Présentation et demande d'aide

GRISAILLE · le 25 février 2009

Bonjour,

Nouvelle sur le forum je vais tout d'abord me présenter :

Je suis une grand-mère de 71 ans et je vis tout prés du viaduc de Millau dans l'Aveyron. Sur les conseils de mes fils, je me suis équipé d'un ordinateur depuis déja pas mal de temps et aujourd'hui je crois qu'il est infecté...

En deux mots, je peux dire que des fenêtres intempestives s'ouvrent tout le temps, que quand je démarre l'ordinateur, les icones du bureau ne s'affichent plus, etc...

Depuis, l'un de mes fils est venu, à vérifier l'antivirus (Avast) qui d'aprés lui n'était pas à jour et qui l'a remplacé par Antivir...et par un Malware anti malware. Il a effectué un scan avec les deux et depuis ça va beaucoup mieux, mais il m'a dit de rentrer en contact avec un membre savant de Zebulon qui m'aiderait certainement à tout désinfecté.

Il a également mis tout plein de mauvaises choses en quarantaine et il a téléchargé Hijackthis, avec lequel j'ai obtenu un post qu'il m'a demandé de copier-coller à cet endroit. Donc le voici et merci de votre aide si vous voyez quelque chose d'anormal et si vous le pouvez.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:09:37, on 25/02/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\vsnp2uvc.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Documents and Settings\anne marie\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe

O4 - HKLM\..\Run: [tsnp2uvc] C:\WINDOWS\tsnp2uvc.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll

O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/dow...llerControl.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1188237404906

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.photoservice.com/aurigma/ImageUploader4.cab

O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~4\GOEC62~1.DLL,C:\WINDOWS\system32\__c009A8FC.dat

O20 - Winlogon Notify: __c006B839 - C:\WINDOWS\system32\__c006B839.dat (file missing)

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--

End of file - 9014 bytes

pear · le 25 février 2009

Bonjour,

Il y aura plusieurs procédures.

Evitez d'utiliser votre Ordinateur avant que ce soit terminé.

Commencez par ceci:

Téléchargez Toolbar-S&D sur le Bureau.

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Lancez l'installation du programme en exécutant le fichier téléchargé.

Redémarrez en mode sans échec

Double-cliquez sur le raccourci de Toolbar-S&D.

Sélectionnez la langue souhaitée en tapant la lettre de votre choix puis en validant avec la touche Entrée.

Choisisssez l'option 1 (Recherche).

Patientez jusqu'à la fin de la recherche.

Postez le rapport généré. (C:\TB.txt)

Relancez Toolbar-S&D en double-cliquant sur le raccourci. Tapez sur "2" et validez par"Entrée".

Ne fermez pas la fenêtre lors de la suppression !

Un rapport sera généré,

postez son contenu ici.

NOTE : Si le Bureau ne réapparait pas, appuyer simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Allez à l'onglet "Processus". Cliquez en haut à gauche sur Fichier ->"Exécuter..."

Tapez explorer et validez.

GRISAILLE · le 26 février 2009

Bonjour et merci beaucoup pour votre aide,

Comme convenu, je poste le rapport de Toolbar S/D.

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Intel® Celeron® CPU 2.66GHz )

BIOS : BIOS Date: 06/09/04 17:22:53 Ver: 08.00.10

USER : anne marie ( Administrator )

BOOT : Fail-safe boot

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:58 Go (Free:5 Go)

D:\ (Local Disk) - NTFS - Total:55 Go (Free:54 Go)

E:\ (CD or DVD)

F:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )

Option : [1] ( 26/02/2009|12:25 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\DOCUME~1\ANNEMA~1\Cookies\anne_marie@www.bananalotto[1].txt

C:\DOCUME~1\guewen\APPLIC~1\Dealio

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\alerts.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\alerts_over.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\alerts_rec.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\alerts_rec_over.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\chevron-small.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\DealioSearch.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\deals-leftcap.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\deal_report.jpg

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\ebay_login.jpg

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\err_mainwindow.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\err_toolbar.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\global_scripts.js

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\headerbgthin.jpg

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\highlight-bg.png

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\logo.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\logo_over.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\man_toolbar.css

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\man_toolbar.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\man_toolbar.js

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\man_toolbarl.js

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\post-this-deal.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\post-this-deal_over.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\scripts.js

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\scroller.js

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\search-chevron.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\search-chevron_over.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\search_bg_blink.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\separator.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\settings.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\settings_over.gif

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\res\yahoo-search.png

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\index.76.35

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.10.76

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.109.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.110.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.12.52

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.13.58

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.130.58

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.135.50

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.153.44

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.155.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.156.49

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.16.60

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.161.52

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.178.66

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.184.55

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.188.52

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.189.45

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.196.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.198.56

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.199.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.200.53

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.201.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.202.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.203.71

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.205.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.213.71

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.214.49

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.215.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.216.67

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.217.67

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.218.52

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.219.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.220.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.221.57

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.222.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.223.68

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.226.68

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.227.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.228.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.229.76

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.23.63

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.239.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.24.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.240.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.241.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.242.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.243.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.244.63

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.245.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.247.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.248.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.249.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.250.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.251.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.252.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.253.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.254.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.255.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.256.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.257.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.279.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.28.58

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.282.75

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.283.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.284.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.289.67

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.290.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.291.61

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.296.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.297.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.304.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.307.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.308.75

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.31.47

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.310.46

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.311.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.315.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.316.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.317.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.318.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.319.49

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.32.48

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.334.44

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.335.60

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.336.44

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.337.44

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.338.75

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.339.47

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.34.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.340.47

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.341.47

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.349.50

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.35.48

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.350.50

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.351.51

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.352.54

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.353.51

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.354.51

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.357.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.358.52

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.359.52

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.360.53

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.361.54

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.362.68

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.363.58

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.364.54

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.365.53

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.367.56

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.368.58

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.369.55

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.370.56

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.371.56

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.372.57

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.373.55

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.375.56

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.376.57

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.377.55

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.378.65

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.384.58

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.386.71

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.387.59

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.388.59

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.389.59

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.390.60

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.391.60

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.392.60

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.393.60

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.394.60

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.396.61

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.397.61

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.398.60

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.399.60

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.403.61

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.404.63

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.405.61

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.406.61

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.407.76

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.408.63

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.409.61

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.412.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.413.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.414.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.415.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.416.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.417.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.418.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.419.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.420.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.421.62

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.423.63

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.424.63

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.425.63

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.426.63

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.427.63

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.428.65

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.429.63

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.430.63

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.432.65

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.433.64

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.434.65

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.435.64

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.436.76

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.437.64

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.438.71

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.439.71

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.440.75

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.442.73

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.443.73

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.444.73

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.445.68

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.446.69

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.450.67

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.451.67

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.452.68

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.453.68

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.454.69

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.456.69

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.457.75

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.458.70

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.459.70

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.460.69

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.462.74

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.463.69

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.464.70

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.465.68

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.468.70

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.469.70

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.470.70

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.471.73

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.472.70

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.478.74

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.479.73

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.480.68

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.481.71

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.482.74

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.49.67

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.50.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.500.71

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.501.74

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.502.71

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.51.69

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.52.72

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.520.76

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.521.76

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.522.76

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.53.51

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.531.76

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.532.75

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.534.75

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.54.47

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.55.45

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.56.69

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.57.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.58.47

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.593.76

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.595.76

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.63.57

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.66.47

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.70.75

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\rules\rules.1.71.43

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\dealio-14245.log

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\dealio-14246.log

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\dealio-14247.log

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\dod_cache.xml

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1296_1624_1.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1296_1624_3.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1364_2536_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1412_3192_1.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1412_3192_4.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_1000_42.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_1508_58.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_1540_61.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_1636_46.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_1948_11.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_212_41.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_2272_43.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_2488_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_2632_65.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_2632_67.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_2864_23.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_2932_40.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_3020_21.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_3048_22.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_3492_47.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_3648_52.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_3680_59.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_3700_64.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_3772_66.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_3780_35.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_3800_63.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_440_14.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_532_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1440_716_32.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1460_228_1.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1460_228_4.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_156_2432_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1600_1084_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1600_1452_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1600_3664_11.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1636_2724_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1676_1900_11.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1676_1904_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1676_2072_41.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1676_2808_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1804_1416_1.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_1804_1416_2.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2096_2148_4.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2096_3120_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2096_3188_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2100_2744_4.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2168_2804_1.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2168_2804_2.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2172_2636_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2172_2712_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2316_2380_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_236_336_1.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_236_336_2.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2480_1484_1.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2480_1484_2.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2508_232_1.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2508_232_2.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2520_2600_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2520_2620_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2520_2912_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2520_3708_11.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2588_2520_11.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2588_2592_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2604_2660_1.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2624_2620_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2624_912_14.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2664_2000_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2664_4052_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2796_2900_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2796_3620_35.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2852_1828_1.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2852_1828_4.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2856_2904_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2900_2924_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2900_3756_32.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2948_3156_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2948_3652_17.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2988_1204_1.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2988_1204_3.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2988_932_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2996_3000_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_2996_3276_11.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3076_3976_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3140_3144_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3140_3248_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3140_3324_11.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3176_3156_47.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3176_3208_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3176_3552_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3232_2964_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3336_3368_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3336_3720_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3376_2824_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3408_3432_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3408_3436_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3408_3728_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3484_1796_17.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3484_2988_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3548_300_4.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3552_3580_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3552_3888_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3556_3228_20.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3556_3604_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3564_3568_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3564_4040_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_356_4028_17.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_356_844_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3584_3184_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3604_1580_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3604_3692_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3604_988_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3608_928_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3616_3620_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3616_3888_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3620_3400_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3664_1320_11.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3664_3704_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3664_4024_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3680_2976_43.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3684_3712_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3688_3716_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3728_2648_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3828_2992_12.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3860_2636_1.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3860_2636_4.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_388_1648_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_388_2528_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_388_360_17.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3964_2044_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_3964_2936_11.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_4000_192_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_4004_1700_63.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_4004_3256_60.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_4024_2288_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_4024_3680_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_4040_2920_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_4040_3580_11.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_4072_1084_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_4072_120_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_4076_1828_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_4076_184_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_600_2436_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_600_4092_14.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_676_1992_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_676_2684_8.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_804_3660_5.html

C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127\temp\_toolbar_tmp_988_2144_5.html

C:\DOCUME~1\ANNEMA~1\Cookies\anne_marie@dealio[1].txt

C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com

C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\CONTENT\searchsettingsplugin.js

C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\CONTENT\searchsettingsplugin.xul

C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\LOCALE\EN-US\searchsettingsplugin.dtd

C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\LOCALE\EN-US\searchsettingsplugin.properties

C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\COMPONENTS\SearchSettingsFF.dll

C:\DOCUME~1\ANNEMA~1\APPLIC~1\Search Settings

C:\DOCUME~1\ANNEMA~1\APPLIC~1\Search Settings\kb127

C:\DOCUME~1\ANNEMA~1\APPLIC~1\Search Settings\kb127\res

C:\DOCUME~1\ANNEMA~1\APPLIC~1\Search Settings\kb127\temp

C:\DOCUME~1\ANNEMA~1\APPLIC~1\Search Settings\kb127\temp\ws-14300.log

C:\DOCUME~1\guewen\APPLIC~1\Search Settings

C:\DOCUME~1\guewen\APPLIC~1\Search Settings\kb127

C:\DOCUME~1\guewen\APPLIC~1\Search Settings\kb127\res

C:\DOCUME~1\guewen\APPLIC~1\Search Settings\kb127\temp

C:\DOCUME~1\guewen\APPLIC~1\Search Settings\kb127\temp\ws-14296.log

C:\DOCUME~1\guewen\APPLIC~1\Search Settings\kb127\temp\ws-14298.log

C:\Program Files\Search Settings

C:\Program Files\Search Settings\kb127

C:\Program Files\Search Settings\SearchSettings.exe

C:\Program Files\Search Settings\kb127\res

C:\Program Files\Search Settings\kb127\SearchSettings.dll

C:\Program Files\Search Settings\kb127\SearchSettingsRes409.dll

C:\Program Files\Search Settings\kb127\temp

C:\DOCUME~1\ANNEMA~1\Cookies\anne_marie@cs.shopperreports[1].txt

C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport

C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport\cs

C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport\cs\Config.xml

C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport\cs\db

C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport\cs\dwld

C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport\cs\report

C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport\cs\res1

C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport\cs\db\Aliases.dbs

C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport\cs\db\Sites.dbs

C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport\cs\dwld\WhiteList.xip

C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport\cs\report\aggr_storage.xml

C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport\cs\report\send_storage.xml

C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport\cs\res1\WhiteList.dbs

C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport

C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport\cs

C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport\cs\Config.xml

C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport\cs\db

C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport\cs\dwld

C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport\cs\report

C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport\cs\res1

C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport\cs\db\Aliases.dbs

C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport\cs\db\Sites.dbs

C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport\cs\dwld\WhiteList.xip

C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport\cs\report\aggr_storage.xml

C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport\cs\report\send_storage.xml

C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport\cs\res1\WhiteList.dbs

C:\Program Files\ShoppingReport

C:\Program Files\ShoppingReport\Bin

C:\Program Files\ShoppingReport\Uninst.exe

C:\Program Files\ShoppingReport\Bin\2.5.0

C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll

C:\DOCUME~1\ANNEMA~1\Cookies\anne_marie@surfaccuracy[1].txt

C:\DOCUME~1\guewen\APPLIC~1\WeatherDPA

C:\DOCUME~1\guewen\APPLIC~1\WeatherDPA\Weather

C:\DOCUME~1\guewen\APPLIC~1\WeatherDPA\Weather\WeatherDPA

C:\DOCUME~1\guewen\APPLIC~1\WeatherDPA\Weather\WeatherStartup.xml

C:\DOCUME~1\guewen\APPLIC~1\WeatherDPA\Weather\WeatherDPA\Weather_XML

-----------\\ Extensions

(All Users) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"'>http://go.microsoft.com/fwlink/?LinkId=69157"'>http://go.microsoft.com/fwlink/?LinkId=69157"

"Search Page"="http://www.google.com"

"Search Bar"="http://www.google.com/ie"'>http://www.google.com/ie"

"Default_Search_URL"="http://www.google.com/ie"

"SearchMigratedDefaultURL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"

--------------------\\ Recherche d'autres infections

C:\WINDOWS\System32\nvs2.inf

==> EGDACCESS <==

1 - "C:\ToolBar SD\TB_1.txt" - 26/02/2009|12:27 - Option : [1]

-----------\\ Fin du rapport a 12:27:36,92

GRISAILLE · le 26 février 2009

Re-Bonjour,

Ci-joint le 2eme rapport Toolbar S/D comme demandé.

Encore merci pour votre dévouement.

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Intel® Celeron® CPU 2.66GHz )

BIOS : BIOS Date: 06/09/04 17:22:53 Ver: 08.00.10

USER : anne marie ( Administrator )

BOOT : Fail-safe boot

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:58 Go (Free:5 Go)

D:\ (Local Disk) - NTFS - Total:55 Go (Free:54 Go)

E:\ (CD or DVD)

F:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )

Option : [2] ( 26/02/2009|12:45 )

-----------\\ SUPPRESSION

Supprime! - C:\DOCUME~1\ANNEMA~1\Cookies\anne_marie@www.bananalotto[1].txt

Supprime! - C:\DOCUME~1\guewen\APPLIC~1\Dealio\kb127

Supprime! - C:\DOCUME~1\ANNEMA~1\Cookies\anne_marie@dealio[1].txt

Supprime! - C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com

Supprime! - C:\DOCUME~1\ANNEMA~1\APPLIC~1\Search Settings\kb127

Supprime! - C:\DOCUME~1\guewen\APPLIC~1\Search Settings\kb127

Supprime! - C:\Program Files\Search Settings\kb127

Supprime! - C:\Program Files\Search Settings\SearchSettings.exe

Supprime! - C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport\cs

Supprime! - C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport\cs

Supprime! - C:\Program Files\ShoppingReport\Bin

Supprime! - C:\Program Files\ShoppingReport\Uninst.exe

Supprime! - C:\DOCUME~1\ANNEMA~1\Cookies\anne_marie@surfaccuracy[1].txt

Supprime! - C:\DOCUME~1\guewen\APPLIC~1\WeatherDPA\Weather

Supprime! - C:\DOCUME~1\guewen\APPLIC~1\Dealio

Supprime! - C:\DOCUME~1\ANNEMA~1\APPLIC~1\Search Settings

Supprime! - C:\DOCUME~1\guewen\APPLIC~1\Search Settings

Supprime! - C:\Program Files\Search Settings

Supprime! - C:\DOCUME~1\ANNEMA~1\APPLIC~1\ShoppingReport

Supprime! - C:\DOCUME~1\guewen\APPLIC~1\ShoppingReport

Supprime! - C:\Program Files\ShoppingReport

Supprime! - C:\DOCUME~1\guewen\APPLIC~1\WeatherDPA

-----------\\ Recherche de Fichiers / Dossiers ...

C:\DOCUME~1\ANNEMA~1\Cookies\anne_marie@cs.shopperreports[2].txt

-----------\\ Extensions

(All Users) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"'>http://go.microsoft.com/fwlink/?LinkId=69157"

"Search Page"="http://www.google.com"

"Search Bar"="http://www.google.com/ie"'>http://www.google.com/ie"

"Default_Search_URL"="http://www.google.com/ie"

"SearchMigratedDefaultURL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Page"="http://www.msn.com/"

--------------------\\ Recherche d'autres infections

C:\WINDOWS\System32\nvs2.inf

==> EGDACCESS <==

1 - "C:\ToolBar SD\TB_1.txt" - 26/02/2009|12:27 - Option : [1]

2 - "C:\ToolBar SD\TB_2.txt" - 26/02/2009|12:48 - Option : [2]

-----------\\ Fin du rapport a 12:48:13,00

pear · le 26 février 2009

Bonjour,

C'est un bon début.

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Si vous êtes Sous Vista:

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

Télécharger Navilog1

. et enregistrez-le sur le bureau.

Ensuite double cliquer sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, Faire un Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".

Pour activer la commande "Exécuter en tant qu'administrateur "sur les raccourcis , si vous n'avez pas les droits Administrateur:

1. Cliquez avec le bouton droit sur l'icône du raccourci, puis cliquez sur Propriétés.

2. Sur l'onglet Raccourci, cliquez sur avancé.

3. Activez la case à cocher suivante :

"Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés"

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

Réessayer

Au menu principal, Faire le choix 1

Suivre les instructions et patienter jusqu'au message :

*** Analyse Terminée le ..... ***

Enregistrer le rapport pour pouvoir le poster

Ensuite lancez l'option 2

Le fix vous informe qu'il va redémarrer le PC

Fermer toutes les fenêtres ouvertes et enregistrer les documents personnels ouverts

Appuyer sur une touche comme demandé.

(si le Pc ne redémarre pas automatiquement, Redémarrer)

Au redémarrage du PC, choisir la session habituelle.

Patienter jusqu'au message :

"*** Nettoyage Terminé le ..... ***"

Le bloc-notes va s'ouvrir.

Sauvegarder le rapport de manière à le retrouver

Refermer le bloc-notes

.Le bureau va réapparaitre

Démarrer -> panneau de configuration -> options internet

Cliquer sur l'onglet "Contenu" puis onglet "Certificats"

et si vous trouvez ceci, en particulier ,dans "éditeurs approuvés" :

electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"

=> Supprimez-les tous

PS:Si le bureau ne réapparaît pas, CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis à l'onglet "processus". Cliquer en haut à gauche sur fichiers et choisir "exécuter"

Taper explorer et valider.

Postez les 2 rapports

Il faut lancer la procédure dans tous les comptes utilisateurs où le problème apparaît car Navilog1 ne nettoie que

le compte sur lequel on l'exécute,après les avoir passés en mode "administrateur" (sinon navilog1 ne s'exécute pas)

Si c'est fait ou que vous êtes seul utilisateur:

Désinstaller Navilog1 Via ajout/suppression des programmes --> Navilog1

Ensuite supprimer ce dossier : C:\Program Files\navilog1

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

La console de Récupération

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoiil vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message vous dira que la Console a bien été installée puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

Vous allez télécharger Combofix.

Renommer ComboFix seulement si on vous le demande

Dans certains cas, Ver Bagle, Rootkit Tdss par exemple,il est nécessaire de renommer ComboFix.exe avant le téléchargement pour traiter l' infection.

Désinstallez Combofix s'il est sur votre machine.

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK.

puis télécharger une nouvelle copie ici.

* Télécharger Load-CF sur lebureau

* Faites un double clic sur le fichier téléchargé

* Au menu, choisir la langue en appuyant sur 1 ou 2 puis en validant avec la touche Entrée

* Choisir ensuite le menu 1 pour télécharger et renommer Combofix seulement ou le menu 2 pour préparer aussi un fichier CFScript.txt vierge.

* Le téléchargement de combofix débutera automatiquement.

* En fonction de la disponibilité des serveurs, cela peut prendre du temps, soyez patient.

* A la fin du téléchargement, appuyez sur une touche pour ouvrir le dossier de téléchargement (et pour l'option 2, le fichier CFScript.txt).

* Suivez les instructions pour l'utilisation de Combofix

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,lisez ce Mode opératoire:

Ensuite

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Le scan pourrait prendre un certain temps:Soyez patient!

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

GRISAILLE · le 28 février 2009

Bonjour,

Comme convenu voici les rapports. Il y a deux utilisateurs sur mon ordinateur. J'ai effectué la procédure sur les 2 comptes et généré 2 rapports par compte. J' envoie les deux premiers rapports concernant mon compte et j'enverrai dans un prochain post les deux rapports concernant le compte utilisateur de mon petit-fils Guewen.

Voici les 2 premiers rapports :

Search Navipromo version 3.7.5 commencé le 28/02/2009 à 12:44:50,25

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 26.02.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Intel® Celeron® CPU 2.66GHz )

BIOS : BIOS Date: 06/09/04 17:22:53 Ver: 08.00.10

USER : anne marie ( Administrator )

BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Not Activated)

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:58 Go (Free:4 Go)

D:\ (Local Disk) - NTFS - Total:55 Go (Free:54 Go)

E:\ (CD or DVD)

F:\ (CD or DVD)

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\anne marie\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\guewen\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\anne marie\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\guewen\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\anne marie\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\guewen\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\anne marie\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\guewen\locals~1\applic~1" *

*** Recherche fichiers ***

C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

!! Les clés trouvées ne sont pas forcément infectées !!

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\anne marie\locals~1\applic~1" :

* Dans "C:\DOCUME~1\guewen\locals~1\applic~1" :

qllecx.dat trouvé !

qllecx_nav.dat trouvé !

qllecx_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

*** Analyse terminée le 28/02/2009 à 12:53:26,64 ***

et le second :

Clean Navipromo version 3.7.5 commencé le 28/02/2009 à 12:56:09,14

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 26.02.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Intel® Celeron® CPU 2.66GHz )

BIOS : BIOS Date: 06/09/04 17:22:53 Ver: 08.00.10

USER : anne marie ( Administrator )

BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Not Activated)

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:58 Go (Free:4 Go)

D:\ (Local Disk) - NTFS - Total:55 Go (Free:54 Go)

E:\ (CD or DVD)

F:\ (CD or DVD)

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

Nettoyage exécuté au redémarrage de l'ordinateur

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *

* Suppression dans "C:\Documents and Settings\anne marie\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\guewen\locals~1\applic~1" *

*** Suppression dossiers dans "C:\WINDOWS" ***

*** Suppression dossiers dans "C:\Program Files" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\anne marie\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\guewen\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\anne marie\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\guewen\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\anne marie\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\guewen\menudm~1\progra~1" ***

*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\anne marie\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\WINDOWS\system32" *

* Dans "C:\Documents and Settings\anne marie\locals~1\applic~1" *

* Dans "C:\DOCUME~1\guewen\locals~1\applic~1" *

qllecx.dat trouvé !

Copie qllecx.dat réalisée avec succès !

qllecx.dat supprimé !

qllecx_nav.dat trouvé !

Copie qllecx_nav.dat réalisée avec succès !

qllecx_nav.dat supprimé !

qllecx_navps.dat trouvé !

Copie qllecx_navps.dat réalisée avec succès !

qllecx_navps.dat supprimé !

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***

*** Nettoyage terminé le 28/02/2009 à 13:12:45,14 ***

Merci encore.

GRISAILLE · le 28 février 2009

Re-bonjour,

Comme convenu, ci-joint les deux rapports générés sur le compte de mon petit-fils Guewen :

Search Navipromo version 3.7.5 commencé le 28/02/2009 à 13:37:12,21

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 26.02.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Intel® Celeron® CPU 2.66GHz )

BIOS : BIOS Date: 06/09/04 17:22:53 Ver: 08.00.10

USER : guewen ( Administrator )

BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:58 Go (Free:6 Go)

D:\ (Local Disk) - NTFS - Total:55 Go (Free:54 Go)

E:\ (CD or DVD)

F:\ (CD or DVD)

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\guewen\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ANNEMA~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\guewen\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ANNEMA~1\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\guewen\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ANNEMA~1\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\guewen\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ANNEMA~1\locals~1\applic~1" *

*** Recherche fichiers ***

C:\Documents and Settings\guewen\locals~1\Temp\pack.epk trouvé !

*** Recherche clés spécifiques dans le Registre ***

!! Les clés trouvées ne sont pas forcément infectées !!

HKEY_CURRENT_USER\Software\Lanconfig

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\guewen\locals~1\applic~1" :

* Dans "C:\DOCUME~1\ANNEMA~1\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup trouvé !

Certificat Electronic-Group trouvé !

Certificat Montorgueil absent !

Certificat OOO-Favorit trouvé !

Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

*** Analyse terminée le 28/02/2009 à 13:44:59,00 ***

et voici le 2eme rapport :

Clean Navipromo version 3.7.5 commencé le 28/02/2009 à 13:48:44,60

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 26.02.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Intel® Celeron® CPU 2.66GHz )

BIOS : BIOS Date: 06/09/04 17:22:53 Ver: 08.00.10

USER : guewen ( Administrator )

BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:58 Go (Free:6 Go)

D:\ (Local Disk) - NTFS - Total:55 Go (Free:54 Go)

E:\ (CD or DVD)

F:\ (CD or DVD)

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

Nettoyage exécuté au redémarrage de l'ordinateur

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *

* Suppression dans "C:\Documents and Settings\guewen\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\ANNEMA~1\locals~1\applic~1" *

*** Suppression dossiers dans "C:\WINDOWS" ***

*** Suppression dossiers dans "C:\Program Files" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\guewen\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ANNEMA~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\guewen\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ANNEMA~1\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\guewen\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ANNEMA~1\menudm~1\progra~1" ***

*** Suppression fichiers ***

C:\Documents and Settings\guewen\locals~1\Temp\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\guewen\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\WINDOWS\system32" *

* Dans "C:\Documents and Settings\guewen\locals~1\applic~1" *

* Dans "C:\DOCUME~1\ANNEMA~1\locals~1\applic~1" *

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat Montorgueil absent !

Certificat OOO-Favorit supprimé !

Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***

*** Nettoyage terminé le 28/02/2009 à 13:51:52,28 ***

J'attends votre réponse pour commencer le téléchargement de Combofix et son installation afin de continuer.

Comment installer la console de récupération avec windows xp ?

Encore une fois, merci pour tout.

pear · le 28 février 2009

Comment installer la console de récupération avec windows xp ?

Comme indiqué dans la procédure, Combofix vous proposera une installation de la console adaptée à votre configuration.

Il vous suffira d'accepter.

Lisez bien la procédure,vous verrez que c'est très simple.

J'attends donc le rapport Combofix.

GRISAILLE · le 1 mars 2009

Bonjour,

Voici le rapport Combofix comme demandé :

ComboFix 09-02-28.01 - anne marie 2009-03-01 19:47:22.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.503.197 [GMT 1:00]

Lancé depuis: c:\documents and settings\anne marie\Bureau\ComboFix.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

c:\documents and settings\guewen\Menu Démarrer\Programmes\Spyware-Secure

c:\documents and settings\guewen\Menu Démarrer\Programmes\Spyware-Secure\Spyware-Secure trial.lnk

c:\documents and settings\guewen\Menu Démarrer\Programmes\Spyware-Secure\Website.lnk

c:\windows\GnuHashes.ini

c:\windows\IE4 Error Log.txt

c:\windows\system32\_000003_.tmp.dll

c:\windows\system32\_000015_.tmp.dll

c:\windows\system32\_000016_.tmp.dll

c:\windows\system32\_000027_.tmp.dll

C:\xcrashdump.dat

----- BITS: Il y a peut-être des sites infectés -----

hxxp://premium.virginmega.fr

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-01 au 2009-03-01 ))))))))))))))))))))))))))))))))))))

.

2009-02-26 12:13 . 2009-02-26 12:48 <REP> d-------- C:\ToolBar SD

2009-02-24 19:09 . 2009-02-24 19:09 <REP> d-------- c:\program files\Avira

2009-02-24 19:09 . 2009-02-24 19:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-02-22 20:37 . 2009-02-22 20:37 <REP> d-------- c:\documents and settings\anne marie\Application Data\Malwarebytes

2009-02-22 20:36 . 2009-02-22 20:36 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-02-22 20:31 . 2009-02-22 20:31 <REP> d-------- c:\documents and settings\anne marie\Application Data\Uniblue

2009-02-19 20:23 . 2009-02-19 20:23 6,042 --a------ c:\windows\system32\GnuHashes.ini

2009-02-19 20:18 . 2009-02-24 21:13 <REP> d--hs---- c:\windows\LocalPolicy

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-01 18:20 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater

2009-02-28 16:24 --------- d-----w c:\documents and settings\anne marie\Application Data\OpenOffice.org2

2009-02-28 13:14 --------- d-----w c:\documents and settings\guewen\Application Data\OpenOffice.org2

2009-02-28 12:59 --------- d-----w c:\program files\LimeWire

2009-02-27 17:54 --------- d-----w c:\documents and settings\guewen\Application Data\LimeWire

2009-02-25 10:11 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-25 10:08 --------- d-----w c:\program files\Google

2009-02-24 22:55 --------- d-----w c:\documents and settings\anne marie\Application Data\Canon

2009-02-19 18:43 --------- d-----w c:\documents and settings\guewen\Application Data\Canon

2009-02-09 11:14 --------- d-----w c:\program files\IncrediMail

2009-01-14 14:23 --------- d-----w c:\program files\ArcSoft

2009-01-12 21:50 8,864 ----a-w c:\windows\system32\drivers\CDAC15BA.SYS

2009-01-12 21:50 39,936 ----a-w c:\windows\system32\drivers\CDAC11BA.EXE

2009-01-12 21:50 30,720 ---h--r c:\windows\CdaC13BA.EXE

2009-01-12 21:50 112,128 ---h--r c:\windows\CdaC14BA.DLL

2009-01-07 18:08 --------- d-----w c:\program files\Fichiers communs\SNP2UVC

2009-01-07 16:53 --------- d-----w c:\program files\Fichiers communs\ArcSoft

2009-01-07 16:37 --------- d-----w c:\program files\Java

2008-12-10 14:43 672,113 ----a-w c:\windows\minizanges.exe

2008-12-10 14:43 40,960 ----a-w c:\windows\minizanges.dll

2008-12-10 14:43 280,032 ----a-w c:\windows\minizanges.scr

2008-11-06 23:03 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008110720081108\index.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-07 68856]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-12-09 98304]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-04-17 196608]

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-04-13 69632]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-21 136600]

"snp2uvc"="c:\windows\vsnp2uvc.exe" [2007-03-13 569344]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\guewen\Menu D‚marrer\Programmes\D‚marrage\

OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

[HKLM\~\startupfolder\C:^Documents and Settings^anne marie^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]

path=c:\documents and settings\anne marie\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.4.lnk

backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^anne marie^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.0.lnk]

path=c:\documents and settings\anne marie\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.0.lnk

backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

--a------ 2005-09-09 00:18 57344 c:\program files\Adobe\Photoshop Elements 4.0\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

--a------ 2008-04-14 03:33 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]

--a------ 2009-01-27 13:10 251264 c:\program files\IncrediMail\bin\IncMail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2007-10-18 11:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]

--a------ 2008-08-21 02:18 443968 c:\documents and settings\anne marie\Bureau\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-12-09 23:46 98304 c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2007-09-07 10:31 68856 c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=

"d:\\magentic_install.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Documents and Settings\\anne marie\\Mes documents\\Mes fichiers reçus\\magentic_install.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\Program Files\\SCi\\Conflict\\Desert Storm\\DesertStorm.exe"=

S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2008-05-20 29744]

S3 pfsvgae;pfsvgae;\??\c:\docume~1\ANNEMA~1\LOCALS~1\Temp\pfsvgae.sys --> c:\docume~1\ANNEMA~1\LOCALS~1\Temp\pfsvgae.sys [?]

.

- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Uniblue RegistryBooster 2009 - c:\program files\Uniblue\RegistryBooster\RegistryBooster.exe

HKLM-Run-tsnp2uvc - c:\windows\tsnp2uvc.exe

Notify-__c006B839 - c:\windows\system32\__c006B839.dat

MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe

MSConfigStartUp-au - c:\program files\Dealio\DealioAU.exe

MSConfigStartUp-Magentic - c:\progra~1\Magentic\bin\Magentic.exe

.

------- Examen supplémentaire -------

.

uDefault_Search_URL = hxxp://www.google.com/ie

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mWindow Title =

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

FF - ProfilePath -

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-01 19:53:08

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\windows\system32\drivers\CDAC11BA.EXE

c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\program files\Windows Live\Messenger\usnsvc.exe

.

**************************************************************************

.

Heure de fin: 2009-03-01 19:55:22 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-03-01 18:55:13

Avant-CF: 8 632 262 656 octets libres

Après-CF: 9,148,596,224 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

175 --- E O F --- 2009-02-25 08:53:21

Merci encore

pear · le 1 mars 2009

Bien.

Postez un scan Antivir et un nouvel hijackthis, svp

Connexion

Pas encore inscrit ?

Présentation et demande d'aide

Messages recommandés

GRISAILLE

pear

GRISAILLE

GRISAILLE

pear

GRISAILLE

GRISAILLE

pear

GRISAILLE

pear

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer