[resolu] iexplore se lance tout seul et sature mon UC - Sécurité, virus et assimilés::Virus

Passionné(e) d'internet, de logiciels, de forums ? 01net recrute...

Auteur

Message

kermitt

Posté le 12/06/2008 18:53:37

Bonjour!

Voila j'ai un problème depuis un moment: mon pc rame, et quand je regarde dans le gestionnaire des taches, il y a toujours un ou deux iexplore.exe qui tournent et mangent toute la ressource...
Le processus se relance automatiquement quand je l'arrête.
En plus quand je fais une recherche google je suis redirigé sur des pubs ou un moteur de recherche bidon :grrr:

J'utilise antivir et ad-aware 2007, aucun des deux ne résout le problème

Si quelqu'un avait une idée... La mienne pour l'instant est de réinstaller windows mais c'est peut-être un peu violent!!
Merci d'avance!

-->Message édité par kermitt le 23/06/2008 18:22:06<--

naheulbeuk

Posté le 18/06/2008 14:10:06

bonjour,

Télécharge HijackThis

Guide d'utilisation : http://www.site-naheulbeuk.com/hijackthis.php

Clique alors sur "Do a system scan and save a logfile"
Le scan se fait très rapidement, puis un bloc-note apparaît
(le "logfile")
Dans ce bloc-note, va dans "Edition", puis "Selectionner Tout",
le texte est alors séléctionné, retourne dans "Edition" toujours
en laissant le texte séléctionné, et clique sur copier.
Colle le contenu ici dans ta prochaine réponse !

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

kermitt

Posté le 19/06/2008 18:12:15

Merci pour ta réponse!
Voici le log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:32, on 19/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\hjt\HijackThis.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Flag Owns Live Grim] D:\Documents and Settings\All Users\Application Data\Software rule flag owns\Audio Settings.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [Meta grim] D:\DOCUME~1\Jul\APPLIC~1\SIGNBO~1\BAGS THUNK.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-2851712606-367595695-3300278134-1006\..\Run: [Configuration de la neuf Box] C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe (User 'Réchou')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-2851712606-367595695-3300278134-1006 Startup: Screen Saver Control.lnk = C:\WINDOWS\FSScrCtl.exe (User 'Réchou')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{97D8193C-84B8-4192-831E-3AA725527150}: NameServer = 85.255.116.136,85.255.112.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5E808B9-FD47-4BBA-92B5-88FCBB20FA53}: NameServer = 85.255.116.136,85.255.112.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{C34284F9-1E4E-44CA-9A2B-6F3E8BBA9D8F}: NameServer = 85.255.116.136,85.255.112.238
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.136 85.255.112.238
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.136 85.255.112.238
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: Comgb0unr - CMD Technology, Inc. - (no file)
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10539 bytes

Pour info, j'ai effectué le scan sous la session qui est la plus infectée (il y a 2 comptes utilisateurs sur mon PC).

-->Message édité par kermitt le 19/06/2008 18:39:14<--

naheulbeuk

Posté le 20/06/2008 11:06:37

bonjour, t'es infecté par WareOut qui détourne tes DNS et donc tes recherches et pages internet

et lop qui t'affiche des pubs sur le net

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

Télécharge le FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Scan et coche les lignes suivantes:

O17 - HKLM\System\CCS\Services\Tcpip\..\{97D8193C-84B8-4192-831E-3AA725527150}: NameServer = 85.255.116.136,85.255.112.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5E808B9-FD47-4BBA-92B5-88FCBB20FA53}: NameServer = 85.255.116.136,85.255.112.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{C34284F9-1E4E-44CA-9A2B-6F3E8BBA9D8F}: NameServer = 85.255.116.136,85.255.112.238
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.136 85.255.112.238
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.136 85.255.112.238

Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

:hello:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

kermitt

Posté le 20/06/2008 17:58:38

Hello
J'ai suivi tes instructions, et il y a du mieux: plus de détournement lors des recherches, par contre iexplore se lance encore tout seul.
Pendant le fix, antivir a trouvé des "trojan horse", je pense qu'il vaut mieux que je le signale. Par contre j'ai pas noté lesquels

Après le scan avec hjt, les lignes que tu m'avais désignées n'étaient plus dans le rapport... donc pas pu les supprimer.

Le rapport de fixwareout:

Username "Jul" - 20/06/2008 17:23:19 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kduxi.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.116.136 85.255.112.238" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{97D8193C-84B8-4192-831E-3AA725527150}
"nameserver"="85.255.116.136,85.255.112.238" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{A5E808B9-FD47-4BBA-92B5-88FCBB20FA53}
"nameserver"="85.255.116.136,85.255.112.238" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{C34284F9-1E4E-44CA-9A2B-6F3E8BBA9D8F}
"nameserver"="85.255.116.136,85.255.112.238" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{8FEDED2D-763C-44CB-AEAA-5C9D637C4DDB}
"DhcpNameServer"="85.255.116.136,85.255.112.238" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{97D8193C-84B8-4192-831E-3AA725527150}
"DhcpNameServer"="85.255.116.136,85.255.112.238" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{C34284F9-1E4E-44CA-9A2B-6F3E8BBA9D8F}
"DhcpNameServer"="85.255.116.136,85.255.112.238" <Value cleared.

Cache de résolution DNS vidé.

System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Other
C:\WINDOWS\Temp\kduxi.ren 58368 13/06/2007

C:\Program Files\Video ActiveX Object < Found
Additional tools are recommended.

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE"
"ATIPTA"="C:\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_02\\bin\\jusched.exe\""
"Ulead AutoDetector v2"="C:\\Program Files\\Fichiers communs\\Ulead Systems\\AutoDetector\\monitor.exe"
"PCMService"="\"c:\\Apps\\Powercinema\\PCMService.exe\""
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32\""
"ACTIVBOARD"="c:\\apps\\ABoard\\ABoard.exe"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\QTTask.exe\" -atboottime"
"Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""
"Flag Owns Live Grim"="D:\\Documents and Settings\\All Users\\Application Data\\Software rule flag owns\\Audio Settings.exe"
"avgnt"="\"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"msnmsgr"="\"C:\\Program Files\\Windows Live\\Messenger\\MsnMsgr.Exe\" /background"
"updateMgr"="C:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe AcRdB7_0_9"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
"WINSOS VERIFY"="\"C:\\Program Files\\Winsos\\WINSOS.EXE\" MINI"
"Meta grim"="D:\\DOCUME~1\\Jul\\APPLIC~1\\SIGNBO~1\\BAGS THUNK.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
C:\WINDOWS\repair\autoexec.nt missing
C:\WINDOWS\repair\Config.nt missing
~~~~~ End report ~~~~~

Le rapport de hjt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:31:15, on 20/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
D:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Flag Owns Live Grim] D:\Documents and Settings\All Users\Application Data\Software rule flag owns\Audio Settings.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [Meta grim] D:\DOCUME~1\Jul\APPLIC~1\SIGNBO~1\BAGS THUNK.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: Comgb0unr - CMD Technology, Inc. - (no file)
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9293 bytes

naheulbeuk

Posté le 20/06/2008 22:49:37

1) Télécharge SmitFraudFix
Guide d'utilisation : http://www.site-naheulbeuk.com/smitfraudfix.php

Double clic sur SmitfraudFix.exe pour le lancer
Choisis l'option 1 (Recherche)
Post moi le rapport !

2) Redémarre en mode sans échec (F8 lors du boot)
Aide : http://www.site-naheulbeuk.com/smitfraudfix.php#nettoyage
Relance SmitfraudFix et choisis cette fois l’option 2 et réponds oui à chaque question

3) Redémarre en mode normal
Post moi le 2ème rapport !

bonne soirée :hello:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

kermitt

Posté le 21/06/2008 04:33:36

Bon j'ai fait une tite connerie...
Je n'ai pas posté le 1er rapport avant de relancer smitfraudfix, et je n'ai pas pensé qu'il serait écrasé ensuite.
Donc je n'ai que le deuxième rapport a poster:

SmitFraudFix v2.328

Rapport fait à 4:14:55,68, 21/06/2008
Executé à partir de D:\Documents and Settings\Jul\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Program Files\Video ActiveX Access\ supprimé
C:\Program Files\Video ActiveX Object\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A5E808B9-FD47-4BBA-92B5-88FCBB20FA53}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A5E808B9-FD47-4BBA-92B5-88FCBB20FA53}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A5E808B9-FD47-4BBA-92B5-88FCBB20FA53}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Merci encore pour ton aide!

naheulbeuk

Posté le 21/06/2008 11:16:51

bonjour, pas grave

maintenant on va virer l'infection lop

télécharges lopxpMH2.zip:

http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

* Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
* Poste le contenu du rapport qui va s'ouvrir

:hello:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

kermitt

Posté le 21/06/2008 14:31:14

Le log de lopxpmh:

Rapport lopxpMH2 version 2.0 fait à 14:23:08,62 le 21/06/2008
D:\Documents and Settings\Jul\Bureau\lopxpMH2\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\All Users\Application Data

20/09/2005 01:20 <REP> .
20/09/2005 01:20 <REP> ..
19/09/2005 16:37 <REP> Adobe
19/09/2005 16:37 <REP> AOL
22/12/2007 11:44 <REP> Apple
14/10/2007 14:25 <REP> Apple Computer
21/12/2006 16:46 <REP> Autodesk
20/10/2007 14:02 <REP> Avira
05/06/2008 18:43 <REP> Bluebeam Software
19/09/2005 16:48 <REP> CyberLink
10/10/2007 09:37 <REP> Google
19/01/2008 13:31 <REP> Lavasoft
28/03/2007 15:49 <REP> Macrovision
20/09/2005 01:20 <REP> Microsoft
19/09/2005 16:37 <REP> OD2
19/09/2005 16:38 <REP> QuickTime
20/09/2005 01:20 <REP> SBSI
02/06/2008 19:03 <REP> Software rule flag owns
19/09/2005 16:45 <REP> Ulead Systems
19/09/2005 16:38 <REP> Viewpoint
03/07/2006 23:35 <REP> Windows Genuine Advantage
17/05/2008 14:16 <REP> WLInstaller
05/03/2007 15:42 <REP> ZoomBrowser
27/05/2007 19:33 <REP> Zylom
20/10/2007 14:04 305 addr_file.html
20/09/2005 01:20 62 desktop.ini
04/03/2008 19:53 1 759 QTSBandwidthCache
3 fichier(s) 2 126 octets
24 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\Default User\Application Data

20/09/2005 01:20 <REP> .
20/09/2005 01:20 <REP> ..
03/07/2006 21:05 <REP> Identities
03/07/2006 21:05 <REP> Macromedia
20/09/2005 01:20 <REP> Microsoft
03/07/2006 21:05 <REP> Real
03/07/2006 21:05 <REP> Symantec
03/07/2006 21:05 <REP> You've Got Pictures Screensaver
20/09/2005 01:20 62 desktop.ini
1 fichier(s) 62 octets
8 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\Default User\Local Settings\Application Data

20/09/2005 01:20 <REP> .
20/09/2005 01:20 <REP> ..
03/07/2006 21:05 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
03/07/2006 21:05 <REP> ApplicationHistory
20/09/2005 01:20 <REP> Microsoft
03/07/2006 21:05 <REP> PowerCinema
03/07/2006 21:05 135 fusioncache.dat
03/07/2006 21:05 34 232 GDIPFONTCACHEV1.DAT
03/07/2006 21:05 2 692 380 IconCache.db
3 fichier(s) 2 726 747 octets
6 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\Jul\Application Data

21/12/2006 16:26 <REP> .
21/12/2006 16:26 <REP> ..
02/01/2007 19:09 <REP> Adobe
17/01/2007 12:59 <REP> AdobeUM
21/12/2006 16:46 <REP> Autodesk
05/03/2007 15:49 <REP> Canon
06/01/2007 20:42 <REP> CyberLink
08/04/2007 14:06 <REP> Google
28/01/2008 23:22 <REP> Help
21/12/2006 16:26 <REP> Identities
26/12/2006 18:51 <REP> Lavasoft
21/12/2006 16:28 <REP> Leadertech
17/05/2008 15:03 <REP> LimeWire
21/12/2006 16:26 <REP> Macromedia
21/12/2006 16:26 <REP> Microsoft
21/02/2007 03:05 <REP> Mozilla
21/12/2006 18:07 <REP> OD2
21/12/2006 16:26 <REP> Real
02/06/2008 18:11 <REP> SIGN BOWS BIAS
05/06/2008 18:50 <REP> SolidWorks
21/12/2006 16:29 <REP> Sonic
07/01/2007 13:28 <REP> Sun
21/12/2006 16:26 <REP> Symantec
20/05/2007 07:52 <REP> Ulead Systems
21/12/2006 17:42 <REP> vlc
24/06/2007 19:33 <REP> VTC Preferences Folder
21/12/2006 16:26 <REP> You've Got Pictures Screensaver
05/03/2007 16:06 <REP> ZoomBrowser EX
21/12/2006 16:26 62 desktop.ini
1 fichier(s) 62 octets
28 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\Jul\Local Settings\Application Data

21/12/2006 16:26 <REP> .
21/12/2006 16:26 <REP> ..
21/12/2006 16:26 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
02/01/2007 19:09 <REP> Adobe
27/10/2007 16:11 <REP> Apple Computer
21/12/2006 16:26 <REP> ApplicationHistory
02/01/2007 19:42 <REP> Ares
21/12/2006 16:46 <REP> Autodesk
08/04/2007 14:06 <REP> Google
28/01/2008 23:22 <REP> Help
24/12/2006 13:09 <REP> Identities
21/12/2006 16:26 <REP> Microsoft
21/02/2007 03:05 <REP> Mozilla
02/06/2008 19:02 <REP> PCHealth
21/12/2006 16:26 <REP> PowerCinema
21/12/2006 18:13 114 176 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
21/12/2006 16:26 126 fusioncache.dat
21/12/2006 16:26 90 144 GDIPFONTCACHEV1.DAT
21/12/2006 16:26 4 320 590 IconCache.db
4 fichier(s) 4 525 036 octets
15 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService\Application Data

20/09/2005 01:20 <REP> .
20/09/2005 01:20 <REP> ..
20/09/2005 01:20 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService\Local Settings\Application Data

20/09/2005 01:20 <REP> .
20/09/2005 01:20 <REP> ..
20/09/2005 01:20 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT\Application Data

07/03/2007 17:41 <REP> .
07/03/2007 17:41 <REP> ..
07/03/2007 17:41 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data

07/03/2007 17:41 <REP> .
07/03/2007 17:41 <REP> ..
07/03/2007 17:41 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.000\Application Data

10/05/2007 12:32 <REP> .
10/05/2007 12:32 <REP> ..
16/04/2008 14:34 <REP> Adobe
16/04/2008 14:35 <REP> AdobeUM
16/04/2008 14:35 <REP> Google
10/05/2007 12:32 <REP> Microsoft
0 fichier(s) 0 octets
6 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Application Data

10/05/2007 12:32 <REP> .
10/05/2007 12:32 <REP> ..
16/04/2008 14:34 <REP> Adobe
16/04/2008 14:35 <REP> Google
10/05/2007 12:32 <REP> Microsoft
0 fichier(s) 0 octets
5 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.001\Application Data

28/01/2008 17:53 <REP> .
28/01/2008 17:53 <REP> ..
28/01/2008 17:53 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.001\Local Settings\Application Data

28/01/2008 17:53 <REP> .
28/01/2008 17:53 <REP> ..
28/01/2008 17:53 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.002\Application Data

13/03/2008 18:45 <REP> .
13/03/2008 18:45 <REP> ..
13/03/2008 18:45 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.002\Local Settings\Application Data

13/03/2008 18:45 <REP> .
13/03/2008 18:45 <REP> ..
13/03/2008 18:45 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.003\Application Data

02/06/2008 13:52 <REP> .
02/06/2008 13:52 <REP> ..
02/06/2008 13:52 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.003\Local Settings\Application Data

02/06/2008 13:52 <REP> .
02/06/2008 13:52 <REP> ..
02/06/2008 13:52 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.004\Application Data

02/06/2008 14:42 <REP> .
02/06/2008 14:42 <REP> ..
02/06/2008 14:42 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.004\Local Settings\Application Data

02/06/2008 14:42 <REP> .
02/06/2008 14:42 <REP> ..
02/06/2008 14:42 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.005\Application Data

02/06/2008 15:03 <REP> .
02/06/2008 15:03 <REP> ..
02/06/2008 15:03 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.005\Local Settings\Application Data

02/06/2008 15:03 <REP> .
02/06/2008 15:03 <REP> ..
02/06/2008 15:03 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.006\Application Data

02/06/2008 18:26 <REP> .
02/06/2008 18:26 <REP> ..
02/06/2008 18:26 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\LocalService.AUTORITE NT.006\Local Settings\Application Data

02/06/2008 18:26 <REP> .
02/06/2008 18:26 <REP> ..
02/06/2008 18:26 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService\Application Data

20/09/2005 01:20 <REP> .
20/09/2005 01:20 <REP> ..
20/09/2005 01:20 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService\Local Settings\Application Data

20/09/2005 01:20 <REP> .
20/09/2005 01:20 <REP> ..
20/09/2005 01:20 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT\Application Data

07/03/2007 17:41 <REP> .
07/03/2007 17:41 <REP> ..
07/03/2007 17:41 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT\Local Settings\Application Data

07/03/2007 17:41 <REP> .
07/03/2007 17:41 <REP> ..
07/03/2007 17:41 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.000\Application Data

10/05/2007 12:32 <REP> .
10/05/2007 12:32 <REP> ..
10/05/2007 12:32 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.000\Local Settings\Application Data

10/05/2007 12:32 <REP> .
10/05/2007 12:32 <REP> ..
03/11/2007 10:41 <REP> Apple
10/05/2007 12:32 <REP> Microsoft
0 fichier(s) 0 octets
4 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.001\Application Data

28/01/2008 17:53 <REP> .
28/01/2008 17:53 <REP> ..
28/01/2008 17:53 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.001\Local Settings\Application Data

28/01/2008 17:53 <REP> .
28/01/2008 17:53 <REP> ..
28/01/2008 17:53 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.002\Application Data

13/03/2008 18:44 <REP> .
13/03/2008 18:44 <REP> ..
13/03/2008 18:44 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.002\Local Settings\Application Data

13/03/2008 18:44 <REP> .
13/03/2008 18:44 <REP> ..
13/03/2008 18:44 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.003\Application Data

02/06/2008 13:52 <REP> .
02/06/2008 13:52 <REP> ..
02/06/2008 13:52 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.003\Local Settings\Application Data

02/06/2008 13:52 <REP> .
02/06/2008 13:52 <REP> ..
02/06/2008 13:52 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.004\Application Data

02/06/2008 14:42 <REP> .
02/06/2008 14:42 <REP> ..
02/06/2008 14:42 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.004\Local Settings\Application Data

02/06/2008 14:42 <REP> .
02/06/2008 14:42 <REP> ..
02/06/2008 14:42 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.005\Application Data

02/06/2008 15:03 <REP> .
02/06/2008 15:03 <REP> ..
02/06/2008 15:03 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.005\Local Settings\Application Data

02/06/2008 15:03 <REP> .
02/06/2008 15:03 <REP> ..
02/06/2008 15:03 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.006\Application Data

02/06/2008 18:26 <REP> .
02/06/2008 18:26 <REP> ..
02/06/2008 18:26 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\NetworkService.AUTORITE NT.006\Local Settings\Application Data

02/06/2008 18:26 <REP> .
02/06/2008 18:26 <REP> ..
02/06/2008 18:26 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\Propriétaire

Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\Réchou\Application Data

03/07/2006 21:06 <REP> .
03/07/2006 21:06 <REP> ..
12/09/2007 20:15 <REP> AccurateRip
10/07/2006 18:49 <REP> Adobe
15/08/2006 08:41 <REP> AdobeUM
02/12/2007 06:56 <REP> Apple Computer
22/08/2007 19:15 <REP> Autodesk
08/03/2007 22:11 <REP> Canon
06/07/2006 18:04 <REP> CyberLink
09/07/2006 20:35 <REP> Google
25/11/2006 15:56 <REP> Help
03/07/2006 21:06 <REP> Identities
03/07/2006 23:35 <REP> Lavasoft
03/07/2006 21:09 <REP> Leadertech
03/07/2006 21:06 <REP> Macromedia
03/07/2006 21:06 <REP> Microsoft
02/07/2007 20:42 <REP> Microsoft Web Folders
28/07/2007 11:57 <REP> Mozilla
02/08/2006 17:30 <REP> MSNInstaller
03/07/2006 21:13 <REP> OD2
03/07/2006 21:06 <REP> Real
02/06/2008 19:13 <REP> SIGN BOWS BIAS
03/07/2006 21:10 <REP> Sonic
06/07/2006 14:10 <REP> Sun
03/07/2006 21:06 <REP> Symantec
07/04/2008 13:35 <REP> U3
07/07/2006 15:55 <REP> Ulead Systems
21/08/2006 18:26 <REP> vlc
03/07/2006 21:06 <REP> You've Got Pictures Screensaver
03/06/2007 13:02 <REP> ZoomBrowser EX
03/07/2006 21:06 62 desktop.ini
1 fichier(s) 62 octets
30 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur D s'appelle DATA
Le numéro de série du volume est 28C1-2813

Répertoire de D:\Documents and Settings\Réchou\Local Settings\Application Data

03/07/2006 21:06 <REP> .
03/07/2006 21:06 <REP> ..
03/07/2006 21:06 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
10/07/2006 18:49 <REP> Adobe
14/10/2007 14:25 <REP> Apple
14/10/2007 14:23 <REP> Apple Computer
03/07/2006 21:06 <REP> ApplicationHistory
30/07/2007 05:34 <REP> Autodesk
09/07/2006 20:35 <REP> Google
25/11/2006 15:56 <REP> Help
03/07/2006 21:29 <REP> Identities
23/10/2006 20:17 <REP> IM
03/07/2006 21:06 <REP> Microsoft
28/07/2007 11:57 <REP> Mozilla
03/07/2006 21:06 <REP> PowerCinema
06/07/2006 17:49 73 728 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
03/07/2006 21:06 129 fusioncache.dat
03/07/2006 21:06 101 840 GDIPFONTCACHEV1.DAT
03/07/2006 21:06 3 756 624 IconCache.db
4 fichier(s) 3 932 321 octets
15 Rép(s) 20 994 924 544 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est C85F-4CAF

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

16/08/2004 18:16 <REP> .
16/08/2004 18:16 <REP> ..
03/07/2006 21:05 <REP> Identities
03/07/2006 21:05 <REP> Macromedia
16/08/2004 18:16 <REP> Microsoft
03/07/2006 21:05 <REP> Real
03/07/2006 21:05 <REP> Symantec
03/07/2006 21:05 <REP> You've Got Pictures Screensaver
16/08/2004 18:16 62 desktop.ini
1 fichier(s) 62 octets
8 Rép(s) 20 163 649 536 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est C85F-4CAF

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

16/08/2004 18:16 <REP> .
16/08/2004 18:16 <REP> ..
03/07/2006 21:05 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150020}
03/07/2006 21:05 <REP> ApplicationHistory
16/08/2004 18:16 <REP> Microsoft
03/07/2006 21:05 <REP> PowerCinema
03/07/2006 21:05 135 fusioncache.dat
03/07/2006 21:05 34 232 GDIPFONTCACHEV1.DAT
03/07/2006 21:05 2 692 380 IconCache.db
3 fichier(s) 2 726 747 octets
6 Rép(s) 20 163 649 536 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est C85F-4CAF

Répertoire de C:\Program Files

21/06/2008 04:15 <REP> .
21/06/2008 04:15 <REP> ..
08/08/2007 15:10 <REP> 4Pockets
16/04/2008 14:38 <REP> Adobe
19/09/2005 16:27 <REP> AMD
21/12/2006 16:48 <REP> AnswerWorks 4.0
22/12/2007 11:44 <REP> Apple Software Update
17/06/2008 19:52 <REP> Audacity
21/12/2006 16:48 <REP> AutoCAD 2006
21/12/2006 17:27 <REP> Autodesk
02/06/2008 21:20 <REP> Avira
08/08/2007 15:01 <REP> Ballance 1LevelDemo
02/06/2008 19:02 <REP> BitDownload
05/03/2007 15:43 <REP> Canon
21/08/2006 18:52 <REP> CDex_170b2
23/02/2007 16:14 <REP> Ciel
02/01/2007 18:27 <REP> CMBSCENE
16/08/2004 18:05 <REP> ComPlus Applications
19/09/2005 16:47 <REP> CyberLink
02/01/2007 18:26 <REP> Dino Glade
30/03/2008 16:47 <REP> Elaborate Bytes
11/06/2008 17:53 <REP> Fichiers communs
19/09/2005 16:43 <REP> GMixon
02/06/2008 19:01 <REP> Google
12/07/2006 18:38 <REP> Illustrate
14/12/2006 22:44 <REP> IncrediMail
20/06/2008 22:20 <REP> Internet Explorer
10/10/2007 09:37 <REP> Java
10/05/2007 12:29 <REP> JPEG Imager
03/04/2008 17:51 <REP> Lavalys
01/03/2008 15:25 <REP> Lavasoft
19/01/2008 13:31 <REP> Lavasoft(2)
19/09/2005 16:38 <REP> Learn2.com
02/06/2008 19:01 <REP> LimeWire
05/04/2008 15:23 <REP> MaCuisineLapeyre
08/08/2007 15:08 <REP> Marble Crazy
16/08/2004 18:03 <REP> Messenger
20/06/2008 22:21 <REP> Microsoft CAPICOM 2.1.0.2
02/07/2007 20:42 <REP> microsoft frontpage
02/07/2007 20:42 <REP> Microsoft Office
02/07/2007 20:49 <REP> Microsoft Visual Studio
16/08/2004 18:06 <REP> Movie Maker
30/03/2008 16:50 <REP> Mozilla Firefox
02/08/2006 18:37 <REP> MSN
16/08/2004 18:03 <REP> MSN Gaming Zone
17/11/2006 00:52 <REP> MSXML 4.0
16/08/2004 18:06 <REP> NetMeeting
22/03/2008 16:42 <REP> Neuf
03/07/2006 21:19 <REP> neuf telecom
16/08/2004 18:03 <REP> Online Services
13/06/2007 22:05 <REP> Outlook Express
14/10/2007 14:26 <REP> QuickTime
19/09/2005 16:38 <REP> Real
02/01/2007 18:23 <REP> RegCleaner
03/08/2006 17:29 <REP> Seekmo Programs
16/08/2004 18:07 <REP> Services en ligne
02/06/2008 19:02 <REP> SIGN BOWS BIAS
11/06/2008 17:54 <REP> SolidWorks
05/06/2008 18:55 593 SolidWorksswxJRNL.BAK
19/09/2005 16:48 <REP> Sonic
30/03/2008 16:48 <REP> Soulseek
19/09/2005 16:47 <REP> Ulead Systems
21/08/2006 18:24 <REP> VideoLAN
19/09/2005 16:38 <REP> Viewpoint
27/05/2008 15:00 <REP> Weight Watchers FlexiPoints
17/05/2008 14:17 <REP> Windows Live
19/09/2005 16:46 <REP> Windows Media Components
13/01/2007 08:08 <REP> Windows Media Player
16/08/2004 18:03 <REP> Windows NT
25/11/2006 15:56 <REP> WinRAR
02/06/2008 19:01 <REP> Winsos
16/08/2004 18:11 <REP> xerox
10/12/2007 19:06 <REP> Xi
02/01/2007 18:27 <REP> Yahoo!
1 fichier(s) 593 octets
73 Rép(s) 20 163 645 440 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
www.packardbell.com REG_NONE
www.packardbell.co.uk REG_NONE
www.packardbell.at REG_NONE
www.packardbell.dk REG_NONE
www.packardbell.fi REG_NONE
www.packardbell.fr REG_NONE
www.packardbell.de REG_NONE
www.packardbell.it REG_NONE
www.packardbell.no REG_NONE
www.packardbell.es REG_NONE
www.packardbell.se REG_NONE
www.packardbell.ch REG_NONE

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\*.od2.com
<SANS NOM> REG_SZ 0

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.google.com/ie

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Flag Owns Live Grim REG_SZ D:\Documents and Settings\All Users\Application Data\Software rule flag owns\Audio Settings.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Meta grim REG_SZ D:\DOCUME~1\Jul\APPLIC~1\SIGNBO~1\BAGS THUNK.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

naheulbeuk

Posté le 21/06/2008 15:08:53

Télécharge ComboFix (créé par sUBs) sur ton Bureau

Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Flag Owns Live Grim"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Meta grim"=-

Folder::
C:\Program Files\BitDownload\
D:\Documents and Settings\All Users\Application Data\Software rule flag owns\
D:\DOCUME~1\Jul\APPLIC~1\SIGNBO~1\

-Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes)
-Enregistre ce fichier dans: Bureau
-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers
-clique sur Enregistrer
-quitte le Bloc Notes

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

< inclued picture >

* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
* Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

:hello:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

kermitt

Posté le 21/06/2008 16:40:29

Voilà voilà...
Ayé iexplore n'a plus l'air de se lancer!!

Le rapport:

ComboFix 08-06-20.4 - Jul 2008-06-21 16:31:56.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.537 [GMT 2:00]
Endroit: D:\Documents and Settings\Jul\Bureau\ComboFix.exe
Command switches used :: D:\Documents and Settings\Jul\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\BitDownload\
C:\Program Files\Seekmo Programs
D:\DOCUME~1\Jul\APPLIC~1\SIGNBO~1\
D:\DOCUME~1\Jul\APPLIC~1\SIGNBO~1\\0
D:\DOCUME~1\Jul\APPLIC~1\SIGNBO~1\\BAGS THUNK.exe
D:\DOCUME~1\Jul\APPLIC~1\SIGNBO~1\\cfntyhqa.exe
D:\DOCUME~1\Jul\APPLIC~1\SIGNBO~1\\testmealdog.exe
D:\Documents and Settings\All Users\Application Data\Software rule flag owns\
D:\Documents and Settings\All Users\Application Data\Software rule flag owns\\Audio Settings.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-21 to 2008-06-21 ))))))))))))))))))))))))))))))))))))
.

2008-06-21 04:07 . 2008-06-21 04:15 3,364 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-21 04:06 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-21 04:06 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-21 04:06 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-21 04:06 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-21 04:06 . 2008-06-15 15:28 81,920 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-06-21 04:06 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-21 04:06 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-21 04:06 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-21 04:06 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-20 22:21 . 2008-06-20 22:21 <REP> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-06-20 21:41 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-20 21:41 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-20 21:39 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-06-20 21:39 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-06-20 21:39 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-06-20 17:23 . 2008-06-20 17:29 <REP> d-------- C:\fixwareout
2008-06-17 19:52 . 2008-06-17 19:52 <REP> d-------- C:\Program Files\Audacity
2008-06-17 19:43 . 2008-06-17 19:43 4,644,748 --a------ C:\WINDOWS\system32\Mucha Art Nouveau.msf
2008-06-17 19:43 . 2008-06-17 19:43 475,136 --a------ C:\WINDOWS\system32\Mucha Art Nouveau.scr
2008-06-17 19:43 . 2008-06-17 19:43 241,664 --a------ C:\WINDOWS\FSScrCtl.exe
2008-06-17 19:43 . 2008-06-17 19:43 45,056 --a------ C:\WINDOWS\system32\sstunst2.exe
2008-06-17 19:43 . 2008-06-17 19:43 40,960 --a------ C:\WINDOWS\QStart.exe
2008-06-05 18:50 . 2008-06-05 18:50 <REP> d-------- D:\Documents and Settings\Jul\Application Data\SolidWorks
2008-06-05 18:49 . 2003-06-20 16:31 639,052 --a------ C:\WINDOWS\system32\BBPDFPortMon.dll
2008-06-05 18:49 . 2008-06-05 18:49 42 --a------ C:\WINDOWS\trailer.xws
2008-06-05 18:49 . 2008-06-05 18:49 23 --ah----- C:\WINDOWS\yacht.xws
2008-06-05 18:43 . 2008-06-11 17:53 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Bluebeam Software
2008-06-05 18:43 . 2008-06-11 17:54 <REP> d-------- C:\Program Files\SolidWorks
2008-06-05 18:43 . 2008-06-05 18:43 <REP> d-------- C:\Program Files\Fichiers communs\Solidworks Data
2008-06-02 21:20 . 2008-06-02 21:20 <REP> d-------- C:\Program Files\Avira
2008-06-02 19:13 . 2008-06-02 19:13 <REP> d-------- D:\Documents and Settings\Réchou\Application Data\SIGN BOWS BIAS
2008-06-02 19:02 . 2008-06-02 19:02 <REP> d-------- C:\Program Files\SIGN BOWS BIAS
2008-06-02 19:01 . 2008-06-02 19:01 <REP> d-------- C:\Program Files\Winsos
2008-06-02 18:26 . 2008-06-02 19:02 <REP> d---s---- D:\Documents and Settings\NetworkService.AUTORITE NT.006
2008-06-02 18:26 . 2008-06-02 19:02 <REP> d---s---- D:\Documents and Settings\LocalService.AUTORITE NT.006
2008-06-02 15:03 . 2008-06-02 19:02 <REP> d---s---- D:\Documents and Settings\NetworkService.AUTORITE NT.005
2008-06-02 15:03 . 2008-06-02 18:23 <REP> d---s---- D:\Documents and Settings\LocalService.AUTORITE NT.005
2008-06-02 14:42 . 2008-06-02 19:03 <REP> d---s---- D:\Documents and Settings\NetworkService.AUTORITE NT.004
2008-06-02 14:42 . 2008-06-02 18:23 <REP> d---s---- D:\Documents and Settings\LocalService.AUTORITE NT.004
2008-06-02 13:52 . 2008-06-02 19:03 <REP> d---s---- D:\Documents and Settings\NetworkService.AUTORITE NT.003
2008-06-02 13:52 . 2008-06-02 18:23 <REP> d---s---- D:\Documents and Settings\LocalService.AUTORITE NT.003
2008-05-26 20:52 . 2008-06-18 14:40 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-26 20:52 . 2008-05-26 20:52 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-08 05:31 --------- d-----w D:\Documents and Settings\Jul\Application Data\LimeWire
2008-06-05 16:55 593 ----a-w C:\Program Files\SolidWorksswxJRNL.BAK
2008-06-05 15:34 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-06-02 17:19 --------- d-----w D:\Documents and Settings\All Users\Application Data\Avira
2008-06-02 17:01 --------- d-----w C:\Program Files\LimeWire
2008-06-02 17:01 --------- d-----w C:\Program Files\Google
2008-06-02 16:22 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-05-29 15:37 --------- d-----w D:\Documents and Settings\All Users\Application Data\Lavasoft
2008-05-27 13:00 --------- d-----w C:\Program Files\Weight Watchers FlexiPoints
2008-05-17 12:17 --------- d-----w C:\Program Files\Windows Live
2008-05-17 12:16 --------- d-----w D:\Documents and Settings\All Users\Application Data\WLInstaller
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:15 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-17 10:52 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 194,144 ------w C:\WINDOWS\system32\dllcache\msjint40.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-14 20:59 68856]
"WINSOS VERIFY"="C:\Program Files\Winsos\WINSOS.EXE" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 18:48 77824 C:\WINDOWS\SOUNDMAN.EXE]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 21:05 339968]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
"Ulead AutoDetector v2"="C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 11:43 90112]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2005-05-11 13:48 127118]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 14:00 208952]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 11:31 24576]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-09-19 16:44 180269]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 06:24 286720]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system3