Virus/Vers: win32.small.dg => netmon.exe [Résolu]

slt
ce genre de vers cé dur a sen debarasser
je te conseille de tout sauvegarder sur un cd puis formater et reinstaler windows c'est plus sur
@+

Salut,

NON ne formate PAS !!

Poste un log HijackThis.

Télécharge le, puis met le dans un dossier dédié.
Ensuite, lance le, appuie sur Do a system scan a save a logfile, et donne nous le résultat du scan

www.infos-du-net.com/telecharger/HijackThis.html

Merci de ces premiers conseils rapides !

Effectivement, je vais sauvegarder mes photos + vidéos (à ce propos, il y a un risque qu'ils soient contaminés ? +y'a des risques sur mon 2d DD ?)

Ensuite, je me reconnaicterai et suivrai tes instructions Bob = telecharger HijackThis

Non ils ne vont pas etre contaminés...

Bien, après mes sauvegardes, j'ai scanné avec HijackThis: voilà ce que j'obtiens:

Logfile of HijackThis v1.99.1
Scan saved at 23:28:20, on 21/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\V2lsbA\command.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\inetdns.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QUICK TIME\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Eraser\eraser.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00005.exe"
O2 - BHO: MFCOptimizeClass Object - {C25FA7CE-23EA-4271-A66D-06C4D5C22F78} - C:\WINDOWS\System32\rqrqo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Toolbar888\ToolBar888.dll
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [WSAConiguration] wsmon32.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QUICK TIME\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [WSAConiguration] wsmon32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Xanadu - {5CC384BB-1326-11D5-F4AE-00C04923F885} - C:\Program Files\Foreignword\Xanadu\XanaduLaunch.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1980807894a65c780305/netzip...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.pixdiscount.fr/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\n6l8lg3u16.dll
O20 - Winlogon Notify: rqrqo - C:\WINDOWS\System32\rqrqo.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\V2lsbA\command.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

J'espère que vous pourrez traduire car je suis largué !!
Merci :-D

Quelqu'un peut-il m'aider à décrypter ? C'est un peu du chinois pour moi !!
Merci .... :-D

bonjour a tous jai le virus trojan downloader jai 5 fichiers infectés adware spysheriff ca fé 3 jours ke je suis dessus je galere kelkun pourrait maider svp?

Bonjour

Tu les collectionnes les infections. Au travail.

*** Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien les trois petites notes (#) au bas, avant de débuter.
Télécharge Look2Me-Destroyer.exe sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=7

* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique OK
* Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message Done Scanning apparaîtra, clique OK.
* Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
* Ton PC va maintenant s'éteindre.
* Démarre ton PC normalement.

#Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.

##Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte.

###Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX du lien ci-bas, et place-le dans le dossier C:\Windows\System32.
http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX

*** Ensuite ***

* Télécharge
SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le dézippes sur le Bureau.

Ewido
http://www.ewido.net/fr/download/
Tu l'installes et tu le mets à jour.

* Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.

* Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.

* Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

* Lance Ewido. Fais un scan en mode complet.
Sauvegardes le rapport.

* Redémarres normalement et communiques le deuxième rapport de SmitfraudFix, celui d'Ewido avec un nouveau rapport Hijackthis.
Colle aussi le rapport généré, situé ici : C:\Look2Me-Destroyer.txt .

sherazade2006

Tu cliques sur nouveau sujet en page d'accueil du forum sécurité. En haut à droite.

Tu créé ton propre post en mettant un rapport HijackThis v1.99.1
http://www.merijn.org/files/hijackthis.zip
Tutorial
http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm

Je ne sais pas ce que ça va donner, mais en tous cas merci pour tout ce détail chercheurPCA :bierre: ; et je suis sur les fesses qd je vois tout ce qu'il faut faire !!!

Si tout va bien je posterai les rapports ce soir (note: pourquoi m'as tu dit: "tu les collectionnes les infections" ? Il y en a tant que ça ?!!   )

Bien, j'ai été enthousiaste trop vite:

1/j'ai bien telechargé Look2Me-Destroyer.exe - telechargé MSWINSCK.OCX sous C:\Windows\Systm32

2/j'ai cliqué "ok" après le message "Done removing...shutdown your computer" mais l'ordi ne s'est pas éteint. Une première fois, j'ai patienté 15 min et 30 min la seconde.

3/Après avoir éteint moi même et rallumé, j'ai eu une multitude de message: une demi douzaine sur des trojan qui m'attaquaient, un message d'erreur RunDLL au chargement, toool.exe et netmon.exe qui n'arrivaient pas à se charger et pour finir Freeprod.com qui veut se telecharger......!!! Ca fait beaucoup pour un seul PC non ?!!!

4/J'ai débranché ma connexion internet et lancé Kaspersky. Quand je suis parti, j'en étais à 4 virus detéctés et 3 supprimés.

5/Et maintenant ?!! J'ai l'intention de relancer Look2Me-Destoyer.exe mais sans avoir rebranché internet => ça marchera mieux ?

Autres suggestions ?
Merci..........................

Salut,

Si tu n'arrive pas à faire fonctionner Look2Me-Destoyer essaie sa :

1/Télécharge L2Mfix
http://www.atribune.org/downloads/l2mfix.exe ou
http://www.downloads.subratam.org/l2mfix.exe

Mets-le sur ton bureau.
Double-clic sur l2mfix.exe
A la 1ère question clic sur Accept, ensuite clic sur Install

2/ Ouvre le dossier l2mfix créé sur le bureau puis double-clic sur L2Mfix.bat
Ensuite choisis l'option 1 puis Entrée
Poste ce 1er rapport.

3/ Ouvre le dossier l2mfix créé sur le bureau puis double-clic sur L2Mfix.bat
Ensuite choisis l'option 2 puis Entrée
Puis appuie sur n'importe quelle touche pour redémarrer l'ordinateur
Après redémarrage, le bureau et les icônes vont apparaître puis disparaître, c'est normal ! Et un nouveau rapport va apparaître à l'écran.
>> Si après redémarrage les icônes n'apparaissent/disparaissent pas ou si le rapport n'apparaît pas, alors ouvre le dossier l2mfix et lance second.bat

ensuite suis les instructions de Chercheur PCA

Bon, c'est vraiment la galère: j'ai des messages d'erreurs dans tous les sens; Bref, avant de faire ce que me conseille Bob, je post le rapport Look2Me créé hier soir après avoir passé Kaspersky. Question con: dois je supprimer ngtui1.dll ?!!

Look2Me-Destroyer V1.0.6

Scanning for infected files.....
Scan started at 24/02/2006 19:00:10

Infected! C:\WINDOWS\system32\ngtui1.dll

Attempting to delete infected files...

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Group Policy

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administrateurs - Succeeded

Je continue: 1er rapport de L2Mfix.exe:

L2MFIX find log 010406
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Control Panel]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\cspbk32.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fcyax]
"Asynchronous"=dword:00000001
"DllName"="fcyax.dll"
"Impersonate"=dword:00000000
"Logon"="Logon"
"Logoff"="Logoff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqrqo]
"Asynchronous"=dword:00000001
"DllName"="C:\\WINDOWS\\System32\\rqrqo.dll"
"Impersonate"=dword:00000000
"Startup"="SysLogon"
"Logoff"="SysLogoff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{43459F74-9281-6EAB-D788-E57DD8B28D71}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Feuille de propri‚t‚s du fichier multim‚dia"
"{176d6597-26d3-11d1-b350-080036a75b03}"="Gestion de scanneur ICM"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Page de s‚curit‚ NTFS"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Page des propri‚t‚s de OLE DocFile"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Carte du Panneau de configuration"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage cran du Panneau de configuration"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extension Affichage Panorama du Panneau de configuration"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Page de s‚curit‚ DS"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Page de compatibilit‚"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestionnaire de donn‚es endommag‚es de l'environnement"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Extension copie de disquette"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensions de l'environnement pour les objets r‚seau de Microsoft Windows"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestion d'‚cran ICM"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestion d'imprimante ICM"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensions de l'environnement de compression de fichiers"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Extension de l'environnement d'imprimante Web"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu contextuel de cryptage"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Porte-documents"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extension ic“ne HyperTerminal"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profil ICC"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Page de s‚curit‚ des imprimantes"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensions de l'environnement pour le partage"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie PKO"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extension de cryptographie Sign"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connexions r‚seau"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connexions r‚seau"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Scanneurs et appareils photo"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Scanneurs et appareils photo"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="&Scanneurs et appareils photo"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Scanneurs et appareils photo"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Scanneurs et appareils photo"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensions de l'interpr‚teur de commandes pour l'environnement d'ex‚cution de scripts Windows"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Liaison de donn‚es Microsoft"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tƒches planifi‚es"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barre des tƒches et menu D‚marrer"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Rechercher"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Aide et support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ex‚cuter..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Courrier ‚lectronique"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Polices"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Outils d'administration"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barre d'outils Internet Microsoft"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="tat du t‚l‚chargement"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Dossier Bureau ‚tendu"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Dossier du shell augment‚"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Bande du navigateur Microsoft"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Bande de recherche"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Volet int‚gr‚ de recherche"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Recherche Web"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilitaire des options de l'arborescence du Registre"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="BoŒte d'entr‚e de l'adresse"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Saisie semi-automatique Microsoft"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="Liste de saisie semi-automatique MRU"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Liste de saisie semi-automatique personnalis‚e MRU"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Barre de progrŠs auto-ouvrante"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Analyseur de la barre d'adresses"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Liste de saisie semi-automatique de l'historique Microsoft"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Liste de saisie semi-automatique du dossier Shell Microsoft"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Conteneur de la liste de saisie semi-automatique multiple Microsoft"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Menu Site de bandes"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barre du Bureau"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistance utilisateur"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="ParamŠtres du dossier global"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historique"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Image de d‚marrage de la Suite IE4"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="Dossier ActiveX Cache"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Dossier Inscription"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestionnaire d'applications d'environnement"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="num‚rateur d'applications install‚es"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Publication d'application Darwin"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extracteur de miniatures de fichier + GDI"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Gestionnaire de miniatures - Informations de r‚sum‚ (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extracteur de miniatures HTML"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Assistant Publication de sites Web"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Commande d'impressions via le Web"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objet Assistant de publication Shell"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Assistant Obtenir une identit‚ Passport"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Comptes d'utilisateurs"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Fichier de chaŒne"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Raccourci de chaŒne"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Dossier Fichiers hors connexion"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="Des &personnes..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{950FF917-7A57-46BC-8017-59D9BF474000}"="Shell Extension for CDRW"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}"="IZArc DragDrop Menu"
"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"="IZArc Shell Context Menu"
"{6DFA6C54-9727-446E-AE83-77D77719E16A}"=""
"{80FA05E7-0DE9-4647-80C1-DB938A47FB84}"=""
"{DC327681-4CCF-418C-B5F2-BA377189664E}"=""
"{E9D05623-B859-4205-921B-59E34DD0E2A5}"=""
"{C503138A-F1F9-4847-9C07-6363F9A77694}"=""
"{D9F1D244-8401-4E02-8943-1E93B3A2FE6E}"=""
"{692CCEBC-0E7C-4572-AD7A-2D49042FD41B}"=""
"{A2D0B568-05C9-40FF-8501-5904606ACE9D}"=""
"{EE118E71-ADD9-4DD2-8110-AA0AB389C35F}"=""
"{E1B18205-145D-492D-A1AF-6DA34E4E868B}"=""
"{FA5A7A09-DD5D-4D14-9E74-DB74254EBBCC}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{6DFA6C54-9727-446E-AE83-77D77719E16A}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{6DFA6C54-9727-446E-AE83-77D77719E16A}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{6DFA6C54-9727-446E-AE83-77D77719E16A}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{6DFA6C54-9727-446E-AE83-77D77719E16A}\InprocServer32]
@="C:\\WINDOWS\\system32\\sfardssp.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{80FA05E7-0DE9-4647-80C1-DB938A47FB84}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{80FA05E7-0DE9-4647-80C1-DB938A47FB84}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{80FA05E7-0DE9-4647-80C1-DB938A47FB84}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{80FA05E7-0DE9-4647-80C1-DB938A47FB84}\InprocServer32]
@="C:\\WINDOWS\\system32\\ghiplus.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{DC327681-4CCF-418C-B5F2-BA377189664E}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{DC327681-4CCF-418C-B5F2-BA377189664E}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{DC327681-4CCF-418C-B5F2-BA377189664E}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{DC327681-4CCF-418C-B5F2-BA377189664E}\InprocServer32]
@="C:\\WINDOWS\\system32\\thappcmp.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{E9D05623-B859-4205-921B-59E34DD0E2A5}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E9D05623-B859-4205-921B-59E34DD0E2A5}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E9D05623-B859-4205-921B-59E34DD0E2A5}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E9D05623-B859-4205-921B-59E34DD0E2A5}\InprocServer32]
@="C:\\WINDOWS\\system32\\LBTWN12n.DLL"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{C503138A-F1F9-4847-9C07-6363F9A77694}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C503138A-F1F9-4847-9C07-6363F9A77694}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C503138A-F1F9-4847-9C07-6363F9A77694}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C503138A-F1F9-4847-9C07-6363F9A77694}\InprocServer32]
@="C:\\WINDOWS\\system32\\qmartz.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{D9F1D244-8401-4E02-8943-1E93B3A2FE6E}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{D9F1D244-8401-4E02-8943-1E93B3A2FE6E}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{D9F1D244-8401-4E02-8943-1E93B3A2FE6E}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{D9F1D244-8401-4E02-8943-1E93B3A2FE6E}\InprocServer32]
@="C:\\WINDOWS\\system32\\ktdgae.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{692CCEBC-0E7C-4572-AD7A-2D49042FD41B}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{692CCEBC-0E7C-4572-AD7A-2D49042FD41B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{692CCEBC-0E7C-4572-AD7A-2D49042FD41B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{692CCEBC-0E7C-4572-AD7A-2D49042FD41B}\InprocServer32]
@="C:\\WINDOWS\\system32\\mjc40u.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{A2D0B568-05C9-40FF-8501-5904606ACE9D}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A2D0B568-05C9-40FF-8501-5904606ACE9D}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A2D0B568-05C9-40FF-8501-5904606ACE9D}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A2D0B568-05C9-40FF-8501-5904606ACE9D}\InprocServer32]
@="C:\\WINDOWS\\system32\\krdda.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{EE118E71-ADD9-4DD2-8110-AA0AB389C35F}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{EE118E71-ADD9-4DD2-8110-AA0AB389C35F}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{EE118E71-ADD9-4DD2-8110-AA0AB389C35F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{EE118E71-ADD9-4DD2-8110-AA0AB389C35F}\InprocServer32]
@="C:\\WINDOWS\\system32\\ngtui1.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{E1B18205-145D-492D-A1AF-6DA34E4E868B}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{E1B18205-145D-492D-A1AF-6DA34E4E868B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E1B18205-145D-492D-A1AF-6DA34E4E868B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E1B18205-145D-492D-A1AF-6DA34E4E868B}\InprocServer32]
@="C:\\WINDOWS\\system32\\cspbk32.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{FA5A7A09-DD5D-4D14-9E74-DB74254EBBCC}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FA5A7A09-DD5D-4D14-9E74-DB74254EBBCC}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FA5A7A09-DD5D-4D14-9E74-DB74254EBBCC}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FA5A7A09-DD5D-4D14-9E74-DB74254EBBCC}\InprocServer32]
@="C:\\WINDOWS\\system32\\SXDOCVW.DLL"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
atmtd.dll Sat 18 Feb 2006 20:56:02 A.... 687 592 671,48 K
cspbk32.dll Sat 25 Feb 2006 10:35:36 ..S.R 234 272 228,78 K
fccaw.dll Sat 25 Feb 2006 10:35:32 ..SH. 38 925 38,01 K
fcyax.dll Thu 23 Feb 2006 22:54:28 ..SH. 38 925 38,01 K
lbtwn12n.dll Mon 20 Feb 2006 20:49:10 ..S.R 235 767 230,24 K
lv6409~1.dll Sat 25 Feb 2006 10:45:44 ..S.R 234 741 229,24 K
qopom.dll Sat 18 Feb 2006 20:53:10 ..SH. 38 925 38,01 K
rqrqo.dll Sun 19 Feb 2006 19:35:26 A.SH. 577 588 564,05 K
ssqpq.dll Thu 23 Feb 2006 23:38:06 ..SH. 38 925 38,01 K
sxdocvw.dll Sat 25 Feb 2006 10:45:46 ..S.R 234 272 228,78 K
urqpo.dll Sun 19 Feb 2006 19:33:52 A.SH. 38 925 38,01 K
vtssq.dll Thu 23 Feb 2006 23:48:18 ..SH. 38 925 38,01 K

12 items found: 12 files (11 H/S), 0 directories.
Total of file sizes: 2 437 782 bytes 2,32 M
Locate .tmp files:

C:\WINDOWS\SYSTEM32\
guard.tmp Sat 25 Feb 2006 10:46:04 A.... 235 887 230,36 K
oqrqr.tmp Fri 24 Feb 2006 5:22:38 ..SH. 317 261 309,82 K

2 items found: 2 files (1 H/S), 0 directories.
Total of file sizes: 553 148 bytes 540,18 K
**********************************************************************************
Directory Listing of system files:
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D01B-78FC

R‚pertoire de C:\WINDOWS\System32

25/02/2006 11:07 421ÿ639 oqrqr.ini2
25/02/2006 10:48 421ÿ027 oqrqr.bak2
25/02/2006 10:45 234ÿ272 SXDOCVW.DLL
25/02/2006 10:45 234ÿ741 lv6409jqe.dll
25/02/2006 10:35 234ÿ272 cspbk32.dll
25/02/2006 10:35 38ÿ925 fccaw.dll
24/02/2006 10:23 317ÿ970 oqrqr.ini
24/02/2006 05:22 317ÿ261 oqrqr.tmp
23/02/2006 23:48 38ÿ925 vtssq.dll
23/02/2006 23:38 38ÿ925 ssqpq.dll
23/02/2006 22:54 38ÿ925 fcyax.dll
23/02/2006 22:31 317ÿ414 oqrqr.bak1
22/02/2006 22:26 18ÿ944 Thumbs.db
20/02/2006 20:49 235ÿ767 LBTWN12n.DLL
19/02/2006 19:35 577ÿ588 rqrqo.dll
19/02/2006 19:33 38ÿ925 urqpo.dll
18/02/2006 20:53 38ÿ925 qopom.dll
18/02/2006 19:04 193ÿ024 inetdns.exe
13/02/2006 19:50 <REP> dllcache
25/02/2005 11:52 <REP> Microsoft
18 fichier(s) 3ÿ757ÿ469 octets
2 R‚p(s) 23ÿ389ÿ196ÿ288 octets libres

..Et le second rapport. A noter que mon pc ne s'est pas éteint tout seul.

Maintenant, je vais reprendre avec telechargements indiqués par ChercheurPCA. Si déjà vous pouvez m'indiquer l'ampleur des dégats, ça serait sympa car je commence à criser !!
Merci



L2mfix 010406
Creating Account.
La commande s'est termin‚e correctement.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 504 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 600 'winlogon.exe'
Killing PID 600 'winlogon.exe'
Killing PID 600 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 3092 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1352 'rundll32.exe'
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administrateurs ... successful

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
1 fichier(s) copi‚(s).
Deleting: C:\WINDOWS\system32\cspbk32.dll
Successfully Deleted: C:\WINDOWS\system32\cspbk32.dll
Deleting: C:\WINDOWS\system32\LBTWN12n.DLL
Successfully Deleted: C:\WINDOWS\system32\LBTWN12n.DLL
Deleting: C:\WINDOWS\system32\lv6409jqe.dll
Successfully Deleted: C:\WINDOWS\system32\lv6409jqe.dll
Deleting: C:\WINDOWS\system32\SXDOCVW.DLL
Successfully Deleted: C:\WINDOWS\system32\SXDOCVW.DLL
Deleting: C:\WINDOWS\system32\guard.tmp
Successfully Deleted: C:\WINDOWS\system32\guard.tmp

msg11?.dll
0 fichier(s) copi‚(s).



Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Control Panel]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\cspbk32.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fcyax]
"Asynchronous"=dword:00000001
"DllName"="fcyax.dll"
"Impersonate"=dword:00000000
"Logon"="Logon"
"Logoff"="Logoff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqrqo]
"Asynchronous"=dword:00000001
"DllName"="C:\\WINDOWS\\System32\\rqrqo.dll"
"Impersonate"=dword:00000000
"Startup"="SysLogon"
"Logoff"="SysLogoff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************
C:\WINDOWS\system32\cspbk32.dll
C:\WINDOWS\system32\LBTWN12n.DLL
C:\WINDOWS\system32\lv6409jqe.dll
C:\WINDOWS\system32\SXDOCVW.DLL
C:\WINDOWS\system32\guard.tmp

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{6DFA6C54-9727-446E-AE83-77D77719E16A}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{6DFA6C54-9727-446E-AE83-77D77719E16A}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{6DFA6C54-9727-446E-AE83-77D77719E16A}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{6DFA6C54-9727-446E-AE83-77D77719E16A}\InprocServer32]
@="C:\\WINDOWS\\system32\\sfardssp.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{80FA05E7-0DE9-4647-80C1-DB938A47FB84}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{80FA05E7-0DE9-4647-80C1-DB938A47FB84}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{80FA05E7-0DE9-4647-80C1-DB938A47FB84}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{80FA05E7-0DE9-4647-80C1-DB938A47FB84}\InprocServer32]
@="C:\\WINDOWS\\system32\\ghiplus.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{DC327681-4CCF-418C-B5F2-BA377189664E}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{DC327681-4CCF-418C-B5F2-BA377189664E}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{DC327681-4CCF-418C-B5F2-BA377189664E}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{DC327681-4CCF-418C-B5F2-BA377189664E}\InprocServer32]
@="C:\\WINDOWS\\system32\\thappcmp.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{E9D05623-B859-4205-921B-59E34DD0E2A5}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E9D05623-B859-4205-921B-59E34DD0E2A5}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E9D05623-B859-4205-921B-59E34DD0E2A5}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E9D05623-B859-4205-921B-59E34DD0E2A5}\InprocServer32]
@="C:\\WINDOWS\\system32\\LBTWN12n.DLL"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{C503138A-F1F9-4847-9C07-6363F9A77694}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C503138A-F1F9-4847-9C07-6363F9A77694}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C503138A-F1F9-4847-9C07-6363F9A77694}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C503138A-F1F9-4847-9C07-6363F9A77694}\InprocServer32]
@="C:\\WINDOWS\\system32\\qmartz.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{D9F1D244-8401-4E02-8943-1E93B3A2FE6E}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{D9F1D244-8401-4E02-8943-1E93B3A2FE6E}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{D9F1D244-8401-4E02-8943-1E93B3A2FE6E}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{D9F1D244-8401-4E02-8943-1E93B3A2FE6E}\InprocServer32]
@="C:\\WINDOWS\\system32\\ktdgae.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{692CCEBC-0E7C-4572-AD7A-2D49042FD41B}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{692CCEBC-0E7C-4572-AD7A-2D49042FD41B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{692CCEBC-0E7C-4572-AD7A-2D49042FD41B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{692CCEBC-0E7C-4572-AD7A-2D49042FD41B}\InprocServer32]
@="C:\\WINDOWS\\system32\\mjc40u.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{A2D0B568-05C9-40FF-8501-5904606ACE9D}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A2D0B568-05C9-40FF-8501-5904606ACE9D}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A2D0B568-05C9-40FF-8501-5904606ACE9D}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{A2D0B568-05C9-40FF-8501-5904606ACE9D}\InprocServer32]
@="C:\\WINDOWS\\system32\\krdda.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{EE118E71-ADD9-4DD2-8110-AA0AB389C35F}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{EE118E71-ADD9-4DD2-8110-AA0AB389C35F}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{EE118E71-ADD9-4DD2-8110-AA0AB389C35F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{EE118E71-ADD9-4DD2-8110-AA0AB389C35F}\InprocServer32]
@="C:\\WINDOWS\\system32\\ngtui1.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{E1B18205-145D-492D-A1AF-6DA34E4E868B}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{E1B18205-145D-492D-A1AF-6DA34E4E868B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E1B18205-145D-492D-A1AF-6DA34E4E868B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E1B18205-145D-492D-A1AF-6DA34E4E868B}\InprocServer32]
@="C:\\WINDOWS\\system32\\cspbk32.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{FA5A7A09-DD5D-4D14-9E74-DB74254EBBCC}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FA5A7A09-DD5D-4D14-9E74-DB74254EBBCC}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FA5A7A09-DD5D-4D14-9E74-DB74254EBBCC}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FA5A7A09-DD5D-4D14-9E74-DB74254EBBCC}\InprocServer32]
@="C:\\WINDOWS\\system32\\SXDOCVW.DLL"
"ThreadingModel"="Apartment"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{6DFA6C54-9727-446E-AE83-77D77719E16A}"=-
"{80FA05E7-0DE9-4647-80C1-DB938A47FB84}"=-
"{DC327681-4CCF-418C-B5F2-BA377189664E}"=-
"{E9D05623-B859-4205-921B-59E34DD0E2A5}"=-
"{C503138A-F1F9-4847-9C07-6363F9A77694}"=-
"{D9F1D244-8401-4E02-8943-1E93B3A2FE6E}"=-
"{692CCEBC-0E7C-4572-AD7A-2D49042FD41B}"=-
"{A2D0B568-05C9-40FF-8501-5904606ACE9D}"=-
"{EE118E71-ADD9-4DD2-8110-AA0AB389C35F}"=-
"{E1B18205-145D-492D-A1AF-6DA34E4E868B}"=-
"{FA5A7A09-DD5D-4D14-9E74-DB74254EBBCC}"=-
[-HKEY_CLASSES_ROOT\CLSID\{6DFA6C54-9727-446E-AE83-77D77719E16A}]
[-HKEY_CLASSES_ROOT\CLSID\{80FA05E7-0DE9-4647-80C1-DB938A47FB84}]
[-HKEY_CLASSES_ROOT\CLSID\{DC327681-4CCF-418C-B5F2-BA377189664E}]
[-HKEY_CLASSES_ROOT\CLSID\{E9D05623-B859-4205-921B-59E34DD0E2A5}]
[-HKEY_CLASSES_ROOT\CLSID\{C503138A-F1F9-4847-9C07-6363F9A77694}]
[-HKEY_CLASSES_ROOT\CLSID\{D9F1D244-8401-4E02-8943-1E93B3A2FE6E}]
[-HKEY_CLASSES_ROOT\CLSID\{692CCEBC-0E7C-4572-AD7A-2D49042FD41B}]
[-HKEY_CLASSES_ROOT\CLSID\{A2D0B568-05C9-40FF-8501-5904606ACE9D}]
[-HKEY_CLASSES_ROOT\CLSID\{EE118E71-ADD9-4DD2-8110-AA0AB389C35F}]
[-HKEY_CLASSES_ROOT\CLSID\{E1B18205-145D-492D-A1AF-6DA34E4E868B}]
[-HKEY_CLASSES_ROOT\CLSID\{FA5A7A09-DD5D-4D14-9E74-DB74254EBBCC}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
****************************************************************************
Desktop.ini Contents:
****************************************************************************

****************************************************************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
adding: dlls/cspbk32.dll (164 bytes security) (deflated 4%)
adding: dlls/guard.tmp (164 bytes security) (deflated 5%)
adding: dlls/LBTWN12n.DLL (164 bytes security) (deflated 5%)
adding: dlls/lv6409jqe.dll (164 bytes security) (deflated 5%)
adding: dlls/SXDOCVW.DLL (164 bytes security) (deflated 4%)
adding: backregs/692CCEBC-0E7C-4572-AD7A-2D49042FD41B.reg (212 bytes security) (deflated 70%)
adding: backregs/6DFA6C54-9727-446E-AE83-77D77719E16A.reg (212 bytes security) (deflated 69%)
adding: backregs/80FA05E7-0DE9-4647-80C1-DB938A47FB84.reg (212 bytes security) (deflated 70%)
adding: backregs/A2D0B568-05C9-40FF-8501-5904606ACE9D.reg (212 bytes security) (deflated 70%)
adding: backregs/C503138A-F1F9-4847-9C07-6363F9A77694.reg (212 bytes security) (deflated 70%)
adding: backregs/D9F1D244-8401-4E02-8943-1E93B3A2FE6E.reg (212 bytes security) (deflated 70%)
adding: backregs/DC327681-4CCF-418C-B5F2-BA377189664E.reg (212 bytes security) (deflated 70%)
adding: backregs/E1B18205-145D-492D-A1AF-6DA34E4E868B.reg (212 bytes security) (deflated 69%)
adding: backregs/E9D05623-B859-4205-921B-59E34DD0E2A5.reg (212 bytes security) (deflated 70%)
adding: backregs/EE118E71-ADD9-4DD2-8110-AA0AB389C35F.reg (212 bytes security) (deflated 69%)
adding: backregs/FA5A7A09-DD5D-4D14-9E74-DB74254EBBCC.reg (212 bytes security) (deflated 70%)
adding: backregs/notibac.reg (164 bytes security) (deflated 88%)
adding: backregs/shell.reg (164 bytes security) (deflated 73%)

A présent, le rapport SmitfraudFix. A noter que lors de l'installation de Ewido, il m'a détécté et détruit une bonne dizaine de fichiers...

SmitFraudFix v2.21

Rapport fait à 12:02:21,40 le 25/02/2006
Executé à partir de C:\Documents and Settings\William\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

C:\WINDOWS\country.exe PRESENT !
C:\WINDOWS\icont.exe PRESENT !
C:\WINDOWS\tool1.exe PRESENT !
C:\WINDOWS\tool3.exe PRESENT !
C:\WINDOWS\tool4.exe PRESENT !
C:\WINDOWS\tool5.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche ...\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

C:\Program Files\SpySheriff\ PRESENT!
C:\Program Files\Fichiers communs\Windows\services32.exe PRESENT !
C:\Program Files\Common Files\VCClient\VCMain.exe PRESENT !
C:\Program Files\Common Files\VCClient\VCClient.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Colle un nouveau rapport HJT

Bonjour,

Alors: je n'ai pas réussi à passer en mode sans échec = je reste bloqué sur une page noire avec écrit aux 4 coins "mode sans échec" mais ça bloque là.....

Vous avez une explications ?

Par ailleurs, toujours autant de message "d'attaque"

J'ai 2 message sparticulier à chq ouverture:
1: "Windows ne trouve pas C:\Pragrm Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
2: "RUNDLL: erreur de chargement de " et des sigles incompréhensibles !!

Merci de votre aide

Je post un nouveau rapport HJT:

Logfile of HijackThis v1.99.1
Scan saved at 18:05:45, on 25/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\inetdns.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QUICK TIME\qttask.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.exe"
O2 - BHO: MFCOptimizeClass Object - {C25FA7CE-23EA-4271-A66D-06C4D5C22F78} - C:\WINDOWS\System32\rqrqo.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\fcyax.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Toolbar888\ToolBar888.dll (file missing)
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Xanadu] C:\Program Files\Foreignword\Xanadu\Xanadu.exe
O4 - HKLM\..\Run: [WSAConiguration] wsmon32.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban11.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QUICK TIME\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [NeroNETTrayIcon] C:\Program Files\Ahead\NeroNET\NNServiceCtrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames11.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\clonecd\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\RunServices: [WSAConiguration] wsmon32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Picture Package Menu.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O9 - Extra button: Xanadu - {5CC384BB-1326-11D5-F4AE-00C04923F885} - C:\Program Files\Foreignword\Xanadu\XanaduLaunch.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1980807894a65c780305/netzip...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.pixdiscount.fr/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\cspbk32.dll (file missing)
O20 - Winlogon Notify: fcyax - C:\WINDOWS\SYSTEM32\fcyax.dll
O20 - Winlogon Notify: rqrqo - C:\WINDOWS\System32\rqrqo.dll
O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\r48slel71hq.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\V2lsbA\command.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Toujours Smitfraud
Le demarrage en mode sans echec est relativement long, patiente.

Bonsoir,

Toujours pas gagné !! J'ai fini par accéder au mode sans échec. Je vous communique 2 rapports ewido (l'un fait sous profil administrateur et l'autre sous mon nom) et le rapport SmitFraudFix (que je n'ai pu faire tourner que sous mon nom)

Dans le post suivant j'indiquerai le post HijackThis.

A noter que lors de mon ouverture de cession, à nouveau de nombreux messages "d'invasions" + le message d'erreur RunDLL et le message concernant ibm0001.exe

1er Ewido:

ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 12:03:38, 26/02/2006
+ Somme de contrôle: 84C2456F

+ Résultats du scan:

HKLM\SOFTWARE\Classes\CLSID\{6001CDF7-6F45-471b-A203-0225615E35A7} -> Adware.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} -> Adware.Virtumonde : Nettoyer et sauvegarder
HKLM\SOFTWARE\Effective-i -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Effective-i\TheSearchAccelerator -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Effective-i\TheSearchAccelerator\IE5 -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Gator.com -> Adware.Gator : Nettoyer et sauvegarder
HKLM\SOFTWARE\Gator.com\Gator -> Adware.Gator : Nettoyer et sauvegarder
HKLM\SOFTWARE\Gator.com\Gator\dyn -> Adware.Gator : Nettoyer et sauvegarder
HKLM\SOFTWARE\Gator.com\Gator\stat -> Adware.Gator : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6001CDF7-6F45-471b-A203-0225615E35A7} -> Adware.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} -> Adware.Virtumonde : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff -> Adware.SpySheriff : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UCmore - The Search Accelerator -> Adware.UCmore : Nettoyer et sauvegarder
HKU\.DEFAULT\Software\DNS -> Adware.Shorty : Nettoyer et sauvegarder
HKU\.DEFAULT\Software\Effective-i -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder
HKU\.DEFAULT\Software\Effective-i\TheSearchAccelerator -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder
HKU\.DEFAULT\Software\Effective-i\TheSearchAccelerator\IE5 -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\DNS -> Adware.Shorty : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\Effective-i -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\Effective-i\TheSearchAccelerator -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder
HKU\S-1-5-18\Software\Effective-i\TheSearchAccelerator\IE5 -> Adware.EffectiveBrandToolbar : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SHQ3CBS7\Installer[1].exe -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SHQ3CBS7\ucmoreiex[1].exe/UCMTSAIE.DLL -> Adware.Ucmore : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SHQ3CBS7\ucmoreiex[1].exe/IUCMORE.DLL -> Adware.Ucmore : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\SpySheriff -> Adware.SpySheriff : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\SpySheriff\SpySheriff.lnk -> Adware.SpySheriff : Nettoyer et sauvegarder
C:\Documents and Settings\William\Bureau\l2mfix\backup.zip/dlls/cspbk32.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\William\Bureau\l2mfix\backup.zip/dlls/guard.tmp -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\William\Bureau\l2mfix\backup.zip/dlls/LBTWN12n.DLL -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\William\Bureau\l2mfix\backup.zip/dlls/lv6409jqe.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\William\Bureau\l2mfix\backup.zip/dlls/SXDOCVW.DLL -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\William\Bureau\l2mfix\dlls\cspbk32.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\William\Bureau\l2mfix\dlls\guard.tmp -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\William\Bureau\l2mfix\dlls\LBTWN12n.DLL -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\William\Bureau\l2mfix\dlls\lv6409jqe.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\William\Bureau\l2mfix\dlls\SXDOCVW.DLL -> Adware.Look2Me : Nettoyer et sauvegarder
C:\Documents and Settings\William\Cookies\william@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyer et sauvegarder
C:\Documents and Settings\William\Cookies\william@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder
C:\Documents and Settings\William\Local Settings\Temporary Internet Files\Content.IE5\EPCJU5I5\WinFixer2005ScannerInstallFRA[1].exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Nettoyer et sauvegarder
C:\Program Files\TheSearchAccelerator -> Adware.UCmore : Nettoyer et sauvegarder
C:\Program Files\TheSearchAccelerator\INSTALL.LOG -> Adware.UCmore : Nettoyer et sauvegarder
C:\Program Files\TheSearchAccelerator\IUCmore.dll -> Adware.UCmore : Nettoyer et sauvegarder
C:\Program Files\TheSearchAccelerator\logo.ico -> Adware.UCmore : Nettoyer et sauvegarder
C:\Program Files\TheSearchAccelerator\TBlogin.users.ucmore.com.4.5.40.0 -> Adware.UCmore : Nettoyer et sauvegarder
C:\Program Files\TheSearchAccelerator\toolbar.cfg -> Adware.UCmore : Nettoyer et sauvegarder
C:\Program Files\TheSearchAccelerator\UNWISE.EXE -> Adware.UCmore : Nettoyer et sauvegarder
C:\Program Files\TheSearchAccelerator\__delete_on_reboot__UCMTSAIE.dll -> Adware.UCmore : Nettoyer et sauvegarder
C:\Program Files\Toolbar888\ToolBar888.dll -> Adware.Softomate : Nettoyer et sauvegarder
C:\Program Files\Toolbar888\__delete_on_reboot__ToolBar888.dll -> Adware.Softomate : Nettoyer et sauvegarder
C:\WINDOWS\icont.exe -> Adware.AdURL : Nettoyer et sauvegarder
C:\WINDOWS\system32\cxcfg32.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\dscprop2.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\fccaw.dll -> Adware.Virtumonde : Nettoyer et sauvegarder
C:\WINDOWS\system32\fcyax.dll -> Adware.Virtumonde : Nettoyer et sauvegarder
C:\WINDOWS\system32\guard.tmp -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\lv2m09f1e.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\p06s0aj7edo.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\qopom.dll -> Adware.Virtumonde : Nettoyer et sauvegarder
C:\WINDOWS\system32\ssqpq.dll -> Adware.Virtumonde : Nettoyer et sauvegarder
C:\WINDOWS\system32\urqpo.dll -> Adware.Virtumonde : Nettoyer et sauvegarder
C:\WINDOWS\system32\vopodbc.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\vtssq.dll -> Adware.Virtumonde : Nettoyer et sauvegarder
C:\WINDOWS\system32\wsadefui.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\wvwvu.dll -> Adware.Virtumonde : Nettoyer et sauvegarder
C:\WINDOWS\system32\__delete_on_reboot__desrslvr.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\__delete_on_reboot__drnhupnp.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\__delete_on_reboot__gebxy.dll -> Adware.Virtumonde : Nettoyer et sauvegarder
C:\WINDOWS\system32\__delete_on_reboot__iiijj.dll -> Adware.Virtumonde : Nettoyer et sauvegarder
C:\WINDOWS\system32\__delete_on_reboot__qommk.dll -> Adware.Virtumonde : Nettoyer et sauvegarder
C:\WINDOWS\system32\__delete_on_reboot__ragsvc.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\system32\__delete_on_reboot__wznfax.dll -> Adware.Look2Me : Nettoyer et sauvegarder
C:\WINDOWS\Temp\bw2.com -> Adware.AdURL : Nettoyer et sauvegarder
C:\WINDOWS\V2lsbA\__delete_on_reboot__asappsrv.dll -> Adware.CommAd : Nettoyer et sauvegarder
C:\WINDOWS\V2lsbA\__delete_on_reboot__command.exe -> Adware.CommAd : Nettoyer et sauvegarder


::Fin du rapport


2eme Ewido:

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 19:51:08, 26/02/2006
+ Somme de contrôle: A61A4AD5

+ Résultats du scan:

HKLM\SOFTWARE\Classes\CLSID\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} -> Adware.Virtumonde : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} -> Adware.Virtumonde : Nettoyer et sauvegarder
C:\WINDOWS\system32\fcyax.dll -> Adware.Virtumonde : Nettoyer et sauvegarder


::Fin du rapport


SmitfraudFix:

SmitFraudFix v2.21

Rapport fait à 19:19:42,74 le 26/02/2006
Executé à partir de C:\Documents and Settings\William\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\country.exe supprimé
C:\WINDOWS\tool1.exe supprimé
C:\WINDOWS\tool3.exe supprimé
C:\WINDOWS\tool5.exe supprimé
C:\Program Files\Common Files\VCClient supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

HIjackThis note excusez moi les différents post mais mon internet saute régulièrement !! )

Logfile of HijackThis v1.99.1
Scan saved at 23:52:45, on 26/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\inetdns.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QUICK TIME\qttask.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\mc-110-12-0000244.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Fichiers communs\Download\mc-110-12-0000244.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00005.exe"
O2 - BHO: XBTB04715 - {A8B0BDED-64A5-495b-97DA-42C0301E229B} - C:\PROGRA~1\TOOLBA~1\TOOLBA~1.DLL (file missing)
O2 - BHO: MFCOptimizeClass Object - {C25FA7CE-23EA-4271-A66D-06C4D5C22F78} - C:\WINDOWS\System32\rqrqo.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\fcyax.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Toolbar888\ToolBar888.dll (file missing)
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll (file missing)
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WSAConiguration] wsmon32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QUICK TIME\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroNETTrayIcon] C:\Program Files\Ahead\NeroNET\NNServiceCtrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\clonecd\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\RunServices: [WSAConiguration] wsmon32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Picture Package Menu.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O9 - Extra button: Xanadu - {5CC384BB-1326-11D5-F4AE-00C04923F885} - C:\Program Files\Foreignword\Xanadu\XanaduLaunch.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1980807894a65c780305/netzip...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.pixdiscount.fr/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\cspbk32.dll (file missing)
O20 - Winlogon Notify: directpt - C:\WINDOWS\SYSTEM32\directpt.dll
O20 - Winlogon Notify: fcyax - C:\WINDOWS\SYSTEM32\fcyax.dll
O20 - Winlogon Notify: rqrqo - C:\WINDOWS\System32\rqrqo.dll
O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\r48slel71hq.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\V2lsbA\command.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bonjour,

Quelqu'un peut-il m'interpreter les 3 rapports ci dessus ?
M'interpreter aussi les deux messages que j'ai maintenant à chaque ouverture:

- l'un concernant le "fichier ibm0001.exe"que ne trouve pas Windows

-l'autre sur le message d'erreur RUNDLL, où il m'indique une erreur de chargement avec des symboles incompréhensible

Merci d'avance

Salut,
Tu as une infection de type Vundo

Télécharge VundoFix sur ton Bureau.
www.atribune.org/ccount/click.php?id=4

. Double-clique VundoFix.exe.
. Coche la case "Run VundoFix as a task".
Attends le redemarrage de Vundofix

. Clique sur le bouton Scan for Vundo.
. Puis clique sur le bouton Remove Vundo.
. Ensuite sur yes pour confirmer
. Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
. Démarre ton PC à nouveau.
. Colle le rapport situé dans C:\vundofix.txt ici.

Pour le message erreur

Fixe cette ligne
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00005.exe"

Puis supprime
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00005.exe

Waouhhhhhh,

Merci de ton intervention Angeldark !!!! J'avais repris les procédures de Bob et ChercheurPCA mais avec tjs le même résultat !

Bon, j'ai l'impression que ça va mieux (plus d'alerte au trojan !) mais je préfère ne pas crier victoire trop tôt; je post le raport VuondoFix ci dessous

J'ai aussi une autre question: je n'ai eu que Kaspersky pendant 1 an et aucun soucis. Puis j'ai installé ZoneAlarm =>est ce que les 2 font bon ménage ? Kaspersky ne fait-il pas tout en un ?

Encore merci et voici le rapport:

VundoFix V4.2.27
Scan started at 21:17:00 28/02/2006

Listing files found while scanning....

C:\WINDOWS\system32\xxyvt.dll
C:\WINDOWS\System32\rqrqo.dll
C:\WINDOWS\System32\oqrqr.ini
C:\WINDOWS\System32\oqrqr.bak1
C:\WINDOWS\System32\oqrqr.bak2
C:\WINDOWS\System32\oqrqr.ini2

C:\WINDOWS\system32\oqrqr.bak1
C:\WINDOWS\system32\oqrqr.bak2
C:\WINDOWS\system32\oqrqr.ini
C:\WINDOWS\system32\oqrqr.ini2
C:\WINDOWS\system32\rqrqo.dll
C:\WINDOWS\system32\oqrqr.ini2
C:\WINDOWS\system32\oqrqr.bak2
C:\WINDOWS\system32\oqrqr.ini
C:\WINDOWS\system32\oqrqr.ini2
C:\WINDOWS\system32\rqrqo.dll

VundoFix V4.2.27
Scan started at 21:23:05 28/02/2006

Listing files found while scanning....

C:\WINDOWS\system32\xxyvt.dll
C:\WINDOWS\System32\rqrqo.dll
C:\WINDOWS\System32\oqrqr.ini
C:\WINDOWS\System32\oqrqr.bak1
C:\WINDOWS\System32\oqrqr.bak2
C:\WINDOWS\System32\oqrqr.ini2

C:\WINDOWS\system32\oqrqr.bak1
C:\WINDOWS\system32\oqrqr.bak2
C:\WINDOWS\system32\oqrqr.ini
C:\WINDOWS\system32\oqrqr.ini2
C:\WINDOWS\system32\rqrqo.dll
C:\WINDOWS\system32\oqrqr.ini2
C:\WINDOWS\system32\oqrqr.bak2
C:\WINDOWS\system32\oqrqr.ini
C:\WINDOWS\system32\oqrqr.ini2
C:\WINDOWS\system32\rqrqo.dll
Attempting to delete C:\WINDOWS\system32\xxyvt.dll
C:\WINDOWS\system32\xxyvt.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\rqrqo.dll
C:\WINDOWS\System32\rqrqo.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\oqrqr.ini
C:\WINDOWS\System32\oqrqr.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\oqrqr.bak1
C:\WINDOWS\System32\oqrqr.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\System32\oqrqr.bak2
C:\WINDOWS\System32\oqrqr.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\System32\oqrqr.ini2
C:\WINDOWS\System32\oqrqr.ini2 Has been deleted!

Performing Repairs to the registry.
Done!

24h00 plus tard, tout semble ok ! Qqun peut-il me le confirmer avec le rapport ci dessus ?

Encore merci à ceux qui ont pris le temps de me dépanner, c'est vraiment chouette ! :-D :-D

Reposte un log HJT pour voir puis fais un scan en ligne avec Internet Explorer chez Panda
http://www.pandasoftware.com/activescan
Colle le rapport ici

Bonsoir,
Ci après les 2 rapports: à priori j'ai encore une bonne trentaine de ####ries à supprimer !!
Que dois je faire ?

Merci......

Logfile of HijackThis v1.99.1
Scan saved at 20:45:57, on 02/03/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\Program Files\Fire wall zone alarm pro 5\ZoneAlarm\zlclient.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: XBTB04715 - {A8B0BDED-64A5-495b-97DA-42C0301E229B} - C:\PROGRA~1\TOOLBA~1\TOOLBA~1.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Toolbar888\ToolBar888.dll (file missing)
O4 - HKLM\..\Run: [WSAConiguration] wsmon32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QUICK TIME\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroNETTrayIcon] C:\Program Files\Ahead\NeroNET\NNServiceCtrl.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Fire wall zone alarm pro 5\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\clonecd\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\RunServices: [WSAConiguration] wsmon32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Picture Package Menu.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O9 - Extra button: Xanadu - {5CC384BB-1326-11D5-F4AE-00C04923F885} - C:\Program Files\Foreignword\Xanadu\XanaduLaunch.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1980807894a65c780305/netzip...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.pixdiscount.fr/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O20 - Winlogon Notify: directpt - directpt.dll (file missing)
O20 - Winlogon Notify: fcyax - fcyax.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\V2lsbA\command.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: inetdns (InetDns) (inetdns) - Unknown owner - C:\WINDOWS\system32\inetdns.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Et avec Panda :

Incident Status Location

Adware:adware/commad Not disinfected C:\WINDOWS\SYSTEM32\atmtd.dll
Adware:adware/deskwizz Not disinfected C:\WINDOWS\DH.dll
Adware:adware/dollarrevenue Not disinfected C:\WINDOWS\drsmartload2.dat
Adware:adware/cws.searchmeup Not disinfected C:\WINDOWS\uniq
Adware:adware/maxifiles Not disinfected C:\PROGRAM FILES\Toolbar888
Spyware:spyware/virtumonde Not disinfected Windows Registry
Spyware:Cookie/Bluestreak Not disinfected C:\Documents and Settings\William\Cookies\william@bluestreak[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\William\Cookies\william@doubleclick[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Documents and Settings\William\Cookies\william@mediaplex[1].txt
Spyware:Cookie/Reliablestats Not disinfected C:\Documents and Settings\William\Cookies\william@stats1.reliablestats[2].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\William\Cookies\william@tradedoubler[2].txt
Spyware:Cookie/WinFixer Not disinfected C:\Documents and Settings\William\Cookies\william@winfixer[2].txt
Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\William\Cookies\william@xiti[1].txt
Potentially unwanted tool:Application/KillApp.A Not disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GNSXODGZ\country[1].htm
Adware:Adware/Maxifiles Not disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GNSXODGZ\drdata[1].avi
Adware:Adware/Maxifiles Not disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GNSXODGZ\freeprodtb[1].exe
Potentially unwanted tool:Application/KillApp.A Not disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GNSXODGZ\tool5[1].txt
Virus:Bck/Agent.BJP Disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KLYB052Z\tool4[1].txt
Adware:Adware/XPlugin Not disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KLYB052Z\winsysupd12[1].exe
Virus:Trj/Downloader.HPT Disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q94J4BQ7\launcher[1].exe
Potentially unwanted tool:Application/KillApp.A Not disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\Q94J4BQ7\tool1[1].txt
Virus:Trj/Downloader.HVM Disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\SHQ3CBS7\tool3[1].txt
Adware:Adware/Ucmore Not disinfected C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\UCmore - The Search Accelerator\How To Uninstall.lnk
Adware:Adware/Ucmore Not disinfected C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\UCmore - The Search Accelerator\UCmore Tour.lnk
Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\William\Bureau\anti spyware\l2mfix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\William\Bureau\anti spyware\l2mfix.exe[Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\William\Bureau\anti spyware\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\William\Bureau\anti spyware\SmitfraudFix.zip[Process.exe]
Spyware:Cookie/Bluestreak Not disinfected C:\Documents and Settings\William\Cookies\william@bluestreak[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\William\Cookies\william@doubleclick[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Documents and Settings\William\Cookies\william@mediaplex[1].txt
Spyware:Cookie/Reliablestats Not disinfected C:\Documents and Settings\William\Cookies\william@stats1.reliablestats[2].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\William\Cookies\william@tradedoubler[2].txt
Spyware:Cookie/WinFixer Not disinfected C:\Documents and Settings\William\Cookies\william@winfixer[2].txt
Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\William\Cookies\william@xiti[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\RECYCLER\S-1-5-21-1220945662-1580818891-1708537768-1003\Dc4\VundoFix\process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\RECYCLER\S-1-5-21-1220945662-1580818891-1708537768-1003\Dc5\VundoFix\process.exe
Adware:Adware/XPlugin Not disinfected C:\RECYCLER\S-1-5-21-1220945662-1580818891-1708537768-1003\Dc6.exe
Virus:Trj/Haxdoor.HY Disinfected C:\WINDOWS\system32\directprt.sys
Virus:W32/Sdbot.ftp Disinfected C:\WINDOWS\system32\i
Adware:Adware/XPlugin Not disinfected C:\WINDOWS\Temp\501517636\2784.tmp
Adware:Adware/Maxifiles Not disinfected C:\WINDOWS\Temp\501517636\3024.tmp
Adware:Adware/SearchAid Not disinfected C:\WINDOWS\uninstall_nmon.vbs

Bonjour,

Personne pour m'intérpreter ces 2 rapports ?......Gloups :-(

Re,

1/ Fix ces lignes

O2 - BHO: XBTB04715 - {A8B0BDED-64A5-495b-97DA-42C0301E229B} - C:\PROGRA~1\TOOLBA~1\TOOLBA~1.DLL (file missing)
O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Toolbar888\ToolBar888.dll (file missing)

3/ Supprime

C:\WINDOWS\SYSTEM32\atmtd.dll
C:\WINDOWS\DH.dll
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\uniq
C:\PROGRAM FILES\Toolbar888
C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\UCmore - The Search Accelerator
C:\WINDOWS\system32\directprt.sys
C:\WINDOWS\system32\i
C:\WINDOWS\uninstall_nmon.vbs

2/ Passe un coup de Ccleaner
N'oublie pas de supprimer les erreurs

Le reste c'est L2mfix VundoFix Smitfraudfix donc rien de mechant

Bonsoir Angeldark,

J'ai fixé les 2 lignes et détruit les fichiers que tu m'as indiqué sauf:

C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\UCmore - The Search Accelerator
C:\WINDOWS\system32\directprt.sys
C:\WINDOWS\system32\i

car ils n'existent pas !!

Pour ce qui est de l'anti virus, j'ai déjà Kaspersky.....

En ai-je terminé avec cette galère ? :-D ..non :-( ..!!!.......je pense que oui qd même !!
Encore merci :bierre:

Je pense que tu peux rajouter [RESOLU] au titre de ton premier post ;-)

MERCI MON DIE....Euh, MERCI ANGELDARK !!!!! (mes remerciements aussi à bob & chercheurPCA qui ont prit le temps de regarder)

Un bohneur n'arrivant jamais seul, je viens de réussir à configurer Zone alarm avec outlook express ! C'te fête !