Publicité qui se lance toute seule ...

Marsh Posté le 27-10-2006 à 12:49:30

VOilà j'ai un spyware, et un vrai de vrai. Du moment où je suis connecté au net, j'ai des pubs qui se lancent ... régulièrement ... J'ai nettoyé le tout avec Ad-Aware et Spybot mais j'ai constamment un fichier .dll que je ne peux supprimer ...
En cherchant sur le net, j'ai vu que ce problème était courant mais que pour le résoudre, c'est cas par cas.
Donc voici mon log hijack :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\dfndrff_e40.exe
C:\kybrdff_e40.exe
C:\PROGRA~1\COMMON~1\SMBOLS~1\wuauboot.exe
C:\WINDOWS\WFA\command.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Network Monitor\netmon.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Administrateur.MACHINEXP\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {AAA42BDA-EC6A-4A28-A663-B7E3B31060EB} - C:\WINDOWS\System32\jkhfe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e40.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e40.exe
O4 - HKCU\..\Run: [Ucsc] "C:\PROGRA~1\COMMON~1\SMBOLS~1\wuauboot.exe" -vt yazb
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://fr.yahoo.com/
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: jkhfe - C:\WINDOWS\System32\jkhfe.dll
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\m8poli7318.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\WFA\command.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 27-10-2006 à 12:49:30

Reply

Marsh Posté le 27-10-2006 à 14:16:11

Bonjour ,

Note comment démarrer en mode sans échec http://www.microsoft.com/windows20 [...] ilsafe.htm
Tu vas t'en servir de l'étape 2 à l'étape 11 sans accès à internet.

1/ Télécharge :

- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

- delcmdservice (par Marckie) http://users.telenet.be/marcvn/tools/delcmdservice.zip et dézippe-le sur ton Bureau.

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
FAIS UN CLIC-DROIT sur ce lien : http://metallica.geekstogo.com/alcanshorty.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous.." )
afin de télécharger alcanshorty.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU)

- SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* décompresse-le

- OIUninstaller http://www.outerinfo.com/OiUninstaller.exe sur le bureau

*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte admin ou autre)*****

2/ désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

Network Monitor
tout programme contenant la mention "by OIN"

3/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e40.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e40.exe
O4 - HKCU\..\Run: [Ucsc] "C:\PROGRA~1\COMMON~1\SMBOLS~1\wuauboot.exe" -vt yazb

- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.

4/ Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : alcanshorty.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

5/ Double-clique sur le fichier "SmitfraudFix.cmd" et choisis loption 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

6/ Double-clique sur le dossier delcmdservice, puis double-clique sur delreg.bat afin de lancer l'outil.

7/ Double-clique sur le fichier OIUninstaller sur ton bureau, et suis les instructions. Lorsque c'est terminé, supprime ce fichier.

8/ Assure toi d'avoir accès aux dossiers/fichiers cachés :

Citation :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"

9/ recherche et supprime ce dossier, si tu le trouves :

C:\PROGRAM FILES\COMMON FILES\SMBOLS... <- le dossier dont le nom commence par ces 6 premiers caractères, en principe, il contient au moins un fichier "wuauboot.exe"

10/ Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

11/ Redémarre normalement, télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
Coche Run this program as a task
Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
Lorsque le scan termine, clique sur le bouton Remove L2M
Un message Done Scanning apparaîtra, clique OK.
Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
Ton PC va maintenant s'éteindre.
Démarre ton PC normalement.

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

12/ Télécharge VundoFix.exe (par Atribune) sur ton Bureau

Double-clique VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est complété, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

13/ Poste :
- un nouveau rapport HijackThis, toutes fenêtres et applications fermées.
- le contenu du rapport situé dans C:\vundofix.txt
- le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau
- le rapport SmitfraudFix que tu as sauvegardé
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

Reply

Marsh Posté le 28-10-2006 à 00:33:17

Ouah Merci !!!! Impressionnant !!!! :love: :love: :love:
Alors voici ce que tu me demandes :

Rapport HijackThis

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\dfndrff_e40a.exe
C:\kybrdff_e40a.exe
C:\nwnmff_e40a.exe
C:\WINDOWS\WFA\command.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Network Monitor\netmon.exe
C:\Documents and Settings\Administrateur.MACHINEXP\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {8A8CC610-218C-4A17-BD3A-DD0FCE5E9256} - C:\WINDOWS\System32\jkhfe.dll (file missing)
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e40a.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e40a.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e40a.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://fr.yahoo.com/
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\WFA\command.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

Rapport vundofix :

VundoFix V6.2.6

Checking Java version...

Java version is 1.4.2.4

Scan started at 00:27:59 28/10/2006

Listing files found while scanning....

C:\WINDOWS\system32\jkkllmn.dll
C:\WINDOWS\system32\lcgbxavx.dll
C:\WINDOWS\system32\lqdpmtls.dll
C:\WINDOWS\system32\xxyvspq.dll
C:\WINDOWS\System32\jkhfe.dll
C:\WINDOWS\System32\efhkj.ini
C:\WINDOWS\System32\efhkj.bak1
C:\WINDOWS\System32\efhkj.bak2

Beginning removal...

Attempting to delete C:\WINDOWS\system32\jkkllmn.dll
C:\WINDOWS\system32\jkkllmn.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\lcgbxavx.dll
C:\WINDOWS\system32\lcgbxavx.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\lqdpmtls.dll
C:\WINDOWS\system32\lqdpmtls.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\xxyvspq.dll
C:\WINDOWS\system32\xxyvspq.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\jkhfe.dll
C:\WINDOWS\System32\jkhfe.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\efhkj.ini
C:\WINDOWS\System32\efhkj.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\efhkj.bak1
C:\WINDOWS\System32\efhkj.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\System32\efhkj.bak2
C:\WINDOWS\System32\efhkj.bak2 Has been deleted!

Performing Repairs to the registry.
Done!

Rapport Look2Me :

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 28/10/2006 00:25:02

Infected! C:\WINDOWS\system32\gpnul3591.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0002581.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003598.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003631.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003643.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003656.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003660.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003664.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003668.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003673.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003677.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0004380.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0005165.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0005565.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0005567.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0006396.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007159.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007202.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007206.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007260.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007273.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007418.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007422.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007577.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0008055.dll
Infected! C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0008059.dll
Infected! C:\WINDOWS\system32\enl6l13s1.dll
Infected! C:\WINDOWS\system32\gpnul3591.dll
Infected! C:\WINDOWS\system32\ir88l5lu1.dll
Infected! C:\WINDOWS\system32\kddkyr.dll
Infected! C:\WINDOWS\system32\lv8s09l7e.dll
Infected! C:\WINDOWS\system32\mcpmsp.dll
Infected! C:\WINDOWS\system32\oybccu32.dll
Infected! C:\WINDOWS\system32\shclient.dll
Infected! C:\WINDOWS\system32\ujbui.dll

Attempting to delete infected files...

Attempting to delete: C:\WINDOWS\system32\gpnul3591.dll
C:\WINDOWS\system32\gpnul3591.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0002581.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0002581.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003598.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003598.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003631.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003631.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003643.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003643.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003656.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003656.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003660.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003660.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003664.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003664.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003668.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003668.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003673.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003673.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003677.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0003677.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0004380.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0004380.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0005165.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP17\A0005165.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0005565.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0005565.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0005567.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0005567.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0006396.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0006396.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007159.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007159.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007202.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007202.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007206.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007206.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007260.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007260.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007273.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007273.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007418.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007418.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007422.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007422.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007577.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0007577.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0008055.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0008055.dll Deleted successfully!

Attempting to delete: C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0008059.dll
C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}\RP19\A0008059.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\enl6l13s1.dll
C:\WINDOWS\system32\enl6l13s1.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\gpnul3591.dll
C:\WINDOWS\system32\gpnul3591.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\ir88l5lu1.dll
C:\WINDOWS\system32\ir88l5lu1.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\kddkyr.dll
C:\WINDOWS\system32\kddkyr.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\lv8s09l7e.dll
C:\WINDOWS\system32\lv8s09l7e.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\mcpmsp.dll
C:\WINDOWS\system32\mcpmsp.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\oybccu32.dll
C:\WINDOWS\system32\oybccu32.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\shclient.dll
C:\WINDOWS\system32\shclient.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\ujbui.dll
C:\WINDOWS\system32\ujbui.dll Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Reliability

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{4521D1C9-6BF9-4116-B844-A0AC31CFB00E}"
HKCR\Clsid\{4521D1C9-6BF9-4116-B844-A0AC31CFB00E}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{0EC10D76-9B12-4E78-80E8-60ECECBF304D}"
HKCR\Clsid\{0EC10D76-9B12-4E78-80E8-60ECECBF304D}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{655A34F4-1EE9-46D1-9E48-3E77473DDD24}"
HKCR\Clsid\{655A34F4-1EE9-46D1-9E48-3E77473DDD24}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file

Rapport SmitfraudFix :

SmitFraudFix v2.114

Rapport fait à 0:17:58,18, 28/10/2006
Executé à partir de C:\Documents and Settings\Administrateur.MACHINEXP\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\icont.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Je n'es pas eu de problèmes ... Je te remercie beaucoup car j'ai l'impression d'avoir fait un nettoyage sévère ...
Pour le moment, je n'es eu qu'une seule page de pub qi s'est ouverte ...
Je te tiens au courant ... merci encore !

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 28-10-2006 à 12:05:36

Alors voici l'évolution de mon problème. J'ai encore de temps en temps une page de pub qui s'ouvre, mais c'est assez rare (1 fois par heure peut-être).
Par contre, j'ai quelques fichiers que je ne connais pas qui sont apparus dans ma racine C:\, et quand je fais apparaitre le gestionnaire de taches, j'ai deux applications en route, portant le doux nom de Project1

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 28-10-2006 à 13:05:53

salut

il y a encore des lignes indésirables dans ton log, de toutes façons

* Premièrement, mets à jour ta version de Java : désinstalle par Ajout/Suppression de programmes "Java 2 Runtime Environment 1.4.2_04"
supprime les traces éventuelles, après désinstallation :

C:\Program Files\Java
C:\Documents and Settings\ton identité\Application Data\Sun

ensuite tu vas ici http://java.sun.com/javase/downloads/index.jsp
Clique sur le "Download" en face de "Java Runtime Environment (JRE) 5.0 Update 9". Sur la page suivante, coche la case "Accept License Agreement" puis télécharge "Windows Offline Installation, Multi-language" (jre-1_5_0_09-windows-i586-p.exe, 15.74 MB)

* Deuxièmement, pas de trace d'antivirus, en voici un http://speedweb1.free.fr/frames2.php?page=tuto5
et un pare-feu : http://www.pcentraide.com/index.php?showtopic=110

--------------------------

en mode sans échec :

1/ désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

Deskbar

2/ Désactive le service suivant :
vas dans démarrer, clique sur "exécuter", tapes :
services.msc
"ok"
Dans la liste des services, cherche et double-clique sur la ligne :
Network Monitor
vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de
"C:\Program Files\Network Monitor\netmon.exe "
dans "Type de démarrage",
clique sur "désactiver" et règle-le sur "arrêté"
"Appliquer"/"ok"

3/ coche et fixe ces lignes si tu les trouves :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {8A8CC610-218C-4A17-BD3A-DD0FCE5E9256} - C:\WINDOWS\System32\jkhfe.dll (file missing)
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e40a.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e40a.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e40a.exe

4/ Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : alcanshorty.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

5/ Double-clique sur le fichier "SmitfraudFix.cmd" et choisis loption 2, réponds oui à tout et laisse-le procéder.

6/ Double-clique sur le dossier delcmdservice, puis double-clique sur delreg.bat afin de lancer l'outil.

7/ Supprime :

C:dfndrff_e40a.exe <- fichier
C:\kybrdff_e40a.exe <- fichier
C:\nwnmff_e40a.exe <- fichier
C:\Program Files\Deskbar <- dossier
C:\WINDOWS\WFA <- dossier

8/ Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
N'hésite pas à lancer un scan complet avec l'antivirus.

9/ Redémarre normalement. Poste un nouveau rapport HijackThis

10/ poste un rapport Panda

http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

Message édité par eZula le 28-10-2006 à 13:07:14

Reply

Marsh Posté le 28-10-2006 à 14:42:52

Donc voici le log d'Hijackthis :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
c:\dfndrff_e41.exe
c:\kybrdff_e41.exe
c:\nwnmff_e41.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\WFA\command.exe
C:\Documents and Settings\Administrateur.MACHINEXP\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Program Files\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [defender] c:\\dfndrff_e41.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_e41.exe
O4 - HKLM\..\Run: [newname] c:\\nwnmff_e41.exe
O14 - IERESET.INF: START_PAGE_URL=http://fr.yahoo.com/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs:
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\WFA\command.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

Et le rapport de Panda :

Incident Statut Analyse

Virus:W32/Virutas.B Désinfecté Système dexploitation
Virus:Trj/Lowzones.SV Désinfecté Système dexploitation

Par contre, je n'es pas pu installer l'antivirus que tu m'as proposé ... Voici le message d'erreur :

Ni Java ...

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 28-10-2006 à 14:50:22

un peu strange que ces lignes reviennent en permanence. Il doit y avoir autre chose derrière.

1/ Télécharge F-Secure Blacklight (800ko) https://europe.f-secure.com/exclude [...] blbeta.exe
Place-le dans son propre répertoire, dans C:\
Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
Si Blacklight détecte des éléments invisibles, il en affiche la liste et permet de les renommer
Ne renomme rien du tout. Copie le contenu du log qui sera généré dans le même dossier que blbeta, avec un nom qui ressemblera à fsbl-20060316011845.log

2/ Télécharge WinPFind http://www.bleepingcomputer.com/fi [...] nPFind.zip et Dézippe-le dans C:\
Redémarre en mode sans échec.
Double-clique sur le fichier c:\winpfind\winpfind.exe, clique ensuite sur le bouton "Start Scan button"
Patiente le temps du scan.
Quand c'est terminé, redémarre normalement et poste le contenu du fichier WinPFind.Txt qui se trouve dans le répertoire c:\winpfind

PS : la prochaine fois que tu postes un rapport HJT, poste-le en entier, il faut voir ta version de windows tout en haut. Normalement ce sera écrit dans le rapport winpfind, ne le masque pas.

Reply

Marsh Posté le 28-10-2006 à 15:27:09

Bon ben là double problème : je n'es ni pu lancer F-Secure Blacklight (j'ai un message d'erreur)
,
et WinPFind se plante au bout de 10 minutes ...

Voici le dernier log d'Hijack :

Logfile of HijackThis v1.99.1
Scan saved at 15:29:16, on 28/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
C:\dfndrff_e41.exe
C:\kybrdff_e41.exe
C:\nwnmff_e41.exe
C:\WINDOWS\WFA\command.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Network Monitor\netmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrateur.MACHINEXP\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Program Files\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e41.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e41.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e41.exe
O14 - IERESET.INF: START_PAGE_URL=http://fr.yahoo.com/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs:
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\WFA\command.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

Message édité par bigboss_91 le 28-10-2006 à 15:27:28

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 28-10-2006 à 15:38:57

ce n'est pas bon signe tout ça.

1/ Lance SmitfraudFix -> option 1 (recherche), puis poste son rapport

1 et demi/ Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document texte". Ouvre-le et copie-colle dedans ces lignes en citation :

Citation :

dir /ad "%SystemDrive%\Documents and settings" > list.txt
notepad list.txt
del list.txt

Dans le menu "fichier"/"enregistrer sous", sélectionne :
"Nom du fichier" : list.bat
"Type" : "tous les fichiers"
Clique ensuite sur "enregistrer".

double-clique dessus, le bloc-notes s'ouvre au bout de quelques instants. Copie et poste son contenu.

2/ Télécharge Gmer http://gmer.net/gmer110.zip et décompresse-le. Double-clique sur l'icone Gmer, puis sélectionne l'onglet "Rootkit" ; vérifie que tout soit coché à droite :

Citation :

1. System
2. Devices
3. Proceses
4. Libraries
5. Modules
6. Services
7. Registry
8. Files

Clique ensuite sur "Scan" et laisse-le faire son travail. A la fin du scan clique sur "Copy", et dans ton prochain message -> clic droit/coller

Pas sur que ça marche (pour les mêmes raisons que blbeta), mais ça ne coute rien de tenter

3/ Relance look2medestroyer, et lorsqu'il a terminé, retente de faire un rapport blacklight

Reply

Marsh Posté le 28-10-2006 à 22:51:33

Rapport SmitfraudFix :

SmitFraudFix v2.114

Rapport fait à 22:31:51,89, 28/10/2006
Executé à partir de C:\Documents and Settings\Administrateur.MACHINEXP\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\drsmartload?.exe PRESENT !
C:\drsmartload??.exe PRESENT !
C:\drsmartload???.exe PRESENT !
C:\drsmartload????.exe PRESENT !
C:\MTE3NDI6ODoxNg.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\keyboard1.dat PRESENT !
C:\WINDOWS\newname.dat PRESENT !
C:\WINDOWS\teller2.chk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.MACHINEXP

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur.MACHINEXP\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1.MAC\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" "

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Rapport list.bat :

Le volume dans le lecteur C s'appelle SYSTEME
Le numro de srie du volume est 908F-C8C1

Rpertoire de C:\Documents and settings

28/10/2006 00:02 <REP> .
28/10/2006 00:02 <REP> ..
26/10/2006 13:04 <REP> Administrateur
28/10/2006 14:29 <REP> Administrateur.MACHINEXP
26/10/2006 12:58 <REP> All Users
28/10/2006 00:02 <REP> All Users.WINDOWS
26/10/2006 13:01 <REP> Default User
28/10/2006 00:02 <REP> Default User.WINDOWS
26/10/2006 13:04 <REP> LocalService
26/10/2006 14:29 <REP> LocalService.AUTORITE NT
26/10/2006 13:04 <REP> NetworkService
26/10/2006 14:29 <REP> NetworkService.AUTORITE NT
0 fichier(s) 0 octets
12 Rp(s) 14 462 099 456 octets libres

Rapport Gmer :

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-10-28 22:51:58
Windows 5.1.2600 Service Pack 1

---- System - GMER 1.0.10 ----

SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwClose
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateKey
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateProcess
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateProcessEx
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwCreateThread
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteKey
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwDeleteValueKey
SSDT \SystemRoot\system32\drivers\khips.sys ZwLoadDriver
SSDT \SystemRoot\system32\drivers\khips.sys ZwMapViewOfSection
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwOpenFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwOpenKey
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwResumeThread
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwSetInformationFile
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwSetValueKey
SSDT \SystemRoot\system32\drivers\fwdrv.sys ZwWriteFile

---- Devices - GMER 1.0.10 ----

Device \FileSystem\Fastfat \Fat IRP_MJ_CREATE B6074143

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\tracking.log
File C:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}
File C:\System Volume Information\_restore{F0914EFD-F580-4E4F-993F-B33BA8018823}
File E:\System Volume Information\tracking.log
File E:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\common\eula.txt
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\common\spcustom.dll
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\common\spmsg.dll
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\common\spuninst.exe
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\common\update.exe
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp1\cryptui.dll
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp1\update
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp1\update\kb823182.cat
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp1\update\update.inf
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp1\update\update.ver
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp2\cryptui.dll
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp2\spmsg.dll
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp2\spuninst.exe
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp2\update
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp2\update\eula.txt
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp2\update\kb823182.cat
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp2\update\spcustom.dll
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp2\update\update.exe
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp2\update\update.inf
File F:\RECYCLER\S-1-5-21-1957994488-162531612-725345543-500\De1\sp2\update\update.ver
File F:\System Volume Information\tracking.log
File F:\System Volume Information\_restore{069C1616-119A-48E4-B755-3EDEBF2DDC6E}
File F:\System Volume Information\_restore{1DB6CD67-5101-4AA9-9AA5-170D6F6CBDB9}
File F:\System Volume Information\_restore{2F711EC0-5C31-4364-A5B0-84CA224E0311}
File F:\System Volume Information\_restore{41EC497E-6654-454E-BA65-9D09F6D69D2F}

---- EOF - GMER 1.0.10 ----

Par contre BlackLight ne veut toujours pas se lancer ...

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 28-10-2006 à 22:51:33

Reply

Marsh Posté le 29-10-2006 à 00:00:50

Alors là ça devient violent ... c'était redevenu tout calme et d'un coup, j'ai eu une quizaine de pages de pubs qui se sont ouvertes ... le temps de les effacer que ça réaparu ... et ça 3 ou 4 fois !!!!

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 29-10-2006 à 13:34:16

bonjour

Télécharge combofix.exe (par sUBs) sur ton Bureau

Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Reply

Marsh Posté le 29-10-2006 à 23:23:26

Bonsoir,
Voici le rapport que tu m'as demandé :

Administrateur - 06-10-29 23:22:24,81 Service Pack 1
ComboFix 06.10.19 - Running from: "C:\Documents and Settings\Administrateur.MACHINEXP\Bureau"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\teller2.chk
C:\dfndrff_e41.exe
C:\dfndrff_e42.exe
C:\drsmartload.exe
C:\drsmartload1.exe
C:\deskbar.exe
C:\deskbar_e41.exe
C:\deskbar_e42.exe
C:\kybrdff_e41.exe
C:\kybrdff_e42.exe
C:\MTE3NDI6ODoxNg.exe
C:\MTE3NDI6ODoxNgMTE3NDI6ODoxNg.exe
C:\nwnmff_e41.exe
C:\nwnmff_e42.exe
C:\Documents and Settings\Administrateur.MACHINEXP\Local Settings\Temporary Internet Files\Content.IE5\T7YXB5YX\drsmartload[1].exe
C:\mte3ndi6odoxng.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\Documents and Settings\LocalService.AUTORITE NT\Application Data\NetMon
C:\Program Files\Deskbar
C:\Program Files\network monitor
C:\WINDOWS\WFA

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\WINDOWS\APPATC~1

((((((((((((((((((((((((((((((( Files Created from 2006-09-29 to 2006-10-29 ))))))))))))))))))))))))))))))))))

2006-10-29 08:41 24,576 --a------ C:\mc44a42.exe
2006-10-28 23:20 24,576 --a------ C:\mc44a41.exe
2006-10-28 12:53 18,610 --a------ C:\WINDOWS\system32\inetodm.dll
2006-10-28 10:34 77,440 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2006-10-28 10:34 56,832 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys
2006-10-28 10:34 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2006-10-28 10:34 50,048 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2006-10-28 10:34 5,888 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2006-10-28 10:34 2,816 --a------ C:\WINDOWS\system32\drivers\drmkaud.sys
2006-10-28 10:34 159,360 --a------ C:\WINDOWS\system32\drivers\kmixer.sys
2006-10-28 10:34 142,208 --a------ C:\WINDOWS\system32\drivers\aec.sys
2006-10-28 10:32 57,856 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2006-10-28 10:30 49,152 -r------- C:\WINDOWS\system32\ChCfg.exe
2006-10-28 10:30 4,262,912 -r------- C:\WINDOWS\system32\drivers\RtkHDAud.Sys
2006-10-28 10:30 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-10-28 10:29 487,424 -r------- C:\WINDOWS\RtlExUpd.dll
2006-10-27 23:29 14,848 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2006-10-27 23:17 61,440 --a------ C:\WINDOWS\system32\Process.exe
2006-10-27 23:17 46,592 --a------ C:\WINDOWS\system32\swsc.exe
2006-10-27 23:17 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-10-27 23:17 140,800 --a------ C:\WINDOWS\system32\swreg.exe
2006-10-27 23:04 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2006-10-27 23:04 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll
2006-10-27 23:04 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2006-10-27 23:04 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2006-10-27 23:04 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2006-10-27 23:00 38,400 --a------ C:\DXC9.exe
2006-10-27 10:50 684,032 --a------ C:\WINDOWS\system32\libeay32.dll
2006-10-27 10:50 155,648 --a------ C:\WINDOWS\system32\ssleay32.dll
2006-10-26 15:17 73,236 --a------ C:\WINDOWS\system32\dovdubft.exe
2006-10-26 14:21 23,070 --a------ C:\WINDOWS\system32\drivers\RTL8139.sys
2006-10-26 14:18 9,856 --a------ C:\WINDOWS\system32\drivers\gameenum.sys
2006-10-26 14:18 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2006-10-26 14:18 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2006-10-26 14:17 70,144 --a------ C:\WINDOWS\system32\usbui.dll
2006-10-26 14:17 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys
2006-10-26 14:16 86,044 --a------ C:\WINDOWS\system32\dgsetup.dll
2006-10-26 14:16 8,192 -ra------ C:\WINDOWS\system32\kbdhept.dll
2006-10-26 14:16 73,216 --a------ C:\WINDOWS\system32\storprop.dll
2006-10-26 14:16 73,216 --a------ C:\WINDOWS\NOTEPAD.EXE
2006-10-26 14:16 7,168 -ra------ C:\WINDOWS\system32\kbdcz.dll
2006-10-26 14:16 6,656 -ra------ C:\WINDOWS\system32\kbdycl.dll
2006-10-26 14:16 6,656 -ra------ C:\WINDOWS\system32\kbdsl1.dll
2006-10-26 14:16 6,656 -ra------ C:\WINDOWS\system32\kbdsl.dll
2006-10-26 14:16 6,656 -ra------ C:\WINDOWS\system32\kbdpl.dll
2006-10-26 14:16 6,656 -ra------ C:\WINDOWS\system32\kbdhu.dll
2006-10-26 14:16 6,656 -ra------ C:\WINDOWS\system32\kbdhela3.dll
2006-10-26 14:16 6,656 -ra------ C:\WINDOWS\system32\kbdcz2.dll
2006-10-26 14:16 6,656 -ra------ C:\WINDOWS\system32\kbdcz1.dll
2006-10-26 14:16 6,656 -ra------ C:\WINDOWS\system32\kbdcr.dll
2006-10-26 14:16 6,656 -ra------ C:\WINDOWS\system32\KBDAL.DLL
2006-10-26 14:16 6,656 --a------ C:\WINDOWS\system32\batt.dll
2006-10-26 14:16 6,144 -ra------ C:\WINDOWS\system32\kbdtuq.dll
2006-10-26 14:16 6,144 -ra------ C:\WINDOWS\system32\kbdtuf.dll
2006-10-26 14:16 6,144 -ra------ C:\WINDOWS\system32\kbdlv1.dll
2006-10-26 14:16 6,144 -ra------ C:\WINDOWS\system32\kbdlv.dll
2006-10-26 14:16 6,144 -ra------ C:\WINDOWS\system32\kbdhela2.dll
2006-10-26 14:16 6,144 -ra------ C:\WINDOWS\system32\kbdgkl.dll
2006-10-26 14:16 6,144 -ra------ C:\WINDOWS\system32\kbdest.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdycc.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbduzb.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdur.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdtat.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdru1.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdru.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdro.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdpl1.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdmon.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdlt1.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdlt.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdkyr.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdkaz.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdhu1.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdhe319.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdhe220.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdhe.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdbu.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdblr.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdazel.dll
2006-10-26 14:16 5,632 -ra------ C:\WINDOWS\system32\kbdaze.dll
2006-10-26 14:16 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2006-10-26 14:16 21,504 --a------ C:\WINDOWS\TASKMAN.EXE
2006-10-26 14:16 176,157 --a------ C:\WINDOWS\system32\dgrpsetu.dll
2006-10-26 14:16 13,312 --a------ C:\WINDOWS\system32\irclass.dll
2006-10-26 14:16 103,424 --a------ C:\WINDOWS\system32\EqnClass.Dll
2006-10-26 14:16 10,496 --a------ C:\WINDOWS\system32\drivers\irenum.sys
2006-10-26 14:10 7,040 -ra------ C:\WINDOWS\system32\ntsim.sys
2006-10-26 14:10 41,984 -ra------ C:\WINDOWS\system32\drivers\fetnd5b.sys
2006-10-26 14:07 92,672 -ra------ C:\WINDOWS\system32\drivers\viamraid.sys
2006-10-26 14:07 63,360 --a------ C:\WINDOWS\system32\drivers\pci.sys
2006-10-26 14:07 27,904 -ra------ C:\WINDOWS\system32\drivers\VIAAGP1.SYS
2006-10-26 14:06 36,224 --a------ C:\WINDOWS\system32\drivers\isapnp.sys
2006-10-26 14:04 24,576 --ahs---- C:\WINDOWS\system32\wu.exe
2006-10-26 13:57 181,580 --a------ C:\WINDOWS\YazzleBundle-1125.exe
2006-10-26 13:57 13,644 --a------ C:\WINDOWS\algs.exe
2006-10-26 13:52 294,912 -ra------ C:\WINDOWS\system32\atiiiexx.dll
2006-10-26 13:52 135,168 -ra------ C:\WINDOWS\system32\ATIDEMGR.dll
2006-10-26 13:47 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
2006-10-26 13:42 5,824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2006-10-26 13:41 62,976 --a------ C:\WINDOWS\system32\sol.exe
2006-10-26 13:41 540,160 --a------ C:\WINDOWS\system32\spider.exe
2006-10-26 13:41 350,208 --a------ C:\WINDOWS\system32\mspaint.exe
2006-10-26 13:41 125,440 --a------ C:\WINDOWS\system32\winmine.exe
2006-10-26 13:36 53,760 --ah----- C:\WINDOWS\system32\crzs.exe
2006-10-26 13:36 114 --a------ C:\WINDOWS\system32\latf.bat
2006-10-26 13:34 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2006-10-26 13:34 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2006-10-26 13:34 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2006-10-26 13:34 266,240 --a------ C:\WINDOWS\system32\mstask.dll
2006-10-26 13:34 202,240 --ah----- C:\WINDOWS\system32\vxgtnkxt.exe
2006-10-26 13:34 174,592 --a------ C:\WINDOWS\system32\schedsvc.dll
2006-10-26 13:34 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2006-10-26 13:34 16,384 --a------ C:\WINDOWS\system32\mstinit.exe
2006-10-26 13:34 0 --a------ C:\WINDOWS\system32\mxs.exe
2006-10-26 13:33 831,519 --a------ C:\WINDOWS\system32\mswdat10.dll
2006-10-26 13:33 82,944 --a------ C:\WINDOWS\system32\fldrclnr.dll
2006-10-26 13:33 680,448 --a------ C:\WINDOWS\system32\sxs.dll
2006-10-26 13:33 614,429 --a------ C:\WINDOWS\system32\mswstr10.dll
2006-10-26 13:33 593,408 --a------ C:\WINDOWS\system32\h323msp.dll
2006-10-26 13:33 552,989 --a------ C:\WINDOWS\system32\msrepl40.dll
2006-10-26 13:33 552,448 --a------ C:\WINDOWS\system32\rtcdll.dll
2006-10-26 13:33 53,279 --a------ C:\WINDOWS\system32\msjter40.dll
2006-10-26 13:33 512,029 --a------ C:\WINDOWS\system32\msexch40.dll
2006-10-26 13:33 441,344 --a------ C:\WINDOWS\system32\ipnathlp.dll
2006-10-26 13:33 421,919 --a------ C:\WINDOWS\system32\msrd2x40.dll
2006-10-26 13:33 380,957 --a------ C:\WINDOWS\system32\expsrv.dll
2006-10-26 13:33 36,864 --a------ C:\WINDOWS\system32\mf3216.dll
2006-10-26 13:33 358,976 --a------ C:\WINDOWS\system32\msjetoledb40.dll
2006-10-26 13:33 348,189 --a------ C:\WINDOWS\system32\msxbde40.dll
2006-10-26 13:33 348,189 --a------ C:\WINDOWS\system32\mspbde40.dll
2006-10-26 13:33 319,517 --a------ C:\WINDOWS\system32\msexcl40.dll
2006-10-26 13:33 315,423 --a------ C:\WINDOWS\system32\msrd3x40.dll
2006-10-26 13:33 30,749 --a------ C:\WINDOWS\system32\vbajet32.dll
2006-10-26 13:33 258,077 --a------ C:\WINDOWS\system32\mstext40.dll
2006-10-26 13:33 241,693 --a------ C:\WINDOWS\system32\msjtes40.dll
2006-10-26 13:33 213,023 --a------ C:\WINDOWS\system32\msltus40.dll
2006-10-26 13:33 184,349 --a------ C:\WINDOWS\system32\msjint40.dll
2006-10-26 13:33 123,392 --a------ C:\WINDOWS\system32\itss.dll
2006-10-26 13:33 1,507,356 --a------ C:\WINDOWS\system32\msjet40.dll
2006-10-26 13:32 977,920 --a------ C:\WINDOWS\system32\msdtctm.dll
2006-10-26 13:32 97,280 --a------ C:\WINDOWS\system32\txflog.dll
2006-10-26 13:32 82,432 --a------ C:\WINDOWS\system32\mtxoci.dll
2006-10-26 13:32 64,512 --a------ C:\WINDOWS\system32\mtxclu.dll
2006-10-26 13:32 64,512 --a------ C:\WINDOWS\system32\colbact.dll
2006-10-26 13:32 594,944 --a------ C:\WINDOWS\system32\catsrvut.dll
2006-10-26 13:32 535,552 --a------ C:\WINDOWS\system32\rpcrt4.dll
2006-10-26 13:32 499,712 --a------ C:\WINDOWS\system32\clbcatq.dll
2006-10-26 13:32 499,200 --a------ C:\WINDOWS\system32\comuid.dll
2006-10-26 13:32 367,616 --a------ C:\WINDOWS\system32\msdtcprx.dll
2006-10-26 13:32 32,256 --a------ C:\WINDOWS\system32\msgsvc.dll
2006-10-26 13:32 263,680 --a------ C:\WINDOWS\system32\rpcss.dll
2006-10-26 13:32 226,816 --a------ C:\WINDOWS\system32\es.dll
2006-10-26 13:32 225,280 --a------ C:\WINDOWS\system32\catsrv.dll
2006-10-26 13:32 150,528 --a------ C:\WINDOWS\system32\msdtcuiu.dll
2006-10-26 13:32 110,080 --a------ C:\WINDOWS\system32\clbcatex.dll
2006-10-26 13:32 1,194,496 --a------ C:\WINDOWS\system32\comsvcs.dll
2006-10-26 13:32 1,183,744 --a------ C:\WINDOWS\system32\ole32.dll
2006-10-26 13:31 74,240 --a------ C:\WINDOWS\system32\locator.exe
2006-10-26 13:31 73,728 --a------ C:\WINDOWS\system32\magnify.exe
2006-10-26 13:31 58,368 --a------ C:\WINDOWS\system32\narrator.exe
2006-10-26 13:31 551,424 --a------ C:\WINDOWS\system32\crypt32.dll
2006-10-26 13:31 53,760 --a------ C:\WINDOWS\system32\cryptsvc.dll
2006-10-26 13:31 37,888 --a------ C:\WINDOWS\system32\hhsetup.dll
2006-10-26 13:31 319,488 --a------ C:\WINDOWS\system32\zipfldr.dll
2006-10-26 13:31 241,152 --a------ C:\WINDOWS\system32\newdev.dll
2006-10-26 13:31 229,376 --a------ C:\WINDOWS\system32\srrstr.dll
2006-10-26 13:31 219,136 --a------ C:\WINDOWS\system32\osk.exe
2006-10-26 13:31 16,384 --a------ C:\WINDOWS\hh.exe
2006-10-26 13:31 126,464 --a------ C:\WINDOWS\system32\shmedia.dll
2006-10-26 13:30 31,744 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2006-10-26 13:30 208,896 --a------ C:\WINDOWS\system32\wmpns.dll
2006-10-26 13:24 997,888 --a------ C:\WINDOWS\system32\wmvdmoe2.dll
2006-10-26 13:24 892,416 --a------ C:\WINDOWS\system32\wmspdmoe.dll
2006-10-26 13:24 52,224 --a------ C:\WINDOWS\system32\mspmsnsv.dll
2006-10-26 13:24 486,536 --a------ C:\WINDOWS\system32\wmspdmod.dll
2006-10-26 13:24 384,512 --a------ C:\WINDOWS\system32\mp4sdmod.dll
2006-10-26 13:24 316,040 --a------ C:\WINDOWS\system32\mp43dmod.dll
2006-10-26 13:24 225,280 --a------ C:\WINDOWS\system32\wmpdxm.dll
2006-10-26 13:24 167,936 --a------ C:\WINDOWS\system32\wmerror.dll
2006-10-26 13:24 143,360 --a------ C:\WINDOWS\system32\wmidx.dll
2006-10-26 13:24 106,496 --a------ C:\WINDOWS\system32\wmpasf.dll
2006-10-26 13:24 1,111,040 --a------ C:\WINDOWS\system32\wmsdmoe2.dll
2006-10-26 13:23 98,816 --a------ C:\WINDOWS\system32\dmstyle.dll
2006-10-26 13:23 946,176 --a------ C:\WINDOWS\system32\dxdiag.exe
2006-10-26 13:23 86,528 --a------ C:\WINDOWS\system32\dpvsetup.exe
2006-10-26 13:23 83,968 --a------ C:\WINDOWS\system32\drivers\nabtsfec.sys
2006-10-26 13:23 8,192 --a------ C:\WINDOWS\system32\d3d8thk.dll
2006-10-26 13:23 797,184 --a------ C:\WINDOWS\system32\d3dim700.dll
2006-10-26 13:23 77,824 --a------ C:\WINDOWS\system32\dpmodemx.dll
2006-10-26 13:23 76,800 --a------ C:\WINDOWS\system32\dpwsockx.dll
2006-10-26 13:23 76,800 --a------ C:\WINDOWS\system32\dmscript.dll
2006-10-26 13:23 733,184 --a------ C:\WINDOWS\system32\qedwipes.dll
2006-10-26 13:23 723,968 --a------ C:\WINDOWS\system32\dpnet.dll
2006-10-26 13:23 7,424 --a------ C:\WINDOWS\system32\drivers\mskssrv.sys
2006-10-26 13:23 68,096 --a------ C:\WINDOWS\system32\dpnhupnp.dll
2006-10-26 13:23 667,648 --a------ C:\WINDOWS\system32\dinput8.dll
2006-10-26 13:23 648,704 --a------ C:\WINDOWS\system32\dinput.dll
2006-10-26 13:23 64,512 --a------ C:\WINDOWS\system32\amstream.dll
2006-10-26 13:23 602,624 --a------ C:\WINDOWS\system32\dx7vb.dll
2006-10-26 13:23 590,336 --a------ C:\WINDOWS\system32\d3dramp.dll
2006-10-26 13:23 58,368 --a------ C:\WINDOWS\system32\dmcompos.dll
2006-10-26 13:23 52,096 --a------ C:\WINDOWS\system32\drivers\msdv.sys
2006-10-26 13:23 50,176 --a------ C:\WINDOWS\system32\dxdllreg.exe
2006-10-26 13:23 5,504 --a------ C:\WINDOWS\system32\drivers\mstee.sys
2006-10-26 13:23 5,248 --a------ C:\WINDOWS\system32\drivers\mspclock.sys
2006-10-26 13:23 491,520 --a------ C:\WINDOWS\system32\dsdmoprp.dll
2006-10-26 13:23 47,616 --a------ C:\WINDOWS\system32\d3dxof.dll
2006-10-26 13:23 47,104 --a------ C:\WINDOWS\system32\wstdecod.dll
2006-10-26 13:23 467,968 --a------ C:\WINDOWS\system32\diactfrm.dll
2006-10-26 13:23 45,696 --a------ C:\WINDOWS\system32\drivers\stream.sys
2006-10-26 13:23 45,056 --a------ C:\WINDOWS\system32\wnaspi32.dll
2006-10-26 13:23 449,024 --a------ C:\WINDOWS\system32\qdvd.dll
2006-10-26 13:23 44,032 --a------ C:\WINDOWS\system32\dimap.dll
2006-10-26 13:23 436,224 --a------ C:\WINDOWS\system32\d3dim.dll
2006-10-26 13:23 4,608 --a------ C:\WINDOWS\system32\drivers\mspqm.sys
2006-10-26 13:23 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2006-10-26 13:23 4,096 --a------ C:\WINDOWS\system32\drivers\swenum.sys
2006-10-26 13:23 381,952 --a------ C:\WINDOWS\system32\dpvoice.dll
2006-10-26 13:23 355,328 --a------ C:\WINDOWS\system32\dsound.dll
2006-10-26 13:23 354,816 --a------ C:\WINDOWS\system32\psisdecd.dll
2006-10-26 13:23 350,208 --a------ C:\WINDOWS\system32\d3drm.dll
2006-10-26 13:23 34,816 --a------ C:\WINDOWS\system32\d3dpmesh.dll
2006-10-26 13:23 34,304 --a------ C:\WINDOWS\system32\mciqtz32.dll
2006-10-26 13:23 33,792 --a------ C:\WINDOWS\system32\dplaysvr.exe
2006-10-26 13:23 33,280 --a------ C:\WINDOWS\system32\dmloader.dll
2006-10-26 13:23 324,096 --a------ C:\WINDOWS\system32\mswebdvd.dll
2006-10-26 13:23 32,768 --a------ C:\WINDOWS\system32\dpnhpast.dll
2006-10-26 13:23 311,808 --a------ C:\WINDOWS\system32\qdv.dll
2006-10-26 13:23 31,744 --a------ C:\WINDOWS\system32\pid.dll
2006-10-26 13:23 3,072 --a------ C:\WINDOWS\system32\dpnlobby.dll
2006-10-26 13:23 3,072 --a------ C:\WINDOWS\system32\dpnaddr.dll
2006-10-26 13:23 284,160 --a------ C:\WINDOWS\system32\ddraw.dll
2006-10-26 13:23 27,136 --a------ C:\WINDOWS\system32\dmband.dll
2006-10-26 13:23 257,024 --a------ C:\WINDOWS\system32\qcap.dll
2006-10-26 13:23 25,244 --a------ C:\WINDOWS\system32\drivers\aspi32.sys
2006-10-26 13:23 24,064 --a------ C:\WINDOWS\system32\ddrawex.dll
2006-10-26 13:23 223,232 --a------ C:\WINDOWS\system32\gcdef.dll
2006-10-26 13:23 22,528 --a------ C:\WINDOWS\system32\dpnsvr.exe
2006-10-26 13:23 217,600 --a------ C:\WINDOWS\system32\dplayx.dll
2006-10-26 13:23 19,968 --a------ C:\WINDOWS\system32\dpvacm.dll
2006-10-26 13:23 186,880 --a------ C:\WINDOWS\system32\dsdmo.dll
2006-10-26 13:23 18,944 --a------ C:\WINDOWS\system32\encapi.dll
2006-10-26 13:23 18,688 --a------ C:\WINDOWS\system32\drivers\wstcodec.sys
2006-10-26 13:23 18,432 --a------ C:\WINDOWS\system32\dswave.dll
2006-10-26 13:23 173,056 --a------ C:\WINDOWS\system32\qasf.dll
2006-10-26 13:23 171,520 --a------ C:\WINDOWS\system32\dmime.dll
2006-10-26 13:23 16,896 --a------ C:\WINDOWS\system32\msyuv.dll
2006-10-26 13:23 16,384 --a------ C:\WINDOWS\system32\drivers\ccdecode.sys
2006-10-26 13:23 15,104 --a------ C:\WINDOWS\system32\drivers\mpe.sys
2006-10-26 13:23 14,976 --a------ C:\WINDOWS\system32\drivers\streamip.sys
2006-10-26 13:23 132,608 --a------ C:\WINDOWS\system32\devenum.dll
2006-10-26 13:23 130,304 --a------ C:\WINDOWS\system32\drivers\ks.sys
2006-10-26 13:23 13,312 --a------ C:\WINDOWS\system32\msdmo.dll
2006-10-26 13:23 116,736 --a------ C:\WINDOWS\system32\dmusic.dll
2006-10-26 13:23 112,128 --a------ C:\WINDOWS\system32\mapi32.dll
2006-10-26 13:23 112,128 --a------ C:\WINDOWS\system32\dpvvox.dll
2006-10-26 13:23 11,392 --a------ C:\WINDOWS\system32\drivers\bdasup.sys
2006-10-26 13:23 100,864 --a------ C:\WINDOWS\system32\dmsynth.dll
2006-10-26 13:23 10,880 --a------ C:\WINDOWS\system32\drivers\slip.sys
2006-10-26 13:23 10,496 --a------ C:\WINDOWS\system32\drivers\dxapi.sys
2006-10-26 13:23 10,112 --a------ C:\WINDOWS\system32\drivers\ndisip.sys
2006-10-26 13:23 1,962,496 --a------ C:\WINDOWS\system32\quartz.dll
2006-10-26 13:23 1,798,144 --a------ C:\WINDOWS\system32\qedit.dll
2006-10-26 13:23 1,675,264 --a------ C:\WINDOWS\system32\dxdiagn.dll
2006-10-26 13:23 1,634,304 --a------ C:\WINDOWS\system32\d3d9.dll
2006-10-26 13:23 1,294,336 --a------ C:\WINDOWS\system32\dsound3d.dll
2006-10-26 13:23 1,230,336 --a------ C:\WINDOWS\system32\msvidctl.dll
2006-10-26 13:23 1,189,888 --a------ C:\WINDOWS\system32\dx8vb.dll
2006-10-26 13:23 1,177,600 --a------ C:\WINDOWS\system32\d3d8.dll
2006-10-26 13:22 139,264 --ah----- C:\WINDOWS\system32\aaps.exe
2006-10-26 13:21 81,920 --a------ C:\WINDOWS\system32\isign32.dll
2006-10-26 13:21 73,728 --a------ C:\WINDOWS\system32\ils.dll
2006-10-26 13:21 72,192 --a------ C:\WINDOWS\system32\acctres.dll
2006-10-26 13:21 69,632 --a------ C:\WINDOWS\system32\icwdial.dll
2006-10-26 13:21 69,376 --a------ C:\WINDOWS\system32\drivers\sr.sys
2006-10-26 13:21 65,536 --a------ C:\WINDOWS\system32\msconf.dll
2006-10-26 13:21 63,488 --a------ C:\WINDOWS\system32\srclient.dll
2006-10-26 13:21 61,440 --a------ C:\WINDOWS\system32\icwphbk.dll
2006-10-26 13:21 40,960 --a------ C:\WINDOWS\system32\safrslv.dll
2006-10-26 13:21 40,960 --a------ C:\WINDOWS\system32\mnmsrvc.exe
2006-10-26 13:21 39,424 --a------ C:\WINDOWS\system32\safrcdlg.dll
2006-10-26 13:21 360,960 --a------ C:\WINDOWS\system32\qmgr.dll
2006-10-26 13:21 33,792 --a------ C:\WINDOWS\system32\racpldlg.dll
2006-10-26 13:21 32,256 --a------ C:\WINDOWS\system32\mnmdd.dll
2006-10-26 13:21 28,672 --a------ C:\WINDOWS\system32\isrdbg32.dll
2006-10-26 13:21 274,432 --a------ C:\WINDOWS\system32\inetcfg.dll
2006-10-26 13:21 26,624 --a------ C:\WINDOWS\system32\safrdm.dll
2006-10-26 13:21 24,576 --a------ C:\WINDOWS\system32\nmmkcert.dll
2006-10-26 13:21 16,384 --a------ C:\WINDOWS\system32\icfgnt5.dll
2006-10-26 13:21 159,232 --a------ C:\WINDOWS\system32\srsvc.dll
2006-10-26 13:21 12,288 --a------ C:\WINDOWS\system32\nmevtmsg.dll
2006-10-26 13:21 11,264 --a------ C:\WINDOWS\system32\atrace.dll
2006-10-26 13:20 9,728 --a------ C:\WINDOWS\system32\xolehlp.dll
2006-10-26 13:20 9,216 --a------ C:\WINDOWS\system32\wuauserv.dll
2006-10-26 13:20 9,216 --a------ C:\WINDOWS\system32\icaapi.dll
2006-10-26 13:20 88,576 --a------ C:\WINDOWS\system32\tscfgwmi.dll
2006-10-26 13:20 86,528 --a------ C:\WINDOWS\system32\charmap.exe
2006-10-26 13:20 85,504 --a------ C:\WINDOWS\system32\catsrvps.dll
2006-10-26 13:20 82,432 --a------ C:\WINDOWS\system32\comrepl.dll
2006-10-26 13:20 75,912 --a------ C:\WINDOWS\system32\rdpwsx.dll
2006-10-26 13:20 73,216 --a------ C:\WINDOWS\system32\avwav.dll
2006-10-26 13:20 67,584 --a------ C:\WINDOWS\system32\rdshost.exe
2006-10-26 13:20 634,880 --a------ C:\WINDOWS\system32\getuname.dll
2006-10-26 13:20 598,016 --a------ C:\WINDOWS\system32\mstscax.dll
2006-10-26 13:20 57,856 --a------ C:\WINDOWS\system32\remotepg.dll
2006-10-26 13:20 54,784 --a------ C:\WINDOWS\system32\msdtclog.dll
2006-10-26 13:20 54,272 --a------ C:\WINDOWS\system32\stclient.dll
2006-10-26 13:20 53,248 --a------ C:\WINDOWS\system32\servdeps.dll
2006-10-26 13:20 497,152 --a------ C:\WINDOWS\system32\hypertrm.dll
2006-10-26 13:20 49,664 --a------ C:\WINDOWS\system32\rdpclip.exe
2006-10-26 13:20 46,592 --a------ C:\WINDOWS\system32\tscupgrd.exe
2006-10-26 13:20 44,544 --a------ C:\WINDOWS\system32\hticons.dll
2006-10-26 13:20 4,608 --a------ C:\WINDOWS\system32\rdpcfgex.dll
2006-10-26 13:20 4,096 --a------ C:\WINDOWS\system32\mtxex.dll
2006-10-26 13:20 398,848 --a------ C:\WINDOWS\system32\mstsc.exe
2006-10-26 13:20 39,424 --a------ C:\WINDOWS\system32\regini.exe
2006-10-26 13:20 33,280 --a------ C:\WINDOWS\system32\cfgbkend.dll
2006-10-26 13:20 28,160 --a------ C:\WINDOWS\system32\qwinsta.exe
2006-10-26 13:20 28,160 --a------ C:\WINDOWS\system32\msg.exe
2006-10-26 13:20 25,600 --a------ C:\WINDOWS\system32\comaddin.dll
2006-10-26 13:20 25,088 --a------ C:\WINDOWS\system32\qprocess.exe
2006-10-26 13:20 25,088 --a------ C:\WINDOWS\system32\mtxlegih.dll
2006-10-26 13:20 232,960 --a------ C:\WINDOWS\system32\avtapi.dll
2006-10-26 13:20 23,040 --a------ C:\WINDOWS\system32\tsshutdn.exe
2006-10-26 13:20 23,040 --a------ C:\WINDOWS\system32\qappsrv.exe
2006-10-26 13:20 22,528 --a------ C:\WINDOWS\system32\tskill.exe
2006-10-26 13:20 22,016 --a------ C:\WINDOWS\system32\rwinsta.exe
2006-10-26 13:20 21,504 --a------ C:\WINDOWS\system32\logoff.exe
2006-10-26 13:20 202,752 --a------ C:\WINDOWS\system32\termsrv.dll
2006-10-26 13:20 20,992 --a------ C:\WINDOWS\system32\tscon.exe
2006-10-26 13:20 20,992 --a------ C:\WINDOWS\system32\shadow.exe
2006-10-26 13:20 20,480 --a------ C:\WINDOWS\system32\tsdiscon.exe
2006-10-26 13:20 20,480 --a------ C:\WINDOWS\system32\mtxdm.dll
2006-10-26 13:20 20,232 --a------ C:\WINDOWS\system32\drivers\tdtcp.sys
2006-10-26 13:20 190,464 --a------ C:\WINDOWS\system32\wuaueng.dll
2006-10-26 13:20 180,736 --a------ C:\WINDOWS\system32\cmprops.dll
2006-10-26 13:20 17,920 --a------ C:\WINDOWS\system32\rdsaddin.exe
2006-10-26 13:20 16,896 --a------ C:\WINDOWS\system32\mmfutil.dll
2006-10-26 13:20 16,384 --a------ C:\WINDOWS\system32\avmeter.dll
2006-10-26 13:20 15,872 --a------ C:\WINDOWS\system32\reset.exe
2006-10-26 13:20 15,872 --a------ C:\WINDOWS\system32\cdmodem.dll
2006-10-26 13:20 148,480 --a------ C:\WINDOWS\system32\wuauclt.exe
2006-10-26 13:20 147,456 --a------ C:\WINDOWS\system32\comsnap.dll
2006-10-26 13:20 144,896 --a------ C:\WINDOWS\system32\sndvol32.exe
2006-10-26 13:20 14,848 --a------ C:\WINDOWS\system32\rdpsnd.dll
2006-10-26 13:20 136,192 --a------ C:\WINDOWS\system32\sessmgr.exe
2006-10-26 13:20 135,680 --a------ C:\WINDOWS\system32\rdchost.dll
2006-10-26 13:20 131,584 --a------ C:\WINDOWS\system32\sndrec32.exe
2006-10-26 13:20 123,904 --a------ C:\WINDOWS\system32\mplay32.exe
2006-10-26 13:20 120,832 --a------ C:\WINDOWS\system32\calc.exe
2006-10-26 13:20 115,976 --a------ C:\WINDOWS\system32\drivers\rdpwd.sys
2006-10-26 13:20 11,776 --a------ C:\WINDOWS\system32\msdtc.exe
2006-10-26 13:20 11,264 --a------ C:\WINDOWS\system32\write.exe
2006-10-26 13:20 11,144 --a------ C:\WINDOWS\system32\drivers\tdpipe.sys
2006-10-26 13:20 105,984 --a------ C:\WINDOWS\system32\clipbrd.exe
2006-10-26 13:20 10,752 --a------ C:\WINDOWS\system32\dcomcnfg.exe
2006-10-26 13:20 1,263 --a------ C:\WINDOWS\system32\usrlogon.cmd
2006-10-26 13:19 57,856 --a------ C:\WINDOWS\system32\licwmi.dll
2006-10-26 13:19 38,024 --a------ C:\WINDOWS\system32\drivers\termdd.sys
2006-10-26 13:19 182,400 --a------ C:\WINDOWS\system32\drivers\rdpdr.sys
2006-10-26 12:57 94,208 --a------ C:\WINDOWS\SOUNDMAN.EXE
2006-10-26 12:57 9,716,736 --a------ C:\WINDOWS\RTLCPL.EXE
2006-10-26 12:57 77,824 --a------ C:\WINDOWS\ALCMTR.EXE
2006-10-26 12:57 372,736 --a------ C:\WINDOWS\RtlUpd.exe
2006-10-26 12:57 2,814,976 --a------ C:\WINDOWS\ALCWZRD.EXE
2006-10-26 12:57 2,164,224 --a------ C:\WINDOWS\MicCal.exe
2006-10-26 12:57 16,149,504 --a------ C:\WINDOWS\RTHDCPL.EXE
2006-10-26 11:59 0 -rahs---- C:\MSDOS.SYS
2006-10-26 11:59 0 -rahs---- C:\IO.SYS
2006-10-26 11:59 0 --a------ C:\CONFIG.SYS
2006-10-26 11:59 0 --a------ C:\AUTOEXEC.BAT

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-10-29 23:21 -------- d-------- C:\Program Files\Mozilla Firefox
2006-10-29 21:56 -------- d-------- C:\Program Files\VideoLAN
2006-10-29 21:56 -------- d-------- C:\Documents and Settings\Administrateur.MACHINEXP\Application Data\vlc
2006-10-28 23:18 -------- d-------- C:\Program Files\Outlook Express
2006-10-28 23:00 -------- d-------- C:\Program Files\Windows Media Player
2006-10-28 23:00 -------- d-------- C:\Program Files\Services en ligne
2006-10-28 13:44 -------- d-------- C:\Program Files\Sunbelt Software
2006-10-28 13:44 -------- d-------- C:\Program Files\Java
2006-10-28 13:39 -------- d-------- C:\Program Files\iTunes
2006-10-28 12:24 -------- d-------- C:\Program Files\QuickTime
2006-10-28 11:12 -------- d-------- C:\Program Files\iPod
2006-10-28 11:12 -------- d-------- C:\Documents and Settings\Administrateur.MACHINEXP\Application Data\Apple Computer
2006-10-28 10:36 -------- d-------- C:\Program Files\Labtec
2006-10-27 23:09 -------- d-------- C:\Program Files\WinAntiVirus Pro 2006
2006-10-27 23:05 -------- d-------- C:\Documents and Settings\Administrateur.MACHINEXP\Application Data\WinAntiVirus Pro 2006
2006-10-27 23:04 -------- d-------- C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006
2006-10-27 23:04 -------- d-------- C:\Program Files\Fichiers communs
2006-10-27 23:04 -------- d-------- C:\Program Files\CCleaner
2006-10-27 10:50 -------- d-------- C:\Program Files\Webroot
2006-10-27 10:17 -------- d-------- C:\Documents and Settings\Administrateur.MACHINEXP\Application Data\Macromedia
2006-10-27 10:16 -------- d---s---- C:\Documents and Settings\Administrateur.MACHINEXP\Application Data\Microsoft
2006-10-27 10:16 -------- d-------- C:\Program Files\MSN Messenger
2006-10-27 09:54 -------- d-------- C:\Program Files\VSToolbar
2006-10-27 09:49 -------- d-------- C:\Documents and Settings\Administrateur.MACHINEXP\Application Data\Lavasoft
2006-10-26 14:22 -------- d-------- C:\Program Files\Common Files
2006-10-26 14:17 -------- d-------- C:\Program Files\Neuf
2006-10-26 14:16 62 --ahs---- C:\Documents and Settings\Administrateur.MACHINEXP\Application Data\desktop.ini
2006-10-26 14:15 -------- d-------- C:\Documents and Settings\Administrateur.MACHINEXP\Application Data\Mozilla
2006-10-26 14:07 -------- d-------- C:\Program Files\VIA
2006-10-26 13:47 -------- d--h----- C:\Program Files\WindowsUpdate
2006-10-26 13:46 -------- d-------- C:\Program Files\msn gaming zone
2006-10-26 13:39 -------- d-------- C:\Documents and Settings\Administrateur.MACHINEXP\Application Data\Identities
2006-10-26 13:35 -------- d-------- C:\Program Files\Internet Explorer
2006-10-26 13:34 -------- d-------- C:\Program Files\Fichiers communs\System
2006-10-26 13:33 -------- d-------- C:\Program Files\NetMeeting
2006-10-26 13:26 -------- d-------- C:\Program Files\Movie Maker
2006-10-26 13:26 -------- d-------- C:\Program Files\K-Lite Codec Pack
2006-10-26 13:25 -------- d-------- C:\Program Files\WinRAR
2006-10-26 12:57 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-10-26 12:57 -------- d-------- C:\Program Files\Realtek
2006-10-26 12:56 -------- d-------- C:\Program Files\Fichiers communs\InstallShield
2006-10-26 12:53 -------- d-------- C:\Program Files\Fichiers communs\SpeechEngines
2006-10-26 12:53 -------- d-------- C:\Program Files\Fichiers communs\ODBC
2006-10-26 12:52 -------- d-------- C:\Program Files\ATI Technologies
2006-10-26 12:10 -------- d-------- C:\Program Files\Fichiers communs\Microsoft Shared
2006-10-26 12:09 -------- d--h----- C:\Program Files\Uninstall Information
2006-10-26 12:01 -------- d-------- C:\Program Files\xerox
2006-10-26 12:01 -------- d-------- C:\Program Files\Windows NT
2006-10-26 12:01 -------- d-------- C:\Program Files\microsoft frontpage
2006-10-26 12:01 -------- d-------- C:\Program Files\Executive Software
2006-10-26 12:00 -------- d-------- C:\Program Files\Fichiers communs\Java
2006-10-26 11:57 -------- d-------- C:\Program Files\Fichiers communs\Services
2006-10-26 11:57 -------- d-------- C:\Program Files\Fichiers communs\MSSoap
2006-10-26 11:56 -------- d-------- C:\Program Files\ComPlus Applications

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SchedulingAgent"="mstinit.exe /firstlogon"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"LWBKEYBOARD"="C:\\Program Files\\Labtec\\Media Keyboard\\V5.0\\KbdAp32A.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{3A947772-3B29-41DB-A436-4B5CAAECE2F6}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoLowDiskSpaceChecks"=dword:00000001
"NoSharedDocuments"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Client Server Runtime Process]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="csrs"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\csrs.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\defender]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dfndrff_e38"
"hkey"="HKLM"
"command"="C:\\\\dfndrff_e38.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\keyboard]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="kybrdff_e40"
"hkey"="HKLM"
"command"="c:\\\\kybrdff_e40.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kjufaw]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="?hkntfs"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\A?pPatch\\?hkntfs.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Local Security Authority Service]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Isass"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\Isass.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\newname]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwnmff_e40"
"hkey"="HKLM"
"command"="c:\\\\nwnmff_e40.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="raid_tool"
"hkey"="HKLM"
"command"="C:\\Program Files\\VIA\\RAID\\raid_tool.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-29 23:24:18.84
C:\ComboFix.txt ... 06-10-29 23:24

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 29-10-2006 à 23:46:45

je vois que cette merde de winantivirus pro est installée sur ton pc

Mets à jour SmitfraudFix et SpySweeper

Télécharge : Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
FAIS UN CLIC-DROIT sur ce lien : http://perso.numericable.fr/~altsh [...] ftware.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous.." )
afin de télécharger Winsoftware.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU)

En mode sans échec, démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

tu supprimeras également C:\Program Files\VSToolbar (regarde si tu peux pas le désinstaller avant de supprimer le dossier)

ensuite tu lances SmitfraudFix (nettoyage) et Spysweeper

fais scanner es deux fichiers
C:\mc44a42.exe
C:\mc44a41.exe
ici http://virusscan.jotti.org/

Puis remets un rapport HijackThis et le rapport de Spysweeper pour voir où ça en est

Reply

Marsh Posté le 30-10-2006 à 00:21:35

Alors deux problèmes : Virusscan est trop chargé (the server is extremly busy at the moment) et SpySweeper ne veut toujours pas fonctionner.

Rapport HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 00:23, on 30/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
C:\WINDOWS\WFA\command.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Network Monitor\netmon.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Administrateur.MACHINEXP\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Program Files\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs:
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\WFA\command.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 30-10-2006 à 10:58:32

Franchement, malgré toute ton aide, tu penses qu'on s'en sortira ??? Car au pire je réinstalle Windows ...

Et j'arrive pas à reinstaller Java ...

Message édité par bigboss_91 le 30-10-2006 à 12:04:30

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 30-10-2006 à 21:15:43

Salut,

il doit bien y avoir un moyen de s'en sortir... ce qui est étonnant c'est la résistance de ces deux services "Network Monitor" et "Command Service" (dans tes lignes O23)
D'ordinaire, ils sont balayés rapidement avec les manips précédentes.

Essaye comme ceci :

Crée un fichier texte avec le bloc-note, et copie/colle ceci dans le fichier (sauf le mot "citation" ) :

Citation :

@ECHO OFF
sc config cmdService start= disabled
sc stop cmdService
sc delete cmdService

Enregistre le fichier sur le bureau en prenant soins de mettre "tous fichiers" dans "Type" et nomme-le remove.bat
Double-clic sur remove.bat.

supprime le dossier C:\WINDOWS\WFA

vas dans démarrer, clique sur "exécuter", tapes :
services.msc
"ok"
Dans la liste des services, cherche et double-clique sur la ligne :
Network Monitor
vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de
"C:\Program Files\Network Monitor\netmon.exe "
dans "Type de démarrage",
clique sur "désactiver" et règle-le sur "arrêté"
"Appliquer"/"ok"

et tu supprimes le dossier C:\Program Files\Network Monitor

en dehors de ça, le log serait ok. Redémarre et vérifie qu'ils ne sont pas de retour tous les deux.

Reply

Marsh Posté le 31-10-2006 à 00:30:20

Alors normalement c'est bon, ils sont plus là.
Voici le log d'Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 00:30, on 31/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
c:\program files\internet explorer\iexplore.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Administrateur.MACHINEXP\Bureau\hijackthis_hijackthis_1.99.1_anglais_17891.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Program Files\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

Par contre, SpySweeper ne fonctionne toujours pas. J'ai toujours une barre de recherche qui apparait dans ma barre de taches, et j'ai un dorle de logiciel "Command" dans Ajout/Suppression de programme.

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 01-11-2006 à 11:15:22

Autre petit problème : je ne peux pas installer Java, il me dit qu'il manque un fichier \bin\java.exe
Et j'ai également pas mal de fichier .exe qui sont apparus dans ma racine C:\, sans oublier les deux progs qui tournent Project1 !

J'ai également réussi à scanner les deux fichiers que tu m'as demandé :

File: mc44a42.exe
Status: INFECTED/MALWARE
MD5 : 04179df88efb41bce985956d197ea7df

AntiVir : Found W32/Virut.A
ArcaVir : Found Trojan.Downloader.Adload.Fu
Avast : Found Win32:Virut-B
AVG Antivirus : Found Win32/Virut.A
BitDefender : Found Trojan.Downloader.Adload.FJ
ClamAV : Found Trojan.Downloader.Adload-110
Dr.Web : Found Adware.DollarRevenue
F-Prot Antivirus : Found W32/Splendor.4960
Fortinet : Found W32/Virut.fam
Kaspersky Anti-Virus : Found Virus.Win32.Virut.a
NOD32 : Found Win32/Virut.5127
Norman Virus Control : Found W32/Virut.A
VirusBuster : Found Win32.Virut.A
VBA32 : Found Virus.Win32.Virut.A

File : mc44a41.exe
Status : INFECTED/MALWARE
MD5: 3835e854bd2cd9a1da09073e06b791cb

AntiVir : Found W32/Virut.A
ArcaVir : Found Trojan.Downloader.Adload.Fu
Avast : Found Win32:Virut-B
AVG Antivirus : Found Win32/Virut.A
BitDefender : Found Trojan.Downloader.Adload.FJ
ClamAV : Found Trojan.Downloader.Adload-110
Dr.Web : Found Adware.DollarRevenue
F-Prot Antivirus : Found W32/Splendor.4960
Fortinet : Found W32/Virut.fam
Kaspersky Anti-Virus : Found Virus.Win32.Virut.a
NOD32 : Found nothing
Norman Virus Control : Found W32/Virut.A
VirusBuster : Found Win32.Virut.A
VBA32 : Found Virus.Win32.Virut.A

Message édité par bigboss_91 le 01-11-2006 à 11:34:00

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 01-11-2006 à 12:59:03

Salut,

virut.a, c'est pas celui qui infecte les fichiers .exe ? cela pourrait expliquer tes pbs avec java et spysweeper...

Démarre en mode sans échec avec prise en charge réseau. Si tu n'arives pas à ionstaller les deux programmes ci dessous en mode sans échec, fais le en mode normal, mais évite de trop trainer dans ce mode.

supprime évidemment ces deux fichiers
C:\mc44a42.exe
C:\mc44a41.exe

Télécharge AVG Anti-Spyware http://www.ewido.net/en/download/ et l'installe-le.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

--------------

Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit" ).

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec (normalement tu dois déjà y être) :

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option[/B] : [B]Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes" ), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Message édité par eZula le 01-11-2006 à 12:59:46

Reply

Marsh Posté le 02-11-2006 à 01:23:33

EUh alors j'ai une bonne et une mauvaise nouvelle ...
En fait, ce midi, j'ai installé Avast ... et au redémarage ben il m'a tout scanné ... et je lui es dit supprimer tout es fichiers infectés (et y'en avait un paquet) ... Sauf que ben mon pc démarrait plus, donc j'ai refait une installation d'XP toute propre ... donc la bonne nouvelle c'est que tout est ok, la mauvaise, c'est qu'on s'est pris, et surtout toi, la tête pendant 3-4 jours pour rien ...
Désolé mais un grand merci tout de même !

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 02-11-2006 à 17:37:34

hé ben tu as bien fait, sans quoi on se serait emmerdé la vie encore pas mal de temps sans aucune garantie

parfois, la réinstall c'est beaucoup plus simple

à+

Message cité 1 fois

Reply

Marsh Posté le 02-11-2006 à 18:50:35

bonjours tout le monde, ya t il un expert qui peut me filer un coup de main ...

Logfile of HijackThis v1.99.1
Scan saved at 22:59:06, on 01/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\System32\vssvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ICO.EXE
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\eoRezo\EoEngine.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\CASIO\Photo Loader\Plauto.exe
C:\Program Files\Sony\VAIO Launcher\Launcher.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\T\Bureau\vundocheck.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [NI.UERSV_0001_N68M0602] "C:\Documents and Settings\T\Local Settings\Temporary Internet Files\Content.IE5\982FOIKV\ErrorSafeScannerInstall_fr[1].exe" -nag
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\eoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Athan] C:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\RunOnce: [msnmsg] C:\Program Files\Messenger\msmsg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - Startup: HKServ.exe
O4 - Startup: VAIO Launcher.lnk = C:\Program Files\Sony\VAIO Launcher\Launcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O4 - Global Startup: Status Monitor.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Supervision de Photo Loader.lnk = C:\Program Files\CASIO\Photo Loader\Plauto.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/fr/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micros [...] 2166687562
O17 - HKLM\System\CCS\Services\Tcpip\..\{266A1FC9-6CDF-434E-90EF-55C4534A5790}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{266A1FC9-6CDF-434E-90EF-55C4534A5790}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{266A1FC9-6CDF-434E-90EF-55C4534A5790}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

pour moi c est du chinois

---------------
merci beau coup

Reply

Marsh Posté le 03-11-2006 à 01:10:14

eZula a écrit :

hé ben tu as bien fait, sans quoi on se serait emmerdé la vie encore pas mal de temps sans aucune garantie

parfois, la réinstall c'est beaucoup plus simple

à+

Je te remerci encorer une fois pour tout !!! Heuresement que des personnes sont là parfois, ça aide les néophites ... Mais comment sais-tu tout ça ???

---------------
* Jeu du moment : AC Unity / Mes jeux passés ... *

Reply

Marsh Posté le 03-11-2006 à 17:32:14

oh tu sais, je ne sais pas grand chose, ce sont juste des automatismes et une technique de recherche

rien de bien savant

à+

Reply

Marsh Posté le

Reply

Publicité qui se lance toute seule ...

Sujets relatifs:

Leave a Replay