Se connecter / S'enregistrer
Votre question

ai un adware dès que je suis sur le net

Tags :
  • software
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Juillet 2006 14:42:18

bonjour,
dès que je suis sur le net un message d'adware revient souvent
de plus ai dans ma barre de tache une alerte virus
ai tenté de les enlever en scannant mon ordi avec avast et ad-aware mais sans réussite, auriez vous une solution?
merci

Autres pages sur : adware net

15 Juillet 2006 15:01:52

Bonjour

* Télécharge HijackThis v1.99.1
http://pchelpbordeaux.free.fr/frames/logiciels/HIJACKTH...
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

Fais un scan et poste l'analyse.

Fais aussi ceci.

* Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.php
Tu le dézippes sur le Bureau. Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.
Contenus similaires
15 Juillet 2006 15:34:00

merci
voici le rapport hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 15:32:16, on 15/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\WinUpdate.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Local Settings\Temporary Internet Files\Content.IE5\2PPANMLO\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ujcrf.exe] C:\WINDOWS\system32\ujcrf.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [KillAndClean] "C:\Program Files\KillAndClean\KillAndClean.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\Documents and Settings\GUIGNARD XAVIER\Application Data\Microsoft\MMC.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: Windows Updates (WinUpd) - Unknown owner - C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\WinUpdate.exe

15 Juillet 2006 15:38:32

et voici le rapport smidfraudfix
SmitFraudFix v2.70

Rapport fait à 15:37:06,21, 15/07/2006
Executé à partir de C:\Documents and Settings\GUIGNARD XAVIER\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\ld???.tmp PRESENT !
C:\WINDOWS\system32\ld????.tmp PRESENT !
C:\WINDOWS\system32\regperf.exe PRESENT !
C:\WINDOWS\system32\stdole3.tlb PRESENT !
C:\WINDOWS\system32\yephk.dll PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\GUIGNARD XAVIER\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GUIGNA~2\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\SpyQuake2.com\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

15 Juillet 2006 15:51:28

Plusieurs infectons.
On continue.

* Télécharge
Ewido
http://www.ewido.net/en/download/
Tu l'installes.
Lance Ewido et clique sur le bouton Update (barre d'outils - au haut).
Sous Manual Update clique Start update. Patiente jusqu'à l'affichage "Update successful".

CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

* Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.

* Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

* Lance le nettoyage avec CCleaner.

* Lance Ewido. Clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan.
A la fin du scan, choisis l'option " Apply All Actions " en bas. Puis, Yes pour mettre en quarantaine.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit facile à retrouver.

* Redémarres normalement et communiques le deuxième rapport de SmitfraudFix, celui d'Ewido avec un nouveau rapport Hijackthis.
16 Juillet 2006 13:16:28

bonjour
ai tenté ce que tu m'as di mais ewido s'est bloqué
voici le rapport smidtfraud:
SmitFraudFix v2.70

Rapport fait à 17:55:14,71, 15/07/2006
Executé à partir de C:\Documents and Settings\GUIGNARD XAVIER\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\Documents and Settings\GUIGNARD XAVIER\Application Data\Microsoft\MMC.dll -> Missing File


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\regperf.exe supprimé
C:\WINDOWS\system32\stdole3.tlb supprimé
C:\WINDOWS\system32\yephk.dll supprimé
C:\WINDOWS\system32\1024\ supprimé
C:\Program Files\SpyQuake2.com\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
merci
16 Juillet 2006 14:24:23

Bonjour

Télécharge FixWareout de l'un de ces deux liens :
http://downloads.subratam.org/Fixwareout.exe
http://www.bleepingcomputer.com/files/lonny/Fixwareout....

Sauvegarde-le sur ton Bureau, puis lance-le.
Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish.
Suis les directives à l'écran.
L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît.
Le redémarrage risque de prendre un peu plus de temps; ceci est normal.
Lorsque redémarré, un fichier texte apparaîtra (report.txt); copie/colle ce rapport dans ta prochaine réponse, avec un nouveau rapport HijackThis! également.
16 Juillet 2006 17:07:14

slt
ai effectué tes conseils et voici les rapports

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}280D9C1E1BA4-41E9-6344-7EED-5A0C8846{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DA23258A7D67-B3DB-51C4-2546-66C80224{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3D297028C4B3-BA88-9BA4-2EAA-A28C55F8{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DB3D6BDD55B9-460A-B884-B85F-C2C2236F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AD6D48C0A979-97FA-0164-3388-ABA9A742{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}206D6752427A-F38B-C204-1EA5-2D623D5C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}07FB43D58687-7F29-42E4-DB81-F8428C6B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}737868360D74-FC6A-42E4-4FB2-23715CAB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5CC172D05C88-2D99-C0B4-64EA-8574B47C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}199DEEE25708-2BCB-5744-76C0-66CD094E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F8E2AAF6F179-181B-3444-797A-C9157446{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D754B25013AA-FF5B-1EC4-E1C3-FD134760{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F87F2F4B6677-C88A-EAD4-7CF1-3BCA60F4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}73836972AFCA-B23A-E204-C988-711B570A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E8C269A39DE-ECFB-EF04-07C6-465D20F0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C6AE007F17E6-863B-0BB4-41A4-69BC6B40{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}85DA959F3581-E8D8-57A4-7CF7-AB12D8B5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}009CB1F09D29-525A-0684-43DD-42391423{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FE1AC20C639C-BFA8-F314-6A75-E60DC3EB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1B6C802F8175-CE2A-A054-5163-0CA62758{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A30F0CC74A05-E53A-2434-BFFD-C73D6849{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F382596B9203-4E18-A854-1CF0-D7823CBE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E2EEF38216EE-3958-FCC4-8A21-A98873F3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4E4BCB842E12-6C4B-0AC4-304E-690DBADF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9AF7AD9A06C0-9D8A-AF54-5AD1-94D51360{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}960F6CEB4692-926A-5084-36E7-4226E764{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}454FA23763A5-559B-B644-7980-96EC1AAD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4AEABBE1850D-C708-6BF4-B394-7A6E6871{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}458C9C84777D-7FFB-C994-A66E-F903A597{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}13C7904FCD5F-8ADA-FBD4-1FFA-EA9232F5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5DB596E7A982-A048-DF34-484C-9B380B76{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}544122622769-16F9-7714-7F89-89A9B1AE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}06713242B245-48B8-4504-5D6A-CEB31EE0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B1F4D9523251-2C88-7434-0714-A2D269C1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3078BA287869-7BE8-5C24-9411-AEBCEEB5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}667D0D92CC12-6C1B-9C54-A421-DB3CFF4A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A875ADF37224-5CBA-F1D4-B203-F1DB10C2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D0E69B50E582-A259-3354-20AC-FDFC62B6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D9D3CFC5C9DD-CD3B-4084-DF29-D11094F5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E06B84424B54-66C9-7E84-15DA-AAC29102{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ADCF92B150DD-676B-8374-9D82-727F400C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}012DA7011FA4-8D4A-98D4-3BD9-39485EE9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}65EA6623AE9A-4348-2D24-AE29-FFC67B7E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B8CD2D4C6E3C-8578-2E74-F15F-ADB51C5F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ABBC1ED563DA-1B78-30D4-0249-06561328{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DFD0776B442D-F71B-0374-21A5-7C17A846{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C395C0C59ED1-4BAA-F6E4-F9C2-2F0DA684{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7E98C7BC958B-CB49-3F04-E496-C865B504{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CB318FB8EA5E-D559-A924-0967-70C136DA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}077490D8866A-817B-4B54-4484-5AE15E12{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2D93A62A79CD-204A-3CD4-6BED-4271A30B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}942A960FE3ED-F279-2404-548B-0E67FAC2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}41AE68F5A820-634B-9B54-E15E-BB7CA2BA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1E2DE7596479-E6AB-9674-1E6E-4A44861F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CAC4609D5E8C-A6BB-FF44-C9C7-64DFC954{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E4AB0BAF7E37-6168-C954-7FDB-6D3D8F26{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E70DA50DDB2B-4778-7724-1BA9-DB9EA3CB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A996B104B00B-2E19-E574-085D-67F56E2D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FC1160A1E3A5-0239-40C4-D36F-65D3436E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DFDD41392FBD-8DDB-FBD4-BF15-0DD67D12{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2E29EAAEA26A-4E99-94A4-2F95-5FCE8E1E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8B533CB36F02-5E58-F5A4-A308-ED43FA29{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}13D17DCF2894-221B-0944-9C6A-7ACA3310{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D6F88F319EA2-F0FB-FC64-78A7-972A9F7A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5C2417AD7742-E67A-4CF4-76FB-BDB479D0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0FA2A718E3DF-6FC9-EEF4-848B-103D265C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B70994F13855-DFFA-DCA4-801D-193054D4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AD0793E79D53-C649-5234-611C-8D632487{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D13CB8415D7E-0C99-0944-1599-C420D77B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4965841BC23B-000A-4C84-298A-93BEC05A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5EF8B5524177-CD5A-C024-9C4F-643A143C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}61B237DA6990-6109-F0C4-F7AC-A5DB44A1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9655F990A998-A86B-C5B4-2E65-AD6D92E7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}43402654CD82-22BA-3CE4-2984-A6824DD2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3E56D2D2B9F9-C77B-DD14-60C6-84A2A0FF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9538E7E0BDC4-F49B-B494-1EAC-F8A3A58F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0FFB59884EEB-AA9A-CFB4-5AB7-F41C2861{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}71A9E5CCC72F-9E6A-D0F4-97A4-0B148C98{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A3D1213EFDF5-21FB-C544-4187-A9DC198A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F081B76A3F9C-C229-A084-569D-0A0B8226{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7B4D6AE753DA-92F9-0784-38D1-92994D70{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5F258BF5E2A3-0289-1EA4-3C0D-E38951FC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3061814102CB-6F98-B7F4-E9BC-AD1319F7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C123A40CDB2D-01B8-1544-6124-EAD74B59{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}95C1680FB6D3-D5EB-DBE4-8209-F543FA02{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A033DC1DCA31-F2F8-8334-2F9B-1F97A702{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AA0B06F6A6DC-5679-CA74-ED0E-1861191A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}330815383556-0189-9DD4-A291-FBBD000B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}11F762F410CC-7DEB-3674-947F-0733E8F4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}235B1059A53E-936B-DC54-8793-6B0B7C4D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}06AB9B277BF1-E17A-9C04-DD30-A50E52C1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CE726D275A47-FFFB-0264-2900-183F2CD0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}44C73CB8B3D9-011A-47F4-0B5C-4E2389DE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D8BE5CCC0C1D-83DB-5134-930F-4724CB87{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}14A7D369DCB6-1F59-BAD4-715D-4C6545D9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}88C00EF48858-E39A-2D14-1027-5F6EF625{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1162BC174B9B-4D48-FDA4-1E36-1DC4FDAD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A56F7C2F10EC-8A4B-9794-927E-B0BB9DAD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3A2DCD9755DB-C92B-2234-833C-E6F4435F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}85C32EC599B3-D0FA-A554-D4E6-018FEAAC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6EFEEB3D709D-3428-B7E4-CF65-0ADDBF29{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AE2EB9AC2A25-C67A-D0D4-2C31-6D258DC7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}86122CDAA552-5B6B-B314-BFF8-AA1EDD6F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CF4CD846E417-7EF9-E0F4-2DB9-8E3A4862{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9783F5003321-4DAA-4204-0028-7BD77AE4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DA20661F4D7B-472B-C784-DD21-608FE246{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F0FE30E15DD2-73CB-34A4-0EE6-C9D4F008{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}77014EB60559-90D8-6A24-6890-7550555C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D3CAA8EB8F03-11A8-9594-F1AA-0ACC6ED2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A7A9269296E1-F14B-9394-B503-7799730F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AC3EB57995E5-E83B-DB14-AF5B-317E3C25{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3A14D1C3E31D-554B-35D4-411C-721ED37D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B9735E2CBEF1-7A58-FE04-8AD2-6AC353D4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F1C25017C481-3F8B-D2A4-9316-57BDDF69{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}10B08BCFE722-79F9-3754-84B2-F66A5820{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}89C9AE1D0AC1-230B-3D04-7405-99B62805{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CCA6652610DF-3A1B-5284-A7F3-EAC7E9E4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E6D20C1D42EB-719A-1E84-77AD-6DB15761{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}413A672DD6EF-396A-B894-B28C-24353156{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}530CC113C7C5-1E29-A0F4-E80F-B7D102FE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CD72AB0BCE82-DAB8-54D4-F88E-72488079{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C970F142B469-DFD8-0174-4CA2-8D284F84{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2DEE9640EC22-0478-0194-91B2-332F0A4D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}910A5D0FF73B-DE68-EE44-3B75-737C0ADC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}07385ABFA181-0C5B-63C4-0955-415F11C8{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4A778A31563C-820B-7324-0563-8965709B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6EFDE926766A-42E9-BE04-B176-B122FCA9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5CD29EC534C3-3299-EFE4-B2DD-8E04718E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4486C89CD666-14CB-FD84-A1DF-AFE5AE58{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6A77ACC9A7B1-C69B-A504-3CF9-210B7904{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}340503310394-E5BA-94C4-FF4B-B2704138{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D4E97FB5FB1D-C70B-FCD4-E659-56DD3E72{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BC745B0BE61C-CEB8-73F4-765E-D6EB8DFB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D3E1A7E192C9-EF29-7B54-9EA5-EE0116DF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6A4F68859926-FB4B-AB04-5AEA-9F4D4897{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D79987BD7323-36EB-8814-E5AC-F942D2AE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}96D933CAF4D4-D918-0674-D3A4-17197CA9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CCE2EB14C1D0-359A-A714-EA93-517E0F6B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}43FCD65AC2AC-7929-C0B4-43F6-7854F3CC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E77EE902991F-9828-B174-56D7-3F97E9FD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3CC7B66ABB38-B10B-5534-D933-16A9BDDD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}783A8A16D6BC-14A8-D924-7A52-C867294D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5B28F2B5D6F9-A45B-6F54-2ABE-922F2B37{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F97123550345-465B-9B34-87A1-57919389{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9D0FBCC8DBF3-623B-6D64-9658-E7F50487{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D8A45AD67CB3-416B-7B54-F902-3E160147{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D64FB8C8A395-4ACA-C644-FC96-EB2113FC{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D13BE3517D8F-2C5A-6214-FD69-481ABD3F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5844BD388805-0F7B-0EE4-CC5E-25C0F300{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6808017355E4-10B8-8974-4B2D-F068080F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}79F869F4771E-DE6B-7764-F072-7AFE4108{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BADA67BB6760-C738-58E4-311A-67C4EC5D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}35840B8ADBBE-81B8-B874-6B18-5EEAE568{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6C5B56260C6A-E0DA-70F4-627C-1166BFB3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A79EA6D0F8AC-97BA-02F4-1EA4-19BAE52B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6514F4692BA7-D489-5C34-B387-0F528334{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3F73E3B28219-B33A-6134-0063-9F5542CE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B2875D74428F-1108-DDB4-3DCC-BB46E20E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E6ACDAFC029-129B-C3E4-DEB5-BB7E1526{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}03882C54F684-CBFB-F0B4-5C45-2CCD8D36{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E48862E1A4B3-EA3A-DA94-E503-71A92082{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D898115B06A9-6B8B-0BD4-83D0-056571CA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D535158CE4EE-B96B-E8A4-D9C5-3158316D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}26DDE921D0E2-7838-F324-8C7C-442060FB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2711E7A4819B-9FA8-D7B4-7056-379DC996{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D7643C5B33C7-6C0A-D4B4-CA5E-8786809F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4E1503CF7585-8378-5A04-AB86-8585D7FD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EDE63B7D99DA-177A-DEE4-718C-23DE5BF6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E709C0135B18-BB5A-2A84-F867-9A44CB38{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}09276AFB0026-2F6A-8AD4-0998-59970E2F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}72F4DC9CCB0C-99A8-E834-AA96-257A01C5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}543505A9512B-ADB8-78F4-1E59-4EC09F6F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}669901163218-DBCB-5774-CC3C-013610B3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2BA64FD641B3-0929-9C34-303F-5DB6764B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4176DA862FEF-48FA-2194-45DD-808A8997{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}792E767AA374-39CB-BBD4-9F6D-F856065B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}038B63262EF6-BEAA-5164-6DF7-45101118{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1F11BAD7245A-3CA9-76E4-6FFA-2465D9F5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DC811952952E-494B-4474-6342-229FBE1F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0F6AD05C2DF5-6AD9-E0D4-3558-4126442D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}54F4016E678A-962A-CD64-F5FB-D829025D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DA8891D5334E-010B-7AB4-CB20-3192DE36{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}79F9C2B8D2EF-BD49-9884-CC62-EE814657{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6FAB5C16647D-FB0A-CCD4-9EE9-886F673C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}15EA80ABA2DC-32D9-69E4-564B-31D5F5C3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2E8A3F6CE177-87A8-9254-4402-69303981{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}583232EB0D24-9888-5124-CED3-D084E290{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}18063E93492A-FE9B-97F4-99F3-07C43A4E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3545ED63AA92-FACB-1304-56F5-7CC6C2CA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}67789806BEB4-7008-AAE4-C5DE-449F6654{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}058266368859-3CBB-5DC4-2BF7-76B90333{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}41E12327BA23-F24A-0BA4-DEEB-4E23DE8E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}02F1B438A592-7D49-3714-E07F-663C1D91{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8850BF25E407-548A-E5C4-B0EE-97A683F1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}206C94C2A041-A699-C0B4-E93E-C5B05F96{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A8F18A80CBBC-0818-4BD4-5B5F-42114EAB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E0178259C88D-262B-0FF4-B4CE-A5BAB66A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}83F2C011E7B2-EE08-F114-3AB2-49F5BD88{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2B636D2A3D8C-79BA-07D4-A9A3-9D6E3CC6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7A44C72BEC45-D359-2694-3C50-A8A5F5D3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F0E7007DDFD4-BF09-2934-FA6D-A58D3621{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E035ACDE7CAA-6568-6974-49EF-914A9856{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}77EDF177ED41-EDDB-AA44-DC21-1A0BB09D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6CB4F7903ED3-B36A-C4B4-3171-632D29B1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}55CA44DACDA0-0979-DA34-2BD7-7A94E2AB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}391AF24FD4D4-0218-52C4-1D63-F5D70B33{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6F6954DB3961-4D19-6384-1C3C-FAF36B7C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5057B0C5D4E5-88FA-9764-D91F-85B3D8ED{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F31C8F4B64C1-5A5A-D084-3BEE-315D3FB3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0B8B5FBD60FF-8A98-A8C4-E6FF-26B2444E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5B6D8A2E6DEC-CA5B-7504-9F31-543AA384{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F3991065FF82-CD78-2A64-A38D-4EAA8612{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A925319C9A39-949A-7094-EC7A-C5A55986{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8FCABA659E58-9F49-D5D4-317F-D81DB18E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}754E74806A42-81D8-C664-B6D5-C1A36A84{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A31BDDCA1B26-CD1A-E7E4-25DE-E6A9FEF0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4F3AA2AC441D-318B-50B4-5DCE-89AC592D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F8CD9BF7CD0F-051A-87C4-7C96-2D920F4D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6520B8217062-1C78-6D94-89A0-B47C7AF1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}40354B76A47D-3138-4DB4-1AFB-CD2C543A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0C38307CCB8A-45D8-E304-5452-0DE11E10{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D081194B887B-3C6A-ED64-0C8F-47D7F92A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8AD2F159336B-5DC9-6C04-C1B2-9A236663{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A4FFE97D0D85-484A-D244-5E28-07AF1769{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6C592552DE05-32A8-B884-426E-44B21AFB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}36EB758E5484-19D9-4564-7463-A7A66767{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}660CAC4C23B3-DD0A-9374-A116-05782721{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EAA22F72FFA9-1BA8-9924-E4B3-69BC596C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}85AA1AA71E5F-F55B-A574-F78A-38EDC1EA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D471E55554C2-09DA-07D4-BF8F-F9074484{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C7142CA5A461-C80B-4474-760A-3F8F2BBE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CF412B485384-0528-63D4-E8F4-797FC570{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E89DF4DA730D-B2C8-4CD4-4879-6E1DB848{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}144E14F04665-35A8-B7F4-B93C-10DA42F2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EEC5B7A05F6F-BEAA-4AE4-BA8C-E4E77711{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F9E057988DDB-67B9-BB74-36AE-83CB1C14{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}01AD8DC8B91B-1558-D294-A31D-3D52971C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}755FFC9B5BC4-D8DB-FD94-4B54-609D20AD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E0A6D04F2DA9-FCEB-5634-BFB4-A8B64C04{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}29A4CC7DDBF8-1B78-88F4-504B-FA144A6F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4ECF20263D74-B998-3634-AB16-21CE45F7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BFB481C09DA9-229A-3894-396C-C950A760{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSIUU.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSIUU.EXE 51 291 2006-07-14
Other suspects
Directory of C:\WINDOWS\system32
{067A059C-C693-4983-A922-9AD90C184BFB}.exe
{7F54EC12-61BA-4363-899B-47D36202FCE4}.exe
{F6A441AF-B405-4F88-87B1-8FBDD7CC4A92}.exe
{40C46B8A-4BFB-4365-BECF-9AD2F40D6A0E}.exe
{C17925D3-D13A-492D-8551-B19B8CD8DA10}.exe
{41C1BC38-EA63-47BB-9B76-BDD889750E9F}.exe
{11777E4E-C8AB-4EA4-AAEB-F6F50A7B5CEE}.exe
{2F24AD01-C39B-4F7B-8A53-56640F41E441}.exe
{848BD1E6-9784-4DC4-8C2B-D037AD4FD98E}.exe
{075CF797-4F8E-4D36-8250-483584B214FC}.exe
{EBB2F8F3-A067-4744-B08C-164A5AC2417C}.exe
{4844709F-F8FB-4D70-AD90-2C45555E174D}.exe
{AE1CDE83-A87F-475A-B55F-F5E17AA1AA58}.exe
{C695CB96-3B4E-4299-8AB1-9AFF27F22AAE}.exe
{12728750-611A-4739-A0DD-3B32C4CAC066}.exe
{76766A7A-3647-4654-9D91-4845E857BE63}.exe
{BFA12B44-E624-488B-8A23-50ED255295C6}.exe
{9671FA70-82E5-442D-A484-58D0D79EFF4A}.exe
{366632A9-2B1C-40C6-9CD5-B633951F2DA8}.exe
{A29F7D74-F8C0-46DE-A6C3-B788B491180D}.exe
{01E11ED0-2545-403E-8D54-A8BCC70383C0}.exe
{A345C2DC-BFA1-4BD4-8313-D74A67B45304}.exe
{1FA7C74B-0A98-49D6-87C1-2607128B0256}.exe
{D4F029D2-69C7-4C78-A150-F0DC7FB9DC8F}.exe
{D295CA98-ECD5-4B05-B813-D144CA2AA3F4}.exe
{ADAC3F02-CEAD-4F79-8C11-12887C0F0E18}.exe
{170001C6-4F7C-4B76-BC33-07FB5E4D65F5}.exe
{0FEF9A6E-ED52-4E7E-A1DC-62B1ACDDB13A}.exe
{48A63A1C-5D6B-466C-8D18-24A60847E457}.exe
{E81BD18D-F713-4D5D-94F9-85E956ABACF8}.exe
{68955A5C-A7CE-4907-A949-93A9C913529A}.exe
{2168AAE4-D83A-46A2-87DC-28FF5601993F}.exe
{483AA345-13F9-4057-B5AC-CED6E2A8D6B5}.exe
{E4442B62-FF6E-4C8A-89A8-FF06DBF5B8B0}.exe
{3BF3D513-EEB3-480D-A5A5-1C46B4F8C13F}.exe
{DE8D3B58-F19D-4679-AF88-5E4D5C0B7505}.exe
{C7B63FAF-C3C1-4836-91D4-1693BD4596F6}.exe
{33B07D5F-36D1-4C25-8120-4D4DF42FA193}.exe
{BA2E49A7-7DB2-43AD-9790-0ADCAD44AC55}.exe
{1B92D236-1713-4B4C-A63B-3DE3097F4BC6}.exe
{D90BB0A1-12CD-44AA-BDDE-14DE771FDE77}.exe
{6589A419-FE94-4796-8656-AAC7EDCA530E}.exe
{1263D85A-D6AF-4392-90FB-4DFDD7007E0F}.exe
{3D5F5A8A-05C3-4962-953D-54CEB27C44A7}.exe
{6CC3E6D9-3A9A-4D70-AB97-C8D3A2D636B2}.exe
{88DB5F94-2BA3-411F-80EE-2B7E110C2F38}.exe
{A66BAB5A-EC4B-4FF0-B262-D88C9528710E}.exe
{BAE41124-F5B5-4DB4-8180-CBBC08A81F8A}.exe
{69F50B5C-E39E-4B0C-996A-140A2C49C602}.exe
{1F386A79-EE0B-4C5E-A845-704E52FB0588}.exe
{19D1C366-F70E-4173-94D7-295A834B1F20}.exe
{E8ED32E4-BEED-4AB0-A42F-32AB72321E14}.exe
{33309B67-7FB2-4CD5-BBC3-958863662850}.exe
{4566F944-ED5C-4EAA-8007-4BEB60898776}.exe
{AC2C6CC7-5F65-4031-BCAF-29AA36DE5453}.exe
{E4A34C70-3F99-4F79-B9EF-A29439E36081}.exe
{092E480D-3DEC-4215-8889-42D0BE232385}.exe
{18930396-2044-4529-8A78-771EC6F3A8E2}.exe
{3C5F5D13-B465-4E96-9D23-CD2ABA08AE51}.exe
{C376F688-9EE9-4DCC-A0BF-D74661C5BAF6}.exe
{756418EE-26CC-4889-94DB-FE2D8B2C9F97}.exe
{63ED2913-02BC-4BA7-B010-E4335D1988AD}.exe
{D520928D-BF5F-46DC-A269-A876E6104F45}.exe
{D2446214-8553-4D0E-9DA6-5FD2C50DA6F0}.exe
{F1EBF922-2436-4744-B494-E259259118CD}.exe
{5F9D5642-AFF6-4E67-9AC3-A5427DAB11F1}.exe
{81110154-7FD6-4615-AAEB-6FE26236B830}.exe
{B560658F-D6F9-4DBB-BC93-473AA767E297}.exe
{7998A808-DD54-4912-AF84-FEF268AD6714}.exe
{B4676BD5-F303-43C9-9290-3B146DF46AB2}.exe
{3B016310-C3CC-4775-BCBD-812361109966}.exe
{F6F90CE4-95E1-4F87-8BDA-B2159A505345}.exe
{5C10A752-69AA-438E-8A99-C0BCC9CD4F27}.exe
{F2E07995-8990-4DA8-A6F2-6200BFA67290}.exe
{83BC44A9-768F-48A2-A5BB-81B5310C907E}.exe
{6FB5ED32-C817-4EED-A771-AD99D7B36EDE}.exe
{DF7D5858-68BA-40A5-8738-5857FC3051E4}.exe
{F9086878-E5AC-4B4D-A0C6-7C33B5C3467D}.exe
{BF060244-C7C8-423F-8387-2E0D129EDD62}.exe
{D6138513-5C9D-4A8E-B69B-EE4EC851535D}.exe
{AC175650-0D38-4DB0-B8B6-9A60B511898D}.exe
{63D8DCC2-54C5-4B0F-BFBC-486F45C28830}.exe
{E02E64BB-CCD3-4BDD-8011-F82447D5782B}.exe
{EC2455F9-3600-4316-A33B-91282B3E37F3}.exe
{433825F0-783B-43C5-984D-7AB2964F4156}.exe
{3BFB6611-C726-4F07-AD0E-A6C06265B5C6}.exe
{865EAEE5-81B6-478B-8B18-EBBDA8B04853}.exe
{D5CE4C76-A113-4E85-837C-0676BB76ADAB}.exe
{8014EFA7-270F-4677-B6ED-E1774F968F97}.exe
{F080860F-D2B4-4798-8B01-4E5537108086}.exe
{003F0C52-E5CC-4EE0-B7F0-508883DB4485}.exe
{F3DBA184-96DF-4126-A5C2-F8D7153EB31D}.exe
{CF3112BE-69CF-446C-ACA4-593A8C8BF46D}.exe
{741061E3-209F-45B7-B614-3BC76DA54A8D}.exe
{78405F7E-8569-46D6-B326-3FBD8CCBF0D9}.exe
{98391975-1A78-43B9-B564-54305532179F}.exe
{73B2F229-EBA2-45F6-B54A-9F6D5B2F82B5}.exe
{D492768C-25A7-429D-8A41-CB6D61A8A387}.exe
{DDDB9A61-339D-4355-B01B-83BBA66B7CC3}.exe
{DF9E79F3-7D65-471B-8289-F199209EE77E}.exe
{CC3F4587-6F34-4B0C-9297-CA2CA56DCF34}.exe
{B6F0E715-39AE-417A-A953-0D1C41BE2ECC}.exe
{9AC79171-4A3D-4760-819D-4D4FAC339D69}.exe
{EA2D249F-CA5E-4188-BE63-3237DB78997D}.exe
{7984D4F9-AEA5-40BA-B4BF-62995886F4A6}.exe
{FD6110EE-5AE9-45B7-92FE-9C291E7A1E3D}.exe
{BFD8BE6D-E567-4F37-8BEC-C16EB0B547CB}.exe
{27E3DD65-956E-4DCF-B07C-D1BF5BF79E4D}.exe
{8314072B-B4FF-4C49-AB5E-493013305043}.exe
{4097B012-9FC3-405A-B96C-1B7A9CCA77A6}.exe
{85EA5EFA-FD1A-48DF-BC41-666DC98C6844}.exe
{E81740E8-DD2B-4EFE-9923-3C435CE92DC5}.exe
{9ACF221B-671B-40EB-9E24-A667629EDFE6}.exe
{B9075698-3650-4237-B028-C36513A877A4}.exe
{8C11F514-5590-4C36-B5C0-181AFBA58370}.exe
{CDA0C737-57B3-44EE-86ED-B37FF0D5A019}.exe
{D4A0F233-2B19-4910-8740-22CE0469EED2}.exe
{48F482D8-2AC4-4710-8DFD-964B241F079C}.exe
{97088427-E88F-4D45-8BAD-28ECB0BA27DC}.exe
{EF201D7B-F08E-4F0A-92E1-5C7C311CC035}.exe
{65135342-C82B-498B-A693-FE6DD276A314}.exe
{16751BD6-DA77-48E1-A917-BE24D1C02D6E}.exe
{4E9E7CAE-3F7A-4825-B1A3-FD0162566ACC}.exe
{50826B99-5047-40D3-B032-1CA0D1EA9C98}.exe
{0285A66F-2B48-4573-9F97-227EFCB80B01}.exe
{96FDDB75-6139-4A2D-B8F3-184C71052C1F}.exe
{4D353CA6-2DA8-40EF-85A7-1FEBC2E5379B}.exe
{D73DE127-C114-4D53-B455-D13E3C1D41A3}.exe
{52C3E713-B5FA-41BD-B38E-5E59975BE3CA}.exe
{F0379977-305B-4939-B41F-1E6929629A7A}.exe
{2DE6CCA0-AA1F-4959-8A11-30F8BE8AAC3D}.exe
{C5550557-0986-42A6-8D09-95506BE41077}.exe
{642EF806-12DD-487C-B274-B7D4F16602AD}.exe
{4EA77DB7-8200-4024-AAD4-1233005F3879}.exe
{2684A3E8-9BD2-4F0E-9FE7-714E648DC4FC}.exe
{F6DDE1AA-8FFB-413B-B6B5-255AADC22168}.exe
{7CD852D6-13C2-4D0D-A76C-52A2CA9BE2EA}.exe
{92FBDDA0-56FC-4E7B-8243-D907D3BEEFE6}.exe
{CAAEF810-6E4D-455A-AF0D-3B995CE23C58}.exe
{F5344F6E-C338-4322-B29C-BD5579DCD2A3}.exe
{DAD9BB0B-E729-4979-B4A8-CE01F2C7F65A}.exe
{DADF4CD1-63E1-4ADF-84D4-B9B471CB2611}.exe
{526FE6F5-7201-41D2-A93E-85884FE00C88}.exe
{9D5456C4-D517-4DAB-95F1-6BCD963D7A41}.exe
{78BC4274-F039-4315-BD38-D1C0CCC5EB8D}.exe
{ED9832E4-C5B0-4F74-A110-9D3B8BC37C44}.exe
{0DC2F381-0092-4620-BFFF-74A572D627EC}.exe
{1C25E05A-03DD-40C9-A71E-1FB772B9BA60}.exe
{D4C7B0B6-3978-45CD-B639-E35A9501B532}.exe
{4F8E3370-F749-4763-BED7-CC014F267F11}.exe
{B000DBBF-192A-4DD9-9810-655383518033}.exe
{A1911681-E0DE-47AC-9765-CD6A6F60B0AA}.exe
{207A79F1-B9F2-4338-8F2F-13ACD1CD330A}.exe
{20AF345F-9028-4EBD-BE5D-3D6BF0861C59}.exe
{95B47DAE-4216-4451-8B10-D2BDC04A321C}.exe
{7F9131DA-CB9E-4F7B-89F6-BC2014181603}.exe
{CF15983E-D0C3-4AE1-9820-3A2E5FB852F5}.exe
{07D49929-1D83-4870-9F29-AD357EA6D4B7}.exe
{6228B0A0-D965-480A-922C-C9F3A67B180F}.exe
{A891CD9A-7814-445C-BF12-5FDFE3121D3A}.exe
{89C841B0-4A79-4F0D-A6E9-F27CCC5E9A17}.exe
{1682C14F-7BA5-4BFC-A9AA-BEE48895BFF0}.exe
{F85A3A8F-CAE1-494B-B94F-4CDB0E7E8359}.exe
{FF0A2A48-6C06-41DD-B77C-9F9B2D2D65E3}.exe
{2DD4286A-4892-4EC3-AB22-28DC45620434}.exe
{7E29D6DA-56E2-4B5C-B68A-899A099F5569}.exe
{1A44BD5A-CA7F-4C0F-9016-0996AD732B16}.exe
{C341A346-F4C9-420C-A5DC-7714255B8FE5}.exe
{A50CEB39-A892-48C4-A000-B32CB1485694}.exe
{B77D024C-9951-4490-99C0-E7D5148BC31D}.exe
{784236D8-C116-4325-946C-35D97E3970DA}.exe
{4D450391-D108-4ACD-AFFD-55831F49907B}.exe
{C562D301-B848-4FEE-9CF6-FD3E817A2AF0}.exe
{0D974BDB-BF67-4FC4-A76E-2477DA7142C5}.exe
{A7F9A279-7A87-46CF-BF0F-2AE913F88F6D}.exe
{0133ACA7-A6C9-4490-B122-4982FCD71D31}.exe
{92AF34DE-803A-4A5F-85E5-20F63BC335B8}.exe
{E1E8ECF5-59F2-4A49-99E4-A62AEAAE92E2}.exe
{21D76DD0-51FB-4DBF-BDD8-DBF29314DDFD}.exe
{E6343D56-F63D-4C04-9320-5A3E1A0611CF}.exe
{D2E65F76-D580-475E-91E2-B00B401B699A}.exe
{BC3AE9BD-9AB1-4277-8774-B2BDD05AD07E}.exe
{62F8D3D6-BDF7-459C-8616-73E7FAB0BA4E}.exe
{459CFD46-7C9C-44FF-BB6A-C8E5D9064CAC}.exe
{F16844A4-E6E1-4769-BA6E-9746957ED2E1}.exe
{AB2AC7BB-E51E-45B9-B436-028A5F86EA14}.exe
{2CAF76E0-B845-4042-972F-DE3EF069A249}.exe
{B03A1724-DEB6-4DC3-A402-DC97A26A39D2}.exe
{21E51EA5-4844-45B4-B718-A6688D094770}.exe
{AD631C07-7690-429A-955D-E5AE8BF813BC}.exe
{405B568C-694E-40F3-94BC-B859CB7C89E7}.exe
{486AD0F2-2C9F-4E6F-AAB4-1DE95C0C593C}.exe
{648A71C7-5A12-4730-B17F-D244B6770DFD}.exe
{82316560-9420-4D03-87B1-AD365DE1CBBA}.exe
{F5C15BDA-F51F-47E2-8758-C3E6C4D2DC8B}.exe
{E7B76CFF-92EA-42D2-8434-A9EA3266AE56}.exe
{9EE58493-9DB3-4D89-A4D8-4AF1107AD210}.exe
{C004F727-28D9-4738-B676-DD051B29FCDA}.exe
{20192CAA-AD51-48E7-9C66-45B42448B60E}.exe
{5F49011D-92FD-4804-B3DC-DD9C5CFC3D9D}.exe
{6B26CFDF-CA02-4533-952A-285E05B96E0D}.exe
{2C01BD1F-302B-4D1F-ABC5-42273FDA578A}.exe
{A4FFC3BD-124A-45C9-B1C6-21CC29D0D766}.exe
{5BEECBEA-1149-42C5-8EB7-968782AB8703}.exe
{1C962D2A-4170-4347-88C2-1523259D4F1B}.exe
{0EE13BEC-A6D5-4054-8B84-542B24231760}.exe
{EA1B9A98-98F7-4177-9F61-967226221445}.exe
{67B083B9-C484-43FD-840A-289A7E695BD5}.exe
{5F2329AE-AFF1-4DBF-ADA8-F5DCF4097C31}.exe
{795A309F-E66A-499C-BFF7-D77748C9C854}.exe
{1786E6A7-493B-4FB6-807C-D0581EBBAEA4}.exe
{DAA1CE69-0897-446B-B955-5A36732AF454}.exe
{467E6224-7E63-4805-A629-2964BEC6F069}.exe
{06315D49-1DA5-45FA-A8D9-0C60A9DA7FA9}.exe
{FDABD096-E403-4CA0-B4C6-21E248BCB4E4}.exe
{3F37889A-12A8-4CCF-8593-EE61283FEE2E}.exe
{EBC3287D-0FC1-458A-81E4-3029B695283F}.exe
{9486D37C-DFFB-4342-A35E-50A47CC0F03A}.exe
{85726AC0-3615-450A-A2EC-5718F208C6B1}.exe
{32419324-DD34-4860-A525-92D90F1BC900}.exe
{5B8D21BA-7FC7-4A75-8D8E-1853F959AD58}.exe
{04B6CB96-4A14-4BB0-B368-6E71F700EA6C}.exe
{0F02D564-6C70-40FE-BFCE-ED93A962C8E5}.exe
{A075B117-889C-402E-A32B-ACFA27963837}.exe
{4F06ACB3-1FC7-4DAE-A88C-7766B4F2F78F}.exe
{067431DF-3C1E-4CE1-B5FF-AA31052B457D}.exe
{6447519C-A797-4443-B181-971F6FAA2E8F}.exe
{E490DC66-0C67-4475-BCB2-80752EEED991}.exe
{C74B4758-AE46-4B0C-99D2-88C50D271CC5}.exe
{BAC51732-2BF4-4E24-A6CF-47D063868737}.exe
{B6C8248F-18BD-4E24-92F7-78685D34BF70}.exe
{C5D326D2-5AE1-402C-B83F-A7242576D602}.exe
{247A9ABA-8833-4610-AF79-979A0C84D6DA}.exe
{F6322C2C-F58B-488B-A064-9B55DDB6D3BD}.exe
{8F55C82A-AAE2-4AB9-88AB-3B4C820792D3}.exe
{42208C66-6452-4C15-BD3B-76D7A85232AD}.exe

Logfile of HijackThis v1.99.1
Scan saved at 17:04:41, on 16/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\WinUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [eiefe.exe] C:\WINDOWS\system32\eiefe.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: Windows Updates (WinUpd) - Unknown owner - C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\WinUpdate.exe

merci pour ton aide
16 Juillet 2006 17:34:41

On continue
très beau travail de FixWareOut

1 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

2 Relance un scan HijackThis et coche les lignes ci-dessous :

F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [eiefe.exe] C:\WINDOWS\system32\eiefe.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O23 - Service: Windows Updates (WinUpd) - Unknown owner - C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\WinUpdate.exe

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

3 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

4 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.

Dans la liste des services, cherche et sélectionne
"Windows Updates" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\WinUpdate.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.

5 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\system32\eiefe.exe.
C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

6 Lance le nettoyage avec CCleaner.

7 Lance Ewido.
Clique sur le bouton Scanner (de la barre d'outils)
Puis sur l'onglets Settings, pour How to Act. Clique sur Recommanded Actions. Sélectionne Quarantine.
Reviens a l'onglet Scan. Clique Complete system Scan
A la fin du scan, choisis l'option " Apply All Actions " en bas.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit facile à retrouver.

8 Redémarre normalement et poste un nouveau log HijackThis avec le rapport d'Ewido.
16 Juillet 2006 21:23:32

salut
ai fait ce que tu m'as di mais ewido s'est encore bloqué sur C:\PAGEFILE.SYS et a trouvé Downloader.Agent.uj
mais voici le log hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 20:30:21, on 16/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [eiefe.exe] C:\WINDOWS\system32\eiefe.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: Windows Updates (WinUpd) - Unknown owner - C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\WinUpdate.exe

merci
16 Juillet 2006 22:23:30

re
je crois que malgré tout ca a fonctionné car le adware ne s'est plus manifesté pour le moment
as tu une raison?
merci
16 Juillet 2006 22:35:51

re,re
mais ai un autre souci:
quand je fais une recherche sur google, je ne peu ouvrir les sites directement mais je doi taper adresse dans la barre d'adresse
de plus quand je suis sur un site et que que je clique sur un lien (ex:p hoto) ma page initiale se referme et je ne peux y revenir
Que dois-je faire?
merci pour t conseils
17 Juillet 2006 01:41:52

Le rapport HijackThis est inchangé.
Refais la manip décite au dessus.
17 Juillet 2006 14:20:31

ai refait les manips
ewido s'est encor bloqué
voici le rapport hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 13:43:54, on 17/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\Userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

17 Juillet 2006 16:55:32

et m!!!!!
ai chopé un nouveau virus
voici rapport hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 16:53:27, on 17/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [rromu.exe] C:\WINDOWS\system32\rromu.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

stp que dois je faire pour que cela se termine
merci
17 Juillet 2006 17:02:21

Refais la manip avec FixwareOut, il est revenu.

Poste son rapport avec un nouveau HijackThis.
17 Juillet 2006 18:15:13

voici les rapports

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}63BAA881303F-57B8-6404-0C55-00CC5000{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A935BD365B55-4C39-C0F4-A744-2AC6C69A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C1676BBD22D0-000A-60B4-5CAE-03A8A08E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A7A7C0420C21-D7C8-9F34-C2D8-9EF94170{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7DC552D15248-FAE9-5F14-9318-655B3E1F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}080BA65A7EDE-622A-9744-71A2-A92FB3AD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DCF7E21B9566-FEC9-2744-6809-86225887{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}04F4C6F9F808-125B-4404-4D5E-52DCF168{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}52BFB9BF9D24-E35A-CCE4-2022-3D003877{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D25B77263F3F-DD5A-8EE4-3AD7-3A40042C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B4B264E5CA79-859A-4534-6F57-E120FD3F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8FB6318CA01A-BDE8-7104-9BC3-36CDA363{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DF2AEC85D05B-9FB9-0644-B7C9-2BA5505B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F4482E6A3606-CD68-22C4-5CFB-FE8CB0AE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1DEF40C1915C-A698-FAA4-3C3C-12B36633{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D0A606CF1E5C-FB58-82B4-7DF1-E9A053EF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}16DA907B7AAC-8FCA-4964-8232-8CCBE407{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}13BD708AB426-C928-3AA4-20C8-3985E6D5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}113485864633-05B8-74D4-92A1-3B053B61{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7D6AE908102E-64A9-0BB4-3D1A-CC20D09C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xtymd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}10B67D88EF80-6C3A-68A4-3A78-9441B168{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ED26E43B3756-49FB-9A04-649A-BAE36DCA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmytx.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSIUU.EXE
* csr.exe C:\WINDOWS\System32\CSLMX.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSIUU.EXE 51 291 2006-07-14
C:\WINDOWS\SYSTEM32\CSLMX.EXE 51 291 2006-07-16
C:\WINDOWS\SYSTEM32\DMYTX.EXE 62 052 2004-08-05
Other suspects
Directory of C:\WINDOWS\system32
{ACD63EAB-A946-40A9-BF94-6573B34E62DE}.exe
{861B1449-87A3-4A86-A3C6-08FE88D76B01}.exe
{AFC49ED2-895C-4CEB-8246-9012F3FE9FD8}.exe
{5D58AFC3-D983-4CC9-899A-5DEE81B29135}.exe
{C90D02CC-A1D3-4BB0-9A46-E201809EA6D7}.exe
{16B350B3-1A29-4D47-8B50-336468584311}.exe
{5D6E5893-8C02-4AA3-829C-624BA807DB31}.exe
{704EBCC8-2328-4694-ACF8-CAA7B709AD61}.exe
{FE350A9E-1FD7-4B28-85BF-C5E1FC606A0D}.exe
{33663B21-C3C3-4AAF-896A-C5191C04FED1}.exe
{EA0BC8EF-BFC5-4C22-86DC-6063A6E2844F}.exe
{B5055AB2-9C7B-4460-9BF9-B50D58CEA2FD}.exe
{363ADC63-3CB9-4017-8EDB-A10AC8136BF8}.exe
{F3DF021E-75F6-4354-A958-97AC5E462B4B}.exe
{C24004A3-7DA3-4EE8-A5DD-F3F36277B52D}.exe
{778300D3-2202-4ECC-A53E-42D9FB9BFB25}.exe
{861FCD25-E5D4-4044-B521-808F9F6C4F40}.exe
{DA3BF29A-2A17-4479-A226-EDE7A56AB080}.exe
{F1E3B556-8139-41F5-9EAF-84251D255CD7}.exe
{07149FE9-8D2C-43F9-8C7D-12C0240C7A7A}.exe
{E80A8A30-EAC5-4B06-A000-0D22DBB6761C}.exe
{A96C6CA2-447A-4F0C-93C4-55B563DB539A}.exe
{067A059C-C693-4983-A922-9AD90C184BFB}.exe
{7F54EC12-61BA-4363-899B-47D36202FCE4}.exe
{F6A441AF-B405-4F88-87B1-8FBDD7CC4A92}.exe
{40C46B8A-4BFB-4365-BECF-9AD2F40D6A0E}.exe
{C17925D3-D13A-492D-8551-B19B8CD8DA10}.exe
{41C1BC38-EA63-47BB-9B76-BDD889750E9F}.exe
{11777E4E-C8AB-4EA4-AAEB-F6F50A7B5CEE}.exe
{2F24AD01-C39B-4F7B-8A53-56640F41E441}.exe
{848BD1E6-9784-4DC4-8C2B-D037AD4FD98E}.exe
{075CF797-4F8E-4D36-8250-483584B214FC}.exe
{EBB2F8F3-A067-4744-B08C-164A5AC2417C}.exe
{4844709F-F8FB-4D70-AD90-2C45555E174D}.exe
{AE1CDE83-A87F-475A-B55F-F5E17AA1AA58}.exe
{C695CB96-3B4E-4299-8AB1-9AFF27F22AAE}.exe
{12728750-611A-4739-A0DD-3B32C4CAC066}.exe
{76766A7A-3647-4654-9D91-4845E857BE63}.exe
{BFA12B44-E624-488B-8A23-50ED255295C6}.exe
{9671FA70-82E5-442D-A484-58D0D79EFF4A}.exe
{366632A9-2B1C-40C6-9CD5-B633951F2DA8}.exe
{A29F7D74-F8C0-46DE-A6C3-B788B491180D}.exe
{01E11ED0-2545-403E-8D54-A8BCC70383C0}.exe
{A345C2DC-BFA1-4BD4-8313-D74A67B45304}.exe
{1FA7C74B-0A98-49D6-87C1-2607128B0256}.exe
{D4F029D2-69C7-4C78-A150-F0DC7FB9DC8F}.exe
{D295CA98-ECD5-4B05-B813-D144CA2AA3F4}.exe
{ADAC3F02-CEAD-4F79-8C11-12887C0F0E18}.exe
{170001C6-4F7C-4B76-BC33-07FB5E4D65F5}.exe
{0FEF9A6E-ED52-4E7E-A1DC-62B1ACDDB13A}.exe
{48A63A1C-5D6B-466C-8D18-24A60847E457}.exe
{E81BD18D-F713-4D5D-94F9-85E956ABACF8}.exe
{68955A5C-A7CE-4907-A949-93A9C913529A}.exe
{2168AAE4-D83A-46A2-87DC-28FF5601993F}.exe
{483AA345-13F9-4057-B5AC-CED6E2A8D6B5}.exe
{E4442B62-FF6E-4C8A-89A8-FF06DBF5B8B0}.exe
{3BF3D513-EEB3-480D-A5A5-1C46B4F8C13F}.exe
{DE8D3B58-F19D-4679-AF88-5E4D5C0B7505}.exe
{C7B63FAF-C3C1-4836-91D4-1693BD4596F6}.exe
{33B07D5F-36D1-4C25-8120-4D4DF42FA193}.exe
{BA2E49A7-7DB2-43AD-9790-0ADCAD44AC55}.exe
{1B92D236-1713-4B4C-A63B-3DE3097F4BC6}.exe
{D90BB0A1-12CD-44AA-BDDE-14DE771FDE77}.exe
{6589A419-FE94-4796-8656-AAC7EDCA530E}.exe
{1263D85A-D6AF-4392-90FB-4DFDD7007E0F}.exe
{3D5F5A8A-05C3-4962-953D-54CEB27C44A7}.exe
{6CC3E6D9-3A9A-4D70-AB97-C8D3A2D636B2}.exe
{88DB5F94-2BA3-411F-80EE-2B7E110C2F38}.exe
{A66BAB5A-EC4B-4FF0-B262-D88C9528710E}.exe
{BAE41124-F5B5-4DB4-8180-CBBC08A81F8A}.exe
{69F50B5C-E39E-4B0C-996A-140A2C49C602}.exe
{1F386A79-EE0B-4C5E-A845-704E52FB0588}.exe
{19D1C366-F70E-4173-94D7-295A834B1F20}.exe
{E8ED32E4-BEED-4AB0-A42F-32AB72321E14}.exe
{33309B67-7FB2-4CD5-BBC3-958863662850}.exe
{4566F944-ED5C-4EAA-8007-4BEB60898776}.exe
{AC2C6CC7-5F65-4031-BCAF-29AA36DE5453}.exe
{E4A34C70-3F99-4F79-B9EF-A29439E36081}.exe
{092E480D-3DEC-4215-8889-42D0BE232385}.exe
{18930396-2044-4529-8A78-771EC6F3A8E2}.exe
{3C5F5D13-B465-4E96-9D23-CD2ABA08AE51}.exe
{C376F688-9EE9-4DCC-A0BF-D74661C5BAF6}.exe
{756418EE-26CC-4889-94DB-FE2D8B2C9F97}.exe
{63ED2913-02BC-4BA7-B010-E4335D1988AD}.exe
{D520928D-BF5F-46DC-A269-A876E6104F45}.exe
{D2446214-8553-4D0E-9DA6-5FD2C50DA6F0}.exe
{F1EBF922-2436-4744-B494-E259259118CD}.exe
{5F9D5642-AFF6-4E67-9AC3-A5427DAB11F1}.exe
{81110154-7FD6-4615-AAEB-6FE26236B830}.exe
{B560658F-D6F9-4DBB-BC93-473AA767E297}.exe
{7998A808-DD54-4912-AF84-FEF268AD6714}.exe
{B4676BD5-F303-43C9-9290-3B146DF46AB2}.exe
{3B016310-C3CC-4775-BCBD-812361109966}.exe
{F6F90CE4-95E1-4F87-8BDA-B2159A505345}.exe
{5C10A752-69AA-438E-8A99-C0BCC9CD4F27}.exe
{F2E07995-8990-4DA8-A6F2-6200BFA67290}.exe
{83BC44A9-768F-48A2-A5BB-81B5310C907E}.exe
{6FB5ED32-C817-4EED-A771-AD99D7B36EDE}.exe
{DF7D5858-68BA-40A5-8738-5857FC3051E4}.exe
{F9086878-E5AC-4B4D-A0C6-7C33B5C3467D}.exe
{BF060244-C7C8-423F-8387-2E0D129EDD62}.exe
{D6138513-5C9D-4A8E-B69B-EE4EC851535D}.exe
{AC175650-0D38-4DB0-B8B6-9A60B511898D}.exe
{63D8DCC2-54C5-4B0F-BFBC-486F45C28830}.exe
{E02E64BB-CCD3-4BDD-8011-F82447D5782B}.exe
{EC2455F9-3600-4316-A33B-91282B3E37F3}.exe
{433825F0-783B-43C5-984D-7AB2964F4156}.exe
{3BFB6611-C726-4F07-AD0E-A6C06265B5C6}.exe
{865EAEE5-81B6-478B-8B18-EBBDA8B04853}.exe
{D5CE4C76-A113-4E85-837C-0676BB76ADAB}.exe
{8014EFA7-270F-4677-B6ED-E1774F968F97}.exe
{F080860F-D2B4-4798-8B01-4E5537108086}.exe
{003F0C52-E5CC-4EE0-B7F0-508883DB4485}.exe
{F3DBA184-96DF-4126-A5C2-F8D7153EB31D}.exe
{CF3112BE-69CF-446C-ACA4-593A8C8BF46D}.exe
{741061E3-209F-45B7-B614-3BC76DA54A8D}.exe
{78405F7E-8569-46D6-B326-3FBD8CCBF0D9}.exe
{98391975-1A78-43B9-B564-54305532179F}.exe
{73B2F229-EBA2-45F6-B54A-9F6D5B2F82B5}.exe
{D492768C-25A7-429D-8A41-CB6D61A8A387}.exe
{DDDB9A61-339D-4355-B01B-83BBA66B7CC3}.exe
{DF9E79F3-7D65-471B-8289-F199209EE77E}.exe
{CC3F4587-6F34-4B0C-9297-CA2CA56DCF34}.exe
{B6F0E715-39AE-417A-A953-0D1C41BE2ECC}.exe
{9AC79171-4A3D-4760-819D-4D4FAC339D69}.exe
{EA2D249F-CA5E-4188-BE63-3237DB78997D}.exe
{7984D4F9-AEA5-40BA-B4BF-62995886F4A6}.exe
{FD6110EE-5AE9-45B7-92FE-9C291E7A1E3D}.exe
{BFD8BE6D-E567-4F37-8BEC-C16EB0B547CB}.exe
{27E3DD65-956E-4DCF-B07C-D1BF5BF79E4D}.exe
{8314072B-B4FF-4C49-AB5E-493013305043}.exe
{4097B012-9FC3-405A-B96C-1B7A9CCA77A6}.exe
{85EA5EFA-FD1A-48DF-BC41-666DC98C6844}.exe
{E81740E8-DD2B-4EFE-9923-3C435CE92DC5}.exe
{9ACF221B-671B-40EB-9E24-A667629EDFE6}.exe
{B9075698-3650-4237-B028-C36513A877A4}.exe
{8C11F514-5590-4C36-B5C0-181AFBA58370}.exe
{CDA0C737-57B3-44EE-86ED-B37FF0D5A019}.exe
{D4A0F233-2B19-4910-8740-22CE0469EED2}.exe
{48F482D8-2AC4-4710-8DFD-964B241F079C}.exe
{97088427-E88F-4D45-8BAD-28ECB0BA27DC}.exe
{EF201D7B-F08E-4F0A-92E1-5C7C311CC035}.exe
{65135342-C82B-498B-A693-FE6DD276A314}.exe
{16751BD6-DA77-48E1-A917-BE24D1C02D6E}.exe
{4E9E7CAE-3F7A-4825-B1A3-FD0162566ACC}.exe
{50826B99-5047-40D3-B032-1CA0D1EA9C98}.exe
{0285A66F-2B48-4573-9F97-227EFCB80B01}.exe
{96FDDB75-6139-4A2D-B8F3-184C71052C1F}.exe
{4D353CA6-2DA8-40EF-85A7-1FEBC2E5379B}.exe
{D73DE127-C114-4D53-B455-D13E3C1D41A3}.exe
{52C3E713-B5FA-41BD-B38E-5E59975BE3CA}.exe
{F0379977-305B-4939-B41F-1E6929629A7A}.exe
{2DE6CCA0-AA1F-4959-8A11-30F8BE8AAC3D}.exe
{C5550557-0986-42A6-8D09-95506BE41077}.exe
{642EF806-12DD-487C-B274-B7D4F16602AD}.exe
{4EA77DB7-8200-4024-AAD4-1233005F3879}.exe
{2684A3E8-9BD2-4F0E-9FE7-714E648DC4FC}.exe
{F6DDE1AA-8FFB-413B-B6B5-255AADC22168}.exe
{7CD852D6-13C2-4D0D-A76C-52A2CA9BE2EA}.exe
{92FBDDA0-56FC-4E7B-8243-D907D3BEEFE6}.exe
{CAAEF810-6E4D-455A-AF0D-3B995CE23C58}.exe
{F5344F6E-C338-4322-B29C-BD5579DCD2A3}.exe
{DAD9BB0B-E729-4979-B4A8-CE01F2C7F65A}.exe
{DADF4CD1-63E1-4ADF-84D4-B9B471CB2611}.exe
{526FE6F5-7201-41D2-A93E-85884FE00C88}.exe
{9D5456C4-D517-4DAB-95F1-6BCD963D7A41}.exe
{78BC4274-F039-4315-BD38-D1C0CCC5EB8D}.exe
{ED9832E4-C5B0-4F74-A110-9D3B8BC37C44}.exe
{0DC2F381-0092-4620-BFFF-74A572D627EC}.exe
{1C25E05A-03DD-40C9-A71E-1FB772B9BA60}.exe
{D4C7B0B6-3978-45CD-B639-E35A9501B532}.exe
{4F8E3370-F749-4763-BED7-CC014F267F11}.exe
{B000DBBF-192A-4DD9-9810-655383518033}.exe
{A1911681-E0DE-47AC-9765-CD6A6F60B0AA}.exe
{207A79F1-B9F2-4338-8F2F-13ACD1CD330A}.exe
{20AF345F-9028-4EBD-BE5D-3D6BF0861C59}.exe
{95B47DAE-4216-4451-8B10-D2BDC04A321C}.exe
{7F9131DA-CB9E-4F7B-89F6-BC2014181603}.exe
{CF15983E-D0C3-4AE1-9820-3A2E5FB852F5}.exe
{07D49929-1D83-4870-9F29-AD357EA6D4B7}.exe
{6228B0A0-D965-480A-922C-C9F3A67B180F}.exe
{A891CD9A-7814-445C-BF12-5FDFE3121D3A}.exe
{89C841B0-4A79-4F0D-A6E9-F27CCC5E9A17}.exe
{1682C14F-7BA5-4BFC-A9AA-BEE48895BFF0}.exe
{F85A3A8F-CAE1-494B-B94F-4CDB0E7E8359}.exe
{FF0A2A48-6C06-41DD-B77C-9F9B2D2D65E3}.exe
{2DD4286A-4892-4EC3-AB22-28DC45620434}.exe
{7E29D6DA-56E2-4B5C-B68A-899A099F5569}.exe
{1A44BD5A-CA7F-4C0F-9016-0996AD732B16}.exe
{C341A346-F4C9-420C-A5DC-7714255B8FE5}.exe
{A50CEB39-A892-48C4-A000-B32CB1485694}.exe
{B77D024C-9951-4490-99C0-E7D5148BC31D}.exe
{784236D8-C116-4325-946C-35D97E3970DA}.exe
{4D450391-D108-4ACD-AFFD-55831F49907B}.exe
{C562D301-B848-4FEE-9CF6-FD3E817A2AF0}.exe
{0D974BDB-BF67-4FC4-A76E-2477DA7142C5}.exe
{A7F9A279-7A87-46CF-BF0F-2AE913F88F6D}.exe
{0133ACA7-A6C9-4490-B122-4982FCD71D31}.exe
{92AF34DE-803A-4A5F-85E5-20F63BC335B8}.exe
{E1E8ECF5-59F2-4A49-99E4-A62AEAAE92E2}.exe
{21D76DD0-51FB-4DBF-BDD8-DBF29314DDFD}.exe
{E6343D56-F63D-4C04-9320-5A3E1A0611CF}.exe
{D2E65F76-D580-475E-91E2-B00B401B699A}.exe
{BC3AE9BD-9AB1-4277-8774-B2BDD05AD07E}.exe
{62F8D3D6-BDF7-459C-8616-73E7FAB0BA4E}.exe
{459CFD46-7C9C-44FF-BB6A-C8E5D9064CAC}.exe
{F16844A4-E6E1-4769-BA6E-9746957ED2E1}.exe
{AB2AC7BB-E51E-45B9-B436-028A5F86EA14}.exe
{2CAF76E0-B845-4042-972F-DE3EF069A249}.exe
{B03A1724-DEB6-4DC3-A402-DC97A26A39D2}.exe
{21E51EA5-4844-45B4-B718-A6688D094770}.exe
{AD631C07-7690-429A-955D-E5AE8BF813BC}.exe
{405B568C-694E-40F3-94BC-B859CB7C89E7}.exe
{486AD0F2-2C9F-4E6F-AAB4-1DE95C0C593C}.exe
{648A71C7-5A12-4730-B17F-D244B6770DFD}.exe
{82316560-9420-4D03-87B1-AD365DE1CBBA}.exe
{F5C15BDA-F51F-47E2-8758-C3E6C4D2DC8B}.exe
{E7B76CFF-92EA-42D2-8434-A9EA3266AE56}.exe
{9EE58493-9DB3-4D89-A4D8-4AF1107AD210}.exe
{C004F727-28D9-4738-B676-DD051B29FCDA}.exe
{20192CAA-AD51-48E7-9C66-45B42448B60E}.exe
{5F49011D-92FD-4804-B3DC-DD9C5CFC3D9D}.exe
{6B26CFDF-CA02-4533-952A-285E05B96E0D}.exe
{2C01BD1F-302B-4D1F-ABC5-42273FDA578A}.exe
{A4FFC3BD-124A-45C9-B1C6-21CC29D0D766}.exe
{5BEECBEA-1149-42C5-8EB7-968782AB8703}.exe
{1C962D2A-4170-4347-88C2-1523259D4F1B}.exe
{0EE13BEC-A6D5-4054-8B84-542B24231760}.exe
{EA1B9A98-98F7-4177-9F61-967226221445}.exe
{67B083B9-C484-43FD-840A-289A7E695BD5}.exe
{5F2329AE-AFF1-4DBF-ADA8-F5DCF4097C31}.exe
{795A309F-E66A-499C-BFF7-D77748C9C854}.exe
{1786E6A7-493B-4FB6-807C-D0581EBBAEA4}.exe
{DAA1CE69-0897-446B-B955-5A36732AF454}.exe
{467E6224-7E63-4805-A629-2964BEC6F069}.exe
{06315D49-1DA5-45FA-A8D9-0C60A9DA7FA9}.exe
{FDABD096-E403-4CA0-B4C6-21E248BCB4E4}.exe
{3F37889A-12A8-4CCF-8593-EE61283FEE2E}.exe
{EBC3287D-0FC1-458A-81E4-3029B695283F}.exe
{9486D37C-DFFB-4342-A35E-50A47CC0F03A}.exe
{85726AC0-3615-450A-A2EC-5718F208C6B1}.exe
{32419324-DD34-4860-A525-92D90F1BC900}.exe
{5B8D21BA-7FC7-4A75-8D8E-1853F959AD58}.exe
{04B6CB96-4A14-4BB0-B368-6E71F700EA6C}.exe
{0F02D564-6C70-40FE-BFCE-ED93A962C8E5}.exe
{A075B117-889C-402E-A32B-ACFA27963837}.exe
{4F06ACB3-1FC7-4DAE-A88C-7766B4F2F78F}.exe
{067431DF-3C1E-4CE1-B5FF-AA31052B457D}.exe
{6447519C-A797-4443-B181-971F6FAA2E8F}.exe
{E490DC66-0C67-4475-BCB2-80752EEED991}.exe
{C74B4758-AE46-4B0C-99D2-88C50D271CC5}.exe
{BAC51732-2BF4-4E24-A6CF-47D063868737}.exe
{B6C8248F-18BD-4E24-92F7-78685D34BF70}.exe
{C5D326D2-5AE1-402C-B83F-A7242576D602}.exe
{247A9ABA-8833-4610-AF79-979A0C84D6DA}.exe
{F6322C2C-F58B-488B-A064-9B55DDB6D3BD}.exe
{8F55C82A-AAE2-4AB9-88AB-3B4C820792D3}.exe
{42208C66-6452-4C15-BD3B-76D7A85232AD}.exe

Logfile of HijackThis v1.99.1
Scan saved at 18:14:51, on 17/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [tuwwo.exe] C:\WINDOWS\system32\tuwwo.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

17 Juillet 2006 23:23:45

Bonsoir

Avec KillBox, on va essayer de supprimer tout les fichiers.
Si cela ne marche pas, il faudra que tu fasses le travail à la main.

Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip
Place le programme dans le répertoire qui te plaît.

- redémarre l'ordinateur en mode sans échec

- lance Pocket Killbox
--- choisis l'option Delete on Reboot
--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\WINDOWS\system32\tuwwo.exe
C:\WINDOWS\SYSTEM32\CSIUU.EXE
C:\WINDOWS\SYSTEM32\CSLMX.EXE
C:\WINDOWS\SYSTEM32\DMYTX.EXE
C:\WINDOWS\SYSTEM32\{ACD63EAB-A946-40A9-BF94-6573B34E62DE}.exe
C:\WINDOWS\SYSTEM32\{861B1449-87A3-4A86-A3C6-08FE88D76B01}.exe
C:\WINDOWS\SYSTEM32\{AFC49ED2-895C-4CEB-8246-9012F3FE9FD8}.exe
C:\WINDOWS\SYSTEM32\{5D58AFC3-D983-4CC9-899A-5DEE81B29135}.exe
C:\WINDOWS\SYSTEM32\{C90D02CC-A1D3-4BB0-9A46-E201809EA6D7}.exe
C:\WINDOWS\SYSTEM32\{16B350B3-1A29-4D47-8B50-336468584311}.exe
C:\WINDOWS\SYSTEM32\{5D6E5893-8C02-4AA3-829C-624BA807DB31}.exe
C:\WINDOWS\SYSTEM32\{704EBCC8-2328-4694-ACF8-CAA7B709AD61}.exe
C:\WINDOWS\SYSTEM32\{FE350A9E-1FD7-4B28-85BF-C5E1FC606A0D}.exe
C:\WINDOWS\SYSTEM32\{33663B21-C3C3-4AAF-896A-C5191C04FED1}.exe
C:\WINDOWS\SYSTEM32\{EA0BC8EF-BFC5-4C22-86DC-6063A6E2844F}.exe
C:\WINDOWS\SYSTEM32\{B5055AB2-9C7B-4460-9BF9-B50D58CEA2FD}.exe
C:\WINDOWS\SYSTEM32\{363ADC63-3CB9-4017-8EDB-A10AC8136BF8}.exe
C:\WINDOWS\SYSTEM32\{F3DF021E-75F6-4354-A958-97AC5E462B4B}.exe
C:\WINDOWS\SYSTEM32\{C24004A3-7DA3-4EE8-A5DD-F3F36277B52D}.exe
C:\WINDOWS\SYSTEM32\{778300D3-2202-4ECC-A53E-42D9FB9BFB25}.exe
C:\WINDOWS\SYSTEM32\{861FCD25-E5D4-4044-B521-808F9F6C4F40}.exe
C:\WINDOWS\SYSTEM32\{DA3BF29A-2A17-4479-A226-EDE7A56AB080}.exe
C:\WINDOWS\SYSTEM32\{F1E3B556-8139-41F5-9EAF-84251D255CD7}.exe
C:\WINDOWS\SYSTEM32\{07149FE9-8D2C-43F9-8C7D-12C0240C7A7A}.exe
C:\WINDOWS\SYSTEM32\{E80A8A30-EAC5-4B06-A000-0D22DBB6761C}.exe
C:\WINDOWS\SYSTEM32\{A96C6CA2-447A-4F0C-93C4-55B563DB539A}.exe
C:\WINDOWS\SYSTEM32\{067A059C-C693-4983-A922-9AD90C184BFB}.exe
C:\WINDOWS\SYSTEM32\{7F54EC12-61BA-4363-899B-47D36202FCE4}.exe
C:\WINDOWS\SYSTEM32\{F6A441AF-B405-4F88-87B1-8FBDD7CC4A92}.exe
C:\WINDOWS\SYSTEM32\{40C46B8A-4BFB-4365-BECF-9AD2F40D6A0E}.exe
C:\WINDOWS\SYSTEM32\{C17925D3-D13A-492D-8551-B19B8CD8DA10}.exe
C:\WINDOWS\SYSTEM32\{41C1BC38-EA63-47BB-9B76-BDD889750E9F}.exe
C:\WINDOWS\SYSTEM32\{11777E4E-C8AB-4EA4-AAEB-F6F50A7B5CEE}.exe
C:\WINDOWS\SYSTEM32\{2F24AD01-C39B-4F7B-8A53-56640F41E441}.exe
C:\WINDOWS\SYSTEM32\{848BD1E6-9784-4DC4-8C2B-D037AD4FD98E}.exe
C:\WINDOWS\SYSTEM32\{075CF797-4F8E-4D36-8250-483584B214FC}.exe
C:\WINDOWS\SYSTEM32\{EBB2F8F3-A067-4744-B08C-164A5AC2417C}.exe
C:\WINDOWS\SYSTEM32\{4844709F-F8FB-4D70-AD90-2C45555E174D}.exe
C:\WINDOWS\SYSTEM32\{AE1CDE83-A87F-475A-B55F-F5E17AA1AA58}.exe
C:\WINDOWS\SYSTEM32\{C695CB96-3B4E-4299-8AB1-9AFF27F22AAE}.exe
C:\WINDOWS\SYSTEM32\{12728750-611A-4739-A0DD-3B32C4CAC066}.exe
C:\WINDOWS\SYSTEM32\{76766A7A-3647-4654-9D91-4845E857BE63}.exe
C:\WINDOWS\SYSTEM32\{BFA12B44-E624-488B-8A23-50ED255295C6}.exe
C:\WINDOWS\SYSTEM32\{9671FA70-82E5-442D-A484-58D0D79EFF4A}.exe
C:\WINDOWS\SYSTEM32\{366632A9-2B1C-40C6-9CD5-B633951F2DA8}.exe
C:\WINDOWS\SYSTEM32\{A29F7D74-F8C0-46DE-A6C3-B788B491180D}.exe
C:\WINDOWS\SYSTEM32\{01E11ED0-2545-403E-8D54-A8BCC70383C0}.exe
C:\WINDOWS\SYSTEM32\{A345C2DC-BFA1-4BD4-8313-D74A67B45304}.exe
C:\WINDOWS\SYSTEM32\{1FA7C74B-0A98-49D6-87C1-2607128B0256}.exe
C:\WINDOWS\SYSTEM32\{D4F029D2-69C7-4C78-A150-F0DC7FB9DC8F}.exe
C:\WINDOWS\SYSTEM32\{D295CA98-ECD5-4B05-B813-D144CA2AA3F4}.exe
C:\WINDOWS\SYSTEM32\{ADAC3F02-CEAD-4F79-8C11-12887C0F0E18}.exe
C:\WINDOWS\SYSTEM32\{170001C6-4F7C-4B76-BC33-07FB5E4D65F5}.exe
C:\WINDOWS\SYSTEM32\{0FEF9A6E-ED52-4E7E-A1DC-62B1ACDDB13A}.exe
C:\WINDOWS\SYSTEM32\{48A63A1C-5D6B-466C-8D18-24A60847E457}.exe
C:\WINDOWS\SYSTEM32\{E81BD18D-F713-4D5D-94F9-85E956ABACF8}.exe
C:\WINDOWS\SYSTEM32\{68955A5C-A7CE-4907-A949-93A9C913529A}.exe
C:\WINDOWS\SYSTEM32\{2168AAE4-D83A-46A2-87DC-28FF5601993F}.exe
C:\WINDOWS\SYSTEM32\{483AA345-13F9-4057-B5AC-CED6E2A8D6B5}.exe
C:\WINDOWS\SYSTEM32\{E4442B62-FF6E-4C8A-89A8-FF06DBF5B8B0}.exe
C:\WINDOWS\SYSTEM32\{3BF3D513-EEB3-480D-A5A5-1C46B4F8C13F}.exe
C:\WINDOWS\SYSTEM32\{DE8D3B58-F19D-4679-AF88-5E4D5C0B7505}.exe
C:\WINDOWS\SYSTEM32\{C7B63FAF-C3C1-4836-91D4-1693BD4596F6}.exe
C:\WINDOWS\SYSTEM32\{33B07D5F-36D1-4C25-8120-4D4DF42FA193}.exe
C:\WINDOWS\SYSTEM32\{BA2E49A7-7DB2-43AD-9790-0ADCAD44AC55}.exe
C:\WINDOWS\SYSTEM32\{1B92D236-1713-4B4C-A63B-3DE3097F4BC6}.exe
C:\WINDOWS\SYSTEM32\{D90BB0A1-12CD-44AA-BDDE-14DE771FDE77}.exe
C:\WINDOWS\SYSTEM32\{6589A419-FE94-4796-8656-AAC7EDCA530E}.exe
C:\WINDOWS\SYSTEM32\{1263D85A-D6AF-4392-90FB-4DFDD7007E0F}.exe
C:\WINDOWS\SYSTEM32\{3D5F5A8A-05C3-4962-953D-54CEB27C44A7}.exe
C:\WINDOWS\SYSTEM32\{6CC3E6D9-3A9A-4D70-AB97-C8D3A2D636B2}.exe
C:\WINDOWS\SYSTEM32\{88DB5F94-2BA3-411F-80EE-2B7E110C2F38}.exe
C:\WINDOWS\SYSTEM32\{A66BAB5A-EC4B-4FF0-B262-D88C9528710E}.exe
C:\WINDOWS\SYSTEM32\{BAE41124-F5B5-4DB4-8180-CBBC08A81F8A}.exe
C:\WINDOWS\SYSTEM32\{69F50B5C-E39E-4B0C-996A-140A2C49C602}.exe
C:\WINDOWS\SYSTEM32\{1F386A79-EE0B-4C5E-A845-704E52FB0588}.exe
C:\WINDOWS\SYSTEM32\{19D1C366-F70E-4173-94D7-295A834B1F20}.exe
C:\WINDOWS\SYSTEM32\{E8ED32E4-BEED-4AB0-A42F-32AB72321E14}.exe
C:\WINDOWS\SYSTEM32\{33309B67-7FB2-4CD5-BBC3-958863662850}.exe
C:\WINDOWS\SYSTEM32\{4566F944-ED5C-4EAA-8007-4BEB60898776}.exe
C:\WINDOWS\SYSTEM32\{AC2C6CC7-5F65-4031-BCAF-29AA36DE5453}.exe
C:\WINDOWS\SYSTEM32\{E4A34C70-3F99-4F79-B9EF-A29439E36081}.exe
C:\WINDOWS\SYSTEM32\{092E480D-3DEC-4215-8889-42D0BE232385}.exe
C:\WINDOWS\SYSTEM32\{18930396-2044-4529-8A78-771EC6F3A8E2}.exe
C:\WINDOWS\SYSTEM32\{3C5F5D13-B465-4E96-9D23-CD2ABA08AE51}.exe
C:\WINDOWS\SYSTEM32\{C376F688-9EE9-4DCC-A0BF-D74661C5BAF6}.exe
C:\WINDOWS\SYSTEM32\{756418EE-26CC-4889-94DB-FE2D8B2C9F97}.exe
C:\WINDOWS\SYSTEM32\{63ED2913-02BC-4BA7-B010-E4335D1988AD}.exe
C:\WINDOWS\SYSTEM32\{D520928D-BF5F-46DC-A269-A876E6104F45}.exe
C:\WINDOWS\SYSTEM32\{D2446214-8553-4D0E-9DA6-5FD2C50DA6F0}.exe
C:\WINDOWS\SYSTEM32\{F1EBF922-2436-4744-B494-E259259118CD}.exe
C:\WINDOWS\SYSTEM32\{5F9D5642-AFF6-4E67-9AC3-A5427DAB11F1}.exe
C:\WINDOWS\SYSTEM32\{81110154-7FD6-4615-AAEB-6FE26236B830}.exe
C:\WINDOWS\SYSTEM32\{B560658F-D6F9-4DBB-BC93-473AA767E297}.exe
C:\WINDOWS\SYSTEM32\{7998A808-DD54-4912-AF84-FEF268AD6714}.exe
C:\WINDOWS\SYSTEM32\{B4676BD5-F303-43C9-9290-3B146DF46AB2}.exe
C:\WINDOWS\SYSTEM32\{3B016310-C3CC-4775-BCBD-812361109966}.exe
C:\WINDOWS\SYSTEM32\{F6F90CE4-95E1-4F87-8BDA-B2159A505345}.exe
C:\WINDOWS\SYSTEM32\{5C10A752-69AA-438E-8A99-C0BCC9CD4F27}.exe
C:\WINDOWS\SYSTEM32\{F2E07995-8990-4DA8-A6F2-6200BFA67290}.exe
C:\WINDOWS\SYSTEM32\{83BC44A9-768F-48A2-A5BB-81B5310C907E}.exe
C:\WINDOWS\SYSTEM32\{6FB5ED32-C817-4EED-A771-AD99D7B36EDE}.exe
C:\WINDOWS\SYSTEM32\{DF7D5858-68BA-40A5-8738-5857FC3051E4}.exe
C:\WINDOWS\SYSTEM32\{F9086878-E5AC-4B4D-A0C6-7C33B5C3467D}.exe
C:\WINDOWS\SYSTEM32\{BF060244-C7C8-423F-8387-2E0D129EDD62}.exe
C:\WINDOWS\SYSTEM32\{D6138513-5C9D-4A8E-B69B-EE4EC851535D}.exe
C:\WINDOWS\SYSTEM32\{AC175650-0D38-4DB0-B8B6-9A60B511898D}.exe
C:\WINDOWS\SYSTEM32\{63D8DCC2-54C5-4B0F-BFBC-486F45C28830}.exe
C:\WINDOWS\SYSTEM32\{E02E64BB-CCD3-4BDD-8011-F82447D5782B}.exe
C:\WINDOWS\SYSTEM32\{EC2455F9-3600-4316-A33B-91282B3E37F3}.exe
C:\WINDOWS\SYSTEM32\{433825F0-783B-43C5-984D-7AB2964F4156}.exe
C:\WINDOWS\SYSTEM32\{3BFB6611-C726-4F07-AD0E-A6C06265B5C6}.exe
C:\WINDOWS\SYSTEM32\{865EAEE5-81B6-478B-8B18-EBBDA8B04853}.exe
C:\WINDOWS\SYSTEM32\{D5CE4C76-A113-4E85-837C-0676BB76ADAB}.exe
C:\WINDOWS\SYSTEM32\{8014EFA7-270F-4677-B6ED-E1774F968F97}.exe
C:\WINDOWS\SYSTEM32\{F080860F-D2B4-4798-8B01-4E5537108086}.exe
C:\WINDOWS\SYSTEM32\{003F0C52-E5CC-4EE0-B7F0-508883DB4485}.exe
C:\WINDOWS\SYSTEM32\{F3DBA184-96DF-4126-A5C2-F8D7153EB31D}.exe
C:\WINDOWS\SYSTEM32\{CF3112BE-69CF-446C-ACA4-593A8C8BF46D}.exe
C:\WINDOWS\SYSTEM32\{741061E3-209F-45B7-B614-3BC76DA54A8D}.exe
C:\WINDOWS\SYSTEM32\{78405F7E-8569-46D6-B326-3FBD8CCBF0D9}.exe
C:\WINDOWS\SYSTEM32\{98391975-1A78-43B9-B564-54305532179F}.exe
C:\WINDOWS\SYSTEM32\{73B2F229-EBA2-45F6-B54A-9F6D5B2F82B5}.exe
C:\WINDOWS\SYSTEM32\{D492768C-25A7-429D-8A41-CB6D61A8A387}.exe
C:\WINDOWS\SYSTEM32\{DDDB9A61-339D-4355-B01B-83BBA66B7CC3}.exe
C:\WINDOWS\SYSTEM32\{DF9E79F3-7D65-471B-8289-F199209EE77E}.exe
C:\WINDOWS\SYSTEM32\{CC3F4587-6F34-4B0C-9297-CA2CA56DCF34}.exe
C:\WINDOWS\SYSTEM32\{B6F0E715-39AE-417A-A953-0D1C41BE2ECC}.exe
C:\WINDOWS\SYSTEM32\{9AC79171-4A3D-4760-819D-4D4FAC339D69}.exe
C:\WINDOWS\SYSTEM32\{EA2D249F-CA5E-4188-BE63-3237DB78997D}.exe
C:\WINDOWS\SYSTEM32\{7984D4F9-AEA5-40BA-B4BF-62995886F4A6}.exe
C:\WINDOWS\SYSTEM32\{FD6110EE-5AE9-45B7-92FE-9C291E7A1E3D}.exe
C:\WINDOWS\SYSTEM32\{BFD8BE6D-E567-4F37-8BEC-C16EB0B547CB}.exe
C:\WINDOWS\SYSTEM32\{27E3DD65-956E-4DCF-B07C-D1BF5BF79E4D}.exe
C:\WINDOWS\SYSTEM32\{8314072B-B4FF-4C49-AB5E-493013305043}.exe
C:\WINDOWS\SYSTEM32\{4097B012-9FC3-405A-B96C-1B7A9CCA77A6}.exe
C:\WINDOWS\SYSTEM32\{85EA5EFA-FD1A-48DF-BC41-666DC98C6844}.exe
C:\WINDOWS\SYSTEM32\{E81740E8-DD2B-4EFE-9923-3C435CE92DC5}.exe
C:\WINDOWS\SYSTEM32\{9ACF221B-671B-40EB-9E24-A667629EDFE6}.exe
C:\WINDOWS\SYSTEM32\{B9075698-3650-4237-B028-C36513A877A4}.exe
C:\WINDOWS\SYSTEM32\{8C11F514-5590-4C36-B5C0-181AFBA58370}.exe
C:\WINDOWS\SYSTEM32\{CDA0C737-57B3-44EE-86ED-B37FF0D5A019}.exe
C:\WINDOWS\SYSTEM32\{D4A0F233-2B19-4910-8740-22CE0469EED2}.exe
C:\WINDOWS\SYSTEM32\{48F482D8-2AC4-4710-8DFD-964B241F079C}.exe
C:\WINDOWS\SYSTEM32\{97088427-E88F-4D45-8BAD-28ECB0BA27DC}.exe
C:\WINDOWS\SYSTEM32\{EF201D7B-F08E-4F0A-92E1-5C7C311CC035}.exe
C:\WINDOWS\SYSTEM32\{65135342-C82B-498B-A693-FE6DD276A314}.exe
C:\WINDOWS\SYSTEM32\{16751BD6-DA77-48E1-A917-BE24D1C02D6E}.exe
C:\WINDOWS\SYSTEM32\{4E9E7CAE-3F7A-4825-B1A3-FD0162566ACC}.exe
C:\WINDOWS\SYSTEM32\{50826B99-5047-40D3-B032-1CA0D1EA9C98}.exe
C:\WINDOWS\SYSTEM32\{0285A66F-2B48-4573-9F97-227EFCB80B01}.exe
C:\WINDOWS\SYSTEM32\{96FDDB75-6139-4A2D-B8F3-184C71052C1F}.exe
C:\WINDOWS\SYSTEM32\{4D353CA6-2DA8-40EF-85A7-1FEBC2E5379B}.exe
C:\WINDOWS\SYSTEM32\{D73DE127-C114-4D53-B455-D13E3C1D41A3}.exe
C:\WINDOWS\SYSTEM32\{52C3E713-B5FA-41BD-B38E-5E59975BE3CA}.exe
C:\WINDOWS\SYSTEM32\{F0379977-305B-4939-B41F-1E6929629A7A}.exe
C:\WINDOWS\SYSTEM32\{2DE6CCA0-AA1F-4959-8A11-30F8BE8AAC3D}.exe
C:\WINDOWS\SYSTEM32\{C5550557-0986-42A6-8D09-95506BE41077}.exe
C:\WINDOWS\SYSTEM32\{642EF806-12DD-487C-B274-B7D4F16602AD}.exe
C:\WINDOWS\SYSTEM32\{4EA77DB7-8200-4024-AAD4-1233005F3879}.exe
C:\WINDOWS\SYSTEM32\{2684A3E8-9BD2-4F0E-9FE7-714E648DC4FC}.exe
C:\WINDOWS\SYSTEM32\{F6DDE1AA-8FFB-413B-B6B5-255AADC22168}.exe
C:\WINDOWS\SYSTEM32\{7CD852D6-13C2-4D0D-A76C-52A2CA9BE2EA}.exe
C:\WINDOWS\SYSTEM32\{92FBDDA0-56FC-4E7B-8243-D907D3BEEFE6}.exe
C:\WINDOWS\SYSTEM32\{CAAEF810-6E4D-455A-AF0D-3B995CE23C58}.exe
C:\WINDOWS\SYSTEM32\{F5344F6E-C338-4322-B29C-BD5579DCD2A3}.exe
C:\WINDOWS\SYSTEM32\{DAD9BB0B-E729-4979-B4A8-CE01F2C7F65A}.exe
C:\WINDOWS\SYSTEM32\{DADF4CD1-63E1-4ADF-84D4-B9B471CB2611}.exe
C:\WINDOWS\SYSTEM32\{526FE6F5-7201-41D2-A93E-85884FE00C88}.exe
C:\WINDOWS\SYSTEM32\{9D5456C4-D517-4DAB-95F1-6BCD963D7A41}.exe
C:\WINDOWS\SYSTEM32\{78BC4274-F039-4315-BD38-D1C0CCC5EB8D}.exe
C:\WINDOWS\SYSTEM32\{ED9832E4-C5B0-4F74-A110-9D3B8BC37C44}.exe
C:\WINDOWS\SYSTEM32\{0DC2F381-0092-4620-BFFF-74A572D627EC}.exe
C:\WINDOWS\SYSTEM32\{1C25E05A-03DD-40C9-A71E-1FB772B9BA60}.exe
C:\WINDOWS\SYSTEM32\{D4C7B0B6-3978-45CD-B639-E35A9501B532}.exe
C:\WINDOWS\SYSTEM32\{4F8E3370-F749-4763-BED7-CC014F267F11}.exe
C:\WINDOWS\SYSTEM32\{B000DBBF-192A-4DD9-9810-655383518033}.exe
C:\WINDOWS\SYSTEM32\{A1911681-E0DE-47AC-9765-CD6A6F60B0AA}.exe
C:\WINDOWS\SYSTEM32\{207A79F1-B9F2-4338-8F2F-13ACD1CD330A}.exe
C:\WINDOWS\SYSTEM32\{20AF345F-9028-4EBD-BE5D-3D6BF0861C59}.exe
C:\WINDOWS\SYSTEM32\{95B47DAE-4216-4451-8B10-D2BDC04A321C}.exe
C:\WINDOWS\SYSTEM32\{7F9131DA-CB9E-4F7B-89F6-BC2014181603}.exe
C:\WINDOWS\SYSTEM32\{CF15983E-D0C3-4AE1-9820-3A2E5FB852F5}.exe
C:\WINDOWS\SYSTEM32\{07D49929-1D83-4870-9F29-AD357EA6D4B7}.exe
C:\WINDOWS\SYSTEM32\{6228B0A0-D965-480A-922C-C9F3A67B180F}.exe
C:\WINDOWS\SYSTEM32\{A891CD9A-7814-445C-BF12-5FDFE3121D3A}.exe
C:\WINDOWS\SYSTEM32\{89C841B0-4A79-4F0D-A6E9-F27CCC5E9A17}.exe
C:\WINDOWS\SYSTEM32\{1682C14F-7BA5-4BFC-A9AA-BEE48895BFF0}.exe
C:\WINDOWS\SYSTEM32\{F85A3A8F-CAE1-494B-B94F-4CDB0E7E8359}.exe
C:\WINDOWS\SYSTEM32\{FF0A2A48-6C06-41DD-B77C-9F9B2D2D65E3}.exe
C:\WINDOWS\SYSTEM32\{2DD4286A-4892-4EC3-AB22-28DC45620434}.exe
C:\WINDOWS\SYSTEM32\{7E29D6DA-56E2-4B5C-B68A-899A099F5569}.exe
C:\WINDOWS\SYSTEM32\{1A44BD5A-CA7F-4C0F-9016-0996AD732B16}.exe
C:\WINDOWS\SYSTEM32\{C341A346-F4C9-420C-A5DC-7714255B8FE5}.exe
C:\WINDOWS\SYSTEM32\{A50CEB39-A892-48C4-A000-B32CB1485694}.exe
C:\WINDOWS\SYSTEM32\{B77D024C-9951-4490-99C0-E7D5148BC31D}.exe
C:\WINDOWS\SYSTEM32\{784236D8-C116-4325-946C-35D97E3970DA}.exe
C:\WINDOWS\SYSTEM32\{4D450391-D108-4ACD-AFFD-55831F49907B}.exe
C:\WINDOWS\SYSTEM32\{C562D301-B848-4FEE-9CF6-FD3E817A2AF0}.exe
C:\WINDOWS\SYSTEM32\{0D974BDB-BF67-4FC4-A76E-2477DA7142C5}.exe
C:\WINDOWS\SYSTEM32\{A7F9A279-7A87-46CF-BF0F-2AE913F88F6D}.exe
C:\WINDOWS\SYSTEM32\{0133ACA7-A6C9-4490-B122-4982FCD71D31}.exe
C:\WINDOWS\SYSTEM32\{92AF34DE-803A-4A5F-85E5-20F63BC335B8}.exe
C:\WINDOWS\SYSTEM32\{E1E8ECF5-59F2-4A49-99E4-A62AEAAE92E2}.exe
C:\WINDOWS\SYSTEM32\{21D76DD0-51FB-4DBF-BDD8-DBF29314DDFD}.exe
C:\WINDOWS\SYSTEM32\{E6343D56-F63D-4C04-9320-5A3E1A0611CF}.exe
C:\WINDOWS\SYSTEM32\{D2E65F76-D580-475E-91E2-B00B401B699A}.exe
C:\WINDOWS\SYSTEM32\{BC3AE9BD-9AB1-4277-8774-B2BDD05AD07E}.exe
C:\WINDOWS\SYSTEM32\{62F8D3D6-BDF7-459C-8616-73E7FAB0BA4E}.exe
C:\WINDOWS\SYSTEM32\{459CFD46-7C9C-44FF-BB6A-C8E5D9064CAC}.exe
C:\WINDOWS\SYSTEM32\{F16844A4-E6E1-4769-BA6E-9746957ED2E1}.exe
C:\WINDOWS\SYSTEM32\{AB2AC7BB-E51E-45B9-B436-028A5F86EA14}.exe
C:\WINDOWS\SYSTEM32\{2CAF76E0-B845-4042-972F-DE3EF069A249}.exe
C:\WINDOWS\SYSTEM32\{B03A1724-DEB6-4DC3-A402-DC97A26A39D2}.exe
C:\WINDOWS\SYSTEM32\{21E51EA5-4844-45B4-B718-A6688D094770}.exe
C:\WINDOWS\SYSTEM32\{AD631C07-7690-429A-955D-E5AE8BF813BC}.exe
C:\WINDOWS\SYSTEM32\{405B568C-694E-40F3-94BC-B859CB7C89E7}.exe
C:\WINDOWS\SYSTEM32\{486AD0F2-2C9F-4E6F-AAB4-1DE95C0C593C}.exe
C:\WINDOWS\SYSTEM32\{648A71C7-5A12-4730-B17F-D244B6770DFD}.exe
C:\WINDOWS\SYSTEM32\{82316560-9420-4D03-87B1-AD365DE1CBBA}.exe
C:\WINDOWS\SYSTEM32\{F5C15BDA-F51F-47E2-8758-C3E6C4D2DC8B}.exe
C:\WINDOWS\SYSTEM32\{E7B76CFF-92EA-42D2-8434-A9EA3266AE56}.exe
C:\WINDOWS\SYSTEM32\{9EE58493-9DB3-4D89-A4D8-4AF1107AD210}.exe
C:\WINDOWS\SYSTEM32\{C004F727-28D9-4738-B676-DD051B29FCDA}.exe
C:\WINDOWS\SYSTEM32\{20192CAA-AD51-48E7-9C66-45B42448B60E}.exe
C:\WINDOWS\SYSTEM32\{5F49011D-92FD-4804-B3DC-DD9C5CFC3D9D}.exe
C:\WINDOWS\SYSTEM32\{6B26CFDF-CA02-4533-952A-285E05B96E0D}.exe
C:\WINDOWS\SYSTEM32\{2C01BD1F-302B-4D1F-ABC5-42273FDA578A}.exe
C:\WINDOWS\SYSTEM32\{A4FFC3BD-124A-45C9-B1C6-21CC29D0D766}.exe
C:\WINDOWS\SYSTEM32\{5BEECBEA-1149-42C5-8EB7-968782AB8703}.exe
C:\WINDOWS\SYSTEM32\{1C962D2A-4170-4347-88C2-1523259D4F1B}.exe
C:\WINDOWS\SYSTEM32\{0EE13BEC-A6D5-4054-8B84-542B24231760}.exe
C:\WINDOWS\SYSTEM32\{EA1B9A98-98F7-4177-9F61-967226221445}.exe
C:\WINDOWS\SYSTEM32\{67B083B9-C484-43FD-840A-289A7E695BD5}.exe
C:\WINDOWS\SYSTEM32\{5F2329AE-AFF1-4DBF-ADA8-F5DCF4097C31}.exe
C:\WINDOWS\SYSTEM32\{795A309F-E66A-499C-BFF7-D77748C9C854}.exe
C:\WINDOWS\SYSTEM32\{1786E6A7-493B-4FB6-807C-D0581EBBAEA4}.exe
C:\WINDOWS\SYSTEM32\{DAA1CE69-0897-446B-B955-5A36732AF454}.exe
C:\WINDOWS\SYSTEM32\{467E6224-7E63-4805-A629-2964BEC6F069}.exe
C:\WINDOWS\SYSTEM32\{06315D49-1DA5-45FA-A8D9-0C60A9DA7FA9}.exe
C:\WINDOWS\SYSTEM32\{FDABD096-E403-4CA0-B4C6-21E248BCB4E4}.exe
C:\WINDOWS\SYSTEM32\{3F37889A-12A8-4CCF-8593-EE61283FEE2E}.exe
C:\WINDOWS\SYSTEM32\{EBC3287D-0FC1-458A-81E4-3029B695283F}.exe
C:\WINDOWS\SYSTEM32\{9486D37C-DFFB-4342-A35E-50A47CC0F03A}.exe
C:\WINDOWS\SYSTEM32\{85726AC0-3615-450A-A2EC-5718F208C6B1}.exe
C:\WINDOWS\SYSTEM32\{32419324-DD34-4860-A525-92D90F1BC900}.exe
C:\WINDOWS\SYSTEM32\{5B8D21BA-7FC7-4A75-8D8E-1853F959AD58}.exe
C:\WINDOWS\SYSTEM32\{04B6CB96-4A14-4BB0-B368-6E71F700EA6C}.exe
C:\WINDOWS\SYSTEM32\{0F02D564-6C70-40FE-BFCE-ED93A962C8E5}.exe
C:\WINDOWS\SYSTEM32\{A075B117-889C-402E-A32B-ACFA27963837}.exe
C:\WINDOWS\SYSTEM32\{4F06ACB3-1FC7-4DAE-A88C-7766B4F2F78F}.exe
C:\WINDOWS\SYSTEM32\{067431DF-3C1E-4CE1-B5FF-AA31052B457D}.exe
C:\WINDOWS\SYSTEM32\{6447519C-A797-4443-B181-971F6FAA2E8F}.exe
C:\WINDOWS\SYSTEM32\{E490DC66-0C67-4475-BCB2-80752EEED991}.exe
C:\WINDOWS\SYSTEM32\{C74B4758-AE46-4B0C-99D2-88C50D271CC5}.exe
C:\WINDOWS\SYSTEM32\{BAC51732-2BF4-4E24-A6CF-47D063868737}.exe
C:\WINDOWS\SYSTEM32\{B6C8248F-18BD-4E24-92F7-78685D34BF70}.exe
C:\WINDOWS\SYSTEM32\{C5D326D2-5AE1-402C-B83F-A7242576D602}.exe
C:\WINDOWS\SYSTEM32\{247A9ABA-8833-4610-AF79-979A0C84D6DA}.exe
C:\WINDOWS\SYSTEM32\{F6322C2C-F58B-488B-A064-9B55DDB6D3BD}.exe
C:\WINDOWS\SYSTEM32\{8F55C82A-AAE2-4AB9-88AB-3B4C820792D3}.exe
C:\WINDOWS\SYSTEM32\{42208C66-6452-4C15-BD3B-76D7A85232AD}.exe[/color]

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
--- clique sur la croix blanche sur fond rouge (Delete File) :

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

Nouveau FixwareOut et nouveau HijackThis.
18 Juillet 2006 11:27:34

slt
ai fai ce que tu m'as di voici les rapports


Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}86D52F84095A-F378-E564-07BD-568ADE7F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8C7CFB85440C-CF58-25E4-2016-724DD07B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AFC9C21E9F40-093B-7CC4-42A7-964A2B9E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}777100C62255-0EAB-3324-E1E5-62A19813{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7D4F30E61381-5E78-9A44-A320-38027598{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6D98C8677A59-693B-AE24-A911-D058676D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}79E4F692CA77-F95B-A8D4-844E-17B77261{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E5D5A6B3CB2F-9789-CF34-8F7E-3E3F75E5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}705C64A79C3A-CA2A-E6E4-C5A9-22A156B1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9B439F466D80-35FB-61A4-2216-8F05E114{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A636BDA99F88-A0CA-96E4-0D07-6EB66259{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}532417B03977-883B-6524-725C-0C4B2120{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}49D8E3FA670E-D599-CF44-2642-6AB494F0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\btfmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}143E4294E66C-59B8-F064-DFBA-A233ABA7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FB8CBF08BF7D-A3F9-D2A4-BAAE-1A8843E7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmftb.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSLWK.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSLWK.EXE 51 291 2006-07-17
C:\WINDOWS\SYSTEM32\DMFTB.EXE 62 052 2004-08-05
Other suspects
Directory of C:\WINDOWS\system32
{7E3488A1-EAAB-4A2D-9F3A-D7FB80FBC8BF}.exe
{7ABA332A-ABFD-460F-8B95-C66E4924E341}.exe
{0F494BA6-2462-44FC-995D-E076AF3E8D94}.exe
{0212B4C0-C527-4256-B388-77930B714235}.exe
{95266BE6-70D0-4E69-AC0A-88F99ADB636A}.exe
{411E50F8-6122-4A16-BF53-08D664F934B9}.exe
{5E57F3E3-E7F8-43FC-9879-F2BC3B6A5D5E}.exe
{16277B71-E448-4D8A-B59F-77AC296F4E97}.exe
{D676850D-119A-42EA-B396-95A7768C89D6}.exe
{89572083-023A-44A9-87E5-18316E03F4D7}.exe
{31891A26-5E1E-4233-BAE0-55226C001777}.exe
{E9B2A469-7A24-4CC7-B390-04F9E12C9CFA}.exe
{B70DD427-6102-4E52-85FC-C04458BFC7C8}.exe

Logfile of HijackThis v1.99.1
Scan saved at 11:26:47, on 18/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [whdyj.exe] C:\WINDOWS\system32\whdyj.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

et maintenant que dois-je faire?
merci
18 Juillet 2006 15:42:07

Bonjour

Il y en a beaucoup moins.
On recommence la même manip.

- redémarre l'ordinateur en mode sans échec

- lance Pocket Killbox
--- choisis l'option Delete on Reboot

--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\WINDOWS\system32\whdyj.exe
C:\WINDOWS\system32\{7E3488A1-EAAB-4A2D-9F3A-D7FB80FBC8BF}.exe
C:\WINDOWS\system32\{7ABA332A-ABFD-460F-8B95-C66E4924E341}.exe
C:\WINDOWS\system32\{0F494BA6-2462-44FC-995D-E076AF3E8D94}.exe
C:\WINDOWS\system32\{0212B4C0-C527-4256-B388-77930B714235}.exe
C:\WINDOWS\system32\{95266BE6-70D0-4E69-AC0A-88F99ADB636A}.exe
C:\WINDOWS\system32\{411E50F8-6122-4A16-BF53-08D664F934B9}.exe
C:\WINDOWS\system32\{5E57F3E3-E7F8-43FC-9879-F2BC3B6A5D5E}.exe
C:\WINDOWS\system32\{16277B71-E448-4D8A-B59F-77AC296F4E97}.exe
C:\WINDOWS\system32\{D676850D-119A-42EA-B396-95A7768C89D6}.exe
C:\WINDOWS\system32\{89572083-023A-44A9-87E5-18316E03F4D7}.exe
C:\WINDOWS\system32\{31891A26-5E1E-4233-BAE0-55226C001777}.exe
C:\WINDOWS\system32\{E9B2A469-7A24-4CC7-B390-04F9E12C9CFA}.exe
C:\WINDOWS\system32\{B70DD427-6102-4E52-85FC-C04458BFC7C8}.exe[/color]

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
--- clique sur la croix blanche sur fond rouge (Delete File) :

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

Redémarre normalement.

Poste un nouveau Fixwareout et un nouveau HijackThis.
18 Juillet 2006 16:22:08

ai refait les manips
voici les rapports

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}455BB04D7F05-BE9B-A9B4-2A12-5EE93024{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4BAD27BE3659-300A-9844-2372-964801C1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}430BF4D03FA3-932A-72E4-D6EF-0D9B632D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C9946BD022B4-0518-B344-EF3C-84C9BF33{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E7AE2949C694-2769-E684-5BE1-42E8BFC2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}75F1F5EBD505-EB1A-A494-2AA8-ACE01F3A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}42AF7DB5A09C-6D69-0AE4-B4B3-413E8B13{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}95ACA402264D-2039-1ED4-DAEF-312E3CA4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}26872765596E-2EB9-DF64-2F3C-EACE48DE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}937096E57DDE-8428-F2B4-49F0-187719B9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D0CAEA58E2E9-3F79-0204-8DA9-A4818365{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}83E2691CC05C-0FD9-BAA4-F626-8120858D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2CC3D34C027B-B069-13B4-0D82-3CCC8FCE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}44415B04EDC8-BED9-36D4-4635-55FDC1CA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A4ED7772C25C-DD48-12B4-A7BF-B039AC5F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AECE6606F555-6A38-49F4-70AC-C95E5F3A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}77A76CE188AA-1DFB-EA14-AE39-D5F5A3C3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}727B495BDB2D-06F9-3904-BDFB-0FFFD43C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}49CD2CEF72B6-09BA-0044-1D14-6EF16D30{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5C9D065F75A7-8EBB-5CF4-D79B-71027E06{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}24C6F1E0F537-487B-8AC4-C319-4F55482F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E7D550149803-0DC9-7CB4-483F-412E4A3A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7506ECE4E458-7BD9-6024-2201-2FFE85CB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}86DB58650634-1B39-2B74-4430-1D20B890{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}15DDBE38AE90-04CA-9444-A5ED-6BACFF8E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B0099E0B988C-E1DB-51C4-A50B-90F5C635{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C8774224FC75-0EFB-2654-D992-7C25D96E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}41CD4132CD2F-CDCB-7934-11C6-85BF7463{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}782209C460FF-6B0A-05C4-FEA4-56850263{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D79AA2C74A41-6918-FB94-CCDA-041CF06F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}78F4415DC2EB-6E38-AAC4-080A-3930E0D4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6E9A089B2909-6D9A-E454-E34B-82DA449D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ACAA6E9D0EC6-71F8-87F4-4C64-2EAB968B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5F38D79A9D0B-74AA-7D94-3DCB-1BEFCD9B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2B1E6A0476B7-1149-7804-37DC-A42B60DA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8AF5E5B5F902-D6D8-DF44-1F29-786BCC5B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8E1BC60DE3B1-949B-5604-48F3-5BA96497{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C791AC034EFD-3989-D7C4-1DB1-0FD25A35{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}659D77747FB2-4ABB-73B4-094F-51BD9830{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B0D37D82732E-1E5A-F094-E631-05CE3FBD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5A75D980FB34-977B-2F84-6588-6EDC1669{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C6B4D878F4F9-919A-CE04-CB84-C4E2102B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5A0104CEDFB9-C7C9-7844-34AE-FBCE5D03{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B2C24BFC5C2B-1DF9-4A24-E315-E369E0B1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}64CDDE7DB8E8-CBC9-F524-E48F-202D0BF1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EFFA87D6391D-BBB9-BB74-DEA1-626EBF64{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D8814347AB91-2DCA-2D04-E2A0-9C8CA55C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A9593FF084EB-EB79-E2B4-5E70-2A7DDEF2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3EF072EED3B6-F598-26A4-6219-06D9C3E7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6BA6EDC27F7C-96AA-BBE4-E7B8-EF48F605{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}00C08CC5979F-B869-8774-9B0C-1E7F74C4{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6AE1BD632808-F37B-B2F4-B8BD-1174157F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7BE6FA7A0476-778A-3B14-ABCF-A8BBEF7A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0D06596A05F1-B6B8-D444-6A78-AF2B789A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3BC8818B9841-805A-19D4-B5BE-96953730{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\qvhmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7498BF2E7A7B-ECFB-28B4-D424-EA2676C5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1689E6BD54E7-C0D9-C664-F842-0F5F2CA3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmhvq.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSBTI.EXE
* csr.exe C:\WINDOWS\System32\CSLWK.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSBTI.EXE 51 291 2006-07-18
C:\WINDOWS\SYSTEM32\CSLWK.EXE 51 291 2006-07-17
C:\WINDOWS\SYSTEM32\DMPWU.EXE 62 052 2004-08-05
C:\WINDOWS\SYSTEM32\DMHVQ.EXE 62 052 2004-08-05
C:\WINDOWS\SYSTEM32\DMFTB.EXE 62 052 2004-08-05
Other suspects
Directory of C:\WINDOWS\system32
{5C6762AE-424D-4B82-BFCE-B7A7E2FB8947}.exe
{03735969-EB5B-4D91-A508-1489B8188CB3}.exe
{A7FEBB8A-FCBA-41B3-A877-6740A7AF6EB7}.exe
{F7514711-DB8B-4F2B-B73F-808236DB1EA6}.exe
{506F84FE-8B7E-4EBB-AA69-C7F72CDE6AB6}.exe
{7E3C9D60-9126-4A62-895F-6B3DEE270FE3}.exe
{2FEDD7A2-07E5-4B2E-97BE-BE480FF3959A}.exe
{C55AC8C9-0A2E-40D2-ACD2-19BA7434188D}.exe
{46FBE626-1AED-47BB-9BBB-D1936D78AFFE}.exe
{1FB0D202-F84E-425F-9CBC-8E8BD7EDDC46}.exe
{1B0E963E-513E-42A4-9FD1-B2C5CFB42C2B}.exe
{30D5ECBF-EA43-4487-9C7C-9BFDEC4010A5}.exe
{B2012E4C-48BC-40EC-A919-9F4F878D4B6C}.exe
{9661CDE6-8856-48F2-B779-43BF089D57A5}.exe
{DBF3EC50-136E-490F-A5E1-E23728D73D0B}.exe
{0389DB15-F490-4B37-BBA4-2BF74777D956}.exe
{53A52DF0-1BD1-4C7D-9893-DFE430CA197C}.exe
{79469AB5-3F84-4065-B949-1B3ED06CB1E8}.exe
{B5CCB687-92F1-44FD-8D6D-209F5B5E5FA8}.exe
{AD06B24A-CD73-4087-9411-7B6740A6E1B2}.exe
{B9DCFEB1-BCD3-49D7-AA47-B0D9A97D83F5}.exe
{B869BAE2-46C4-4F78-8F17-6CE0D9E6AACA}.exe
{D944AD28-B43E-454E-A9D6-9092B980A9E6}.exe
{4D0E0393-A080-4CAA-83E6-BE2CD5144F87}.exe
{F60FC140-ADCC-49BF-8196-14A47C2AA97D}.exe
{36205865-4AEF-4C50-A0B6-FF064C902287}.exe
{3647FB58-6C11-4397-BCDC-F2DC2314DC14}.exe
{E69D52C7-299D-4562-BFE0-57CF4224778C}.exe
{536C5F09-B05A-4C15-BD1E-C889B0E9900B}.exe
{E8FFCAB6-DE5A-4449-AC40-09EA83EBDD51}.exe
{098B02D1-0344-47B2-93B1-43605685BD68}.exe
{BC58EFF2-1022-4206-9DB7-854E4ECE6057}.exe
{A3A4E214-F384-4BC7-9CD0-308941055D7E}.exe
{F28455F4-913C-4CA8-B784-735F0E1F6C42}.exe
{60E72017-B97D-4FC5-BBE8-7A57F560D9C5}.exe
{03D61FE6-41D1-4400-AB90-6B27FEC2DC94}.exe
{C34DFFF0-BFDB-4093-9F60-D2BDB594B727}.exe
{3C3A5F5D-93EA-41AE-BFD1-AA881EC67A77}.exe
{A3F5E59C-CA07-4F94-83A6-555F6066ECEA}.exe
{F5CA930B-FB7A-4B21-84DD-C52C2777DE4A}.exe
{AC1CDF55-5364-4D63-9DEB-8CDE40B51444}.exe
{ECF8CCC3-28D0-4B31-960B-B720C43D3CC2}.exe
{D8580218-626F-4AAB-9DF0-C50CC1962E38}.exe
{5638184A-9AD8-4020-97F3-9E2E85AEAC0D}.exe
{9B917781-0F94-4B2F-8248-EDD75E690739}.exe
{ED84ECAE-C3F2-46FD-9BE2-E69556727862}.exe
{4AC3E213-FEAD-4DE1-9302-D462204ACA59}.exe
{A3F10ECA-8AA2-494A-A1BE-505DBE5F1F57}.exe
{2CFB8E24-1EB5-486E-9672-496C9492EA7E}.exe
{33FB9C48-C3FE-443B-8150-4B220DB6499C}.exe
{D236B9D0-FE6D-4E27-A239-3AF30D4FB034}.exe
{1C108469-2732-4489-A003-9563EB72DAB4}.exe

Logfile of HijackThis v1.99.1
Scan saved at 16:21:51, on 18/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [inwrg.exe] C:\WINDOWS\system32\inwrg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

18 Juillet 2006 16:42:36

Cela résiste

Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

Va sur ce site
http://www.virustotal.com/xhtml/virustotal_en.html
Clique sur Parcourir et cherche ce fichier.

C:\WINDOWS\SYSTEM32\CSBTI.EXE

Ensuite clique sur Send .

Colle le rapport ici.

Fais de même avec

C:\WINDOWS\SYSTEM32\CSLWK.EXE
C:\WINDOWS\SYSTEM32\DMPWU.EXE
C:\WINDOWS\SYSTEM32\DMHVQ.EXE
C:\WINDOWS\SYSTEM32\DMFTB.EXE

En tout, 5 rapports
18 Juillet 2006 22:36:43

ai effectué ce que tu m'as di mais né pas de rapport
est ce normal?
18 Juillet 2006 23:17:35

ai refait les manips*voici ce que ca ma donné
AntiVir 6.35.0.21 07.18.2006 TR/Dldr.Agent.UJ.184
Authentium 4.93.8 07.17.2006 no virus found
Avast 4.7.844.0 07.18.2006 no virus found
AVG 386 07.18.2006 no virus found
BitDefender 7.2 07.18.2006 Trojan.Downloader.Mohbpork.A
CAT-QuickHeal 8.00 07.17.2006 Trojan.DNSChanger
ClamAV devel-20060426 07.18.2006 no virus found
DrWeb 4.33 07.18.2006 Trojan.DownLoader.10960
eTrust-InoculateIT 23.72.71 07.17.2006 no virus found
eTrust-Vet 12.6.2299 07.18.2006 no virus found
Ewido 4.0 07.18.2006 Downloader.Agent.uj
Fortinet 2.77.0.0 07.18.2006 Agent.BC!tr.spy
F-Prot 3.16f 07.18.2006 no virus found
F-Prot4 4.2.1.29 07.18.2006 Possibly a new unknown PE_Virus!Maximus
Ikarus 0.2.65.0 07.18.2006 no virus found
Kaspersky 4.0.2.24 07.18.2006 Trojan-Downloader.Win32.Agent.uj
McAfee 4809 07.18.2006 Spy-Agent.bc
Microsoft 1.1508 07.18.2006 no virus found
NOD32v2 1.1667 07.18.2006 a variant of Win32/Small.FB
Norman 5.90.23 07.18.2006 no virus found
Panda 9.0.0.4 07.18.2006 Trj/Ruins.MB
Sophos 4.07.0 07.18.2006 no virus found
Symantec 8.0 07.18.2006 no virus found
TheHacker 5.9.8.177 07.18.2006 no virus found
UNA 1.83 07.18.2006 TrojanDownloader.Win32.Agent
VBA32 3.11.0 07.17.2006 Trojan-Downloader.Win32.Agent.uj
VirusBuster 4.3.7:9 07.18.2006 no virus found

AntiVir 6.35.0.21 07.18.2006 TR/Dldr.Agent.UJ.184
Authentium 4.93.8 07.18.2006 no virus found
Avast 4.7.844.0 07.18.2006 no virus found
AVG 386 07.18.2006 no virus found
BitDefender 7.2 07.18.2006 Trojan.Downloader.Mohbpork.A
CAT-QuickHeal 8.00 07.17.2006 Trojan.DNSChanger
ClamAV devel-20060426 07.18.2006 no virus found
DrWeb 4.33 07.18.2006 Trojan.DownLoader.10960
eTrust-InoculateIT 23.72.71 07.17.2006 no virus found
eTrust-Vet 12.6.2299 07.18.2006 no virus found
Ewido 4.0 07.18.2006 Downloader.Agent.uj
Fortinet 2.77.0.0 07.18.2006 Agent.BC!tr.spy
F-Prot 3.16f 07.18.2006 no virus found
F-Prot4 4.2.1.29 07.18.2006 Possibly a new unknown PE_Virus!Maximus
Ikarus 0.2.65.0 07.18.2006 no virus found
Kaspersky 4.0.2.24 07.18.2006 Trojan-Downloader.Win32.Agent.uj
McAfee 4809 07.18.2006 Spy-Agent.bc
Microsoft 1.1508 07.18.2006 no virus found
NOD32v2 1.1667 07.18.2006 a variant of Win32/Small.FB
Norman 5.90.23 07.18.2006 no virus found
Panda 9.0.0.4 07.18.2006 Trj/Ruins.MB
Sophos 4.07.0 07.18.2006 no virus found
Symantec 8.0 07.18.2006 no virus found
TheHacker 5.9.8.177 07.18.2006 no virus found
UNA 1.83 07.18.2006 TrojanDownloader.Win32.Agent
VBA32 3.11.0 07.17.2006 Trojan-Downloader.Win32.Agent.uj
VirusBuster 4.3.7:9 07.18.2006 no virus found

AntiVir 6.35.0.21 07.18.2006 no virus found
Authentium 4.93.8 07.18.2006 no virus found
Avast 4.7.844.0 07.18.2006 no virus found
AVG 386 07.18.2006 no virus found
BitDefender 7.2 07.18.2006 MemScan:Trojan.Agent.QB
CAT-QuickHeal 8.00 07.17.2006 Trojan.DNSChanger
ClamAV devel-20060426 07.18.2006 no virus found
DrWeb 4.33 07.18.2006 no virus found
eTrust-InoculateIT 23.72.71 07.17.2006 no virus found
eTrust-Vet 12.6.2299 07.18.2006 Win32/Alureon!generic
Ewido 4.0 07.18.2006 no virus found
Fortinet 2.77.0.0 07.18.2006 suspicious
F-Prot 3.16f 07.18.2006 no virus found
F-Prot4 4.2.1.29 07.18.2006 no virus found
Ikarus 0.2.65.0 07.18.2006 no virus found
Kaspersky 4.0.2.24 07.18.2006 no virus found
McAfee 4809 07.18.2006 Spy-Agent.bc
Microsoft 1.1508 07.18.2006 no virus found
NOD32v2 1.1667 07.18.2006 a variant of Win32/Small.FB
Norman 5.90.23 07.18.2006 no virus found
Panda 9.0.0.4 07.18.2006 Trj/Ruins.MB
Sophos 4.07.0 07.18.2006 no virus found
Symantec 8.0 07.18.2006 no virus found
TheHacker 5.9.8.177 07.18.2006 no virus found
UNA 1.83 07.18.2006 no virus found
VBA32 3.11.0 07.17.2006 Trojan.Win32.Small.fb
VirusBuster 4.3.7:9 07.18.2006 no virus found

AntiVir 6.35.0.21 07.18.2006 no virus found
Authentium 4.93.8 07.18.2006 no virus found
Avast 4.7.844.0 07.18.2006 no virus found
AVG 386 07.18.2006 no virus found
BitDefender 7.2 07.18.2006 MemScan:Trojan.Agent.QB
CAT-QuickHeal 8.00 07.17.2006 Trojan.DNSChanger
ClamAV devel-20060426 07.18.2006 no virus found
DrWeb 4.33 07.18.2006 no virus found
eTrust-InoculateIT 23.72.71 07.17.2006 no virus found
eTrust-Vet 12.6.2299 07.18.2006 Win32/Alureon!generic
Ewido 4.0 07.18.2006 no virus found
Fortinet 2.77.0.0 07.18.2006 suspicious
F-Prot 3.16f 07.18.2006 no virus found
F-Prot4 4.2.1.29 07.18.2006 no virus found
Ikarus 0.2.65.0 07.18.2006 no virus found
Kaspersky 4.0.2.24 07.18.2006 no virus found
McAfee 4809 07.18.2006 Spy-Agent.bc
Microsoft 1.1508 07.18.2006 no virus found
NOD32v2 1.1667 07.18.2006 a variant of Win32/Small.FB
Norman 5.90.23 07.18.2006 no virus found
Panda 9.0.0.4 07.18.2006 Trj/Ruins.MB
Sophos 4.07.0 07.18.2006 no virus found
Symantec 8.0 07.18.2006 no virus found
TheHacker 5.9.8.177 07.18.2006 no virus found
UNA 1.83 07.18.2006 no virus found
VBA32 3.11.0 07.17.2006 Trojan.Win32.Small.fb
VirusBuster 4.3.7:9 07.18.2006 no virus found

AntiVir 6.35.0.21 07.18.2006 no virus found
Authentium 4.93.8 07.18.2006 no virus found
Avast 4.7.844.0 07.18.2006 no virus found
AVG 386 07.18.2006 no virus found
BitDefender 7.2 07.18.2006 MemScan:Trojan.Agent.QB
CAT-QuickHeal 8.00 07.17.2006 Trojan.DNSChanger
ClamAV devel-20060426 07.18.2006 no virus found
DrWeb 4.33 07.18.2006 no virus found
eTrust-InoculateIT 23.72.71 07.17.2006 no virus found
eTrust-Vet 12.6.2299 07.18.2006 Win32/Alureon!generic
Ewido 4.0 07.18.2006 no virus found
Fortinet 2.77.0.0 07.18.2006 suspicious
F-Prot 3.16f 07.18.2006 no virus found
F-Prot4 4.2.1.29 07.18.2006 no virus found
Ikarus 0.2.65.0 07.18.2006 no virus found
Kaspersky 4.0.2.24 07.18.2006 no virus found
McAfee 4809 07.18.2006 Spy-Agent.bc
Microsoft 1.1508 07.18.2006 no virus found
NOD32v2 1.1667 07.18.2006 a variant of Win32/Small.FB
Norman 5.90.23 07.18.2006 no virus found
Panda 9.0.0.4 07.18.2006 Trj/Ruins.MB
Sophos 4.07.0 07.18.2006 no virus found
Symantec 8.0 07.18.2006 no virus found
TheHacker 5.9.8.177 07.18.2006 no virus found
UNA 1.83 07.18.2006 no virus found
VBA32 3.11.0 07.17.2006 Trojan.Win32.Small.fb
VirusBuster 4.3.7:9 07.18.2006 no virus found

19 Juillet 2006 18:13:57

Bonjour

Ils sont tous vérolés.

Je vais avoir besoin d'un nouveau rapport Fixwareout et HijackThis.

Ensuite, nouvelle manip.
28 Juillet 2006 20:35:36

salut
ai pu faire un scan ewido
voici le rapport
---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 12:37:25 26/07/2006

+ Scan result:



C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP21\A0006734.exe -> Dialer.Masta.c : Cleaned with backup (quarantined).
C:\!KillBox\csiuu.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\!KillBox\cslmx.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008135.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008149.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008163.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008394.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008408.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008422.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008432.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008437.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008449.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008453.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008471.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008482.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0009481.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0009494.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0009505.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0009749.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0009760.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0009765.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0009775.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0009790.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0010788.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0011788.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0011802.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0011813.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0011826.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0011837.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0011848.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0011858.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0011871.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0011879.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0012879.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0012902.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0012924.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0012936.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0012947.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0012958.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0012968.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0012972.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0012993.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013006.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013038.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013050.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013055.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013068.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013075.EXE -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013076.EXE -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013338.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013370.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013380.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013391.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013401.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013413.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013428.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013450.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013481.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0014482.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015481.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015491.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\WINDOWS\system32\csbti.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\WINDOWS\system32\cslwk.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
[1624] VM_01120000 -> Downloader.Agent.uj : Error during cleaning.
[1996] VM_008B0000 -> Downloader.Agent.uj : Error during cleaning.
[2032] VM_009D0000 -> Downloader.Agent.uj : Error during cleaning.
[380] VM_00860000 -> Downloader.Agent.uj : Error during cleaning.
[4016] VM_00880000 -> Downloader.Agent.uj : Error during cleaning.
[488] VM_00D60000 -> Downloader.Agent.uj : Error during cleaning.
[512] VM_00B20000 -> Downloader.Agent.uj : Error during cleaning.
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP22\A0007831.EXE -> Downloader.Zlob.tx : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008458.exe -> Downloader.Zlob.ux : Cleaned with backup (quarantined).
C:\WINDOWS\Fonts\Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}\WinUpdate.exe -> Heuristic.Win32.Morphine-Crypted : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008446.dll -> Not-A-Virus.Hoax.Win32.Renos.dw : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP24\A0008460.dll -> Not-A-Virus.Hoax.Win32.Renos.dw : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@247realmedia[1].txt -> TrackingCookie.247realmedia : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@adtech[2].txt -> TrackingCookie.Adtech : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@casalemedia[2].txt -> TrackingCookie.Casalemedia : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@estat[1].txt -> TrackingCookie.Estat : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@findwhat[1].txt -> TrackingCookie.Findwhat : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@ehg-neuftelecom.hitbox[2].txt -> TrackingCookie.Hitbox : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@hitbox[1].txt -> TrackingCookie.Hitbox : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@paycounter[1].txt -> TrackingCookie.Paycounter : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@counter11.sextracker[2].txt -> TrackingCookie.Sextracker : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@counter13.sextracker[2].txt -> TrackingCookie.Sextracker : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@counter6.sextracker[2].txt -> TrackingCookie.Sextracker : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@sextracker[2].txt -> TrackingCookie.Sextracker : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Cleaned with backup (quarantined).
C:\Documents and Settings\GUIGNARD XAVIER\Cookies\guignard xavier@weborama[2].txt -> TrackingCookie.Weborama : Cleaned with backup (quarantined).
[292] VM_003B0000 -> Trojan.DNSChanger.ef : Error during cleaning.
C:\!KillBox\{0FEF9A6E-ED52-4E7E-A1DC-62B1ACDDB13A}.exe -> Trojan.Hoster : Cleaned with backup (quarantined).
C:\!KillBox\{C90D02CC-A1D3-4BB0-9A46-E201809EA6D7}.exe -> Trojan.Hoster : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013082.exe -> Trojan.Hoster : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013127.exe -> Trojan.Hoster : Cleaned with backup (quarantined).
C:\!KillBox\{89572083-023A-44A9-87E5-18316E03F4D7}.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\!KillBox\{C5D326D2-5AE1-402C-B83F-A7242576D602}.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\!KillBox\{F1E3B556-8139-41F5-9EAF-84251D255CD7}.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013096.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013331.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013444.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\WINDOWS\system32\{2CFB8E24-1EB5-486E-9672-496C9492EA7E}.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\Program Files\Media-Codec -> Trojan.Small : Cleaned with backup (quarantined).
C:\Program Files\Media-Codec\uninst.exe -> Trojan.Small : Cleaned with backup (quarantined).
C:\!KillBox\{8F55C82A-AAE2-4AB9-88AB-3B4C820792D3}.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\!KillBox\{A96C6CA2-447A-4F0C-93C4-55B563DB539A}.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\!KillBox\{B70DD427-6102-4E52-85FC-C04458BFC7C8}.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013099.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013334.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0013447.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\WINDOWS\system32\{1C108469-2732-4489-A003-9563EB72DAB4}.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).


::Report end

que dois je faire?
merci
28 Juillet 2006 22:41:06

ai refait les manips
voici les rapports
Logfile of HijackThis v1.99.1
Scan saved at 21:16:55, on 28/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [jokiw.exe] C:\WINDOWS\system32\jokiw.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 22:29:38 28/07/2006

+ Scan result:



C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015506.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015507.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015508.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015509.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015525.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015535.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015543.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015555.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015561.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015570.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015583.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015596.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015630.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
C:\WINDOWS\system32\csqhs.exe -> Downloader.Agent.uj : Cleaned with backup (quarantined).
[172] VM_00D60000 -> Downloader.Agent.uj : Error during cleaning.
[196] VM_00BF0000 -> Downloader.Agent.uj : Error during cleaning.
[764] VM_009D0000 -> Downloader.Agent.uj : Error during cleaning.
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015521.exe -> Heuristic.Win32.Morphine-Crypted : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015519.exe -> Trojan.Hoster : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015520.exe -> Trojan.Hoster : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015514.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015515.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015516.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015517.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\WINDOWS\system32\{FB18F1BB-E4F9-4BE8-B5DB-A98F62EE4658}.exe -> Trojan.Puper.bx : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015510.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015511.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015512.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015513.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).
C:\WINDOWS\system32\{7BFAFD55-9C87-406D-AAC2-A8088EEF3DF9}.exe -> Trojan.Small.gq : Cleaned with backup (quarantined).


::Report end

merci pour le coup de main
28 Juillet 2006 22:45:50

Refais aussi un scan avec FixWareout.
29 Juillet 2006 10:57:37

voici le rapport fixewareout

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C9860829B572-D468-8954-F9FF-F8636866{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}470FD8FC5F2E-9818-C004-7B00-2DC86FE8{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}305B051077B9-F059-38E4-A188-776226F3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E4D20B753763-6109-6824-0D04-5F6F93AE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5874FF886822-FF7B-9B84-DF0B-1E5A5FFE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2B64A706863C-3F79-0E34-1180-75969429{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2919A3711347-9999-B354-0A85-AAAA58F2{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}70CF668BB511-2D4A-75A4-2346-6693F099{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5A67FFC4751F-27FB-D794-1953-6E343490{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4745279541E0-45A8-58B4-D1C4-6C23648B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8AE83DDFDBC2-E78A-E474-B57A-795DA38A{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\eyamd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2F3B0C1C95BA-75E9-C584-6568-E376C5C1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1DC9DDBD5A64-915B-F074-79A5-3075E2EF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CF490AF45AF7-6728-1FE4-803A-8DD34BBF{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmaye.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSQCW.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSQCW.EXE 51 291 2006-07-28
C:\WINDOWS\SYSTEM32\DMPWU.EXE 62 052 2004-08-05
C:\WINDOWS\SYSTEM32\DMHVQ.EXE 62 052 2004-08-05
C:\WINDOWS\SYSTEM32\DMXSF.EXE 62 052 2004-08-05
C:\WINDOWS\SYSTEM32\DMAYE.EXE 62 052 2004-08-05
C:\WINDOWS\SYSTEM32\DMFTB.EXE 62 052 2004-08-05
Other suspects
Directory of C:\WINDOWS\system32
{FBB43DD8-A308-4EF1-8276-7FA54FA094FC}.exe
{FE2E5703-5A97-470F-B519-46A5DBDD9CD1}.exe
{CCEDF99A-E97A-4033-9FCE-1AAC64A9CC7C}.exe
{6D240A85-181B-466C-AE5A-0CBA191BAE2C}.exe
{3AF7113B-A2C6-4E4A-874D-78186D1DC152}.exe
{1C5C673E-8656-485C-9E57-AB59C1C0B3F2}.exe
{A83AD597-A75B-474E-A87E-2CBDFDD38EA8}.exe
{B84632C6-4C1D-4B85-8A54-0E1459725474}.exe
{990F3966-6432-4A57-A4D2-115BB866FC07}.exe
{2F85AAAA-58A0-453B-9999-7431173A9192}.exe
{92496957-0811-43E0-97F3-C368607A46B2}.exe
{EFF5A5E1-B0FD-48B9-B7FF-228688FF4785}.exe
{EA39F6F5-40D0-4286-9016-367357B02D4E}.exe
{3F622677-881A-4E83-950F-9B770150B503}.exe
{8EF68CD2-00B7-400C-8189-E2F5CF8DF074}.exe
{B3026542-FA87-4B76-A3D5-0340DFEBBE77}.exe
{33AFA341-C6C9-428A-80C0-30BEC6F8BFD3}.exe
{D53A1C09-8C39-458B-8045-9D24B12DFF53}.exe
{08F4DADC-03C1-4B2C-9DAF-65BB5952A363}.exe
{DFC27BEB-6099-4C55-8AAE-8151C11AF607}.exe
{60F37F57-2ACA-4CCF-99CA-8CEF4F697633}.exe
{A963BF6E-EF70-4348-956B-09E410C7C5A3}.exe
{015BE5F8-C63D-446A-A0A3-E6C1BEF1C65A}.exe
{CC67AF37-2BA1-4200-ADD3-D82279300598}.exe
{CEA1C90B-B98E-44D4-AD36-DC197AD77E61}.exe
{8BD080BA-BDF7-4E62-9A00-AE77E599CD83}.exe
{CC755EBC-2FD0-46E4-BB1E-6E2C9EF08828}.exe
{C54CB29F-0838-4B86-8656-F356A074075E}.exe
{AB5AAB80-A3DA-495F-876A-D84799C4FE27}.exe
{A6779E25-138D-43D1-A7E5-2DC291115FA3}.exe
{FD9DFDA3-2837-4BD8-8157-80B4BA683867}.exe
{EC674142-48A9-4BBA-B30B-0CCC52CEE703}.exe
{B23B3EC8-793B-4D67-8599-0234E2741E86}.exe
{670B6D34-BE98-42B9-B208-91445DB23121}.exe
{76119F2D-740D-46ED-B4DF-AE2A37A868FB}.exe
{F6E29A77-B9A3-4406-96EB-022AC8514009}.exe
{DE91DE2D-146C-4F6E-B4DD-CCAB05EDABE7}.exe
{B724291F-4A0D-46BB-BE17-184F934E1934}.exe
{CE870827-47F6-48E7-81A3-56835F7CEC70}.exe
{7E11D41E-DD92-4C19-8ACB-D458605A7718}.exe
{0998CCF1-22DA-4880-B844-D83C50CA44D8}.exe
{1BE650A8-975E-4A2B-A59A-18A4361105EA}.exe
{F5908D38-EA36-4D80-B820-E9960DC1379B}.exe
{A3A49340-7288-4F73-A602-30EE04DDB8AC}.exe
{20C72C05-8BFD-4337-91E8-887B9164C8B4}.exe
{9CBBF688-AFB7-4648-B7BE-DD6E561DCD36}.exe
{5C6762AE-424D-4B82-BFCE-B7A7E2FB8947}.exe
{03735969-EB5B-4D91-A508-1489B8188CB3}.exe
{A7FEBB8A-FCBA-41B3-A877-6740A7AF6EB7}.exe
{F7514711-DB8B-4F2B-B73F-808236DB1EA6}.exe
{506F84FE-8B7E-4EBB-AA69-C7F72CDE6AB6}.exe
{7E3C9D60-9126-4A62-895F-6B3DEE270FE3}.exe
{2FEDD7A2-07E5-4B2E-97BE-BE480FF3959A}.exe
{C55AC8C9-0A2E-40D2-ACD2-19BA7434188D}.exe
{46FBE626-1AED-47BB-9BBB-D1936D78AFFE}.exe
{1FB0D202-F84E-425F-9CBC-8E8BD7EDDC46}.exe
{1B0E963E-513E-42A4-9FD1-B2C5CFB42C2B}.exe
{30D5ECBF-EA43-4487-9C7C-9BFDEC4010A5}.exe
{B2012E4C-48BC-40EC-A919-9F4F878D4B6C}.exe
{9661CDE6-8856-48F2-B779-43BF089D57A5}.exe
{DBF3EC50-136E-490F-A5E1-E23728D73D0B}.exe
{0389DB15-F490-4B37-BBA4-2BF74777D956}.exe
{53A52DF0-1BD1-4C7D-9893-DFE430CA197C}.exe
{79469AB5-3F84-4065-B949-1B3ED06CB1E8}.exe
{B5CCB687-92F1-44FD-8D6D-209F5B5E5FA8}.exe
{AD06B24A-CD73-4087-9411-7B6740A6E1B2}.exe
{B9DCFEB1-BCD3-49D7-AA47-B0D9A97D83F5}.exe
{B869BAE2-46C4-4F78-8F17-6CE0D9E6AACA}.exe
{D944AD28-B43E-454E-A9D6-9092B980A9E6}.exe
{4D0E0393-A080-4CAA-83E6-BE2CD5144F87}.exe
{F60FC140-ADCC-49BF-8196-14A47C2AA97D}.exe
{36205865-4AEF-4C50-A0B6-FF064C902287}.exe
{3647FB58-6C11-4397-BCDC-F2DC2314DC14}.exe
{E69D52C7-299D-4562-BFE0-57CF4224778C}.exe
{536C5F09-B05A-4C15-BD1E-C889B0E9900B}.exe
{E8FFCAB6-DE5A-4449-AC40-09EA83EBDD51}.exe
{098B02D1-0344-47B2-93B1-43605685BD68}.exe
{BC58EFF2-1022-4206-9DB7-854E4ECE6057}.exe
{A3A4E214-F384-4BC7-9CD0-308941055D7E}.exe
{F28455F4-913C-4CA8-B784-735F0E1F6C42}.exe
{60E72017-B97D-4FC5-BBE8-7A57F560D9C5}.exe
{03D61FE6-41D1-4400-AB90-6B27FEC2DC94}.exe
{C34DFFF0-BFDB-4093-9F60-D2BDB594B727}.exe
{3C3A5F5D-93EA-41AE-BFD1-AA881EC67A77}.exe
{A3F5E59C-CA07-4F94-83A6-555F6066ECEA}.exe
{F5CA930B-FB7A-4B21-84DD-C52C2777DE4A}.exe
{AC1CDF55-5364-4D63-9DEB-8CDE40B51444}.exe
{ECF8CCC3-28D0-4B31-960B-B720C43D3CC2}.exe
{D8580218-626F-4AAB-9DF0-C50CC1962E38}.exe
{5638184A-9AD8-4020-97F3-9E2E85AEAC0D}.exe
{9B917781-0F94-4B2F-8248-EDD75E690739}.exe
{ED84ECAE-C3F2-46FD-9BE2-E69556727862}.exe
{4AC3E213-FEAD-4DE1-9302-D462204ACA59}.exe
{A3F10ECA-8AA2-494A-A1BE-505DBE5F1F57}.exe
{33FB9C48-C3FE-443B-8150-4B220DB6499C}.exe
{D236B9D0-FE6D-4E27-A239-3AF30D4FB034}.exe
29 Juillet 2006 17:16:24

Bonjour

1 Lance Pocket Killbox.
--- choisis l'option Delete on Reboot
--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\WINDOWS\SYSTEM32\CSQCW.EXE
C:\WINDOWS\SYSTEM32\DMPWU.EXE
C:\WINDOWS\SYSTEM32\DMHVQ.EXE
C:\WINDOWS\SYSTEM32\DMXSF.EXE
C:\WINDOWS\SYSTEM32\DMAYE.EXE
C:\WINDOWS\SYSTEM32\DMFTB.EXE
C:\WINDOWS\system32\jokiw.exe
C:\WINDOWS\SYSTEM32\{FBB43DD8-A308-4EF1-8276-7FA54FA094FC}.exe
C:\WINDOWS\SYSTEM32\{FE2E5703-5A97-470F-B519-46A5DBDD9CD1}.exe
C:\WINDOWS\SYSTEM32\{CCEDF99A-E97A-4033-9FCE-1AAC64A9CC7C}.exe
C:\WINDOWS\SYSTEM32\{6D240A85-181B-466C-AE5A-0CBA191BAE2C}.exe
C:\WINDOWS\SYSTEM32\{3AF7113B-A2C6-4E4A-874D-78186D1DC152}.exe
C:\WINDOWS\SYSTEM32\{1C5C673E-8656-485C-9E57-AB59C1C0B3F2}.exe
C:\WINDOWS\SYSTEM32\{A83AD597-A75B-474E-A87E-2CBDFDD38EA8}.exe
C:\WINDOWS\SYSTEM32\{B84632C6-4C1D-4B85-8A54-0E1459725474}.exe
C:\WINDOWS\SYSTEM32\{990F3966-6432-4A57-A4D2-115BB866FC07}.exe
C:\WINDOWS\SYSTEM32\{2F85AAAA-58A0-453B-9999-7431173A9192}.exe
C:\WINDOWS\SYSTEM32\{92496957-0811-43E0-97F3-C368607A46B2}.exe
C:\WINDOWS\SYSTEM32\{EFF5A5E1-B0FD-48B9-B7FF-228688FF4785}.exe
C:\WINDOWS\SYSTEM32\{EA39F6F5-40D0-4286-9016-367357B02D4E}.exe
C:\WINDOWS\SYSTEM32\{3F622677-881A-4E83-950F-9B770150B503}.exe
C:\WINDOWS\SYSTEM32\{8EF68CD2-00B7-400C-8189-E2F5CF8DF074}.exe
C:\WINDOWS\SYSTEM32\{B3026542-FA87-4B76-A3D5-0340DFEBBE77}.exe
C:\WINDOWS\SYSTEM32\{33AFA341-C6C9-428A-80C0-30BEC6F8BFD3}.exe
C:\WINDOWS\SYSTEM32\{D53A1C09-8C39-458B-8045-9D24B12DFF53}.exe
C:\WINDOWS\SYSTEM32\{08F4DADC-03C1-4B2C-9DAF-65BB5952A363}.exe
C:\WINDOWS\SYSTEM32\{DFC27BEB-6099-4C55-8AAE-8151C11AF607}.exe
C:\WINDOWS\SYSTEM32\{60F37F57-2ACA-4CCF-99CA-8CEF4F697633}.exe
C:\WINDOWS\SYSTEM32\{A963BF6E-EF70-4348-956B-09E410C7C5A3}.exe
C:\WINDOWS\SYSTEM32\{015BE5F8-C63D-446A-A0A3-E6C1BEF1C65A}.exe
C:\WINDOWS\SYSTEM32\{CC67AF37-2BA1-4200-ADD3-D82279300598}.exe
C:\WINDOWS\SYSTEM32\{CEA1C90B-B98E-44D4-AD36-DC197AD77E61}.exe
C:\WINDOWS\SYSTEM32\{8BD080BA-BDF7-4E62-9A00-AE77E599CD83}.exe
C:\WINDOWS\SYSTEM32\{CC755EBC-2FD0-46E4-BB1E-6E2C9EF08828}.exe
C:\WINDOWS\SYSTEM32\{C54CB29F-0838-4B86-8656-F356A074075E}.exe
C:\WINDOWS\SYSTEM32\{AB5AAB80-A3DA-495F-876A-D84799C4FE27}.exe
C:\WINDOWS\SYSTEM32\{A6779E25-138D-43D1-A7E5-2DC291115FA3}.exe
C:\WINDOWS\SYSTEM32\{FD9DFDA3-2837-4BD8-8157-80B4BA683867}.exe
C:\WINDOWS\SYSTEM32\{EC674142-48A9-4BBA-B30B-0CCC52CEE703}.exe
C:\WINDOWS\SYSTEM32\{B23B3EC8-793B-4D67-8599-0234E2741E86}.exe
C:\WINDOWS\SYSTEM32\{670B6D34-BE98-42B9-B208-91445DB23121}.exe
C:\WINDOWS\SYSTEM32\{76119F2D-740D-46ED-B4DF-AE2A37A868FB}.exe
C:\WINDOWS\SYSTEM32\{F6E29A77-B9A3-4406-96EB-022AC8514009}.exe
C:\WINDOWS\SYSTEM32\{DE91DE2D-146C-4F6E-B4DD-CCAB05EDABE7}.exe
C:\WINDOWS\SYSTEM32\{B724291F-4A0D-46BB-BE17-184F934E1934}.exe
C:\WINDOWS\SYSTEM32\{CE870827-47F6-48E7-81A3-56835F7CEC70}.exe
C:\WINDOWS\SYSTEM32\{7E11D41E-DD92-4C19-8ACB-D458605A7718}.exe
C:\WINDOWS\SYSTEM32\{0998CCF1-22DA-4880-B844-D83C50CA44D8}.exe
C:\WINDOWS\SYSTEM32\{1BE650A8-975E-4A2B-A59A-18A4361105EA}.exe
C:\WINDOWS\SYSTEM32\{F5908D38-EA36-4D80-B820-E9960DC1379B}.exe
C:\WINDOWS\SYSTEM32\{A3A49340-7288-4F73-A602-30EE04DDB8AC}.exe
C:\WINDOWS\SYSTEM32\{20C72C05-8BFD-4337-91E8-887B9164C8B4}.exe
C:\WINDOWS\SYSTEM32\{9CBBF688-AFB7-4648-B7BE-DD6E561DCD36}.exe
C:\WINDOWS\SYSTEM32\{5C6762AE-424D-4B82-BFCE-B7A7E2FB8947}.exe
C:\WINDOWS\SYSTEM32\{03735969-EB5B-4D91-A508-1489B8188CB3}.exe
C:\WINDOWS\SYSTEM32\{A7FEBB8A-FCBA-41B3-A877-6740A7AF6EB7}.exe
C:\WINDOWS\SYSTEM32\{F7514711-DB8B-4F2B-B73F-808236DB1EA6}.exe
C:\WINDOWS\SYSTEM32\{506F84FE-8B7E-4EBB-AA69-C7F72CDE6AB6}.exe
C:\WINDOWS\SYSTEM32\{7E3C9D60-9126-4A62-895F-6B3DEE270FE3}.exe
C:\WINDOWS\SYSTEM32\{2FEDD7A2-07E5-4B2E-97BE-BE480FF3959A}.exe
C:\WINDOWS\SYSTEM32\{C55AC8C9-0A2E-40D2-ACD2-19BA7434188D}.exe
C:\WINDOWS\SYSTEM32\{46FBE626-1AED-47BB-9BBB-D1936D78AFFE}.exe
C:\WINDOWS\SYSTEM32\{1FB0D202-F84E-425F-9CBC-8E8BD7EDDC46}.exe
C:\WINDOWS\SYSTEM32\{1B0E963E-513E-42A4-9FD1-B2C5CFB42C2B}.exe
C:\WINDOWS\SYSTEM32\{30D5ECBF-EA43-4487-9C7C-9BFDEC4010A5}.exe
C:\WINDOWS\SYSTEM32\{B2012E4C-48BC-40EC-A919-9F4F878D4B6C}.exe
C:\WINDOWS\SYSTEM32\{9661CDE6-8856-48F2-B779-43BF089D57A5}.exe
C:\WINDOWS\SYSTEM32\{DBF3EC50-136E-490F-A5E1-E23728D73D0B}.exe
C:\WINDOWS\SYSTEM32\{0389DB15-F490-4B37-BBA4-2BF74777D956}.exe
C:\WINDOWS\SYSTEM32\{53A52DF0-1BD1-4C7D-9893-DFE430CA197C}.exe
C:\WINDOWS\SYSTEM32\{79469AB5-3F84-4065-B949-1B3ED06CB1E8}.exe
C:\WINDOWS\SYSTEM32\{B5CCB687-92F1-44FD-8D6D-209F5B5E5FA8}.exe
C:\WINDOWS\SYSTEM32\{AD06B24A-CD73-4087-9411-7B6740A6E1B2}.exe
C:\WINDOWS\SYSTEM32\{B9DCFEB1-BCD3-49D7-AA47-B0D9A97D83F5}.exe
C:\WINDOWS\SYSTEM32\{B869BAE2-46C4-4F78-8F17-6CE0D9E6AACA}.exe
C:\WINDOWS\SYSTEM32\{D944AD28-B43E-454E-A9D6-9092B980A9E6}.exe
C:\WINDOWS\SYSTEM32\{4D0E0393-A080-4CAA-83E6-BE2CD5144F87}.exe
C:\WINDOWS\SYSTEM32\{F60FC140-ADCC-49BF-8196-14A47C2AA97D}.exe
C:\WINDOWS\SYSTEM32\{36205865-4AEF-4C50-A0B6-FF064C902287}.exe
C:\WINDOWS\SYSTEM32\{3647FB58-6C11-4397-BCDC-F2DC2314DC14}.exe
C:\WINDOWS\SYSTEM32\{E69D52C7-299D-4562-BFE0-57CF4224778C}.exe
C:\WINDOWS\SYSTEM32\{536C5F09-B05A-4C15-BD1E-C889B0E9900B}.exe
C:\WINDOWS\SYSTEM32\{E8FFCAB6-DE5A-4449-AC40-09EA83EBDD51}.exe
C:\WINDOWS\SYSTEM32\{098B02D1-0344-47B2-93B1-43605685BD68}.exe
C:\WINDOWS\SYSTEM32\{BC58EFF2-1022-4206-9DB7-854E4ECE6057}.exe
C:\WINDOWS\SYSTEM32\{A3A4E214-F384-4BC7-9CD0-308941055D7E}.exe
C:\WINDOWS\SYSTEM32\{F28455F4-913C-4CA8-B784-735F0E1F6C42}.exe
C:\WINDOWS\SYSTEM32\{60E72017-B97D-4FC5-BBE8-7A57F560D9C5}.exe
C:\WINDOWS\SYSTEM32\{03D61FE6-41D1-4400-AB90-6B27FEC2DC94}.exe
C:\WINDOWS\SYSTEM32\{C34DFFF0-BFDB-4093-9F60-D2BDB594B727}.exe
C:\WINDOWS\SYSTEM32\{3C3A5F5D-93EA-41AE-BFD1-AA881EC67A77}.exe
C:\WINDOWS\SYSTEM32\{A3F5E59C-CA07-4F94-83A6-555F6066ECEA}.exe
C:\WINDOWS\SYSTEM32\{F5CA930B-FB7A-4B21-84DD-C52C2777DE4A}.exe
C:\WINDOWS\SYSTEM32\{AC1CDF55-5364-4D63-9DEB-8CDE40B51444}.exe
C:\WINDOWS\SYSTEM32\{ECF8CCC3-28D0-4B31-960B-B720C43D3CC2}.exe
C:\WINDOWS\SYSTEM32\{D8580218-626F-4AAB-9DF0-C50CC1962E38}.exe
C:\WINDOWS\SYSTEM32\{5638184A-9AD8-4020-97F3-9E2E85AEAC0D}.exe
C:\WINDOWS\SYSTEM32\{9B917781-0F94-4B2F-8248-EDD75E690739}.exe
C:\WINDOWS\SYSTEM32\{ED84ECAE-C3F2-46FD-9BE2-E69556727862}.exe
C:\WINDOWS\SYSTEM32\{4AC3E213-FEAD-4DE1-9302-D462204ACA59}.exe
C:\WINDOWS\SYSTEM32\{A3F10ECA-8AA2-494A-A1BE-505DBE5F1F57}.exe
C:\WINDOWS\SYSTEM32\{33FB9C48-C3FE-443B-8150-4B220DB6499C}.exe
C:\WINDOWS\SYSTEM32\{D236B9D0-FE6D-4E27-A239-3AF30D4FB034}.exeNON


2 Relance un scan HijackThis et coche les lignes ci-dessous :

O4 - HKLM\..\Run: [jokiw.exe] C:\WINDOWS\system32\jokiw.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


3 Lance FixWareout.
Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish.
Suis les directives à l'écran.
L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît.
Le redémarrage risque de prendre un peu plus de temps; ceci est normal.

Lorsque redémarré, un fichier texte apparaîtra (report.txt); copie/colle ce rapport dans ta prochaine réponse, avec un nouveau rapport HijackThis! également.
29 Juillet 2006 21:09:44

salut
ai effectue ce que tu m'as di mais fixeware ne ma pas delivre de rapport
voici celui de hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 21:07:16, on 29/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [sqakn.exe] C:\WINDOWS\system32\sqakn.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

29 Juillet 2006 22:11:40

On peut voir sur le rapport qu'il est toujours présent.
Tu as une version résistante, il va falloir plusieurs passage.
Il doit rester des fichiers cachés.

Réessaye Fixwareout.
30 Juillet 2006 14:24:37

salut
ai fait plusieurs passage et tjs pas de rapport
je dois continué?
ou as tu une autre solution
merci
30 Juillet 2006 14:56:29

Bonjour

Télécharge Silent Runners
http://www.silentrunners.org/Silent%20Runners.zip

Si tu as une alerte de ton antivirus au cours du téléchargement, ou au cours de son utilisation au sujet de ce script, n'en tiend pas compte.

Une fois téléchargé,tu le dézippes dans un dossier dédié.
Puis tu double cliques sur ce fichier,il va travailler, patiente jusqu'à l'affichage d'un message.
Un rapport est généré dans le meme dossier, colle le ici.
La fin doit ressembler à ceci

Citation :
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 104 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 14 seconds.
---------- (total run time: 162 seconds)
30 Juillet 2006 15:02:45

voici le rapport
"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"MsnMsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" [file not found]
"vjlsx.exe" = "C:\WINDOWS\system32\vjlsx.exe" [null data]
"(Default)" = """ = (data in unrecognized format!)" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Program Files\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Program Files\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Program Files\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\GUIGNARD XAVIER\Application Data\Microsoft\Internet Explorer\Papier peint de Internet Explorer.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 12
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

Missing lines (compared with English-language version):
[Strings]: 1 line


HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 1 domain name to an IP address,
1 of the IP addresses is *not* localhost!


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Program Files\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
3300 Series Port\Driver = "lxcclmpm.DLL" ["Lexmark International, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 122 seconds, including 18 seconds for message boxes)
30 Juillet 2006 15:08:01

Poste aussi un nouveau HijackThis.
Ne redémarre pas ton PC.
30 Juillet 2006 15:30:40

le voila

Logfile of HijackThis v1.99.1
Scan saved at 15:29:58, on 30/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vjlsx.exe] C:\WINDOWS\system32\vjlsx.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O17 - HKLM\System\CS3\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

et maintenant?
30 Juillet 2006 15:42:12

Bien

Vas dans Demarrer > Connections > clic droit sur ta connection > Propriétés > onglet Gestion de réseau
Mets en surbrillance Protocole internet (tcp/ip) puis clic sur le bouton Propriétés
Effaces les 2 IP dans Serveur DNS préfèré et Serveur DNS auxiliaire.
Coches Obtenir les adresses des serveurs DNS automatiquement.
Valides avec OK.

Lance Pocket Killbox
--- choisis l'option Delete on Reboot
--- copie le chemin complet du fichier dans la boîte "Full Path of File to Delete" :

C:\WINDOWS\system32\vjlsx.exe

--- clique sur la croix blanche sur fond rouge (Delete File) :
- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

Redémarre normalement

Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/land/karangatrial.php?rc=1611...
  • Clique sur "Télécharger la version test".
  • Installe le programme. Une fois installé, il se lancera.
  • L'option de le mettre à jour s'affichera; clic Oui.
  • Lorsque les mises à jour seront installées, clic Options sur la gauche.
  • Clic sur l'onglet Options d'analyse.
  • Sous A analyser, coche les options suivantes:
  • Analyser la mémoire
  • Analyser le Registre
  • Analyser les cookies
  • Analyser tous les comptes utilisateurs
  • Activer l'analyse directe du disque
  • Analyser le contenu des fichiers compressés
  • Analyse à la recherche de rootkits

  • DÉCOCHE Ne pas analyser les dossiers de restauration du système (uniquement pour Windows Me et XP)

  • Clic Analyser sur la gauche.
  • Clic sur Démarrer.
  • Quand le scan est terminé, clic sur Suivant.
  • Assure-toi que tous les items sont cochés, puis clic sur Suivant.
  • Tous les items cochés seront éliminés.
  • Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.
  • Clic Journal de session au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.
  • Clic sur l'onglet Récapitulatif, puis clic sur Terminer.

  • Colle le contenu du "Journal de session" dans ta prochaine réponse avec un nouveau HijackThis.
    30 Juillet 2006 16:03:21

    ai un petit souci
    car je n'arrive pas a trouver le premier cheminement que tu me demande de faire
    plus éxactement je trouve pas "connection"
    dsl
    30 Juillet 2006 16:07:04

    Parfois le raccourci n'exixte pas.

    Démarrer, Panneau de configuration et ensuite, connection.
    30 Juillet 2006 16:26:01

    ai trouvé merci
    mais quand je fai un clic droit y a pas d'onglet gestion reseau
    es-ce normal?
    30 Juillet 2006 20:01:49

    Dans le panneau de configuration, il faut être en affichage classique.
    Tu double clique sur Connexions réseau.
    Et la, tu vois l'icône de ta connection.
    Clic droit et tu continue la manip.
    31 Juillet 2006 10:06:43

    je vois ce que tu veux dire mais quand je fais un clic droit sur connection au reseau local, je n'ai que les onglets "général", "authentification" et "avancé" mais pas de gestion reseau
    es-ce normal?
    31 Juillet 2006 11:07:06

    guivax a écrit :
    je vois ce que tu veux dire mais quand je fais un clic droit sur connection au reseau local, je n'ai que les onglets "général", "authentification" et "avancé" mais pas de gestion reseau
    es-ce normal?

    C'est gentil de la part de chercheur de lire tes scripts mais n'abusons pas de sa patience :) 

    c'est général>>>>>>en bas de la liste connexion protocole internet tcp/ip>>>>>>propriétés

    voilà
    1 Août 2006 10:39:07

    voici les dernieres news du front

    Protection anti-enregistreurs de frappe: Activé
    Protection BHO: Activé
    Protection Paramètres de sécurité Internet Explorer: Activé
    Protection Exécution Alternate Data Stream (ADS): Activé
    Protection de démarrage: Activé
    Protection des Sites publicitaires connus: Désactivé
    Protection du fichier d'hôtes: Activé
    Protection anti-communication d'espions: Activé
    Protection anti-ActiveX: Activé
    Protection Service Affichage des messages: Activé
    Protection des Favoris Internet Explorer: Activé
    Protection contre l'installation de logiciels espions: Activé
    Protection Mémoire: Activé
    Protection de détournement Internet Explorer: Activé
    Protection Cookies de suivi Internet Explorer: Désactivé
    10:30: État des Protections
    10:30: Définitions de logiciels espions : 691
    10:29: Spy Sweeper 5.0.5.1286 démarrée
    Opération : Terminer
    Cible : C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPERUI.EXE
    Source : C:\WINDOWS\SYSTEM32\CSRSS.EXE
    09:21: Détection d’une falsification
    Opération : Terminer
    Cible : C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPERUI.EXE
    Source : C:\WINDOWS\SYSTEM32\CSRSS.EXE
    09:21: Détection d’une falsification
    Protection anti-enregistreurs de frappe: Activé
    Protection BHO: Activé
    Protection Paramètres de sécurité Internet Explorer: Activé
    Protection Exécution Alternate Data Stream (ADS): Activé
    Protection de démarrage: Activé
    Protection des Sites publicitaires connus: Désactivé
    Protection du fichier d'hôtes: Activé
    Protection anti-communication d'espions: Activé
    Protection anti-ActiveX: Activé
    Protection Service Affichage des messages: Activé
    Protection des Favoris Internet Explorer: Activé
    Protection contre l'installation de logiciels espions: Activé
    Protection Mémoire: Activé
    Protection de détournement Internet Explorer: Activé
    Protection Cookies de suivi Internet Explorer: Désactivé
    09:07: État des Protections
    09:07: Définitions de logiciels espions : 691
    09:07: Spy Sweeper 5.0.5.1286 démarrée
    Protection anti-enregistreurs de frappe: Activé
    Protection BHO: Activé
    Protection Paramètres de sécurité Internet Explorer: Activé
    Protection Exécution Alternate Data Stream (ADS): Activé
    Protection de démarrage: Activé
    23:14: Avertissement: Descripteur non valide
    Protection des Sites publicitaires connus: Désactivé
    Protection du fichier d'hôtes: Activé
    Protection anti-communication d'espions: Activé
    Protection anti-ActiveX: Activé
    Protection Service Affichage des messages: Activé
    Protection des Favoris Internet Explorer: Activé
    Protection contre l'installation de logiciels espions: Activé
    Protection Mémoire: Activé
    Protection de détournement Internet Explorer: Activé
    Protection Cookies de suivi Internet Explorer: Désactivé
    23:14: État des Protections
    23:14: Définitions de logiciels espions : 691
    23:13: Spy Sweeper 5.0.5.1286 démarrée
    Protection anti-enregistreurs de frappe: Activé
    Protection BHO: Activé
    Protection Paramètres de sécurité Internet Explorer: Activé
    Protection Exécution Alternate Data Stream (ADS): Activé
    Protection de démarrage: Activé
    Protection des Sites publicitaires connus: Désactivé
    Protection du fichier d'hôtes: Activé
    Protection anti-communication d'espions: Activé
    Protection anti-ActiveX: Activé
    Protection Service Affichage des messages: Activé
    Protection des Favoris Internet Explorer: Activé
    Protection contre l'installation de logiciels espions: Activé
    Protection Mémoire: Activé
    Protection de détournement Internet Explorer: Activé
    Protection Cookies de suivi Internet Explorer: Désactivé
    22:30: État des Protections
    22:30: Définitions de logiciels espions : 691
    22:28: Spy Sweeper 5.0.5.1286 démarrée
    Protection anti-enregistreurs de frappe: Activé
    Protection BHO: Activé
    Protection Paramètres de sécurité Internet Explorer: Activé
    Protection Exécution Alternate Data Stream (ADS): Activé
    Protection de démarrage: Activé
    Protection des Sites publicitaires connus: Désactivé
    Protection du fichier d'hôtes: Activé
    Protection anti-communication d'espions: Activé
    Protection anti-ActiveX: Activé
    Protection Service Affichage des messages: Activé
    Protection des Favoris Internet Explorer: Activé
    Protection contre l'installation de logiciels espions: Activé
    Protection Mémoire: Activé
    Protection de détournement Internet Explorer: Activé
    Protection Cookies de suivi Internet Explorer: Désactivé
    21:53: État des Protections
    21:53: Définitions de logiciels espions : 691
    21:51: Spy Sweeper 5.0.5.1286 démarrée
    20:16: | Fin de session, lundi 31 juillet 2006 |
    Protection anti-enregistreurs de frappe: Activé
    Protection BHO: Activé
    Protection Paramètres de sécurité Internet Explorer: Activé
    Protection Exécution Alternate Data Stream (ADS): Activé
    Protection de démarrage: Activé
    Protection des Sites publicitaires connus: Désactivé
    Protection du fichier d'hôtes: Activé
    Protection anti-communication d'espions: Activé
    Protection anti-ActiveX: Activé
    Protection Service Affichage des messages: Activé
    Protection des Favoris Internet Explorer: Activé
    Protection contre l'installation de logiciels espions: Activé
    Protection Mémoire: Activé
    Protection de détournement Internet Explorer: Activé
    Protection Cookies de suivi Internet Explorer: Désactivé
    20:13: État des Protections
    20:13: Définitions de logiciels espions : 691
    20:12: Spy Sweeper 5.0.5.1286 démarrée
    11:50: | Fin de session, lundi 31 juillet 2006 |
    11:47: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    11:46: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    Protection anti-enregistreurs de frappe: Activé
    Protection BHO: Activé
    Protection Paramètres de sécurité Internet Explorer: Activé
    Protection Exécution Alternate Data Stream (ADS): Activé
    Protection de démarrage: Activé
    Protection des Sites publicitaires connus: Désactivé
    Protection du fichier d'hôtes: Activé
    Protection anti-communication d'espions: Activé
    Protection anti-ActiveX: Activé
    Protection Service Affichage des messages: Activé
    Protection des Favoris Internet Explorer: Activé
    Protection contre l'installation de logiciels espions: Activé
    Protection Mémoire: Activé
    Protection de détournement Internet Explorer: Activé
    Protection Cookies de suivi Internet Explorer: Désactivé
    11:42: État des Protections
    11:42: Définitions de logiciels espions : 691
    11:41: Spy Sweeper 5.0.5.1286 démarrée
    11:41: Spy Sweeper 5.0.5.1286 démarrée
    11:41: | Début de session, lundi 31 juillet 2006 |
    ********
    Opération : Terminer
    Cible : C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPERUI.EXE
    Source : C:\WINDOWS\SYSTEM32\CSRSS.EXE
    12:48: Détection d’une falsification
    12:45: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:44: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:44: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:44: Avertissement: TBZipFileCompressor.Compress: Cannot compress a file or directory that does not exist (C:\WINDOWS\TEMP\_AVAST4_\UNP34254624.TMP).
    12:44: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:44: Avertissement: TBZipFileCompressor.Compress: Cannot compress a file or directory that does not exist (C:\WINDOWS\TEMP\_AVAST4_\UNP127542077.TMP).
    12:43: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:43: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:42: Avertissement: Failed to access drive D:
    12:41: C:\!KillBox\csqcw.exe (ID = 246)
    12:39: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0016053.exe (ID = 246)
    12:39: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0016042.exe (ID = 246)
    12:39: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0016032.exe (ID = 246)
    12:39: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015975.exe (ID = 246)
    12:39: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015939.exe (ID = 246)
    12:38: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015762.EXE (ID = 246)
    12:38: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015738.exe (ID = 246)
    12:38: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015704.exe (ID = 246)
    12:38: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015692.exe (ID = 246)
    12:38: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015687.exe (ID = 246)
    12:36: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:36: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:35: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:34: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:33: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:32: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:31: Avertissement: Failed to read file "c:\program files\alwil software\avast4\data\dllcc0.dat". Le fichier ou le répertoire est endommagé et illisible
    12:31: Avertissement: Failed to read file "c:\program files\alwil software\avast4\data\clnr0.dll". Le fichier ou le répertoire est endommagé et illisible
    12:29: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:29: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:26: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:26: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:26: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:25: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:25: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:25: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:24: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:23: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:16: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\data\settings.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:16: Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:16: Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:16: Avertissement: Failed to open file "c:\documents and settings\localservice\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:16: Avertissement: Failed to open file "c:\documents and settings\localservice\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:16: Avertissement: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:16: Avertissement: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:16: Avertissement: Failed to open file "c:\documents and settings\networkservice\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:16: Avertissement: Failed to open file "c:\documents and settings\networkservice\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:16: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:16: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:15: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:15: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:15: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:14: Avertissement: Failed to open file "c:\windows\softwaredistribution\eventcache\{1ba33b7f-4beb-42a8-98e3-1689da0b6662}.bin". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:14: Avertissement: Failed to open file "c:\windows\softwaredistribution\eventcache\{fd43bff1-09c4-4512-a374-a7d4a266e23b}.bin". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:13: Avertissement: Failed to open file "c:\windows\temp\_avast4_\webshlock.txt". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:13: Avertissement: Failed to open file "c:\windows\temp\perflib_perfdata_5c8.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:09: Avertissement: Failed to open file "c:\windows\system32\config\default". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:09: Avertissement: Failed to open file "c:\windows\system32\config\software". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:09: Avertissement: Failed to open file "c:\windows\system32\config\system". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:09: Avertissement: Failed to open file "c:\windows\system32\config\sam". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:09: Avertissement: Failed to open file "c:\windows\system32\config\security". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:09: Avertissement: Failed to open file "c:\windows\system32\config\security.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:09: Avertissement: Failed to open file "c:\windows\system32\config\sam.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:09: Avertissement: Failed to open file "c:\windows\system32\config\default.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:09: Avertissement: Failed to open file "c:\windows\system32\config\software.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:09: Avertissement: Failed to open file "c:\windows\system32\config\system.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:09: C:\WINDOWS\system32\csjan.exe (ID = 246)
    12:09: Avertissement: Failed to open file "c:\windows\system32\dmahe.exe". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:09: Avertissement: Failed to open file "c:\windows\system32\qveka.exe". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12:09: C:\WINDOWS\system32\cskky.exe (ID = 246)
    12:09: C:\WINDOWS\system32\cssbc.exe (ID = 246)
    12:09: C:\WINDOWS\system32\cslao.exe (ID = 246)
    12:08: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:08: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:08: C:\WINDOWS\system32\csjos.exe (ID = 246)
    12:07: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    12:07: C:\WINDOWS\system32\csuyd.exe (ID = 246)
    12:07: C:\WINDOWS\system32\csumj.exe (ID = 246)
    12:07: C:\WINDOWS\system32\csncn.exe (ID = 246)
    12:06: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:06: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:05: Avertissement: Failed to open file "c:\hiberfil.sys". Accès refusé
    12:05: Avertissement: Failed to open file "c:\pagefile.sys". Accès refusé
    12:05: Démarrage de l’analyse des fichiers
    12:05: Avertissement: Failed to access drive A:
    12:05: Analyse des cookies terminée, temps passé : 00:00:02
    12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@adtech[2].txt (ID = 2155)
    12:05: Trouvé Spy Cookie: adtech cookie
    12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@weborama[2].txt (ID = 3658)
    12:05: Trouvé Spy Cookie: weborama cookie
    12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@atdmt[2].txt (ID = 2253)
    12:05: Trouvé Spy Cookie: atlas dmt cookie
    12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@counter9.sextracker[1].txt (ID = 3362)
    12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@69.50.190[2].txt (ID = 1936)
    12:05: Trouvé Spy Cookie: 190dotcom cookie
    12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@bluestreak[2].txt (ID = 2314)
    12:05: Trouvé Spy Cookie: bluestreak cookie
    12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@sextracker[1].txt (ID = 3361)
    12:05: Trouvé Spy Cookie: sextracker cookie
    12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@xiti[1].txt (ID = 3717)
    12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@mediaplex[1].txt (ID = 6442)
    12:05: Trouvé Spy Cookie: mediaplex cookie
    12:05: c:\documents and settings\guignard xavier\cookies\guignard xavier@msnportal.112.2o7[1].txt (ID = 1958)
    12:05: Trouvé Spy Cookie: 2o7.net cookie
    12:05: c:\documents and settings\guignard emilie\cookies\guignard emilie@msn.touchclarity[1].txt (ID = 3566)
    12:05: Trouvé Spy Cookie: touchclarity cookie
    12:05: c:\documents and settings\guignard emilie\cookies\guignard emilie@dist.belnk[2].txt (ID = 2293)
    12:05: c:\documents and settings\guignard emilie\cookies\guignard emilie@belnk[1].txt (ID = 2292)
    12:05: Trouvé Spy Cookie: belnk cookie
    12:05: c:\documents and settings\guignard emilie\cookies\guignard emilie@xiti[1].txt (ID = 3717)
    12:05: Trouvé Spy Cookie: xiti cookie
    12:05: c:\documents and settings\guignard emilie\cookies\guignard emilie@go[1].txt (ID = 2728)
    12:05: Trouvé Spy Cookie: go.com cookie
    12:05: Démarrage de l’analyse des cookies
    12:05: Analyse du Registre terminée, temps passé :00:02:07
    12:05: HKU\S-1-5-21-117609710-842925246-1708537768-1004\software\microsoft\internet explorer\extensions\cmdmapping\ || {bf69df00-2734-477f-8257-27cd04f88779} (ID = 144839)
    12:05: Trouvé Trojan Horse: trojan-downloader-wareout
    12:04: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    12:04: HKLM\software\microsoft\windows\currentversion\ruins\ (ID = 605128)
    12:04: HKLM\software\microsoft\windows\currentversion\urls\ (ID = 605127)
    12:03: Démarrage de l’analyse du Registre
    12:03: Analyse de la mémoire terminée, temps passé : 00:12:29
    12:03: Menace en cours d'exécution détectée : C:\Program Files\Internet Explorer\IEXPLORE.EXE (ID = 81)
    11:57: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    11:57: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    11:56: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    11:56: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    11:54: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    11:53: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    11:51: Menace en cours d'exécution détectée : C:\WINDOWS\explorer.exe (ID = 81)
    11:51: Trouvé Trojan Horse: trojan-downloader-ruin
    11:51: Démarrage de l’analyse de la mémoire
    11:50: Analyse lancée avec la version des définitions 691
    11:50: Spy Sweeper 5.0.5.1286 démarrée
    11:50: | Début de session, lundi 31 juillet 2006 |
    ********
    21:43: Processus de suppression lancé. Durée 00:02:04
    21:43: Préparation du redémarrage de votre ordinateur. Veuillez patienter...
    21:43: Avertissement: Quarantine process could not restart Explorer.
    21:43: Avertissement: Timed out waiting for explorer.exe
    21:43: Avertissement: Timed out waiting for explorer.exe
    21:43: Avertissement: Timed out waiting for explorer.exe
    21:43: Mise en quarantaine de toutes les traces : adultfriendfinder cookie
    21:43: Mise en quarantaine de toutes les traces : bluestreak cookie
    21:43: Mise en quarantaine de toutes les traces : tacoda cookie
    21:43: Mise en quarantaine de toutes les traces : adtech cookie
    21:43: Mise en quarantaine de toutes les traces : weborama cookie
    21:43: Mise en quarantaine de toutes les traces : atlas dmt cookie
    21:43: Mise en quarantaine de toutes les traces : overture cookie
    21:43: Mise en quarantaine de toutes les traces : 190dotcom cookie
    21:43: Mise en quarantaine de toutes les traces : sextracker cookie
    21:43: Mise en quarantaine de toutes les traces : mediaplex cookie
    21:43: Mise en quarantaine de toutes les traces : 2o7.net cookie
    21:43: Mise en quarantaine de toutes les traces : touchclarity cookie
    21:43: Mise en quarantaine de toutes les traces : belnk cookie
    21:43: Mise en quarantaine de toutes les traces : xiti cookie
    21:43: Mise en quarantaine de toutes les traces : go.com cookie
    21:43: Mise en quarantaine de toutes les traces : trojan-downloader-wareout
    21:43: Échec de la mise en quarantaine C:\Program Files\Internet Explorer\IEXPLORE.EXE
    21:42: Échec de la mise en quarantaine C:\WINDOWS\explorer.exe
    21:42: Échec de la mise en quarantaine trojan-downloader-ruin
    21:42: Avertissement: Unable to quarantine C:\WINDOWS\explorer.exe. This is a protected operating system file.
    21:42: Mise en quarantaine de toutes les traces : trojan-downloader-ruin
    21:41: Processus de suppression lancé.
    21:41: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    21:40: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    21:40: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    21:39: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    21:39: Traces trouvées : 42
    21:39: Analyse complète terminée. Durée 01:22:37
    21:39: Analyse des fichiers terminée, temps passé : 01:04:07
    21:38: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    21:34: Avertissement: Failed to access drive D:
    21:34: C:\!KillBox\csqcw.exe (ID = 246)
    21:33: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0016053.exe (ID = 246)
    21:33: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0016042.exe (ID = 246)
    21:31: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    21:31: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    21:30: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    21:30: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0016032.exe (ID = 246)
    21:30: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    21:30: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015975.exe (ID = 246)
    21:30: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015939.exe (ID = 246)
    21:30: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    21:29: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015762.EXE (ID = 246)
    21:29: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    21:29: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015738.exe (ID = 246)
    21:29: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015704.exe (ID = 246)
    21:29: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015692.exe (ID = 246)
    21:29: C:\System Volume Information\_restore{336A61FF-0CB2-43DD-AF4D-0A524EAAFE7F}\RP25\A0015687.exe (ID = 246)
    21:23: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    21:22: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    21:21: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    21:19: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    21:18: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    21:16: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    21:06: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    21:06: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    21:06: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    21:06: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    21:06: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    21:05: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    21:05: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    21:04: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    21:03: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    21:03: Avertissement: Failed to open file "c:\documents and settings\guignard xavier\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:57: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    20:57: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    20:56: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    20:55: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    20:54: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    20:52: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    20:48: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\data\settings.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:47: Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:47: Avertissement: Failed to open file "c:\documents and settings\localservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:47: Avertissement: Failed to open file "c:\documents and settings\localservice\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:47: Avertissement: Failed to open file "c:\documents and settings\localservice\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:47: Avertissement: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:47: Avertissement: Failed to open file "c:\documents and settings\networkservice\local settings\application data\microsoft\windows\usrclass.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:47: Avertissement: Failed to open file "c:\documents and settings\networkservice\ntuser.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:47: Avertissement: Failed to open file "c:\documents and settings\networkservice\ntuser.dat.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:45: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    20:45: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    20:44: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    20:44: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    20:44: Avertissement: Failed to open file "c:\windows\softwaredistribution\eventcache\{1ba33b7f-4beb-42a8-98e3-1689da0b6662}.bin". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:44: Avertissement: Failed to open file "c:\windows\softwaredistribution\eventcache\{fd43bff1-09c4-4512-a374-a7d4a266e23b}.bin". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:43: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    20:43: Avertissement: Failed to open file "c:\windows\temp\_avast4_\webshlock.txt". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:43: Avertissement: Failed to open file "c:\windows\temp\perflib_perfdata_74c.dat". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:41: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    20:37: Avertissement: Failed to open file "c:\windows\system32\config\default". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:37: Avertissement: Failed to open file "c:\windows\system32\config\software". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:37: Avertissement: Failed to open file "c:\windows\system32\config\system". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:37: Avertissement: Failed to open file "c:\windows\system32\config\sam". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:37: Avertissement: Failed to open file "c:\windows\system32\config\security". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:37: Avertissement: Failed to open file "c:\windows\system32\config\security.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:37: Avertissement: Failed to open file "c:\windows\system32\config\sam.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:37: Avertissement: Failed to open file "c:\windows\system32\config\default.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:37: Avertissement: Failed to open file "c:\windows\system32\config\software.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:37: Avertissement: Failed to open file "c:\windows\system32\config\system.log". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:37: C:\WINDOWS\system32\csjan.exe (ID = 246)
    20:37: C:\WINDOWS\system32\cskky.exe (ID = 246)
    20:37: C:\WINDOWS\system32\cssbc.exe (ID = 246)
    20:36: C:\WINDOWS\system32\cslao.exe (ID = 246)
    20:36: Avertissement: Failed to open file "c:\windows\system32\emzdd.exe". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:36: C:\WINDOWS\system32\csjos.exe (ID = 246)
    20:36: Avertissement: Failed to open file "c:\windows\system32\dmneg.exe". Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    20:35: C:\WINDOWS\system32\csuyd.exe (ID = 246)
    20:35: C:\WINDOWS\system32\csumj.exe (ID = 246)
    20:35: C:\WINDOWS\system32\csncn.exe (ID = 246)
    20:35: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    20:34: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    20:34: Avertissement: Failed to open file "c:\hiberfil.sys". Accès refusé
    20:34: Avertissement: Failed to open file "c:\pagefile.sys". Accès refusé
    20:34: Démarrage de l’analyse des fichiers
    20:34: Avertissement: Failed to access drive A:
    20:34: Analyse des cookies terminée, temps passé : 00:00:06
    20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@adultfriendfinder[2].txt (ID = 2165)
    20:34: Trouvé Spy Cookie: adultfriendfinder cookie
    20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@bluestreak[1].txt (ID = 2314)
    20:34: Trouvé Spy Cookie: bluestreak cookie
    20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@anad.tacoda[1].txt (ID = 6445)
    20:34: Trouvé Spy Cookie: tacoda cookie
    20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@adtech[2].txt (ID = 2155)
    20:34: Trouvé Spy Cookie: adtech cookie
    20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@weborama[2].txt (ID = 3658)
    20:34: Trouvé Spy Cookie: weborama cookie
    20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@atdmt[2].txt (ID = 2253)
    20:34: Trouvé Spy Cookie: atlas dmt cookie
    20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@overture[1].txt (ID = 3105)
    20:34: Trouvé Spy Cookie: overture cookie
    20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@counter9.sextracker[1].txt (ID = 3362)
    20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@69.50.190[2].txt (ID = 1936)
    20:34: Trouvé Spy Cookie: 190dotcom cookie
    20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@sextracker[1].txt (ID = 3361)
    20:34: Trouvé Spy Cookie: sextracker cookie
    20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@xiti[1].txt (ID = 3717)
    20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@mediaplex[1].txt (ID = 6442)
    20:34: Trouvé Spy Cookie: mediaplex cookie
    20:34: c:\documents and settings\guignard xavier\cookies\guignard xavier@msnportal.112.2o7[1].txt (ID = 1958)
    20:34: Trouvé Spy Cookie: 2o7.net cookie
    20:34: c:\documents and settings\guignard emilie\cookies\guignard emilie@msn.touchclarity[1].txt (ID = 3566)
    20:34: Trouvé Spy Cookie: touchclarity cookie
    20:34: c:\documents and settings\guignard emilie\cookies\guignard emilie@dist.belnk[2].txt (ID = 2293)
    20:34: c:\documents and settings\guignard emilie\cookies\guignard emilie@belnk[1].txt (ID = 2292)
    20:34: Trouvé Spy Cookie: belnk cookie
    20:34: c:\documents and settings\guignard emilie\cookies\guignard emilie@xiti[1].txt (ID = 3717)
    20:34: Trouvé Spy Cookie: xiti cookie
    20:34: c:\documents and settings\guignard emilie\cookies\guignard emilie@go[1].txt (ID = 2728)
    20:34: Trouvé Spy Cookie: go.com cookie
    20:34: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    20:34: Démarrage de l’analyse des cookies
    20:34: Analyse du Registre terminée, temps passé :00:02:02
    20:34: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    20:34: HKU\S-1-5-21-117609710-842925246-1708537768-1004\software\microsoft\internet explorer\extensions\cmdmapping\ || {bf69df00-2734-477f-8257-27cd04f88779} (ID = 144839)
    20:34: Trouvé Trojan Horse: trojan-downloader-wareout
    20:34: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    20:33: HKLM\software\microsoft\windows\currentversion\ruins\ (ID = 605128)
    20:33: HKLM\software\microsoft\windows\currentversion\urls\ (ID = 605127)
    20:33: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    20:32: Démarrage de l’analyse du Registre
    20:32: Analyse de la mémoire terminée, temps passé : 00:15:40
    20:32: Menace en cours d'exécution détectée : C:\Program Files\Internet Explorer\IEXPLORE.EXE (ID = 81)
    20:28: Menace en cours d'exécution détectée : C:\WINDOWS\explorer.exe (ID = 81)
    20:28: Trouvé Trojan Horse: trojan-downloader-ruin
    20:26: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    20:26: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    20:25: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-downloader-ruin, version 1.0.0.0
    20:24: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    20:24: La Protection anti-communication d’espions a bloqué l’accès à : WWW.SEARCHFEED.COM
    20:24: La Protection anti-communication d’espions a bloqué l’accès à : WWW.SEARCHFEED.COM
    20:24: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    20:23: Protection contre l'installation de logiciels espions: trouvé : Trojan Horse: trojan-secdrop, version 1.0.0.0
    20:16: Démarrage de l’analyse de la mémoire
    20:16: Analyse lancée avec la version des définitions 691
    20:16: Spy Sweeper 5.0.5.1286 démarrée
    20:16: | Début de session, lundi 31 juillet 2006 |
    ********

    Logfile of HijackThis v1.99.1
    Scan saved at 10:38:36, on 01/08/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\msdtc.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
    C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O1 - Hosts: localhost 127.0.0.1
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
    O4 - HKLM\..\Run: [znjhv.exe] C:\WINDOWS\system32\znjhv.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
    O17 - HKLM\System\CS2\Services\Tcpip\..\{1E7CA1F3-C161-4024-9D1A-FA99A3612A09}: NameServer = 85.255.115.54,85.255.112.232
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
    O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

    et maintenant?
    1 Août 2006 11:48:48

    On continue

    1. Télécharge The Avenger par Swandog46 sur le Bureau
    http://swandog46.geekstogo.com/avenger.zip
  • Clique sur Avenger.zip pour ouvrir le fichier
  • Extraire avenger.exe sur le bureau

    2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

    Files to delete:
    C:\WINDOWS\system32\csjan.exe
    C:\WINDOWS\system32\cskky.exe
    C:\WINDOWS\system32\cssbc.exe
    C:\WINDOWS\system32\cslao.exe
    c:\windows\system32\emzdd.exe
    C:\WINDOWS\system32\csjos.exe
    c:\windows\system32\dmneg.exe
    C:\WINDOWS\system32\csuyd.exe
    C:\WINDOWS\system32\csumj.exe
    C:\WINDOWS\system32\csncn.exe
    c:\windows\system32\dmahe.exe
    c:\windows\system32\qveka.exe
    C:\WINDOWS\system32\znjhv.exe
    IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
    si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.


    3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
  • Sous "Script file to execute" choisir "Input Script Manually".
  • Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
  • Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
  • Clique Done
  • ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
  • Répondre "Yes" deux fois quand demandé.

    4. The Avenger va automatiquement faire ce qui suit:
  • Il va Re-démarrer le système.
  • Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
  • Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
  • The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

    5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau log HijackThis en utilisant REPONDRE

    Supprime FixWareout.
    Et retélécharge le de l'un de ces deux liens :
    http://downloads.subratam.org/Fixwareout.exe
    http://www.bleepingcomputer.com/files/lonny/Fixwareout....
    Refais un scan et vérifie si tu as un rapport.
  • [/i]
    1 Août 2006 22:14:48

    voici les rapports
    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\wcrwtfjx

    *******************

    Script file located at: \??\C:\Documents and Settings\sphobxwt.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:



    File C:\WINDOWS\system32\csjan.exe not found!
    Deletion of file C:\WINDOWS\system32\csjan.exe failed!

    Could not process line:
    C:\WINDOWS\system32\csjan.exe
    Status: 0xc0000034



    File C:\WINDOWS\system32\cskky.exe not found!
    Deletion of file C:\WINDOWS\system32\cskky.exe failed!

    Could not process line:
    C:\WINDOWS\system32\cskky.exe
    Status: 0xc0000034



    File C:\WINDOWS\system32\cssbc.exe not found!
    Deletion of file C:\WINDOWS\system32\cssbc.exe failed!

    Could not process line:
    C:\WINDOWS\system32\cssbc.exe
    Status: 0xc0000034



    File C:\WINDOWS\system32\cslao.exe not found!
    Deletion of file C:\WINDOWS\system32\cslao.exe failed!

    Could not process line:
    C:\WINDOWS\system32\cslao.exe
    Status: 0xc0000034



    File c:\windows\system32\emzdd.exe not found!
    Deletion of file c:\windows\system32\emzdd.exe failed!

    Could not process line:
    c:\windows\system32\emzdd.exe
    Status: 0xc0000034



    File C:\WINDOWS\system32\csjos.exe not found!
    Deletion of file C:\WINDOWS\system32\csjos.exe failed!

    Could not process line:
    C:\WINDOWS\system32\csjos.exe
    Status: 0xc0000034



    File c:\windows\system32\dmneg.exe not found!
    Deletion of file c:\windows\system32\dmneg.exe failed!

    Could not process line:
    c:\windows\system32\dmneg.exe
    Status: 0xc0000034



    File C:\WINDOWS\system32\csuyd.exe not found!
    Deletion of file C:\WINDOWS\system32\csuyd.exe failed!

    Could not process line:
    C:\WINDOWS\system32\csuyd.exe
    Status: 0xc0000034



    File C:\WINDOWS\system32\csumj.exe not found!
    Deletion of file C:\WINDOWS\system32\csumj.exe failed!

    Could not process line:
    C:\WINDOWS\system32\csumj.exe
    Status: 0xc0000034



    File C:\WINDOWS\system32\csncn.exe not found!
    Deletion of file C:\WINDOWS\system32\csncn.exe failed!

    Could not process line:
    C:\WINDOWS\system32\csncn.exe
    Status: 0xc0000034



    File c:\windows\system32\dmahe.exe not found!
    Deletion of file c:\windows\system32\dmahe.exe failed!

    Could not process line:
    c:\windows\system32\dmahe.exe
    Status: 0xc0000034



    File c:\windows\system32\qveka.exe not found!
    Deletion of file c:\windows\system32\qveka.exe failed!

    Could not process line:
    c:\windows\system32\qveka.exe
    Status: 0xc0000034



    File C:\WINDOWS\system32\znjhv.exe not found!
    Deletion of file C:\WINDOWS\system32\znjhv.exe failed!

    Could not process line:
    C:\WINDOWS\system32\znjhv.exe
    Status: 0xc0000034


    Completed script processing.

    *******************

    Finished! Terminate.

    Logfile of HijackThis v1.99.1
    Scan saved at 21:53:46, on 01/08/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
    C:\Documents and Settings\GUIGNARD XAVIER\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O1 - Hosts: localhost 127.0.0.1
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
    O4 - HKLM\..\Run: [cnorq.exe] C:\WINDOWS\system32\cnorq.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF0B056-2B64-414C-9F8C-860010A6E69E}: NameServer = 85.255.115.54,85.255.112.232
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.54 85.255.112.232
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
    O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe


    Fixwareout ver 1.003
    Last edited 07/1/2006
    Post this report in the forums please

    Reg Entries that were deleted
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}535778C36D88-66C8-B124-FF59-A6D311E6{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E4CA3C7A0A1E-9CB9-B174-6837-4CDC910A{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}708378AA9227-5F3B-9394-3D3F-5EBB2E63{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ADCD0D56518D-66EA-31C4-EDC8-8548D825{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D99CF50D0C4A-8C9A-0314-CB43-10FEA8EF{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}700B8F1ADFF9-74C9-BCA4-2875-4EF42E6D{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}722BC1B6DD37-D93B-8BB4-D4DC-95A71570{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A418D29A6B3B-2F89-5784-C1B7-76F8F8AE{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F19708F8D484-DA69-8274-C3BF-A73A18F8{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E1E2C31A44BF-15C9-ADE4-DC3A-1A8E54B6{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A0E35FC0504B-8DB9-7BD4-0014-B981BB8C{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}45F6F10FFF15-B28A-3384-1337-57BB1B01{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}648627782017-7CAB-A1F4-DDE8-D5C9D4F2{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BF5D21AAAE41-40BB-F514-7CAE-AF34171F{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EE839A1ED1D5-9BF8-8E94-1612-4067AC30{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1651ECD8F64F-7B6B-48D4-0959-800A7478{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E930847031FC-670A-13A4-7D52-195A1134{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2C7C304B421B-446B-18B4-82B2-D1C21DDF{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}88400701D86F-E6A8-8AA4-90AA-7CE9D261{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0B43CB4FFA4B-958B-7254-FFDB-D6852290{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0500BAE14AA6-96A9-8554-73EF-51D6E4C3{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8DD97539B160-F29A-6464-6055-53A1D54D{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}73040FD8CB7A-E68B-CD94-5179-DE701391{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1E02062F0C51-BC0B-5504-AB65-8F80F2EF{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E10D16C5BCA-C67A-AC14-B7F1-5208BDFD{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}44286F619666-D018-2AA4-43BF-D7A5D892{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6191ECA77B39-18E9-D834-6275-35E189BB{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F7B89EBC6242-2499-4234-7D66-6CAA88FA{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DAE274DA3D0A-8CCA-1314-BD96-F22A6620{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F1373E013A0F-A2AA-9E34-9400-EEC16528{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2BB06A7B1547-BBF8-9744-53FD-8CC76EC8{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F5EE73D3E8B5-2708-5034-484F-8F138D98{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D40027AB3ED4-F64A-C424-7122-F93A0C8A{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}61D2C279FF17-3F29-57C4-7F27-A114B387{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9285FD6623DC-2FEA-CF04-5701-9ED86814{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E6C97A6E242-062A-C404-35FF-E71ADEEA{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9C024D1CB207-835A-95A4-1E01-C2D6A105{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1B5A6738BA2B-372A-6B14-4B66-1A223C5C{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}37F8962B4F70-874B-0F34-E3C0-59E73DEA{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1F67105567AC-501A-4664-CE6F-98A3FEE0{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\hebmd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BFCA8B3F5BAA-0E79-DE94-94F2-4D4CACE3{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F034FB8EB8FD-6828-1FA4-A3DE-8F85B014{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9CD1E2C3F23B-EBE9-9BD4-C6A0-CB85F654{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}84927BECACFD-C65B-42B4-02C0-E44DDD16{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
    ...

    Microsoft (R) Windows Script Host Version 5.6
    Random Runs removed from HKLM
    "dmbeh.exe"=-
    ...

    PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
    Example ipsec6.exe is legitimate

    »»»»» Search by size and names...
    * csr.exe C:\WINDOWS\System32\CSEEI.EXE

    »»»»» Misc files

    »»»»» Checking for older varients covered by the Rem3 tool
    1 Août 2006 22:21:38

    Le rapport FixWareout a l'air incomplet.
    Mais il refonctionne.
    Reposte le.
    1 Août 2006 22:50:11

    le revoila

    Fixwareout ver 1.003
    Last edited 07/1/2006
    Post this report in the forums please

    Reg Entries that were deleted
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}535778C36D88-66C8-B124-FF59-A6D311E6{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E4CA3C7A0A1E-9CB9-B174-6837-4CDC910A{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}708378AA9227-5F3B-9394-3D3F-5EBB2E63{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ADCD0D56518D-66EA-31C4-EDC8-8548D825{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D99CF50D0C4A-8C9A-0314-CB43-10FEA8EF{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}700B8F1ADFF9-74C9-BCA4-2875-4EF42E6D{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}722BC1B6DD37-D93B-8BB4-D4DC-95A71570{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A418D29A6B3B-2F89-5784-C1B7-76F8F8AE{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F19708F8D484-DA69-8274-C3BF-A73A18F8{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E1E2C31A44BF-15C9-ADE4-DC3A-1A8E54B6{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A0E35FC0504B-8DB9-7BD4-0014-B981BB8C{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}45F6F10FFF15-B28A-3384-1337-57BB1B01{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}648627782017-7CAB-A1F4-DDE8-D5C9D4F2{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BF5D21AAAE41-40BB-F514-7CAE-AF34171F{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EE839A1ED1D5-9BF8-8E94-1612-4067AC30{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1651ECD8F64F-7B6B-48D4-0959-800A7478{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E930847031FC-670A-13A4-7D52-195A1134{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2C7C304B421B-446B-18B4-82B2-D1C21DDF{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}88400701D86F-E6A8-8AA4-90AA-7CE9D261{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0B43CB4FFA4B-958B-7254-FFDB-D6852290{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0500BAE14AA6-96A9-8554-73EF-51D6E4C3{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8DD97539B160-F29A-6464-6055-53A1D54D{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}73040FD8CB7A-E68B-CD94-5179-DE701391{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1E02062F0C51-BC0B-5504-AB65-8F80F2EF{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E10D16C5BCA-C67A-AC14-B7F1-5208BDFD{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}44286F619666-D018-2AA4-43BF-D7A5D892{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6191ECA77B39-18E9-D834-6275-35E189BB{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F7B89EBC6242-2499-4234-7D66-6CAA88FA{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DAE274DA3D0A-8CCA-1314-BD96-F22A6620{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F1373E013A0F-A2AA-9E34-9400-EEC16528{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2BB06A7B1547-BBF8-9744-53FD-8CC76EC8{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F5EE73D3E8B5-2708-5034-484F-8F138D98{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D40027AB3ED4-F64A-C424-7122-F93A0C8A{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}61D2C279FF17-3F29-57C4-7F27-A114B387{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9285FD6623DC-2FEA-CF04-5701-9ED86814{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E6C97A6E242-062A-C404-35FF-E71ADEEA{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9C024D1CB207-835A-95A4-1E01-C2D6A105{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1B5A6738BA2B-372A-6B14-4B66-1A223C5C{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}37F8962B4F70-874B-0F34-E3C0-59E73DEA{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1F67105567AC-501A-4664-CE6F-98A3FEE0{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\hebmd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BFCA8B3F5BAA-0E79-DE94-94F2-4D4CACE3{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F034FB8EB8FD-6828-1FA4-A3DE-8F85B014{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9CD1E2C3F23B-EBE9-9BD4-C6A0-CB85F654{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}84927BECACFD-C65B-42B4-02C0-E44DDD16{
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
    ...

    Microsoft (R) Windows Script Host Version 5.6
    Random Runs removed from HKLM
    "dmbeh.exe"=-
    ...

    PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
    Example ipsec6.exe is legitimate

    »»»»» Search by size and names...
    * csr.exe C:\WINDOWS\System32\CSEEI.EXE

    »»»»» Misc files

    »»»»» Checking for older varients covered by the Rem3 tool
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS