re,
mon adware se trouve dans ce fichier:
http://85.255.117.124/users/rainy/web/images/two.jpg
et se nomme: Win32:Adan-094 [Adw]
merci

merci
voici le rapport hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 15:32:16, on 15/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\WinUpdate.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Local Settings\Temporary Internet Files\Content.IE5\2PPANMLO\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ujcrf.exe] C:\WINDOWS\system32\ujcrf.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [KillAndClean] "C:\Program Files\KillAndClean\KillAndClean.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\Documents and Settings\GUIGNARD XAVIER\Application Data\Microsoft\MMC.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: Windows Updates (WinUpd) - Unknown owner - C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\WinUpdate.exe

Plusieurs infectons.
On continue.

* Télécharge
Ewido
http://www.ewido.net/en/download/
Tu l'installes.
Lance Ewido et clique sur le bouton Update (barre d'outils - au haut).
Sous Manual Update clique Start update. Patiente jusqu'à l'affichage "Update successful".

CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

* Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.

* Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

* Lance le nettoyage avec CCleaner.

* Lance Ewido. Clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan.
A la fin du scan, choisis l'option " Apply All Actions " en bas. Puis, Yes pour mettre en quarantaine.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit facile à retrouver.

* Redémarres normalement et communiques le deuxième rapport de SmitfraudFix, celui d'Ewido avec un nouveau rapport Hijackthis.

Bonjour

Télécharge FixWareout de l'un de ces deux liens :
http://downloads.subratam.org/Fixwareout.exe
http://www.bleepingcomputer.com/fi [...] areout.exe

Sauvegarde-le sur ton Bureau, puis lance-le.
Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish.
Suis les directives à l'écran.
L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît.
Le redémarrage risque de prendre un peu plus de temps; ceci est normal.
Lorsque redémarré, un fichier texte apparaîtra (report.txt); copie/colle ce rapport dans ta prochaine réponse, avec un nouveau rapport HijackThis! également.

On continue
très beau travail de FixWareOut

1 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

2 Relance un scan HijackThis et coche les lignes ci-dessous :

F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [eiefe.exe] C:\WINDOWS\system32\eiefe.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O23 - Service: Windows Updates (WinUpd) - Unknown owner - C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\WinUpdate.exe

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

3 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

4 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.

Dans la liste des services, cherche et sélectionne
"Windows Updates" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\WinUpdate.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\system32\eiefe.exe.
C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

6 Lance le nettoyage avec CCleaner.

7 Lance Ewido.
Clique sur le bouton Scanner (de la barre d'outils)
Puis sur l'onglets Settings, pour How to Act. Clique sur Recommanded Actions. Sélectionne Quarantine.
Reviens a l'onglet Scan. Clique Complete system Scan
A la fin du scan, choisis l'option " Apply All Actions " en bas.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit facile à retrouver.

8 Redémarre normalement et poste un nouveau log HijackThis avec le rapport d'Ewido.

re
je crois que malgré tout ca a fonctionné car le adware ne s'est plus manifesté pour le moment
as tu une raison?
merci

Le rapport HijackThis est inchangé.
Refais la manip décite au dessus.

et m!!!!!
ai chopé un nouveau virus
voici rapport hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 16:53:27, on 17/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [rromu.exe] C:\WINDOWS\system32\rromu.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

stp que dois je faire pour que cela se termine
merci

voici les rapports

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}63BAA881303F-57B8-6404-0C55-00CC5000{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A935BD365B55-4C39-C0F4-A744-2AC6C69A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C1676BBD22D0-000A-60B4-5CAE-03A8A08E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A7A7C0420C21-D7C8-9F34-C2D8-9EF94170{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7DC552D15248-FAE9-5F14-9318-655B3E1F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}080BA65A7EDE-622A-9744-71A2-A92FB3AD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DCF7E21B9566-FEC9-2744-6809-86225887{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}04F4C6F9F808-125B-4404-4D5E-52DCF168{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}52BFB9BF9D24-E35A-CCE4-2022-3D003877{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D25B77263F3F-DD5A-8EE4-3AD7-3A40042C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B4B264E5CA79-859A-4534-6F57-E120FD3F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8FB6318CA01A-BDE8-7104-9BC3-36CDA363{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DF2AEC85D05B-9FB9-0644-B7C9-2BA5505B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F4482E6A3606-CD68-22C4-5CFB-FE8CB0AE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1DEF40C1915C-A698-FAA4-3C3C-12B36633{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D0A606CF1E5C-FB58-82B4-7DF1-E9A053EF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}16DA907B7AAC-8FCA-4964-8232-8CCBE407{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}13BD708AB426-C928-3AA4-20C8-3985E6D5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}113485864633-05B8-74D4-92A1-3B053B61{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7D6AE908102E-64A9-0BB4-3D1A-CC20D09C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xtymd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}10B67D88EF80-6C3A-68A4-3A78-9441B168{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ED26E43B3756-49FB-9A04-649A-BAE36DCA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmytx.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSIUU.EXE
* csr.exe C:\WINDOWS\System32\CSLMX.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSIUU.EXE 51 291 2006-07-14
C:\WINDOWS\SYSTEM32\CSLMX.EXE 51 291 2006-07-16
C:\WINDOWS\SYSTEM32\DMYTX.EXE 62 052 2004-08-05
Other suspects
Directory of C:\WINDOWS\system32
{ACD63EAB-A946-40A9-BF94-6573B34E62DE}.exe
{861B1449-87A3-4A86-A3C6-08FE88D76B01}.exe
{AFC49ED2-895C-4CEB-8246-9012F3FE9FD8}.exe
{5D58AFC3-D983-4CC9-899A-5DEE81B29135}.exe
{C90D02CC-A1D3-4BB0-9A46-E201809EA6D7}.exe
{16B350B3-1A29-4D47-8B50-336468584311}.exe
{5D6E5893-8C02-4AA3-829C-624BA807DB31}.exe
{704EBCC8-2328-4694-ACF8-CAA7B709AD61}.exe
{FE350A9E-1FD7-4B28-85BF-C5E1FC606A0D}.exe
{33663B21-C3C3-4AAF-896A-C5191C04FED1}.exe
{EA0BC8EF-BFC5-4C22-86DC-6063A6E2844F}.exe
{B5055AB2-9C7B-4460-9BF9-B50D58CEA2FD}.exe
{363ADC63-3CB9-4017-8EDB-A10AC8136BF8}.exe
{F3DF021E-75F6-4354-A958-97AC5E462B4B}.exe
{C24004A3-7DA3-4EE8-A5DD-F3F36277B52D}.exe
{778300D3-2202-4ECC-A53E-42D9FB9BFB25}.exe
{861FCD25-E5D4-4044-B521-808F9F6C4F40}.exe
{DA3BF29A-2A17-4479-A226-EDE7A56AB080}.exe
{F1E3B556-8139-41F5-9EAF-84251D255CD7}.exe
{07149FE9-8D2C-43F9-8C7D-12C0240C7A7A}.exe
{E80A8A30-EAC5-4B06-A000-0D22DBB6761C}.exe
{A96C6CA2-447A-4F0C-93C4-55B563DB539A}.exe
{067A059C-C693-4983-A922-9AD90C184BFB}.exe
{7F54EC12-61BA-4363-899B-47D36202FCE4}.exe
{F6A441AF-B405-4F88-87B1-8FBDD7CC4A92}.exe
{40C46B8A-4BFB-4365-BECF-9AD2F40D6A0E}.exe
{C17925D3-D13A-492D-8551-B19B8CD8DA10}.exe
{41C1BC38-EA63-47BB-9B76-BDD889750E9F}.exe
{11777E4E-C8AB-4EA4-AAEB-F6F50A7B5CEE}.exe
{2F24AD01-C39B-4F7B-8A53-56640F41E441}.exe
{848BD1E6-9784-4DC4-8C2B-D037AD4FD98E}.exe
{075CF797-4F8E-4D36-8250-483584B214FC}.exe
{EBB2F8F3-A067-4744-B08C-164A5AC2417C}.exe
{4844709F-F8FB-4D70-AD90-2C45555E174D}.exe
{AE1CDE83-A87F-475A-B55F-F5E17AA1AA58}.exe
{C695CB96-3B4E-4299-8AB1-9AFF27F22AAE}.exe
{12728750-611A-4739-A0DD-3B32C4CAC066}.exe
{76766A7A-3647-4654-9D91-4845E857BE63}.exe
{BFA12B44-E624-488B-8A23-50ED255295C6}.exe
{9671FA70-82E5-442D-A484-58D0D79EFF4A}.exe
{366632A9-2B1C-40C6-9CD5-B633951F2DA8}.exe
{A29F7D74-F8C0-46DE-A6C3-B788B491180D}.exe
{01E11ED0-2545-403E-8D54-A8BCC70383C0}.exe
{A345C2DC-BFA1-4BD4-8313-D74A67B45304}.exe
{1FA7C74B-0A98-49D6-87C1-2607128B0256}.exe
{D4F029D2-69C7-4C78-A150-F0DC7FB9DC8F}.exe
{D295CA98-ECD5-4B05-B813-D144CA2AA3F4}.exe
{ADAC3F02-CEAD-4F79-8C11-12887C0F0E18}.exe
{170001C6-4F7C-4B76-BC33-07FB5E4D65F5}.exe
{0FEF9A6E-ED52-4E7E-A1DC-62B1ACDDB13A}.exe
{48A63A1C-5D6B-466C-8D18-24A60847E457}.exe
{E81BD18D-F713-4D5D-94F9-85E956ABACF8}.exe
{68955A5C-A7CE-4907-A949-93A9C913529A}.exe
{2168AAE4-D83A-46A2-87DC-28FF5601993F}.exe
{483AA345-13F9-4057-B5AC-CED6E2A8D6B5}.exe
{E4442B62-FF6E-4C8A-89A8-FF06DBF5B8B0}.exe
{3BF3D513-EEB3-480D-A5A5-1C46B4F8C13F}.exe
{DE8D3B58-F19D-4679-AF88-5E4D5C0B7505}.exe
{C7B63FAF-C3C1-4836-91D4-1693BD4596F6}.exe
{33B07D5F-36D1-4C25-8120-4D4DF42FA193}.exe
{BA2E49A7-7DB2-43AD-9790-0ADCAD44AC55}.exe
{1B92D236-1713-4B4C-A63B-3DE3097F4BC6}.exe
{D90BB0A1-12CD-44AA-BDDE-14DE771FDE77}.exe
{6589A419-FE94-4796-8656-AAC7EDCA530E}.exe
{1263D85A-D6AF-4392-90FB-4DFDD7007E0F}.exe
{3D5F5A8A-05C3-4962-953D-54CEB27C44A7}.exe
{6CC3E6D9-3A9A-4D70-AB97-C8D3A2D636B2}.exe
{88DB5F94-2BA3-411F-80EE-2B7E110C2F38}.exe
{A66BAB5A-EC4B-4FF0-B262-D88C9528710E}.exe
{BAE41124-F5B5-4DB4-8180-CBBC08A81F8A}.exe
{69F50B5C-E39E-4B0C-996A-140A2C49C602}.exe
{1F386A79-EE0B-4C5E-A845-704E52FB0588}.exe
{19D1C366-F70E-4173-94D7-295A834B1F20}.exe
{E8ED32E4-BEED-4AB0-A42F-32AB72321E14}.exe
{33309B67-7FB2-4CD5-BBC3-958863662850}.exe
{4566F944-ED5C-4EAA-8007-4BEB60898776}.exe
{AC2C6CC7-5F65-4031-BCAF-29AA36DE5453}.exe
{E4A34C70-3F99-4F79-B9EF-A29439E36081}.exe
{092E480D-3DEC-4215-8889-42D0BE232385}.exe
{18930396-2044-4529-8A78-771EC6F3A8E2}.exe
{3C5F5D13-B465-4E96-9D23-CD2ABA08AE51}.exe
{C376F688-9EE9-4DCC-A0BF-D74661C5BAF6}.exe
{756418EE-26CC-4889-94DB-FE2D8B2C9F97}.exe
{63ED2913-02BC-4BA7-B010-E4335D1988AD}.exe
{D520928D-BF5F-46DC-A269-A876E6104F45}.exe
{D2446214-8553-4D0E-9DA6-5FD2C50DA6F0}.exe
{F1EBF922-2436-4744-B494-E259259118CD}.exe
{5F9D5642-AFF6-4E67-9AC3-A5427DAB11F1}.exe
{81110154-7FD6-4615-AAEB-6FE26236B830}.exe
{B560658F-D6F9-4DBB-BC93-473AA767E297}.exe
{7998A808-DD54-4912-AF84-FEF268AD6714}.exe
{B4676BD5-F303-43C9-9290-3B146DF46AB2}.exe
{3B016310-C3CC-4775-BCBD-812361109966}.exe
{F6F90CE4-95E1-4F87-8BDA-B2159A505345}.exe
{5C10A752-69AA-438E-8A99-C0BCC9CD4F27}.exe
{F2E07995-8990-4DA8-A6F2-6200BFA67290}.exe
{83BC44A9-768F-48A2-A5BB-81B5310C907E}.exe
{6FB5ED32-C817-4EED-A771-AD99D7B36EDE}.exe
{DF7D5858-68BA-40A5-8738-5857FC3051E4}.exe
{F9086878-E5AC-4B4D-A0C6-7C33B5C3467D}.exe
{BF060244-C7C8-423F-8387-2E0D129EDD62}.exe
{D6138513-5C9D-4A8E-B69B-EE4EC851535D}.exe
{AC175650-0D38-4DB0-B8B6-9A60B511898D}.exe
{63D8DCC2-54C5-4B0F-BFBC-486F45C28830}.exe
{E02E64BB-CCD3-4BDD-8011-F82447D5782B}.exe
{EC2455F9-3600-4316-A33B-91282B3E37F3}.exe
{433825F0-783B-43C5-984D-7AB2964F4156}.exe
{3BFB6611-C726-4F07-AD0E-A6C06265B5C6}.exe
{865EAEE5-81B6-478B-8B18-EBBDA8B04853}.exe
{D5CE4C76-A113-4E85-837C-0676BB76ADAB}.exe
{8014EFA7-270F-4677-B6ED-E1774F968F97}.exe
{F080860F-D2B4-4798-8B01-4E5537108086}.exe
{003F0C52-E5CC-4EE0-B7F0-508883DB4485}.exe
{F3DBA184-96DF-4126-A5C2-F8D7153EB31D}.exe
{CF3112BE-69CF-446C-ACA4-593A8C8BF46D}.exe
{741061E3-209F-45B7-B614-3BC76DA54A8D}.exe
{78405F7E-8569-46D6-B326-3FBD8CCBF0D9}.exe
{98391975-1A78-43B9-B564-54305532179F}.exe
{73B2F229-EBA2-45F6-B54A-9F6D5B2F82B5}.exe
{D492768C-25A7-429D-8A41-CB6D61A8A387}.exe
{DDDB9A61-339D-4355-B01B-83BBA66B7CC3}.exe
{DF9E79F3-7D65-471B-8289-F199209EE77E}.exe
{CC3F4587-6F34-4B0C-9297-CA2CA56DCF34}.exe
{B6F0E715-39AE-417A-A953-0D1C41BE2ECC}.exe
{9AC79171-4A3D-4760-819D-4D4FAC339D69}.exe
{EA2D249F-CA5E-4188-BE63-3237DB78997D}.exe
{7984D4F9-AEA5-40BA-B4BF-62995886F4A6}.exe
{FD6110EE-5AE9-45B7-92FE-9C291E7A1E3D}.exe
{BFD8BE6D-E567-4F37-8BEC-C16EB0B547CB}.exe
{27E3DD65-956E-4DCF-B07C-D1BF5BF79E4D}.exe
{8314072B-B4FF-4C49-AB5E-493013305043}.exe
{4097B012-9FC3-405A-B96C-1B7A9CCA77A6}.exe
{85EA5EFA-FD1A-48DF-BC41-666DC98C6844}.exe
{E81740E8-DD2B-4EFE-9923-3C435CE92DC5}.exe
{9ACF221B-671B-40EB-9E24-A667629EDFE6}.exe
{B9075698-3650-4237-B028-C36513A877A4}.exe
{8C11F514-5590-4C36-B5C0-181AFBA58370}.exe
{CDA0C737-57B3-44EE-86ED-B37FF0D5A019}.exe
{D4A0F233-2B19-4910-8740-22CE0469EED2}.exe
{48F482D8-2AC4-4710-8DFD-964B241F079C}.exe
{97088427-E88F-4D45-8BAD-28ECB0BA27DC}.exe
{EF201D7B-F08E-4F0A-92E1-5C7C311CC035}.exe
{65135342-C82B-498B-A693-FE6DD276A314}.exe
{16751BD6-DA77-48E1-A917-BE24D1C02D6E}.exe
{4E9E7CAE-3F7A-4825-B1A3-FD0162566ACC}.exe
{50826B99-5047-40D3-B032-1CA0D1EA9C98}.exe
{0285A66F-2B48-4573-9F97-227EFCB80B01}.exe
{96FDDB75-6139-4A2D-B8F3-184C71052C1F}.exe
{4D353CA6-2DA8-40EF-85A7-1FEBC2E5379B}.exe
{D73DE127-C114-4D53-B455-D13E3C1D41A3}.exe
{52C3E713-B5FA-41BD-B38E-5E59975BE3CA}.exe
{F0379977-305B-4939-B41F-1E6929629A7A}.exe
{2DE6CCA0-AA1F-4959-8A11-30F8BE8AAC3D}.exe
{C5550557-0986-42A6-8D09-95506BE41077}.exe
{642EF806-12DD-487C-B274-B7D4F16602AD}.exe
{4EA77DB7-8200-4024-AAD4-1233005F3879}.exe
{2684A3E8-9BD2-4F0E-9FE7-714E648DC4FC}.exe
{F6DDE1AA-8FFB-413B-B6B5-255AADC22168}.exe
{7CD852D6-13C2-4D0D-A76C-52A2CA9BE2EA}.exe
{92FBDDA0-56FC-4E7B-8243-D907D3BEEFE6}.exe
{CAAEF810-6E4D-455A-AF0D-3B995CE23C58}.exe
{F5344F6E-C338-4322-B29C-BD5579DCD2A3}.exe
{DAD9BB0B-E729-4979-B4A8-CE01F2C7F65A}.exe
{DADF4CD1-63E1-4ADF-84D4-B9B471CB2611}.exe
{526FE6F5-7201-41D2-A93E-85884FE00C88}.exe
{9D5456C4-D517-4DAB-95F1-6BCD963D7A41}.exe
{78BC4274-F039-4315-BD38-D1C0CCC5EB8D}.exe
{ED9832E4-C5B0-4F74-A110-9D3B8BC37C44}.exe
{0DC2F381-0092-4620-BFFF-74A572D627EC}.exe
{1C25E05A-03DD-40C9-A71E-1FB772B9BA60}.exe
{D4C7B0B6-3978-45CD-B639-E35A9501B532}.exe
{4F8E3370-F749-4763-BED7-CC014F267F11}.exe
{B000DBBF-192A-4DD9-9810-655383518033}.exe
{A1911681-E0DE-47AC-9765-CD6A6F60B0AA}.exe
{207A79F1-B9F2-4338-8F2F-13ACD1CD330A}.exe
{20AF345F-9028-4EBD-BE5D-3D6BF0861C59}.exe
{95B47DAE-4216-4451-8B10-D2BDC04A321C}.exe
{7F9131DA-CB9E-4F7B-89F6-BC2014181603}.exe
{CF15983E-D0C3-4AE1-9820-3A2E5FB852F5}.exe
{07D49929-1D83-4870-9F29-AD357EA6D4B7}.exe
{6228B0A0-D965-480A-922C-C9F3A67B180F}.exe
{A891CD9A-7814-445C-BF12-5FDFE3121D3A}.exe
{89C841B0-4A79-4F0D-A6E9-F27CCC5E9A17}.exe
{1682C14F-7BA5-4BFC-A9AA-BEE48895BFF0}.exe
{F85A3A8F-CAE1-494B-B94F-4CDB0E7E8359}.exe
{FF0A2A48-6C06-41DD-B77C-9F9B2D2D65E3}.exe
{2DD4286A-4892-4EC3-AB22-28DC45620434}.exe
{7E29D6DA-56E2-4B5C-B68A-899A099F5569}.exe
{1A44BD5A-CA7F-4C0F-9016-0996AD732B16}.exe
{C341A346-F4C9-420C-A5DC-7714255B8FE5}.exe
{A50CEB39-A892-48C4-A000-B32CB1485694}.exe
{B77D024C-9951-4490-99C0-E7D5148BC31D}.exe
{784236D8-C116-4325-946C-35D97E3970DA}.exe
{4D450391-D108-4ACD-AFFD-55831F49907B}.exe
{C562D301-B848-4FEE-9CF6-FD3E817A2AF0}.exe
{0D974BDB-BF67-4FC4-A76E-2477DA7142C5}.exe
{A7F9A279-7A87-46CF-BF0F-2AE913F88F6D}.exe
{0133ACA7-A6C9-4490-B122-4982FCD71D31}.exe
{92AF34DE-803A-4A5F-85E5-20F63BC335B8}.exe
{E1E8ECF5-59F2-4A49-99E4-A62AEAAE92E2}.exe
{21D76DD0-51FB-4DBF-BDD8-DBF29314DDFD}.exe
{E6343D56-F63D-4C04-9320-5A3E1A0611CF}.exe
{D2E65F76-D580-475E-91E2-B00B401B699A}.exe
{BC3AE9BD-9AB1-4277-8774-B2BDD05AD07E}.exe
{62F8D3D6-BDF7-459C-8616-73E7FAB0BA4E}.exe
{459CFD46-7C9C-44FF-BB6A-C8E5D9064CAC}.exe
{F16844A4-E6E1-4769-BA6E-9746957ED2E1}.exe
{AB2AC7BB-E51E-45B9-B436-028A5F86EA14}.exe
{2CAF76E0-B845-4042-972F-DE3EF069A249}.exe
{B03A1724-DEB6-4DC3-A402-DC97A26A39D2}.exe
{21E51EA5-4844-45B4-B718-A6688D094770}.exe
{AD631C07-7690-429A-955D-E5AE8BF813BC}.exe
{405B568C-694E-40F3-94BC-B859CB7C89E7}.exe
{486AD0F2-2C9F-4E6F-AAB4-1DE95C0C593C}.exe
{648A71C7-5A12-4730-B17F-D244B6770DFD}.exe
{82316560-9420-4D03-87B1-AD365DE1CBBA}.exe
{F5C15BDA-F51F-47E2-8758-C3E6C4D2DC8B}.exe
{E7B76CFF-92EA-42D2-8434-A9EA3266AE56}.exe
{9EE58493-9DB3-4D89-A4D8-4AF1107AD210}.exe
{C004F727-28D9-4738-B676-DD051B29FCDA}.exe
{20192CAA-AD51-48E7-9C66-45B42448B60E}.exe
{5F49011D-92FD-4804-B3DC-DD9C5CFC3D9D}.exe
{6B26CFDF-CA02-4533-952A-285E05B96E0D}.exe
{2C01BD1F-302B-4D1F-ABC5-42273FDA578A}.exe
{A4FFC3BD-124A-45C9-B1C6-21CC29D0D766}.exe
{5BEECBEA-1149-42C5-8EB7-968782AB8703}.exe
{1C962D2A-4170-4347-88C2-1523259D4F1B}.exe
{0EE13BEC-A6D5-4054-8B84-542B24231760}.exe
{EA1B9A98-98F7-4177-9F61-967226221445}.exe
{67B083B9-C484-43FD-840A-289A7E695BD5}.exe
{5F2329AE-AFF1-4DBF-ADA8-F5DCF4097C31}.exe
{795A309F-E66A-499C-BFF7-D77748C9C854}.exe
{1786E6A7-493B-4FB6-807C-D0581EBBAEA4}.exe
{DAA1CE69-0897-446B-B955-5A36732AF454}.exe
{467E6224-7E63-4805-A629-2964BEC6F069}.exe
{06315D49-1DA5-45FA-A8D9-0C60A9DA7FA9}.exe
{FDABD096-E403-4CA0-B4C6-21E248BCB4E4}.exe
{3F37889A-12A8-4CCF-8593-EE61283FEE2E}.exe
{EBC3287D-0FC1-458A-81E4-3029B695283F}.exe
{9486D37C-DFFB-4342-A35E-50A47CC0F03A}.exe
{85726AC0-3615-450A-A2EC-5718F208C6B1}.exe
{32419324-DD34-4860-A525-92D90F1BC900}.exe
{5B8D21BA-7FC7-4A75-8D8E-1853F959AD58}.exe
{04B6CB96-4A14-4BB0-B368-6E71F700EA6C}.exe
{0F02D564-6C70-40FE-BFCE-ED93A962C8E5}.exe
{A075B117-889C-402E-A32B-ACFA27963837}.exe
{4F06ACB3-1FC7-4DAE-A88C-7766B4F2F78F}.exe
{067431DF-3C1E-4CE1-B5FF-AA31052B457D}.exe
{6447519C-A797-4443-B181-971F6FAA2E8F}.exe
{E490DC66-0C67-4475-BCB2-80752EEED991}.exe
{C74B4758-AE46-4B0C-99D2-88C50D271CC5}.exe
{BAC51732-2BF4-4E24-A6CF-47D063868737}.exe
{B6C8248F-18BD-4E24-92F7-78685D34BF70}.exe
{C5D326D2-5AE1-402C-B83F-A7242576D602}.exe
{247A9ABA-8833-4610-AF79-979A0C84D6DA}.exe
{F6322C2C-F58B-488B-A064-9B55DDB6D3BD}.exe
{8F55C82A-AAE2-4AB9-88AB-3B4C820792D3}.exe
{42208C66-6452-4C15-BD3B-76D7A85232AD}.exe

Logfile of HijackThis v1.99.1
Scan saved at 18:14:51, on 17/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [tuwwo.exe] C:\WINDOWS\system32\tuwwo.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

slt
ai fai ce que tu m'as di voici les rapports


Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}86D52F84095A-F378-E564-07BD-568ADE7F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8C7CFB85440C-CF58-25E4-2016-724DD07B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AFC9C21E9F40-093B-7CC4-42A7-964A2B9E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}777100C62255-0EAB-3324-E1E5-62A19813{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7D4F30E61381-5E78-9A44-A320-38027598{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6D98C8677A59-693B-AE24-A911-D058676D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}79E4F692CA77-F95B-A8D4-844E-17B77261{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E5D5A6B3CB2F-9789-CF34-8F7E-3E3F75E5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}705C64A79C3A-CA2A-E6E4-C5A9-22A156B1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9B439F466D80-35FB-61A4-2216-8F05E114{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A636BDA99F88-A0CA-96E4-0D07-6EB66259{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}532417B03977-883B-6524-725C-0C4B2120{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}49D8E3FA670E-D599-CF44-2642-6AB494F0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\btfmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}143E4294E66C-59B8-F064-DFBA-A233ABA7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FB8CBF08BF7D-A3F9-D2A4-BAAE-1A8843E7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmftb.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSLWK.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSLWK.EXE 51 291 2006-07-17
C:\WINDOWS\SYSTEM32\DMFTB.EXE 62 052 2004-08-05
Other suspects
Directory of C:\WINDOWS\system32
{7E3488A1-EAAB-4A2D-9F3A-D7FB80FBC8BF}.exe
{7ABA332A-ABFD-460F-8B95-C66E4924E341}.exe
{0F494BA6-2462-44FC-995D-E076AF3E8D94}.exe
{0212B4C0-C527-4256-B388-77930B714235}.exe
{95266BE6-70D0-4E69-AC0A-88F99ADB636A}.exe
{411E50F8-6122-4A16-BF53-08D664F934B9}.exe
{5E57F3E3-E7F8-43FC-9879-F2BC3B6A5D5E}.exe
{16277B71-E448-4D8A-B59F-77AC296F4E97}.exe
{D676850D-119A-42EA-B396-95A7768C89D6}.exe
{89572083-023A-44A9-87E5-18316E03F4D7}.exe
{31891A26-5E1E-4233-BAE0-55226C001777}.exe
{E9B2A469-7A24-4CC7-B390-04F9E12C9CFA}.exe
{B70DD427-6102-4E52-85FC-C04458BFC7C8}.exe

Logfile of HijackThis v1.99.1
Scan saved at 11:26:47, on 18/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [whdyj.exe] C:\WINDOWS\system32\whdyj.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

et maintenant que dois-je faire?
merci

ai refait les manips
voici les rapports

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}455BB04D7F05-BE9B-A9B4-2A12-5EE93024{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4BAD27BE3659-300A-9844-2372-964801C1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}430BF4D03FA3-932A-72E4-D6EF-0D9B632D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C9946BD022B4-0518-B344-EF3C-84C9BF33{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E7AE2949C694-2769-E684-5BE1-42E8BFC2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}75F1F5EBD505-EB1A-A494-2AA8-ACE01F3A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}42AF7DB5A09C-6D69-0AE4-B4B3-413E8B13{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}95ACA402264D-2039-1ED4-DAEF-312E3CA4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}26872765596E-2EB9-DF64-2F3C-EACE48DE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}937096E57DDE-8428-F2B4-49F0-187719B9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D0CAEA58E2E9-3F79-0204-8DA9-A4818365{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}83E2691CC05C-0FD9-BAA4-F626-8120858D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2CC3D34C027B-B069-13B4-0D82-3CCC8FCE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}44415B04EDC8-BED9-36D4-4635-55FDC1CA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A4ED7772C25C-DD48-12B4-A7BF-B039AC5F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AECE6606F555-6A38-49F4-70AC-C95E5F3A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}77A76CE188AA-1DFB-EA14-AE39-D5F5A3C3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}727B495BDB2D-06F9-3904-BDFB-0FFFD43C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}49CD2CEF72B6-09BA-0044-1D14-6EF16D30{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5C9D065F75A7-8EBB-5CF4-D79B-71027E06{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}24C6F1E0F537-487B-8AC4-C319-4F55482F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E7D550149803-0DC9-7CB4-483F-412E4A3A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7506ECE4E458-7BD9-6024-2201-2FFE85CB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}86DB58650634-1B39-2B74-4430-1D20B890{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}15DDBE38AE90-04CA-9444-A5ED-6BACFF8E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B0099E0B988C-E1DB-51C4-A50B-90F5C635{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C8774224FC75-0EFB-2654-D992-7C25D96E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}41CD4132CD2F-CDCB-7934-11C6-85BF7463{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}782209C460FF-6B0A-05C4-FEA4-56850263{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D79AA2C74A41-6918-FB94-CCDA-041CF06F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}78F4415DC2EB-6E38-AAC4-080A-3930E0D4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6E9A089B2909-6D9A-E454-E34B-82DA449D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ACAA6E9D0EC6-71F8-87F4-4C64-2EAB968B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5F38D79A9D0B-74AA-7D94-3DCB-1BEFCD9B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2B1E6A0476B7-1149-7804-37DC-A42B60DA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8AF5E5B5F902-D6D8-DF44-1F29-786BCC5B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8E1BC60DE3B1-949B-5604-48F3-5BA96497{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C791AC034EFD-3989-D7C4-1DB1-0FD25A35{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}659D77747FB2-4ABB-73B4-094F-51BD9830{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B0D37D82732E-1E5A-F094-E631-05CE3FBD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5A75D980FB34-977B-2F84-6588-6EDC1669{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C6B4D878F4F9-919A-CE04-CB84-C4E2102B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5A0104CEDFB9-C7C9-7844-34AE-FBCE5D03{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B2C24BFC5C2B-1DF9-4A24-E315-E369E0B1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}64CDDE7DB8E8-CBC9-F524-E48F-202D0BF1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EFFA87D6391D-BBB9-BB74-DEA1-626EBF64{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D8814347AB91-2DCA-2D04-E2A0-9C8CA55C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A9593FF084EB-EB79-E2B4-5E70-2A7DDEF2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3EF072EED3B6-F598-26A4-6219-06D9C3E7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6BA6EDC27F7C-96AA-BBE4-E7B8-EF48F605{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}00C08CC5979F-B869-8774-9B0C-1E7F74C4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6AE1BD632808-F37B-B2F4-B8BD-1174157F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7BE6FA7A0476-778A-3B14-ABCF-A8BBEF7A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0D06596A05F1-B6B8-D444-6A78-AF2B789A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3BC8818B9841-805A-19D4-B5BE-96953730{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\qvhmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7498BF2E7A7B-ECFB-28B4-D424-EA2676C5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1689E6BD54E7-C0D9-C664-F842-0F5F2CA3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmhvq.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSBTI.EXE
* csr.exe C:\WINDOWS\System32\CSLWK.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSBTI.EXE 51 291 2006-07-18
C:\WINDOWS\SYSTEM32\CSLWK.EXE 51 291 2006-07-17
C:\WINDOWS\SYSTEM32\DMPWU.EXE 62 052 2004-08-05
C:\WINDOWS\SYSTEM32\DMHVQ.EXE 62 052 2004-08-05
C:\WINDOWS\SYSTEM32\DMFTB.EXE 62 052 2004-08-05
Other suspects
Directory of C:\WINDOWS\system32
{5C6762AE-424D-4B82-BFCE-B7A7E2FB8947}.exe
{03735969-EB5B-4D91-A508-1489B8188CB3}.exe
{A7FEBB8A-FCBA-41B3-A877-6740A7AF6EB7}.exe
{F7514711-DB8B-4F2B-B73F-808236DB1EA6}.exe
{506F84FE-8B7E-4EBB-AA69-C7F72CDE6AB6}.exe
{7E3C9D60-9126-4A62-895F-6B3DEE270FE3}.exe
{2FEDD7A2-07E5-4B2E-97BE-BE480FF3959A}.exe
{C55AC8C9-0A2E-40D2-ACD2-19BA7434188D}.exe
{46FBE626-1AED-47BB-9BBB-D1936D78AFFE}.exe
{1FB0D202-F84E-425F-9CBC-8E8BD7EDDC46}.exe
{1B0E963E-513E-42A4-9FD1-B2C5CFB42C2B}.exe
{30D5ECBF-EA43-4487-9C7C-9BFDEC4010A5}.exe
{B2012E4C-48BC-40EC-A919-9F4F878D4B6C}.exe
{9661CDE6-8856-48F2-B779-43BF089D57A5}.exe
{DBF3EC50-136E-490F-A5E1-E23728D73D0B}.exe
{0389DB15-F490-4B37-BBA4-2BF74777D956}.exe
{53A52DF0-1BD1-4C7D-9893-DFE430CA197C}.exe
{79469AB5-3F84-4065-B949-1B3ED06CB1E8}.exe
{B5CCB687-92F1-44FD-8D6D-209F5B5E5FA8}.exe
{AD06B24A-CD73-4087-9411-7B6740A6E1B2}.exe
{B9DCFEB1-BCD3-49D7-AA47-B0D9A97D83F5}.exe
{B869BAE2-46C4-4F78-8F17-6CE0D9E6AACA}.exe
{D944AD28-B43E-454E-A9D6-9092B980A9E6}.exe
{4D0E0393-A080-4CAA-83E6-BE2CD5144F87}.exe
{F60FC140-ADCC-49BF-8196-14A47C2AA97D}.exe
{36205865-4AEF-4C50-A0B6-FF064C902287}.exe
{3647FB58-6C11-4397-BCDC-F2DC2314DC14}.exe
{E69D52C7-299D-4562-BFE0-57CF4224778C}.exe
{536C5F09-B05A-4C15-BD1E-C889B0E9900B}.exe
{E8FFCAB6-DE5A-4449-AC40-09EA83EBDD51}.exe
{098B02D1-0344-47B2-93B1-43605685BD68}.exe
{BC58EFF2-1022-4206-9DB7-854E4ECE6057}.exe
{A3A4E214-F384-4BC7-9CD0-308941055D7E}.exe
{F28455F4-913C-4CA8-B784-735F0E1F6C42}.exe
{60E72017-B97D-4FC5-BBE8-7A57F560D9C5}.exe
{03D61FE6-41D1-4400-AB90-6B27FEC2DC94}.exe
{C34DFFF0-BFDB-4093-9F60-D2BDB594B727}.exe
{3C3A5F5D-93EA-41AE-BFD1-AA881EC67A77}.exe
{A3F5E59C-CA07-4F94-83A6-555F6066ECEA}.exe
{F5CA930B-FB7A-4B21-84DD-C52C2777DE4A}.exe
{AC1CDF55-5364-4D63-9DEB-8CDE40B51444}.exe
{ECF8CCC3-28D0-4B31-960B-B720C43D3CC2}.exe
{D8580218-626F-4AAB-9DF0-C50CC1962E38}.exe
{5638184A-9AD8-4020-97F3-9E2E85AEAC0D}.exe
{9B917781-0F94-4B2F-8248-EDD75E690739}.exe
{ED84ECAE-C3F2-46FD-9BE2-E69556727862}.exe
{4AC3E213-FEAD-4DE1-9302-D462204ACA59}.exe
{A3F10ECA-8AA2-494A-A1BE-505DBE5F1F57}.exe
{2CFB8E24-1EB5-486E-9672-496C9492EA7E}.exe
{33FB9C48-C3FE-443B-8150-4B220DB6499C}.exe
{D236B9D0-FE6D-4E27-A239-3AF30D4FB034}.exe
{1C108469-2732-4489-A003-9563EB72DAB4}.exe

Logfile of HijackThis v1.99.1
Scan saved at 16:21:51, on 18/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [inwrg.exe] C:\WINDOWS\system32\inwrg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

ai effectué ce que tu m'as di mais né pas de rapport
est ce normal?

Bonjour

Ils sont tous vérolés.

Je vais avoir besoin d'un nouveau rapport Fixwareout et HijackThis.

Ensuite, nouvelle manip.

ai refait les manips
voici les rapports
Logfile of HijackThis v1.99.1
Scan saved at 21:16:55, on 28/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [jokiw.exe] C:\WINDOWS\system32\jokiw.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 22:29:38 28/07/2006

+ Scan result:



C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015506.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015507.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015508.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015509.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015525.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015535.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015543.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015555.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015561.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015570.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015583.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015596.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015630.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\WINDOWS\system32\csqhs.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
[172] VM_00D60000 -> Downloader.Agent.uj : Error during cleaning.
[196] VM_00BF0000 -> Downloader.Agent.uj : Error during cleaning.
[764] VM_009D0000 -> Downloader.Agent.uj : Error during cleaning.
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015521.exe -> Heuristic.Win32.Morphine-Crypted : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015519.exe -> Trojan.Hoster : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015520.exe -> Trojan.Hoster : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015514.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015515.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015516.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015517.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\WINDOWS\system32\{FB18F1BB-E4F9-4BE8-B5DB-A98F62EE4658}.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015510.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015511.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015512.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015513.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\WINDOWS\system32\{7BFAFD55-9C87-406D-AAC2-A8088EEF3DF9}.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).


::Report end

merci pour le coup de main

voici le rapport fixewareout

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C9860829B572-D468-8954-F9FF-F8636866{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}470FD8FC5F2E-9818-C004-7B00-2DC86FE8{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}305B051077B9-F059-38E4-A188-776226F3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E4D20B753763-6109-6824-0D04-5F6F93AE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5874FF886822-FF7B-9B84-DF0B-1E5A5FFE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2B64A706863C-3F79-0E34-1180-75969429{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2919A3711347-9999-B354-0A85-AAAA58F2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}70CF668BB511-2D4A-75A4-2346-6693F099{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5A67FFC4751F-27FB-D794-1953-6E343490{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4745279541E0-45A8-58B4-D1C4-6C23648B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8AE83DDFDBC2-E78A-E474-B57A-795DA38A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\eyamd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2F3B0C1C95BA-75E9-C584-6568-E376C5C1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1DC9DDBD5A64-915B-F074-79A5-3075E2EF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CF490AF45AF7-6728-1FE4-803A-8DD34BBF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmaye.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSQCW.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSQCW.EXE 51 291 2006-07-28
C:\WINDOWS\SYSTEM32\DMPWU.EXE 62 052 2004-08-05
C:\WINDOWS\SYSTEM32\DMHVQ.EXE 62 052 2004-08-05
C:\WINDOWS\SYSTEM32\DMXSF.EXE 62 052 2004-08-05
C:\WINDOWS\SYSTEM32\DMAYE.EXE 62 052 2004-08-05
C:\WINDOWS\SYSTEM32\DMFTB.EXE 62 052 2004-08-05
Other suspects
Directory of C:\WINDOWS\system32
{FBB43DD8-A308-4EF1-8276-7FA54FA094FC}.exe
{FE2E5703-5A97-470F-B519-46A5DBDD9CD1}.exe
{CCEDF99A-E97A-4033-9FCE-1AAC64A9CC7C}.exe
{6D240A85-181B-466C-AE5A-0CBA191BAE2C}.exe
{3AF7113B-A2C6-4E4A-874D-78186D1DC152}.exe
{1C5C673E-8656-485C-9E57-AB59C1C0B3F2}.exe
{A83AD597-A75B-474E-A87E-2CBDFDD38EA8}.exe
{B84632C6-4C1D-4B85-8A54-0E1459725474}.exe
{990F3966-6432-4A57-A4D2-115BB866FC07}.exe
{2F85AAAA-58A0-453B-9999-7431173A9192}.exe
{92496957-0811-43E0-97F3-C368607A46B2}.exe
{EFF5A5E1-B0FD-48B9-B7FF-228688FF4785}.exe
{EA39F6F5-40D0-4286-9016-367357B02D4E}.exe
{3F622677-881A-4E83-950F-9B770150B503}.exe
{8EF68CD2-00B7-400C-8189-E2F5CF8DF074}.exe
{B3026542-FA87-4B76-A3D5-0340DFEBBE77}.exe
{33AFA341-C6C9-428A-80C0-30BEC6F8BFD3}.exe
{D53A1C09-8C39-458B-8045-9D24B12DFF53}.exe
{08F4DADC-03C1-4B2C-9DAF-65BB5952A363}.exe
{DFC27BEB-6099-4C55-8AAE-8151C11AF607}.exe
{60F37F57-2ACA-4CCF-99CA-8CEF4F697633}.exe
{A963BF6E-EF70-4348-956B-09E410C7C5A3}.exe
{015BE5F8-C63D-446A-A0A3-E6C1BEF1C65A}.exe
{CC67AF37-2BA1-4200-ADD3-D82279300598}.exe
{CEA1C90B-B98E-44D4-AD36-DC197AD77E61}.exe
{8BD080BA-BDF7-4E62-9A00-AE77E599CD83}.exe
{CC755EBC-2FD0-46E4-BB1E-6E2C9EF08828}.exe
{C54CB29F-0838-4B86-8656-F356A074075E}.exe
{AB5AAB80-A3DA-495F-876A-D84799C4FE27}.exe
{A6779E25-138D-43D1-A7E5-2DC291115FA3}.exe
{FD9DFDA3-2837-4BD8-8157-80B4BA683867}.exe
{EC674142-48A9-4BBA-B30B-0CCC52CEE703}.exe
{B23B3EC8-793B-4D67-8599-0234E2741E86}.exe
{670B6D34-BE98-42B9-B208-91445DB23121}.exe
{76119F2D-740D-46ED-B4DF-AE2A37A868FB}.exe
{F6E29A77-B9A3-4406-96EB-022AC8514009}.exe
{DE91DE2D-146C-4F6E-B4DD-CCAB05EDABE7}.exe
{B724291F-4A0D-46BB-BE17-184F934E1934}.exe
{CE870827-47F6-48E7-81A3-56835F7CEC70}.exe
{7E11D41E-DD92-4C19-8ACB-D458605A7718}.exe
{0998CCF1-22DA-4880-B844-D83C50CA44D8}.exe
{1BE650A8-975E-4A2B-A59A-18A4361105EA}.exe
{F5908D38-EA36-4D80-B820-E9960DC1379B}.exe
{A3A49340-7288-4F73-A602-30EE04DDB8AC}.exe
{20C72C05-8BFD-4337-91E8-887B9164C8B4}.exe
{9CBBF688-AFB7-4648-B7BE-DD6E561DCD36}.exe
{5C6762AE-424D-4B82-BFCE-B7A7E2FB8947}.exe
{03735969-EB5B-4D91-A508-1489B8188CB3}.exe
{A7FEBB8A-FCBA-41B3-A877-6740A7AF6EB7}.exe
{F7514711-DB8B-4F2B-B73F-808236DB1EA6}.exe
{506F84FE-8B7E-4EBB-AA69-C7F72CDE6AB6}.exe
{7E3C9D60-9126-4A62-895F-6B3DEE270FE3}.exe
{2FEDD7A2-07E5-4B2E-97BE-BE480FF3959A}.exe
{C55AC8C9-0A2E-40D2-ACD2-19BA7434188D}.exe
{46FBE626-1AED-47BB-9BBB-D1936D78AFFE}.exe
{1FB0D202-F84E-425F-9CBC-8E8BD7EDDC46}.exe
{1B0E963E-513E-42A4-9FD1-B2C5CFB42C2B}.exe
{30D5ECBF-EA43-4487-9C7C-9BFDEC4010A5}.exe
{B2012E4C-48BC-40EC-A919-9F4F878D4B6C}.exe
{9661CDE6-8856-48F2-B779-43BF089D57A5}.exe
{DBF3EC50-136E-490F-A5E1-E23728D73D0B}.exe
{0389DB15-F490-4B37-BBA4-2BF74777D956}.exe
{53A52DF0-1BD1-4C7D-9893-DFE430CA197C}.exe
{79469AB5-3F84-4065-B949-1B3ED06CB1E8}.exe
{B5CCB687-92F1-44FD-8D6D-209F5B5E5FA8}.exe
{AD06B24A-CD73-4087-9411-7B6740A6E1B2}.exe
{B9DCFEB1-BCD3-49D7-AA47-B0D9A97D83F5}.exe
{B869BAE2-46C4-4F78-8F17-6CE0D9E6AACA}.exe
{D944AD28-B43E-454E-A9D6-9092B980A9E6}.exe
{4D0E0393-A080-4CAA-83E6-BE2CD5144F87}.exe
{F60FC140-ADCC-49BF-8196-14A47C2AA97D}.exe
{36205865-4AEF-4C50-A0B6-FF064C902287}.exe
{3647FB58-6C11-4397-BCDC-F2DC2314DC14}.exe
{E69D52C7-299D-4562-BFE0-57CF4224778C}.exe
{536C5F09-B05A-4C15-BD1E-C889B0E9900B}.exe
{E8FFCAB6-DE5A-4449-AC40-09EA83EBDD51}.exe
{098B02D1-0344-47B2-93B1-43605685BD68}.exe
{BC58EFF2-1022-4206-9DB7-854E4ECE6057}.exe
{A3A4E214-F384-4BC7-9CD0-308941055D7E}.exe
{F28455F4-913C-4CA8-B784-735F0E1F6C42}.exe
{60E72017-B97D-4FC5-BBE8-7A57F560D9C5}.exe
{03D61FE6-41D1-4400-AB90-6B27FEC2DC94}.exe
{C34DFFF0-BFDB-4093-9F60-D2BDB594B727}.exe
{3C3A5F5D-93EA-41AE-BFD1-AA881EC67A77}.exe
{A3F5E59C-CA07-4F94-83A6-555F6066ECEA}.exe
{F5CA930B-FB7A-4B21-84DD-C52C2777DE4A}.exe
{AC1CDF55-5364-4D63-9DEB-8CDE40B51444}.exe
{ECF8CCC3-28D0-4B31-960B-B720C43D3CC2}.exe
{D8580218-626F-4AAB-9DF0-C50CC1962E38}.exe
{5638184A-9AD8-4020-97F3-9E2E85AEAC0D}.exe
{9B917781-0F94-4B2F-8248-EDD75E690739}.exe
{ED84ECAE-C3F2-46FD-9BE2-E69556727862}.exe
{4AC3E213-FEAD-4DE1-9302-D462204ACA59}.exe
{A3F10ECA-8AA2-494A-A1BE-505DBE5F1F57}.exe
{33FB9C48-C3FE-443B-8150-4B220DB6499C}.exe
{D236B9D0-FE6D-4E27-A239-3AF30D4FB034}.exe

salut
ai effectue ce que tu m'as di mais fixeware ne ma pas delivre de rapport
voici celui de hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 21:07:16, on 29/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [sqakn.exe] C:\WINDOWS\system32\sqakn.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

salut
ai fait plusieurs passage et tjs pas de rapport
je dois continué?
ou as tu une autre solution
merci

voici le rapport
"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"MsnMsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" [file not found]
"vjlsx.exe" = "C:\WINDOWS\system32\vjlsx.exe" [null data]
"(Default)" = """ = (data in unrecognized format!)" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Program Files\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Program Files\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Program Files\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\GUIGNARD XAVIER\Application Data\Microsoft\Internet Explorer\Papier peint de Internet Explorer.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 12
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings" )

Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

Missing lines (compared with English-language version):
[Strings]: 1 line


HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 1 domain name to an IP address,
1 of the IP addresses is *not* localhost!


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Program Files\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
3300 Series Port\Driver = "lxcclmpm.DLL" ["Lexmark International, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 122 seconds, including 18 seconds for message boxes)

le voila

Logfile of HijackThis v1.99.1
Scan saved at 15:29:58, on 30/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vjlsx.exe] C:\WINDOWS\system32\vjlsx.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

et maintenant?

ai un petit souci
car je n'arrive pas a trouver le premier cheminement que tu me demande de faire
plus éxactement je trouve pas "connection"
dsl

ai trouvé merci
mais quand je fai un clic droit y a pas d'onglet gestion reseau
es-ce normal?

je vois ce que tu veux dire mais quand je fais un clic droit sur connection au reseau local, je n'ai que les onglets "général", "authentification" et "avancé" mais pas de gestion reseau
es-ce normal?

voici les dernieres news du front

Protection anti-enregistreurs de frappe: Activé
Protection BHO: Activé
Protection Paramètres de sécurité Internet Explorer: Activé
Protection Exécution Alternate Data Stream (ADS): Activé
Protection de démarrage: Activé
Protection des Sites publicitaires connus: Désactivé
Protection du fichier d'hôtes: Activé
Protection anti-communication d'espions: Activé
Protection anti-ActiveX: Activé
Protection Service Affichage des messages: Activé
Protection des Favoris Internet Explorer: Activé
Protection contre l'installation de logiciels espions: Activé
Protection Mémoire: Activé
Protection de détournement Internet Explorer: Activé
Protection Cookies de suivi Internet Explorer: Désactivé
10:30: État des Protections
10:30: Définitions de logiciels espions : 691
10:29: Spy Sweeper 5.0.5.1286 démarrée
Opération : Terminer
Cible : C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPERUI.EXE
Source : C:\WINDOWS\SYSTEM32\CSRSS.EXE
09:21: Détection d’une falsification
Opération : Terminer
Cible : C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPERUI.EXE
Source : C:\WINDOWS\SYSTEM32\CSRSS.EXE
09:21: Détection d’une falsification
Protection anti-enregistreurs de frappe: Activé
Protection BHO: Activé
Protection Paramètres de sécurité Internet Explorer: Activé
Protection Exécution Alternate Data Stream (ADS): Activé
Protection de démarrage: Activé
Protection des Sites publicitaires connus: Désactivé
Protection du fichier d'hôtes: Activé
Protection anti-communication d'espions: Activé
Protection anti-ActiveX: Activé
Protection Service Affichage des messages: Activé
Protection des Favoris Internet Explorer: Activé
Protection contre l'installation de logiciels espions: Activé
Protection Mémoire: Activé
Protection de détournement Internet Explorer: Activé
Protection Cookies de suivi Internet Explorer: Désactivé
09:07: État des Protections
09:07: Définitions de logiciels espions : 691
09:07: Spy Sweeper 5.0.5.1286 démarrée
Protection anti-enregistreurs de frappe: Activé
Protection BHO: Activé
Protection Paramètres de sécurité Internet Explorer: Activé
Protection Exécution Alternate Data Stream (ADS): Activé
Protection de démarrage: Activé
23:14: Avertissement: Descripteur non valide
Protection des Sites publicitaires connus: Désactivé
Protection du fichier d'hôtes: Activé
Protection anti-communication d'espions: Activé
Protection anti-ActiveX: Activé
Protection Service Affichage des messages: Activé
Protection des Favoris Internet Explorer: Activé
Protection contre l'installation de logiciels espions: Activé
Protection Mémoire: Activé
Protection de détournement Internet Explorer: Activé
Protection Cookies de suivi Internet Explorer: Désactivé
23:14: État des Protections
23:14: Définitions de logiciels espions : 691
23:13: Spy Sweeper 5.0.5.1286 démarrée
Protection anti-enregistreurs de frappe: Activé
Protection BHO: Activé
Protection Paramètres de sécurité Internet Explorer: Activé
Protection Exécution Alternate Data Stream (ADS): Activé
Protection de démarrage: Activé
Protection des Sites publicitaires connus: Désactivé
Protection du fichier d'hôtes: Activé
Protection anti-communication d'espions: Activé
Protection anti-ActiveX: Activé
Protection Service Affichage des messages: Activé
Protection des Favoris Internet Explorer: Activé
Protection contre l'installation de logiciels espions: Activé
Protection Mémoire: Activé
Protection de détournement Internet Explorer: Activé
Protection Cookies de suivi Internet Explorer: Désactivé
22:30: État des Protections
22:30: Définitions de logiciels espions : 691
22:28: Spy Sweeper 5.0.5.1286 démarrée
Protection anti-enregistreurs de frappe: Activé
Protection BHO: Activé
Protection Paramètres de sécurité Internet Explorer: Activé
Protection Exécution Alternate Data Stream (ADS): Activé
Protection de démarrage: Activé
Protection des Sites publicitaires connus: Désactivé
Protection du fichier d'hôtes: Activé
Protection anti-communication d'espions: Activé
Protection anti-ActiveX: Activé
Protection Service Affichage des messages: Activé
Protection des Favoris Internet Explorer: Activé
Protection contre l'installation de logiciels espions: Activé
Protection Mémoire: Activé
Protection de détournement Internet Explorer: Activé
Protection Cookies de suivi Internet Explorer: Désactivé
21:53: État des Protections
21:53: Définitions de logiciels espions : 691
21:51: Spy Sweeper 5.0.5.1286 démarrée
20:16: | Fin de session, lundi 31 juillet 2006 |
Protection anti-enregistreurs de frappe: Activé
Protection BHO: Activé
Protection Paramètres de sécurité Internet Explorer: Activé
Protection Exécution Alternate Data Stream (ADS): Activé
Protection de démarrage: Activé
Protection des Sites publicitaires connus: Désactivé
Protection du fichier d'hôtes: Activé
Protection anti-communication d'espions: Activé
Protection anti-ActiveX: Activé
Protection Service Affichage des messages: Activé
Protection des Favoris Internet Explorer: Activé
Protection contre l'installation de logiciels espions: Activé
Protection Mémoire: Activé
Protection de détournement Internet Explorer: Activé
Protection Cookies de suivi Internet Explorer: Désactivé
20:13: État des Protections
20:13: Définitions de logiciels espions : 691
20:12: Spy Sweeper 5.0.5.1286 démarrée
11:50: | Fin de session, lundi 31 juillet 2006 |
11:47: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
11:46: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
Protection anti-enregistreurs de frappe: Activé
Protection BHO: Activé
Protection Paramètres de sécurité Internet Explorer: Activé
Protection Exécution Alternate Data Stream (ADS): Activé
Protection de démarrage: Activé
Protection des Sites publicitaires connus: Désactivé
Protection du fichier d'hôtes: Activé
Protection anti-communication d'espions: Activé
Protection anti-ActiveX: Activé
Protection Service Affichage des messages: Activé
Protection des Favoris Internet Explorer: Activé
Protection contre l'installation de logiciels espions: Activé
Protection Mémoire: Activé
Protection de détournement Internet Explorer: Activé
Protection Cookies de suivi Internet Explorer: Désactivé
11:42: État des Protections
11:42: Définitions de logiciels espions : 691
11:41: Spy Sweeper 5.0.5.1286 démarrée
11:41: Spy Sweeper 5.0.5.1286 démarrée
11:41: | Début de session, lundi 31 juillet 2006 |
********
Opération : Terminer
Cible : C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPERUI.EXE
Source : C:\WINDOWS\SYSTEM32\CSRSS.EXE
12:48: Détection d’une falsification
12:45: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:44: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:44: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:44: Avertissement: TBZipFileCompressor.Compress: Cannot compress a file or directory that does not exist (C:\WINDOWS\TEMP\_AVAST4_\UNP34254624.TMP).
12:44: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:44: Avertissement: TBZipFileCompressor.Compress: Cannot compress a file or directory that does not exist (C:\WINDOWS\TEMP\_AVAST4_\UNP127542077.TMP).
12:43: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:43: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:42: Avertissement: Failed to access drive D:
12:41: C:\!KillBox\csqcw.exe (ID = 246)
12:39: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0016053.exe (ID = 246)
12:39: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0016042.exe (ID = 246)
12:39: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0016032.exe (ID = 246)
12:39: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015975.exe (ID = 246)
12:39: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015939.exe (ID = 246)
12:38: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015762.EXE (ID = 246)
12:38: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015738.exe (ID = 246)
12:38: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015704.exe (ID = 246)
12:38: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015692.exe (ID = 246)
12:38: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015687.exe (ID = 246)
12:36: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:36: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:35: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:34: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:33: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:32: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:31: Avertissement: Failed to read file "c:\program files\alwil software\avast4\data\dllcc0.dat". Le fichier ou le répertoire est endommagé et illisible
12:31: Avertissement: Failed to read file "c:\program files\alwil software\avast4\data\clnr0.dll". Le fichier ou le répertoire est endommagé et illisible
12:29: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:29: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:26: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:26: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:26: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:25: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:25: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:25: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:24: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:23: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:16: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\data\settings.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:16: Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:16: Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:16: Avertissement: Failed to open file "c:\documents and settings\localservice\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:16: Avertissement: Failed to open file "c:\documents and settings\localservice\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:16: Avertissement: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:16: Avertissement: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:16: Avertissement: Failed to open file "c:\documents and settings\networkservice\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:16: Avertissement: Failed to open file "c:\documents and settings\networkservice\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:16: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:16: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:15: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:15: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:15: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:14: Avertissement: Failed to open file "c:\windows\softwaredistribution\eventcache\{1ba33b7f-4beb-42a8-98e3-1689da0b6662}.bin". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:14: Avertissement: Failed to open file "c:\windows\softwaredistribution\eventcache\{fd43bff1-09c4-4512-a374-a7d4a266e23b}.bin". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:13: Avertissement: Failed to open file "c:\windows\temp\_avast4_\webshlock.txt". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:13: Avertissement: Failed to open file "c:\windows\temp\perflib_perfdata_5c8.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:09: Avertissement: Failed to open file "c:\windows\system32\config\default". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:09: Avertissement: Failed to open file "c:\windows\system32\config\software". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:09: Avertissement: Failed to open file "c:\windows\system32\config\system". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:09: Avertissement: Failed to open file "c:\windows\system32\config\sam". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:09: Avertissement: Failed to open file "c:\windows\system32\config\security". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:09: Avertissement: Failed to open file "c:\windows\system32\config\security.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:09: Avertissement: Failed to open file "c:\windows\system32\config\sam.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:09: Avertissement: Failed to open file "c:\windows\system32\config\default.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:09: Avertissement: Failed to open file "c:\windows\system32\config\software.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:09: Avertissement: Failed to open file "c:\windows\system32\config\system.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:09: C:\WINDOWS\system32\csjan.exe (ID = 246)
12:09: Avertissement: Failed to open file "c:\windows\system32\dmahe.exe". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:09: Avertissement: Failed to open file "c:\windows\system32\qveka.exe". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
12:09: C:\WINDOWS\system32\cskky.exe (ID = 246)
12:09: C:\WINDOWS\system32\cssbc.exe (ID = 246)
12:09: C:\WINDOWS\system32\cslao.exe (ID = 246)
12:08: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:08: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:08: C:\WINDOWS\system32\csjos.exe (ID = 246)
12:07: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
12:07: C:\WINDOWS\system32\csuyd.exe (ID = 246)
12:07: C:\WINDOWS\system32\csumj.exe (ID = 246)
12:07: C:\WINDOWS\system32\csncn.exe (ID = 246)
12:06: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:06: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:05: Avertissement: Failed to open file "c:\hiberfil.sys". Accès refusé
12:05: Avertissement: Failed to open file "c:\pagefile.sys". Accès refusé
12:05: Démarrage de l’analyse des fichiers
12:05: Avertissement: Failed to access drive A:
12:05: Analyse des cookies terminée, temps passé : 00:00:02
12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@adtech[2].txt (ID = 2155)
12:05: Trouvé Spy Cookie: adtech cookie
12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@weborama[2].txt (ID = 3658)
12:05: Trouvé Spy Cookie: weborama cookie
12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@atdmt[2].txt (ID = 2253)
12:05: Trouvé Spy Cookie: atlas dmt cookie
12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@counter9.sextracker[1].txt (ID = 3362)
12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@69.50.190[2].txt (ID = 1936)
12:05: Trouvé Spy Cookie: 190dotcom cookie
12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@bluestreak[2].txt (ID = 2314)
12:05: Trouvé Spy Cookie: bluestreak cookie
12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@sextracker[1].txt (ID = 3361)
12:05: Trouvé Spy Cookie: sextracker cookie
12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@xiti[1].txt (ID = 3717)
12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@mediaplex[1].txt (ID = 6442)
12:05: Trouvé Spy Cookie: mediaplex cookie
12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@msnportal.112.2o7[1].txt (ID = 1958)
12:05: Trouvé Spy Cookie: 2o7.net cookie
12:05: c:\documents and settings\guignard emilie\cookies\guignard emilie@msn.touchclarity[1].txt (ID = 3566)
12:05: Trouvé Spy Cookie: touchclarity cookie
12:05: c:\documents and settings\guignard emilie\cookies\guignard emilie@dist.belnk[2].txt (ID = 2293)
12:05: c:\documents and settings\guignard emilie\cookies\guignard emilie@belnk[1].txt (ID = 2292)
12:05: Trouvé Spy Cookie: belnk cookie
12:05: c:\documents and settings\guignard emilie\cookies\guignard emilie@xiti[1].txt (ID = 3717)
12:05: Trouvé Spy Cookie: xiti cookie
12:05: c:\documents and settings\guignard emilie\cookies\guignard emilie@go[1].txt (ID = 2728)
12:05: Trouvé Spy Cookie: go.com cookie
12:05: Démarrage de l’analyse des cookies
12:05: Analyse du Registre terminée, temps passé 02:07
12:05: HKU\S-1-5-21-117609710-842925246-1708537768-1004\software\microsoft\internet explorer\extensions\cmdmapping\ || {bf69df00-2734-477f-8257-27cd04f88779} (ID = 144839)
12:05: Trouvé Trojan Horse: trojan-downloader-wareout
12:04: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
12:04: HKLM\software\microsoft\windows\currentversion\ruins\ (ID = 605128)
12:04: HKLM\software\microsoft\windows\currentversion\urls\ (ID = 605127)
12:03: Démarrage de l’analyse du Registre
12:03: Analyse de la mémoire terminée, temps passé : 00:12:29
12:03: Menace en cours d'exécution détectée : C:\Program Files\Internet Explorer\IEXPLORE.EXE (ID = 81)
11:57: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
11:57: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
11:56: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
11:56: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
11:54: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
11:53: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
11:51: Menace en cours d'exécution détectée : C:\WINDOWS\explorer.exe (ID = 81)
11:51: Trouvé Trojan Horse: trojan-downloader-ruin
11:51: Démarrage de l’analyse de la mémoire
11:50: Analyse lancée avec la version des définitions 691
11:50: Spy Sweeper 5.0.5.1286 démarrée
11:50: | Début de session, lundi 31 juillet 2006 |
********
21:43: Processus de suppression lancé. Durée 00:02:04
21:43: Préparation du redémarrage de votre ordinateur. Veuillez patienter...
21:43: Avertissement: Quarantine process could not restart Explorer.
21:43: Avertissement: Timed out waiting for explorer.exe
21:43: Avertissement: Timed out waiting for explorer.exe
21:43: Avertissement: Timed out waiting for explorer.exe
21:43: Mise en quarantaine de toutes les traces : adultfriendfinder cookie
21:43: Mise en quarantaine de toutes les traces : bluestreak cookie
21:43: Mise en quarantaine de toutes les traces : tacoda cookie
21:43: Mise en quarantaine de toutes les traces : adtech cookie
21:43: Mise en quarantaine de toutes les traces : weborama cookie
21:43: Mise en quarantaine de toutes les traces : atlas dmt cookie
21:43: Mise en quarantaine de toutes les traces : overture cookie
21:43: Mise en quarantaine de toutes les traces : 190dotcom cookie
21:43: Mise en quarantaine de toutes les traces : sextracker cookie
21:43: Mise en quarantaine de toutes les traces : mediaplex cookie
21:43: Mise en quarantaine de toutes les traces : 2o7.net cookie
21:43: Mise en quarantaine de toutes les traces : touchclarity cookie
21:43: Mise en quarantaine de toutes les traces : belnk cookie
21:43: Mise en quarantaine de toutes les traces : xiti cookie
21:43: Mise en quarantaine de toutes les traces : go.com cookie
21:43: Mise en quarantaine de toutes les traces : trojan-downloader-wareout
21:43: Échec de la mise en quarantaine C:\Program Files\Internet Explorer\IEXPLORE.EXE
21:42: Échec de la mise en quarantaine C:\WINDOWS\explorer.exe
21:42: Échec de la mise en quarantaine trojan-downloader-ruin
21:42: Avertissement: Unable to quarantine C:\WINDOWS\explorer.exe. This is a protected operating system file.
21:42: Mise en quarantaine de toutes les traces : trojan-downloader-ruin
21:41: Processus de suppression lancé.
21:41: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
21:40: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
21:40: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
21:39: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
21:39: Traces trouvées : 42
21:39: Analyse complète terminée. Durée 01:22:37
21:39: Analyse des fichiers terminée, temps passé : 01:04:07
21:38: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
21:34: Avertissement: Failed to access drive D:
21:34: C:\!KillBox\csqcw.exe (ID = 246)
21:33: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0016053.exe (ID = 246)
21:33: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0016042.exe (ID = 246)
21:31: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
21:31: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
21:30: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
21:30: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0016032.exe (ID = 246)
21:30: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
21:30: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015975.exe (ID = 246)
21:30: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015939.exe (ID = 246)
21:30: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
21:29: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015762.EXE (ID = 246)
21:29: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
21:29: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015738.exe (ID = 246)
21:29: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015704.exe (ID = 246)
21:29: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015692.exe (ID = 246)
21:29: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015687.exe (ID = 246)
21:23: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
21:22: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
21:21: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
21:19: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
21:18: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
21:16: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
21:06: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
21:06: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
21:06: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
21:06: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
21:06: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
21:05: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
21:05: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
21:04: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
21:03: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
21:03: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:57: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
20:57: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
20:56: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
20:55: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
20:54: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
20:52: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
20:48: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\data\settings.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:47: Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:47: Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:47: Avertissement: Failed to open file "c:\documents and settings\localservice\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:47: Avertissement: Failed to open file "c:\documents and settings\localservice\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:47: Avertissement: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:47: Avertissement: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:47: Avertissement: Failed to open file "c:\documents and settings\networkservice\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:47: Avertissement: Failed to open file "c:\documents and settings\networkservice\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:45: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
20:45: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
20:44: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
20:44: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
20:44: Avertissement: Failed to open file "c:\windows\softwaredistribution\eventcache\{1ba33b7f-4beb-42a8-98e3-1689da0b6662}.bin". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:44: Avertissement: Failed to open file "c:\windows\softwaredistribution\eventcache\{fd43bff1-09c4-4512-a374-a7d4a266e23b}.bin". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:43: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
20:43: Avertissement: Failed to open file "c:\windows\temp\_avast4_\webshlock.txt". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:43: Avertissement: Failed to open file "c:\windows\temp\perflib_perfdata_74c.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:41: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
20:37: Avertissement: Failed to open file "c:\windows\system32\config\default". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:37: Avertissement: Failed to open file "c:\windows\system32\config\software". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:37: Avertissement: Failed to open file "c:\windows\system32\config\system". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:37: Avertissement: Failed to open file "c:\windows\system32\config\sam". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:37: Avertissement: Failed to open file "c:\windows\system32\config\security". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:37: Avertissement: Failed to open file "c:\windows\system32\config\security.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:37: Avertissement: Failed to open file "c:\windows\system32\config\sam.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:37: Avertissement: Failed to open file "c:\windows\system32\config\default.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:37: Avertissement: Failed to open file "c:\windows\system32\config\software.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:37: Avertissement: Failed to open file "c:\windows\system32\config\system.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:37: C:\WINDOWS\system32\csjan.exe (ID = 246)
20:37: C:\WINDOWS\system32\cskky.exe (ID = 246)
20:37: C:\WINDOWS\system32\cssbc.exe (ID = 246)
20:36: C:\WINDOWS\system32\cslao.exe (ID = 246)
20:36: Avertissement: Failed to open file "c:\windows\system32\emzdd.exe". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:36: C:\WINDOWS\system32\csjos.exe (ID = 246)
20:36: Avertissement: Failed to open file "c:\windows\system32\dmneg.exe". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
20:35: C:\WINDOWS\system32\csuyd.exe (ID = 246)
20:35: C:\WINDOWS\system32\csumj.exe (ID = 246)
20:35: C:\WINDOWS\system32\csncn.exe (ID = 246)
20:35: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
20:34: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
20:34: Avertissement: Failed to open file "c:\hiberfil.sys". Accès refusé
20:34: Avertissement: Failed to open file "c:\pagefile.sys". Accès refusé
20:34: Démarrage de l’analyse des fichiers
20:34: Avertissement: Failed to access drive A:
20:34: Analyse des cookies terminée, temps passé : 00:00:06
20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@adultfriendfinder[2].txt (ID = 2165)
20:34: Trouvé Spy Cookie: adultfriendfinder cookie
20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@bluestreak[1].txt (ID = 2314)
20:34: Trouvé Spy Cookie: bluestreak cookie
20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@anad.tacoda[1].txt (ID = 6445)
20:34: Trouvé Spy Cookie: tacoda cookie
20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@adtech[2].txt (ID = 2155)
20:34: Trouvé Spy Cookie: adtech cookie
20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@weborama[2].txt (ID = 3658)
20:34: Trouvé Spy Cookie: weborama cookie
20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@atdmt[2].txt (ID = 2253)
20:34: Trouvé Spy Cookie: atlas dmt cookie
20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@overture[1].txt (ID = 3105)
20:34: Trouvé Spy Cookie: overture cookie
20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@counter9.sextracker[1].txt (ID = 3362)
20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@69.50.190[2].txt (ID = 1936)
20:34: Trouvé Spy Cookie: 190dotcom cookie
20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@sextracker[1].txt (ID = 3361)
20:34: Trouvé Spy Cookie: sextracker cookie
20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@xiti[1].txt (ID = 3717)
20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@mediaplex[1].txt (ID = 6442)
20:34: Trouvé Spy Cookie: mediaplex cookie
20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@msnportal.112.2o7[1].txt (ID = 1958)
20:34: Trouvé Spy Cookie: 2o7.net cookie
20:34: c:\documents and settings\guignard emilie\cookies\guignard emilie@msn.touchclarity[1].txt (ID = 3566)
20:34: Trouvé Spy Cookie: touchclarity cookie
20:34: c:\documents and settings\guignard emilie\cookies\guignard emilie@dist.belnk[2].txt (ID = 2293)
20:34: c:\documents and settings\guignard emilie\cookies\guignard emilie@belnk[1].txt (ID = 2292)
20:34: Trouvé Spy Cookie: belnk cookie
20:34: c:\documents and settings\guignard emilie\cookies\guignard emilie@xiti[1].txt (ID = 3717)
20:34: Trouvé Spy Cookie: xiti cookie
20:34: c:\documents and settings\guignard emilie\cookies\guignard emilie@go[1].txt (ID = 2728)
20:34: Trouvé Spy Cookie: go.com cookie
20:34: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
20:34: Démarrage de l’analyse des cookies
20:34: Analyse du Registre terminée, temps passé 02:02
20:34: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
20:34: HKU\S-1-5-21-117609710-842925246-1708537768-1004\software\microsoft\internet explorer\extensions\cmdmapping\ || {bf69df00-2734-477f-8257-27cd04f88779} (ID = 144839)
20:34: Trouvé Trojan Horse: trojan-downloader-wareout
20:34: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
20:33: HKLM\software\microsoft\windows\currentversion\ruins\ (ID = 605128)
20:33: HKLM\software\microsoft\windows\currentversion\urls\ (ID = 605127)
20:33: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
20:32: Démarrage de l’analyse du Registre
20:32: Analyse de la mémoire terminée, temps passé : 00:15:40
20:32: Menace en cours d'exécution détectée : C:\Program Files\Internet Explorer\IEXPLORE.EXE (ID = 81)
20:28: Menace en cours d'exécution détectée : C:\WINDOWS\explorer.exe (ID = 81)
20:28: Trouvé Trojan Horse: trojan-downloader-ruin
20:26: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
20:26: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
20:25: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
20:24: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
20:24: La Protection anti-communication d’espions a bloqué l’accès à : WWW.SEARCHFEED.COM
20:24: La Protection anti-communication d’espions a bloqué l’accès à : WWW.SEARCHFEED.COM
20:24: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
20:23: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
20:16: Démarrage de l’analyse de la mémoire
20:16: Analyse lancée avec la version des définitions 691
20:16: Spy Sweeper 5.0.5.1286 démarrée
20:16: | Début de session, lundi 31 juillet 2006 |
********

Logfile of HijackThis v1.99.1
Scan saved at 10:38:36, on 01/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\msdtc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [znjhv.exe] C:\WINDOWS\system32\znjhv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

et maintenant?

voici les rapports
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wcrwtfjx

*******************

Script file located at: \??\C:\Documents and Settings\sphobxwt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\csjan.exe not found!
Deletion of file C:\WINDOWS\system32\csjan.exe failed!

Could not process line:
C:\WINDOWS\system32\csjan.exe
Status: 0xc0000034



File C:\WINDOWS\system32\cskky.exe not found!
Deletion of file C:\WINDOWS\system32\cskky.exe failed!

Could not process line:
C:\WINDOWS\system32\cskky.exe
Status: 0xc0000034



File C:\WINDOWS\system32\cssbc.exe not found!
Deletion of file C:\WINDOWS\system32\cssbc.exe failed!

Could not process line:
C:\WINDOWS\system32\cssbc.exe
Status: 0xc0000034



File C:\WINDOWS\system32\cslao.exe not found!
Deletion of file C:\WINDOWS\system32\cslao.exe failed!

Could not process line:
C:\WINDOWS\system32\cslao.exe
Status: 0xc0000034



File c:\windows\system32\emzdd.exe not found!
Deletion of file c:\windows\system32\emzdd.exe failed!

Could not process line:
c:\windows\system32\emzdd.exe
Status: 0xc0000034



File C:\WINDOWS\system32\csjos.exe not found!
Deletion of file C:\WINDOWS\system32\csjos.exe failed!

Could not process line:
C:\WINDOWS\system32\csjos.exe
Status: 0xc0000034



File c:\windows\system32\dmneg.exe not found!
Deletion of file c:\windows\system32\dmneg.exe failed!

Could not process line:
c:\windows\system32\dmneg.exe
Status: 0xc0000034



File C:\WINDOWS\system32\csuyd.exe not found!
Deletion of file C:\WINDOWS\system32\csuyd.exe failed!

Could not process line:
C:\WINDOWS\system32\csuyd.exe
Status: 0xc0000034



File C:\WINDOWS\system32\csumj.exe not found!
Deletion of file C:\WINDOWS\system32\csumj.exe failed!

Could not process line:
C:\WINDOWS\system32\csumj.exe
Status: 0xc0000034



File C:\WINDOWS\system32\csncn.exe not found!
Deletion of file C:\WINDOWS\system32\csncn.exe failed!

Could not process line:
C:\WINDOWS\system32\csncn.exe
Status: 0xc0000034



File c:\windows\system32\dmahe.exe not found!
Deletion of file c:\windows\system32\dmahe.exe failed!

Could not process line:
c:\windows\system32\dmahe.exe
Status: 0xc0000034



File c:\windows\system32\qveka.exe not found!
Deletion of file c:\windows\system32\qveka.exe failed!

Could not process line:
c:\windows\system32\qveka.exe
Status: 0xc0000034



File C:\WINDOWS\system32\znjhv.exe not found!
Deletion of file C:\WINDOWS\system32\znjhv.exe failed!

Could not process line:
C:\WINDOWS\system32\znjhv.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Logfile of HijackThis v1.99.1
Scan saved at 21:53:46, on 01/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [cnorq.exe] C:\WINDOWS\system32\cnorq.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe


Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}535778C36D88-66C8-B124-FF59-A6D311E6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E4CA3C7A0A1E-9CB9-B174-6837-4CDC910A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}708378AA9227-5F3B-9394-3D3F-5EBB2E63{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ADCD0D56518D-66EA-31C4-EDC8-8548D825{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D99CF50D0C4A-8C9A-0314-CB43-10FEA8EF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}700B8F1ADFF9-74C9-BCA4-2875-4EF42E6D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}722BC1B6DD37-D93B-8BB4-D4DC-95A71570{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A418D29A6B3B-2F89-5784-C1B7-76F8F8AE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F19708F8D484-DA69-8274-C3BF-A73A18F8{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E1E2C31A44BF-15C9-ADE4-DC3A-1A8E54B6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A0E35FC0504B-8DB9-7BD4-0014-B981BB8C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}45F6F10FFF15-B28A-3384-1337-57BB1B01{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}648627782017-7CAB-A1F4-DDE8-D5C9D4F2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BF5D21AAAE41-40BB-F514-7CAE-AF34171F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EE839A1ED1D5-9BF8-8E94-1612-4067AC30{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1651ECD8F64F-7B6B-48D4-0959-800A7478{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E930847031FC-670A-13A4-7D52-195A1134{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2C7C304B421B-446B-18B4-82B2-D1C21DDF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}88400701D86F-E6A8-8AA4-90AA-7CE9D261{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0B43CB4FFA4B-958B-7254-FFDB-D6852290{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0500BAE14AA6-96A9-8554-73EF-51D6E4C3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8DD97539B160-F29A-6464-6055-53A1D54D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}73040FD8CB7A-E68B-CD94-5179-DE701391{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1E02062F0C51-BC0B-5504-AB65-8F80F2EF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E10D16C5BCA-C67A-AC14-B7F1-5208BDFD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}44286F619666-D018-2AA4-43BF-D7A5D892{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6191ECA77B39-18E9-D834-6275-35E189BB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F7B89EBC6242-2499-4234-7D66-6CAA88FA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DAE274DA3D0A-8CCA-1314-BD96-F22A6620{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F1373E013A0F-A2AA-9E34-9400-EEC16528{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2BB06A7B1547-BBF8-9744-53FD-8CC76EC8{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F5EE73D3E8B5-2708-5034-484F-8F138D98{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D40027AB3ED4-F64A-C424-7122-F93A0C8A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}61D2C279FF17-3F29-57C4-7F27-A114B387{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9285FD6623DC-2FEA-CF04-5701-9ED86814{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E6C97A6E242-062A-C404-35FF-E71ADEEA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9C024D1CB207-835A-95A4-1E01-C2D6A105{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1B5A6738BA2B-372A-6B14-4B66-1A223C5C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}37F8962B4F70-874B-0F34-E3C0-59E73DEA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1F67105567AC-501A-4664-CE6F-98A3FEE0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\hebmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BFCA8B3F5BAA-0E79-DE94-94F2-4D4CACE3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F034FB8EB8FD-6828-1FA4-A3DE-8F85B014{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9CD1E2C3F23B-EBE9-9BD4-C6A0-CB85F654{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}84927BECACFD-C65B-42B4-02C0-E44DDD16{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmbeh.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSEEI.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

le revoila

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}535778C36D88-66C8-B124-FF59-A6D311E6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E4CA3C7A0A1E-9CB9-B174-6837-4CDC910A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}708378AA9227-5F3B-9394-3D3F-5EBB2E63{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ADCD0D56518D-66EA-31C4-EDC8-8548D825{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D99CF50D0C4A-8C9A-0314-CB43-10FEA8EF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}700B8F1ADFF9-74C9-BCA4-2875-4EF42E6D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}722BC1B6DD37-D93B-8BB4-D4DC-95A71570{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A418D29A6B3B-2F89-5784-C1B7-76F8F8AE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F19708F8D484-DA69-8274-C3BF-A73A18F8{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E1E2C31A44BF-15C9-ADE4-DC3A-1A8E54B6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A0E35FC0504B-8DB9-7BD4-0014-B981BB8C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}45F6F10FFF15-B28A-3384-1337-57BB1B01{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}648627782017-7CAB-A1F4-DDE8-D5C9D4F2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BF5D21AAAE41-40BB-F514-7CAE-AF34171F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EE839A1ED1D5-9BF8-8E94-1612-4067AC30{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1651ECD8F64F-7B6B-48D4-0959-800A7478{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E930847031FC-670A-13A4-7D52-195A1134{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2C7C304B421B-446B-18B4-82B2-D1C21DDF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}88400701D86F-E6A8-8AA4-90AA-7CE9D261{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0B43CB4FFA4B-958B-7254-FFDB-D6852290{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0500BAE14AA6-96A9-8554-73EF-51D6E4C3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8DD97539B160-F29A-6464-6055-53A1D54D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}73040FD8CB7A-E68B-CD94-5179-DE701391{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1E02062F0C51-BC0B-5504-AB65-8F80F2EF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E10D16C5BCA-C67A-AC14-B7F1-5208BDFD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}44286F619666-D018-2AA4-43BF-D7A5D892{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6191ECA77B39-18E9-D834-6275-35E189BB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F7B89EBC6242-2499-4234-7D66-6CAA88FA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DAE274DA3D0A-8CCA-1314-BD96-F22A6620{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F1373E013A0F-A2AA-9E34-9400-EEC16528{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2BB06A7B1547-BBF8-9744-53FD-8CC76EC8{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F5EE73D3E8B5-2708-5034-484F-8F138D98{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D40027AB3ED4-F64A-C424-7122-F93A0C8A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}61D2C279FF17-3F29-57C4-7F27-A114B387{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9285FD6623DC-2FEA-CF04-5701-9ED86814{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E6C97A6E242-062A-C404-35FF-E71ADEEA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9C024D1CB207-835A-95A4-1E01-C2D6A105{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1B5A6738BA2B-372A-6B14-4B66-1A223C5C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}37F8962B4F70-874B-0F34-E3C0-59E73DEA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1F67105567AC-501A-4664-CE6F-98A3FEE0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\hebmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BFCA8B3F5BAA-0E79-DE94-94F2-4D4CACE3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F034FB8EB8FD-6828-1FA4-A3DE-8F85B014{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9CD1E2C3F23B-EBE9-9BD4-C6A0-CB85F654{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}84927BECACFD-C65B-42B4-02C0-E44DDD16{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmbeh.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSEEI.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool