Bonjour a tous,

Voici l'historique de mes ennuis suivi par le fichier log HijackThis.
Je n'arrive pas a trouver le bug.
Merci beaucoup de votre aide

Pc_Acc

-------------------------------

Suite a déménagement, mon Pc a perdu la date et l'heure. La pile a du se déconnecter temporairement durant le transport
A la remise en route je ne m'en suis pas tout de suite rendu compte.
Mon PC est protégé par anti-virus et parefeu, mais je me demande si la date erronée n'a pas crée une vulnérabilité.

Des la remise en route les problemes sont apparus.

Il y a eu un debut d'installation automatique de Windows Genuine Advantage depuis go.microsoft.com, mais que j'ai supprimé
car je ne connaissais pas le produit.

La premiere anomalie a été l'affichage non demandé d'un écran RealPlayer.

Les autres symptomes sont:

- Le curseur passe en mode Sablier pendant 3 secondes toutes les cinq secondes, et ralentit fortement le PC.

Le navigateur semble aussi soumis a un timeout, si je reste sur une selection de favoris sans valider par exemple, au bout de 5 secondes les fenetres de selections se ferment.

En fait je m'apercois que ce timeout affecte meme l'affichage de ce fichier que j'edite avec Notepad. Apres 5 secondes il se raffraichit.

- Plusieurs fois par heure ouverture soudaine d'une centaine de fenetres d'un meme site de pub. Le site de pub change a la prochaine salve.

- La connection internet montre un tres fort débit entrant, avec des pauses. J'ai pu voir que c'est c:\windows qui grossit,
mais je n'ai pas trouvé quel fichier ou sous-repertoire est concerné.
(J'ai fait afficher tous les fichiers cachés).

- Le malware empeche l'installation et l'execution de certains programmes en mode normal ( mais en mode sans echec ca marche):
Le message est "unknown handle" pour HighJackThis par exemple. Impossible de l'exécuter.
Meme chose pour Spybot.

-J'ai essayé de faire des scans en-ligne par des sites internets d'antispyware,
mais la fenetre de download s'affiche moins d'une seconde, impossible d'y acceder.

-Le gestionaire de taches se lance par CTRL+ALT+DEL, l'icone est présente mais impossible d'avoir son affichage.

J'ai suivi les instructions: CCleaner et AVG antispyware en mode sans échec. Beaucoup de problemes ont été décelées, et corrigés.
Mais sans amélioaration sur les anomalies que j'ai mentionnées.

Au début j'ai pu installer HijackThis, le lancer, mais assez vite l'exécution est devenue impossible (handle inconnue).
Je pouvais réinstaller, mais l'exécutable était toujours interdit d'exécution.
Puis le script d'installation a rendu aussi cette meme erreur. C'est comme si le malware apprenait.
L'installation de Spybot a été interrompue, j'ai du la faire en mode sans-échec,
mais elle reste incomplete car les updates demandent une connection net:
Or en mode normal, Spybot rend aussi un message d'erreur sur l'handle.

En lancant Hijack juste apres un reboot mode normal, j'ai finalement réussi a le lancer (mais ce n'est pas vrai a tous les coups).
J'ai supprimé cftmon, TKBELLEXE (ce drnier car j'ai cru voir qu'il était lié a Real) mais ils se réinstallent dans le registre.

Je pensais Tkbell ou cftmon la cause des ennuis, mais ils sont réinstallés dans le registre par autre chose apparammemt !?

Pr exemple: Le Parefeu signale apres reboot la tentative d'écrire TKBELLEXE dans le registre suivante (que je refuse):
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
Version：0.1.0.3427
RealNetworks, Inc.
PID: 804 TID: 1936

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\TKBELLEXE
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\TKBELLEXE

---------------------------------------------

Voici le fichier Highjackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:33:41, on 2008-1-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\lenovoVGA.exe
C:\WINDOWS\system32\phoneflash.exe
C:\WINDOWS\system32\Watchreport.exe
C:\WINDOWS\system32\phonemouse.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
C:\WINDOWS\system32\powerDELL.exe
C:\WINDOWS\system32\powerdriver.exe
C:\Program Files\Service Reanimator\Sreaserv.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\PROGRAM FILES\RISING\RAV\RavMon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: QQCycloneHelper - {00000000-12C9-4305-82F9-43058F20E8D2} - C:\Program Files\QQDownload\QQIEHelper01.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\Program Files\TENCENT\SSPlus\SAddr1.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Microsoft Class - {895A5924-74BA-43CD-B585-B031B44ECD66} - C:\WINDOWS\system32\policedriver.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7}? - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file)
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [stup.exe] Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O8 - Extra context menu item: &使用超级旋风下载 - C:\Program Files\QQDownload\geturl.htm
O8 - Extra context menu item: &使用超级旋风下载全部链接 - C:\Program Files\QQDownload\getAllurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\QQ2005\AddToNetDisk.htm
O8 - Extra context menu item: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\QQ2005\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\QQ2005\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\QQ2005\SendMMS.htm
O9 - Extra button: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O9 - Extra button: 词霸 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL
O9 - Extra button: 卓越 - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ2005\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ2005\QQ.EXE
O11 - Options group: [TBH] 中文搜搜
O12 - Plugin for .tcl: "D:\Program Files\Internet Explorer\PLUGINS"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BFAA61B-5C83-4865-8281-D8BDBF863061} (PGEdit Class) - http://www.gnetpg.com/PlugIn/PG_ATL.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - http://www.00110.net/tj2007/00110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4972560C-E5CE-4D1B-A079-479739D0E6E6}: NameServer = 202.96.134.133,202.96.128.68
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: MSNim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lenovoVGA - Unknown owner - C:\WINDOWS\system32\lenovoVGA.exe
O23 - Service: phoneflash - Unknown owner - C:\WINDOWS\system32\phoneflash.exe
O23 - Service: phonemouse - Unknown owner - C:\WINDOWS\system32\phonemouse.exe
O23 - Service: powerDELL - Unknown owner - C:\WINDOWS\system32\powerDELL.exe
O23 - Service: powerdriver - Unknown owner - C:\WINDOWS\system32\powerdriver.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: Service Reanimator Server (SREASRV) - Unknown owner - C:\Program Files\Service Reanimator\Sreaserv.exe

--
End of file - 8337 bytes

Bonjour pc_account

As-tu le rapport AVG?

As-tu lancer un scan avec ton antivirus?

******************

Faire ceci, s'il te plait !

• Ouvrir l'Explorateur Windows: Démarrer > Programmes > Accessoires > Explorateur Windows ou Démarrer > Programmes > Explorateur Windows.
• Cliquer sur Outils > Options des dossiers > Affichage.
• Sélectionner :
  
  • cocher : Afficher les fichiers et dossiers cachés.
  • décocher : Masquer les extensions des fichiers dont le type est connu.
  • décocher : Masquer les fichiers protégés du système d'exploitation (recommandé)

• Cliquer sur Appliquer et Ok.
  
  

* Et tester ceci: C:\WINDOWS\system32\lenovoVGA.exe

• Cliquer sur ce logo
• Cliquer sur Parcourir et suivre le chemin du ou des fichier(s) que j’ai désigné(s).
• Cliquer sur Envoyer le fichier
• Au message Envoi de fichier, ne pas fermer cette fenêtre.
• Si vous avez ce message : mis en file d'attente > Patience!
• Au bout de quelques minutes, vous aurez dans l'encadré: Situation actuelle: terminé, cliquer sur Formaté
• Une nouvelle fenêtre de votre navigateur apparaîtra...
• Dans la nouvelle fenêtre, cliquer sur cette image :
• Faire un clic droit sur la page, choisir => Sélectionner tout, puis encore clic droit => Copier...
• Enfin , clic droit => Coller le(s) résultat(s) dans le Bloc-Notes ( Il est nécessaire de passer par le Bloc-notes pour le rapport)
• Copier/coler ce fichier dans votre prochaine réponse.

* Recommencer pour:

C:\WINDOWS\system32\phonemouse.exe

C:\WINDOWS\system32\powerDELL.exe

C:\WINDOWS\system32\powerdriver.exe

A+

Bonjour Ananda,

J'ai fait une analyse totale d'antivirus (Rising) qui n'a trouvé.

Rapport AVG? je n'ai pas réussi a savoir ce dont il s'agit.

Voici le résultat VirusTotal sur les fichiers que tu as demandé.

Merci beaucoup pour cette aide.

Pc_acc

--------------------------------

Fichier lenovoVGA.exe reçu le 2008.01.15 11:37:34 (CET)Antivirus Version Dernière mise à jour Résultat

AntiVir 7.6.0.46 2008.01.15 HEUR/Malware
Panda 9.0.0.4 2008.01.14 Suspicious file
Prevx1 V2 2008.01.15 Heuristic: Suspicious Self Modifying File
VBA32 3.12.2.5 2008.01.13 suspected of Trojan-Spy.Agent.13 (paranoid heuristics)
Webwasher-Gateway 6.0.1 2008.01.15 Heuristic.Malware

Information additionnelle
File size: 20480 bytes
MD5: af34bcfd235a2fbfb9357ec595407d58
SHA1: b18ff9f78e6e25cb1f84204792bb36c1eacec8e1
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5544689900688A3950CD002DDDE82A00FE7E82A6

-------------------

Fichier phoneflash.exe reçu le 2008.01.15 11:49:52 (CET)Antivirus Version Dernière mise à jour Résultat

AntiVir 7.6.0.46 2008.01.15 HEUR/Malware
Panda 9.0.0.4 2008.01.14 Suspicious file
Prevx1 V2 2008.01.15 Heuristic: Suspicious Self Modifying File
VBA32 3.12.2.5 2008.01.13 suspected of Trojan-Spy.Agent.13 (paranoid heuristics)
Webwasher-Gateway 6.0.1 2008.01.15 Heuristic.Malware

Information additionnelle
File size: 20480 bytes
MD5: af34bcfd235a2fbfb9357ec595407d58
SHA1: b18ff9f78e6e25cb1f84204792bb36c1eacec8e1
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5544689900688A3950CD002DDDE82A00FE7E82A6

------------------------------------------------

Fichier phonemouse.exe reçu le 2008.01.15 11:52:18 (CET)Antivirus Version Dernière mise à jour Résultat

AntiVir 7.6.0.46 2008.01.15 HEUR/Malware
Panda 9.0.0.4 2008.01.14 Suspicious file
Prevx1 V2 2008.01.15 Heuristic: Suspicious Self Modifying File
VBA32 3.12.2.5 2008.01.13 suspected of Trojan-Spy.Agent.13 (paranoid heuristics)
Webwasher-Gateway 6.0.1 2008.01.15 Heuristic.Malware

Information additionnelle
File size: 20480 bytes
MD5: af34bcfd235a2fbfb9357ec595407d58
SHA1: b18ff9f78e6e25cb1f84204792bb36c1eacec8e1
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5544689900688A3950CD002DDDE82A00FE7E82A6

------

Fichier powerDELL.exe reçu le 2008.01.15 11:56:44 (CET)Antivirus Version Dernière mise à jour Résultat

AntiVir 7.6.0.46 2008.01.15 HEUR/Malware
Panda 9.0.0.4 2008.01.14 Suspicious file
Prevx1 V2 2008.01.15 Heuristic: Suspicious Self Modifying File
VBA32 3.12.2.5 2008.01.13 suspected of Trojan-Spy.Agent.13 (paranoid heuristics)
Webwasher-Gateway 6.0.1 2008.01.15 Heuristic.Malware

Information additionnelle
File size: 20480 bytes
MD5: af34bcfd235a2fbfb9357ec595407d58
SHA1: b18ff9f78e6e25cb1f84204792bb36c1eacec8e1
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5544689900688A3950CD002DDDE82A00FE7E82A6

-----------------------------

Fichier powerdriver.exe reçu le 2008.01.15 12:00:27 (CET)Antivirus Version Dernière mise à jour Résultat

AntiVir 7.6.0.46 2008.01.15 HEUR/Malware
Panda 9.0.0.4 2008.01.14 Suspicious file
Prevx1 V2 2008.01.15 Heuristic: Suspicious Self Modifying File
VBA32 3.12.2.5 2008.01.13 suspected of Trojan-Spy.Agent.13 (paranoid heuristics)
Webwasher-Gateway 6.0.1 2008.01.15 Heuristic.Malware

Information additionnelle
File size: 20480 bytes
MD5: af34bcfd235a2fbfb9357ec595407d58
SHA1: b18ff9f78e6e25cb1f84204792bb36c1eacec8e1
PEiD: Armadillo v1.71
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5544689900688A3950CD002DDDE82A00FE7E82A6

Bonjour,

1/ Télécharge sur ton bureau DiagHelp.zip sur ton bureau
http://www.malekal.com/download/DiagHelp.zip

• !!! Ne double-clic pas dessus !!! Fais un clic droit sur le fichier et extraire tout.
• Un nouveau dossier "DiagHelp" va être créé.
• Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître) .
• Si une fenêtre de licences SigCheck s'ouvre... accepte, si tu as un parefeu qui demande si SigCheck tente de se connecter à internet, accepte.
• Une fenêtre va s'ouvrir, choisis l'option 1 - L'analyse va commencer, ceci peut durer quelques minutes.
• Lorsque l'analyse sera terminé... Il peut t'être demandé d'envoyer un fichier contenant des fichiers infectieux.
  Envoie le fichier (si ça ne fonctionne pas.. continue la procédure) puis retourne sur la fenêtre noire, suis les instructions en appuyant sur une touche pour obtenir le rapport dans le bloc-note.
  • • Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
    • Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
    • A nouveau menu Edition / copier
    • Dans un nouveau message ici, faire un clic droit / coller

*** A la fin de ce rapport, tu auras (sûrement) une adresse pour joindre un fichier ZIP, fais-le. ***

*******************

Imprime ce qui suit

2/ Redémarre en mode sans échec

Ensuite

3/ Va dans
Démarrer\exécuter\tapes services.msc
recherche les lignes avec

lenovoVGA

Double clic dessus
Type de démarrage: Désactivé
[u]Statut du service: Arréter
"Appliquer" puis "ok".

Fais la même chose pour

phoneflash

Service: phonemouse

Service: powerDELL

powerdriver

***********************

4/ * Assure toi d'avoir accès à tous les fichiers
- Démarrer / Poste de travail ou autre dossier / Menu outils / Option des dossiers / onglet Affichage :
- Activer la case : Afficher les fichiers et dossiers cachés
- Désactiver la case : Masquer les extensions des fichiers dont le type est connu
- Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis: "Appliquer" / Cliquer sur "appliquer à tous les dossiers" / cliquer sur "ok"

* et Supprime le(s) fichiers(s) ou dossier(s) en gras ci-dessous si il(s) est (sont) présent(s) :

C:\WINDOWS\system32\lenovoVGA.exe
C:\WINDOWS\system32\phoneflash.exe
C:\WINDOWS\system32\phonemouse.exe
C:\WINDOWS\system32\powerDELL.exe
C:\WINDOWS\system32\powerdriver.exe

* Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir
Retourne à la fenêtre /Options des dossiers / Affichage/paramétres avancés
- coches --- Ne pas afficher les fichiers et dossiers cachés---
- coches --- Masquer les fichiers protégés du systéme d'exploitation
Puis: "Appliquer" / Cliquer sur "appliquer à tous les dossiers" / cliquer sur "ok"

****************

5/ Redémarre ton PC en mode normal et fais un scan en ligne si possible

Bitdefender

* fais un scan antivirus en ligne ICI et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

Tuto (merci Morgane)

****************

6/ poste les rapports

- Diaghelp

- Bitdefender

- et un nouveau rapport HijackThis

A+

Bonjour Ananda,

J'ai bien suivi la procedure hier. Cependant impossible d'executer DiagHelp en mode normal.
Je l'ai fait en mode sans echec mais pour le faire avec les services demarres je l'ai refait apres la suppression des phoneflash phonemouse...
Pas de doute, ils sont bien partie du probleme,
car apres cela les fichiers interdits d'execution en mode normal (highjack, Spybot,...) ont refonctionne. Les symptomes ont disparu.

L'envoi sur update s'est soldee trois fois de suite par fichier invalide. Pourtant il est a priori normal.

Tres vite, le fait d'etre en ligne a recreer le probleme, en fait un fichier phoneflash s'est reinstalle.
Apres avoir suivi la meme procedure , un autre est reapparu sous le nom de AntilabAsdter.exe sous c:/windows/system32.
Donc j'ai a nouveau supprimme ce nouveau fichier.

J'ai commence la procedure de Bitdefender, mais ca a tres vite plante.
Le malware ferme regulierement toutes les fenetres du navigateur quand il ouvre les siennes.

J'ai donc repurge, charge les nouvelles signatures de Rising et fait un scanning en offline.
J'ai supprime les fichiers temporaires du navigateur, les cookies mais j'ai ete surpris de voir que Rising trouvait
des trojans dans Content.IE.

En fait le malware a cree de nouveaux fichiers temporaires internet sous windows/TEMP.
une trentaine de trojans ont ete mis en quarantaine par Rising.
Pour aide au Diagnostic je les ai mis en archive (ils sont vus par Bidefender dans le rapport ci-joint).

Apres cette purge, j'ai pu faire un scan complet par Bitdefender dont je joins le resultat ci dessous.

Malgre cette double purge, un fichier watchdriver.exe vient d'apparaitre en O4 dans le rapport Hijack.

Les symptomes sont les memes: Rising est bloque, le gestionnaire de taches ne s'affiche pas plus d'une seconde. Des sites de pub s'affichent par dizaine par poussee toutes les 10 minutes ...

J'ai pu demarrer un scan de watchdriver.exe sur Virustotal, mais n'ai pas pu aller plus loin que 4 ou 5 tests: avast repond: WIN32:Agent-GJW

Je vais donc le supprimer.

Je viens d'executer a nouveau Hijack et DiagHelp

En raison de se longueur je fais une reponse suivante avec DiagHelp.

Voici ci dessous Hijack et BitDefender.

Merci de ta patience.

Pc_acc

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:52:15, on 2008-1-16
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Service Reanimator\Sreaserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\avpFirewall.exe
C:\Program Files\Rising\Rav\Rav.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\avpFirewall.exe
C:\avpFirewall.exe
C:\Program Files\Real\RealPlayer\realplay.exe
C:\avpFirewall.exe
C:\avpFirewall.exe

O2 - BHO: QQCycloneHelper - {00000000-12C9-4305-82F9-43058F20E8D2} - C:\Program Files\QQDownload\QQIEHelper01.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Microsoft Class - {895A5924-74BA-43CD-B585-B031B44ECD66} - C:\WINDOWS\system32\policesystem.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7}? - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: (no name) - {3F1ABCDB-A875-46c1-8345-B72A4567E486}? - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F}? - (no file)
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [stup.exe] Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - Startup: Watchdriver.exe
O8 - Extra context menu item: &使用超级旋风下载 - C:\Program Files\QQDownload\geturl.htm
O8 - Extra context menu item: &使用超级旋风下载全部链接 - C:\Program Files\QQDownload\getAllurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\QQ2005\AddToNetDisk.htm
O8 - Extra context menu item: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\QQ2005\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\QQ2005\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\QQ2005\SendMMS.htm
O9 - Extra button: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: 词霸 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL
O9 - Extra button: 卓越 - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - C:\PROGRA~1\KINGSOFT\XDICT\ieplugin.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .tcl: "D:\Program Files\Internet Explorer\PLUGINS"
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BFAA61B-5C83-4865-8281-D8BDBF863061} (PGEdit Class) - http://www.gnetpg.com/PlugIn/PG_ATL.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - http://www.00110.net/tj2007/00110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{080EF7F2-A8EA-45A6-9388-15C96602067D}: NameServer = 210.21.4.130 221.4.66.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{4972560C-E5CE-4D1B-A079-479739D0E6E6}: NameServer = 202.96.134.133,202.96.128.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{080EF7F2-A8EA-45A6-9388-15C96602067D}: NameServer = 210.21.4.130 221.4.66.66
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: Service Reanimator Server (SREASRV) - Unknown owner - C:\Program Files\Service Reanimator\Sreaserv.exe

--
End of file - 6363 bytes

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

BitDefender Online Scanner



Rapport d'analyse généré à: Wed, Jan 16, 2008 - 22:43:14





Voie d'analyse: A:\;C:\;D:\;E:\;F:\;







Statistiques

Temps
03:02:19

Fichiers
466073

Directoires
13403

Secteurs de boot
4

Archives
4854

Paquets programmes
26368




Résultats

Virus identifiés
16

Fichiers infectés
55

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
55




Info sur les moteurs

Définition virus
890477

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
14

Archive des plugins
38

Unpack des plugins
7

E-mail plugins
6

Système plugins
1




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\Documents and Settings\new\Local Settings\Temp\down.exe
Infect?par: Generic.Malware.SBE!dldg.F34CB74E

C:\Documents and Settings\new\Local Settings\Temp\down.exe
Echec de la désinfection

C:\Documents and Settings\new\Local Settings\Temp\down.exe
Supprim

C:\windows\system32\inf\scrsys080112.scr
Infect?par: Generic.Onlinegames.5.E245CC52

C:\windows\system32\inf\scrsys080112.scr
Echec de la désinfection

C:\windows\system32\inf\scrsys080112.scr
Supprim

C:\windows\system\sslxpes080112.exe
Infect?par: Generic.Onlinegames.5.E245CC52

C:\windows\system\sslxpes080112.exe
Echec de la désinfection

C:\windows\system\sslxpes080112.exe
Supprim

C:\windows\home.sys
Infect?par: Generic.Botget.453CCF99

C:\windows\home.sys
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6671697[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6671697[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6671697[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6655996[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6655996[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6655996[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\cqi[1].htm=>(IFRAME)
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\cqi[1].htm=>(IFRAME)
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\cqi[1].htm=>(IFRAME)
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\cqi[1].htm
Mis ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6659386[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6659386[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6659386[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6655996[2].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6655996[2].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\V59TNLXM\6655996[2].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\tt[1].htm
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\tt[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\tt[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\popup[2].htm
Détect?avec: Application.JS.ForcePopup.I

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\popup[2].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\popup[2].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\r[1].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\r[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\1ASXL6K3\r[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\6671697[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\6671697[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\6671697[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\real[2].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\real[2].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\real[2].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\index[4].htm
Infect?par: Exploit.RealPlr.D

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\index[4].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\index[4].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\33477[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\33477[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\YPUVG9YB\33477[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\Real[1].js
Infect?par: Dropped:Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\Real[1].js
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\Real[1].js
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[1].htm=>(IFRAME)
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[1].htm=>(IFRAME)
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[1].htm=>(IFRAME)
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[1].htm
Mis ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[2].htm=>(IFRAME)
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[2].htm=>(IFRAME)
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[2].htm=>(IFRAME)
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\3808zz[2].htm
Mis ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\tt[1].htm
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\tt[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\KFYPYLYJ\tt[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\3808zz[1].htm=>(IFRAME)
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\3808zz[1].htm=>(IFRAME)
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\3808zz[1].htm=>(IFRAME)
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\3808zz[1].htm
Mis ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\re[1].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\re[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\re[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\200771393552146[1].jpg
Infect?par: Trojan.Iframe.Y

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\200771393552146[1].jpg
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\4D6VC5YV\200771393552146[1].jpg
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\index[1].htm
Infect?par: Exploit.RealPlr.D

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\index[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\index[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\6677640[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\6677640[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\6677640[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\200771394012542[1].jpg
Infect?par: Trojan.Iframe.Y

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\200771394012542[1].jpg
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\Y19IJAPC\200771394012542[1].jpg
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\77L7RTCW\6611101[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\77L7RTCW\6611101[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\77L7RTCW\6611101[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\r[1].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\r[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\r[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\tt[1].htm
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\tt[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\tt[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\200771393848324[1].jpg
Infect?par: Trojan.Iframe.Y

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\200771393848324[1].jpg
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\OPEB89I7\200771393848324[1].jpg
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\8HIVW52F\6659386[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\8HIVW52F\6659386[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\8HIVW52F\6659386[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\CLIJ4167\669191[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\CLIJ4167\669191[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\CLIJ4167\669191[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\index[3].htm
Infect?par: Exploit.RealPlr.D

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\index[3].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\index[3].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\popup[1].htm
Détect?avec: Application.JS.ForcePopup.I

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\popup[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\popup[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\popup[3].htm
Détect?avec: Application.JS.ForcePopup.I

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\popup[3].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I8LZZM9J\popup[3].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\3808zz[1].htm=>(IFRAME)
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\3808zz[1].htm=>(IFRAME)
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\3808zz[1].htm=>(IFRAME)
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\3808zz[1].htm
Mis ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\2[1].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\2[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\2[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\tt[1].htm
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\tt[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\tt[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\popup[1].htm
Détect?avec: Application.JS.ForcePopup.I

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\popup[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\I9WFCNEB\popup[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\6671697[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\6671697[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\6671697[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\8859386[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\8859386[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\8859386[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\cqi[1].htm=>(IFRAME)
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\cqi[1].htm=>(IFRAME)
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\cqi[1].htm=>(IFRAME)
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\cqi[1].htm
Mis ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\88687111[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\88687111[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\7H8ODR3D\88687111[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\ms07004[1].htm
Infect?par: Exploit.HTML.Agent.AD

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\ms07004[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\ms07004[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\real1[1].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\real1[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\real1[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\4034[1].htm
Infect?par: Trojan.IFrame.BA

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\4034[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\4034[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\rp[1].htm
Infect?par: Trojan.Downloader.JS.Agent.OL

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\rp[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\rp[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\6606094[1].htm
Infect?par: Trojan.IFrame.AW

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\6606094[1].htm
Echec de la désinfection

C:\windows\TEMP\trojan_windows_TEMP_RAR=>Temporary Internet Files\Content.IE5\B97WLFJW\6606094[1].htm
Supprim

C:\windows\TEMP\trojan_windows_TEMP_RAR
Echec de la mise ?jour

D:\Documents and Settings\All Users\Documents\Softcam152.zip=>Softcam152.exe
Infect?par: Trojan.Generic.60645

D:\Documents and Settings\All Users\Documents\Softcam152.zip=>Softcam152.exe
Echec de la désinfection

D:\Documents and Settings\All Users\Documents\Softcam152.zip=>Softcam152.exe
Supprim

D:\Documents and Settings\All Users\Documents\Softcam152.zip
Mis ?jour

D:\Documents and Settings\Mimi\My Documents\junkieeyyyy\UTIL_pw.rr=>cop_pw\pspv.exe
Détect?avec: Application.Passview.A

D:\Documents and Settings\Mimi\My Documents\junkieeyyyy\UTIL_pw.rr=>cop_pw\pspv.exe
Echec de la désinfection

D:\Documents and Settings\Mimi\My Documents\junkieeyyyy\UTIL_pw.rr=>cop_pw\pspv.exe
Supprim

D:\Documents and Settings\Mimi\My Documents\junkieeyyyy\UTIL_pw.rr
Echec de la mise ?jour

D:\Program Files\Tencent\QQ\QQPet\QQPetDazzle.exe
Infect?par: Trojan.Dropper.Agent.BCT

D:\Program Files\Tencent\QQ\QQPet\QQPetDazzle.exe
Echec de la désinfection

D:\Program Files\Tencent\QQ\QQPet\QQPetDazzle.exe
Supprim

D:\Program Files\Tencent\QQ\QzoneSupport.exe
Infect?par: Win32.Worm.Ice.A

D:\Program Files\Tencent\QQ\QzoneSupport.exe
Echec de la désinfection

D:\Program Files\Tencent\QQ\QzoneSupport.exe
Supprim

D:\System Volume Information\\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP1\A0000032.exe
Infect?par: Trojan.Dropper.Agent.BCT

D:\System Volume Information\\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP1\A0000032.exe
Echec de la désinfection

D:\System Volume Information\\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP1\A0000032.exe
Supprim

D:\System Volume Information\\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP1\A0000033.exe
Infect?par: Win32.Worm.Ice.A

D:\System Volume Information\\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP1\A0000033.exe
Echec de la désinfection

D:\System Volume Information\\_restore{7619898A-B5C3-490F-A9B0-454B4418678B}\RP1\A0000033.exe
Supprim

D:\RAVBIN\RAV00011.BIN
Infect?par: Exploit.VBS.Phel.C

D:\RAVBIN\RAV00011.BIN
Echec de la désinfection

D:\RAVBIN\RAV00011.BIN
Supprim

Et voici DiagHelp...

Merci

Pc_acc

DiagHelp version v1.4 - http://www.malekal.com
excute le ??? 2008-01-17 ? 0:05:59.82


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\WMIPRVSE.EXE-0D449B4F.pf -->2006-5-30 18:05:30
C:\WINDOWS\prefetch\WUAUCLT.EXE-1360D60A.pf -->2006-5-30 18:05:28
C:\WINDOWS\prefetch\MMC.EXE-3B59A269.pf -->2006-5-30 18:05:12
C:\WINDOWS\prefetch\CONIME.EXE-2543A6D8.pf -->2006-5-30 18:05:04
C:\WINDOWS\prefetch\CTFMON.EXE-05E57A5E.pf -->2006-5-30 18:05:04
C:\WINDOWS\prefetch\MIXER.EXE-0034D2AC.pf -->2006-5-30 18:05:04
C:\WINDOWS\prefetch\SYSTRAY.EXE-0E2413B4.pf -->2006-5-30 18:05:02
C:\WINDOWS\prefetch\MSIEXEC.EXE-330626DC.pf -->2006-5-30 18:04:56
C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->2006-5-30 18:04:56
C:\WINDOWS\prefetch\AUTOHAL.EXE-0A0BD524.pf -->2006-5-30 18:04:54