Se connecter / S'enregistrer
Votre question

Contaminé par TR/Fraudpack.ajre [résolu]

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Janvier 2010 08:19:55

Bonjour à tous,
Je requiers votre aide aujourd'hui suite à une manipulation d'amateur que j'ai faite récemment. Souhaitant lancer un fichier qu'un ami m'avait envoyé par mail (ledit mail étant vide...), mon pc s'est retrouvé infecté.
Mon firewall Look'n stop m'a demandé si je souhaitais ouvrir l'accès à l'application, ce que j'ai d'abord autorisé, puis interdis lorsque les demandes se sont multipliées (j'ai alors retiré les précédentes autorisations bien sûr).
Ayant vite compris ma bourde (j'ai pu admirer des redirections firefox vers des sites que je ne demandais pas), j'ai réalisé un scan avec Avira Antivir Free (qui n'a d'abord rien trouvé mais je pense avoir fait une erreur de manip), puis cet après-midi avec Ad-Aware (qui n'a rien trouvé en 2h de scan) et Spybot (plusieurs occurrences trouvées et corrigées ensuite). Enfin ce soir, j'ai refait un scan Avira Antivir, lequel a trouvé cette fois 4 occurences : TR/Fraudpack.ajre (sur fichier a.exe) ; TR/Spy.gen (sur fichier A0062807.exe) ; TR/Spy.Delf.htk (sur fichier A0062954.exe) ; et TR/Fraudpack.ajrf (sur fichier sshnas.dll).
Suite à ce scan et l'éradication des fichiers infectés, j'ai vidé la Restauration système de Windows au cas où, et passé un coup de Ccleaner.
Pensez-vous qu'il puisse rester des occurences ? J'envoie un rapport Hijack This au cas où.
Merci d'avance de votre aide.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:16:59, on 08/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Documents and Settings\Vincent\hsetdwo.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Program Files\FlashGet\FlashGet.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Wireless LAN Utility\SiSCFG.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Documents and Settings\Vincent\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Vincent\hsetdwo.exe \s
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [Flashget] C:\Program Files\FlashGet\FlashGet.exe /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [csrcrl] C:\WINDOWS\system32\csrcrl.exe \u
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [adobemedia.exe] C:\WINDOWS\system32\adobemedia.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Global Startup: Privoxy.lnk = C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O17 - HKLM\System\CCS\Services\Tcpip\..\{51DD0BEB-BAC7-41CD-9A0B-FF3FA98A0B1A}: NameServer = 212.27.53.252,212.27.54.252
O20 - AppInit_DLLs: C:\WINDOWS\system32\PR19.DLL
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\Program Files\CopyTracker\apache\bin\apache.exe
O23 - Service: Remote Connections Service (FlexService) - Unknown owner - C:\Program Files\RapidBIT\cisvc.exe (file missing)
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MySql - Unknown owner - C:/Program Files/CopyTracker/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe

--
End of file - 11039 bytes

Autres pages sur : contamine fraudpack ajre resolu

8 Janvier 2010 10:12:04

Salut,


cela ne sent pas bon du tout .... plusieurs infections .... :( 


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).



commence par ceci dans l'ordre :


1- Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;)  ) :
http://perso.orange.fr/rginformatique/section%20virus/d...
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

ou de celui-ci > http://www.genproc.com/spybot/spybot.html

En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !

Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .


========================

2- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag)

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


====================


3- Lance de nouveau ZHPDiag ,

!! déconnecte toi et ferme toutes tes applications en cours !!

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...


Contenus similaires
Pas de réponse à votre question ? Demandez !
10 Janvier 2010 02:43:26

Salut,


comence par ceci dans l'ordre :


1- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
http://eric.71.mespages.googlepages.com/ToolBarSD.exe
ou ici http://eric71.geekstogo.com/tools/ToolBarSD.exe

( Tuto : http://toolbarsd.googlepages.com/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe ( navigateurs compris ) !!

* Double clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].

Le nettoyage commence .

! ne touche à rien lors de la suppression !

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )


===================

2- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
ou ici http://chiquitine.changelog.fr/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

10 Janvier 2010 09:58:07

re,



on continue :



1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\


==========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


10 Janvier 2010 11:46:20

bien ....



on continue ... dans l'ordre :



1- Télécharge et installe la dernière version de CCleaner :
ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...

Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.h...


---> Utilisation :
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


==============================

2- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> http://www.cijoint.fr/cj201001/cijJZyR1l6.txt


Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres lorsque tu les copies dans ZHPFix.


* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...


===========================

3- Télécharge Malwarebytes :
ici http://www.commentcamarche.net/telecharger/telecharger-...
ou ici : http://www.malwarebytes.org/mbam.php

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

* Potasse ce tuto pour te familiariser avec le prg :
http://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance 'Malwarebytes' .

Fais un examen dit " RAPIDE " .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


=======================

4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

10 Janvier 2010 12:41:42

re,


il me faut également le rapport de ZHPfix > C:\Program files\ZHPDiag\ZHPFixReport.txt
10 Janvier 2010 13:39:28

re,


fais ceci stp :


1- Télécharge OTM (de Old_Timer) sur ton bureau :

http://oldtimer.geekstogo.com/OTM.exe


Double clique sur "OTM.exe" pour ouvrir le prg .

Puis copie ce qui se trouve en citation ci-dessous,



:Files
C:\WINDOWS\System32\WORK.DAT
C:\WINDOWS\iun6002ev.exe

:Commands
[purity]
[emptytemp]
[Reboot]




et colle le dans le cadre de gauche de OTM (Paste Instructions for items to be moved ).
Ne touche à rien d'autre !

! Déconnecte toi et ferme toutes tes applications en cours ( navigateurs compris ) !

-> clique sur MoveIt! pour lancer le nettoyage .

-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

--> Poste le contenu du rapport qui se trouve dans le dossier " C:\_OTM\<gras>MovedFiles "
( c'est " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


===========================

2- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )


3- Rends toi sur ce site :

http://www.virustotal.com/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\WINDOWS\System32\AFE84050A1.dll

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note .

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


Fais de même pour :

C:\Windows\System32\:41f596b0.zreglib

Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

10 Janvier 2010 14:11:00

bien ....


pas grave pour l'autre fichier .... Dis moi parcontre quel taille il fait stp ...



Dis moi comment va le PC ... du mieux ?


puis fait ceci :


1- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau :
http://www.genproc.com/GenProc.exe

!! ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur "oui" .

-> poste le contenu du rapport qui s'ouvre ...


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport uniquement ! Ne suis pas les éventuelles consignes qu'il mentionne pour le moment ...


========================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis l'option "S" et tape sur [entrée] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ...

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html




10 Janvier 2010 15:18:54

Re,
Donc pour le fichier, il n'y en a aucune trace dans C:\Windows\system32, je ne le vois pas et même en cherchant à l'exécuter via Démarrer/Exécuter, j'obtiens "C:\Windows\system32\:\ n'est pas accessible. Syntaxe de nom du fichier, de répertoire ou de volume incorrecte"

Voilà les rapports que tu me demandes :
Gen Proc : http://www.cijoint.fr/cjlink.php?file=cj201001/cijuriMC...
Ad-Remover : http://www.cijoint.fr/cjlink.php?file=cj201001/cijVP0Bm...

Le PC lui se comporte bien, pas de soucis mais comme tu me l'avais demandé au premier post, je ne l'utilise pas ou peu pendant la durée des réparations (ce qui m'embête un peu vu que je travaille sur un mémoire en ce moment, heureusement sauvegardé, on ne sait jamais). Je n'ai plus de pubs et pas eu d'alertes Avira depuis la première fois.
10 Janvier 2010 17:28:14

bon ...


Citation :
ce qui m'embête un peu vu que je travaille sur un mémoire en ce moment


ecoute, tu peux l'utiliser pour bosser maintenant .... ;) 



fais ceci stp :



1- Ré-utilise OTM ainsi :


Double clique sur "OTM.exe" pour ouvrir le prg .

Puis copie ce qui se trouve en citation ci-dessous,


:Files
C:\DOCUME~1\Vincent\APPLIC~1\Desktopicon



et colle le dans le cadre de gauche de OTM (Paste Instructions for items to be moved ).
Ne touche à rien d'autre !

! Déconnecte toi et ferme toutes tes applications en cours ( navigateurs compris ) !

-> clique sur MoveIt! pour lancer le nettoyage .

-> laisse travailler l'outil ...

( cela devrait être assez rapide )

--> Ferme OTM et poste le contenu du rapport qui se trouve dans le dossier " C:\_OTM\<gras>MovedFiles "
( c'est " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


=============================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


10 Janvier 2010 17:49:09

Ok, pour l'instant, le pc ne montre pas de difficultés, à part quelques lenteurs dans l'affichage des propositions Google par exemple. Mais cela est-il du à un malware ou à mon pc un peu vieillot... ?

Pour OTM, pas de soucis, je te poste directement le rapport :
========== FILES ==========
C:\DOCUME~1\Vincent\APPLIC~1\Desktopicon folder moved successfully.

OTM by OldTimer - Version 3.1.5.0 log created on 01102010_173823

Pour ZHPDiag, c'est là : http://www.cijoint.fr/cjlink.php?file=cj201001/cijhnSqm...
10 Janvier 2010 18:55:06

re,


les lenteurs sont du à un manque de place sur ton DD !


Citation :
dans le rapport ZHPDiag:

System drive C: has 16 GB (15%) free of 103 GB



il faut ramener ce pourcentage à un mini de 20 % d'espace libre .... essaye de faire un peu de place ....






fais ceci pour contrôler quelque chose :


Télécharge gmer sur le bureau et dézippe-le (clic droit et "extraire ici") :
http://www.gmer.net/gmer.zip

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

* Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte.
* Clique sur l'onglet "rootkit", puis clique sur scan.
* A la fin du scan, clique sur le bouton copy.
* Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

> poste le contenu du rapport stp ...

11 Janvier 2010 21:32:06

Re,


fais ceci stp :


Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


[ ! ATTENTION ! ]
!! Ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! ---> Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
[ ! ATTENTION ! ]

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gi...
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.p...
Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix pour analyse ...
11 Janvier 2010 22:25:19

bien ....



reste encore quelques saltées .... la suite dans l'ordre :



1- fait moi parvenir ce rapport stp :

C:\Program files\ZHPDiag\ZHPADSReport.txt



=====================

2- Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


File::
c:\windows\system32\wupd.dat
c:\documents and settings\Vincent\hsetdwo.exe



3- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gi... )

Cette manipulation va relancer combofix .

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


=========================


4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


11 Janvier 2010 23:03:46

Re,
Bon quelques difficultés cette fois-ci.
J'ai d'abord glissé le fichier texte sur ComboFix mais comme tu n'avais pas précisé qu'il fallait le renommer, le programme n'a pas voulu démarrer et s'est coupé en précisant "vous vouliez peut-être lancer CFScript, le nom est peut-être mal tapé" (ou quelque chose dans le genre). J'ai alors relu ce que tu mettais et j'ai compris qu'il fallait que je le renomme en CFScript.txt. Une fois fait, j'ai glissé le fichier. ComboFix a démarré comme la dernière fois, rien de nouveau. Il a redémarré mon PC... mais pas de rapport au final. Précision : j'ai du mal éteindre mon pc suite au scan de Gmer (en dernière phase d'extinction, le PC était bloqué sur Fermeture de Windows depuis un quart d'heure, j'ai donc forcé l'extinction) et au redémarrage après la manip que tu viens de me dire de réaliser via ComboFix, Windows a voulu scanner mon disque dur à la recherche d'erreurs. J'ai annulé ce scan qui risquait de durer une heure environ. Peut-être ai-je mal fait.
Au retour à Windows, pas de rapport affiché donc, juste l'icône de saisie de FlashGet (que je retire d'habitude) ouverte (comme si Flashget avait retrouvé ses paramètres par défaut)...
Dois-je refaire la manip ?
Je t'envoie tout de même le rapport demandé et un nouveau rapport ZHPDiag :
Rapport ZHPADSReport : http://www.cijoint.fr/cjlink.php?file=cj201001/cijjBjGs...
Rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201001/cijb3xXZ...
11 Janvier 2010 23:15:33

re,


poste moi ce rapport stp si présent > C:\Combofix.txt


sinon , redémarre le PC une nouvelle fois pour voir si le nettoyage de Combo n'est pas "en attente" ....
11 Janvier 2010 23:30:19

Ni C:\Combofix.txt ni ComboFix au redémarrage...
Il y a un rapport Combofix dans C:\Combofix\Combofix.txt, c'est la même chose ?
11 Janvier 2010 23:56:22

re,


poste le via Cijoint stp ...

12 Janvier 2010 00:19:52

re,


Combo n'as pas pu finir le job .... fais ceci stp :



Télécharge OTM (de Old_Timer) sur ton bureau :

http://oldtimer.geekstogo.com/OTM.exe


Double clique sur "OTM.exe" pour ouvrir le prg .

Puis copie ce qui se trouve en citation ci-dessous,


:Files
c:\windows\system32\wupd.dat
c:\documents and settings\Vincent\hsetdwo.exe

:Commands
[purity]
[emptytemp]
[Reboot]



et colle le dans le cadre de gauche de OTM (Paste Instructions for items to be moved ).
Ne touche à rien d'autre !

! Déconnecte toi et ferme toutes tes applications en cours ( navigateurs compris ) !

-> clique sur MoveIt! pour lancer le nettoyage .

-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

--> Poste le contenu du rapport qui se trouve dans le dossier " C:\_OTM\<gras>MovedFiles "
( c'est " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

12 Janvier 2010 08:21:26

hello,

Citation :
Bon, cette fois-ci pas de problème


bah il semblerait que Combo est réussit malgré tout la suppression ...




on va contrôler tout de même :


Télécharge OAD ( de !aur3n7) : http://sosvirus.changelog.fr/OAD.exe
--> Enregistre le sur ton bureau .

Double clique sur l'icone OAD pour le lancer

- nom du fichier à rechercher :
--> tape ou fais un copier coller de :

hsetdwo puis tape sur [entrée]

- Type de recherche : sélectionne l' option 6 puis valide ["entrée"]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

-> Sauvegarde ce rapport sur ton bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...


Puis recommence avec :

wupd


j'attends donc les deux rapports obtenus ....

12 Janvier 2010 16:50:31

Re sKe69,
Voilà le copier-coller des résultats :
Pour hsetdwo :
12/01/2010 ---- 16:46:25,35

----------------------------------
§§§§§§ [hsetdwo] §§§§§§
----------------------------------
[X] Registre
[ ] Fichier (rapide)
[ ] Fichier (disque systeme)
[X] Fichier (complete)




********************
[Registre]
********************


[HKEY_USERS\S-1-5-21-814027766-162731947-3914504632-1005\Software\Soft4Ever\looknstop\Applis]
"Appli188"="C:\\DOCUMENTS AND SETTINGS\\VINCENT\\HSETDWO.EXE"

*******************
[Fichier]
*******************

c:\Qoobox\Quarantine\C\Documents and Settings\Vincent\hsetdwo.exe.vir


*********************
[Même date]
*********************

C:\WINDOWS\system32\muzika.xm



----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

Pour wupd :
12/01/2010 ---- 16:47:52,81

----------------------------------
§§§§§§ [wupd] §§§§§§
----------------------------------
[X] Registre
[ ] Fichier (rapide)
[ ] Fichier (disque systeme)
[X] Fichier (complete)




********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1522EC1-F84F-4CE2-A38C-F9384B0DFD41}]
@="DWUpdateService"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1522EC1-F84F-4CE2-A38C-F9384B0DFD41}\ProgID]
@="DWUpdateService.ActivityLog.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FFF2D28F-E4EE-44D9-8104-8E71556757F6}]
@="DWUpdateService"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FFF2D28F-E4EE-44D9-8104-8E71556757F6}\ProgID]
@="DWUpdateService.Agent.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FFF2D28F-E4EE-44D9-8104-8E71556757F6}\VersionIndependentProgID]
@="DWUpdateService.Agent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DWUpdateService.ActivityLog]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DWUpdateService.ActivityLog]
@="DWUpdateService"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DWUpdateService.ActivityLog\CLSID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DWUpdateService.ActivityLog.1]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DWUpdateService.ActivityLog.1]
@="DWUpdateService"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DWUpdateService.ActivityLog.1\CLSID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DWUpdateService.Agent]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DWUpdateService.Agent]
@="DWUpdateService"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DWUpdateService.Agent\CLSID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DWUpdateService.Agent.1]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DWUpdateService.Agent.1]
@="DWUpdateService"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DWUpdateService.Agent.1\CLSID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A681F238-74BB-4807-B940-A80197ECBBE6}\1.0]
@="DWUpdateService 1.0 Type Library"

"Converter12Dependencies"="_j0,Y]s!Soe8MkbIdFwU_j0,Y]s!Sou8MkbIdFwU_j0,Y]s!So*9MkbIdFwUaZO,H*K2`Ee8MkbIdFwUaZO,H*K2`E*9MkbIdFwUZkZVybA21=vZf}yeCcO+rzd.q-~VD=vOF5z}mb=?z1a2vE{`g?X%RhfJlHIRlySyk5%O1?'3fJxSx(9.gWv*l(}Qy=)E%9`j28R)mcXakmLIF@_$@UfCJD}&tW{~$4Q]c@$!(S'xaTO5W`9B.gC4}9LUuAh'TM3fwyNU?jr*t@TaN=m}5&5^~3BP`d=o}=9QY3iSGU8&hM~3`a!v[=4@-_A!x3PXd+F.@w4s2A-P$6ylLUp`KA&ZHW8sx=~aX`m1~ejuUuhPwGjin=q@EwxJlIW9&XBttmLJOA_T*[zW!J@[$sC73Roc}9DXlSLpKHWd)NAUw$@icA@v[dEebl`P,Bb0Y)toB@zo--PIM)d0hdQr-*O-G9sj[rYHYWT]m^*C3Cr5,A=qX7_L,m]`*I%w2MivM@Fo-s^mKF?2R_8a)Mx=E9hn7@7^j?u^3B&83+'o,@PdTB4E8@Xoy9qGo&e%]Al86=i~VF()6Pq_^b6Gf=3@GcBK)TCg*Odv%+I4x8K`?I6O3`LhK~e@)rsQ!@K60[2_oe8xsqyR=tvlD@UEfF6yQvNb5k9]Bbv$i@[^GU)dAxBGNe,zA(ar=@_zhand,D]%L$D@58jY)As}N@m_aa)c'cAcv[-]v?!o2)^!b*Cycd?1^vyT2@?w*Rfp+p_Wx+wMCa'yf?*jZSp5hZel+}}9=a1%?@suF^6e^3'B{7Idip4,&A)gg]7gak@j%9YbWIfIbe?9MkbIdFwU6s?[[,`&)9py0bGg*hPGEgn.Z_T*G(u8MkbIdFwUV0O,HWf2`E*9MkbIdFwUXB0,YS4$So*9MkbIdFwU&vv.ZiM}F(u8MkbIdFwULE0,Y83$So*9MkbIdFwUxp%0Ij`~kV*9MkbIdFwUv$f.Z@}4G(*9MkbIdFwUv$f.Z@}4G(u8MkbIdFwULE0,Y83$Sou8MkbIdFwUPD0,Ya3$Sou8MkbIdFwUTC0,Y*4$Sou8MkbIdFwUXB0,YS4$Sou8MkbIdFwUN2O,Hee2`E*9MkbIdFwUPD0,Ya3$So*9MkbIdFwUR1O,H.f2`E*9MkbIdFwUTC0,Y*4$So*9MkbIdFwU]A0,Yx4$Sou8MkbIdFwUa@0,YF5$So*9MkbIdFwUe?0,Yk5$Sou8MkbIdFwUc,O,Hog2`E*9MkbIdFwU!N0,YT,$Sou8MkbIdFwUe?0,Yk5$So*9MkbIdFwU]A0,Yx4$So*9MkbIdFwUg+O,H9h2`E*9MkbIdFwUUQ^.ZZ_AG(u8MkbIdFwUa@0,YF5$Sou8MkbIdFwU=6U.Z@jJG(u8MkbIdFwU=6U.Z@jJG(*9MkbIdFwUzH^.ZJcAG(u8MkbIdFwU%?O,H~_2`E*9MkbIdFwU_-O,HJg2`E*9MkbIdFwUZ.O,H}f2`E*9MkbIdFwU!N0,YT,$So*9MkbIdFwUUQ^.ZZ_AG(*9MkbIdFwU&vv.ZiM}F(*9MkbIdFwUEgn.Z_T*G(*9MkbIdFwUGW.0I-5tkV*9MkbIdFwU@&q.IjM5lV*9MkbIdFwUzH^.ZJcAG(*9MkbIdFwUWBy.I)C+lV*9MkbIdFwU(g70I8-kkV*9MkbIdFwU}5y.ItF+lV*9MkbIdFwU"

"ProductFiles"="}lT]jI{jf(=1&L[-81-]-f)[G&f(m9.~JnXmO?o[r%}OuYCCTAirI_2)HFoKW`9B.gC4}9LUuAh'TM3f)y*2QwK~y?*q*XkzYTPe+}}9=a1%?@suF^6e^3'B{7Idip4,&A)gg]7gak@j7y)eW8l7_eO9MkbIdFwUpR^pXI`Quoe8MkbIdFwUpR^pXI`Quo*9MkbIdFwUpR^pXI`Quou8MkbIdFwU7y)eW8l7_e?9MkbIdFwU_j0,Y]s!Soe8MkbIdFwU_j0,Y]s!So*9MkbIdFwU_j0,Y]s!Sou8MkbIdFwU%9YbWIfIbe?9MkbIdFwU!M!&ZZc0%ne8MkbIdFwU!M!&ZZc0%n*9MkbIdFwU!M!&ZZc0%nu8MkbIdFwU+SnXWTvLne?9MkbIdFwUiE$[M1%.d'e8MkbIdFwUiE$[M1%.d'*9MkbIdFwUiE$[M1%.d'u8MkbIdFwU86J8lG[%Q5?9MkbIdFwUtW{~$4Q]c@$!(S'xaTO56k}pHLH$SDe8MkbIdFwU6k}pHLH$SD*9MkbIdFwUaZO,H*K2`Ee8MkbIdFwUaZO,H*K2`E*9MkbIdFwU=$k`IN]I8Ce8MkbIdFwU=$k`IN]I8C*9MkbIdFwUfr8_l(m2NDe8MkbIdFwUfr8_l(m2ND*9MkbIdFwU-KFG`)GqZ?Sv'r9v-@TcT`G`1r$!B?6&bR!NEu,B~Zd{VwqyZ8IKYMdm9L~?('@N?^[Ky?Bn([yag}^*HpW.7IIJ2=n~2XVsV$Vxgwg(hUYJj?$!_7HyjiVL3?&oezX[T?B2TzEk.I8HWQNg*N6Y@9QQ~3)bF57Iwg`sIO2g_U*9MkbIdFwUGW.0I-5tkV*9MkbIdFwU-!$bm6SkYU*9MkbIdFwUJXj([g9-t&*9MkbIdFwU&vv.ZiM}F(*9MkbIdFwU8_IsYU6Oi(*9MkbIdFwU1Qk^NBggo9*9MkbIdFwUa0VcJ[C!HT*9MkbIdFwU]vhsIY*^_U*9MkbIdFwU(g70I8-kkV*9MkbIdFwUPw&DZG`(S=$U_oVU~.j(xp%0Ij`~kV*9MkbIdFwUQ%WsI,^p_U*9MkbIdFwUU=EcJ.r6HT*9MkbIdFwU%[Y^Np=zo9*9MkbIdFwU,i4sY(ibi(*9MkbIdFwUv$f.Z@}4G(*9MkbIdFwU?cX([=lDt&*9MkbIdFwU~,namh&!ZU*9MkbIdFwU%[Y^Np=zo9u8MkbIdFwU,i4sY(ibi(u8MkbIdFwUv$f.Z@}4G(u8MkbIdFwU?cX([=lDt&u8MkbIdFwUm8bfV%'XW@gfd'NF~~hhp6GsI,K'`U*9MkbIdFwU1g9cJMTCHT*9MkbIdFwU^sH([=YVt&*9MkbIdFwU8A}pH2e$SD*9MkbIdFwUc,O,Hog2`E*9MkbIdFwUlG8_l7.3ND*9MkbIdFwU)y~%Zi$1%n*9MkbIdFwUe?0,Yk5$So*9MkbIdFwUv!^pXW}Quo*9MkbIdFwUoq![MCF.d'*9MkbIdFwUDTj`I]yI8C*9MkbIdFwU@@}pHZe$SD*9MkbIdFwUg+O,H9h2`E*9MkbIdFwUVOAsYKAXi(*9MkbIdFwU*V8_l{%3ND*9MkbIdFwU@Uj`I4yI8C*9MkbIdFwU^cj`IFqI8C*9MkbIdFwU1-,sY3Oki(u8MkbIdFwUG,!&ZRw0%n*9MkbIdFwUC'Q([HRMt&*9MkbIdFwU^)^pX$zQuou8MkbIdFwUg6,sYGKki(u8MkbIdFwUHlI^Np'2p9u8MkbIdFwU^sH([=YVt&u8MkbIdFwUOy!sY(Vti(u8MkbIdFwU=6U.Z@jJG(u8MkbIdFwU`(R^N0x'p9u8MkbIdFwUTC0,Y*4$Sou8MkbIdFwUx{~%ZQ!1%nu8MkbIdFwUj&^pX@{Quou8MkbIdFwUPD0,Ya3$Sou8MkbIdFwUZv![M5D.d'u8MkbIdFwUt}~%Z(!1%nu8MkbIdFwU}z~%Zv!1%nu8MkbIdFwUp~~%Z_~0%nu8MkbIdFwUVw![MkC.d'u8MkbIdFwUXB0,YS4$Sou8MkbIdFwUct![M'E.d'u8MkbIdFwUf'^pXrzQuou8MkbIdFwU_u![M^D.d'u8MkbIdFwU4B}pHhd$SD*9MkbIdFwUkr![MuE.d'u8MkbIdFwUYN}pHD]$SD*9MkbIdFwU'Zj`I)wI8C*9MkbIdFwUVw![MkC.d'*9MkbIdFwU^)^pX$zQuo*9MkbIdFwU!F}pH'c$SD*9MkbIdFwULE0,Y83$So*9MkbIdFwUN2O,Hee2`E*9MkbIdFwUPD0,Ya3$So*9MkbIdFwU+Yj`IRwI8C*9MkbIdFwUx{~%ZQ!1%n*9MkbIdFwU0Xj`IwwI8C*9MkbIdFwU_u![M^D.d'*9MkbIdFwUR1O,H.f2`E*9MkbIdFwUt}~%Z(!1%n*9MkbIdFwU[K8_lU,3ND*9MkbIdFwUf'^pXrzQuo*9MkbIdFwUTC0,Y*4$So*9MkbIdFwUV0O,HWf2`E*9MkbIdFwUp~~%Z_~0%n*9MkbIdFwUj&^pX@{Quo*9MkbIdFwU'E}pHPc$SD*9MkbIdFwUZv![M5D.d'*9MkbIdFwUXB0,YS4$So*9MkbIdFwUb(^pXMzQuo*9MkbIdFwU+D}pHuc$SD*9MkbIdFwUWL8_l,,3ND*9MkbIdFwU`J8_lz,3ND*9MkbIdFwUUIOsI7Dy_U*9MkbIdFwUl!!&Z6~0%n*9MkbIdFwUu0Q([XNMt&u8MkbIdFwU){Q^Nz{'p9*9MkbIdFwU4Wj`IExI8C*9MkbIdFwU0C}pHCd$SD*9MkbIdFwUb(^pXMzQuou8MkbIdFwULovam+ZtYU*9MkbIdFwUn%^pXe{Quo*9MkbIdFwUgs![MPE.d'*9MkbIdFwU8Vj`IjxI8C*9MkbIdFwUZ.O,H}f2`E*9MkbIdFwUdI8_lH-3ND*9MkbIdFwU}z~%Zv!1%n*9MkbIdFwU]A0,Yx4$So*9MkbIdFwUY^9cJ9XCHT*9MkbIdFwUOBc^N4npo9u8MkbIdFwU%z~%ZD$1%n*9MkbIdFwUVOAsYKAXi(u8MkbIdFwU8_IsYU6Oi(u8MkbIdFwUEgn.Z_T*G(u8MkbIdFwUzH^.ZJcAG(*9MkbIdFwU}5y.ItF+lV*9MkbIdFwUOy!sY(Vti(*9MkbIdFwUHlI^Np'2p9*9MkbIdFwUtN1cJ.`LHT*9MkbIdFwU,ROsIK@y_U*9MkbIdFwUg6,sYGKki(*9MkbIdFwU%?O,H~_2`E*9MkbIdFwUr$^pX.}Quo*9MkbIdFwUJXj([g9-t&u8MkbIdFwUv!^pXW}Quou8MkbIdFwUhH8_lm-3ND*9MkbIdFwU%z~%ZD$1%nu8MkbIdFwU@&q.IjM5lV*9MkbIdFwU]Yfam'e+ZU*9MkbIdFwU`(R^N0x'p9*9MkbIdFwU&Qfamrh+ZU*9MkbIdFwUWBy.I)C+lV*9MkbIdFwUEB^amho5ZU*9MkbIdFwU=6U.Z@jJG(*9MkbIdFwUUQ^.ZZ_AG(*9MkbIdFwUu0Q([XNMt&*9MkbIdFwUa@0,YF5$So*9MkbIdFwUOBc^N4npo9*9MkbIdFwUeIb([]D7t&*9MkbIdFwUEgn.Z_T*G(*9MkbIdFwUct![M'E.d'*9MkbIdFwU)y~%Zi$1%nu8MkbIdFwUe?0,Yk5$Sou8MkbIdFwU){Q^Nz{'p9u8MkbIdFwUoq![MCF.d'u8MkbIdFwU-%$[M(=.d'u8MkbIdFwU53^pXAtQuou8MkbIdFwU!N0,YT,$Sou8MkbIdFwUG,!&ZRw0%nu8MkbIdFwUzH^.ZJcAG(u8MkbIdFwUl!!&Z6~0%nu8MkbIdFwU{{McJQJ,HT*9MkbIdFwU]A0,Yx4$Sou8MkbIdFwU1-,sY3Oki(*9MkbIdFwUgs![MPE.d'u8MkbIdFwUn%^pXe{Quou8MkbIdFwUeIb([]D7t&u8MkbIdFwUkr![MuE.d'*9MkbIdFwU_-O,HJg2`E*9MkbIdFwUSM8_lc+3ND*9MkbIdFwU1Qk^NBggo9u8MkbIdFwUUQ^.ZZ_AG(u8MkbIdFwUC'Q([HRMt&u8MkbIdFwULE0,Y83$Sou8MkbIdFwUa@0,YF5$Sou8MkbIdFwUr$^pX.}Quou8MkbIdFwU&vv.ZiM}F(u8MkbIdFwU!N0,YT,$So*9MkbIdFwU-%$[M(=.d'*9MkbIdFwU53^pXAtQuo*9MkbIdFwU"

"AUM"="%wxX@1oY(Aypa8aa)!UbEOa]&88}f@x~IAO,'jAe&@HJ?EvxU?[UX=+nygEa_j0,Y]s!Soe8MkbIdFwUv$f.Z@}4G(*9MkbIdFwUv$f.Z@}4G(u8MkbIdFwU%9YbWIfIbe?9MkbIdFwU_j0,Y]s!Sou8MkbIdFwU_j0,Y]s!So*9MkbIdFwU!N0,YT,$So*9MkbIdFwU!N0,YT,$Sou8MkbIdFwUa@0,YF5$So*9MkbIdFwUe?0,Yk5$So*9MkbIdFwU]A0,Yx4$So*9MkbIdFwUe?0,Yk5$Sou8MkbIdFwUa@0,YF5$Sou8MkbIdFwUXB0,YS4$So*9MkbIdFwU]A0,Yx4$Sou8MkbIdFwUTC0,Y*4$So*9MkbIdFwUPD0,Ya3$So*9MkbIdFwUXB0,YS4$Sou8MkbIdFwU&vv.ZiM}F(*9MkbIdFwUTC0,Y*4$Sou8MkbIdFwULE0,Y83$So*9MkbIdFwUPD0,Ya3$Sou8MkbIdFwULE0,Y83$Sou8MkbIdFwUEgn.Z_T*G(*9MkbIdFwUzH^.ZJcAG(*9MkbIdFwU&vv.ZiM}F(u8MkbIdFwUEgn.Z_T*G(u8MkbIdFwU=6U.Z@jJG(*9MkbIdFwUUQ^.ZZ_AG(*9MkbIdFwUzH^.ZJcAG(u8MkbIdFwU=6U.Z@jJG(u8MkbIdFwUUQ^.ZZ_AG(u8MkbIdFwUaZO,H*K2`Ee8MkbIdFwUxp%0Ij`~kV*9MkbIdFwUaZO,H*K2`E*9MkbIdFwU%?O,H~_2`E*9MkbIdFwUg+O,H9h2`E*9MkbIdFwUc,O,Hog2`E*9MkbIdFwU_-O,HJg2`E*9MkbIdFwUZ.O,H}f2`E*9MkbIdFwUV0O,HWf2`E*9MkbIdFwUR1O,H.f2`E*9MkbIdFwUN2O,Hee2`E*9MkbIdFwU(g70I8-kkV*9MkbIdFwUGW.0I-5tkV*9MkbIdFwU}5y.ItF+lV*9MkbIdFwU@&q.IjM5lV*9MkbIdFwUWBy.I)C+lV*9MkbIdFwUtvVr)b%PO@h=G)W}}QR1Ywk?`5p`7A(nyt6p9R_zZG7zTp~aOA56wEb%k=)6sB[C1UM1Z@^3_xQ7I]cLAzs+V4,*M@7On3o`maJOReaderProgramFiles"

"ReaderProgramFiles"="._FU*(*_2@0slVZ*5.z_v-]SdHa@k@=nH}PCv=bB1$yC@'t8+@)cJFU?,JX(B,ig1O9%A@y{B[`7Rlq6f3W1+7qj+=.rcJ4CazuNp=@0y{Wn0A8XHjl@4WqB_QYe0sBt??CX%pr$P[^p%Dr=J5G.3@B[o!jMLkHhfVknlUmRq8^U^%-ji,xhI[PPih36KA!7MB!^J,R&.xeodI0a9?*PwJ9PAh$$5m5H-EB^w=@7cJ?_CS%B5JiDH@eh99k.)~2E+oT*UJWnkJJ).@1[MUSjj]V[9JYpAndr.?J0G'OVCEk4s5KOXX(Tx@O9it$PYp0%q{*bUab!k@8(itf5ZXiNZSFSFJ,gF=Faq]nD[DSrp5H~36!nc@e2YLT4GPl[JdnnNi-d?AjlR&UdQ%RRn=B1Z`VZ%@3r?8ZtrD7qUN,X=YFYQ?,&G1Mb?F?s*iv+yATUy8JF$5xzgV35v-JpP%J!N@1sI*A^'am)Ycd%!i,Sv9c[%+{MOK.oTAAcE^xSl=6]*iWU}_4Bqf1%AM?J%@XU0gul@$1X2w5jd-GZz?h}Lfo5YWDG,R@)]PIv{8Kg?Tjg3)dqD^1GS5(b99mWRS24Xr5ybfc2Q[$K^?4u?3%1C&QK8pVC=,wIs9B+Owz0mED3_69Vg1_ap=gC,$ThH]~5vhY!D,R3LA_~Q)wC.`QfH5s^n,Q~@@GK8CTMTal(Qrs(klmNn@%=-p6cn6lY}0z-H`_1P@fiN&!nA}qmgl75uP^qD=cUtj+4]v4i]c6?skucQ?R1YF3gM`d[C?OaVN&E}8!+o8IP}@y^P}a,0_Q]FA!pRKKOv=cN?(HrL[BDx9jj)@iSwoXF+I_q9xm5l@5fj[hX8tk)0=J[O`v^9=_qKwW[nRoe-9)'z0'GX?9nMWL]C3*w)yaokOVQZ9T-Dto=@fKY*Ha*n,@RL9M&Axn4={nnTSp[-gRtTA==]p?,NP9=-X?LDM71+@qP?h+'SxpL[nIX?V7zP?.^b^v{2x_r$GtTiU[Dl@5b.-!NAFUaJDcb&69~N?vrX$oHDCU(ip{$(8(+b?3!_Gw`F~Jd12wyMf6m)9e2YSmA([gRSBC)'ikvL@3yV%z&A}$oH]r',s}Uc=fVIIX^f[cQ$utx1`%}k?EZM@D]&^*t8jBev-lYSAGmXPA[w_jCt$@Kw1oMb?2Qdp=?8)a=VF&^&Xgu`@4ekFN(2qmzd1mJl_yp8@x-*H'tRF!)z1'D5.2o19xrz_1.s3zkxH)?q9+-G@d}'N8ipI*5Y'LBbd5V=@%w'R4OZPBYZru%7TK7,9h]9Pe')_~eG0Ytdj-6+Aza}{05HS)ef2xvD5k&V=21*ndh=Oe*&t-5hxAzl8_.{zuvh^@cPA,SiYSiY8ONgdyc&O7y=eo]UELY9@leb-+2j4T9HkS,U^WsS9t-UB8I0G4b,&}ut*]mb?S6sA*{%`EHS-B!xq)gL=M!%%,I4-y)id?r5]GnC@XHznwpH!'!3p8*o,]ag9)X$n66`j(HClbF!yh=M@ZUzb@Xd!lOI]Sx?d%JV=tCY=!Qpy]2pazO*L.Ub=ONkK$%RC8Q^mo_Yse3v8*tl(iR}wi_SalRrIYz^?FD4=o90f9zU5R!(]a@U@Dt]yjX[E!I}]^Qd-LQA?7wisgeG}Lxxjt(n%-7$=!cR+PIFTCEx(7C-t[sf=KOj.qZ=xD6kplcz,Q=B@j%wHd@I7lO2vVu)-=sB=A-e]M!LM6mpAc[aF+Ol=6U-I],R_uq2(pVQ(gud?{0'ahDf%EWJ]si8$F559k8(k@?i,20J_3WdD0)a@T31bw4Al}h5tJ'$D!Us@Xw[TT^^VCY}Cj&-zp,u=JBV${Ct.j45_9@Tdln*Aval1$$5b`hWK%u@Eez}=.[Ho2+h[B$F=XMQ$'SZ8f'=$frIalgeL%]f[e}$A.Kaf4j[.(Xj-wi?_mHq8_e1em8Cq`k]p3Vr{Q^`@HSYlofTWOICGMjuE5(t8CL^6HlrO&N'Z'}t`Bj3?*t!dsv58kg,X^dG(uZ}93'r_OD^mV$?oHv$a6Y{8YCAV,.]ij7-_,83,Qx]88Kz!?KNuUop8PN4O_jq8WO_q?oj@~R_j0,Y]s!Soe8MkbIdFwUv$f.Z@}4G(*9MkbIdFwUv$f.Z@}4G(u8MkbIdFwU%9YbWIfIbe?9MkbIdFwU_j0,Y]s!Sou8MkbIdFwU_j0,Y]s!So*9MkbIdFwU!N0,YT,$So*9MkbIdFwU!N0,YT,$Sou8MkbIdFwUa@0,YF5$So*9MkbIdFwUe?0,Yk5$So*9MkbIdFwU]A0,Yx4$So*9MkbIdFwUe?0,Yk5$Sou8MkbIdFwUa@0,YF5$Sou8MkbIdFwUXB0,YS4$So*9MkbIdFwU]A0,Yx4$Sou8MkbIdFwUTC0,Y*4$So*9MkbIdFwUPD0,Ya3$So*9MkbIdFwUXB0,YS4$Sou8MkbIdFwU&vv.ZiM}F(*9MkbIdFwUTC0,Y*4$Sou8MkbIdFwULE0,Y83$So*9MkbIdFwUPD0,Ya3$Sou8MkbIdFwULE0,Y83$Sou8MkbIdFwUEgn.Z_T*G(*9MkbIdFwUzH^.ZJcAG(*9MkbIdFwU&vv.ZiM}F(u8MkbIdFwUEgn.Z_T*G(u8MkbIdFwU=6U.Z@jJG(*9MkbIdFwUUQ^.ZZ_AG(*9MkbIdFwUzH^.ZJcAG(u8MkbIdFwU=6U.Z@jJG(u8MkbIdFwUUQ^.ZZ_AG(u8MkbIdFwUaZO,H*K2`Ee8MkbIdFwUxp%0Ij`~kV*9MkbIdFwUaZO,H*K2`E*9MkbIdFwU%?O,H~_2`E*9MkbIdFwUg+O,H9h2`E*9MkbIdFwUc,O,Hog2`E*9MkbIdFwU_-O,HJg2`E*9MkbIdFwUZ.O,H}f2`E*9MkbIdFwUV0O,HWf2`E*9MkbIdFwUR1O,H.f2`E*9MkbIdFwUN2O,Hee2`E*9MkbIdFwU(g70I8-kkV*9MkbIdFwUGW.0I-5tkV*9MkbIdFwU}5y.ItF+lV*9MkbIdFwU@&q.IjM5lV*9MkbIdFwUWBy.I)C+lV*9MkbIdFwU"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7E577B2224C65CF4E801A9E52375DB49\Features]
"FCRT"="_j0,Y]s!Soe8MkbIdFwUv$f.Z@}4G(*9MkbIdFwUv$f.Z@}4G(u8MkbIdFwU%9YbWIfIbe?9MkbIdFwU_j0,Y]s!Sou8MkbIdFwU_j0,Y]s!So*9MkbIdFwU!N0,YT,$So*9MkbIdFwU!N0,YT,$Sou8MkbIdFwUa@0,YF5$So*9MkbIdFwUe?0,Yk5$So*9MkbIdFwU]A0,Yx4$So*9MkbIdFwUe?0,Yk5$Sou8MkbIdFwUa@0,YF5$Sou8MkbIdFwUXB0,YS4$So*9MkbIdFwU]A0,Yx4$Sou8MkbIdFwUTC0,Y*4$So*9MkbIdFwUPD0,Ya3$So*9MkbIdFwUXB0,YS4$Sou8MkbIdFwU&vv.ZiM}F(*9MkbIdFwUTC0,Y*4$Sou8MkbIdFwULE0,Y83$So*9MkbIdFwUPD0,Ya3$Sou8MkbIdFwULE0,Y83$Sou8MkbIdFwUEgn.Z_T*G(*9MkbIdFwUzH^.ZJcAG(*9MkbIdFwU&vv.ZiM}F(u8MkbIdFwUEgn.Z_T*G(u8MkbIdFwU=6U.Z@jJG(*9MkbIdFwUUQ^.ZZ_AG(*9MkbIdFwUzH^.ZJcAG(u8MkbIdFwU=6U.Z@jJG(u8MkbIdFwUUQ^.ZZ_AG(u8MkbIdFwUaZO,H*K2`Ee8MkbIdFwUxp%0Ij`~kV*9MkbIdFwUaZO,H*K2`E*9MkbIdFwU%?O,H~_2`E*9MkbIdFwUg+O,H9h2`E*9MkbIdFwUc,O,Hog2`E*9MkbIdFwU_-O,HJg2`E*9MkbIdFwUZ.O,H}f2`E*9MkbIdFwUV0O,HWf2`E*9MkbIdFwUR1O,H.f2`E*9MkbIdFwUN2O,Hee2`E*9MkbIdFwU(g70I8-kkV*9MkbIdFwUGW.0I-5tkV*9MkbIdFwU}5y.ItF+lV*9MkbIdFwU@&q.IjM5lV*9MkbIdFwUWBy.I)C+lV*9MkbIdFwU"

"VC_Redist"="7y)eW8l7_eO9MkbIdFwUpR^pXI`Quoe8MkbIdFwU,i4sY(ibi(u8MkbIdFwU,i4sY(ibi(*9MkbIdFwU7y)eW8l7_e?9MkbIdFwUpR^pXI`Quou8MkbIdFwUpR^pXI`Quo*9MkbIdFwU53^pXAtQuou8MkbIdFwUj&^pX@{Quou8MkbIdFwUr$^pX.}Quou8MkbIdFwUv!^pXW}Quou8MkbIdFwU53^pXAtQuo*9MkbIdFwU^)^pX$zQuou8MkbIdFwUb(^pXMzQuou8MkbIdFwUv!^pXW}Quo*9MkbIdFwUn%^pXe{Quou8MkbIdFwUf'^pXrzQuou8MkbIdFwUr$^pX.}Quo*9MkbIdFwUn%^pXe{Quo*9MkbIdFwUj&^pX@{Quo*9MkbIdFwU8_IsYU6Oi(u8MkbIdFwUOy!sY(Vti(u8MkbIdFwUf'^pXrzQuo*9MkbIdFwUVOAsYKAXi(u8MkbIdFwUb(^pXMzQuo*9MkbIdFwU1-,sY3Oki(u8MkbIdFwU^)^pX$zQuo*9MkbIdFwUg6,sYGKki(u8MkbIdFwU8_IsYU6Oi(*9MkbIdFwUVOAsYKAXi(*9MkbIdFwU1-,sY3Oki(*9MkbIdFwUOy!sY(Vti(*9MkbIdFwUg6,sYGKki(*9MkbIdFwU_j0,Y]s!Soe8MkbIdFwUv$f.Z@}4G(*9MkbIdFwUv$f.Z@}4G(u8MkbIdFwU%9YbWIfIbe?9MkbIdFwU_j0,Y]s!Sou8MkbIdFwU_j0,Y]s!So*9MkbIdFwU!N0,YT,$So*9MkbIdFwU!N0,YT,$Sou8MkbIdFwUa@0,YF5$So*9MkbIdFwUe?0,Yk5$So*9MkbIdFwU]A0,Yx4$So*9MkbIdFwUe?0,Yk5$Sou8MkbIdFwUa@0,YF5$Sou8MkbIdFwUXB0,YS4$So*9MkbIdFwU]A0,Yx4$Sou8MkbIdFwUTC0,Y*4$So*9MkbIdFwUPD0,Ya3$So*9MkbIdFwUXB0,YS4$Sou8MkbIdFwU&vv.ZiM}F(*9MkbIdFwUTC0,Y*4$Sou8MkbIdFwULE0,Y83$So*9MkbIdFwUPD0,Ya3$Sou8MkbIdFwULE0,Y83$Sou8MkbIdFwUEgn.Z_T*G(*9MkbIdFwUzH^.ZJcAG(*9MkbIdFwU&vv.ZiM}F(u8MkbIdFwUEgn.Z_T*G(u8MkbIdFwU=6U.Z@jJG(*9MkbIdFwUUQ^.ZZ_AG(*9MkbIdFwUzH^.ZJcAG(u8MkbIdFwU=6U.Z@jJG(u8MkbIdFwUUQ^.ZZ_AG(u8MkbIdFwU!M!&ZZc0%ne8MkbIdFwU?cX([=lDt&u8MkbIdFwU?cX([=lDt&*9MkbIdFwU+SnXWTvLne?9MkbIdFwU!M!&ZZc0%nu8MkbIdFwU!M!&ZZc0%n*9MkbIdFwUG,!&ZRw0%n*9MkbIdFwU%z~%ZD$1%n*9MkbIdFwUG,!&ZRw0%nu8MkbIdFwU)y~%Zi$1%n*9MkbIdFwU%z~%ZD$1%nu8MkbIdFwU)y~%Zi$1%nu8MkbIdFwU}z~%Zv!1%n*9MkbIdFwUx{~%ZQ!1%n*9MkbIdFwU}z~%Zv!1%nu8MkbIdFwUp~~%Z_~0%n*9MkbIdFwUt}~%Z(!1%n*9MkbIdFwUx{~%ZQ!1%nu8MkbIdFwUt}~%Z(!1%nu8MkbIdFwUJXj([g9-t&*9MkbIdFwUl!!&Z6~0%n*9MkbIdFwUp~~%Z_~0%nu8MkbIdFwUeIb([]D7t&*9MkbIdFwUl!!&Z6~0%nu8MkbIdFwUC'Q([HRMt&*9MkbIdFwUJXj([g9-t&u8MkbIdFwU^sH([=YVt&*9MkbIdFwUeIb([]D7t&u8MkbIdFwUu0Q([XNMt&*9MkbIdFwUC'Q([HRMt&u8MkbIdFwU^sH([=YVt&u8MkbIdFwUu0Q([XNMt&u8MkbIdFwU%[Y^Np=zo9u8MkbIdFwUiE$[M1%.d'e8MkbIdFwU86J8lG[%Q5?9MkbIdFwU%[Y^Np=zo9*9MkbIdFwUiE$[M1%.d'u8MkbIdFwUiE$[M1%.d'*9MkbIdFwU-%$[M(=.d'*9MkbIdFwU-%$[M(=.d'u8MkbIdFwUkr![MuE.d'*9MkbIdFwUoq![MCF.d'*9MkbIdFwUoq![MCF.d'u8MkbIdFwUkr![MuE.d'u8MkbIdFwUgs![MPE.d'*9MkbIdFwUgs![MPE.d'u8MkbIdFwUct![M'E.d'*9MkbIdFwUct![M'E.d'u8MkbIdFwU_u![M^D.d'*9MkbIdFwU_u![M^D.d'u8MkbIdFwUZv![M5D.d'*9MkbIdFwUZv![M5D.d'u8MkbIdFwUVw![MkC.d'*9MkbIdFwUVw![MkC.d'u8MkbIdFwU1Qk^NBggo9*9MkbIdFwU1Qk^NBggo9u8MkbIdFwUOBc^N4npo9*9MkbIdFwUOBc^N4npo9u8MkbIdFwU){Q^Nz{'p9*9MkbIdFwU){Q^Nz{'p9u8MkbIdFwUHlI^Np'2p9*9MkbIdFwUHlI^Np'2p9u8MkbIdFwU`(R^N0x'p9*9MkbIdFwU`(R^N0x'p9u8MkbIdFwU5o0h,pMvN=e8MkbIdFwUP)fj-TcgZOu8MkbIdFwUP)fj-TcgZO*9MkbIdFwU{IXPxO=w6{?9MkbIdFwU5o0h,pMvN=u8MkbIdFwU5o0h,pMvN=*9MkbIdFwUXR0h,hbvN=u8MkbIdFwU3F0h,1jvN=u8MkbIdFwU7E0h,YjvN=u8MkbIdFwU?D0h,!kvN=u8MkbIdFwUXR0h,hbvN=*9MkbIdFwU?D0h,!kvN=*9MkbIdFwU.G0h,givN=u8MkbIdFwU*H0h,BivN=u8MkbIdFwU7E0h,YjvN=*9MkbIdFwU&I0h,thvN=u8MkbIdFwU3F0h,1jvN=*9MkbIdFwU~I0h,OhvN=u8MkbIdFwU.G0h,givN=*9MkbIdFwU[zvj-~0TZOu8MkbIdFwU*H0h,BivN=*9MkbIdFwUvknj-s7^ZOu8MkbIdFwU&I0h,thvN=*9MkbIdFwUTM^j-_IpZOu8MkbIdFwU~I0h,OhvN=*9MkbIdFwUo=Uj-TPyZOu8MkbIdFwU[zvj-~0TZO*9MkbIdFwUvknj-s7^ZO*9MkbIdFwU+V^j-oEpZOu8MkbIdFwUTM^j-_IpZO*9MkbIdFwUo=Uj-TPyZO*9MkbIdFwU+V^j-oEpZO*9MkbIdFwU6k}pHLH$SDe8MkbIdFwUQ%WsI,^p_U*9MkbIdFwU6k}pHLH$SD*9MkbIdFwUYN}pHD]$SD*9MkbIdFwU@@}pHZe$SD*9MkbIdFwU8A}pH2e$SD*9MkbIdFwU4B}pHhd$SD*9MkbIdFwU0C}pHCd$SD*9MkbIdFwU+D}pHuc$SD*9MkbIdFwU'E}pHPc$SD*9MkbIdFwU!F}pH'c$SD*9MkbIdFwU]vhsIY*^_U*9MkbIdFwUwg`sIO2g_U*9MkbIdFwUUIOsI7Dy_U*9MkbIdFwUp6GsI,K'`U*9MkbIdFwU,ROsIK@y_U*9MkbIdFwUaZO,H*K2`Ee8MkbIdFwUxp%0Ij`~kV*9MkbIdFwUaZO,H*K2`E*9MkbIdFwU%?O,H~_2`E*9MkbIdFwUg+O,H9h2`E*9MkbIdFwUc,O,Hog2`E*9MkbIdFwU_-O,HJg2`E*9MkbIdFwUZ.O,H}f2`E*9MkbIdFwUV0O,HWf2`E*9MkbIdFwUR1O,H.f2`E*9MkbIdFwUN2O,Hee2`E*9MkbIdFwU(g70I8-kkV*9MkbIdFwUGW.0I-5tkV*9MkbIdFwU}5y.ItF+lV*9MkbIdFwU@&q.IjM5lV*9MkbIdFwUWBy.I)C+lV*9MkbIdFwU=$k`IN]I8Ce8MkbIdFwUU=EcJ.r6HT*9MkbIdFwU=$k`IN]I8C*9MkbIdFwU^cj`IFqI8C*9MkbIdFwUDTj`I]yI8C*9MkbIdFwU@Uj`I4yI8C*9MkbIdFwU8Vj`IjxI8C*9MkbIdFwU4Wj`IExI8C*9MkbIdFwU0Xj`IwwI8C*9MkbIdFwU+Yj`IRwI8C*9MkbIdFwU'Zj`I)wI8C*9MkbIdFwUa0VcJ[C!HT*9MkbIdFwU{{McJQJ,HT*9MkbIdFwUY^9cJ9XCHT*9MkbIdFwUtN1cJ.`LHT*9MkbIdFwU1g9cJMTCHT*9MkbIdFwUfr8_l(m2NDe8MkbIdFwU~,namh&!ZU*9MkbIdFwUfr8_l(m2ND*9MkbIdFwU*V8_l{%3ND*9MkbIdFwUlG8_l7.3ND*9MkbIdFwUhH8_lm-3ND*9MkbIdFwUdI8_lH-3ND*9MkbIdFwU`J8_lz,3ND*9MkbIdFwU[K8_lU,3ND*9MkbIdFwUWL8_l,,3ND*9MkbIdFwUSM8_lc+3ND*9MkbIdFwU-!$bm6SkYU*9MkbIdFwULovam+ZtYU*9MkbIdFwU&Qfamrh+ZU*9MkbIdFwUEB^amho5ZU*9MkbIdFwU]Yfam'e+ZU*9MkbIdFwU70-T$!(*&Ne8MkbIdFwURIcV%cAv2`*9MkbIdFwU70-T$!(*&N*9MkbIdFwUZn,T$v@*&N*9MkbIdFwUA`,T$2I*&N*9MkbIdFwU9a,T$hH*&N*9MkbIdFwU5b,T$CH*&N*9MkbIdFwU1c,T$uG*&N*9MkbIdFwU,d,T$PG*&N*9MkbIdFwU(e,T$'G*&N*9MkbIdFwU$f,T$^F*&N*9MkbIdFwU^?tV%1jc2`*9MkbIdFwUx+lV%&ql2`*9MkbIdFwUViZV%m!$3`*9MkbIdFwUqYRV%c*-3`*9MkbIdFwU-rZV%~z!3`*9MkbIdFwU4W.I=`@Ul9ky9]OU?hie"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\C44CC767CBB9D834AB3DDF5459DD41B8\Features]
"DefaultFeature"="aZO,H*K2`Ee8MkbIdFwUxp%0Ij`~kV*9MkbIdFwUaZO,H*K2`E*9MkbIdFwU%?O,H~_2`E*9MkbIdFwUg+O,H9h2`E*9MkbIdFwUc,O,Hog2`E*9MkbIdFwU_-O,HJg2`E*9MkbIdFwUZ.O,H}f2`E*9MkbIdFwUV0O,HWf2`E*9MkbIdFwUR1O,H.f2`E*9MkbIdFwUN2O,Hee2`E*9MkbIdFwU(g70I8-kkV*9MkbIdFwUGW.0I-5tkV*9MkbIdFwU}5y.ItF+lV*9MkbIdFwU@&q.IjM5lV*9MkbIdFwUWBy.I)C+lV*9MkbIdFwU_j0,Y]s!Soe8MkbIdFwUv$f.Z@}4G(*9MkbIdFwUv$f.Z@}4G(u8MkbIdFwU%9YbWIfIbe?9MkbIdFwU_j0,Y]s!Sou8MkbIdFwU_j0,Y]s!So*9MkbIdFwU!N0,YT,$So*9MkbIdFwU!N0,YT,$Sou8MkbIdFwUa@0,YF5$So*9MkbIdFwUe?0,Yk5$So*9MkbIdFwU]A0,Yx4$So*9MkbIdFwUe?0,Yk5$Sou8MkbIdFwUa@0,YF5$Sou8MkbIdFwUXB0,YS4$So*9MkbIdFwU]A0,Yx4$Sou8MkbIdFwUTC0,Y*4$So*9MkbIdFwUPD0,Ya3$So*9MkbIdFwUXB0,YS4$Sou8MkbIdFwU&vv.ZiM}F(*9MkbIdFwUTC0,Y*4$Sou8MkbIdFwULE0,Y83$So*9MkbIdFwUPD0,Ya3$Sou8MkbIdFwULE0,Y83$Sou8MkbIdFwUEgn.Z_T*G(*9MkbIdFwUzH^.ZJcAG(*9MkbIdFwU&vv.ZiM}F(u8MkbIdFwUEgn.Z_T*G(u8MkbIdFwU=6U.Z@jJG(*9MkbIdFwUUQ^.ZZ_AG(*9MkbIdFwUzH^.ZJcAG(u8MkbIdFwU=6U.Z@jJG(u8MkbIdFwUUQ^.ZZ_AG(u8MkbIdFwU"

"URTM_STD_ENU_X86_IXP"="j!F,a%mR`?V0oI3dk`o8.?FA3Kd~P?WcNOJa.rORKul'pbF_K9W,KL=$g8_3Jkrjs*Kk2?xb@e.^Eupy*Lvfk0pE4@gmc'sH8dTWUaV!f&dfB?v8?jGmhqocJe^03Gi)dA^j+KatnX-v'um07?S&j=lB{Y4o$w}3C*]p(zuGP9E3l*E~1J_)Z@}w(@VPI?`qL6*SzZ+a52d?H`(Gp@qM{'U`soUG]]J+$eqc_=6[xdeFyWGo.(S&Q@~9~=M^kgn'+k71B=P%Qt+nT=%Uxvq`AW-)DIPKPpCN{9N}b7P14U5O1n^&?ri`+A_pnPWY,!Wj!$.-(}AkdA=BL*0)'4megO?vU6B_Q?pOeAIi3@7xW,qzl'')*=onPqgVjtEkb*q'C,3]i@xb$O&,-qlXF~lE2@-oz@%$-((~eMC@?Y!GRzx?VALDt}hGeSuyrV,.lh87AA)N'5b2S7rUFQ'7On,5}9Cj(MC03k+sc{[uLO[IHAX5=XrAu{b?Qanodq{gS@LE?UmjgLNGc,O,Hog2`E*9MkbIdFwU^S_T-dqji9(OAHJ@f*N'?$kMW)8i59EQt,YDIDWqDYkJbT,)b9A!]Y+^.rrbQkl_j^e4[AP%@Mvp}-&(QB3%S}Rfc=&UMSC!7`Q2XS.4v6=yV?1t$'xTRA_7zK~oio1{t8PhTKlh*[F7G$nriB?xH=u[x(=%oaD0B1Mz%qYwi8rPcC,4J8rj`=zZjcvhbAvV8g,jhVxR5_u&')1`_@xb83BJ~g~c~W9WDi^Q{=ID]bO2iv,g-c(t^@nS[=I)n[O=ztkeE[LRF*n6p@a[`Hk-785((HUiXuPHl9tG*_hI~FdQ}~%PNXp+Z9kUK_n-EK%*7EFmH)29S9G}vsKbK0pTbF$'`3EVn@7Rqu7Eu$X?%}}64`+,E?S(sMBY[U~E4-`)E3wu=91Q=kgS__+Zvru[kaiDI?pCT(RPb&l!JKwHb-.}v8^~NZLfx@3AJPEY1RojQ?JuO?Q(9)==X!g7]~`&x@9PDD&7{Q.uQnynx9OH(AzYPFybsoeVOA4k6n2wE@L{-se+75F'`fUl7{GTe@edzr09_F8xi]}7fPZU)={{?fTrt0Pw*MLLuG_,eAoziS%4D^WoI'tRr.L0x?3LhZ_=[8PM{dY!XdlNr@BOtP8E*(?CQ+IBD(mA!A6$Iw.484)J9!]c@q-Uv9]jN^0_dcWy(l0$d+IA1@PwkJ6Ac9gz2},H*sMh&@as0PH.NMpH]g3.T(-N%9NUiHn)uXN1+ZOc2P^fV=h!dBi=)^V4I6X-tXB~'?wk'bxAIm(PF&gW4t'Sn?zQ_5wVgW].2@mkJ{44-AUCH6n,l.iQ7v_([$+qD?^]xkMSfvQTPU*Fi.=C~?kRFlx6(IG'kV^B7PVM9=moUkB~4zIH&9IT8!TgR?}9NP8z&tG*{IUZ!dzG7AHOfD4{&3*3P}$'ZNK5q@.^L^!_b^KT{y'g2Vqs&9kI*DBfgAQQ([Nl_X=SY=gfveog7B^Se8ACh8tW&?WO^`tl-9=x8E8!'47w(=u+&99=^vNAsnIC%dvYN=VOH~.yh+{U}_$qtaJ0t@xe)vC?P5yVYL..jc}YU9UP2Cf$_8QCi]0G.'^?g(Z1z?VXB]2de4^gIuIua8W1)TUQ1PQp}x,o_-dUT=.euyhbHIUCcE^cf$5Kt?]+a78qC%[F6$t8.[_8i8IVucW_XKtRt%6kBd('L9lQY7AQ_!_X*2HZMA5pV@J%YrASJjl`&aXoe@&f~=~2(0T`1P,q'5WCz3(_U@uF0qj8+Jgh}j.&?PA869(J`N!5@0fdQ!b*$jC1^A{8MEP7IlQY4KBN9L$0G=u7R=Apz!x'hZadS4een?I]F&'qBVQe.hHj!a=.'=*q~[g^MfcSGT1Pw(tys?V.-6BJe.i`JC41TeL&B9fosOhOa_mpksMnFXbNW9@'AcRo[1)gTaC$DF.C4?]~jTQRVs.Jm%^T+.Xfv@Y[x6H`]R8`[jxb]}u+ZA43[(@G}KVzQNAr6_rmf?0u6@fpfZ=B1I`W5MMaq8*g5`,$4c'Qq&ov3Hcf^9AQ2[e2VKx3s!fA%2J3z?iiec!1z)h]=[%R+[]1e@Y@ZneH`kfwFfSQkV^]Y?+JV118Ae!t_-O,HJg2`E*9MkbIdFwU~KaQLdOF]9!x'Tn*mjB84hf4!zPH5=R8J,dHa({QD+ELEg1.MA@TQE83aMsl!{NsuoCmf=44=j4p3XlXAOEhsGp8r8zQgGcdnD4b$WJ'HdC-g?is~rZ3+5{5Vh3qm}L1g@,n}BcyA'CX-KQYh,S54?=[y}&STw]=z_w=ovJ.t@3]]3q(,6wMV6693X.12?w@rP]`Okz(]FHsUdVih?}.=G7,NY]^5$*K,le6w=i8ecaf6nRvL.JhO2v?W@%fvc@9YSrT}3@NjTPjk8Hj`kM17%wE11v&zWK~Q?nE)Mfx~q-gA@KOh(5fd9]})wGdP-H+$+iYURi4FAx`=S_35pzdRnj6T2RTY=%-OV?DBHCfQo=5CHk?O@*8FD6r.[Hix~L@yt2nh=1g0nQ($iP$netAOF4tJ9~QDAy93'bm*U)^q74=TAf,F~jL~0z10kY@S2'U]8]+j-]IYwxL9WC8nemgF=QZDnSB~Q9?y,5,Y]c18AK`5m+sc1g9(Ln?99$z-?s3Nr[cl&8DQ4^YB*28r=FRh]GGt{R)813H44`U!9AXpvoV+DMp]c2g_BvQz=v[11hO`0-CfLxJYe4K[=ti5y0U4E4g^RpU_f{}@9LrN&jYAGMC{3nk&CREs=`kdK&zJWKMM3JIDN?MG94^gbyZs`mK`%Jysycp$AWg6ERmTW)$wWYWdKnVW?oh?_N+y+'ZR,e?K3Fj&=!@U`@vtcB]uLHDh&r*q=0,1gA}SujUcm-I4eZ6f=W`-[P1NE`N@&MtTZ_bm@ahTf[CM$9haZEnq9x)v9z4@H!U2BI('LUzm8RW{=[F7)5Jfptt@Md^v2=d,=ML%i]bR7$jW}nm`Y*!b@][X.uPveyqOSG2FA*kl?=aY-S93Y[&Jr3PZP{b=?Fgg^RLB(oZJZ+(rL}iF=N$!OUVcNW''nKY8aJ{{=-dokb*`kbN&!%Aei5%i8GuctV{`c=bS9OcaIFYv@Qvs`.jM'+HO3)iF1TN`=[nt@.3W=PjH%z$cL3s[=ldHJfAxS&5HKL3C5tex@4]MF_.DJGq_NGhOvdP2=X.X1&cwBfqs!Ph=PZ(z85-rN8{q1,`i=keai('89SCL+7fa!@zShs{]{EVd=G5SnG3}p26cv(?Zt+iH9^7cqxqIHJXpByQpA?le8i@WtW[Ab0[{xGeB-}cz?{iG!Ey_I5.k^]T6~uLc84J{bQu.O9`+,4-{!CuVAiFCDGLjhiiVoc^'HCf2@iHoKq@dFWP6'XBY}tnK?h~Rh*?)y,j[s+I!zdUt9?u5ND4Lhs?Z7`9$3nUu=Z@9?%yw(.LkRVv'6yY2B*9MkbIdFwU=6U.Z@jJG(*9MkbIdFwUib7v9hJL%l*9MkbIdFwU_X=yV7M94@Rs^*a{[.=+PCWxJ^eij9xoQwV}krKepC46JlCv?AoW?)HP{Ts]bVh`pM_Y19kqHtLeC{pQbfnI^'Krm@Im($wvV}BwFOXO*vD*g(HTy?VXB]2d^$795CtDZ87Tt'.i@YAVA*d0`!UGZA}D3$kdR==ObP^X2~)Sw8$OXktzpKRBv&%m5si&B9MtlUz=Ch2VX51Ml[}ty?X^gZ'}!$9%w&uag$yhR=A4}9XEtPCthh`6EI]vU=eNP]I))&-5EiqyM`UpX=Qcgdte4PVSr`pYQQPb)AD%9A)g2DLs)&Q!olKfD?.l.Zh~pzh`iNOkvsp8H@vERMmqfNJ[0acd0Sh4K=jQ0Foh5Vou-7h!_!dS39[@VhYlrhL)v1'Mr2pak=Yyt`i[6D&yCcrN@u^yx8*?-Ej!*hUl6zD$)a]L$?x}$H]mFv38-riPmXJNq@,'f=AHw7ECkwDdNbP%s9fBd4n9nmxKH]Wmb_y=j=5U(2GNw~)(hVSGN3x!297GkFLCQg6F1z=rmy?*y@CiP8qEsRZr&vS_SOn*K9l*f,7v!IxWu}.p)}RkA97O%LLI7=vyjA%NOQlxIA1o4IXw@[0UaKcj%E?zx?7xbNQ7OO'Gy^Zt)F_^4=}oyob3V.aA{ALm8N1i5A09&609)952_HR+4e^'b8XCj1*vqFW'&1ImY!yL3?Xer}b=MCS=vcl]*Iq1g(Svy?VXB]2dN(t4fz^_+=*qa5Wylv1Q5L{6EyJ-$A0(iGpR!J0jM~_2(G2LP@=,OO^dwHsZhZ?6{'n*~8.e@RbY-?@^v42_$[yPr?1,QYE%N))&R(,^JR..v@X=ojiAFKF=)!OXfKcRaA)gIF-(f$=sL1kEz,4-E@KtOwML$BBZXK!ZVMKe!?(Fe*LUQ&nVO.BKod8`SA-c,JF0cEPA{K^IYn3?Z@b`Bn(P2O%p.[I.l{l,k9A+()ARN%q&nwr.-N)YNA!%cqbhI{hh!}8Ek]+2{=*k=L+O{ezQ_]-+!jVx9=N2SvY6Rjdz=Lm3bEGH=AvNGB5nU{%eYo`J)EN%l?I!%_f2i5gZ+H&x5yOc2A9f2rJNZ]!KL])PeTrG2AKgNNi4GvcBib7v9hJL%lu8MkbIdFwUzH^.ZJcAG(u8MkbIdFwUUQ^.ZZ_AG(*9MkbIdFwU=6U.Z@jJG(u8MkbIdFwUUQ^.ZZ_AG(u8MkbIdFwUjN0.Z=0pG(*9MkbIdFwU_iDv99TB%l*9MkbIdFwUjN0.Z=0pG(u8MkbIdFwUJcTv'MW[2B*9MkbIdFwU_j0,Y]s!So*9MkbIdFwUaZO,H*K2`E*9MkbIdFwU_j0,Y]s!Sou8MkbIdFwUZ.O,H}f2`E*9MkbIdFwUHr5v9{$N%l*9MkbIdFwU_iDv99TB%lu8MkbIdFwUXj6v9F6M%l*9MkbIdFwU`Z?C$rK'6?~~9*[?YG4`Xj6v9F6M%lu8MkbIdFwUxtl5a^]n9?&!Or0lC_A]%?O,H~_2`E*9MkbIdFwUa$tytNY2g(Svy?VXB]2dtvjXn*6.g(Ojy?VXB]2dwvjXn*6.g(Ojy?VXB]2dJTc8F-YnI9-+xs*kKUO3g+O,H9h2`E*9MkbIdFwU%9YbWIfIbe?9MkbIdFwU08c$C=u+s?4w*tFWfK_dBX(+Bx%`DA%Pn`cwzS0Arx2sikfmZ=^R[8nVn1H%TnC,l?Ij9AA2eC6fL($vHr5v9{$N%lu8MkbIdFwU@_{2qO4+59hcU2[zsSPSbIA~2f9FSA?{F1JVkjrt2==SJfa?}=vx)IU1gNl+s&$6xuz5,@BaM?(.Na)Nl%&(W7aj)9o0Oj9dd0,BB]MzKk`@9=0O_8U)(7&EBc~HMt@*^8q^P^Y@!Gkg.%zzF`h_b9+$AMh9yhY`*FneAbIH99bv_Y3Tp6&l[JzDwE4j!@h7^P=dyurJuW_^YapJ&?0DKhKWKmQo_g^mo7,my@oqZ_yiM!f&XRswN$S._=VoF$n+[0(W!N0,YT,$So*9MkbIdFwUe?0,Yk5$So*9MkbIdFwU&vv.ZiM}F(u8MkbIdFwULE0,Y83$So*9MkbIdFwU]A0,Yx4$Sou8MkbIdFwUEgn.Z_T*G(*9MkbIdFwUTC0,Y*4$Sou8MkbIdFwUXB0,YS4$So*9MkbIdFwUa@0,YF5$So*9MkbIdFwULE0,Y83$Sou8MkbIdFwUPD0,Ya3$So*9MkbIdFwU]A0,Yx4$So*9MkbIdFwU!N0,YT,$Sou8MkbIdFwUTC0,Y*4$So*9MkbIdFwUe?0,Yk5$Sou8MkbIdFwUzH^.ZJcAG(*9MkbIdFwUPD0,Ya3$Sou8MkbIdFwU&vv.ZiM}F(*9MkbIdFwUXB0,YS4$Sou8MkbIdFwUa@0,YF5$Sou8MkbIdFwUEgn.Z_T*G(u8MkbIdFwUWBy.I)C+lV*9MkbIdFwUaY`v'f'P2B*9MkbIdFwUZZUv'ohZ2B*9MkbIdFwUN2O,Hee2`E*9MkbIdFwU(g70I8-kkV*9MkbIdFwU@&q.IjM5lV*9MkbIdFwUR1O,H.f2`E*9MkbIdFwUV0O,HWf2`E*9MkbIdFwU}5y.ItF+lV*9MkbIdFwUGW.0I-5tkV*9MkbIdFwUl?O.Ihn^lV*9MkbIdFwU"

[HKEY_USERS\S-1-5-21-814027766-162731947-3914504632-1005\Software\Microsoft\Office\11.0\Common\DWS]
"ShowUpdates"=dword:00000000

[HKEY_USERS\S-1-5-21-814027766-162731947-3914504632-1005\Software\Microsoft\Windows\CurrentVersion\App Management]
"ShowUpdates"=dword:00000000

*******************
[Fichier]
*******************

c:\Qoobox\Quarantine\C\WINDOWS\system32\wupd.dat.vir


*********************
[Même date]
*********************

C:\WINDOWS\system32\muzika.xm



----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

12 Janvier 2010 16:56:17

bien ....


tout s'explique ....


ré-utilise OTM :


Double clique sur "OTM.exe" pour ouvrir le prg .

Puis copie ce qui se trouve en citation ci-dessous,



:Reg
[HKEY_USERS\S-1-5-21-814027766-162731947-3914504632-1005\Software\Soft4Ever\looknstop\Applis]
"Appli188"=-

:Files
C:\WINDOWS\system32\muzika.xm

:Commands
[Reboot]



et colle le dans le cadre de gauche de OTM (Paste Instructions for items to be moved ).
Ne touche à rien d'autre !

! Déconnecte toi ferme toutes tes applications en cours ( navigateurs compris ) et désactives tes défenses !

-> clique sur MoveIt! pour lancer le nettoyage .

-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

--> Poste le contenu du rapport qui se trouve dans le dossier " C:\_OTM\<gras>MovedFiles "
( c'est " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).



12 Janvier 2010 20:11:07

Re sKe69,
Je te copie-colle le rapport.
A noter que mon PC démarre en quelques secondes maintenant alors qu'il prenait 5 ou 6 minutes à démarrer avant ton intervention. Merci infiniment.
========== REGISTRY ==========
Registry value HKEY_USERS\S-1-5-21-814027766-162731947-3914504632-1005\Software\Soft4Ever\looknstop\Applis\\Appli188 deleted successfully.
========== FILES ==========
C:\WINDOWS\system32\muzika.xm moved successfully.
========== COMMANDS ==========

OTM by OldTimer - Version 3.1.5.0 log created on 01122010_195706
12 Janvier 2010 20:19:41

Bien ...


fais ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :



( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

> Là tu décoches la case devant ZHPDiag !


> Enfin clique en bas sur "Nettoyer" .


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ...

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le !



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...


======================================

2- Refais un coup de CCleaner ( registre compris ) .


======================================

3- Télécharge et installe le logiciel HijackThis :

ici http://www.trendsecure.com/portal/en-US/_download/HJTIn...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...

> Clique sur le setup pour lancer l'installe :
* laisse toi guider et ne modifie pas les paramètres d'installation .
* A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .

Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
C:\program files\Trend Micro\HijackThis\HijackThis.exe .

( ne fais pas de scan pour le moment )


======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/ coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/ décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->"systeme"->" restauration système " ).


======================================

5- Utilise AntiVir ainsi ,

mets le à jour si besoin .


Aide AntiVir : http://www.malekal.com/tutorial_antivir.php


Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " :

* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé .
coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir.
* toujours dans "recherche" -> "Autres réglages", coche les cases suivantes :
> secteur d'amorçage lecteurs de rech.
> Contrôler secteurs d'amorçage maître
> Suivre les liens symboliques
> Rech.Rootkit au dém. de la recherche
et décoche :
ignorer les fichiers hors ligne

* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification élevé ...
* mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

* mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification moyen ...


---> clique sur "OK" pour valider le réglage ..

****************************************

Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...

> poste moi le rapport obtenu ... Aide toi bien du tuto ;) 
12 Janvier 2010 22:39:54

impec....


* supprime ce dossier avec tout ce qu'il contient > C:\Program Files\Ad-Remover


* Supprime également tout ce qui se trouve dans la quarantaine d'AntiVir .


* Je te conseille de désinstaller proprement Spybot S&D : lourd pour la navigation et dépassé ... de plus , AntiVir Personnal édition fait également anti-spy résident .





On finalise :



1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

Relance Hijackthis mais clique sur " Do a scan only "
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes, chacunes précédées d'un carré vide .
Tu vas cliquer sur les carrés des lignes suivantes :


O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')




Tu cliques en bas sur le bouton FIX CHECKED et valides .



2- Redémarre l'ordi .
( important pour que certaines modifs faites avec l'outil soient prises en compte )


Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....

> Poste aussi un dernier rapport Hijackthis de contrôle ...



12 Janvier 2010 22:56:58

Et voilà,
tout fonctionne

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:54:48, on 12/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Program Files\FlashGet\FlashGet.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [Flashget] C:\Program Files\FlashGet\FlashGet.exe /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Global Startup: Privoxy.lnk = C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O17 - HKLM\System\CCS\Services\Tcpip\..\{51DD0BEB-BAC7-41CD-9A0B-FF3FA98A0B1A}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\Program Files\CopyTracker\apache\bin\apache.exe
O23 - Service: Remote Connections Service (FlexService) - Unknown owner - C:\Program Files\RapidBIT\cisvc.exe (file missing)
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: MySql - Unknown owner - C:/Program Files/CopyTracker/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe

--
End of file - 9083 bytes


Dis moi si c'est ok
12 Janvier 2010 23:05:31

Nickel ... ;) 



suite et fin dans l'ordre :



1- Télécharge ToolsCleaner (de A.Rothstein) sur ton bureau .
http://pc-system.fr/TC/ToolsCleaner2.exe

Déconnecte toi et ferme bien toutes tes applications en cours .

Clique droit sur le prg et choisis "exécuter en tant qu' Administrateur"

*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) .

--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( garde CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .


======================================


3- Fais ce check-up pour finir :

Attention : ne pas toucher au PC pendant qu'il travaille !


A- Nettoyage et Défragmentation des Disques .
* Nettoyage :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général"
Clique sur le bouton "nettoyage de disque", OK .
tu le fais pour chacun de tes disques ...

* Vérifications des erreurs :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases :
-réparer automatiquement les erreurs...
-rechercher et tenter une récupération...
--->Démarrer, ok
Note : s'il te dis de redémarrer ton PC pour le faire , tu redémarres de suite et tu laisses faire, cela prend un peu de temps c'est normal.
Tu le fais pour chacun de tes disques ...

ensuite toujours dans le même onglet tu choisis :
* Défragmentation :
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK .
Tu le fais pour chacun de tes disques ...

Note : si tu as un utilitaire pour défragmenter , utilise le à la place ...
( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas )


B- Créer un point de restauration de ton PC :

Aller dans le Menu Démarrer puis dans Programmes,
- Ensuite dans Accessoires et enfin dans Outils système,
- Choisir "Restauration du système",
- Sélectionner "Créer un point de restauration",
- Cliquer sur "Suivant",
- Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
<< Point restauration sain >> .

--> Cliquer sur "Créer" et le point de restauration se créé automatiquement.




---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... :sol: 
17 Janvier 2010 04:03:37

Salut sKe69,
Tout cela a demandé du temps. Le rapport de Tools Cleaner n'apparait pas à l'endroit que tu indiques. Néanmoins il semble que tout ait été désinstallé.
J'ai fait les procédures que tu indiques, à l'exception de la défragmentation, l'analyse m'ayant indiqué que ce n'était pas nécessaire.
Tout fonctionne de façon impeccable.
Dans le pire des cas je reviendrais vers toi si j'ai un soucis, mais à l'heure actuelle, c'est parfait.
Merci infiniment de ton aide qui m'a été très précieuse, et du temps que cela t'as pris notamment.
A bientôt.
Vincent
17 Janvier 2010 09:13:03

Hello,



Content d'avoir pu te rendre service .... :D 



Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.h...

=> Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).

=> Il faut absolument tenir à jour régulièrement Windows :

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://windowsupdate.microsoft.com/

Effectue toutes les mise à jour critiques proposées .
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi :

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.h... )

Donc pour se faire, rends toi sur http://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici http://www.filehippo.com/download_java_runtime/
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

Autre astuce : http://www.commentcamarche.net/faq/sujet-15645-javara-i...

=============================================================

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. http://secunia.com/software_inspector/
- Tuto http://www.malekal.com/scan_vulnerabilite.php
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

-> autre très bon soft similaire dans cette astuce :
http://www.commentcamarche.net/faq/sujet-9908-update-ch...

===========================================================

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.ph...

* tests firewall: http://www.matousec.com/projects/firewall-challenge/res...

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto http://www.zebulon.fr/articles/zebprotect.php

================================================================

Pour une meilleur sécurité lorsque tu surfes :

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> http://www.commentcamarche.net/telecharger/telecharger-...

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
http://www.malekal.com/securiser_Firefox.php
http://forum.zebulon.fr/index.php?showtopic=69628

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox http://www.mywot.com/fr/download/ff - IE http://www.mywot.com/fr/download/ie
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> http://www.commentcamarche.net/faq/sujet-15620-wot-web-...

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web.
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée :
http://www.geekstogo.com/forum/redirect.php?url=http%3A...
https://addons.mozilla.org/fr/firefox/addon/722

=================================================================
=> Rappel sur les principales causes d'infection :

A lire > http://www.malekal.com/fichiers/projetantimalwares/prev...
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks :
http://forum.malekal.com/danger-des-cracks-t893.html

-> Le crack dans toute sa splendeur, journal d'une infection attendue :
http://forum.zebulon.fr/index.php?showtopic=93281

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> http://www.futura-sciences.com/fr/news/t/informatique/d...


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

Les conséquences du P2P : http://forum.zebulon.fr/index.php?showtopic=85544

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/phpBB2/les-risques-securitaire...
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1...
> http://www.lexpansion.com/economie/actuali...ise_134122...


*IE > Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment :
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité :

MSN prévention :
http://forum.zebulon.fr/index.php?showtopic=130590
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-aler...


Infection par supports amovibles (clefs usb, flash, DD externes ..) :
http://forum.zebulon.fr/index.php?showtopic=131959
http://forum.malekal.com/viewtopic.php?f=45&t=5544

* Rappel sur l'utilisation d'une version piratée de Windows :
http://www.commentcamarche.net/faq/sujet-2981-j-utilise...

=================================================================

Bon à savoir :

* La "Console de récupération" ( XP ):
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable.
tutoriels ici :
http://www.pcastuces.com/pratique/windows/xp/console_re... .
http://www.informatruc.com/console.php

Equivalent Vista : http://www.forum-vista.net/tutoriaux_vista/reparer_vist...

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...).

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! )
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Idées reçus en sécurité informatique ( très instructif ) >
http://www.libellules.ch/idees_recues_securite.php

=================================================================


Voilou ....


Bonne continuation à toi ... :hello: 


A+



Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS