Infection win32/sality.y. Que faire?

Question

Bonjour,

Mon pc est infecté par ce virus win32/sality.y , je pense. Que faire?
Symptomes:
Gestionnaire de taches et regedit desactivés
Impossible d'acceder au mode sans echec
Accès impossible aux sites antivirus en ligne
Lancement de certains antivirus bloqués
Les programmes se figent régulièrement, je ne peux plus cliquer nulle part.... pour continuer je dois faire Ctrl*alt*supr, là m'apparait le message disant que le gestionnaire est desactivé, je clique ok.... et ça repart!

Une idée de la marche à suivre?
Merci d'avance

plopus · Answer

Bonjour,

Virus particulierement difficile a supprimer suivant l'etendue des degats

deja pour voir l'etendue des degats

    * Télécharge hijackthis   https://www.androidworld.fr/

    * Tout est expliqué pour bien l installer et savoir l'utiliser.



Comment copier/coller le rapport :


Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

Ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.

blackmagic · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.35.28, on 02-03-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Apoint\Apoint.exe
C:\Archivos de programa\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe
C:\Archivos de programa\powerpanel\Program\PcfMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Apoint\Apntex.exe
C:\Archivos de programa\Sony\HotKey Utility\HKWnd.exe
C:\DOCUME~1\Fred\CONFIG~1\Temp\winppguq.exe
C:\Archivos de programa\Java\jre1.6.0_02\bin\jucheck.exe
C:\Archivos de programa\Microsoft Office\Office12\MSPUB.EXE
C:\Archivos de programa\FileZilla FTP Client\filezilla.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Fred\Escritorio\visio.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A2382A63-7F85-4DA4-A23B-166D795B2877} - C:\WINDOWS\system32\cmpropsq.dll
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Archivos de programa\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32pcc.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ASocksrv] SocksA.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Fred\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Archivos de programa\Xfire\xfire.exe
O4 - Global Startup: PowerPanel.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Search - ?p=ZNfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E901098E-6B97-485A-B712-9908683F5E9E} (CosNetWebConference Control) - http://www.instantpresenter.com/components/CosNetWebConference.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F65E989-FAC2-4202-A7DE-94A7DB3779D0}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE4CA5EB-0BE9-456F-8A32-390BF6516B54}: NameServer = 80.58.61.254,80.58.61.250
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: Ad-Aware 2007 Service aawserviceNVSvc (aawserviceNVSvc) - Unknown owner - C:\WINDOWS\
O23 - Service: Sistema de sucesos COM+ EventSystemNla (EventSystemNla) - Unknown owner - C:\WINDOWS\
O23 - Service: Compatibilidad de cambio rápido de usuario FastUserSwitchingCompatibilitywuauserv (FastUserSwitchingCompatibilitywuauserv) - Unknown owner - C:\WINDOWS\
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxci_device -   - C:\WINDOWS\system32\lxcicoms.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Administrador de conexión de acceso remoto RasManLmHosts (RasManLmHosts) - Unknown owner - C:\WINDOWS\
O23 - Service: Administrador de conexión de acceso remoto RasManodserv (RasManodserv) - Unknown owner - C:\WINDOWS\
O23 - Service: Instantáneas de volumen VSSNVSvc (VSSNVSvc) - Unknown owner - C:\WINDOWS\

plopus · Answer

deja avant toute chose sert toi le moins possible de ton PC et tappe le moins de code possible car le virus sality agit comme un enregistreur de frappe de plus il affecte aussi tes fichiers executable donc si tu n'as pas de bon firewal installe en UN :

(et pense a desactiver celui de windows) type

online armor http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

ou

comodo   http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro

la suite arrive

plopus · Answer

ok donc oui tu es infecté 

desactive ton antivirus durant le telechargement et le scan

combofix	http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


telecharge combofix sur ton BUREAU, DECONNECTE TOI d'internet et lance le et ne touche + a rien et poste le rapport à la fin

blackmagic · Answer

Merci pour ton aide.
Voilà le rapport:

ComboFix 09-03-02.01 - Fred 2009-03-02 19.57.49.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.34.3082.18.509.88 [GMT 1:00]
Running from: c:\documents and settings\Fred\Escritorio\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
[color=purple]The following files were disabled during the run:[/color]
c:\windows\system32\AppCert\wsil32.dll

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\documents and settings\Fred\Favoritos\Videos.url
c:\documents and settings\Fred\Menú Inicio\Programas\Videos.url
c:\documents and settings\guillaume\Favoritos\Videos.url
c:\documents and settings\guillaume\Menú Inicio\Programas\Videos.url
C:\tel.xls.exe
c:\windows\backinf.tab
c:\windows\session.exe
c:\windows\svchost.exe
c:\windows\system32\appcert
c:\windows\system32\asycfil.dll
c:\windows\system32\atmf.dll
c:\windows\system32\AW32n5.dll
c:\windows\system32\card.dll
c:\windows\system32\cmuti.dll
c:\windows\system32\comaddi.dll
c:\windows\system32\Drivers\Quy71.sys
c:\windows\system32\Drivers\xbF37.sys
c:\windows\system32\filekan.exe
c:\windows\system32\hpzr3207.dll
c:\windows\system32\rpcc.exe
c:\windows\system32\socksa.exe
c:\windows\system32\WinCtrl32.dll
c:\windows\system32\WLCtrl32.dll
c:\windows\ufdata2000.log

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_QUY71
-------\Legacy_XBF37
-------\Service_Quy71
-------\Service_xbF37

((((((((((((((((((((((((( Files Created from 2009-02-02 to 2009-03-02 )))))))))))))))))))))))))))))))
.

2009-03-02 19:49 . 2009-03-02 19:50 <DIR> d-------- C:\32788R22FWJFW
2009-03-02 19:44 . 2009-03-02 20:14 <DIR> d-------- c:\documents and settings\Fred\Datos de programa\OnlineArmor
2009-03-02 19:44 . 2009-03-02 19:44 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\OnlineArmor
2009-03-02 19:43 . 2009-03-02 19:43 <DIR> d-------- C:\OnlineArmor
2009-03-02 19:43 . 2009-03-02 19:43 <DIR> d-------- c:\archivos de programa\Tall Emu
2009-03-02 19:43 . 2008-12-13 02:26 178,376 --a------ c:\windows\system32\drivers\OADriver.sys
2009-03-02 19:43 . 2008-12-13 02:26 30,920 --a------ c:\windows\system32\drivers\OAmon.sys
2009-03-02 19:43 . 2008-12-13 02:26 28,872 --a------ c:\windows\system32\drivers\OAnet.sys
2009-03-02 19:34 . 2009-03-02 19:34 <DIR> d-------- c:\archivos de programa\Trend Micro
2009-03-01 20:29 . 2009-02-05 18:29 3,715,072 --a------ c:\windows\system32\cdintf300.dll
2009-03-01 20:28 . 2009-03-01 20:28 <DIR> d-------- c:\archivos de programa\EBP
2009-03-01 20:28 . 2009-03-01 20:28 <DIR> d-------- c:\archivos de programa\Archivos comunes\EBP
2009-03-01 20:27 . 2009-03-01 20:29 <DIR> d--h----- c:\documents and settings\All Users\Datos de programa\{0F401E17-8B8B-429B-ADBC-CE966BA32752}
2009-02-11 01:13 . 2009-02-11 01:13 42,320 --a------ c:\windows\system32\xfcodec.dll
2009-02-10 12:33 . 2009-02-10 12:33 7,680 --ahs---- c:\windows\Thumbs.db
2009-02-10 12:33 . 2009-02-10 12:33 6,144 --ahs---- C:\Thumbs.db
2009-02-10 11:35 . 2009-02-16 10:07 <DIR> d-------- c:\archivos de programa\iLinc
2009-02-06 20:28 . 2009-02-06 20:28 4,410,054 --a------ C:\Dibujo.bmp

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-02 18:50 --------- d-----w c:\documents and settings\Fred\Datos de programa\FileZilla
2009-03-02 07:30 --------- d-----w c:\documents and settings\Fred\Datos de programa\Xfire
2009-03-01 19:30 --------- d-----w c:\documents and settings\Fred\Datos de programa\EBP
2009-03-01 19:30 --------- d-----w c:\documents and settings\All Users\Datos de programa\EBP
2009-02-15 14:33 --------- d-----w c:\archivos de programa\Xfire
2009-02-12 00:00 --------- d-----w c:\documents and settings\All Users\Datos de programa\Microsoft Help
2009-02-07 19:23 --------- d-----w c:\archivos de programa\Lx_cats
2009-02-07 19:19 --------- d-----w c:\documents and settings\Fred\Datos de programa\Azureus
2009-01-13 16:14 --------- d-----w c:\archivos de programa\Webserver Stress Tool 7
2008-07-11 14:31 27,976 ----a-w c:\archivos de programa\mozilla firefox\plugins\atgpcdec.dll
2008-07-11 14:31 125,848 ----a-w c:\archivos de programa\mozilla firefox\plugins\atgpcext.dll
2008-07-11 14:32 46,408 ----a-w c:\archivos de programa\mozilla firefox\plugins\atmccli.dll
2008-07-11 14:32 98,712 ----a-w c:\archivos de programa\mozilla firefox\plugins\ieatgpc.dll
2003-08-13 15:31 32 --sha-w c:\windows\{631885D3-74E3-447A-A16A-900AC97C4CDB}.dat
2003-08-13 15:32 32 --sha-w c:\windows\{81185771-2BA5-4135-8670-6B3795441A38}.dat
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
2008-02-04 19:26 151,040 --sh--w c:\windows\system32\VistaUltm.dll
2003-08-13 15:31 32 --sha-w c:\windows\system32\{49C1EA5A-C7CE-4EE6-A065-9EF8929462AD}.dat
2003-08-13 15:32 32 --sha-w c:\windows\system32\{C5022D85-BA7D-4235-AE39-C717E6E6140E}.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A2382A63-7F85-4DA4-A23B-166D795B2877}]
2008-11-25 10:30 121600 --a------ c:\windows\system32\cmpropsq.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"msnmsgr"="c:\archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5797912]
"Picasa Media Detector"="c:\archivos de programa\Picasa2\PicasaMediaDetector.exe" [2008-08-21 513600]
"Google Update"="c:\documents and settings\Fred\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" [2008-09-06 210928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\archivos de programa\Apoint\Apoint.exe" [2003-06-13 192512]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4612096]
"HKSERV.EXE"="c:\archivos de programa\Sony\HotKey Utility\HKserv.exe" [2003-06-26 167936]
"ezShieldProtector for Px"="c:\windows\System32\ezSP_Px.exe" [2002-08-20 118784]
"SunJavaUpdateSched"="c:\archivos de programa\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 214416]
"LXCICATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCItime.dll" [2006-02-24 73728]
"!AVG Anti-Spyware"="c:\archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6800944]
"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" [2008-03-28 491520]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 112496]
"@OnlineArmor GUI"="c:\archivos de programa\Tall Emu\Online Armor\oaui.exe" [2008-12-13 6223048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Fred\Men£ Inicio\Programas\Inicio\
Xfire.lnk - c:\archivos de programa\Xfire\xfire.exe [2009-02-11 3082064]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
PowerPanel.lnk - c:\archivos de programa\powerpanel\Program\PcfMgr.exe [2003-08-13 954368]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\archiv~1\TALLEM~1\ONLINE~1\oaevent.dll" [2008-12-13 886984]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^hp psc 2000 Series.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\hp psc 2000 Series.lnk
backup=c:\windows\pss\hp psc 2000 Series.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^hpoddt01.exe.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\hpoddt01.exe.lnk
backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^IEEE 802.11g Wireless LAN Utility.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\IEEE 802.11g Wireless LAN Utility.lnk
backup=c:\windows\pss\IEEE 802.11g Wireless LAN Utility.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
--a------ 2007-06-11 10:25 6800944 c:\archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint]
--a------ 2005-08-01 07:05 167936 c:\archivos de programa\Lexmark 7300 Series\ezprint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcimon.exe]
--a------ 2005-09-30 09:48 274432 c:\archivos de programa\Lexmark 7300 Series\lxcimon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 10:34 5797912 c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2008-08-21 02:18 513600 c:\archivos de programa\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 22:37 491520 c:\archivos de programa\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmaTel StacMon]
--a------ 2003-03-26 17:19 118784 c:\archivos de programa\SigmaTel\C-Major Audio\stacmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mouse Suite 98 Daemon]
--a------ 2002-03-14 15:46 45056 c:\windows\system32\ico.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PnkBstrA"=2 (0x2)
"IDriverT"=3 (0x3)
"gusvc"=3 (0x3)
"FLEXnet Licensing Service"=3 (0x3)
"EBP Pervasive.SQL"=2 (0x2)
"AVG Anti-Spyware Guard"=2 (0x2)
"aawservice"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\PVSW\\Bin\\w3dbsmgr.exe"=
"c:\\Archivos de programa\\eMule\\emule.exe"=
"c:\\Archivos de programa\\Azureus\\Azureus.exe"=
"c:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"c:\\Archivos de programa\\RhinoSoft.com\\Serv-U\\ServUDaemon.exe"=
"c:\\xd\\msnn.exe.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Archivos de programa\\Conference\\Conference.dll"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"c:\\Archivos de programa\\PlaceCam\\PlaceCam.exe"=
"c:\\Documents and Settings\\Fred\\Mis documentos\\telechargements\\Setup\\SetupWizard.exe"=
"c:\\Archivos de programa\\Wolfenstein - Enemy Territory\\ETDED.exe"=
"c:\\Archivos de programa\\Xfire\\xfire.exe"=
"c:\\Documents and Settings\\Fred\\Mis documentos\\FPD\\visio.exe"=
"c:\\Documents and Settings\\Fred\\Mis documentos\\FPD\\visio_server.exe"=
"c:\\Archivos de programa\\America's Army\\System\\ArmyOps.exe"=
"c:\\Archivos de programa\\Enemy Territory\\ET.exe"=
"c:\\Documents and Settings\\Fred\\Mis documentos\\FPD\\visio_client.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"= c:\\Archivos de programa\\Windows Live\\Messenger\\MsnMsgr.Exe
"c:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"c:\\FPDCEFOIM\\visio.exe"=
"c:\\Documents and Settings\\Fred\\Escritorio\\PDFEdit.exe"=
"c:\\Documents and Settings\\Fred\\Mis documentos\\telechargements\\visio.exe"=
"c:\\Documents and Settings\\Fred\\Mis documentos\\telechargements\\visio(2).exe"=
"c:\\Documents and Settings\\Fred\\Escritorio\\visio.exe"=
"c:\\Archivos de programa\\Java\\jre1.6.0_02\\bin\\jusched.exe"=
"c:\\Archivos de programa\\powerpanel\\Program\\PcfMgr.exe"=
"c:\\Documents and Settings\\Fred\\Configuración local\\Datos de programa\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Archivos de programa\\Apoint\\Apoint.exe"=
"c:\\Archivos de programa\\Picasa2\\PicasaMediaDetector.exe"=
"c:\\Archivos de programa\\Archivos comunes\\Microsoft Shared\\Windows Live\\WLLoginProxy.exe"=
"c:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"c:\\Archivos de programa\\Sony\\HotKey Utility\\HKserv.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\usnsvc.exe"=
"c:\\Archivos de programa\\Apoint\\Apntex.exe"=
"c:\\ComboFix\\NirCmd.cfexe"=
"c:\\WINDOWS\\system32\\CF23906.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5600:UDP"= 5600:UDP:*:Disabled:PlaceCam Port
"3478:UDP"= 3478:UDP:*:Disabled:PlaceCam Stun Port
"3479:UDP"= 3479:UDP:*:Disabled:PlaceCam Stun Port

R0 xvrordql;xvrordql;c:\windows\system32\drivers\pvpewmqq.dat --> c:\windows\system32\drivers\pvpewmqq.dat [?]
R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [2009-03-02 178376]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [2009-03-02 30920]
R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [2009-03-02 28872]
R2 OAcat;Online Armor Helper Service;c:\archivos de programa\Tall Emu\Online Armor\oacat.exe [2009-03-02 1402568]
R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\llligk.sys --> c:\windows\system32\drivers\llligk.sys [?]
R3 dfmirage;dfmirage;c:\windows\system32\drivers\dfmirage.sys [2008-07-12 31896]
R3 HSFHWSIS;HSFHWSIS;c:\windows\system32\drivers\HSFHWSIS.sys [2003-08-13 156288]
R3 SPI;Sony Programmable I/O Control Device;c:\windows\system32\drivers\SonyPI.sys [2002-10-30 71961]
S2 aawserviceNVSvc;Ad-Aware 2007 Service aawserviceNVSvc;ð%€|x srv --> ð%€|x srv [?]
S2 EventSystemNla;Sistema de sucesos COM+ EventSystemNla;ð%€|x srv --> ð%€|x srv [?]
S2 FastUserSwitchingCompatibilitywuauserv;Compatibilidad de cambio rápido de usuario FastUserSwitchingCompatibilitywuauserv;ð%€|x srv --> ð%€|x srv [?]
S2 RasManLmHosts;Administrador de conexión de acceso remoto RasManLmHosts;ð%€|x srv --> ð%€|x srv [?]
S2 RasManodserv;Administrador de conexión de acceso remoto RasManodserv;ð%€|x srv --> ð%€|x srv [?]
S2 SvcOnlineArmor;Online Armor;c:\archivos de programa\Tall Emu\Online Armor\oasrv.exe [2009-03-02 3321032]
S2 VSSNVSvc;Instantáneas de volumen VSSNVSvc;ð%€|x srv --> ð%€|x srv [?]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\archivos de programa\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-17 7168]
S3 lxci_device;lxci_device;c:\windows\system32\lxcicoms.exe -service --> c:\windows\system32\lxcicoms.exe -service [?]
S3 pelmouse;Mouse Suite Driver;c:\windows\system32\drivers\PELMOUSE.SYS [2003-08-13 17251]
S3 pelusblf;USB Mouse Low Filter Driver;c:\windows\system32\drivers\PELUSBlf.SYS [2003-08-13 7520]
S3 WLAN_DCB;IEEE 802.11g Wireless LAN CardBus Driver;c:\windows\system32\drivers\WLANDCB.sys [2007-09-10 56416]
S4 EBP Pervasive.SQL;EBP Pervasive.SQL;c:\pvsw\Bin\WGE_SRV.exe [2006-12-07 106496]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9f4a637-dcb1-11dd-9cbc-080046b2c7e5}]
\shELl\AuToplaY\COMmaNd - E:\cqxr.pif
\shELl\AutoRun\command - E:\cqxr.pif
\shELl\exPlORe\CommaNd - E:\cqxr.pif
\shELl\OPeN\cOmMaND - E:\cqxr.pif
.
Contents of the 'Scheduled Tasks' folder

2009-02-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2008-03-14 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1194468960.job
- c:\archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 17:56]

2009-03-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2763177607-299837642-3644029127-1005.job
- c:\documents and settings\Fred\Configuraci []
.
- - - - ORPHANS REMOVED - - - -

Toolbar-ID - (no file)

.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title =
IE: &Search - ?p=ZNfox000
IE: E&xporter vers Microsoft Excel - c:\archiv~1\MICROS~3\Office12\EXCEL.EXE/3000
Trusted Zone: sony-europe.com
Trusted Zone: sonystyle-europe.com
Trusted Zone: vaio-link.com
TCP: {6F65E989-FAC2-4202-A7DE-94A7DB3779D0} = 80.58.0.33,80.58.32.97
TCP: {DE4CA5EB-0BE9-456F-8A32-390BF6516B54} = 80.58.61.254,80.58.61.250
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
DPF: {E901098E-6B97-485A-B712-9908683F5E9E} - hxxp://www.instantpresenter.com/components/CosNetWebConference.cab
FF - ProfilePath - c:\documents and settings\Fred\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npatgpc.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\NPCltInstall.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\archivos de programa\Picasa2\npPicasa2.dll
FF - plugin: c:\documents and settings\All Users\Datos de programa\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\documents and settings\Fred\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\extensions\DimdimPublisher@dimdim.com\plugins\npDimdimControl.dll

---- FIREFOX POLICIES ----
FF - user.js: capability.policy.policynames - allowclipboard
FF - user.js: capability.policy.allowclipboard.sites - hxxp://www.orange.es http://web.orange.es
FF - user.js: capability.policy.allowclipboard.Clipboard.cutcopy - allAccess
FF - user.js: capability.policy.allowclipboard.Clipboard.paste - allAccess.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-02 20:13:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCICATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aawserviceNVSvc]
"ImagePath"="ð%€|x\[u]0[/u]1\[u]0[/u]9 srv"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EventSystemNla]
"ImagePath"="ð%€|x\[u]0[/u]1\[u]0[/u]9 srv"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\archivos de programa\Lavalys\EVEREST Home Edition\kerneld.wnt"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FastUserSwitchingCompatibilitywuauserv]
"ImagePath"="ð%€|x\[u]0[/u]1\[u]0[/u]9 srv"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasManLmHosts]
"ImagePath"="ð%€|x\[u]0[/u]1\[u]0[/u]9 srv"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasManodserv]
"ImagePath"="ð%€|x\[u]0[/u]1\[u]0[/u]9 srv"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VSSNVSvc]
"ImagePath"="ð%€|x\[u]0[/u]1\[u]0[/u]9 srv"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xvrordql]
"ImagePath"="system32\drivers\pvpewmqq.dat"
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\archivos de programa\Apoint\ApntEx.exe
c:\archivos de programa\sony\HotKey Utility\HKWnd.exe
.
**************************************************************************
.
Completion time: 2009-03-02 20:25:24 - machine was rebooted
ComboFix-quarantined-files.txt 2009-03-02 19:25:20

Pre-Run: 8.537.788.416 bytes libres
Post-Run: 9,696,886,784 bytes libres

325 --- E O F --- 2009-02-25 21:52:20

plopus · Answer

tu as une infection USB donc clic ici http://www.cijoint.fr/cjlink.php?file=cj200903/cijimkhKIx.txt et clic droit et enregistre la cible sous pour recuperer le fichier et suit les indications que j'ai mit et poste le rapport

+ APRES un nouveau hijackthis

blackmagic · Answer

Voila le rapport

========= PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9f4a637-dcb1-11dd-9cbc-080046b2c7e5}\ deleted successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Fred\CONFIG~1\Temp\etilqs_7Z6DzI5g1pYu9kgFWyLv scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fred\CONFIG~1\Temp\winxgcy.exe scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03022009_203852

Files moved on Reboot...
File C:\DOCUME~1\Fred\CONFIG~1\Temp\etilqs_7Z6DzI5g1pYu9kgFWyLv not found!
C:\DOCUME~1\Fred\CONFIG~1\Temp\winxgcy.exe moved successfully.
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\XUL.mfl moved successfully.




Et le Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.55.52, on 02-03-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Tall Emu\Online Armor\oasrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Archivos de programa\Tall Emu\Online Armor\oacat.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS
otepad.exe
C:\Archivos de programa\Apoint\Apoint.exe
C:\Archivos de programa\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Archivos de programa\Tall Emu\Online Armor\oaui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe
C:\Archivos de programa\powerpanel\Program\PcfMgr.exe
C:\Archivos de programa\Apoint\Apntex.exe
C:\Archivos de programa\Sony\HotKey Utility\HKWnd.exe
C:\Archivos de programa\Tall Emu\Online Armor\oahlp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOCUME~1\Fred\CONFIG~1\Temp\yamdb.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A2382A63-7F85-4DA4-A23B-166D795B2877} - C:\WINDOWS\system32\cmpropsq.dll
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Archivos de programa\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Archivos de programa\Tall Emu\Online Armor\oaui.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Fred\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Archivos de programa\Xfire\xfire.exe
O4 - Global Startup: PowerPanel.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Search - ?p=ZNfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E901098E-6B97-485A-B712-9908683F5E9E} (CosNetWebConference Control) - http://www.instantpresenter.com/components/CosNetWebConference.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F65E989-FAC2-4202-A7DE-94A7DB3779D0}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE4CA5EB-0BE9-456F-8A32-390BF6516B54}: NameServer = 80.58.61.254,80.58.61.250
O23 - Service: Ad-Aware 2007 Service aawserviceNVSvc (aawserviceNVSvc) - Unknown owner - C:\WINDOWS\
O23 - Service: Sistema de sucesos COM+ EventSystemNla (EventSystemNla) - Unknown owner - C:\WINDOWS\
O23 - Service: Compatibilidad de cambio rápido de usuario FastUserSwitchingCompatibilitywuauserv (FastUserSwitchingCompatibilitywuauserv) - Unknown owner - C:\WINDOWS\
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxci_device -   - C:\WINDOWS\system32\lxcicoms.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Online Armor Helper Service (OAcat) - Tall Emu - C:\Archivos de programa\Tall Emu\Online Armor\oacat.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Administrador de conexión de acceso remoto RasManLmHosts (RasManLmHosts) - Unknown owner - C:\WINDOWS\
O23 - Service: Administrador de conexión de acceso remoto RasManodserv (RasManodserv) - Unknown owner - C:\WINDOWS\
O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Archivos de programa\Tall Emu\Online Armor\oasrv.exe
O23 - Service: Instantáneas de volumen VSSNVSvc (VSSNVSvc) - Unknown owner - C:\WINDOWS\

plopus · Answer

est ce que c'est normal que tu as des programmes en espagnole ou portugais un truc comme sa

tu connais sa RasMan tourné sous plusieurs sauce à la fin ? style RasManodserv ou RasManLmHosts

blackmagic · Answer

Les programmes en espagnol, c'est normal. J'habite en Espagne et le PC a été acheté ici.

Non je sais pas à quoi correspond les Rasman...., on peut les enlever je pense.

plopus · Answer

on a deja fait un peu de menage, 

Fait un scan en ligne ici et poste le rapport en entier avec les lignes 
http://www.bitdefender.fr/scan_fr/scan8/ie.html

puis

    *  Télécharge Malwarebytes  https://www.androidworld.fr/
    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examenRAPIDE"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

puis fait un scan avec ton antivirus, supprime tous ce qu'il trouve et poste le rapport aussi

+ APRES un nouvea hijackthis

blackmagic · Answer

Je peux pas faire le scan en ligne. J'arrive sur la page de bitdefender mais lorsque j'accepte les termes d'utilisation, rien ne se passe. Je suppose que c'est dû qu virus qui m'empêche d'accèder à tous les sites de scan en ligne que j'ai essayé jusqu'ici!

Voilà le rapport MBAM

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1814
Windows 5.1.2600 Service Pack 2

02-03-2009 21.56.58
mbam-log-2009-03-02 (21-56-58).txt

Type de recherche: Examen rapide
Eléments examinés: 80144
Temps écoulé: 8 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a2382a63-7f85-4da4-a23b-166d795b2877} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{a2382a63-7f85-4da4-a23b-166d795b2877} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a2382a63-7f85-4da4-a23b-166d795b2877} (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\cmpropsq.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\drivers\125.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\546.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\812.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\984.exe (Rootkit.Agent) -> Quarantined and deleted successfully.

blackmagic · Answer

N'etant pas sure que le reboot se soit correctement fait, j'ai relancé MBAM.

Voici le nouveau rapport

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1814
Windows 5.1.2600 Service Pack 2

02-03-2009 23.21.32
mbam-log-2009-03-02 (23-21-32).txt

Type de recherche: Examen rapide
Eléments examinés: 79949
Temps écoulé: 11 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\cmpropsq.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a2382a63-7f85-4da4-a23b-166d795b2877} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{a2382a63-7f85-4da4-a23b-166d795b2877} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a2382a63-7f85-4da4-a23b-166d795b2877} (Trojan.Downloader) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\cmpropsq.dll (Trojan.Vundo.H) -> Delete on reboot.

blackmagic · Answer

Juste pour activer l'email

plopus · Answer

bonjour,

tu as bien redemarré après ?

réessaye le scan en ligne maintenant puis après refait malwarebyte en scan rapide et poste les rapports

blackmagic · Answer

Le scan en ligne ne fonctionne toujours pas.
Et MBAM detecte toujours les problemes, apparemment il ne parvient pas à les corriger (oui je reboote à chaque fois)

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1814
Windows 5.1.2600 Service Pack 2

03-03-2009 10.41.04
mbam-log-2009-03-03 (10-41-04).txt

Type de recherche: Examen rapide
Eléments examinés: 80291
Temps écoulé: 13 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\cmpropsq.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a2382a63-7f85-4da4-a23b-166d795b2877} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{a2382a63-7f85-4da4-a23b-166d795b2877} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a2382a63-7f85-4da4-a23b-166d795b2877} (Trojan.Downloader) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\cmpropsq.dll (Trojan.Vundo.H) -> Delete on reboot.

plopus · Answer

re

Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
Clique sur Continue
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
 Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront poste les 2 rapports SEPAREMENT

blackmagic · Answer

et le second

info.txt logfile of random's system information tool 1.05 2009-03-03 15:27:48

======Uninstall list======

-->C:\WINDOWS\IsUn040a.exe -fC:\WINDOWS\orun32.isu
-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{93B80FB1-7A23-11D3-B250-00105A1F4184}\setup.exe" 
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {BEE75E01-DD3F-4D5F-B96C-609E6538D419}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0015-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0019-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {5A2F65A4-808F-4A1E-973E-92E17824982D}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {3EC77D26-799B-4CD8-914F-C1565E796173}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {430971B1-C31E-45DA-81E0-72C095BAB72C}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {B3F4DC34-7F60-4B7C-A79F-1C13012D99D4}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {F7A31780-33C4-4E39-951A-5EC9B91D7BF1}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0044-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
3D Canvas-->MsiExec.exe /I{78699791-0625-4667-9E70-626A1CCEC94D}
Actualización de seguridad para el Reproductor de Windows Media (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Actualización de seguridad para el Reproductor de Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Actualización de seguridad para el Reproductor de Windows Media 6.4 (KB925398)-->"C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"
Actualización de seguridad para el Reproductor de Windows Media 9 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP9$\spuninst\spuninst.exe"
Actualización de seguridad para Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Actualización de seguridad para Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Actualización de seguridad para Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Actualización de seguridad para Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Actualización de seguridad para Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Actualización de seguridad para Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Actualización de seguridad para Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Actualización de seguridad para Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Actualización de seguridad para Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB919007)-->"C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB922819)-->"C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB923414)-->"C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB924496)-->"C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB926255)-->"C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB928843)-->"C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB931784)-->"C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB933729)-->"C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB935840)-->"C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB936021)-->"C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB938127)-->"C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB941202)-->"C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB941568)-->"C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB941644)-->"C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB941693)-->"C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB943055)-->"C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB943460)-->"C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB943485)-->"C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB944338)-->"C:\WINDOWS\$NtUninstallKB944338$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB944653)-->"C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB945553)-->"C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB946026)-->"C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB947864)-->"C:\WINDOWS\$NtUninstallKB947864$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB948590)-->"C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB948881)-->"C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB950749)-->"C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Actualización de seguridad para Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Actualización para Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Actualización para Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Actualización para Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Actualización para Windows XP (KB904942)-->"C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
Actualización para Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Actualización para Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Actualización para Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Actualización para Windows XP (KB916595)-->"C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Actualización para Windows XP (KB920872)-->"C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Actualización para Windows XP (KB922582)-->"C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Actualización para Windows XP (KB925720)-->"C:\WINDOWS\$NtUninstallKB925720$\spuninst\spuninst.exe"
Actualización para Windows XP (KB927891)-->"C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Actualización para Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Actualización para Windows XP (KB932823-v3)-->"C:\WINDOWS\$NtUninstallKB932823-v3$\spuninst\spuninst.exe"
Actualización para Windows XP (KB936357)-->"C:\WINDOWS\$NtUninstallKB936357$\spuninst\spuninst.exe"
Actualización para Windows XP (KB938828)-->"C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Actualización para Windows XP (KB942763)-->"C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Actualización para Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Actualización para Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Actualización para Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Ad-Aware 2007-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Acrobat 5.0-->C:\WINDOWS\ISUN040A.EXE -f"C:\Archivos de programa\Archivos comunes\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Archivos de programa\Archivos comunes\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings-->MsiExec.exe /I{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}
Adobe Color EU Extra Settings-->MsiExec.exe /I{51846830-E7B2-4218-8968-B77F0FF475B8}
Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
Adobe Color NA Recommended Settings-->MsiExec.exe /I{95655ED4-7CA5-46DF-907F-7144877A32E5}
Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS3-->C:\Archivos de programa\Archivos comunes\Adobe\Installers\2ac78060bc5856b0c1cf873bb919b58\Setup.exe
Adobe Photoshop CS3-->MsiExec.exe /I{0046FA01-C5B9-4985-BACB-398DC480FC05}
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Adobe Setup-->MsiExec.exe /I{D1BB4446-AE9C-4256-9A7F-4D46604D2462}
Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP Panels CS3-->MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}
Age of Empires III-->C:\ARCHIV~1\ARCHIV~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{485775E8-AEB8-46BD-922B-242879E03DD5} 
America's Army-->MsiExec.exe /I{6778954C-13C2-4333-AF77-F5C885EB280F}
AnalogX Virtual Piano-->C:\Documents and Settings\Fred\Escritorio\AnalogX\VPiano\vpianou.exe
AnalogX Vocal Remover (WinAmp)-->C:\Archivos de programa\Plugins\wavremu.exe
Apple Software Update-->MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}
Archiveur WinRAR-->C:\Archivos de programa\WinRAR\uninstall.exe
Ares Tube 3.0-->"c:\Ares Tube\unins000.exe"
Assistant de connexion Windows Live-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
AVG Anti-Spyware 7.5-->C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\Uninstall.exe
AVS DVDMenu Editor 1.2.1.19-->"C:\Archivos de programa\Archivos comunes\AVSMedia\AVS DVDMenu Editor\unins000.exe"
AVS Video Converter 5.6-->"C:\Archivos de programa\AVS4YOU\AVSVideoConverter\unins000.exe"
AVS Video Editor 3.5-->"C:\Archivos de programa\AVSMedia\AVSVideoEditor\unins000.exe"
AVS4YOU Software Navigator 1.2-->"C:\Archivos de programa\AVS4YOU\AVSSoftwareNavigator\unins000.exe"
Azureus Vuze-->C:\Archivos de programa\Azureus\uninstall.exe
BlueAuditor 1.3.7-->"C:\Archivos de programa\Nsasoft\BlueAuditor\unins000.exe"
Bobots Version 03.05-->C:\Archivos de programa\Enemy Territory\Uninstal.exe
Bobots Version 04.00-->C:\Archivos de programa\Enemy Territory\Uninstal.exe
CamfrogWEB Advanced ActiveX Plugin (remove only)-->"C:\Archivos de programa\CFWebAdvancedU\Uninstall.exe"
CCleaner (remove only)-->"C:\Archivos de programa\CCleaner\uninst.exe"
C-Major Audio-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{69A0D256-A72C-4C33-9413-E1C0174CA7F4}\Setup.exe" -l0x9 
Conférenciel-->MsiExec.exe /X{138E6C01-1681-4282-AD32-2D694CE7270B}
Contacts-->MsiExec.exe /I{C6BDA6E5-B391-4CE5-8D86-B53AC96FFE03}
EBP Btrieve 8.6-->"C:\Documents and Settings\All Users\Datos de programa\{B33CBE2B-A739-401D-A5E0-041195C4A17B}\EBP_Btrieve8.6_SETUP.exe" REMOVE=TRUE MODIFY=FALSE
EBP Btrieve 8.6-->C:\Documents and Settings\All Users\Datos de programa\{B33CBE2B-A739-401D-A5E0-041195C4A17B}\EBP_Btrieve8.6_SETUP.exe
EBP Compta 13.1-->"C:\Documents and Settings\All Users\Datos de programa\{0F401E17-8B8B-429B-ADBC-CE966BA32752}\setup.exe" REMOVE=TRUE MODIFY=FALSE
EBP Compta 13.1-->C:\Documents and Settings\All Users\Datos de programa\{0F401E17-8B8B-429B-ADBC-CE966BA32752}\setup.exe
eMule-->"C:\Archivos de programa\eMule\Uninstall.exe"
EVEREST Home Edition v2.20-->"C:\Archivos de programa\Lavalys\EVEREST Home Edition\unins000.exe"
FileZilla Client 3.1.0-->C:\Archivos de programa\FileZilla FTP Client\uninstall.exe
Foxit PDF Editor-->C:\Program Files\Foxit Software\PDF Editor\uninstall.exe
Foxit Reader-->C:\Archivos de programa\Foxit Software\Foxit Reader\Uninstall.exe
Free YouTube to iPod Converter version 2.8-->"C:\Archivos de programa\DVDVideoSoft\Free YouTube to iPod Converter\unins000.exe"
Galerie de photos Windows Live-->MsiExec.exe /X{A70FA218-6598-4AC9-813D-63597C5DD068}
Glest 3.1.2-->"C:\Archivos de programa\Glest_3.1.2\unins000.exe"
Google SketchUp 6-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{98736A65-3C79-49EC-B7E9-A3C77774B0E6}\setup.exe" -l0x40c  -removeonly
Google SketchUp 6-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{B3D8B2F8-3C2C-45BC-933E-8B60E78F6684}\setup.exe" -l0x40c  -removeonly
HijackThis 2.0.2-->"C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
HotKey Utility-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{B36C3DFD-BAB0-4513-BD27-FA4906A738FD}\Setup.exe" -l0xa 
HP Photo and Imaging 2.0 - All-in-One Drivers-->MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
HP Photo and Imaging 2.0 - All-in-One-->MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
HP Photo and Imaging 2.0 - hp psc 2100 series-->C:\Archivos de programa\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot
hp psc 2100 series-->MsiExec.exe /X{82DFB852-9594-4668-9C66-28BB6E94BCB2}
IDEP/CN8 [.NET]-->MsiExec.exe /X{23000408-8C73-43C5-9311-00053A013B26}
IEEE 802.11g Wireless LAN Utility-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{BBADBB36-D583-474F-AC4C-41F4EA096A43}\Setup.exe" -l0x9 
iLinc Client-->C:\ARCHIV~1\iLinc\CLIENT~1\UNINST~1.EXE 
Inscripción en línea VAIO (Español)-->C:\ARCHIV~1\ARCHIV~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{668B1BD6-4593-4959-970E-249AFFE6F35C} /l1034 
InterVideo WinDVD 4-->"C:\Archivos de programa\InstallShield Installation Information\{98E8A2EF-4EAE-43B8-A172-74842B764777}\setup.exe" REMOVEALL
Invisosoft Live Communicator-->MsiExec.exe /X{7660BA29-FAF2-47AD-9BCF-A27160CAED65}
J2SE Runtime Environment 5.0 Update 15-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150150}
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
LAN-Express AS IEEE 802.11 Wireless LAN-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{FCCB0B43-7A6D-49A4-A5B3-B10F592F4EB6}\Setup.exe" -l0x9 
Lexmark 7300 Series-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxciUNST.EXE -NOLICENSE
Ludiclub.com-->C:\WINDOWS\system32\GKSUI20.EXE C:\Archivos de programa\Ludiclub\Uninstall9F0B.DAT
Macromedia Dreamweaver 8-->MsiExec.exe /I{5FD788ED-1A37-4496-9BDD-463F493B27FA}
Macromedia Extension Manager-->MsiExec.exe /I{3C8C9FB3-5FDF-40B4-B314-EAD722728C76}
Macromedia Extension Manager-->MsiExec.exe /I{5546CDB5-2CE2-498B-B059-5B3BF81FC41F}
Macromedia Flash 8 Video Encoder-->MsiExec.exe /X{8BF2C401-02CE-424D-BC26-6C4F9FB446B6}
Macromedia Flash 8-->MsiExec.exe /I{2BD5C305-1B27-4D41-B690-7A61172D2FEB}
Macromedia Flash Player 8-->MsiExec.exe /X{885A63EA-382B-4DD4-A755-14809B8557D6}
Malwarebytes' Anti-Malware-->"C:\Archivos de programa\Malwarebytes' Anti-Malware\unins000.exe"
Marratech 6.1-->MsiExec.exe /X{C2B6CF03-4336-4786-8DA0-3DB39AC00956}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft .NET Framework 3.0 Spanish Language Pack-->MsiExec.exe /X{EBDFE185-7DDD-4687-9EBA-1B24FF7FF496}
Microsoft .NET Framework 3.0-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Language Pack 2007 Service Pack 1 (SP1)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {EC50B538-CBE1-42E6-B7FE-87AA540AADFB}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Speech Recognition Engine 4.0 (English)-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\mscsrgpc.inf, Uninstall.NT
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
MIKSOFT Mobile 3GP converter-->"C:\Archivos de programa\MIKSOFT\Mobile 3GP converter\unins000.exe"
MOBILedit! 1.75-->RunDll32 C:\DOCUME~1\GUILLA~1\MISDOC~1\MESFIC~1\Setup.dll,RemoveOnly
Montpellier Business Plan Classic-->MsiExec.exe /I{EDA1C1F7-F27E-4B20-B9BC-39964452DBB1}
Mozilla Firefox (3.0.6)-->C:\Archivos de programa\Mozilla Firefox\uninstall\helper.exe
MSN Checker Sniffer-->"C:\Archivos de programa\MsnChecker\unins000.exe"
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6 Service Pack 2 (KB954459)-->MsiExec.exe /I{1A528690-6A2D-4BC5-B143-8C4AE8D19D96}
Navilog1 3.4.8-->"C:\Archivos de programa\Navilog1\unins000.exe"
Netscape Browser (remove only)-->"C:\Archivos de programa\Netscape\Netscape Browser\NSUninst.exe"
NVIDIA Windows 2000/XP Display Drivers-->rundll32.exe C:\WINDOWS\System32
vinstnt.dll,NvUninstallNT4 nvsz.inf
Omni-Bot 0.7 STABLE-->C:\Archivos de programa\Omni-Bot\uninst.exe
Online Armor 3.0-->"C:\Archivos de programa\Tall Emu\Online Armor\unins000.exe"
Paquete de idioma de Microsoft .NET Framework 2.0 - ESN-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - ESN\install.exe
Paquete de idioma para español de Microsoft .NET Framework 3.0-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 Spanish Language Pack\setup.exe
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
Picasa 2-->"C:\Archivos de programa\Picasa2\Uninstall.exe"
PlaceCam v3.02-->"C:\Archivos de programa\PlaceCam\unins000.exe"
PowerPanel-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{DCB53CB5-E82D-4F5E-BFE2-CBB200E19BEF}\Setup.exe" -l0xa 
Project64 1.6-->MsiExec.exe /X{9559F7CA-5E34-4237-A2D9-D856464AD727}
QuickTime-->MsiExec.exe /I{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}
RENTA 2007-->C:\WINDOWS\IsUn040a.exe -fC:\AEAT\RENT2007BIS\RENT2007.ISU
Revisión de Windows XP - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Revisión de Windows XP - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Revisión de Windows XP - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Revisión de Windows XP - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Revisión de Windows XP - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Revisión de Windows XP - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Revisión de Windows XP - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Revisión de Windows XP - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Revisión para Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Revisión para Windows XP (KB914440)-->"C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Revisión para Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Rome - Total War(TM) Demo-->C:\ARCHIV~1\ARCHIV~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{0900B4D5-B94A-4B08-9EB6-03C9D61D2975} /l1033 
RPG Maker 2000 1.05-->C:\WINDOWS\UnGins.exe "C:\Archivos de programa\Project64 1.6\install.log"
RPG Maker 2003-->C:\Archivos de programa\RPG Maker 2003\Désinstaller.exe
Security Update for 2007 Microsoft Office System (KB951550)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85}
Security Update for 2007 Microsoft Office System (KB951944)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {797AE457-BA17-4BBC-B501-25FB3A0103C7}
Security Update for 2007 Microsoft Office System (KB958439)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {6491B8AA-D11C-4648-A461-6234B31EB7E2}
Security Update for Microsoft Office Excel 2007 (KB958437)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {648FC016-2D6B-4A16-8D87-404533642F4B}
Security Update for Microsoft Office PowerPoint 2007 (KB951338)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {558B709B-821B-4FC5-90FC-9A8890641E77}
Security Update for Microsoft Office Publisher 2007 (KB950114)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {F9C3CDBA-1F00-4D4D-959D-75C9D3ACDD85}
Security Update for Microsoft Office system 2007 (KB954326)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {5F7F6FFF-395D-480E-8450-64F385D82C5F}
Security Update for Microsoft Office system 2007 (KB956828)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {885E081B-72BD-4E76-8E98-30B4BE468FAC}
Security Update for Microsoft Office Word 2007 (KB956358)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {4551666D-0FD6-4C69-8A81-1C6F2E64517C}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Serv-U 6.4-->"C:\Archivos de programa\RhinoSoft.com\Serv-U\unins000.exe"
SiS 900 PCI Fast Ethernet Adapter Driver-->C:\Progra~1\SiSLan\Uninst.exe
SodelsCot Estándar-->C:\Archivos de programa\Sodels\SodelsCot Estándar\uninstall.exe
SoftK56 Data Fax-->C:\Archivos de programa\CONEXANT\CNXT_MODEM_PCI_VEN_1039&DEV_7013&SUBSYS_814E104D\HXFSETUP.EXE -U -IVEN_1039&DEV_7013&SUBSYS_814E104D
Sony DV Shared Library-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{6990A2BF-D1D2-11D3-81BC-00609789C908}\setup.exe" 
Sony Notebook Setup-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{936FADC9-C609-471A-B6F2-A33E2E660D1A}\Setup.exe" -l0xa 
Sony USB Mouse-->PMUninst.exe MouseSuite98
Sony Utilities DLL-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{EF3D45BB-2260-4008-88EA-492E7744A9DF}\Setup.exe" -l0x9 
Spybot - Search & Destroy 1.4-->"C:\Archivos de programa\Spybot - Search & Destroy\unins000.exe"
SUPER © Version 2008.bld.25 (Feb 5, 2008)-->C:\ARCHIV~1\ERIGHT~1\SUPER\Setup.exe /remove /q0
TeamSpeak 2 RC2-->"C:\Archivos de programa\Teamspeak2_RC2\unins000.exe"
TubeHunter Ultra-->MsiExec.exe /I{366FCBA4-3AB9-4EF1-938E-E7054BEA2E22}
Uninstall 1.0.0.0-->"C:\Archivos de programa\Archivos comunes\DVDVideoSoft\unins000.exe"
Update for Microsoft Office Outlook 2007 (KB952142)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {4AD3A076-427C-491F-A5B7-7D1DE788A756}
Update for Office 2007 (KB946691)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {A420F522-7395-4872-9882-C591B4B92278}
Update for Outlook 2007 Junk Email Filter (kb959634)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {50C77E2F-5C1C-467D-9BC8-3CA07D28C9F2}
VAIO BrightColor Wallpaper-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{4D1D6640-CD43-4AD9-A52F-E48265DB28E0}\Setup.exe" -l0x9 
VAIO Clock Screen Saver-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{1D057E97-A116-4BF9-B307-83C3FBD86515}\Setup.exe" -l0x9 
VAIO DeepSea Wallpaper-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{3147661C-2807-49EC-B971-3B0F23D95018}\Setup.exe" -l0x9 
VAIO Nature Screen Saver-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{8F4BB224-F0EB-433C-BF93-62AAB092D414}\Setup.exe" -l0x9 
Virtual DJ - Atomix Productions-->C:\ARCHIV~1\VIRTUA~2\UNWISE.EXE C:\ARCHIV~1\VIRTUA~2\INSTALL.LOG
WebEx-->C:\ARCHIV~1\MOZILL~1\plugins\atcliun.exe
Webserver Stress Tool 7-->"C:\Archivos de programa\Webserver Stress Tool 7\unins000.exe"
Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Beta (all programs)-->C:\Archivos de programa\Windows Live\Installer\wlarp.exe
Windows Live Beta (all programs)-->MsiExec.exe /I{5D4A033A-A286-44BE-A0F0-B05FAC25D07F}
Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
Windows Presentation Foundation Language Pack (ESN)-->MsiExec.exe /X{5668914A-431C-4910-94E7-F6673615B538}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation ES Language Pack-->MsiExec.exe /I{AB588DC0-FC95-42D2-908F-BCAD99596282}
Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
Wolfenstein - Enemy Territory-->C:\Archivos de programa\Enemy Territory\uninst.exe
Xfire (remove only)-->"C:\Archivos de programa\Xfire\uninst.exe"
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
Zylom Games Player Plugin-->"C:\Archivos de programa\Zylom Games\UninstallPlugin.exe" --uninstall

System event log

Computer Name: NOMBRE-X6K5FONA
Event Code: 6005
Message: Se ha iniciado el servicio de Registro de sucesos.

Record Number: 1441
Source Name: EventLog
Time Written: 20081106131522.000000+060
Event Type: Información
User: 

Computer Name: NOMBRE-X6K5FONA
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

Record Number: 1440
Source Name: EventLog
Time Written: 20081106131522.000000+060
Event Type: Información
User: 

Computer Name: NOMBRE-X6K5FONA
Event Code: 7036
Message: El servicio Adquisición de imágenes de Windows (WIA) entró en estado Activo.

Record Number: 1439
Source Name: Service Control Manager
Time Written: 20081105153635.000000+060
Event Type: Información
User: 

Computer Name: NOMBRE-X6K5FONA
Event Code: 7011
Message: Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio stisvc.

Record Number: 1438
Source Name: Service Control Manager
Time Written: 20081105153635.000000+060
Event Type: ERROR
User: 

Computer Name: NOMBRE-X6K5FONA
Event Code: 4201
Message: El sistema detectó que el adaptador de red \DEVICE\TCPIP_{6F65E989-FAC2-4202-A7DE-94A7DB3779D0} estaba conectado en la red
y ha iniciado un funcionamiento normal con dicho adaptador de red.

Record Number: 1437
Source Name: Tcpip
Time Written: 20081105153532.000000+060
Event Type: Información
User: 

Application event log

Computer Name: NOMBRE-X6K5FONA
Event Code: 1001
Message: Error al detectar la característica 'UncompressedFeature1' del producto '{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}' durante la solicitud del componente '{7ADBAE74-12BC-489A-8E18-870E5691336C}'

Record Number: 4056
Source Name: MsiInstaller
Time Written: 20081014003127.000000+120
Event Type: Advertencia
User: NT AUTHORITY\SYSTEM

Computer Name: NOMBRE-X6K5FONA
Event Code: 1004
Message: Error al detectar el componente '{32143C11-A8AA-4FED-8F5C-53B365B8F9A3}' de  la característica 'UncompressedFeature1' del producto '{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}. No existe el recurso 'C:\Archivos de programa\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\autorun.inf'.

Record Number: 4055
Source Name: MsiInstaller
Time Written: 20081014003127.000000+120
Event Type: Advertencia
User: NT AUTHORITY\SYSTEM

Computer Name: NOMBRE-X6K5FONA
Event Code: 11729
Message: Product: HP Photo and Imaging 2.0 - All-in-One Drivers -- Configuration failed.

Record Number: 4054
Source Name: MsiInstaller
Time Written: 20081014003127.000000+120
Event Type: Información
User: NT AUTHORITY\SYSTEM

Computer Name: NOMBRE-X6K5FONA
Event Code: 11731
Message: Product: HP Photo and Imaging 2.0 - All-in-One Drivers -- Error 1731.The source installation package for the product HP Photo and Imaging 2.0 - All-in-One Drivers is out of sync with the client package. Try the installation again using a valid copy of the installation package 'aiodrv.msi'.

Record Number: 4053
Source Name: MsiInstaller
Time Written: 20081014003126.000000+120
Event Type: ERROR
User: NT AUTHORITY\SYSTEM

Computer Name: NOMBRE-X6K5FONA
Event Code: 1001
Message: Error al detectar la característica 'UncompressedFeature1' del producto '{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}' durante la solicitud del componente '{7ADBAE74-12BC-489A-8E18-870E5691336C}'

Record Number: 4052
Source Name: MsiInstaller
Time Written: 20081014003123.000000+120
Event Type: Advertencia
User: NT AUTHORITY\SYSTEM

Security event log

Computer Name: NOMBRE-X6K5FONA
Event Code: 849
Message: Una aplicación se consideró una excepción cuando se inició el Firewall de Windows.



Origen de directiva: Directiva local

Perfil usado: Estándar

Nombre: ipsec

Ruta de acceso: C:\DOCUME~1\Fred\CONFIG~1\Temp\winppdgk.exe

Estado: Habilitado

Ámbito: Todas las subredes

Record Number: 32113
Source Name: Security
Time Written: 20090302201237.000000+060
Event Type: operación de auditoría correcta
User: NT AUTHORITY\SYSTEM

Computer Name: NOMBRE-X6K5FONA
Event Code: 849
Message: Una aplicación se consideró una excepción cuando se inició el Firewall de Windows.



Origen de directiva: Directiva local

Perfil usado: Estándar

Nombre: ipsec

Ruta de acceso: C:\DOCUME~1\Fred\CONFIG~1\Temp\winpndyfi.exe

Estado: Habilitado

Ámbito: Todas las subredes

Record Number: 32112
Source Name: Security
Time Written: 20090302201237.000000+060
Event Type: operación de auditoría correcta
User: NT AUTHORITY\SYSTEM

Computer Name: NOMBRE-X6K5FONA
Event Code: 849
Message: Una aplicación se consideró una excepción cuando se inició el Firewall de Windows.



Origen de directiva: Directiva local

Perfil usado: Estándar

Nombre: ipsec

Ruta de acceso: C:\DOCUME~1\Fred\CONFIG~1\Temp\winplqyyi.exe

Estado: Habilitado

Ámbito: Todas las subredes

Record Number: 32111
Source Name: Security
Time Written: 20090302201237.000000+060
Event Type: operación de auditoría correcta
User: NT AUTHORITY\SYSTEM

Computer Name: NOMBRE-X6K5FONA
Event Code: 849
Message: Una aplicación se consideró una excepción cuando se inició el Firewall de Windows.



Origen de directiva: Directiva local

Perfil usado: Estándar

Nombre: ipsec

Ruta de acceso: C:\DOCUME~1\Fred\CONFIG~1\Temp\winplqlj.exe

Estado: Habilitado

Ámbito: Todas las subredes

Record Number: 32110
Source Name: Security
Time Written: 20090302201237.000000+060
Event Type: operación de auditoría correcta
User: NT AUTHORITY\SYSTEM

Computer Name: NOMBRE-X6K5FONA
Event Code: 849
Message: Una aplicación se consideró una excepción cuando se inició el Firewall de Windows.



Origen de directiva: Directiva local

Perfil usado: Estándar

Nombre: ipsec

Ruta de acceso: C:\DOCUME~1\Fred\CONFIG~1\Temp\winplcno.exe

Estado: Habilitado

Ámbito: Todas las subredes

Record Number: 32109
Source Name: Security
Time Written: 20090302201237.000000+060
Event Type: operación de auditoría correcta
User: NT AUTHORITY\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\PVSW\Bin;C:\Archivos de programa\QuickTime\QTSystem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Archivos de programa\Java\jre1.6.0_02\lib\ext\QTJava.zip
"QTJAVA"=C:\Archivos de programa\Java\jre1.6.0_02\lib\ext\QTJava.zip

-----------------EOF-----------------

plopus · Answer

clic ici et fait ce qui est dit pour recuperer le fichier et fait ce que je t'ai mit 

http://www.cijoint.fr/cjlink.php?file=cj200903/cijdtMDhrC.txt

et poste le rapport, passe bien flesh sur TOUTES tes clefs USB

ensuite

==> Télécharger et enregistre sur ton bureau SDfix (créé par AndyManchesta)
https://www.androidworld.fr/

(c est le numéro 8 en bas de la page) :

==> Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur ton disque C:.

/!\ Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..

==> Choisir son compte, pas celui de l'Administrateur ou autre.

==> Dérouler la liste des instructions ci-dessous :

• Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuyer sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuyer sur une touche pour redémarrer le PC.
• Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum

blackmagic · Answer

Voila deja le premier rapport

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7028573a-78b7-11dc-9b80-080046b2c7e5}\ deleted successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Fred\CONFIG~1\Temp\hsperfdata_Fred\3628 scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fred\CONFIG~1\Temp\etilqs_7Abq8blfNFymQJCkGXAU scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fred\CONFIG~1\Temp\etilqs_cet3hFvVWGQqPsWxr6I4 scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fred\CONFIG~1\Temp\etilqs_cet3hFvVWGQqPsWxr6I4-journal scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fred\CONFIG~1\Temp\kytdu.exe scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Fred\Datos de programa\Sun\Java\Deployment\cache\6.0\12\b828d0c-546470c8 scheduled to be deleted on reboot.
Java cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03032009_160021

Files moved on Reboot...
File C:\DOCUME~1\Fred\CONFIG~1\Temp\hsperfdata_Fred\3628 not found!
File C:\DOCUME~1\Fred\CONFIG~1\Temp\etilqs_7Abq8blfNFymQJCkGXAU not found!
File C:\DOCUME~1\Fred\CONFIG~1\Temp\etilqs_cet3hFvVWGQqPsWxr6I4 not found!
File C:\DOCUME~1\Fred\CONFIG~1\Temp\etilqs_cet3hFvVWGQqPsWxr6I4-journal not found!
File C:\DOCUME~1\Fred\CONFIG~1\Temp\kytdu.exe not found!
C:\Documents and Settings\Fred\Datos de programa\Sun\Java\Deployment\cache\6.0\12\b828d0c-546470c8 moved successfully.

blackmagic · Answer

Pour le reste, petit probleme: je ne peux pas redemarrer en mode sans echec!

plopus · Answer

arf

telecharge GMER dezippe l'archive sur ton bureau, lance GMER un scan rapide va ce faire n'entient pas compte, selectionne TOUT tes disques en bas a droite C et D puis clic sur scann un tas de lignes vas apparaitre cela peut durer un moment à la FIN tu clic droit sur les lignes ROUGES et choisit Delete mais avant tu copie colle les lignes rouges ici stp

GMER

blackmagic · Answer

une seule ligne rouge
Service system32\drivers\pvpewmqq.dat (***hidden***) [Boot]xvrordql

plopus · Answer

ok tu as bien clic droit et delecte service

blackmagic · Answer

Mais il me dit error 0xC000010 Service "xvordql was not deleted

plopus · Answer

ok dans ce cas tu clic droit dessus tu met Kill process et ensuite tu met delete service puis delete file

dit moi si sa marche

blackmagic · Answer

Non access denied

plopus · Answer

desactive ton antivirus

 Télécharge OTMoveIt3 (de OldTimer) sur ton Bureau : http://oldtimer.geekstogo.com/OTMoveIt3.exe
• Double-clique sur OTMoveIt3.exe afin de le lancer.
• Copie/colle le texte suivant dans le cadre « Paste Instructions for Items to be Moved » et clique sur Moveit :

:processes 
explorer.exe 

:files 
C:\system32\drivers\pvpewmqq.dat

:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 



• Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

• Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles
Le nom du rapport correspond au moment de sa création : date_heure.log

blackmagic · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\system32\drivers\pvpewmqq.dat not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Fred\CONFIG~1\Temp\etilqs_LZSf2yEnsgob4n6KsL5k scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fred\CONFIG~1\Temp\qroyx.exe scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\BCC5BF85d01 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03032009_192819

Files moved on Reboot...
File C:\DOCUME~1\Fred\CONFIG~1\Temp\etilqs_LZSf2yEnsgob4n6KsL5k not found!
File C:\DOCUME~1\Fred\CONFIG~1\Temp\qroyx.exe not found!
File C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\BCC5BF85d01 not found!
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Fred\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\XUL.mfl moved successfully.

plopus · Answer

bon,

va dans demarrer puis executer et copie colle sa 

combofix /u  puis entrée et accepte ce la va desinstallé combofix

ensuite REtelechare combofix	http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

desactive ton antivirus lance le et ne touche + a rien et poste le rapport stp

blackmagic · Answer

Voilà: ComboFix 09-03-02.03 - Fred 2009-03-03 20.59.14.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.34.3082.18.509.144 [GMT 1:00] Running from: c:\documents and settings\Fred\Escritorio\ComboFix.exe * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((((( Files Created from 2009-02-03 to 2009-03-03 ))))))))))))))))))))))))))))))) . 2009-03-03 17:12 . 2009-03-03 19:31 250 --a------ c:\windows\gmer.ini 2009-03-03 16:29 . 2008-11-06 02:03 d-------- C:\SDFix 2009-03-03 15:27 . 2009-03-03 15:27 d-------- C:\rsit 2009-03-03 00:12 . 2004-08-19 15:43 20,992 --a------ c:\windows\system32\dshowext.ax 2009-03-03 00:12 . 2004-08-19 15:43 20,992 --a--c--- c:\windows\system32\dllcache\dshowext.ax 2009-03-02 21:23 . 2009-03-02 21:23 d-------- c:\documents and settings\Fred\Datos de programa\Malwarebytes 2009-03-02 21:23 . 2009-03-02 21:23 d-------- c:\documents and settings\All Users\Datos de programa\Malwarebytes 2009-03-02 21:23 . 2009-03-02 21:23 d-------- c:\archivos de programa\Malwarebytes' Anti-Malware 2009-03-02 21:23 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-02 21:23 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-02 20:38 . 2009-03-02 20:38 d-------- C:\_OTMoveIt 2009-03-02 19:44 . 2009-03-03 16:34 d-------- c:\documents and settings\Fred\Datos de programa\OnlineArmor 2009-03-02 19:44 . 2009-03-02 19:44 d-------- c:\documents and settings\All Users\Datos de programa\OnlineArmor 2009-03-02 19:43 . 2009-03-02 19:43 d-------- C:\OnlineArmor 2009-03-02 19:43 . 2009-03-02 19:43 d-------- c:\archivos de programa\Tall Emu 2009-03-02 19:43 . 2008-12-13 02:26 178,376 --a------ c:\windows\system32\drivers\OADriver.sys 2009-03-02 19:43 . 2008-12-13 02:26 30,920 --a------ c:\windows\system32\drivers\OAmon.sys 2009-03-02 19:43 . 2008-12-13 02:26 28,872 --a------ c:\windows\system32\drivers\OAnet.sys 2009-03-02 19:34 . 2009-03-02 19:34 d-------- c:\archivos de programa\Trend Micro 2009-03-01 20:29 . 2009-02-05 18:29 3,715,072 --a------ c:\windows\system32\cdintf300.dll 2009-03-01 20:28 . 2009-03-01 20:28 d-------- c:\archivos de programa\EBP 2009-03-01 20:28 . 2009-03-01 20:28 d-------- c:\archivos de programa\Archivos comunes\EBP 2009-03-01 20:27 . 2009-03-01 20:29 d--h----- c:\documents and settings\All Users\Datos de programa\{0F401E17-8B8B-429B-ADBC-CE966BA32752} 2009-02-11 01:13 . 2009-02-11 01:13 42,320 --a------ c:\windows\system32\xfcodec.dll 2009-02-10 12:33 . 2009-02-10 12:33 7,680 --ahs---- c:\windows\Thumbs.db 2009-02-10 12:33 . 2009-02-10 12:33 6,144 --ahs---- C:\Thumbs.db 2009-02-10 11:35 . 2009-02-16 10:07 d-------- c:\archivos de programa\iLinc 2009-02-06 20:28 . 2009-02-06 20:28 4,410,054 --a------ C:\Dibujo.bmp . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-03 18:41 --------- d-----w c:\documents and settings\Fred\Datos de programa\Xfire 2009-03-02 18:50 --------- d-----w c:\documents and settings\Fred\Datos de programa\FileZilla 2009-03-01 19:30 --------- d-----w c:\documents and settings\Fred\Datos de programa\EBP 2009-03-01 19:30 --------- d-----w c:\documents and settings\All Users\Datos de programa\EBP 2009-02-23 12:22 66,872 ----a-w c:\windows\system32\PnkBstrA.exe 2009-02-15 14:33 --------- d-----w c:\archivos de programa\Xfire 2009-02-12 00:00 --------- d-----w c:\documents and settings\All Users\Datos de programa\Microsoft Help 2009-02-07 19:23 --------- d-----w c:\archivos de programa\Lx_cats 2009-02-07 19:19 --------- d-----w c:\documents and settings\Fred\Datos de programa\Azureus 2009-01-13 16:14 --------- d-----w c:\archivos de programa\Webserver Stress Tool 7 2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll 2008-12-13 06:37 3,593,216 ----a-w c:\windows\system32\SET9C.tmp 2008-07-11 14:31 27,976 ----a-w c:\archivos de programa\mozilla firefox\plugins\atgpcdec.dll 2008-07-11 14:31 125,848 ----a-w c:\archivos de programa\mozilla firefox\plugins\atgpcext.dll 2008-07-11 14:32 46,408 ----a-w c:\archivos de programa\mozilla firefox\plugins\atmccli.dll 2008-07-11 14:32 98,712 ----a-w c:\archivos de programa\mozilla firefox\plugins\ieatgpc.dll 2003-08-13 15:31 32 --sha-w c:\windows\{631885D3-74E3-447A-A16A-900AC97C4CDB}.dat 2003-08-13 15:32 32 --sha-w c:\windows\{81185771-2BA5-4135-8670-6B3795441A38}.dat 2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll 2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll 2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll 2008-02-04 19:26 151,040 --sh--w c:\windows\system32\VistaUltm.dll 2003-08-13 15:31 32 --sha-w c:\windows\system32\{49C1EA5A-C7CE-4EE6-A065-9EF8929462AD}.dat 2003-08-13 15:32 32 --sha-w c:\windows\system32\{C5022D85-BA7D-4235-AE39-C717E6E6140E}.dat . ((((((((((((((((((((((((((((( SnapShot@2009-03-02_20.22.12.75 ))))))))))))))))))))))))))))))))))))))))) . + 2009-03-03 16:12:23 884,736 ----a-w c:\windows\gmer.dll + 2008-04-17 20:13:02 811,008 ----a-w c:\windows\gmer.exe + 2009-03-03 16:12:23 85,969 ----a-w c:\windows\system32\drivers\gmer.sys + 2002-09-10 12:00:00 23,424 ----a-w c:\windows\system32\drivers\jvpombdy.sys + 2002-09-10 12:00:00 23,424 ----a-w c:\windows\system32\drivers\xvrordql.sys - 2008-12-02 13:24:48 1,627,888 ----a-w c:\windows\system32\FNTCACHE.DAT + 2009-03-03 15:34:03 1,627,888 ----a-w c:\windows\system32\FNTCACHE.DAT - 2004-08-19 13:43:08 33,280 ----a-w c:\windows\system32\rundll32.exe + 2004-08-19 13:43:08 107,008 ----a-w c:\windows\system32\rundll32.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A2382A63-7F85-4DA4-A23B-166D795B2877}] 2008-11-25 10:30 121600 --a------ c:\windows\system32\cmpropsq.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360] "msnmsgr"="c:\archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5797912] "Picasa Media Detector"="c:\archivos de programa\Picasa2\PicasaMediaDetector.exe" [2008-08-21 513600] "Google Update"="c:\documents and settings\Fred\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" [2008-09-06 210928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="c:\archivos de programa\Apoint\Apoint.exe" [2003-06-13 192512] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4612096] "HKSERV.EXE"="c:\archivos de programa\Sony\HotKey Utility\HKserv.exe" [2003-06-26 167936] "ezShieldProtector for Px"="c:\windows\System32\ezSP_Px.exe" [2002-08-20 118784] "SunJavaUpdateSched"="c:\archivos de programa\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 214416] "LXCICATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCItime.dll" [2006-02-24 73728] "!AVG Anti-Spyware"="c:\archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6800944] "QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" [2008-03-28 491520] "Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 112496] "@OnlineArmor GUI"="c:\archivos de programa\Tall Emu\Online Armor\oaui.exe" [2008-12-13 6223048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360] c:\documents and settings\Fred\Men£ Inicio\Programas\Inicio\ Xfire.lnk - c:\archivos de programa\Xfire\xfire.exe [2009-02-11 3082064] c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\ PowerPanel.lnk - c:\archivos de programa\powerpanel\Program\PcfMgr.exe [2003-08-13 954368] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableTaskMgr"= 1 (0x1) "DisableRegistryTools"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\archiv~1\TALLEM~1\ONLINE~1\oaevent.dll" [2008-12-13 886984] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.XFR1"= xfcodec.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^hp psc 2000 Series.lnk] path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\hp psc 2000 Series.lnk backup=c:\windows\pss\hp psc 2000 Series.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^hpoddt01.exe.lnk] path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\hpoddt01.exe.lnk backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^IEEE 802.11g Wireless LAN Utility.lnk] path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\IEEE 802.11g Wireless LAN Utility.lnk backup=c:\windows\pss\IEEE 802.11g Wireless LAN Utility.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware] --a------ 2007-06-11 10:25 6800944 c:\archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint] --a------ 2005-08-01 07:05 167936 c:\archivos de programa\Lexmark 7300 Series\ezprint.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcimon.exe] --a------ 2005-09-30 09:48 274432 c:\archivos de programa\Lexmark 7300 Series\lxcimon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-10-18 10:34 5797912 c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector] --a------ 2008-08-21 02:18 513600 c:\archivos de programa\Picasa2\PicasaMediaDetector.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-03-28 22:37 491520 c:\archivos de programa\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmaTel StacMon] --a------ 2003-03-26 17:19 118784 c:\archivos de programa\SigmaTel\C-Major Audio\stacmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mouse Suite 98 Daemon] --a------ 2002-03-14 15:46 45056 c:\windows\system32\ico.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "PnkBstrA"=2 (0x2) "IDriverT"=3 (0x3) "gusvc"=3 (0x3) "FLEXnet Licensing Service"=3 (0x3) "EBP Pervasive.SQL"=2 (0x2) "AVG Anti-Spyware Guard"=2 (0x2) "aawservice"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 "UacDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] "AntiVirusOverride"=dword:00000001 "AntiVirusDisableNotify"=dword:00000001 "FirewallDisableNotify"=dword:00000001 "FirewallOverride"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "UacDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Archivos de programa\Microsoft Office\Office12\OUTLOOK.EXE"= "c:\PVSW\Bin\w3dbsmgr.exe"= "c:\Archivos de programa\eMule\emule.exe"= "c:\Archivos de programa\Azureus\Azureus.exe"= "c:\Archivos de programa\Bonjour\mDNSResponder.exe"= "c:\Archivos de programa\RhinoSoft.com\Serv-U\ServUDaemon.exe"= "c:\xd\msnn.exe.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Archivos de programa\Conference\Conference.dll"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Archivos de programa\Messenger\msmsgs.exe"= "c:\Archivos de programa\PlaceCam\PlaceCam.exe"= "c:\Documents and Settings\Fred\Mis documentos\telechargements\Setup\SetupWizard.exe"= "c:\Archivos de programa\Wolfenstein - Enemy Territory\ETDED.exe"= "c:\Archivos de programa\Xfire\xfire.exe"= "c:\Documents and Settings\Fred\Mis documentos\FPD\visio.exe"= "c:\Documents and Settings\Fred\Mis documentos\FPD\visio_server.exe"= "c:\Archivos de programa\America's Army\System\ArmyOps.exe"= "c:\Archivos de programa\Enemy Territory\ET.exe"= "c:\Documents and Settings\Fred\Mis documentos\FPD\visio_client.exe"= "c:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe"= c:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe "c:\Archivos de programa\Windows Live\Messenger\livecall.exe"= "c:\FPDCEFOIM\visio.exe"= "c:\Documents and Settings\Fred\Escritorio\PDFEdit.exe"= "c:\Documents and Settings\Fred\Mis documentos\telechargements\visio.exe"= "c:\Documents and Settings\Fred\Mis documentos\telechargements\visio(2).exe"= "c:\Documents and Settings\Fred\Escritorio\visio.exe"= "c:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"= "c:\Archivos de programa\powerpanel\Program\PcfMgr.exe"= "c:\Documents and Settings\Fred\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe"= "c:\Archivos de programa\Apoint\Apoint.exe"= "c:\Archivos de programa\Picasa2\PicasaMediaDetector.exe"= "c:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe"= "c:\Archivos de programa\Mozilla Firefox\firefox.exe"= "c:\Archivos de programa\Sony\HotKey Utility\HKserv.exe"= "c:\Archivos de programa\Windows Live\Messenger\usnsvc.exe"= "c:\Archivos de programa\Apoint\Apntex.exe"= "c:\ComboFix\NirCmd.cfexe"= "c:\Archivos de programa\Java\jre1.6.0_02\bin\jucheck.exe"= "c:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe"= "c:\WINDOWS\System32\ezSP_Px.exe"= "c:\Archivos de programa\Sony\HotKey Utility\HKWnd.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5600:UDP"= 5600:UDP:*:Disabled:PlaceCam Port "3478:UDP"= 3478:UDP:*:Disabled:PlaceCam Stun Port "3479:UDP"= 3479:UDP:*:Disabled:PlaceCam Stun Port R0 xvrordql;xvrordql;c:\windows\system32\drivers\xvrordql.sys [2003-08-13 23424] R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [2009-03-02 178376] R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [2009-03-02 30920] R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [2009-03-02 28872] R2 OAcat;Online Armor Helper Service;c:\archivos de programa\Tall Emu\Online Armor\oacat.exe [2009-03-02 1402568] R2 SvcOnlineArmor;Online Armor;c:\archivos de programa\Tall Emu\Online Armor\oasrv.exe [2009-03-02 3321032] R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\llligk.sys --> c:\windows\system32\drivers\llligk.sys [?] R3 dfmirage;dfmirage;c:\windows\system32\drivers\dfmirage.sys [2008-07-12 31896] R3 HSFHWSIS;HSFHWSIS;c:\windows\system32\drivers\HSFHWSIS.sys [2003-08-13 156288] R3 SPI;Sony Programmable I/O Control Device;c:\windows\system32\drivers\SonyPI.sys [2002-10-30 71961] S2 aawserviceNVSvc;Ad-Aware 2007 Service aawserviceNVSvc;ð%€|x srv --> ð%€|x srv [?] S2 EventSystemNla;Sistema de sucesos COM+ EventSystemNla;ð%€|x srv --> ð%€|x srv [?] S2 FastUserSwitchingCompatibilitywuauserv;Compatibilidad de cambio rápido de usuario FastUserSwitchingCompatibilitywuauserv;ð%€|x srv --> ð%€|x srv [?] S2 RasManLmHosts;Administrador de conexión de acceso remoto RasManLmHosts;ð%€|x srv --> ð%€|x srv [?] S2 RasManodserv;Administrador de conexión de acceso remoto RasManodserv;ð%€|x srv --> ð%€|x srv [?] S2 VSSNVSvc;Instantáneas de volumen VSSNVSvc;ð%€|x srv --> ð%€|x srv [?] S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\archivos de programa\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-17 7168] S3 lxci_device;lxci_device;c:\windows\system32\lxcicoms.exe -service --> c:\windows\system32\lxcicoms.exe -service [?] S3 pelmouse;Mouse Suite Driver;c:\windows\system32\drivers\PELMOUSE.SYS [2003-08-13 17251] S3 pelusblf;USB Mouse Low Filter Driver;c:\windows\system32\drivers\PELUSBlf.SYS [2003-08-13 7520] S3 WLAN_DCB;IEEE 802.11g Wireless LAN CardBus Driver;c:\windows\system32\drivers\WLANDCB.sys [2007-09-10 56416] S4 EBP Pervasive.SQL;EBP Pervasive.SQL;c:\pvsw\Bin\WGE_SRV.exe [2006-12-07 106496] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7028573a-78b7-11dc-9b80-080046b2c7e5}] \ShEll\auTOplAY\COmMand - E:\ikyejn.exe \ShEll\AutoRun\command - E:\ikyejn.exe \ShEll\ExploRE\cOMMANd - E:\ikyejn.exe \ShEll\open\ComManD - E:\ikyejn.exe . Contents of the 'Scheduled Tasks' folder 2009-03-03 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57] 2008-03-14 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1194468960.job - c:\archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 17:56] 2009-03-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2763177607-299837642-3644029127-1005.job - c:\documents and settings\Fred\Configuraci [] . . ------- Supplementary Scan ------- . uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 mWindow Title = IE: &Search - ?p=ZNfox000 IE: E&xporter vers Microsoft Excel - c:\archiv~1\MICROS~3\Office12\EXCEL.EXE/3000 Trusted Zone: sony-europe.com Trusted Zone: sonystyle-europe.com Trusted Zone: vaio-link.com TCP: {6F65E989-FAC2-4202-A7DE-94A7DB3779D0} = 80.58.0.33,80.58.32.97 TCP: {DE4CA5EB-0BE9-456F-8A32-390BF6516B54} = 80.58.61.254,80.58.61.250 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe DPF: {E901098E-6B97-485A-B712-9908683F5E9E} - hxxp://www.instantpresenter.com/components/CosNetWebConference.cab FF - ProfilePath - c:\documents and settings\Fred\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\ FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npatgpc.dll FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\NPCltInstall.dll FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npzylomgamesplayer.dll FF - plugin: c:\archivos de programa\Picasa2\npPicasa2.dll FF - plugin: c:\documents and settings\All Users\Datos de programa\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\documents and settings\Fred\Datos de programa\Mozilla\Firefox\Profiles\w8j9wo5j.default\extensions\DimdimPublisher@dimdim.com\plugins\npDimdimControl.dll ---- FIREFOX POLICIES ---- FF - user.js: capability.policy.policynames - allowclipboard FF - user.js: capability.policy.allowclipboard.sites - hxxp://www.orange.es http://web.orange.es FF - user.js: capability.policy.allowclipboard.Clipboard.cutcopy - allAccess FF - user.js: capability.policy.allowclipboard.Clipboard.paste - allAccess. ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-03 21:04:38 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run LXCICATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aawserviceNVSvc] "ImagePath"="ð%€|x\[u]0/u1\[u]0/u9 srv" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EventSystemNla] "ImagePath"="ð%€|x\[u]0/u1\[u]0/u9 srv" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver] "ImagePath"="\??\c:\archivos de programa\Lavalys\EVEREST Home Edition\kerneld.wnt" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FastUserSwitchingCompatibilitywuauserv] "ImagePath"="ð%€|x\[u]0/u1\[u]0/u9 srv" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasManLmHosts] "ImagePath"="ð%€|x\[u]0/u1\[u]0/u9 srv" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasManodserv] "ImagePath"="ð%€|x\[u]0/u1\[u]0/u9 srv" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VSSNVSvc] "ImagePath"="ð%€|x\[u]0/u1\[u]0/u9 srv" . Completion time: 2009-03-03 21.10.09 ComboFix-quarantined-files.txt 2009-03-03 20:09:57 ComboFix2.txt 2009-03-02 19:25:26 Pre-Run: 6.999.879.680 bytes libres Post-Run: 6,932,033,536 bytes libres 304 --- E O F --- 2009-02-25 21:52:20

larsene57 · Answer

je c'est qu'avira antivir peut le supprimer ;
http://www.avira.com/fr/threats/section/fulldetails/id_vir/4479/w32_sality.y.html

pour le téléchargez ; (en français)
http://www.commentcamarche.net/telecharger/telecharger 55 antivir personal

après l'avoir installer, fais "exécuter", tape "msconfig" et met "démarrage en mode sans échec" dans l'onglet "démarrer" puis fais une analyse avira antivir. j'espère que ton problèmes est résolus.

madmec · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:46, on 14/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Menara\dslmon.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
C:\Program Files\SigmaTel\C-Major Audio\DellXPM_5515v131\WDM\StacSV.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Google\Update\Download\{C9F3DE28-B405-4822-9E86-A77D98835C54}\chrome_updater.exe
C:\WINDOWS\Temp\CR_1C.tmp\setup.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/spresults.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.bing.com/?mkt=en-us&fdr=lc&toHttps=1&redig=E594EAA1B2B6456AB8E96DE14DB15E57
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_1_2_1.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe (file missing)
O23 - Service: Broadcom ASF IP and SMBIOS Mailbox Monitor (ASFIPmon) - Broadcom Corporation - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PCTimeWatch (PTWsvc) - MainSoft - C:\Program Files\MainSoft\PC TimeWatch\PTWsvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\DellXPM_5515v131\WDM\StacSV.exe
O23 - Service: Software Generic Host Process for Win32 Services (SVCHOST) - Unknown owner - C:\WINDOWS\System\svchost.exe (file missing)

Infection win32/sality.y. Que faire?

32 réponses

Votre réponse

Discussions similaires

Newsletters