Bonjour
A chaque fois que je lance un jeu online mon anti-virus (Avira antivir personal) détecte un trojan horse TR/Rootkit.gen
je n'arrive pas à le suprimer et l'on m'a conseillé de venir ici 
merci
Message édité par francis589 le 03-05-2008 à 11:21:29
Re,
Ouaou 
Il est méga infecté ton PC : tu fais quoi avec ? 
Bon on va nettoyer tout ça. Mais avant tout je te conseille de sauvegarder tes données les plus importantes, comme tes documents de travails etc.
On va commencer par ça :
1) Télécharge BTFix (Bibi26).
Dézippe l'archive sur ton Bureau.
- Ouvre le dossier BTFix.
- Double clique sur BTFix.exe.
- Clique sur Rechercher.
- Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.
- Ouvre à nouveau BTFix.
- Clique sur Nettoyer.
- Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.
2) Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.
Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.
***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.c [...] /SDFix.exe ***
Guide d'utilisation : http://mickael.barroux.free.fr/securite/sdfix.php
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
Déroule la liste des instructions ci-dessous :
- Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
N.B.:
- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
- Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.
+ nouveau rapport hijackthis.
Sécurité / Prévention
Répondre à Egwene
Re,
"sauvegarder tes données les plus importantes"
je risque de perdre des documents ?
je ne suis pas le seul utilisateur de cet ordinateur et donc je ne sais pas ce qui est le plus important 
Re,
Vu le degré d'infection, il peut y avoir des risques. C'est donc une mesure préventive. Et d'ailleurs, les utilisateurs devraient faire des sauvegardes régulières de leurs données.
Ben ce qui est important c'est document de travail, administratifs etc. La musique, les photos, les films, c'est secondaire et peu important.
Sinon pour répondre à ta question, non tu ne risques pas de perdre tes documents, mais le PC pourrait planter, vu son degré d'infection.
Enfin, ça reste rare.
J'attends les rapports demandés.
Bonne soirée 
Sécurité / Prévention
Répondre à Egwene
1)BTfix
premier rapport:
BTFix 1.098 (par bibi26) - 27/04/2008 21:58:45 - Analyse
Lancé depuis C:\Documents and Settings\Pierre\Bureau\BTFix\BTFix.exe
---> Fichiers/Dossiers trouvés
- [Heuristique : Hotbar] C:\WINDOWS\system32\bfbbemwd.exe
- C:\WINDOWS\smdat32m.sys
- C:\WINDOWS\smdat32a.sys
- C:\Program Files\RXToolBar\
- C:\Program Files\Need2Find\
- C:\Program Files\ShopperReports\
- C:\Program Files\SpamBlockerUtility\
- C:\Documents and Settings\Pierre\Application Data\ShopperReports\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\
---> Analyse terminée le 27/04/2008 21:59:27
deuxième rapport:
BTFix 1.098 (par bibi26) - 27/04/2008 22:01:13 - Nettoyage - Mode normal
Lancé depuis C:\Documents and Settings\Pierre\Bureau\BTFix\BTFix.exe
---> Fichiers/dossiers supprimés (Première passe)
- Fichiers temporaires effacés
- [Heuristique : Hotbar] C:\WINDOWS\system32\bfbbemwd.exe
- C:\WINDOWS\smdat32m.sys
- C:\WINDOWS\smdat32a.sys
- C:\Program Files\RXToolBar\
- C:\Program Files\Need2Find\bar\1.bin\
- C:\Program Files\Need2Find\bar\Cache\
- C:\Program Files\Need2Find\bar\History\
- C:\Program Files\Need2Find\bar\Settings\
- C:\Program Files\Need2Find\bar\
- C:\Program Files\Need2Find\
- C:\Program Files\ShopperReports\Bin\1.0.8.0\
- C:\Program Files\ShopperReports\Bin\2.0.0\
- C:\Program Files\ShopperReports\Bin\2.0.20\
- C:\Program Files\ShopperReports\Bin\
- C:\Program Files\ShopperReports\cs\
- C:\Program Files\ShopperReports\
- C:\Program Files\SpamBlockerUtility\Bin\4.7.1.0\ (erreur lors de la suppression)
- C:\Program Files\SpamBlockerUtility\Bin\4.8.0.0\
- C:\Program Files\SpamBlockerUtility\Bin\
- C:\Program Files\SpamBlockerUtility\SBTV\
- C:\Program Files\SpamBlockerUtility\
- C:\Documents and Settings\Pierre\Application Data\ShopperReports\cs\db\
- C:\Documents and Settings\Pierre\Application Data\ShopperReports\cs\dwld\
- C:\Documents and Settings\Pierre\Application Data\ShopperReports\cs\report\
- C:\Documents and Settings\Pierre\Application Data\ShopperReports\cs\res1\
- C:\Documents and Settings\Pierre\Application Data\ShopperReports\cs\
- C:\Documents and Settings\Pierre\Application Data\ShopperReports\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\IESkins\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\HostOI\dynamic\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\HostOI\static\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\HostOI\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\HostOL\dynamic\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\HostOL\static\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\HostOL\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\SpamBlockerUtility\dynamic\hstat\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\SpamBlockerUtility\dynamic\TooltipXML\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\SpamBlockerUtility\dynamic\ustat\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\SpamBlockerUtility\dynamic\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\SpamBlockerUtility\static\1\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\SpamBlockerUtility\static\2\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\SpamBlockerUtility\static\DownLoad\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\SpamBlockerUtility\static\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\SpamBlockerUtility\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\v3.0\
- C:\Documents and Settings\Pierre\Application Data\SpamBlockerUtility\
---> Fichiers/dossiers supprimés (Seconde passe - Redémarrage de l'ordinateur)
- Fichiers temporaires effacés
---> Nettoyage terminé le 27/04/2008 22:03:44
note : l'ordinateur a redémarrer et l'antivirus a signalé un autre logiciel malveillant
je lance la deuxième procédure
2)SDfix
SDFix: Version 1.176
Run by Administrateur on 27/04/2008 at 22:30
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\system32\TFTP2308 - Deleted
C:\WINDOWS\system32\TFTP3928 - Deleted
C:\WINDOWS\system32\TFTP4068 - Deleted
C:\WINDOWS\system32\TFTP4108 - Deleted
C:\WINDOWS\system32\TFTP4980 - Deleted
C:\WINDOWS\system32\TFTP832 - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-27 22:41:38
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41]
"khjeh"=hex:20,02,00,00,89,26,b2,40,69,eb,2e,a8,18,82,b6,20,db,d6,47,7b,d2,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf42]
"khjeh"=hex:20,02,00,00,2d,31,85,e1,45,1b,e9,f3,c4,6f,61,45,d7,5c,97,50,3e,..
"hj34z0"=hex:21,58,2d,b2,d0,bc,65,fb,de,80,00,0a,6f,2c,b0,05,2d,40,dd,17,33,..
"hj34z1"=hex:c1,58,2d,b2,a8,bc,65,fb,df,80,01,0a,6e,2c,b0,05,2d,40,dd,17,a4,..
"hj34z2"=hex:c1,58,2d,b2,a8,bc,65,fb,df,80,01,0a,6e,2c,b0,05,2d,40,dd,17,a4,..
"hj34z3"=hex:c1,58,2d,b2,a8,bc,65,fb,df,80,01,0a,6e,2c,b0,05,2d,40,dd,17,a4,..
"hj34z4"=hex:c1,58,2d,b2,a8,bc,65,fb,df,80,01,0a,6e,2c,b0,05,2d,40,dd,17,a4,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf43]
"khjeh"=hex:20,02,00,00,3d,b4,39,08,b5,88,79,f4,74,49,dc,71,87,06,ce,a3,2e,..
"hj34z0"=hex:ad,65,b5,3e,d5,8a,1e,5f,95,00,ec,d5,5a,75,37,d3,3a,c0,30,ce,70,..
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000004d
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 30
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\utilitaires\\mIRC\\mirc.exe"="C:\\Program Files\\utilitaires\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\WINDOWS\\system32\\svhost.exe"="C:\\WINDOWS\\system32\\svhost.exe:*:Enabled:Generic Host Process for Win32 Services"
"C:\\WINDOWS\\system32\\javaw.exe"="C:\\WINDOWS\\system32\\javaw.exe:*:Enabled:javaw"
"C:\\Program Files\\Microsoft Games\\Dungeon Siege\\DungeonSiege.exe"="C:\\Program Files\\Microsoft Games\\Dungeon Siege\\DungeonSiege.exe:*:Enabled
ungeon Siege"
"C:\\Program Files\\utilitaires\\Phone\\Skype.exe"="C:\\Program Files\\utilitaires\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\utilitaires\\X-Chat 2\\xchat.exe"="C:\\Program Files\\utilitaires\\X-Chat 2\\xchat.exe:*:Enabled:xchat"
"C:\\Program Files\\jeux\\Freeciv-1.14.0\\civserver.exe"="C:\\Program Files\\jeux\\Freeciv-1.14.0\\civserver.exe:*:Enabled:civserver"
"C:\\Program Files\\utilitaires\\Maple 9.5\\bin.win\\mserver.exe"="C:\\Program Files\\utilitaires\\Maple 9.5\\bin.win\\mserver.exe:*isabled:mserver"
"C:\\Program Files\\utilitaires\\Maple 9.5\\jre\\bin\\java.exe"="C:\\Program Files\\utilitaires\\Maple 9.5\\jre\\bin\\java.exe:*isabled:java"
"C:\\Program Files\\jeux\\Valve\\Steam\\Steam.exe"="C:\\Program Files\\jeux\\Valve\\Steam\\Steam.exe:*:Enabled:Steam"
"C:\\Program Files\\jeux\\Valve\\Steam\\SteamApps\\usul2k@hotmail.com\\day of defeat\\hl.exe"="C:\\Program Files\\jeux\\Valve\\Steam\\SteamApps\\usul2k@hotmail.com\\day of defeat\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Program Files\\EA GAMES\\La Bataille pour la Terre du Milieu(tm)\\game.dat"="C:\\Program Files\\EA GAMES\\La Bataille pour la Terre du Milieu(tm)\\game.dat:*:Enabled:La Bataille pour la Terre du Milieu(tm)"
"C:\\Program Files\\Enlight\\Infinite Interactive\\Warlords Battlecry III\\Battlecry III.exe"="C:\\Program Files\\Enlight\\Infinite Interactive\\Warlords Battlecry III\\Battlecry III.exe:*:Enabled:Warlords Battlecry III"
"C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server"
"C:\\Program Files\\JVTorrent\\btdownloadgui.exe"="C:\\Program Files\\JVTorrent\\btdownloadgui.exe:*:Enabled:btdownloadgui"
"C:\\Kazaa\\kazaa.exe"="C:\\Kazaa\\kazaa.exe:*:Enabled:Kazaa Media Desktop"
"C:\\Documents and Settings\\L93112\\Bureau\\Maelstrom-3.0.6-Windows\\Maelstrom-3.0.6\\Maelstrom.exe"="C:\\Documents and Settings\\L93112\\Bureau\\Maelstrom-3.0.6-Windows\\Maelstrom-3.0.6\\Maelstrom.exe:*:Enabled:Maelstrom"
"C:\\Documents and Settings\\L93112\\Mes documents\\My Games\\Maelstrom-3.0.6-Windows\\Maelstrom-3.0.6\\Maelstrom.exe"="C:\\Documents and Settings\\L93112\\Mes documents\\My Games\\Maelstrom-3.0.6-Windows\\Maelstrom-3.0.6\\Maelstrom.exe:*:Enabled:Maelstrom"
"C:\\Program Files\\jeux\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"="C:\\Program Files\\jeux\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4"
"C:\\Program Files\\utilitaires\\xchat\\xchat.exe"="C:\\Program Files\\utilitaires\\xchat\\xchat.exe:*:Enabled:XChat IRC Client"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"C:\\Program Files\\jeux\\TrackMania Nations ESWC\\TmNationsESWC.exe"="C:\\Program Files\\jeux\\TrackMania Nations ESWC\\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\jeux\\FreeOrion\\freeoriond.exe"="C:\\Program Files\\jeux\\FreeOrion\\freeoriond.exe:*:Enabled:freeoriond"
"C:\\Program Files\\utilitaire\\eMule\\emule.exe"="C:\\Program Files\\utilitaire\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\torrent\\xevil\\xevil.exe"="C:\\torrent\\xevil\\xevil.exe:*:Enabled:XEvil2.0 Beta Demo"
"C:\\Program Files\\Utilitaires poste\\Nouveau dossier\\firefox.exe"="C:\\Program Files\\Utilitaires poste\\Nouveau dossier\\firefox.exe:*:Enabled:Firefox"
"C:\\Program Files\\utilitaires\\eMule\\emule.exe"="C:\\Program Files\\utilitaires\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"="C:\\Program Files\\Windows Media Player\\wmplayer.exe:*:Enabled:Windows Media Player"
"C:\\Documents and Settings\\L93112\\Mes documents\\My Games\\Company of Heroes\\Patch\\FR_1_0_0_to_1_2_0.exe"="C:\\Documents and Settings\\L93112\\Mes documents\\My Games\\Company of Heroes\\Patch\\FR_1_0_0_to_1_2_0.exe:*:Enabled:TODO: <File description>"
"C:\\Program Files\\jeux\\THQ\\Company of Heroes\\RelicCOH.exe"="C:\\Program Files\\jeux\\THQ\\Company of Heroes\\RelicCOH.exe:*:Enabled:RelicCOH"
"C:\\Program Files\\jeux\\CrackAttack\\bin\\crackattack.exe"="C:\\Program Files\\jeux\\CrackAttack\\bin\\crackattack.exe:*:Enabled:crackattack"
"C:\\Program Files\\Crack-Attack\\bin\\crack-attack.exe"="C:\\Program Files\\Crack-Attack\\bin\\crack-attack.exe:*:Enabled:crack-attack"
"C:\\Program Files\\jeux\\Anno 1701\\Anno1701.exe"="C:\\Program Files\\jeux\\Anno 1701\\Anno1701.exe:*:Enabled:Anno 1701"
"C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2main.exe"="C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2main.exe:*:Enabled:Neverwinter Nights 2 Main"
"C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe"="C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe:*:Enabled:Neverwinter Nights 2 AMD"
"C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwupdate.exe"="C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwupdate.exe:*:Enabled:Neverwinter Nights 2 Updater"
"C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2server.exe"="C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2server.exe:*:Enabled:Neverwinter Nights 2 Server"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\utilitaires\\Overnet\\overnet.exe"="C:\\Program Files\\utilitaires\\Overnet\\overnet.exe:*:Enabled
vernet Application"
"C:\\Program Files\\utilitaires\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\utilitaires\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\utilitaires\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\utilitaires\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\jeux\\UFOAI\\ufo.exe"="C:\\Program Files\\jeux\\UFOAI\\ufo.exe:*:Enabled:UFO:Alien Invasion"
"C:\\Documents and Settings\\Pierre\\Local Settings\\Temp\\ElectronicArts_Patcher_000.exe"="C:\\Documents and Settings\\Pierre\\Local Settings\\Temp\\ElectronicArts_Patcher_000.exe:*:Enabled:ElectronicArts_Patcher_000"
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Program Files\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"="C:\\Program Files\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat:*:Enabled:Command & Conquer 3 Les guerres du TiberiumT"
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe:*:Enabledrb"
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe:*:EnabledrbTray"
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabledrb Stream Client"
"C:\\Program Files\\jeux\\Soldat\\Soldat.exe"="C:\\Program Files\\jeux\\Soldat\\Soldat.exe:*:Enabled:Soldat"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Thu 9 Dec 2004 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 28 Nov 2004 400 ..SH. --- "C:\Documents and Settings\All Users\DRM\v2ks.bla.bak"
Sun 28 Nov 2004 48 ..SH. --- "C:\Documents and Settings\All Users\DRM\v2ks.sec.bak"
Tue 28 Nov 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Fri 29 Jun 2007 4,592 ...H. --- "C:\Documents and Settings\L93112\Local Settings\Temp\Z@R3C.tmp"
Sun 2 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7333946973f87a4fdf879a85eeae256b\BIT1A9.tmp"
Sat 5 May 2007 1,714 ...HR --- "C:\Documents and Settings\L93112\Application Data\SecuROM\UserData\securom_v7_01.bak"
Mon 5 Nov 2007 1,714 ...HR --- "C:\Documents and Settings\Pierre\Application Data\SecuROM\UserData\securom_v7_01.bak"
Thu 15 May 2003 43,008 A..H. --- "C:\Program Files\Bureautique\Adobe\Adobe_5.0\ESD\DLMCleanup.exe"
Wed 9 Nov 2005 0 A..H. --- "C:\Program Files\Bureautique\crosoftoffice\media\office10\I286\WFXrepair.tmp"
Finished!
rapport hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:56:53, on 27/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\utilitaires\Anti-Blaxx 1.18\Anti-Blaxx.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\utilitaires\Winamp\winampa.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Winamp Remote\bin\OrbTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Winamp Remote\bin\Orb.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre1.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre1.dll
O4 - HKLM\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\wfx5.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [uhyzctgt] C:\WINDOWS\uhyzctgt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SpySpotter System Defender] C:\Program Files\SpySpotter3\Defender.exe -startup
O4 - HKLM\..\Run: [Servicio Local] svhost.exe
O4 - HKLM\..\Run: [SdCheckOBBH] rundll32.exe C:\WINDOWS\lfd4_tmp.#32,Ini
O4 - HKLM\..\Run: [rybinyf] C:\WINDOWS\rybinyf.exe
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [mediamotor.exe] C:\WINDOWS\mmups.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\utilitaires\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [ALTER DATA] c:\windows\system32\ccdew\repcale.exe c:\windows\system32\ccdew\beird.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\utilitaires\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Servicio Local] svhost.exe
O4 - HKLM\..\RunServices: [ALTER DATA] c:\windows\system32\ccdew\repcale.exe c:\windows\system32\ccdew\beird.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Start Upping] svchostings.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Bureautique\crosoftoffice\Office10\OSA.EXE
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\BUREAU~1\CROSOF~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\utilitaires\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\utilitaires\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://cdn.drivecleaner.com/instal [...] art_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.co [...] all_fr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8BC072F-A077-4C4F-AC90-88EB09415E48}: NameServer = 192.162.0.101
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O22 - SharedTaskScheduler: incaged - {05a91164-3c96-47d6-aa74-2c855791b2d0} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
--
End of file - 9385 bytes
Re,
Bien, on continue
1) Si tu as spybot, ouvre Spybot , clique sur l'onglet Mode et choisis Mode Avancé
Ne tiens pas compte de l'avertissement
En bas à gauche , clique sur Outils
Toujours dans la colonne de gauche , clique sur Résident ( pas dans la fenêtre centrale )
Et décoche l'option Resident "TeaTimer"
Télécharge MsnFix (de !aur3n7) sur ton Bureau. (>>Tuto<< )
Dézippe-le sur C:\
Ouvre le dossier MSNFix puis double-clique sur MSNFix.bat. (L’extension bat peut ne pas apparaître)
- Exécute l'option R.
- Si l'infection est détectée, presse une touche pour lancer le nettoyage. (N)
Si tu dois redémarrer l’ordinateur fais le manuellement.
Poste le rapport situé dans le dossier MSNFix.
Le nom du rapport correspond au moment de sa création : date_heure.log
Note : Si tu obtiens un fichier zip d’upload sur ton bureau, fais ceci
2) Télécharge Smitfraudfix (de S!ri).
Enregistre-le sur ton bureau.
Lance SmitfraudFix.exe (le .exe peut ne pas apparaitre).
Choisis l'Option 1 (Recherche)
Poste le premier rapport ici.
**Si le lien ne fonctionne pas, clique ici**
Sécurité / Prévention
Répondre à Egwene
euh c'est quoi un spybot ?
c'est grave de ne pas en avoir ?
Re,
Spybot est un anti-spyware facultatif. Si tu ne l'as pas, ce n'est pas grave
Sécurité / Prévention
Répondre à Egwene
Re,
Redémarre en mode sans échec
Lance SmitfraudFix.exe et choisis cette fois l'Option 2 et réponds oui à la ou les questions.
Sauvegarde le rapport sur ton Bureau.
Redémarre normalement.
Poste le rapport généré par SmitfraudFix ainsi qu’un nouveau hijackthis.
Sécurité / Prévention
Répondre à Egwene
Merci pour votre aide un dimanche soir
SmitFraudFix v2.319
Rapport fait à 23:48:13,14, 27/04/2008
Executé à partir de C:\Documents and Settings\Pierre\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{05a91164-3c96-47d6-aa74-2c855791b2d0}"="incaged"
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\system32\ncompat.tlb supprimé
C:\WINDOWS\system32\ot.ico supprimé
C:\WINDOWS\system32\stdole3.tlb supprimé
C:\WINDOWS\system32\ts.ico supprimé
C:\WINDOWS\system32\1024\ supprimé
C:\Program Files\eMedia Codec\ supprimé
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{78001319-F9E0-4A41-834A-4FF0A8FE7B7F}: DhcpNameServer=212.27.39.2 212.27.39.134
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D54172BF-22F5-4839-BF9E-B43E9C9D0100}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D8BC072F-A077-4C4F-AC90-88EB09415E48}: NameServer=192.162.0.101
HKLM\SYSTEM\CS1\Services\Tcpip\..\{78001319-F9E0-4A41-834A-4FF0A8FE7B7F}: DhcpNameServer=212.27.39.2 212.27.39.134
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D54172BF-22F5-4839-BF9E-B43E9C9D0100}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D8BC072F-A077-4C4F-AC90-88EB09415E48}: NameServer=192.162.0.101
HKLM\SYSTEM\CS3\Services\Tcpip\..\{78001319-F9E0-4A41-834A-4FF0A8FE7B7F}: DhcpNameServer=212.27.39.2 212.27.39.134
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D54172BF-22F5-4839-BF9E-B43E9C9D0100}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D8BC072F-A077-4C4F-AC90-88EB09415E48}: NameServer=192.162.0.101
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
rapport hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:00:24, on 28/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\utilitaires\Anti-Blaxx 1.18\Anti-Blaxx.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\utilitaires\Winamp\winampa.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Winamp Remote\bin\OrbTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Winamp Remote\bin\Orb.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre1.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre1.dll
O4 - HKLM\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\wfx5.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [uhyzctgt] C:\WINDOWS\uhyzctgt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SpySpotter System Defender] C:\Program Files\SpySpotter3\Defender.exe -startup
O4 - HKLM\..\Run: [Servicio Local] svhost.exe
O4 - HKLM\..\Run: [SdCheckOBBH] rundll32.exe C:\WINDOWS\lfd4_tmp.#32,Ini
O4 - HKLM\..\Run: [rybinyf] C:\WINDOWS\rybinyf.exe
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [mediamotor.exe] C:\WINDOWS\mmups.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\utilitaires\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [ALTER DATA] c:\windows\system32\ccdew\repcale.exe c:\windows\system32\ccdew\beird.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\utilitaires\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Servicio Local] svhost.exe
O4 - HKLM\..\RunServices: [ALTER DATA] c:\windows\system32\ccdew\repcale.exe c:\windows\system32\ccdew\beird.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Start Upping] svchostings.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Bureautique\crosoftoffice\Office10\OSA.EXE
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\BUREAU~1\CROSOF~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\utilitaires\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\utilitaires\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://cdn.drivecleaner.com/instal [...] art_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.co [...] all_fr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8BC072F-A077-4C4F-AC90-88EB09415E48}: NameServer = 192.162.0.101
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
--
End of file - 9115 bytes
note:
mon fond d'écran a disparu après le redémarrage normal
Re,
Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec
- Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
- Afin de lancer la recherche, clic sur"Rechercher".
- Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
-- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
-- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
AIDE : Tuto en images sur MBAM
Sécurité / Prévention
Répondre à Egwene
1) [~] Aller dans poste de travail/outils/option des dossiers/affichage/afficher les fichiers et dossiers cachés/Appliquer - - > OK
[~] Aller dans poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d'exploitation./Appliquer - - > OK
Tu recocheras après.
- Poste de travail/outils/option des dossiers/affichage/décocher masquer les extensions dont le type est connu./Appliquer - - > OK
2) Désactive toute protection résidente ( antivirus…) !
Déconnecte-toi d’internet, ferme tous les programmes en cours et laisse combofix travailler : ne fais donc pas autre chose en même temps !
Télécharge Combofix de sUBs
Sauvegarde le sur ton bureau et pas ailleurs !
Redémarre en mode sans échecs : aide ici >>>
http://forum.telecharger.01net.com [...] ges-1.html
/!\ Ne jamais redémarrer en mode sans échec via msconfig ! /!\
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. Il se trouve ici : C:\Combofix.txt
3) Copie/colle un nouveau rapport HiJackThis avec.
Bonne soirée
Sécurité / Prévention
Répondre à Egwene
Bonjour,
Le rapport de combofix est incomplet car il ne tient pas en un message. Poste-moi l'intégralité du rapport, en autant de messages que nécessaire.
Sécurité / Prévention
Répondre à Egwene
je suis désolé j'avais pourtant cliqué sur "sélectionner tout"
voila le rapport:
ComboFix 08-04-27.3 - Pierre 2008-04-29 9:20:50.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.816 [GMT 2:00]
Endroit: C:\Documents and Settings\Pierre\Bureau\ComboFix.exe
[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
Message édité par francis589 le 29-04-2008 à 17:37:28
((((((((((((((((((((((((((((( Fichiers créés 2008-03-28 to 2008-04-29 ))))))))))))))))))))))))))))))))))))
.
2008-04-28 12:24 . 2008-04-28 12:24 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-04-28 12:24 . 2008-04-28 12:24 <REP> d-------- C:\Documents and Settings\Pierre\Application Data\Malwarebytes
2008-04-28 12:24 . 2008-04-28 12:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-04-28 00:23 . 2008-04-28 00:23 <REP> d-------- C:\Program Files\CCleaner
2008-04-27 23:27 . 2008-04-27 23:48 3,692 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-27 23:21 . 2008-04-27 23:23 <REP> d-a------ C:\MSNFix
2008-04-27 22:23 . 2008-04-27 22:23 <REP> d-------- C:\WINDOWS\ERUNT
2008-04-27 22:20 . 2004-11-20 20:55 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-04-27 22:20 . 2004-11-20 20:55 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-04-27 22:20 . 2005-11-09 07:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-04-27 22:20 . 2004-11-20 20:55 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-04-27 22:20 . 2004-11-20 20:55 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-04-27 22:20 . 2004-11-20 20:55 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-04-27 22:20 . 2008-04-29 09:32 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-04-27 22:20 . 2008-04-27 22:20 <REP> d-------- C:\Documents and Settings\Administrateur
2008-04-27 22:20 . 2008-04-29 09:20 1,024 --ah----- C:\Documents and Settings\Administrateur\NTUSER.dat.LOG
2008-04-27 22:13 . 2008-04-27 22:53 <REP> d-------- C:\SDFix
2008-04-27 19:58 . 2008-04-27 19:58 <REP> d-------- C:\Program Files\Trend Micro
2008-04-27 11:57 . 2008-04-27 11:57 <REP> d-------- C:\Program Files\Fichiers communs\xing shared
2008-04-27 09:38 . 2008-04-02 22:28 8,839,273 --------- C:\WINDOWS\CHRONO~1.CAB
2008-04-27 09:38 . 2008-04-27 09:38 74,752 --a------ C:\WINDOWS\ST6UNST.EXE
2008-04-27 09:38 . 2008-04-27 09:38 945 --a------ C:\WINDOWS\ST6UNST.000
2008-04-03 09:28 . 2008-04-03 09:28 <REP> d-------- C:\Documents and Settings\L93112\batclient
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-28 09:16 --------- d-----w C:\Program Files\Winamp Remote
2008-04-27 09:57 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-04-27 09:57 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-04-27 09:57 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-04-12 01:06 --------- d-----w C:\Documents and Settings\L93112\Application Data\Azureus
2008-04-08 08:33 --------- d-----w C:\Documents and Settings\Pierre\Application Data\vlc
2008-04-06 15:48 --------- d-----w C:\Program Files\jeux
2008-04-02 09:38 --------- d-----w C:\Documents and Settings\Sylvie\Application Data\Apple Computer
2008-03-28 18:20 --------- d-----w C:\Documents and Settings\Pierre\Application Data\Apple Computer
2008-03-28 18:18 --------- d-----w C:\Program Files\Safari
2008-03-20 16:28 --------- d-----w C:\Program Files\Freecorder
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 19:27 --------- d-----w C:\Program Files\Freecorder Toolbar
2008-03-14 18:15 --------- d-----w C:\Program Files\iTunes
2008-03-14 18:15 --------- d-----w C:\Program Files\iPod
2008-03-14 18:14 --------- d-----w C:\Program Files\QuickTime
2008-03-11 16:37 --------- d-----w C:\Documents and Settings\Pierre\Application Data\Xfire
2008-03-11 16:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\Outspark
2008-03-08 07:31 --------- d-----w C:\Program Files\Java
2008-03-04 02:01 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-03-02 19:13 --------- d-----w C:\Program Files\Windows Live
2008-03-02 19:11 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-03-02 19:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-03 21:34 0 ----a-r C:\logwmemory.bin
2007-09-13 18:52 28,848 ----a-w C:\Documents and Settings\Pierre\Application Data\GDIPFONTCACHEV1.DAT
2007-06-10 19:18 28,848 ----a-w C:\Documents and Settings\Sylvie\Application Data\GDIPFONTCACHEV1.DAT
2007-04-21 12:03 25,040 ----a-w C:\Documents and Settings\L93112\Application Data\GDIPFONTCACHEV1.DAT
2006-12-05 17:53 1 ----a-w C:\Documents and Settings\Pierre\SI.bin
2006-05-08 07:39 252 ----a-w C:\Program Files\Fichiers communs\vfp8rerr.log
2006-02-12 08:27 4 ----a-w C:\Documents and Settings\L93112\lock.dat
2006-02-01 18:49 4 ----a-w C:\Documents and Settings\Pierre\lock.dat
2006-01-31 19:17 4 ----a-w C:\Documents and Settings\Sylvie\lock.dat
2004-11-23 20:26 316 ----a-w C:\Documents and Settings\L93112\dddf.exe
2003-09-25 21:24 1,187,840 ----a-w C:\Program Files\Fichiers communs\vfp8rfra.dll
2003-09-25 18:36 4,300,800 ----a-w C:\Program Files\Fichiers communs\vfp8r.dll
2003-09-25 17:47 1,150,976 ----a-w C:\Program Files\Fichiers communs\VFP8RENU.DLL
2001-09-06 04:00 1,700,352 ----a-w C:\Program Files\Fichiers communs\gdiplus.dll
2006-05-29 14:40 7,296,000 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
2008-03-20 18:29 1470488 --a------ C:\Program Files\Freecorder\tbFre1.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-10-04 22:06 1135968 --a------ C:\Program Files\Winamp Toolbar\winamptb.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]
"{1392B8D2-5C05-419F-A8F6-B9F15A596612}"= "C:\Program Files\Freecorder\tbFre1.dll" [2008-03-20 18:29 1470488]
[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]
[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{1392B8D2-5C05-419F-A8F6-B9F15A596612}"= C:\Program Files\Freecorder\tbFre1.dll [2008-03-20 18:29 1470488]
[HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]
"Orb"="C:\Program Files\Winamp Remote\bin\OrbTray.exe" [2008-01-07 22:02 495616]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinFixer 2005"="C:\Program Files\WinFixer 2005\wfx5.exe" [ ]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
"uhyzctgt"="C:\WINDOWS\uhyzctgt.exe" [ ]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"SpySpotter System Defender"="C:\Program Files\SpySpotter3\Defender.exe" [ ]
"Servicio Local"="svhost.exe" []
"SdCheckOBBH"="C:\WINDOWS\lfd4_tmp.#32" [2005-04-01 19:59 2634]
"rybinyf"="C:\WINDOWS\rybinyf.exe" [ ]
"Norton Antivirus AV"="C:\WINDOWS\FVProtect.exe" [ ]
"mediamotor.exe"="C:\WINDOWS\mmups.exe" [ ]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-20 22:00 315392]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41 45056]
"Anti-Blaxx Manager"="C:\Program Files\utilitaires\Anti-Blaxx 1.18\Anti-Blaxx.exe" [2005-10-26 17:35 225280]
"ALTER DATA"="c:\windows\system32\ccdew\repcale.exe" [ ]
"AfterSkSecretary"="" []
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 13:25 262401]
"WinampAgent"="C:\Program Files\utilitaires\Winamp\winampa.exe" [2008-01-16 00:54 37376]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-04-27 11:57 185896]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Servicio Local"="svhost.exe" []
"ALTER DATA"="c:\windows\system32\ccdew\repcale.exe" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]
"Windows Compliant"="ncbbpj.exe" []
"Servicio Local"="svhost.exe" []
"Start Upping"="svchostings.exe" []
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe [2004-11-23 20:37:02 962663]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Microsoft Office.lnk - C:\Program Files\Bureautique\crosoftoffice\Office10\OSA.EXE [2001-02-13 10:01:04 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"C:\\Program Files\\utilitaires\\Phone\\Skype.exe"=
"C:\\Program Files\\jeux\\Freeciv-1.14.0\\civserver.exe"=
"C:\\Program Files\\utilitaires\\Maple 9.5\\bin.win\\mserver.exe"=
"C:\\Program Files\\utilitaires\\Maple 9.5\\jre\\bin\\java.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Program Files\\JVTorrent\\btdownloadgui.exe"=
"C:\\Program Files\\utilitaires\\xchat\\xchat.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\torrent\\xevil\\xevil.exe"=
"C:\\Program Files\\Utilitaires poste\\Nouveau dossier\\firefox.exe"=
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"=
"C:\\Program Files\\jeux\\CrackAttack\\bin\\crackattack.exe"=
"C:\\Program Files\\Crack-Attack\\bin\\crack-attack.exe"=
"C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2main.exe"=
"C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe"=
"C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwupdate.exe"=
"C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2server.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\utilitaires\\Freeplayer\\vlc\\vlc.exe"=
"C:\\Program Files\\utilitaires\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\jeux\\Soldat\\Soldat.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys [2003-09-29 14:46]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 17:23]
S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [2008-04-07 20:17]
S3 XDva015;XDva015;C:\WINDOWS\system32\XDva015.sys []
S3 XDva098;XDva098;C:\WINDOWS\system32\XDva098.sys []
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-25 16:46:18 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2005-02-01 10:40:00 C:\WINDOWS\Tasks\Azureus.job"
- C:\Program Files\utilitaires\Azureus\Azureus.exe
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-29 09:32:14
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 30
**************************************************************************
.
Temps d'accomplissement: 2008-04-29 9:34:14
ComboFix-quarantined-files.txt 2008-04-29 07:33:56
Pre-Run: 9,578,004,480 octets libres
Post-Run: 13,269,336,064 octets libres
951 --- E O F --- 2008-04-11 07:08:08
voila
Re,
Rends toi sur ce lien : Virus Total
- Clique sur Parcourir
- Rends toi jusque sur ce fichier si tu le trouves :
C:\Documents and Settings\L93112\dddf.exe
C:\WINDOWS\CHRONO~1.CAB
- Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
- Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
- Lorsque l'analyse est terminée ("Situation actuelle: terminé" ), clique sur Formaté
- Une nouvelle fenêtre de ton navigateur va apparaître
- Clique alors sur cette image :
- Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
- Enfin colle le résultat dans ta prochaine réponse.
Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.
Sécurité / Prévention
Répondre à Egwene
Re,
Tu peux poster un nouveau rapport hijackthis ?
Sécurité / Prévention
Répondre à Egwene
re ,
La désinfection se déroule normalement ?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:59, on 29/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\utilitaires\Anti-Blaxx 1.18\Anti-Blaxx.exe
C:\Program Files\utilitaires\Winamp\winampa.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Winamp Remote\bin\OrbTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Winamp Remote\bin\Orb.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\zstatus.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre1.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre1.dll
O4 - HKLM\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\wfx5.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [uhyzctgt] C:\WINDOWS\uhyzctgt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SpySpotter System Defender] C:\Program Files\SpySpotter3\Defender.exe -startup
O4 - HKLM\..\Run: [Servicio Local] svhost.exe
O4 - HKLM\..\Run: [SdCheckOBBH] rundll32.exe C:\WINDOWS\lfd4_tmp.#32,Ini
O4 - HKLM\..\Run: [rybinyf] C:\WINDOWS\rybinyf.exe
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [mediamotor.exe] C:\WINDOWS\mmups.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\utilitaires\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [ALTER DATA] c:\windows\system32\ccdew\repcale.exe c:\windows\system32\ccdew\beird.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\utilitaires\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Servicio Local] svhost.exe
O4 - HKLM\..\RunServices: [ALTER DATA] c:\windows\system32\ccdew\repcale.exe c:\windows\system32\ccdew\beird.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Orb] "C:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Start Upping] svchostings.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Bureautique\crosoftoffice\Office10\OSA.EXE
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\BUREAU~1\CROSOF~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\utilitaires\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\utilitaires\WinHTTrack\WinHTTrackIEBar.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8BC072F-A077-4C4F-AC90-88EB09415E48}: NameServer = 192.162.0.101
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
--
End of file - 9226 bytes
Merci, bonne nuit.
Re,
Pourquoi une telle question ?
Sécurité / Prévention
Répondre à Egwene
je ne sais pas, juste comme ça.
C'est intéressant et compliqué, je ne comprend pas très bien ce que je fais alors je pose une petite question
Re,
Ah oki ^^
Tout va bien t'inquiète pas
Je te poste une procédure soit en fin de soirée, soit demain.
Sécurité / Prévention
Répondre à Egwene
Désactive toute protection résidente ( antivirus…) !
Copie le texte se situant dans le cadre ci-dessous, sans le mot citation :
| Citation : Driver::
|
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.
Glisse maintenant le fichier ComboFix-Do.txt dans Combofix.exe comme ci-dessous :
Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un nouveau rapport Hijackthis.
S'il n'y a pas de redémarrage, poste quand même les rapports.
Sécurité / Prévention
Répondre à Egwene
Re,
Fais un scan en linge avec BitDefender, avec internet explorer ! Sauvegarde tes musiques et photos, il arrive que BitDefender les supprime
http://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.
Tutorial en image : http://forum.pcastuces.com/sujet.asp?f=25&s=31584
Poste-moi le rapport en entier
Sécurité / Prévention
Répondre à Egwene
Re,
Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.
- ferme toutes les applications et fenêtres
- double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
- s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
- tu devras cliquer 2 fois sur le OK des boîtes de dialogue
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
- quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
main.txt <- ouvert en premier plan et en plein écran
extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
S'il s'agit d'une utilisation supplémentaire de DSS :
- tu n'auras pas de boîte de dialogue (pas de OK)
- quand le traitement est terminé, un fichier texte s'affiche :
main.txt <- ouvert en premier plan et en plein écran
- copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
- copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
- n'oublie pas de réactiver les protections si elles ont été stoppées.
Ce que fait DSS :
- crée un point de restauration dans Windows XP et Vista
- nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs
- vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.
Sécurité / Prévention
Répondre à Egwene
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------
-- System Information ----------------------------------------------------------
Microsoft Windows XP Édition familiale (build 2600) SP 2.0
Architecture: X86; Language: French
CPU 0: Intel(R) Pentium(R) 4 CPU 3.00GHz
Percentage of Memory in Use: 35%
Physical Memory (total/avail): 1023 MiB / 660.19 MiB
Pagefile Memory (total/avail): 2461.35 MiB / 2112.13 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1928.63 MiB
A: is Removable (No Media)
C: is Fixed (NTFS) - 111.72 GiB total, 12.29 GiB free.
E: is CDROM (No Media)
F: is CDROM (No Media)
\\.\PHYSICALDRIVE0 - ST3120026A - 111.76 GiB - 2 partitions
\PARTITION0 - Unknown - 39.19 MiB
\PARTITION1 (bootable) - Système de fichiers installable - 111.72 GiB - C:
-- Security Center -------------------------------------------------------------
AUOptions is scheduled to auto-install.
Windows Internal Firewall is enabled.
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition v8.0.1.15 (Avira GmbH) [COLOR=RED]Disabled[/COLOR]
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)
AV: Avira AntiVir PersonalEdition Classic v 6.38.1.13
(Avira GmbH) [COLOR=RED]Disabled[/COLOR]
[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\javaw.exe"="C:\\WINDOWS\\system32\\javaw.exe:*:Enabled:javaw"
"C:\\Program Files\\utilitaires\\Phone\\Skype.exe"="C:\\Program Files\\utilitaires\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\jeux\\Freeciv-1.14.0\\civserver.exe"="C:\\Program Files\\jeux\\Freeciv-1.14.0\\civserver.exe:*:Enabled:civserver"
"C:\\Program Files\\utilitaires\\Maple 9.5\\bin.win\\mserver.exe"="C:\\Program Files\\utilitaires\\Maple 9.5\\bin.win\\mserver.exe:*isabled:mserver"
"C:\\Program Files\\utilitaires\\Maple 9.5\\jre\\bin\\java.exe"="C:\\Program Files\\utilitaires\\Maple 9.5\\jre\\bin\\java.exe:*isabled:java"
"C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server"
"C:\\Program Files\\JVTorrent\\btdownloadgui.exe"="C:\\Program Files\\JVTorrent\\btdownloadgui.exe:*:Enabled:btdownloadgui"
"C:\\Program Files\\utilitaires\\xchat\\xchat.exe"="C:\\Program Files\\utilitaires\\xchat\\xchat.exe:*:Enabled:XChat IRC Client"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"C:\\torrent\\xevil\\xevil.exe"="C:\\torrent\\xevil\\xevil.exe:*:Enabled:XEvil2.0 Beta Demo"
"C:\\Program Files\\Utilitaires poste\\Nouveau dossier\\firefox.exe"="C:\\Program Files\\Utilitaires poste\\Nouveau dossier\\firefox.exe:*:Enabled:Firefox"
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"="C:\\Program Files\\Windows Media Player\\wmplayer.exe:*:Enabled:Windows Media Player"
"C:\\Program Files\\jeux\\CrackAttack\\bin\\crackattack.exe"="C:\\Program Files\\jeux\\CrackAttack\\bin\\crackattack.exe:*:Enabled:crackattack"
"C:\\Program Files\\Crack-Attack\\bin\\crack-attack.exe"="C:\\Program Files\\Crack-Attack\\bin\\crack-attack.exe:*:Enabled:crack-attack"
"C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2main.exe"="C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2main.exe:*:Enabled:Neverwinter Nights 2 Main"
"C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe"="C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe:*:Enabled:Neverwinter Nights 2 AMD"
"C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwupdate.exe"="C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwupdate.exe:*:Enabled:Neverwinter Nights 2 Updater"
"C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2server.exe"="C:\\Program Files\\jeux\\Atari\\Neverwinter Nights 2\\nwn2server.exe:*:Enabled:Neverwinter Nights 2 Server"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\utilitaires\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\utilitaires\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\utilitaires\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\utilitaires\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe:*:Enabledrb"
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe:*:EnabledrbTray"
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabledrb Stream Client"
"C:\\Program Files\\jeux\\Soldat\\Soldat.exe"="C:\\Program Files\\jeux\\Soldat\\Soldat.exe:*:Enabled:Soldat"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
-- Environment Variables -------------------------------------------------------
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\L93112\Application Data
CLASSPATH=.;C:\Program Files\Java\jre1.6.0_05\lib\ext\QTJava.zip
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=L93112-5I19KXN2
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\L93112
LOGONSERVER=\\L93112-5I19KXN2
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Program Files\ATI Technologies\ATI Control Panel;C:\Program Files\Fichiers communs\Adaptec Shared\System;C:\Program Files\ATI Technologies\ATI.ACE;C:\Program Files\QuickTime\QTSystem;C:\Program Files\utilitaires\MiKTeX 2.5\miktex\bin;
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 2 Stepping 9, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0209
ProgramFiles=C:\Program Files
PROMPT=$P$G
QTJAVA=C:\Program Files\Java\jre1.6.0_05\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\L93112\LOCALS~1\Temp
TMP=C:\DOCUME~1\L93112\LOCALS~1\Temp
USERDOMAIN=L93112-5I19KXN2
USERNAME=L93112
USERPROFILE=C:\Documents and Settings\L93112
windir=C:\WINDOWS
XCHAT_WARNING_IGNORE=true
-- User Profiles ---------------------------------------------------------------
L93112 [I](admin)[/I]
Louis [I](admin)[/I]
Pierre [I](admin)[/I]
Sylvie [I](admin)[/I]
Hervé [I](admin)[/I]
Administrateur [I](new local, admin)[/I]
-- Add/Remove Programs ---------------------------------------------------------
--> "C:\Program Files\Creative\SBLive\Program\Ctzapxx.EXE" /X /U /S /R
--> C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
"Glest 2.0.0" --> "C:\Program Files\jeux\Glest_2.0.0\unins000.exe"
a-squared free 1.5 --> "C:\Program Files\utilitaires\a2 free\unins000.exe"
Ad-Aware SE Personal --> C:\PROGRA~1\Lavasoft\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\INSTALL.LOG
Adobe Acrobat 5.0 --> C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Download Manager 1.2 (Supprimer uniquement) --> "C:\Program Files\Fichiers communs\Adobe\ESD\uninst.exe"
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe -q
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop Album 2.0 Edition Découverte --> MsiExec.exe /I{11B569C2-4BF6-4ED0-9D17-A4273943CB24}
Adobe Reader 7.0.9 - Français --> MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70900000002}
AFPL Ghostscript 8.51 --> c:\program files\utilitaires\gs\uninstgs.exe "c:\program files\utilitaires\gs\gs8.51\uninstal.txt"
AFPL Ghostscript Fonts --> c:\program files\utilitaires\gs\uninstgs.exe "c:\program files\utilitaires\gs\fonts\uninstal.txt"
After SweetKiss --> C:\Program Files\Ciel\After SweetKiss\menu.exe
Alexander --> C:\Program Files\jeux\Ubisoft\GSC Game World\Alexandre\uninstall.exe
Anti-Blaxx 1.18 --> "C:\Program Files\utilitaires\Anti-Blaxx 1.18\unins000.exe"
Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}
Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
Archiveur WinRAR --> C:\Program Files\WinRAR\uninstall.exe
ArcSoft Panorama Maker 3 --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A5F68DC8-0278-4AD8-B413-861509B5F25B}\Setup.exe" -l0x40c
Assistant de connexion Windows Live --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
ATI - Software Uninstall Utility --> C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center --> MsiExec.exe /I{34566374-6C4D-419F-A9E0-8B21CA905FD8}
ATI Control Panel --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
Avira AntiVir Personal – Free Antivirus --> C:\Program Files\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Azureus --> C:\Program Files\utilitaires\Azureus\Uninstall.exe
BatClient --> C:\WINDOWS\system32\javaws.exe -uninstall -prompt "http://mirror-eu.bat.org/batclient/batclient-eu.jnlp"
BSPlayer --> "C:\Program Files\Webteh\BSplayer\uninstall.exe"
CCleaner (remove only) --> "C:\Program Files\CCleaner\uninst.exe"
Comptabilité --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9308A8EB-1C1B-11D4-BFC8-00C04F6180C7}\setup.exe" UNINSTALL
Correctif pour Lecteur Windows Media 11 (KB939683) --> "C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB914440) --> "C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Correctif Windows XP - KB834707 --> C:\WINDOWS\$NtUninstallKB834707$\spuninst\spuninst.exe
Correctif Windows XP - KB867282 --> C:\WINDOWS\$NtUninstallKB867282$\spuninst\spuninst.exe
Correctif Windows XP - KB873333 --> C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe
Correctif Windows XP - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Correctif Windows XP - KB885250 --> C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Correctif Windows XP - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Correctif Windows XP - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Correctif Windows XP - KB885884 --> C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe
Correctif Windows XP - KB886185 --> C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Correctif Windows XP - KB887472 --> C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Correctif Windows XP - KB887742 --> C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe
Correctif Windows XP - KB888113 --> C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Correctif Windows XP - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Correctif Windows XP - KB890047 --> C:\WINDOWS\$NtUninstallKB890047$\spuninst\spuninst.exe
Correctif Windows XP - KB890175 --> C:\WINDOWS\$NtUninstallKB890175$\spuninst\spuninst.exe
Correctif Windows XP - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Correctif Windows XP - KB890923 --> "C:\WINDOWS\$NtUninstallKB890923$\spuninst\spuninst.exe"
Correctif Windows XP - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Correctif Windows XP - KB893066 --> "C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Correctif Windows XP - KB893086 --> "C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe"
Crack-Attack! --> C:\Program Files\Crack-Attack\uninstall.exe
DAEMON Tools --> MsiExec.exe /I{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}
Dell ResourceCD --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D78653C3-A8FF-415F-92E6-D774E634FF2D}\setup.exe"
DivX Player --> C:\Program Files\utilitaires\codecs\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Pro Codec Adware --> C:\Program Files\utilitaires\codecs\DivX\DivXProAdwareCodecUninstall.exe /CODEC
Dragonshard --> MsiExec.exe /I{FA6E4C24-0378-497C-ABEC-1E264FF233BE}
Easy CD Creator 5 Basic --> MsiExec.exe /I{609F7AC8-C510-11D4-A788-009027ABA5D0}
eMusic - 50 Free MP3 offer --> "C:\Program Files\utilitaires\Winamp\eMusic\Uninst-eMusic-promotion.exe"
Free - Kit de connexion --> C:\Program Files\Free.fr\uninstall.exe
Freeciv 1.14.0 --> "C:\Program Files\jeux\Freeciv-1.14.0\unins000.exe"
Freecorder Toolbar --> C:\PROGRA~1\FREECO~2\UNWISE.EXE C:\PROGRA~1\FREECO~2\INSTALL.LOG
Freecorder Toolbar 3.0 Application --> "C:\WINDOWS\Freecorder Toolbar\uninstall.exe" "/U:C:\Program Files\Freecorder Toolbar\Uninstall\uninstall.xml"
FreeOrion 0.3 --> C:\Program Files\jeux\FreeOrion\uninst.exe
Freeplayer --> C:\Program Files\utilitaires\Freeplayer\Uninstall.exe
Gestion Commerciale --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DEDD6B47-1C19-11D4-9E61-00C04F4E316A}\setup.exe" UNINSTALL
GrabIt 1.6.2 Beta (build 940) --> "C:\Program Files\utilitaires\GrabIt\unins000.exe"
GSview 4.7 --> C:\Program Files\utilitaires\Ghostgum\gsview\uninstgs.exe "C:\Program Files\utilitaires\Ghostgum\gsview\uninstal.txt"
Heroes of Might and Magic V Collector Edition --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DDB68A90-340C-42B9-B42B-D2CBED1B91DC}\setup.exe" -l0x40c
HijackThis 2.0.2 --> "C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
IBEAD Multi Player --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{71E4EF4D-B65D-430A-86DF-4D13AB6C581B}\Setup.EXE" -l0x9
Images Webscan 2.2b --> C:\Program Files\utilitaires\Images Webscan\uninst.exe
Immobilisations --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{80864E88-1C1A-11D4-BEAA-00C04F61846C}\setup.exe" UNINSTALL