problème de trojans... désespéré - Sécurité - Windows & Software
Marsh Posté le 11-06-2006 à 02:04:31
Bonjour a tous,
* A la moindre interrogation, doute, probleme de ta part, pose moi ta question afin de suivre correctement les instructions.
* Il y a presence de 2 firewalls, Kerio et Zone Alarm, il te faut en desinstaller un.
* Télécharge et installe :
- Ewido http://www.ewido.net/fr/download/
- Durant l'installation
- Sur la page Additional Options
- Décoche Install background guardet et Install scan via context menu
- Lance Ewido Security Suite. Clique sur Mise à jour mais ne t'en serts pas tout de suite.
* Télécharge et installe ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
* Imprime ou enregistre les instructions dans un fichier texte puisque en mode sans echec, tu n'auras pas acces a Internet.
* S'assurer que tout les fichiers soient la :
Ouvre le poste de travail ou l'Explorateur Windows (ce que vous utilisez d'habitude pour visiter vos fichiers).
Menu "Outils" -> "Options des Dossiers..." -> Onglet "Affichage".
Vous trouverez ces réglages dans le cadre "Paramètres avancés" :
- Fichiers et dossiers cachés : cochez "Afficher les fichiers et dossiers cachés"
- Décochez "Masquer les extensions des fichiers dont le type est connu"
- Décochez "Masquer les fichiers protégés du système d'exploitation", à la demande de confirmation répondez "Oui"
* Redémarre ton PC en mode sans échec.
- En cas de difficulte, suis les intrusctions : http://perso.wanadoo.fr/jesses/Doc [...] sEchec.htm
* Enlever les lignes nefastes :
Relance HijackThis et clique sur Do a scan only puis cochez les lignes [ si presentes ] en gras ci-dessous :
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKCU\..\Run: [Heth] "C:\WINDOWS\System32\SEMBLY~1\wuauclt.exe" -vt yazb
O4 - HKCU\..\Run: [Icuftbaw] C:\WINDOWS\system32\M?crosoft\l?ass.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
Ferme toutes les applications en cours sauf HijackThis et fais Fixed checked .
* Supprimez les mauvais fichiers :
Supprime les fichiers/dossiers incriminés en gras ci dessous [ s'ils sont presents ] en suivant le chemin d'acces.
C:\WINDOWS\ ALCXMNTR.EXE <= Le fichier
C:\WINDOWS\System32\ logon.exe <= Le fichier
C:\WINDOWS\System32\ explorer.exe <= Le fichier
C:\WINDOWS\System32\ SEMBLY~1 <= Le dossier commencant par SEMBLY
C:\WINDOWS\system32\M?crosoft\ l?ass.exe <= Le fichier
* Démarre ATF-Cleaner :
- Coche ceci :
* Windows Temp
* Current User Temp
* All Users Temp
* Cookies
* Temporary Internet Files
* Prefetch
* Java Cache
* Recycle Bin
Clique sur Empty Selected et au message "Done Cleaning" sur Ok
* Fais un scan avec Ewido
- Clique sur Scanner et choisir Scan complet du système
- Si des fichiers infectés sont trouvés, toujours les supprimer
- Le scan fini, sauver le rapport et le postez ici.
* Voir les resultats de la manipulation :
Redémarre ton ordinateur en mode normal et poste un nouveau rapport HijackThis à titre vérificatif ainsi que le rapport d'Ewido.
Marsh Posté le 12-06-2006 à 15:11:04
Alors tout d'abord merci à toi anthony10 d'avoir pris le temps de m'aider Les différentes manipulations se sont déroulées sans problème apparent mais je te laisse vérifier si tout est réellement réparé avec les différents rapports
le 1er rapport ewindo en mode sans échec
Citation : --------------------------------------------------------- |
rapport hijackthis en mode normal après les différentes manip
Citation : Logfile of HijackThis v1.99.1 |
idem avec le rapport ewido
Citation : --------------------------------------------------------- |
Marsh Posté le 12-06-2006 à 20:12:23
Bonjour.
Post un nouveau log Hijackthis car quelque chose me trouble.
Marsh Posté le 13-06-2006 à 12:03:01
Ben c'est un peu bizarre je trouve il y a des processus nouveaux en tmp.exe ça sort d'où ? sinon j'ai voulu mettre antivir car norton a eu qqes soucis et il a pas voulu l'installer car si j'ai bien lu il y a un fichier qui l'empêche de se mettre =/
Citation : Logfile of HijackThis v1.99.1 |
Marsh Posté le 13-06-2006 à 12:33:22
Bonjour a tous,
* A la moindre interrogation, doute, probleme de ta part, pose moi ta question afin de suivre correctement les instructions.
* Télécharge et installe :
- Ewido http://www.ewido.net/fr/download/
- Durant l'installation
- Sur la page Additional Options
- Décoche Install background guardet et Install scan via context menu
- Lance Ewido Security Suite. Clique sur Mise à jour mais ne t'en serts pas tout de suite.
* Télécharge et installe ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
* Imprime ou enregistre les instructions dans un fichier texte puisque en mode sans echec, tu n'auras pas acces a Internet.
* S'assurer que tout les fichiers soient la :
Ouvre le poste de travail ou l'Explorateur Windows (ce que vous utilisez d'habitude pour visiter vos fichiers).
Menu "Outils" -> "Options des Dossiers..." -> Onglet "Affichage".
Vous trouverez ces réglages dans le cadre "Paramètres avancés" :
- Fichiers et dossiers cachés : cochez "Afficher les fichiers et dossiers cachés"
- Décochez "Masquer les extensions des fichiers dont le type est connu"
- Décochez "Masquer les fichiers protégés du système d'exploitation", à la demande de confirmation répondez "Oui"
* Redémarre ton PC en mode sans échec.
- En cas de difficulte, suis les intrusctions : http://perso.wanadoo.fr/jesses/Doc [...] sEchec.htm
* Enlever les lignes nefastes :
Relance HijackThis et clique sur Do a scan only puis cochez les lignes [ si presentes ] en gras ci-dessous :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr7.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr7.hpwis.com/
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O4 - HKLM\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe
O4 - HKLM\..\Run: [JMV] C:\WINDOWS\system32\hufibgcdoemlr.exe
O4 - HKLM\..\Run: [HMZU\] C:\WINDOWS\system32\zcmuuzpqb.exe
O4 - HKLM\..\RunServices: [JMV] C:\WINDOWS\system32\hufibgcdoemlr.exe
O4 - HKLM\..\RunServices: [HMZU\] C:\WINDOWS\system32\zcmuuzpqb.exe
O4 - HKCU\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
Ferme toutes les applications en cours sauf HijackThis et fais Fixed checked .
* Supprimez les mauvais fichiers :
Supprime les fichiers/dossiers incriminés en gras ci dessous [ s'ils sont presents ] en suivant le chemin d'acces.
C:\windows\system32\ msdntsrv.exe <= Le fichier
C:\WINDOWS\system32\ toulzlvy.exe <= Le fichier
C:\WINDOWS\system32\ zcmuuzpqb.exe <= Le fichier
C:\WINDOWS\system32\ hufibgcdoemlr.exe <= Le fichier
C:\DOCUMENT AND SETTINGS\PROPRI~1\LOCALS SETTINGS\Temp <= Selectionne tout ce qu'il a dedans et supprime tout.
* Démarre ATF-Cleaner :
- Coche ceci :
* Windows Temp
* Current User Temp
* All Users Temp
* Cookies
* Temporary Internet Files
* Prefetch
* Java Cache
* Recycle Bin
Clique sur Empty Selected et au message "Done Cleaning" sur Ok
* Fais un scan avec Ewido
- Clique sur Scanner et choisir Scan complet du système
- Si des fichiers infectés sont trouvés, toujours les supprimer
- Le scan fini, sauver le rapport et le postez ici.
* Voir les resultats de la manipulation :
Redémarre ton ordinateur en mode normal et poste un nouveau rapport HijackThis à titre vérificatif ainsi que le rapport d'Ewido.
Marsh Posté le 14-06-2006 à 22:52:31
bonsoir
alors je n'ai pas pu terminer la manip car quoi que je fasse le dossier C:\DOCUMENT AND SETTINGS\PROPRI~1\LOCALS SETTINGS\Temp réapparait à chaque redémarrage alors que j'arrive à le supprimer après avoir tout d'abord mis fin aux processus qui sont lancés par les fichiers exe qu'il contient, donc j'aimerais bien réussir à le supprimer définitivement
le gros point positif est que grâce à toi internet marche à nouveau parfaitement le seul problème qui persiste et simple et précis : il y a des erreurs qui se créent quand je lance ou installe certains programmes, voici un exemple :
http://img481.imageshack.us/img481 [...] or20lc.jpg
Marsh Posté le 15-06-2006 à 09:13:07
Tu as surement un process dans ta base de registre qui recréer des fichiers verolé a chaque démarrage, et ça contribue a faire ramer ta machine.
Un petit tour dans la base de registre et tu vires tout ce que tu ne connais pas (un conseil fais un backup avant) :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_USERS\xxxxxx\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_USERS\xxxxxx\Software\Microsoft\Windows\CurrentVersion\RunOnce]
xxxxxx étant le nom chiffré d'un utilisateur.
Pour toutes les clefs Une valeur = c:\Dossier\programme.exe
Tu vires tous les prog que tu ne connais pas, et tu n'oublies pas aussi d'aller sur ton dur pour supprimer les sources executables. Si tu ne peux pas les supprimers, je te conseil d'utiliser un live cd style bartpe ou une livecd linux si c'est une partition fat32
Marsh Posté le 15-06-2006 à 11:21:11
Bonjour.
* Repost un log ijackthis et le rapport d'Ewido stp.
* Fais un scan en ligne avec Panda : http://www.pandasoftware.com/activ [...] ncipal.htm
Tutorial a suivre ( provenant du site a Malekal_Morte ) :
http://www.malekal.com/scan_Av_en_ [...] ocId237368
* Apres, colle le rapport ici.
Marsh Posté le 16-06-2006 à 02:18:22
panda se ferme brusquement au bout du 100ème fichier et pourtant je suis bien les instructions O_o
rapport hijackthis au démarrage sans être connecté à internet
Citation : Logfile of HijackThis v1.99.1 |
idem avec ewido
Citation : --------------------------------------------------------- |
Marsh Posté le 16-06-2006 à 11:21:19
Bonjour.
Télécharge Hoster:
http://www.funkytoad.com/download/hoster.zip
Procédure :
Ouvrez le logiciel et cliquez sur « Restore Original Hosts » puis validez.
Repost un nouveau log Hijackthis.
Marsh Posté le 17-06-2006 à 02:51:08
nouveau log :
Citation : Logfile of HijackThis v1.99.1 |
Marsh Posté le 21-06-2006 à 11:53:34
bonjour,
anthony m'a chargé de prendre la suite.
- Télécharge
The Hoster http://www.funkytoad.com/download/hoster.zip
dézippe le fichier dans un dossier nommé
C:\Hoster
Utilise Hoster, Cliquer sur restore microsoft's original hosts file ensuite tu cliques sur
Ok
Repost un ensuite un nouveau log hijackthis
Marsh Posté le 22-06-2006 à 13:01:16
apparemment vous vous y connaissez en la matiere ,donc mon probleme est le suivant :mon antivirus(norton)a mis en quarantaine ibm00006.exe et du coup je n'ai plus acces à documents,recherche ,etc... puis je le réinstallé,(infecté par trojan anserin)?
Marsh Posté le 22-06-2006 à 13:10:47
bonjour catbird,
créer toi ton propre sujet, tu es tombé sur un beau keylogger, ne te connecte pu sur un site de banque et ne fais pas de transfert d'argent tant que la bestiole ne sera pas enlever.
Marsh Posté le 22-06-2006 à 13:15:38
keylogger c'est quoi,et efectivement je vais surmon site de banque via internet qu'est ce que je risque?
Marsh Posté le 22-06-2006 à 13:16:56
tu risques de faire pirater ton mot de passe et tes identifiants, donc n'y va plus tant que ton PC ne sera pas totalement desinfecté.
Marsh Posté le 22-06-2006 à 13:51:12
désolée mais je suis nouvelle sur le forum et je ne comprends pas tout alors aidez moi svp
Marsh Posté le 22-06-2006 à 13:58:11
retourne a la section securité, tout en haut tu cliques sur nouveau sujet, dedans tu expliques tes problemes et tu envoies le sujet.
Marsh Posté le 10-06-2006 à 20:50:13
Alors voilà je fais court, simple précis. Cela fait deux jours que je me bats contre des infections de différents trojans que mon anti-virus norton 2003 semble supprimer automatiquement (c'est ce qui est écrit en tout cas je ne retrouve pas le fichier infecté par la suite...).
Malgré tout mon ordinateur rame de plus en plus et pas seulement pour internet et il semble y avoir de plus en plus d'infections même avec mes proections : norton 2003, zone alarm, kerio et j'utilise ad-aware pour scanner régulièrement mon ordinateur.
J'ai donc depuis deux jours chercher désespérément sur internet la solution qui me sauverait et après en avoir essayé plusieurs le résultat n'est pas concluent et je suis toujours infecté par des trojans (au début c'était un backdoor qui téléchargeait freeprod nottament et maintenant c'est je ne sais pas quoi =/ ).
Donc pour conclure si je me suis débarassé du trojan c'est que j'ai quand même réussi à faire quelque chose mais ça n'a pas suffit.
Voilà mon rapport hijackthis en espérant que quelqu'un que je remercie d'avance pourra m'aider (petite précision après je pense que j'aurai fait le tour, j'utilise windows XP familial non mis à jour puisque je n'ai pas encore pu prendre le service pack 2 )
Logfile of HijackThis v1.99.1
Scan saved at 20:24:38, on 10/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\wsscserv.exe
C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\explorer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\SEMBLY~1\wuauclt.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr7.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr7.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr7.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Heth] "C:\WINDOWS\System32\SEMBLY~1\wuauclt.exe" -vt yazb
O4 - HKCU\..\Run: [Icuftbaw] C:\WINDOWS\system32\M?crosoft\l?ass.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} (InstallerObj Class) - http://www.1-click.com/common/files/installer2.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 9885234781
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3F58C27-1971-4060-9AC6-C92A15640DBB}: NameServer = 84.103.237.144 86.64.145.144
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\mmc.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe