656 656 octets

3 Rép(s) 11 336 769 536 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\Documents and Settings\All Users\Application Data

08/07/2007 13:57 <REP> .

08/07/2007 13:57 <REP> ..

20/07/2007 17:18 <REP> Base Loud Dart Move

12/07/2007 15:25 <REP> Google

08/07/2007 13:57 <REP> Microsoft

20/07/2007 17:17 <REP> Move Bore Curb Tool

01/08/2007 20:23 <REP> Mozilla

09/08/2007 08:50 <REP> SalesMonitor

21/07/2007 16:34 <REP> Sony

23/07/2007 23:01 <REP> SystemDoctor Free

09/08/2007 08:50 <REP> WinAntiVirus Pro 2007

09/07/2007 21:11 <REP> Windows Genuine Advantage

20/07/2007 16:19 <REP> Windows Live Toolbar

08/07/2007 13:58 62 desktop.ini

1 fichier(s) 62 octets

13 Rép(s) 11 336 769 536 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\Documents and Settings\Default User\Application Data

08/07/2007 13:57 <REP> .

08/07/2007 13:57 <REP> ..

08/07/2007 13:57 <REP> Microsoft

08/07/2007 13:58 62 desktop.ini

1 fichier(s) 62 octets

3 Rép(s) 11 336 769 536 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

08/07/2007 13:58 <REP> .

08/07/2007 13:58 <REP> ..

09/07/2007 17:09 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 11 336 769 536 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\Documents and Settings\LocalService\Application Data

09/07/2007 17:27 <REP> .

09/07/2007 17:27 <REP> ..

09/07/2007 17:27 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 11 336 769 536 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

09/07/2007 17:27 <REP> .

09/07/2007 17:27 <REP> ..

09/07/2007 17:27 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 11 336 769 536 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\Documents and Settings\mariano\Application Data

09/07/2007 17:29 <REP> .

09/07/2007 17:29 <REP> ..

12/07/2007 15:25 <REP> Google

07/08/2007 11:23 <REP> Help

09/07/2007 17:29 <REP> Identities

09/07/2007 18:25 <REP> Macromedia

13/08/2007 12:32 <REP> MessengerSkinner

09/07/2007 17:29 <REP> Microsoft

01/08/2007 20:24 <REP> Mozilla

15/09/2007 20:12 <REP> MSNInstaller

20/07/2007 00:04 <REP> NetMedia Providers

20/07/2007 00:04 <REP> Publish Providers

24/07/2007 10:04 <REP> Real

20/07/2007 00:04 <REP> Sonic Foundry

21/07/2007 16:34 <REP> Sony

21/07/2007 16:13 <REP> Sony Setup

13/08/2007 19:44 <REP> Sun

09/08/2007 08:32 <REP> SurfAccuracy

01/08/2007 20:24 <REP> Talkback

10/08/2007 19:37 <REP> VirusGarde

25/07/2007 18:27 <REP> vlc

23/08/2007 19:53 <REP> WinRAR

09/07/2007 17:29 62 desktop.ini

09/08/2007 10:10 124 499 tmp18.tmp.exe

09/08/2007 10:10 79 536 tmp19.tmp.exe

09/08/2007 10:10 79 536 tmp1A.tmp.exe

10/08/2007 10:11 124 649 tmp1D.tmp.exe

10/08/2007 18:16 79 576 tmp1E.tmp.exe

10/08/2007 18:16 79 576 tmp1F.tmp.exe

10/08/2007 19:11 124 649 tmp26.tmp.exe

10/08/2007 19:11 79 576 tmp27.tmp.exe

9 fichier(s) 771 659 octets

22 Rép(s) 11 336 765 440 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\Documents and Settings\mariano\Local Settings\Application Data

09/07/2007 17:29 <REP> .

09/07/2007 17:29 <REP> ..

12/07/2007 15:25 <REP> Google

07/08/2007 11:23 <REP> Help

11/07/2007 11:55 <REP> Identities

09/07/2007 17:29 <REP> Microsoft

13/08/2007 14:37 <REP> Multi_Media

21/07/2007 16:38 <REP> Sony

09/07/2007 17:49 12 712 GDIPFONTCACHEV1.DAT

28/07/2007 18:36 3 766 726 IconCache.db

2 fichier(s) 3 779 438 octets

8 Rép(s) 11 336 765 440 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\Documents and Settings\NetworkService\Application Data

09/07/2007 17:27 <REP> .

09/07/2007 17:27 <REP> ..

09/07/2007 17:27 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 11 336 765 440 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

09/07/2007 17:27 <REP> .

09/07/2007 17:27 <REP> ..

09/07/2007 17:27 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 11 336 765 440 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

09/07/2007 17:25 <REP> .

09/07/2007 17:25 <REP> ..

09/07/2007 17:25 <REP> Microsoft

09/07/2007 17:25 62 desktop.ini

1 fichier(s) 62 octets

3 Rép(s) 11 336 765 440 octets libres

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

09/07/2007 17:25 <REP> .

09/07/2007 17:25 <REP> ..

09/07/2007 17:25 <REP> Microsoft

0 fichier(s) 0 octets

3 Rép(s) 11 336 765 440 octets libres

******************************************

Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\Vérifier

Vérifier inexploitable

******************************************

## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle Disque local

Le numéro de série du volume est 5836-B93D

Répertoire de C:\Program Files

25/09/2007 12:15 <REP> .

25/09/2007 12:15 <REP> ..

10/08/2007 21:18 <REP> Alwil Software

10/08/2007 21:00 <REP> AskPBar

28/07/2007 12:00 <REP> AVSMedia

09/07/2007 17:44 <REP> BeWAN ADSL V1.9.0.10

10/08/2007 20:56 <REP> BitDownload

09/07/2007 17:06 <REP> ComPlus Applications

01/08/2007 20:21 <REP> DivX

25/09/2007 20:14 <REP> eMule

13/08/2007 19:38 <REP> Fichiers communs

09/08/2007 08:29 <REP> freebird

26/07/2007 10:05 <REP> GameSpy Arcade

31/07/2007 10:13 <REP> Google

15/08/2007 15:47 <REP> InetGet2

12/07/2007 08:52 <REP> Intel

10/09/2007 03:01 <REP> Internet Explorer

13/08/2007 19:43 <REP> Java

09/08/2007 08:35 <REP> LimeWire Turbo Accelerator

11/07/2007 03:17 <REP> Messenger

23/09/2007 08:25 <REP> Messenger Plus! Live

28/08/2007 20:12 <REP> MessengerSkinner

09/07/2007 17:09 <REP> microsoft frontpage

21/07/2007 16:35 <REP> Microsoft SQL Server

26/09/2007 20:30 <REP> mIRC

09/07/2007 17:06 <REP> Movie Maker

01/08/2007 23:43 <REP> Mozilla Firefox

23/09/2007 08:26 <REP> MSN

09/07/2007 17:05 <REP> MSN Gaming Zone

25/09/2007 12:15 <REP> MSN Messenger

23/09/2007 15:52 <REP> MSXML 4.0

13/08/2007 14:37 <REP> Multi_Media

09/07/2007 17:07 <REP> NetMeeting

09/07/2007 17:05 <REP> Online Services

09/07/2007 23:22 <REP> OOL

25/08/2007 03:19 <REP> Outlook Express

25/09/2007 03:44 <REP> PDG 4

25/07/2007 18:27 <REP> PhotoFiltre

24/07/2007 10:04 <REP> Real

09/07/2007 17:08 <REP> Services en ligne

20/07/2007 00:02 <REP> Sonic Foundry

20/07/2007 00:01 <REP> Sonic Foundry Setup

21/07/2007 16:33 <REP> Sony

21/07/2007 16:13 <REP> Sony Setup

15/07/2007 11:38 <REP> SuperCopier

15/07/2007 11:38 <REP> SuperCopier2

07/08/2007 19:28 <REP> Synaptics

09/07/2007 17:49 <REP> Trend Micro

12/07/2007 08:45 <REP> VIAudioi

25/07/2007 18:26 <REP> VideoLAN

15/09/2007 15:12 <REP> VirtualDJ

21/07/2007 16:33 <REP> Vstplugins

30/08/2007 13:27 <REP> WIDCOMM

20/07/2007 16:21 <REP> Windows Live Favorites

20/07/2007 16:21 <REP> Windows Live Toolbar

14/09/2007 04:25 <REP> Windows Media Player

09/07/2007 17:05 <REP> Windows NT

15/07/2007 20:19 <REP> WinRAR

09/07/2007 17:09 <REP> xerox

10/08/2007 21:03 <REP> YourSiteBar

0 fichier(s) 0 octets

60 Rép(s) 11 336 761 344 octets libres

******************************************

## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

mysearchnow.com REG_SZ

www.mysearchnow.com REG_SZ

zonenxt.msn-int.com REG_BINARY

zonenxt.msn-ppe.com REG_BINARY

zone.msn.com REG_BINARY

*.starsdoor.com REG_BINARY

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\MARIANO\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\KV4AVSAZ.DEFAULT\HOSTPERM.1

******************************************

## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]

Search Bar REG_SZ http://www.google.com/ie

******************************************

## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************

## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

ensuit,

VundoFix V6.5.9

Checking Java version...

Scan started at 01:09:07 27/09/2007

Listing files found while scanning....

C:\WINDOWS\system32\tmp27.tmp.dll

Beginning removal...

Performing Repairs to the registry.

Done!SmitFraudFix v2.230

Rapport fait à 1:02:29,37, 27/09/2007

Executé à partir de C:\Documents and Settings\mariano\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\service32.exe

C:\WINDOWS\snet32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\windows\system32\nexjiz.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe

C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mariano

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mariano\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\mariano\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface

DNS Server Search Order: 217.175.160.11

DNS Server Search Order: 217.175.160.12

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F38EB86C-2C0A-4041-A474-C62D5A175F22}: NameServer=217.175.160.11 217.175.160.12

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F38EB86C-2C0A-4041-A474-C62D5A175F22}: NameServer=217.175.160.11 217.175.160.12

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

ensuite,

[09/27/2007, 1:07:48] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\mariano\Mes documents\enregistrement\VirtumundoBeGone.exe" )

[09/27/2007, 1:07:52] - Detected System Information:

[09/27/2007, 1:07:53] - Windows Version: 5.1.2600, Service Pack 2

[09/27/2007, 1:07:53] - Current Username: mariano (Admin)

[09/27/2007, 1:07:53] - Windows is in NORMAL mode.

[09/27/2007, 1:07:53] - Searching for Browser Helper Objects:

[09/27/2007, 1:07:53] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)

[09/27/2007, 1:07:53] - BHO 2: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)

[09/27/2007, 1:07:53] - BHO 3: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)

[09/27/2007, 1:07:53] - BHO 4: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)

[09/27/2007, 1:07:53] - BHO 5: {b5146c40-189a-4311-bda9-fbae3e023187} (Multi_Media toolbar)

[09/27/2007, 1:07:53] - BHO 6: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)

[09/27/2007, 1:07:53] - Finished Searching Browser Helper Objects

[09/27/2007, 1:07:53] - Finishing up...

[09/27/2007, 1:07:53] - Nothing found! Exiting...

ensuite,

27/09/2007 a 1:05:12,15

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

C:\WINDOWS\sys???????????.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32

"C:\Documents and Settings\mariano\Application Data\MessengerSkinner\" FOUND

*** Recherche des fichiers dans C:\Program Files

"C:\Program Files\Fichiers communs\WinAntivirus Pro 2007\" FOUND

"C:\Program Files\BitDownload" FOUND

"C:\Program Files\DivX\Google\Firefox\ffinstaller.exe" FOUND

"C:\Program Files\InetGet2\" FOUND

"C:\Program Files\Multi_Media\" FOUND

"C:\Program Files\YourSiteBar\" FOUND

"C:\Program Files\MessengerSkinner\" FOUND

*** Fin du rapport !

et enfin

Logfile of HijackThis v1.99.1

Scan saved at 01:23:59, on 27/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\service32.exe

C:\WINDOWS\snet32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\mariano\LOCALS~1\Temp\Rar$EX00.719\HijackThis.exe