|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour,
Je n'en peux plus de ces pages de pub qu s'ouvrent sans cesse, je pense avoir tout essayé : C cleaner, avast, antivir, windows defender ..., mais rien n'y fait, ça dépasse vraiment mes compétences et je compte bcps sur votre aide.
J'ai vu sur le forum que bien souvent, vous parvenez à trouver 1 solution.
J'ai un rapport hijackthis que j'ai enrgistré.
Que faire maintenant ??
merci pour votre aide précieuse
-->Message édité par fazer75 le 14/05/2008 19:28:25<--
|
|
Imagine ...
|
|
|
 fazer75 et ... ![[:kmisol:2]](/data/globaldata/usmilies/kmisol-2.gif "[:kmisol:2]")
Quel est ton outil système ? XP, Vista, etc ...
|
|
|
|
|
salut,
je suis sous vista
|
|
Imagine ...
|
|
|
...
Désactive le contrôle des comptes utilisateurs
(tu le réactiveras après ta désinfection) :
- Va dans Démarrer > Panneau de configuration ;
- Double-vlique sur l'icône "Comptes d'utilisateurs"
- Puis, clique sur désactiver et valide.
Maintenant, télécharge Navilog1
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, fais un clic droit sur le raccourci Navilog1
présent sur ton bureau et choisis "Exécuter en tant qu'administrateur".
Au menu principal, fais le choix 1. Laisses-toi guider et patiente.
Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche : le bloc-notes va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse.
Referme le bloc-notes.
Le rapport fixnavi.txt est, aussi, sauvegardé dans %systemdrive%.
|
|
|
|
|
Search Navipromo version 3.5.6 commencé le 11/05/2008 à 15:25:38,09
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Cédric"
Mise à jour le 02.05.2008 à 22h00 par IL-MAFIOSO
Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16643
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\Windows" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\ProgramData" ***
*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***
*** Recherche dossiers dans "c:\users\cdric~1\appdata\roaming\micros~1\windows\startm~1\programs" ***
*** Recherche dossiers dans "C:\Users\C‚dric\AppData\Local\virtualstore\Program Files" ***
*** Recherche dossiers dans "C:\Users\C‚dric\AppData\Roaming" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\Windows\system32" *
* Recherche dans "C:\Users\C‚dric\AppData\Local\Microsoft" *
* Recherche dans "C:\Users\C‚dric\AppData\Local\virtualstore\windows\system32" *
* Recherche dans "C:\Users\C‚dric\AppData\Local" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\Windows\system32" :
* Dans "C:\Users\C‚dric\AppData\Local\Microsoft" :
* Dans "C:\Users\C‚dric\AppData\Local\virtualstore\windows\system32" :
* Dans "C:\Users\C‚dric\AppData\Local" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
*** Analyse terminée le 11/05/2008 à 15:33:33,78 ***
|
|
Imagine ...
|
|
|
...
Désinstalle Navilog1, en allant dans …
1/ Démarrer > Panneau de Config. > Ajout/suppres… des progr. (ou Programmes et
fonctionnalités sous Vista)
2/ Démarrer > Poste de travail > C:\Program Files
------
Télécharge GenProc (de narco4 et jean-chretien1) sur ton bureau.
Désactive l'UAC jusqu'à la résolution du problème.
Dézippe le dossier et double-clique sur GenProc.bat  .
Poste le contenu du rapport qui s'ouvre.
-> Aide en images.
|
|
|
|
|
Je n'arrive pas à télécharger genproc "error 404 not found"
|
|
Imagine ...
|
|
|
...
Réessaie de temps en temps.
Sinon, je verrais avec le concepteur pour voir si il n' y
a pas un problème.
En attendant, fais un scan HijackThis et poste le rapport.
|
|
|
|
|
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:03:24, on 11/05/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\sttray.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\ACD Systems\FR\DevDetect.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Cédric\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MEOBL788\HiJackThis[1].exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd(...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ECenter] c:\dell\E-Center\EULALauncher.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\CDRIC~1\AppData\Local\Temp\wvUllkjK.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\CDRIC~1\AppData\Local\Temp\byXPjJBT.dll,c
O4 - HKCU\..\Run: [3458d621] rundll32.exe "C:\Users\CDRIC~1\AppData\Local\Temp\nkioldjk.dll",b
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7EA5D2C-CF44-4E7C-A780-3A5A8C23E647}: NameServer = 194.117.200.10,194.117.200.15
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
--
End of file - 7233 bytes
|
|
Imagine ...
|
|
|
...
Toujours avec l' UAC désactivé ...
Télécharge Combofix, sur ton bureau, à partir d’ un de ces 3 liens :
ComboFix 1, ComboFix 2 ou ComboFix 3 (par sUBs).
Puis, démarre en mode sans échec …
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
ComboFix redémarrera ton PC.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse et nouveau rapport hijackthis
PS : Le rapport se trouve également ici : C:\Combofix.txt
|
|
|
|
|
ComboFix 08-05-09.1 - Cédric 2008-05-11 16:44:23.2 - NTFSx86 MINIMAL
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1685 [GMT 2:00]
Endroit: C:\Users\Cédric\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Windows\system32\bsareooc.ini
C:\Windows\System32\NXxbcMoq.ini
C:\Windows\System32\NXxbcMoq.ini2
.
---- Previous Run -------
.
C:\Windows\system32\aedavjsy.ini
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-11 to 2008-05-11 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier cr‚‚ dans cet espace de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-11 13:56 --------- d-----w C:\Program Files\Navilog1
2008-05-11 12:39 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-11 11:49 --------- d-----w C:\Program Files\Registry Defender Platinum
2008-05-10 22:35 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-05-10 22:19 --------- d-----w C:\ProgramData\Avira
2008-05-10 22:19 --------- d-----w C:\Program Files\Avira
2008-05-10 21:39 --------- d---a-w C:\ProgramData\TEMP
2008-05-04 18:47 --------- d-----w C:\Program Files\Microsoft Picture It! 7
2008-04-16 20:11 --------- d-----w C:\ProgramData\Roxio
2008-04-10 09:42 --------- d-----w C:\Program Files\Windows Mail
2008-04-05 07:47 --------- d-----w C:\Program Files\Ressources Windows Mobile
2008-03-29 17:32 50,768 ----a-w C:\Windows\system32\drivers\aswMonFlt.sys
2008-03-28 20:49 --------- d-----w C:\Program Files\Canal
2008-03-28 20:47 --------- d-----w C:\Program Files\Common Files\Adobe AIR
2008-03-23 20:40 --------- d-----w C:\Program Files\Photo Viewer 3.03fs
2008-03-22 19:57 --------- d-----w C:\Program Files\EA GAMES
2008-03-22 19:56 --------- d-----w C:\Program Files\Electronic Arts
2008-02-21 04:43 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-16 14:55 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-16 14:55 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-16 14:55 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-02-16 14:55 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-16 14:55 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2007-09-01 15:49 174 --sha-w C:\Program Files\desktop.ini
2007-11-28 19:38 16,384 --sha-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-11-28 19:38 32,768 --sha-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-11-28 19:38 16,384 --sha-w C:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.
------- Sigcheck -------
.
((((((((((((((((((((((((((((( snapshot@2008-05-11_16.40.33.99 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-11 14:33:32 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-05-11 14:49:27 67,584 --s-a-w C:\Windows\bootstat.dat
- 2008-05-11 13:32:23 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-11 14:50:44 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-11 14:34:08 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-11 14:50:02 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-11 14:50:02 262,144 ---ha-w C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1
- 2008-05-11 13:44:06 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-11 14:41:29 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-11 14:34:08 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-11 14:50:02 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-11 14:50:02 262,144 ---ha-w C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
- 2008-05-11 14:34:18 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2008-05-11 14:50:03 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-05-11 14:34:18 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-05-11 14:50:03 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-05-11 14:34:18 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-05-11 14:50:03 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-05-11 14:40:21 91,776 ----a-w C:\Windows\System32\cooerasb.dll
+ 2008-05-09 20:32:10 29,824 ----a-w C:\Windows\System32\hgGxVMEW.dll
+ 2008-05-11 14:39:32 320,640 ----a-w C:\Windows\System32\qoMcbxXN.dll
- 2008-05-11 13:20:15 10,692 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2886726407-2291603696-1589721707-1000_UserData.bin
+ 2008-05-11 14:38:05 10,962 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2886726407-2291603696-1589721707-1000_UserData.bin
- 2008-05-11 13:20:15 66,412 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-05-11 14:38:05 66,616 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{70846061-BB29-4085-9D75-6FEE2E2694DE}]
C:\Users\CDRIC~1\AppData\Local\Temp\byXPjJBT.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ABBF2CBB-7838-48C4-9501-DEBC357939E2}]
2008-05-11 16:39 320640 --a------ C:\Windows\system32\qoMcbxXN.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-02-16 16:55 1232896]
"Device Detector"="DevDetect.exe" []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-05-09 21:07 1006264]
"SigmatelSysTrayApp"="sttray.exe" [2007-02-08 07:11 303104 C:\Windows\sttray.exe]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2006-10-03 12:37 81920]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2006-11-17 23:13 17920]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-10-04 22:24 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-10-04 22:24 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-10-04 22:24 81920]
"NVHotkey"="C:\Windows\system32\nvHotkey.dll" [2007-10-04 22:24 86016]
"Windows Mobile Device Center"="%windir%\WindowsMobile\wmdc.exe" [ ]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-18 01:52 815104]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"MSServer"="C:\Windows\system32\hgGxVMEW.dll" [2008-05-09 22:32 29824]
"3458d621"="C:\Windows\system32\cooerasb.dll" [2008-05-11 16:40 91776]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{84FEBFF8-945B-4F9A-B9B8-B68EC5020770}"= C:\Windows\system32\hgGxVMEW.dll [2008-05-09 22:32 29824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Digital Line Detect.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Digital Line Detect.lnk
backup=C:\Windows\pss\Digital Line Detect.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Lancement rapide d'Adobe Reader.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Lancement rapide d'Adobe Reader.lnk
backup=C:\Windows\pss\Lancement rapide d'Adobe Reader.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^QuickSet.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\QuickSet.lnk
backup=C:\Windows\pss\QuickSet.lnk.CommonStartup
backupExtension=.CommonStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Photo Downloader]
C:\Program Files\Corel\Corel Snapfire Plus\PhotoDownloader.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DellSupport]
--a------ 2006-11-12 03:19 446976 C:\Program Files\DellSupport\DSAgnt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
--a------ 2006-11-02 14:35 125440 C:\Windows\ehome\ehTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
--a------ 2007-05-04 00:36 240640 C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--------- 2006-10-13 12:31 184320 C:\Program Files\Dell\MediaDirect\PCMService.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 15:57 282624 C:\Program Files\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray]
--a------ 2006-11-05 12:22 221184 C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-05-04 00:19 77824 c:\Program Files\Java\jre1.6.0\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2006-11-18 01:52 815104 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-05-20 22:58 185896 C:\Program Files\Common Files\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{EC470110-3D35-4532-ACCB-6237E572EA12}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"TCP Query User{530B3C85-F5DF-431B-8FD2-3227E567BAF7}C:\\program files\\real\\realplayer\\realplay.exe"= UDP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"UDP Query User{E3F6D57E-4D92-4E94-A361-9309613F2DED}C:\\program files\\real\\realplayer\\realplay.exe"= TCP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"TCP Query User{64223DA6-3428-48E1-9B71-84CCF01D11F1}C:\\program files\\internet explorer\\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{BE947B39-4CF8-4F5A-B34B-E46024DB1D6A}C:\\program files\\internet explorer\\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"TCP Query User{EE62812C-A9A2-4B19-B7BE-AE3C090CC651}C:\\program files\\internet explorer\\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{B48EC392-9720-4E14-B5D3-3432D1A68D35}C:\\program files\\internet explorer\\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-03-29 19:32]
R2 RapiMgr;Windows Mobile-based device connectivity;C:\Windows\system32\svchost.exe [2006-11-02 11:45]
R2 WcesComm;Windows Mobile-2003-based device connectivity;C:\Windows\system32\svchost.exe [2006-11-02 11:45]
R2 XAudio;XAudio;C:\Windows\system32\DRIVERS\xaudio.sys [2006-11-12 01:10]
S3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 09:36]
S3 sonypvs1;Sony Digital Imaging Video2;C:\Windows\system32\DRIVERS\sonypvs1.sys [2002-10-15 22:41]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-11 13:44:00 C:\Windows\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-05-10 20:53:28 C:\Windows\Tasks\User_Feed_Synchronization-{85AA868B-4E33-41A3-AD84-C955AB1000DC}.job"
- C:\Windows\system32\msfeedssync.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-11 16:50:28
Windows 6.0.6000 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\Windows\system32\winlogon.exe
-> C:\Windows\system32\hgGxVMEW.dll
PROCESS: C:\Windows\Explorer.exe
-> C:\Windows\system32\cooerasb.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\ACD Systems\FR\DevDetect.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stacsv.exe
C:\Windows\System32\drivers\XAudio.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-11 16:56:41 - machine was rebooted [C‚dric]
ComboFix-quarantined-files.txt 2008-05-11 14:56:17
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Le texte du message associ‚ au num‚ro 0x2379 est introuvable dans le fichier de messages pour Application.
225 --- E O F --- 2008-05-10 20:07:44
|
|
|
|
|
Merci Kamisol
Je ne sais pas si les manips sont terminées, mais tout parait etre redevenu en ordre !!! 
confirme moi si c'est bien terminé, si c'est le cas, mille mercis . 
|
|
Imagine ...
|
|
|
...
Toujours avec l' UAC désactivé ...
(si ce n’ est déjà fait) Télécharge CCleaner …
("Download Latest Version", sur la droite) et laisse-toi guider.
Ne coche pas "Ajouter la barre d' outils Yahoo".
Laisse-le s’ installer tel que …
Ferme toutes les fenêtres et applications.
Relance HijackThis et clique sur > Do a system scan only puis, coche
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\CDRIC~1\AppData\Local\Temp\wvUllkjK.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\CDRIC~1\AppData\Local\Temp\byXPjJBT.dll,c
O4 - HKCU\..\Run: [3458d621] rundll32.exe "C:\Users\CDRIC~1\AppData\Local\Temp\nkioldjk.dll",b
Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.
Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.
Pas sur que le problème soit réglé ...
|
|
|
|
|
En effet, je m'étais un peu emballé  , mais après la dernière manip 'suppression des lignes), plus aucun problème.
Peux tu me dire ce qui s'est passé et comment j'ai eu cette cochonnerie?
encore une fois merci
dernière question : que me conseilles tu en terme de protection ?
|
|
Imagine ...
|
|
|
fazer75
Lance HijackThis …
Clique sur Open the misc tools sections -> Open Uninstall manager.
Clique sur "Save list" puis, enregistre le fichier.
Fais-en un copier/coller dans ta prochaine réponse.
|
|
|
|
|
ACDSee 10 Gestionnaire de photos
Ad-Aware SE Personal
Adobe AIR
Adobe AIR
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe Reader 7.0.9 - Français
Apple Software Update
Assistant Personnalisation du systéme Dell
avast! Antivirus
Cars - La Coupe Internationale de Martin
CCleaner (remove only)
Colin McRae Rally 04
Conexant HDA D110 MDC V.92 Modem
DellSupport
Digimax Master
Digital Line Detect
Disney-Pixar Ratatouille
DivX Codec
Electronic Arts Product Registration
Gestionnaire pour appareils Windows Mobile
Google Desktop
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Guide de l'utilisateur
Harry Potter et la Coupe de Feu™
Harry Potter et le prisonnier d'Azkaban(TM)
Harry Potter II
Harry Potter TM
HijackThis 2.0.2
Java(TM) SE Runtime Environment 6
Language pack for Ad-Aware SE
livebox
MediaDirect
Microsoft Office Access MUI (French) 2007
Microsoft Office Excel MUI (French) 2007
|
|
|
|
|
J'ai fait un mauvais copier-coller, voici le dernier rapport :
ACDSee 10 Gestionnaire de photos
Ad-Aware SE Personal
Adobe AIR
Adobe AIR
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe Reader 7.0.9 - Français
Apple Software Update
Assistant Personnalisation du systéme Dell
avast! Antivirus
Cars - La Coupe Internationale de Martin
CCleaner (remove only)
Colin McRae Rally 04
Conexant HDA D110 MDC V.92 Modem
DellSupport
Digimax Master
Digital Line Detect
Disney-Pixar Ratatouille
DivX Codec
Electronic Arts Product Registration
Gestionnaire pour appareils Windows Mobile
Google Desktop
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Guide de l'utilisateur
Harry Potter et la Coupe de Feu™
Harry Potter et le prisonnier d'Azkaban(TM)
Harry Potter II
Harry Potter TM
HijackThis 2.0.2
Java(TM) SE Runtime Environment 6
Language pack for Ad-Aware SE
livebox
MediaDirect
Microsoft Office Access MUI (French) 2007
Microsoft Office Excel MUI (French) 2007
Microsoft Office InfoPath MUI (French) 2007
Microsoft Office Outlook MUI (French) 2007
Microsoft Office PowerPoint MUI (French) 2007
Microsoft Office Professional Plus 2007
Microsoft Office Professional Plus 2007
Microsoft Office Proof (Arabic) 2007
Microsoft Office Proof (Dutch) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (French) 2007
Microsoft Office Publisher MUI (French) 2007
Microsoft Office Shared MUI (French) 2007
Microsoft Office Word MUI (French) 2007
Microsoft Photo Pro 7.0
Microsoft Works
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
NetWaiting
NVIDIA Drivers
Outil de diagnostic de modem
OutlookAddinSetup
Photo Viewer 3.03fs
QuickSet
QuickTime
RealPlayer
Ressources Windows Mobile
Roxio Creator Audio
Roxio Creator BDAV Plugin
Roxio Creator Copy
Roxio Creator Data
Roxio Creator DE
Roxio Creator Tools
Roxio Express Labeler
Roxio MyDVD DE
Roxio Update Manager
Samsung USB Driver
SigmaTel Audio
Sonic Activation Module
Sony USB Driver
Synaptics Pointing Device Driver
URL Assistant
Windows Mobile Device Center Driver Update
|
|
Imagine ...
|
|
|
...
Réessaie GenProc !
Tjrs avec l' UAC désactivé :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip (v1.84)
-->Message édité par kmisol le 12/05/2008 14:49:07<--
|
|
|
|
|
Rapport GenProc 1.951 [1] effectué le 12/05/2008 à 16:41:07,95 - Windows Vista
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
# Etape 1/ Télécharge :
- VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau
- combofix.exe (par sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm (choisis ta session courante "Cédric") *****
# Etape 2/
* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo
* Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra
# Etape 3/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 4/
Redémarre normalement et poste, dans la même réponse :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
|
|
Imagine ...
|
|
|
...
Mets cette procédure en application (dans l' ordre, si possible).
Une fois achevée, poste les rapports.
Bon sourage  .
|
|
|
|
|
Ci dessous le rapport combofix :[/[/color]s]
ComboFix 08-05-11.1 - Cédric 2008-05-12 20:32:36.3 - NTFSx86 MINIMAL
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1627 [GMT 2:00]
Endroit: C:\Users\Cédric\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Windows\System32\dcbbdNnn.ini
C:\Windows\System32\dcbbdNnn.ini2
C:\Windows\system32\nskldena.ini
C:\Windows\System32\NXadMUtv.ini
C:\Windows\System32\NXadMUtv.ini2
C:\Windows\System32\NXxbcMoq.ini
C:\Windows\System32\NXxbcMoq.ini2
C:\Windows\system32\rjtxddss.ini
C:\Windows\system32\twxojjdy.ini
C:\Windows\System32\UELRCcdd.ini
C:\Windows\System32\UELRCcdd.ini2
C:\Windows\system32\xgcdioof.ini
C:\Windows\System32\XGfMnXyb.ini
C:\Windows\System32\XGfMnXyb.ini2
C:\Windows\system32\yifxmyti.ini
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-12 to 2008-05-12 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier cr‚‚ dans cet espace de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-11 20:15 --------- d-----w C:\Program Files\Trend Micro
2008-05-11 20:00 --------- d-----w C:\Program Files\CCleaner
2008-05-11 19:43 --------- d-----w C:\ProgramData\Avira
2008-05-11 13:56 --------- d-----w C:\Program Files\Navilog1
2008-05-11 12:39 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-11 11:49 --------- d-----w C:\Program Files\Registry Defender Platinum
2008-05-10 22:35 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-05-10 22:19 --------- d-----w C:\Program Files\Avira
2008-05-10 21:39 --------- d---a-w C:\ProgramData\TEMP
2008-05-04 18:47 --------- d-----w C:\Program Files\Microsoft Picture It! 7
2008-04-16 20:11 --------- d-----w C:\ProgramData\Roxio
2008-04-10 09:42 --------- d-----w C:\Program Files\Windows Mail
2008-04-05 07:47 --------- d-----w C:\Program Files\Ressources Windows Mobile
2008-03-29 17:32 50,768 ----a-w C:\Windows\system32\drivers\aswMonFlt.sys
2008-03-28 20:49 --------- d-----w C:\Program Files\Canal
2008-03-28 20:47 --------- d-----w C:\Program Files\Common Files\Adobe AIR
2008-03-23 20:40 --------- d-----w C:\Program Files\Photo Viewer 3.03fs
2008-03-22 19:57 --------- d-----w C:\Program Files\EA GAMES
2008-03-22 19:56 --------- d-----w C:\Program Files\Electronic Arts
2008-02-21 04:43 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-16 14:55 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-16 14:55 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-16 14:55 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-02-16 14:55 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-16 14:55 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2007-09-01 15:49 174 --sha-w C:\Program Files\desktop.ini
2007-11-28 19:38 16,384 --sha-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-11-28 19:38 32,768 --sha-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-11-28 19:38 16,384 --sha-w C:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.
------- Sigcheck -------
.
((((((((((((((((((((((((((((( snapshot@2008-05-11_16.40.33.99 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-11 14:33:32 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-05-12 18:36:23 67,584 --s-a-w C:\Windows\bootstat.dat
- 2008-05-11 13:32:23 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-12 18:03:23 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-11 14:34:08 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-12 18:36:53 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-12 18:36:53 262,144 ---ha-w C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1
- 2008-05-11 13:44:06 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-12 18:04:56 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-11 14:34:08 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-12 18:36:53 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-12 18:36:53 262,144 ---ha-w C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
+ 2008-05-11 16:50:07 91,776 ------w C:\Windows\System32\anedlksn.dll
+ 2008-05-11 16:49:26 320,640 ----a-w C:\Windows\System32\byXnMfGX.dll
- 2008-05-11 14:34:18 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2008-05-12 18:37:36 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-05-11 14:34:18 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-05-12 18:37:36 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-05-11 14:34:18 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-05-12 18:37:36 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-05-11 14:27:54 262,144 ----a-w C:\Windows\System32\config\systemprofile\ntuser.dat
+ 2008-05-12 18:32:33 262,144 ----a-w C:\Windows\System32\config\systemprofile\ntuser.dat
+ 2008-05-12 18:32:33 262,144 ---ha-w C:\Windows\System32\config\systemprofile\ntuser.dat.LOG1
+ 2008-05-12 18:05:42 319,104 ----a-w C:\Windows\System32\ddcCRLEU.dll
+ 2008-05-09 20:32:10 29,824 ----a-w C:\Windows\System32\efcASlKa.dll
+ 2008-05-11 20:00:16 91,776 ----a-w C:\Windows\System32\fooidcgx.dll
+ 2008-05-12 10:56:42 320,640 ----a-w C:\Windows\System32\nnNdbbcd.dll
+ 2008-05-09 20:32:10 29,824 ----a-w C:\Windows\System32\nnnnNExW.dll
+ 2008-05-11 14:39:32 320,640 ----a-w C:\Windows\System32\qoMcbxXN.dll
+ 2008-05-11 19:59:34 320,640 ----a-w C:\Windows\System32\vtUMdaXN.dll
- 2008-05-11 13:20:15 10,692 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2886726407-2291603696-1589721707-1000_UserData.bin
+ 2008-05-12 18:03:52 11,082 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2886726407-2291603696-1589721707-1000_UserData.bin
- 2008-05-11 13:20:15 66,412 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-05-12 18:03:52 66,872 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2008-05-11 13:20:13 54,952 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2008-05-12 18:03:50 55,572 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
- 2008-02-21 08:30:15 230,590 ----a-w C:\Windows\System32\WDI\SuspendPerformanceDiagnostics_SystemData_FastS4.bin
+ 2008-05-12 14:33:47 231,682 ----a-w C:\Windows\System32\WDI\SuspendPerformanceDiagnostics_SystemData_FastS4.bin
+ 2008-05-09 20:32:10 29,824 ----a-w C:\Windows\System32\wvUkHWPj.dll
+ 2008-05-12 18:06:26 91,328 ----a-w C:\Windows\System32\ydjjoxwt.dll
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{70846061-BB29-4085-9D75-6FEE2E2694DE}]
C:\Users\CDRIC~1\AppData\Local\Temp\byXPjJBT.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D829086D-C3AB-4A48-8FD9-101C91F547BF}]
2008-05-11 18:49 320640 --a------ C:\Windows\system32\byXnMfGX.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\windows sidebar\sidebar.exe" [2008-02-16 16:55 1232896]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SigmatelSysTrayApp"="sttray.exe" [2007-02-08 07:11 303104 C:\Windows\sttray.exe]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2006-11-17 23:13 17920]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-10-04 22:24 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-10-04 22:24 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-10-04 22:24 81920]
"MSServer"="C:\Windows\system32\nnnnNExW.dll" [2008-05-09 22:32 29824]
"3458d621"="C:\Windows\system32\ydjjoxwt.dll" [2008-05-12 20:06 91328]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{84FEBFF8-945B-4F9A-B9B8-B68EC5020770}"= C:\Windows\system32\nnnnNExW.dll [2008-05-09 22:32 29824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Digital Line Detect.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Digital Line Detect.lnk
backup=C:\Windows\pss\Digital Line Detect.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Lancement rapide d'Adobe Reader.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Lancement rapide d'Adobe Reader.lnk
backup=C:\Windows\pss\Lancement rapide d'Adobe Reader.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^QuickSet.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\QuickSet.lnk
backup=C:\Windows\pss\QuickSet.lnk.CommonStartup
backupExtension=.CommonStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\3458d621]
--a------ 2008-05-11 22:00 91776 C:\Windows\system32\fooidcgx.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Photo Downloader]
C:\Program Files\Corel\Corel Snapfire Plus\PhotoDownloader.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DellSupport]
--a------ 2006-11-12 03:19 446976 C:\Program Files\DellSupport\DSAgnt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detector]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
--a------ 2006-11-02 14:35 125440 C:\Windows\ehome\ehTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
--a------ 2007-05-04 00:36 240640 C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray]
C:\Program Files\Spyware Doctor\pctsTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSServer]
C:\Users\CDRIC~1\AppData\Local\Temp\yayyVnLc.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--------- 2006-10-13 12:31 184320 C:\Program Files\Dell\MediaDirect\PCMService.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 15:57 282624 C:\Program Files\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxWatchTray]
--a------ 2006-11-05 12:22 221184 C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-05-04 00:19 77824 c:\Program Files\Java\jre1.6.0\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2006-11-18 01:52 815104 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-05-20 22:58 185896 C:\Program Files\Common Files\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
--a------ 2007-05-09 21:07 1006264 C:\Program Files\Windows Defender\MSASCui.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Mobile Device Center]
%windir%\WindowsMobile\wmdc.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{EC470110-3D35-4532-ACCB-6237E572EA12}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"TCP Query User{530B3C85-F5DF-431B-8FD2-3227E567BAF7}C:\\program files\\real\\realplayer\\realplay.exe"= UDP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"UDP Query User{E3F6D57E-4D92-4E94-A361-9309613F2DED}C:\\program files\\real\\realplayer\\realplay.exe"= TCP:C:\program files\real\realplayer\realplay.exe:RealPlayer
"TCP Query User{64223DA6-3428-48E1-9B71-84CCF01D11F1}C:\\program files\\internet explorer\\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{BE947B39-4CF8-4F5A-B34B-E46024DB1D6A}C:\\program files\\internet explorer\\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"TCP Query User{EE62812C-A9A2-4B19-B7BE-AE3C090CC651}C:\\program files\\internet explorer\\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{B48EC392-9720-4E14-B5D3-3432D1A68D35}C:\\program files\\internet explorer\\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-03-29 19:32]
R2 RapiMgr;Windows Mobile-based device connectivity;C:\Windows\system32\svchost.exe [2006-11-02 11:45]
R2 WcesComm;Windows Mobile-2003-based device connectivity;C:\Windows\system32\svchost.exe [2006-11-02 11:45]
R2 XAudio;XAudio;C:\Windows\system32\DRIVERS\xaudio.sys [2006-11-12 01:10]
S3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 09:36]
S3 sonypvs1;Sony Digital Imaging Video2;C:\Windows\system32\DRIVERS\sonypvs1.sys [2002-10-15 22:41]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f162c611-f9c1-11db-a084-806e6f6e6963}]
\shell\AutoRun\command - E:\Eautorun.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-11 13:44:00 C:\Windows\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-05-11 22:22:46 C:\Windows\Tasks\User_Feed_Synchronization-{85AA868B-4E33-41A3-AD84-C955AB1000DC}.job"
- C:\Windows\system32\msfeedssync.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-12 20:37:04
Windows 6.0.6000 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\Windows\system32\winlogon.exe
-> C:\Windows\system32\nnnnNExW.dll
PROCESS: C:\Windows\Explorer.exe
-> C:\Windows\system32\ydjjoxwt.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stacsv.exe
C:\Windows\System32\drivers\XAudio.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Windows\System32\conime.exe
C:\Windows\System32\dllhost.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-12 20:41:57 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-12 18:41:45
ComboFix2.txt 2008-05-11 14:56:42
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Le texte du message associ‚ au num‚ro 0x2379 est introuvable dans le fichier de messages pour Application.
251 --- E O F --- 2008-05-10 20:07:44
Puis le rapport hijackthis :[/[color=#ff4a00]s]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:52:24, on 12/05/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\sttray.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {70846061-BB29-4085-9D75-6FEE2E2694DE} - C:\Users\CDRIC~1\AppData\Local\Temp\byXPjJBT.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O2 - BHO: (no name) - {D829086D-C3AB-4A48-8FD9-101C91F547BF} - C:\Windows\system32\byXnMfGX.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
| | |
