[Resolu] Navipromo H est il supprimé complètement?

[alainj77]

Bonjour

J'ai 2 pc de voisins infectés.

Pour le 1er j'ai lancé MBAM qui m'a trouvé plusieurs infections dont Navipromo H (j'ai le rapport si besoin) et comme je sais que celui ci ne s'enlève pas toujours facilement, je voudrais savoir si la désinfection MBAM a été suffisante ou s'il reste des traces, je vous poste donc un log Hijackthis pour vérifier. J'espère qu'il n'y a plus rien mais dans le doute je préfère demander votre avis.

Pour le 2ème (j'ouvrirai un autre sujet) mais je ne peux même pas installer MBAM (application win32 non valide).

Merci de vos conseils qui m'ont toujours été d'un grand secours.

Voici le rapport pour le 1er

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:16:31, on 25/04/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\WINDOWS\ehome\mcrdsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\Program Files\Microsoft IntelliType Pro\itype.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MyCash\IEFilter\MyCashIESvc.exe

C:\Program Files\MaxiMemo\MaxiMemo.exe

C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe

C:\WINDOWS\System32\alg.exe

C:\HJT\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll

O2 - BHO: (no name) - {0EE16FDA-348C-45D5-80BE-1954CD397F2A} - C:\PROGRA~1\MyCash\IEFilter\MyCashIE.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL

O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL

O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O3 - Toolbar: (no name) - {66886C4D-B307-4ECA-A228-52CA9B9851A4} - (no file)

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RDS\RMClient\JobHisInit.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MyCash IE Service] C:\Program Files\MyCash\IEFilter\MyCashIESvc.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Fichiers communs\Ahead\Lib\NMFirstStart.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Fichiers communs\Ahead\Lib\NMFirstStart.exe (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: monxga32.exe

O4 - Global Startup: MaxiMemo.lnk = C:\Program Files\MaxiMemo\MaxiMemo.exe

O4 - Global Startup: Status Monitor.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper200711281.dll

O16 - DPF: {5392B545-31A5-4724-BEF3-4FED1D56FDAC} (CPlayFirstDinerDash2_frControl Object) - file:///D:/Documents%20and%20Settings/FREDERIQUE/Local%20Settings/Application%20Data/Oberon%20Media/Oberon%20Games%20Host/DinerDash2_fr.1.0.0.70.cab

O16 - DPF: {59514505-D207-11D5-8D11-000102B211C7} (ActiveFormX Contrôle) - http://82.196.6.47/iShop_injector/PDownLoadActiveX.ocx

O16 - DPF: {935F9B04-0C7B-4454-A391-348C54AD7ADD} (Jolly Bear Games Player) - http://m.boonty.com/webgames/BigCityAdvent...BGamePlayer.cab

O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} (CPlayFirstddfotgControl Object) - file:///D:/Documents%20and%20Settings/FREDERIQUE/Local%20Settings/Application%20Data/Oberon%20Media/Oberon%20Games%20Host/ddfotg.1.0.0.37.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxenligne.orange.fr/Gameshell/Gam...ronGameHost.cab

O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/vir...l/installer.exe

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://jeuxenligne.orange.fr/orange2.0/gam...ader_v10_en.cab

O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab

O16 - DPF: {FC4CAF5F-91BD-4DD9-ADC1-F3C737E37BC4} (CPlayFirstSweetopiaControl Object) - file:///D:/Documents%20and%20Settings/FREDERIQUE/Local%20Settings/Application%20Data/Oberon%20Media/Oberon%20Games%20Host/Sweetopia.1.0.0.46.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{13F7ECCD-A2CF-49CC-9F36-36D8A9C3709A}: NameServer = 80.10.246.130,81.253.149.10

O17 - HKLM\System\CS1\Services\Tcpip\..\{13F7ECCD-A2CF-49CC-9F36-36D8A9C3709A}: NameServer = 80.10.246.130,81.253.149.10

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Gestionnaire de mise à jour Winsudate (WinSvc) - Unknown owner - C:\Program Files\Winsudate\gibsvc.exe (file missing)

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

 

--

End of file - 12094 bytes

Modifié le 27 avril 2010 par alainj77

[pear]

Bonjour,

 

Télécharger sur le bureauOTM by OldTimer .

Double-clic sur OTM.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

* Copiez /Collez les lignes ci dessous) en vert:

:Processes

:Files

c:\program files\asktbar\srchastt\1.bin\a5srchas.dll

c:\program files\mycash\iefilter\mycashie.dll

c:\program files\asktbar\bar\1.bin\asktbar.dll

c:\program files\winsudate\gibsvc.exe

:Reg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks]

"{9CB65206-89C4-402c-BA80-02D8C59F9B1D}"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0EE16FDA-348C-45D5-80BE-1954CD397F2A}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0EE16FDA-348C-45D5-80BE-1954CD397F2A}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9CB65201-89C4-402c-BA80-02D8C59F9B1D}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9CB65201-89C4-402c-BA80-02D8C59F9B1D}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FE063DB1-4EC0-403e-8DD8-394C54984B2C}]

[-HKEY_CLASSES_ROOT\CLSID\{FE063DB9-4EC0-403e-8DD8-394C54984B2C}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FE063DB9-4EC0-403e-8DD8-394C54984B2C}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{FE063DB9-4EC0-403e-8DD8-394C54984B2C}"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSvc]

 

:Commands

[purity]

[emptytemp]

[Reboot]

Revenez dans OTM,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTM

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTM\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

 

 

 

 

 

 

 

 

 

Pour Navipromo

 

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

Vous devez désactiver vos protections et ne savez pas comment faire->Sur PCA,En Français

Téléchargez Navilog1 par Il-Mafioso

Enregistrer la cible (du lien) sous... et enregistrez-le sur le bureau.

Ensuite double cliquez sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, Faire un Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

Réessayer

Dans la fenêtre qui s'ouvre, choisissez votre langue et validez

Au menu principal, Faire le choix 1et valider

< Ne faites pas le choix 2 sauf avis contraire>

Suivre les instructions et patienter jusqu'au message :

*** Analyse Terminée le ..... ***

Appuyer sur une touche comme demandé ; le bloc-notes va s'ouvrir.

Copier-coller l'intégralité dans la réponse.

Refermer le bloc-notes.

PS :le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

PS:Si le bureau ne réapparaît pas, CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis à l'onglet "processus". Cliquer en haut à gauche sur fichiers et choisir "exécuter"

Taper explorer et valider.

Il faut lancer la procédure dans tous les comptes utilisateurs où le problème apparaît car Navilog1 ne nettoie que

le compte sur lequel on l'exécute,après les avoir passés en mode "administrateur" (sinon navilog1 ne s'exécute pas)

Si c'est fait ou que vous êtes seul utilisateur:

Pour Désinstaller Navilog1 faites le choix 4

Ensuite supprimer ce dossier : C:\navilog1

 

pour win32 non valide:

 

Télécharger FindyKill sur le bureau

 

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Si, donc, vous avez une version antérieure, désinstallez la.

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Lancer l'installation avec les Paramètres par défaut

Exécuter en tant qu'administrateur

Sous Vista, Désactiver l'UAC

Pour désactiver l'UAC, ouvrez le panneau de configuration puis cliquez en haut à droite sur Comptes d'utilisateurs

Dans Comptes d'utilisateurs, cliquez sur la dernière option Activer ou désactiver le contrôle des comptes d'utilisateurs

Décochez l'option, Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système

Une popup s'ouvre alors pour vous demander de redémarrer l'ordinateur, cliquez alors sur Redémarrer maintenant

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire

Sur PCA,En Français

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Double cliquer sur le raccourci FindyKill sur le bureau

Tapez : F et touche [Entrée] pour avoir le programme en français

Au menu principal,choisir l'option 1 (Recherche)

le rapport C:\FindyKill.txt sera généré.

 

Ensuite le Nettoyage

 

Double cliquer sur le raccourci FindyKill sur le bureau

Au menu principal,choisir l'option 2 (Suppression)

 

il y aura 2 redémarrages du PC

avec Suppression des fichiers découverts et des clés de régistre infectées

Restauration du Mode sans échec et de certaines valeurs du régistre

Réparation de l'affichage des fichiers cachés

Relance des services

 

Laissez travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"

Lisez attentivement le rapport C:\FindyKill.txt qui vous indiquera les logiciels à réparer

Ensuite postez le .

Modifié le 25 avril 2010 par pear

[alainj77]

Bonjour Pear

Merci de votre aide.

J'ai lancé OTM, apparemment les fichiers ont été supprimés (partie droite du panneau), mais tout a été bloqué à REGISTERY, plus de bureau et plus de barre des taches. Il m'a été impossible de fermer OTM et le PC était bloqué. J'ai du l'arrêter violemment et bien sur dans OTM je n'ai pas de log.

Dans le doute je n'ai rien fait de plus, mais si je dois utiliser les autres logiciels ou relancer OTM je le ferais dès votre réponse.

[pear]

Oubliez Otm et lancez Navilog.

 

Ensuite:

 

Si vous êtes sous Vista:Désactiver L'UAC ,avant sont utilisation.

Menu Démarrer \ Panneau de Configuration \ Comptes d'utilisateurs et protection des utilisateurs \ Comptes d'utilisateurs \ Activer ou désactiver le contrôle des comptes d'utilisateurs \ décoche la case Utiliser le contrôle ... et valider par OK ,

il sera demandé de redémarrer

 

 

Téléchargez AD-Remover( de Cyrildu17 / C_XX ) sur le bureau

Déconnectez-vous et fermez toutes les applications en cours

Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .

Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel

Cliquez sur "OUI"

Double cliquer sur l'icône Ad-remover sur le bureau

Au menu principal choisir l'optionScanner et Validez

 

Patientez pendant le travail de l'outil.

Poster le rapport qui apparait à la fin .

Il est sauvegardé aussi sous C:\Ad-report.log

 

Ensuite

 

Relancer Ad- remover , choisir l'option Nettoyer

et enfin

 

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

 

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[alainj77]

Re

Cela a été un peu long mais je pense avoir tout fait.

Rapport Navilog

 

Fix Navipromo version 4.0.8 commencé le 25/04/2010 13:01:50,82

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

 

Outil exécuté depuis C:\navilog1

 

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3

X86-based PC ( Multiprocessor Free : Intel® Pentium® 4 CPU 3.06GHz )

BIOS : Award Medallion BIOS v6.00PG

USER : FREDERIQUE ( Administrator )

BOOT : Normal boot

 

Antivirus : AntiVir Desktop 9.0.1.32 (Not Activated)

 

 

C:\ (Local Disk) - NTFS - Total:29 Go (Free:13 Go)

D:\ (Local Disk) - NTFS - Total:148 Go (Free:142 Go)

E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

F:\ (USB)

G:\ (USB)

H:\ (USB)

I:\ (USB)

 

 

Recherche executée en mode normal

 

 

Aucune Infection Navipromo/Egdaccess trouvée

 

 

 

*** Scan terminé 25/04/2010 13:02:21,40 ***

 

Rapport AD-Remover

 

.

======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======

.

Mis à jour par C_XX le 24/04/10 à 20:50

Contact: AdRemover.contact@gmail.com

Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

.

Lancé à: 13:18:36 le 25/04/2010 | Mode normal | Option: SCAN

Exécuté de: C:\Ad-Remover\ADR.exe

SE: Microsoft® Windows XP™ Service Pack 3 - X86

Nom du PC: AMPL1

Utilisateur actuel: FREDERIQUE (Administrateur)

.

============== ÉLÉMENT(S) TROUVÉ(S) ==============

.

Service: *winsvc*

.

C:\Program Files\AskTBar

C:\Program Files\Letmin

C:\Program Files\SweetIM

C:\Program Files\Viewpoint

C:\WINDOWS\Downloaded Program Files\Popcaploader.dll

C:\WINDOWS\Downloaded Program Files\Popcaploader.inf

D:\Documents and Settings\All Users\Application Data\SweetIM

D:\Documents and Settings\All Users\Application Data\Viewpoint

D:\Documents and Settings\FREDERIQUE\Application Data\Mozilla\FireFox\Profiles\434dxkd0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}

D:\Documents and Settings\FREDERIQUE\Application Data\Mozilla\FireFox\Profiles\434dxkd0.default\searchplugins\sweetim.xml

D:\Documents and Settings\FREDERIQUE\Application Data\Mozilla\FireFox\Profiles\434dxkd0.default\SweetIMToolbarData

.

HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{03F998B2-0E00-11D3-A498-00104B6EB52E}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35D-6118-11DC-9C72-001320C79847}

HKCU\Software\PopCap

HKCU\Software\SweetIM

HKLM\Software\Classes\AxMetaStream.MetaStreamCtl

HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1

HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary

HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1

HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}

HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

HKLM\Software\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}

HKLM\Software\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}

HKLM\Software\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}

HKLM\Software\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}

HKLM\Software\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}

HKLM\Software\Classes\MediaPlayer.GraphicsUtils

HKLM\Software\Classes\MediaPlayer.GraphicsUtils.1

HKLM\Software\Classes\MgMediaPlayer.GifAnimator

HKLM\Software\Classes\MgMediaPlayer.GifAnimator.1

HKLM\Software\Classes\SWEETIE.IEToolbar

HKLM\Software\Classes\SWEETIE.IEToolbar.1

HKLM\Software\Classes\SWEETIE.SWEETIE

HKLM\Software\Classes\SWEETIE.SWEETIE.3

HKLM\Software\Classes\SweetIM_URLSearchHook.ToolbarURLSearchHook

HKLM\Software\Classes\SweetIM_URLSearchHook.ToolbarURLSearchHook.1

HKLM\Software\Classes\Toolbar3.SWEETIE

HKLM\Software\Classes\Toolbar3.SWEETIE.1

HKLM\Software\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}

HKLM\Software\Classes\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}

HKLM\Software\Classes\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}

HKLM\Software\MetaStream

HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}

HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{266C7330-C0F4-49E5-8F20-A56F9F822875}

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer

HKLM\Software\SweetIM

HKLM\Software\Viewpoint

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{EEE6C35B-6118-11DC-9C72-001320C79847}

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{9CB65206-89C4-402C-BA80-02D8C59F9B1D}

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{EEE6C35D-6118-11DC-9C72-001320C79847}

HKLM\Software\Microsoft\Internet Explorer\Toolbar|{66886C4D-B307-4ECA-A228-52CA9B9851A4}

HKLM\Software\Microsoft\Internet Explorer\Toolbar|{EEE6C35B-6118-11DC-9C72-001320C79847}

.

.

============== SCAN ADDITIONNEL ==============

.

* Mozilla FireFox Version 3.6.3 (fr) *

.

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - browser.download.lastDir: D:\\Documents and Settings\\FREDERIQUE\\Bureau\\Documents AMPL

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - browser.search.defaultenginename: MyStart Rechercher

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - browser.search.defaulturl: hxxp://search.sweetim.com/search.asp?src=2&q=

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - browser.search.selectedEngine: Google

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - browser.startup.homepage: hxxp://pro.orange.fr/

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - keyword.URL: hxxp://www.yougoo.fr/annuaire?search&q=

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - sweetim.toolbar.previous.browser.search.defaultenginename: MyStart Rechercher

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - sweetim.toolbar.previous.browser.search.defaulturl: hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-sunm&p=

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - sweetim.toolbar.previous.browser.search.selectedEngine: Google

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - sweetim.toolbar.previous.browser.startup.homepage: hxxp://orange.fr/

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - sweetim.toolbar.previous.keyword.URL: hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=

.

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("browser.search.defaulturl", "hxxp://search.sweetim.com/search.asp?src=2&q=");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.mode.debug", "false");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "MyStart Rechercher");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.previous.browser.search.defaulturl", "hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-sunm&p=");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "Google");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.previous.browser.startup.homepage", "hxxp://orange.fr/");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.previous.keyword.URL", "hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engine=\"hxxp://*google.*\" param=\"q=\" /><EXTERNAL_SEARCH engine=\"hxxp://search.yahoo.com/*\" param=\"p=\" /><EXTERNAL_SEARCH engine=\"hxxp://search.sweetim.*\" param=\"q=\" /><EXTERNAL_SEARCH engine=\"hxxp://*.live.*/*\" param=\"q=\" /><EXTERNAL_SEARCH engine=\"hxxp://*youtube.com/\" param=\"search_query=\" /><EXTERNAL_SEARCH engine=\"hxxp://*.ebay.*/search/*\" param=\"satitle=\" /><EXTERNAL_SEARCH engine=\"hxxp://*.amazon.com/s/*\" param=\"field-keywords=\" /></TOOLBAR>");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.search.history.capacity", "10");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.simapp_id", "{5404044E-2F94-43D7-9F7C-7C9BC2F29CCE}");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.urls.homepage", "hxxp://home.sweetim.com");

TROUVÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.version", "1.0.0.8");

.

* Internet Explorer Version 8.0.6001.18702 *

.

[HKCU\Software\Microsoft\Internet Explorer\Main]

.

AutoHide: yes

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search Page: hxxp://www.google.com

Show_ToolBar: yes

Start Page: hxxp://www.orange.fr/

Use Search Asst: no

.

[HKLM\Software\Microsoft\Internet Explorer\Main]

.

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157

Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Delete_Temp_Files_On_Exit: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

.

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

.

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

.

============== SUSPECT(S) ==============

.

D:\Documents and Settings\FREDERIQUE\Bureau\Documents AMPL\cfr.ampl\patch_sasser.exe

.

========================================

.

D:\DOCUME~1\FREDER~1\LOCALS~1\Temp: 224 Fichier(s), 51 Dossier(s)

C:\WINDOWS\temp: 27 Fichier(s), 20 Dossier(s)

Temporary Internet Files: 2094 Fichier(s), 21 Dossier(s)

.

C:\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Ad-Remover\Backup: 1 Fichier(s)

.

D:\Ad-Report-SCAN[1].txt - 10877 Octet(s)

.

Fin à: 13:37:10, 25/04/2010

.

============== E.O.F - SCAN[1] ==============

 

Rapport MBAM

 

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 4033

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

25/04/2010 16:08:13

mbam-log-2010-04-25 (16-08-13).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 259980

Temps écoulé: 1 heure(s), 23 minute(s), 50 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 17

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105752.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105737.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105738.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105739.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105740.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105741.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105742.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105743.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105744.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105745.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105746.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105747.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105748.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105749.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105750.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP652\A0105751.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

D:\Documents and Settings\FREDERIQUE\Menu Démarrer\Programmes\Démarrage\monxga32.exe (Trojan.Agent) -> Delete on reboot.

[pear]

Il semble que vous n'avez pas fait le nettoyage Ad-remover.

Il est écrit en fin de procédure, en gras et en rouge:

Ensuite

Relancer Ad- remover , choisir l'option Nettoyer

 

Cela fait:

Désinstaller la Restauration Système.

 

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez en suite

Redémarrez

Un nouveau point de restauration sera créé au redémarrage.

 

Relancez Mbam, svp et postez les 2 rapports

Modifié le 25 avril 2010 par pear

[alainj77]

Re

J'avais bien fait le nettoyage, mais je n'avais pas posté le rapport (autant pour moi).

Le voici avec celui de MBAM

 

.

======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======

.

Mis à jour par C_XX le 24/04/10 à 20:50

Contact: AdRemover.contact@gmail.com

Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

.

Lancé à: 13:37:40 le 25/04/2010 | Mode normal | Option: CLEAN

Exécuté de: C:\Ad-Remover\ADR.exe

SE: Microsoft® Windows XP™ Service Pack 3 - X86

Nom du PC: AMPL1

Utilisateur actuel: FREDERIQUE (Administrateur)

.

============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============

.

Service: *winsvc*

.

C:\Program Files\AskTBar

C:\Program Files\Letmin

C:\Program Files\SweetIM

C:\Program Files\Viewpoint

C:\WINDOWS\Downloaded Program Files\Popcaploader.dll

C:\WINDOWS\Downloaded Program Files\Popcaploader.inf

D:\Documents and Settings\All Users\Application Data\SweetIM

D:\Documents and Settings\All Users\Application Data\Viewpoint

D:\Documents and Settings\FREDERIQUE\Application Data\Mozilla\FireFox\Profiles\434dxkd0.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}

D:\Documents and Settings\FREDERIQUE\Application Data\Mozilla\FireFox\Profiles\434dxkd0.default\searchplugins\sweetim.xml

D:\Documents and Settings\FREDERIQUE\Application Data\Mozilla\FireFox\Profiles\434dxkd0.default\SweetIMToolbarData

 

(!) -- Fichiers temporaires supprimés.

.

HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{03F998B2-0E00-11D3-A498-00104B6EB52E}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}

HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35D-6118-11DC-9C72-001320C79847}

HKCU\Software\PopCap

HKCU\Software\SweetIM

HKLM\Software\Classes\AxMetaStream.MetaStreamCtl

HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1

HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary

HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1

HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}

HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

HKLM\Software\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}

HKLM\Software\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}

HKLM\Software\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}

HKLM\Software\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}

HKLM\Software\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}

HKLM\Software\Classes\MediaPlayer.GraphicsUtils

HKLM\Software\Classes\MediaPlayer.GraphicsUtils.1

HKLM\Software\Classes\MgMediaPlayer.GifAnimator

HKLM\Software\Classes\MgMediaPlayer.GifAnimator.1

HKLM\Software\Classes\SWEETIE.IEToolbar

HKLM\Software\Classes\SWEETIE.IEToolbar.1

HKLM\Software\Classes\SWEETIE.SWEETIE

HKLM\Software\Classes\SWEETIE.SWEETIE.3

HKLM\Software\Classes\SweetIM_URLSearchHook.ToolbarURLSearchHook

HKLM\Software\Classes\SweetIM_URLSearchHook.ToolbarURLSearchHook.1

HKLM\Software\Classes\Toolbar3.SWEETIE

HKLM\Software\Classes\Toolbar3.SWEETIE.1

HKLM\Software\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}

HKLM\Software\Classes\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}

HKLM\Software\Classes\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}

HKLM\Software\MetaStream

HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}

HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}

HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{266C7330-C0F4-49E5-8F20-A56F9F822875}

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer

HKLM\Software\SweetIM

HKLM\Software\Viewpoint

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{EEE6C35B-6118-11DC-9C72-001320C79847}

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{9CB65206-89C4-402C-BA80-02D8C59F9B1D}

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{EEE6C35D-6118-11DC-9C72-001320C79847}

HKLM\Software\Microsoft\Internet Explorer\Toolbar|{66886C4D-B307-4ECA-A228-52CA9B9851A4}

HKLM\Software\Microsoft\Internet Explorer\Toolbar|{EEE6C35B-6118-11DC-9C72-001320C79847}

.

.

============== SCAN ADDITIONNEL ==============

.

* Mozilla FireFox Version 3.6.3 (fr) *

.

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - browser.download.lastDir: D:\\Documents and Settings\\FREDERIQUE\\Bureau\\Documents AMPL

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - browser.search.defaultenginename: MyStart Rechercher

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - browser.search.defaulturl: hxxp://search.sweetim.com/search.asp?src=2&q=

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - browser.search.selectedEngine: Google

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - browser.startup.homepage: hxxp://pro.orange.fr/

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - keyword.URL: hxxp://www.yougoo.fr/annuaire?search&q=

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - sweetim.toolbar.previous.browser.search.defaultenginename: MyStart Rechercher

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - sweetim.toolbar.previous.browser.search.defaulturl: hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-sunm&p=

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - sweetim.toolbar.previous.browser.search.selectedEngine: Google

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - sweetim.toolbar.previous.browser.startup.homepage: hxxp://orange.fr/

D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - sweetim.toolbar.previous.keyword.URL: hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=

.

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("browser.search.defaulturl", "hxxp://search.sweetim.com/search.asp?src=2&q=");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.mode.debug", "false");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "MyStart Rechercher");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.previous.browser.search.defaulturl", "hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-sunm&p=");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "Google");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.previous.browser.startup.homepage", "hxxp://orange.fr/");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.previous.keyword.URL", "hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engine=\"hxxp://*google.*\" param=\"q=\" /><EXTERNAL_SEARCH engine=\"hxxp://search.yahoo.com/*\" param=\"p=\" /><EXTERNAL_SEARCH engine=\"hxxp://search.sweetim.*\" param=\"q=\" /><EXTERNAL_SEARCH engine=\"hxxp://*.live.*/*\" param=\"q=\" /><EXTERNAL_SEARCH engine=\"hxxp://*youtube.com/\" param=\"search_query=\" /><EXTERNAL_SEARCH engine=\"hxxp://*.ebay.*/search/*\" param=\"satitle=\" /><EXTERNAL_SEARCH engine=\"hxxp://*.amazon.com/s/*\" param=\"field-keywords=\" /></TOOLBAR>");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.search.history.capacity", "10");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.simapp_id", "{5404044E-2F94-43D7-9F7C-7C9BC2F29CCE}");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.urls.homepage", "hxxp://home.sweetim.com");

EFFACÉ: D:\Documents and Settings\FREDERIQUE\..\434dxkd0.default\prefs.js - user_pref("sweetim.toolbar.version", "1.0.0.8");

.

* Internet Explorer Version 8.0.6001.18702 *

.

[HKCU\Software\Microsoft\Internet Explorer\Main]

.

AutoHide: yes

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Show_ToolBar: yes

Start Page: hxxp://fr.msn.com/

Use Search Asst: no

.

[HKLM\Software\Microsoft\Internet Explorer\Main]

.

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

.

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

.

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

.

============== SUSPECT(S) ==============

.

D:\Documents and Settings\FREDERIQUE\Bureau\Documents AMPL\cfr.ampl\patch_sasser.exe

.

========================================

.

D:\DOCUME~1\FREDER~1\LOCALS~1\Temp: 2 Fichier(s), 51 Dossier(s)

C:\WINDOWS\temp: 0 Fichier(s), 20 Dossier(s)

Temporary Internet Files: 2 Fichier(s), 21 Dossier(s)

.

C:\Ad-Remover\Quarantine: 42 Fichier(s)

C:\Ad-Remover\Backup: 14 Fichier(s)

.

D:\Ad-Report-CLEAN[1].txt - 11177 Octet(s)

D:\Ad-Report-SCAN[1].txt - 11002 Octet(s)

.

Fin à: 13:55:36, 25/04/2010

.

============== E.O.F - CLEAN[1] ==============

 

 

 

 

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 4033

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

25/04/2010 20:27:18

mbam-log-2010-04-25 (20-27-18).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 255509

Temps écoulé: 49 minute(s), 33 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[pear]

Ca parait propre.

Un autre souci ?

Le second pc , peut-être ?

Modifié le 25 avril 2010 par pear

[alainj77]

Merci Pear pour cette désinfection expresse.

Oui il y a le soucis de l'autre PC, faut il que j'ouvre un autre sujet ou on continue sur celui ci?

Mais la pour l'autre je crains le pire : analyse MBAM rapide 32 bestioles (dont Navipromo) donc je vais lancer un examen complet.

De plus il me parait très bizarre. Je ne pouvais lancer aucun programme. Mais en faisant un clic droit j'ai découvert une option Start et rien ne se lance autrement que par cette option.

Je pense qu'on attaquera demain, la je vais manger et je ne suis pas sur de revenir apres.

Bonne soirée et merci encore de l'aide que vous m'avez apportée pour ce 1er PC.

[alainj77]

Bonjour Pear

Je continue ici mais si vous préférez j'ouvre un autre sujet et je mets celui ci en résolu.

Aprs le passage de MBAM (examen rapide), l'option start a disparu et maintenant les programmes se lancent par double clic apparemment.

J'ai tenté un examen complet mais le PC s'est planté avant la fin. Je ne sais pas si c'est dû à l'analyse ou à autre chose.

Je vous mets donc le rapport MBAM et un Hijackthis :

 

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 4035

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

25/04/2010 20:49:37

mbam-log-2010-04-25 (20-49-37).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 122934

Temps écoulé: 13 minute(s), 0 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 10

Valeur(s) du Registre infectée(s): 5

Elément(s) de données du Registre infecté(s): 5

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 11

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\CLSID\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syncman (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syncman (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\secfile\shell\open\command\(default) (Rogue.MultipleAV) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\ave.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe") Good: (firefox.exe) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\ave.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\ave.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\.exe\(default) (Hijacked.exeFile) -> Bad: (secfile) Good: (exefile) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

C:\Documents and Settings\All Users\AVP 2009 (Malware.Trace) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\feedtsrq_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\feedtsrq_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\feedtsrq.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\MSASCui.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\vma.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\av.exe (ROGUE.Win7Antispyware2010) -> Quarantined and deleted successfully.

C:\Documents and Settings\HP_Administrateur\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.

C:\Documents and Settings\HP_Administrateur\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Windows Defender\ave.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.

C:\Documents and Settings\HP_Administrateur\Menu Démarrer\Programmes\Démarrage\monxga32.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 10:43:57, on 26/04/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe

C:\Program Files\HP\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Documents and Settings\HP_Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\bgsvcgen.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\WINDOWS\eHome\ehRec.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\PC Tools Firewall Plus\FWService.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\ehome\mcrdsvc.exe

C:\Program Files\Intel\IntelDH\Intel® Quick Resume Technology Drivers\Elservice.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\System32\svchost.exe

C:\HJT\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2542115

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {AEEC3B59-CA98-4EBA-A140-57B94E283583} - (no file)

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll

R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: barre d'outils Orange - {D3028143-6145-4318-99D3-3EDCE54A95A9} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll

O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} - C:\Program Files\Softonic_France\tbSoft.dll

O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll

O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [iAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\HP\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [iSTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')

O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')

O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\HP_Administrateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: ajouter cette page à vos favoris Orange - C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\cceA77.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: traduire la page - C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\cceA75.html

O8 - Extra context menu item: traduire le texte sélectionné - C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\cceA76.html

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Orange\ToolbarFR\ToolbarContainer101000315.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab

O16 - DPF: {5392B545-31A5-4724-BEF3-4FED1D56FDAC} (CPlayFirstDinerDash2_frControl Object) - file:///C:/Documents%20and%20Settings/HP_Administrateur/Local%20Settings/Application%20Data/Oberon%20Media/Oberon%20Games%20Host/DinerDash2_fr.1.0.0.70.cab

O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} (CPlayFirstddfotgControl Object) - file:///C:/Documents%20and%20Settings/HP_Administrateur/Local%20Settings/Application%20Data/Oberon%20Media/Oberon%20Games%20Host/ddfotg.1.0.0.37.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.servicesalacarte.orang...gamesplayer.cab

O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/in...l/installer.exe

O16 - DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} (CPlayFirstDinerDashControl Object) - file:///C:/Documents%20and%20Settings/HP_Administrateur/Local%20Settings/Application%20Data/Oberon%20Media/Oberon%20Games%20Host/DinerDash.1.0.0.98.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - file:///C:/Documents%20and%20Settings/HP_Administrateur/Local%20Settings/Application%20Data/Oberon%20Media/Oberon%20Games%20Host/popcaploader_v10.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: Browser Defender Update Service - Unknown owner - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Service de planification Media Center (ehSched) - Unknown owner - C:\WINDOWS\eHome\ehSched.exe

O23 - Service: Intel® Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel® Quick Resume Technology Drivers\Elservice.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

O23 - Service: Service Google Update (gupdate1c9b154c4e4cfce) (gupdate1c9b154c4e4cfce) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE

O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - Unknown owner - C:\Program Files\PC Tools Firewall Plus\FWService.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

 

--

End of file - 15902 bytes