Rapport HijackThis

FTZ59 · le 20 avril 2006

Salut à l'équipe,

Voici le rapport de HijackThis qui est sorti que j'ai suivi les instructions donnés sur zébulon (Antivir en mode sans échec, examen HiJackThis, ... ).

Par défaut, j'ai le Symantec Antivirus Corporate que ma boite me permet d'installer a la maison. Je dois avouer que, même avec les toutes dernières définitions de virus, il a laissé passer plusieurs menaces que Antivir a détecté. Sans doute une question de paramétrages, comme signalé dans post pour bien configurer Antivir...

Antivir a détécté pas mal de menaces du type TR et elles ont été effacées.

EDIT: je post car je ne parviens pas à activer le firewall de Windows (avec SP2). J'ai le célèbre message: "En raison d'un problème non identifié, Windows ne peut afficher les paramètres du pare-feu Windows". J'avais trouvé un petit utilitaire .reg pour corriger la base des registres et ensuite faire un reset du firewall en tapant la commande "netsh firewall reset" mais cela n'y change rien. Je ne parviens toujours pas à activer ce foutu firewall windows (aussi bon/mauvais soit-il). En parcourant le forum, j'ai trouvé un autre post d'un personne qui avait le meme problème et la procédure Antivir + Hijack lui était conseillée.

Voici le rapport HIJACK:

Logfile of HijackThis v1.99.1

Scan saved at 12:27:53, on 20/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec Client Security\DefWatch.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Symantec Client Security\Rtvscan.exe

C:\WINDOWS\System32\nvraidservice.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\NotifyPhoneBook.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [sBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\Run: [Windowsz] rwnt.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\system32\Utility.exe \1008

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe

O4 - HKLM\..\RunServices: [cnkdsk] C:\WINDOWS\System32\cnkdsk.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5BDBA960-6534-11D3-97C7-00500422B550} - https://cat-b5-04.goss.cat.com/download/dolcontrol.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143852268588

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_15.dll (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec Client Security\DefWatch.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NetBTD(ntbtd) (NetBTD) - Unknown owner - C:\WINDOWS\system32\netbtd.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec Client Security\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec Client Security\Rtvscan.exe

Merci pour vos conseils judicieux, vous faites un chouette boulot là !

Modifié le 20 avril 2006 par FTZ59

lomaster · le 20 avril 2006

Bonjour , FTZ59, bienvenue et merci de venir sur Zébulon.

Mon nom est lomaster, et je vais te guider tout au long de la procédure afin de nettoyer ton Ordinateur des infections présenTes.

Je commence une analyse et te donne la procédure de désinfection dans un certain temps,

A toute,

Modifié le 20 avril 2006 par lomaster

lomaster · le 20 avril 2006

Re,

Avant de commencer la procédure, quelques explications :

j'insiste sur des failles de sécurité du système :

-Tu ne possèdes pas de pare-feu actif présent dans ton log, tu désire mettre en route celui de windows, je te le déconseille.

Pourquoi:

Le Pare-feu Windows reste rudimentaire par rapport aux pare-feu qui sont en téléchargement libre sur le net. Le pare-feu de windows ne bloque pas le trafic sortant or, le blocage en sortie est important.

il est donc nécessaire de se munir d'un pare-feu bloquant le trafic entrant et sortant.

-Ton log montre quelques signe d'infections, infection qui aurrait était évitées par un bon pare-feu mais rassure toi nous allons faire ensemble le necessaire.

La procédure ci-dessous va te permettre dans un premier temps, de désinfecter ton système, de le rendre propre et ensuite, une fois un log propre et plus de dysfonctionnement je te donnerai quelques conseils de sécurité.

Je veux que tu lises la procédure entièrement avant de la commencer ainsi s'il y a des manipulations qui te semblent dures à comprendre ou à faire, hésite pas à réclamer des éclaircissements.

Le but de la manipulation étant que tu comprennes également ce que tu fais.

Voici la procédure :

La procédure nécessitant le mode sans échec et vu la longueur de ceci, imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

Manipulation n°1: Télécharger les Outils

-TéléchargeEasyCleaner de Toni Helenius

(installe le dans son dossier)

---------------------------------

-Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/fr/

Installe et mets à jour.

Important : Pendant l'installation, sur la page "Additional Options" :

décoche les deux options "Install background guard" et "Install scan via context menu".

Démarre Ewido avec l'icône qui se trouve sur le Bureau.

Clique sur mise à jour, attends la fin de cette mise à jour, puis ferme le programme.

---------------------------------

Manipulation n°2 : Redémarrez en mode sans échec

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement. Tapote sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuyé [/color]sur [Entrée].

Si tu n'y arrives pas, regarde le lien ===> Démarrrer en Mode Sans échec

Pas de connexion Internet ouverte.

Manipulation n°3: Avoir accès à tous les fichiers

-Tout d'abord fais Demarrer>Poste de travail.

-Puis dans la fenêtre du Poste de travail, fais Outils>Options des dossiers

-Une fois dans Options des dossiers, va dans l'onglet Affichage, et cherche la ligne "Afficher les fichiers et dossiers cachés".

-Sélectionne là, puis cherche aussi et décoche ces deux lignes : "masquer les extensions des fichiers dont le type est connu" et "masquer les fichiers protégés du système d'exploitation"

-Clique sur "Appliquer à tous les dossiers" et ensuite sur "ok"

Manipulation n°4 : Hijackthis

-Exécute hijackthis

Clique sur "do a scan system only" et coche ces lignes (si tu les trouves) :

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [sBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe<--\ ( première apparition)

O4 - HKLM\..\Run: [Windowsz] rwnt.exe<--\ ( première apparition)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmgn.exe

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe<--\ ( deuxième apparition)

O4 - HKLM\..\Run: [Windowsz] rwnt.exe<--\ ( deuxieme apparition)

O4 - HKLM\..\RunServices: [cnkdsk] C:\WINDOWS\System32\cnkdsk.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe<--\ ( Troisième apparition)

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O16 - DPF: {5BDBA960-6534-11D3-97C7-00500422B550} - https://cat-b5-04.goss.cat.com/download/dolcontrol.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143852268588

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_15.dll (file missing)

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked.

Manipulation n°5 : Suppression des fichiers

1/ Suppression des fichiers en gras si présent

-c:\windows\system32\taskmgn.exe<--\Le fichier

-C:\WINDOWS\System32\cnkdsk.exe<--\Le fichier

-C:\WINDOWS\System32\dcom_15.dll <--\Le fichier

2/Effectue une recherche pour ces fichiers

pour cela fais ceci :

Menu--> Démarrer-->Rechercher

fais une recherche pour les fichiers, puis supprime les :

-MSDNSD32.exe

-rwnt.exe

/!\ il est possible que certains dossier ou fichier ne soient plus présent, ne t'inquiete pas pour cela. /!\

indique moi seulement quels fichiers tu n'as pas trouvés, dans ta prochaine réponse.

Vider la corbeille

Manipulation n°6 : Nettoyage avec les programmes :

Exécute EasyCleaner (Utiliser le raccourci sur le bureau) :

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utilise les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque :

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find".Lorsque le scan est terminé, clique sur "Delete all".

------------

Exécute Ewido et clique sur scanner puis sur scan complet du système.

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer

(avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

Manipulation n° : Redémarrage en mode Normal

Il suffit que tu redémarres ton pc normalement.

Manipulation n° : Retour sur le forum

Tu postes le rapport d'ewido qui doit se trouver sur le bureau.

Puis un nouveau log hijackthis.

Indique moi également l'état actuel de ton Ordinateur, constates-tu des améliorations ?

Pendant que j'analyse les rapports d'ewido et le nouveau log hijackthis, tu vas faire un scan en ligne :

Fais le scan Ici

demo panda

PS: Tu dois impérativement le faire avec Internet Explorer .

et poste le rapport dans la prochaine réponse.

A suivre:

-Analyse des rapports

-Suppression des éléments inutiles

-conseils de sécurité

Amicalement.

FTZ59 · le 20 avril 2006

Salut Lomaster,

Merci pour la procédure à suivre. Je l'ai exécutée au pied de la lettre, et ce n'était pas si compliqué que çà.

Qques remarques avant les logs, concernant le nettoyage avec Easycleaner. Dans l'option "inutiles", il y a deux fichiers internet tempo qui n'ont pas pu êetre nettoyés:

C:\Documents and settings\XXXXXX\Local Settings\Temporary internet files\Content.IE5

C:\Documents and settings\XXXXXX\Local Settings\Temporary internet files\Content.IE5\index.dat

Dans la manipulation n°5 (Suppression des fichiers manuelle), les fichiers que tu m'avais indiqués n'ont pas été trouvés.

J'ai trouvé un taskmgr.exe mais pas le taskmgn.exe que tu voulais que j'efface.

Pas de cnkdsk.exe non plus, ni de dcom_15.dll ou MSDNSD32.exe ou encore rwnt.exe.

Voici les logs de EWIDO:

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

+ Créé le: 0:31:32, 21/04/2006

+ Somme de contrôle: 44F0BDF4

+ Résultats du scan:

C:\Documents and Settings\Amélie Bachelart\Cookies\amélie bachelart@2o7[2].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder

C:\Documents and Settings\Amélie Bachelart\Cookies\amélie bachelart@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer et sauvegarder

C:\Documents and Settings\Amélie Bachelart\Cookies\amélie bachelart@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

C:\Documents and Settings\Amélie Bachelart\Cookies\amélie bachelart@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Nettoyer et sauvegarder

C:\Documents and Settings\Amélie Bachelart\Cookies\amélie bachelart@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\Amélie Bachelart\Cookies\amélie bachelart@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder

C:\Documents and Settings\Amélie Bachelart\Cookies\amélie bachelart@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder

C:\Documents and Settings\Amélie Bachelart\Cookies\amélie bachelart@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K1AJ478J\owatqjgqw[1].txt -> Not-A-Virus.Hoax.Win32.Renos.bw : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\YHQ1OP0R\mm[1].exe -> Trojan.Agent.gs : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\SpySheriff -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\SpySheriff\SpySheriff.lnk -> Adware.SpySheriff : Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1659004503-1202660629-725345543-1003\Dc752.txt -> TrackingCookie.Yieldmanager : Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1659004503-1202660629-725345543-1003\Dc833.txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder

C:\RECYCLER\S-1-5-21-1659004503-1202660629-725345543-1003\Dc866.txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

::Fin du rapport

Et le log de HiJackThis fait après le redémarrage en mode normal.

Logfile of HijackThis v1.99.1

Scan saved at 0:34:44, on 21/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec Client Security\DefWatch.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Symantec Client Security\Rtvscan.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvraidservice.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\WINDOWS\system32\NotifyPhoneBook.exe

C:\Program Files\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\system32\Utility.exe \1008

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)