Sujet Précédent Sujet Suivant

Virus spyware, sites redirigés, faux antiviru

Fermé
glamiria - 14 août 2009 à 01:33
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 - 14 août 2009 à 18:00
Bonjour,
Ceci ne va pas vous étonner mais j'ai un grave problème de virus :)
Il y a quelques temps mes liens sur google ont commencé à être dirigés vers des sites commerciaux ou des sites pornos.
Une fenêtre "windows internet security" s'affiche souvent pour me proposer d'installer un anti virus de windows (online protection tool).
Si par exemple je fais semblant de vouloir le télécharger celui ci me dit qu'il vient du site: www.infonamerz.com

Entre temps j'ai fait quelques HiJackThis pour essayer de détecter le problème mais rien.
J'ai un anti virus ESET NOD32 mais je n'arrive pas à trouver l'origine avec.

Depuis j'ai tenté une restauration système mais je ne peux cliquer avec succès sur "suivant" pour le lancer.

Mais bien sur ça ne s'arrête pas en si bon chemin.
Mon ami a eu la bonne idée de cliquer sur la fenêtre me proposant de télécharger l'antivirus...et l'a ouvert.
Depuis dans mon centre de sécurité mon antivirus est désactivé et je ne peux plus l'activer. je reçois des messages d'alerte me disant que mon pc est infecté de spyware et me propose de cliquer pour enregistrer une copie de WiniShield. Ajouter à cela deux fenêtre à droite et à gauche pour m'annoncer des virus et me proposer d'installer WiniShield.

Aidez moi!!!!

Voici mon HiJackThis:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:21:35, on 14/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Program Files\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\CYRIEL~1\LOCALS~1\Temp\ptbwj3vm.exe
C:\WINDOWS\system32\Restore\rstrui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\C D\Mes documents\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DMHotKey] C:\Program Files\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ptbwj3vm.exe] C:\WINDOWS\system32\ptbwj3vm.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupControlXP Class) - https://nantes.metagate.francetelecom.com/dana-cached/setup/JuniperSetupSP1.cab
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)
A voir également:

9 réponses

Réponse 1 / 9
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
14 août 2009 à 18:00
Très bien, ton ordinateur n'est plus infecté :)

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur

• Logiciels de protection :
* Installe Spybot (décoche le TeaTimer lors de l'installation). Mets le à jour une fois par semaine, et fais les vaccinations à chaque fois.
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Internet Explorer n'est pas à jour, c'est une grosse faille de sécurité !
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas, télécharge et installe IE 8 depuis ce lien : IE 8
Si ça ne fonctionne pas, consulte cette astuce

• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

• Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)

• Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) → lance l'installation avec les paramètres par défaut → Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir → Double clique sur le raccourci USBFix sur ton Bureau → Au menu principal, choisis l'option 3 (Vaccination).



2) Relance Hijackthis (pour la dernière fois), choisis "Do a system scan only" et coche les lignes suivantes qui sont inutiles :

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"



3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé.
Lance le puis clique sur Recherche et patiente pendant le scan. A la fin, clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner, puis lance le.
Clique sur Option → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)
1
Réponse 2 / 9
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
14 août 2009 à 01:50
Bonjour,


L'infection est là (n'essaye pas de la supprimer manuellement ou avec Hijackthis !) :

C:\DOCUME~1\CYRIEL~1\LOCALS~1\Temp\ptbwj3vm.exe
O4 - HKCU\..\Run: [ptbwj3vm.exe] C:\WINDOWS\system32\ptbwj3vm.exe



• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

0
Réponse 3 / 9
glamiria
14 août 2009 à 02:06
Voici le rapport
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2618
Windows 5.1.2600 Service Pack 3

14/08/2009 02:01:49
mbam-log-2009-08-14 (02-01-49).txt

Type de recherche: Examen rapide
Eléments examinés: 83743
Temps écoulé: 4 minute(s), 17 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\MSIVXcount (Trojan.Agent) -> Delete on reboot.
0
Réponse 4 / 9
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
14 août 2009 à 02:16
Bonjour,


Peux-tu stp envoyer un fichier aux concepteurs de MalwareBytes :

• Rends toi sur ce site : http://uploads.malwarebytes.org/
• En face de "File 1", clique sur "Parcourir".
• Navigue jusqu'au fichier suivant et valide : C:\WINDOWS\system32\ptbwj3vm.exe
• Puis clique sur "Upload" et patiente.

Si tu ne trouves pas le fichier, affiche les fichiers cachés et réessaye :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.



Ensuite, on va utiliser un autre programme :

/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helper du forum qui connait bien cet outil vous l'a recommandé.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
glamiria
14 août 2009 à 02:50
Log combofix:

ComboFix 09-08-10.06 - C D 14/08/2009 2:30.1.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.715 [GMT 2:00]
Running from: c:\documents and settings\C D\Bureau\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Created a new restore point
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-1214440339-764733703-1644491937-1003
c:\windows\102zthreat8599.dll
c:\windows\10390trzj955.exe
c:\windows\10529no9-a-5irus71z.bin
c:\windows\10650viz5s3c79.ocx
c:\windows\1085z9acktool5e.dll
c:\windows\10957vzrus91.exe
c:\windows\1098addwa5z15079.bin
c:\windows\10d4threzt29553.ocx
c:\windows\11060zp5mbot9f8.dll
c:\windows\11314h5c9tool22z.dll
c:\windows\11345vi9us45z.exe
c:\windows\11395hacktoz59ec.bin
c:\windows\11598trojd2z.bin
c:\windows\11939not-a9vz5us40.exe
c:\windows\12598spa5zot43a.cpl
c:\windows\129555ot-a-zirus92d.bin
c:\windows\12zbspyw9r52001.cpl
c:\windows\13501tz9j35e.ocx
c:\windows\13827ha5kt9olz57.exe
c:\windows\1396s5z4df.bin
c:\windows\13z51w9rm74c.cpl
c:\windows\14160z59j362.dll
c:\windows\144375za9bot289.exe
c:\windows\145275ir9s57fz.ocx
c:\windows\149e5zckdoor3249.bin
c:\windows\154aspy9are1557z.ocx
c:\windows\15574t9oz48b.ocx
c:\windows\1569zwormfa.ocx
c:\windows\1595spambotz12.exe
c:\windows\159709zcktool756.bin
c:\windows\15ec9hreat1550z.ocx
c:\windows\15ezaddwa9e2327.bin
c:\windows\15z59troj2c4.exe
c:\windows\16094hackto9l5za.dll
c:\windows\16544hacktzo54c9.ocx
c:\windows\16656s9y55z.ocx
c:\windows\169689ackt5ol39z.bin
c:\windows\170835r9jz0f.ocx
c:\windows\170z3vir5s5119.cpl
c:\windows\1773zh9cktool2a5.ocx
c:\windows\17a5download5z3939.bin
c:\windows\18355hackt9olz45.ocx
c:\windows\1896959rus6f3z.exe
c:\windows\190zthi9f1153.ocx
c:\windows\19275troz254.ocx
c:\windows\19286v9rusz0a5.exe
c:\windows\1931not-a-viruz64b5.ocx
c:\windows\19335vi9uz556.ocx
c:\windows\19337noz9a5virus359.bin
c:\windows\1945znot-a-virus27c.bin
c:\windows\1949not-a-5irus9c4z.bin
c:\windows\198zsp5rse698.cpl
c:\windows\19952zroj329.ocx
c:\windows\19b9dow59oazer414.bin
c:\windows\19eczownlo5der2895.ocx
c:\windows\1bc8spz9are25495.exe
c:\windows\1ce5threa520917z.dll
c:\windows\1d53ztea516499.bin
c:\windows\1df9sp5rse26z6.bin
c:\windows\1ezbsp9w5re3239.dll
c:\windows\1z0845p9696.cpl
c:\windows\1z443v9r5s689.bin
c:\windows\1z597virus147.exe
c:\windows\1z977tr5ja9.ocx
c:\windows\200azdwa9e5620.exe
c:\windows\202z5spy5a39.ocx
c:\windows\202z5troj796.dll
c:\windows\2091zwo5m54.dll
c:\windows\20959spamzot179.bin
c:\windows\20z6s5eal1495.cpl
c:\windows\210695roj6z7.exe
c:\windows\21198nzt-a-virus95.cpl
c:\windows\2155sp9warz550.ocx
c:\windows\2174zh9ef954.cpl
c:\windows\22089szy7845.ocx
c:\windows\22750spambzt58d9.ocx
c:\windows\22z6spar952789.exe
c:\windows\23665w5z9444.dll
c:\windows\239spar5ez276.cpl
c:\windows\23z59hackto9l2a.bin
c:\windows\2406zvir59334.cpl
c:\windows\2409t59ezt2311.bin
c:\windows\24145notza9virus655.exe
c:\windows\24565ha9ktzol678.dll
c:\windows\24580t9oz87.cpl
c:\windows\24zdsp5wa9e1337.exe
c:\windows\25170hazktool5cb9.bin
c:\windows\253cspywzre2928.exe
c:\windows\255zspy9are154.dll
c:\windows\256es9arse667z.dll
c:\windows\25851hacktooz916.bin
c:\windows\25929sz5933.exe
c:\windows\25b0dow9lo5dez2559.cpl
c:\windows\26059wozm4925.ocx
c:\windows\2619759cktool4z0.bin
c:\windows\26375hzcktoold9.cpl
c:\windows\263ft9reat54z95.exe
c:\windows\26a6sz5ware1539.exe
c:\windows\26b8zdd9ar542.bin
c:\windows\26b9viz2555.ocx
c:\windows\27023hacktoo92d5z.ocx
c:\windows\2741zt95j582.ocx
c:\windows\27590wor5658z.ocx
c:\windows\2779do5nlozder2355.bin
c:\windows\2833not-9-vzr5s575.ocx
c:\windows\28511spambzt519.cpl
c:\windows\2856d9wnloader29z9.exe
c:\windows\287zspywar59504.bin
c:\windows\29191zroj588.cpl
c:\windows\29475spamzot9ec.cpl
c:\windows\29580hacktzol3695.exe
c:\windows\295cth9ef6z75.cpl
c:\windows\29642not-z-virus5755.ocx
c:\windows\296z65acktoo9330.exe
c:\windows\2986ba5kdoor2147z.bin
c:\windows\2az295reat3571.ocx
c:\windows\2c55s9ezl2552.cpl
c:\windows\2c80zownl9ader1045.cpl
c:\windows\2d5zthreat12959.exe
c:\windows\2dd6download9rz15.dll
c:\windows\2f11s5arsz3259.ocx
c:\windows\2f43sp5rs9256z.cpl
c:\windows\2z8bdo9nlo5der1196.ocx
c:\windows\2z9do5nloader1861.cpl
c:\windows\30z8troj985.exe
c:\windows\30z91s5y465.exe
c:\windows\31295zrojf1.exe
c:\windows\31965virus66z.ocx
c:\windows\3199stz5l913.dll
c:\windows\31zaste9l11645.bin
c:\windows\3200tz5eat9599.bin
c:\windows\3291spazse13485.cpl
c:\windows\32z565pambot69d.ocx
c:\windows\33b2zac9doo51095.bin
c:\windows\3413add9ar52z18.ocx
c:\windows\345zspy139.ocx
c:\windows\3491thi5fz873.bin
c:\windows\3655downl5a9er12z.ocx
c:\windows\3715z9r468.bin
c:\windows\37e4s5eal1393z.ocx
c:\windows\390ddoznloader2574.bin
c:\windows\3950hack5ool2ffz.cpl
c:\windows\3956steal3250z.exe
c:\windows\39592sp5mbzt3d6.cpl
c:\windows\39795acktzolc8.exe
c:\windows\3998addware21z5.cpl
c:\windows\39des5y9are553z.cpl
c:\windows\39f2downlzader19775.dll
c:\windows\39ze5par9e1719.cpl
c:\windows\3accz5r9146.cpl
c:\windows\3b9bbackdoor2529z.cpl
c:\windows\3c25threaz99051.exe
c:\windows\3ccz9hief2506.cpl
c:\windows\3d5zbackdo5r59.bin
c:\windows\3e91t5zeat4816.bin
c:\windows\3f8fbackdz5r2696.exe
c:\windows\3z335par9e1177.ocx
c:\windows\3z505pyware1559.cpl
c:\windows\3z55steal9528.cpl
c:\windows\3z89worm2b5.exe
c:\windows\3z950spy93c.dll
c:\windows\42c2backdz59911.bin
c:\windows\4514zroj4e79.bin
c:\windows\4527hz9kto5l2ac.ocx
c:\windows\4531baczdo5r1916.ocx
c:\windows\459estea5z73.ocx
c:\windows\45ccvirz921.ocx
c:\windows\4606zo5-a-virus9dc.exe
c:\windows\46339paz5e3242.ocx
c:\windows\4835d9wnlzader783.cpl
c:\windows\48e75ddwa9ez576.bin
c:\windows\4916spywarez554.bin
c:\windows\493esparsez953.exe
c:\windows\494dz5r322.exe
c:\windows\499z9hreat16656.bin
c:\windows\4az4sp5rse749.dll
c:\windows\4b0addwa9z555.bin
c:\windows\4c9stea5214z9.exe
c:\windows\4d6fsp5w9ze1292.ocx
c:\windows\4d8ed5w9loader99z.bin
c:\windows\4eb7bzckdo5r9485.ocx
c:\windows\4fd8bazkd5or2297.dll
c:\windows\4z13vi95069.ocx
c:\windows\4z4cdo5nloader2905.dll
c:\windows\4z5fvir1799.cpl
c:\windows\4z94addwa9e855.dll
c:\windows\4z95addw5re1704.exe
c:\windows\50017hackzoolc9.bin
c:\windows\5017stealz949.dll
c:\windows\50617s9y5z5.ocx
c:\windows\506s9y4z.dll
c:\windows\50a9ownloazer1454.dll
c:\windows\50z8not-a-v9rus12.exe
c:\windows\51829hzef3035.exe
c:\windows\52482not-a-virus9z9.exe
c:\windows\528ed9wnlzader1339.bin
c:\windows\52dezpa5se993.bin
c:\windows\52z05spamb9t4a.ocx
c:\windows\531ftzi9f1699.dll
c:\windows\5358zroj5c9.dll
c:\windows\5391zir1133.exe
c:\windows\53z5sp5rse2691.exe
c:\windows\5463zpamb5t56b9.exe
c:\windows\54f9ownloaderz678.cpl
c:\windows\5511spambz953b.cpl
c:\windows\5527vi9us250z.exe
c:\windows\554dspywarez9959.cpl
c:\windows\555cspyw5rz3789.dll
c:\windows\556tz59f1577.bin
c:\windows\5572worm29bz.ocx
c:\windows\557znot9a-virus6d9.exe
c:\windows\559dt9izf763.cpl
c:\windows\55e2addwzre4859.exe
c:\windows\55e9thief787z.bin
c:\windows\5624w9rm7f9z.exe
c:\windows\5717zpamb952b1.exe
c:\windows\57429pz545.ocx
c:\windows\5769sparse2466z.cpl
c:\windows\5855spazse669.ocx
c:\windows\5890dow5loazer1501.cpl
c:\windows\589569pambzt1a9.exe
c:\windows\58dzparse9576.bin
c:\windows\590289py5bz.cpl
c:\windows\5969threatz66605.ocx
c:\windows\59910szy2e2.dll
c:\windows\59d3threat11855z.ocx
c:\windows\5b0addwarez039.cpl
c:\windows\5bbzs9yware167.dll
c:\windows\5bd5ste9l1z05.bin
c:\windows\5bdbsz5wa9e1579.ocx
c:\windows\5d0ddown5ozder9538.ocx
c:\windows\5e2cthi9f8z6.cpl
c:\windows\5ea7addwzr91534.bin
c:\windows\5ez6vi95364.dll
c:\windows\5f2a5pz9se1326.exe
c:\windows\5f98s5yware1355z.ocx
c:\windows\5z192troj787.cpl
c:\windows\5z61virus1f9.ocx
c:\windows\60f5zpa9se2586.bin
c:\windows\6112th9eat505z6.ocx
c:\windows\62zb5ir799.cpl
c:\windows\633dthrz5t16957.ocx
c:\windows\6345spyware189z9.dll
c:\windows\63c9addwarz5013.bin
c:\windows\63z0ad9ware1557.exe
c:\windows\6504z9yware2995.cpl
c:\windows\6516hac5zool695.bin
c:\windows\65599ddwaze396.bin
c:\windows\659baddware909z.exe
c:\windows\65a5vir25z59.bin
c:\windows\65e7th9eaz12660.exe
c:\windows\65ez59r974.ocx
c:\windows\6649no95a-virzsdc.ocx
c:\windows\6698spa59z2343.cpl
c:\windows\676ctzrea591035.bin
c:\windows\693zsteal955.exe
c:\windows\6959roj4ze.bin
c:\windows\695zdownl9ader1331.exe
c:\windows\6970spz5se2671.bin
c:\windows\69z4ha5ktool29b.ocx
c:\windows\6b13thi9f565z.dll
c:\windows\6bz1th5ea927529.cpl
c:\windows\6c6c5hief90z.ocx
c:\windows\6d1d9hreat5568z.ocx
c:\windows\6dz9spy5are1022.exe
c:\windows\6f2f5ddw9re1z73.cpl
c:\windows\6f67thre5t1929z.exe
c:\windows\7098vir9z545.ocx
c:\windows\72b5backdoor249z5.ocx
c:\windows\7318v5r9z03.bin
c:\windows\7349sp5war9z101.exe
c:\windows\7358spambot9bz.cpl
c:\windows\7375down9oadez865.ocx
c:\windows\7402tzreat96599.exe
c:\windows\740a5zreat3097.exe
c:\windows\75eezpy9are2116.bin
c:\windows\7624not-a-vir5s5cz9.bin
c:\windows\7657zp9ware3236.dll
c:\windows\76995r9jz04.ocx
c:\windows\7699zpy45d.dll
c:\windows\77z15ddwa9e2520.cpl
c:\windows\7897vzr5200.ocx
c:\windows\7915thizf1875.cpl
c:\windows\7966bazkdoor2395.ocx
c:\windows\7979spambot759z.bin
c:\windows\797est5a9z040.ocx
c:\windows\79e7spyw9rz1625.bin
c:\windows\7a93backdo5r149z.bin
c:\windows\7a9zvi51749.cpl
c:\windows\7b2v9rz155.ocx
c:\windows\7c59ste5z1578.exe
c:\windows\7c9virz559.dll
c:\windows\7f5as5ea91z95.cpl
c:\windows\7fed9ackdzor577.cpl
c:\windows\8511zacktoo9751.dll
c:\windows\8592wozm491.dll
c:\windows\885zt9oj465.exe
c:\windows\8909zr5at15589.bin
c:\windows\9075hief10z9.cpl
c:\windows\91519wo5m44z.bin
c:\windows\91z24hack5ool3e9.cpl
c:\windows\91z595ot-a-virus57c.cpl
c:\windows\9235hacktz5l2f5.bin
c:\windows\9255wzr9dd.ocx
c:\windows\93502n5t-a-vzrus82.cpl
c:\windows\93dat5iez1165.cpl
c:\windows\93f65ddwarez43.dll
c:\windows\94502w5rm75z.dll
c:\windows\94zv9r458.ocx
c:\windows\95153hacztool41e.cpl
c:\windows\951ath5eat65z5.bin
c:\windows\95696virus4cz.exe
c:\windows\96039wzrm2665.cpl
c:\windows\96344zorm4e5.cpl
c:\windows\96bspzware5603.ocx
c:\windows\973705orza9.bin
c:\windows\973zworm7555.ocx
c:\windows\97599orm2az5.cpl
c:\windows\98367z5t-a-virus26b.exe
c:\windows\9907vi5usfz.dll
c:\windows\9957thief8z9.dll
c:\windows\9963wo9mz55.dll
c:\windows\9995not-a-v5rus1z4.cpl
c:\windows\99fc5pyware37z.bin
c:\windows\99z3spam5ot6f59.bin
c:\windows\9a87thre5z24567.exe
c:\windows\9cazbackd5or1757.ocx
c:\windows\9e98s5arse172z.exe
c:\windows\ca3stzal25559.cpl
c:\windows\caes5zware2984.bin
c:\windows\d09stea52z42.bin
c:\windows\d57bzckdoo929885.ocx
c:\windows\eefth9eaz25448.ocx
c:\windows\msetup
c:\windows\msetup\MSetup.exe
c:\windows\system32\10141vz9us765.ocx
c:\windows\system32\10948z5y775.cpl
c:\windows\system32\1094ztr5j6ce.bin
c:\windows\system32\10back59or1126z.bin
c:\windows\system32\1125zha9ktoo5af.ocx
c:\windows\system32\11584worm9az.dll
c:\windows\system32\11954s5azb9t156.exe
c:\windows\system32\1199thizf541.bin
c:\windows\system32\12469z9oj25.dll
c:\windows\system32\129659py2z2.exe
c:\windows\system32\12999worz55d.bin
c:\windows\system32\129csparse55z4.bin
c:\windows\system32\134z5tr9j1a9.cpl
c:\windows\system32\137815ro963cz.exe
c:\windows\system32\13954s9y6z5.dll
c:\windows\system32\13eazpywa952340.exe
c:\windows\system32\13z59wo9m445.bin
c:\windows\system32\14545spz339.exe
c:\windows\system32\145z5vi5us968.dll
c:\windows\system32\14620zp9535.cpl
c:\windows\system32\1467no5-a-virzs907.dll
c:\windows\system32\147z1spy935.cpl
c:\windows\system32\14996spy1z05.ocx
c:\windows\system32\14acdownloade95459z.cpl
c:\windows\system32\14ad59r15z3.bin
c:\windows\system32\15011not-a-zir9s580.ocx
c:\windows\system32\15066s5a9bot68z.bin
c:\windows\system32\15429vir5s9dz.exe
c:\windows\system32\1555s9yz88.ocx
c:\windows\system32\155z9spy6039.bin
c:\windows\system32\15700vzrus2d9.bin
c:\windows\system32\1579addwarz368.exe
c:\windows\system32\157threzt99605.ocx
c:\windows\system32\15b6azdware1239.dll
c:\windows\system32\15z165pa9bot16a.dll
c:\windows\system32\15z95worm26f5.dll
c:\windows\system32\1645st9az64.dll
c:\windows\system32\16543zpy290.dll
c:\windows\system32\16e4do5nzoader9550.cpl
c:\windows\system32\16f5v9r247z.ocx
c:\windows\system32\174vir9s5dz.dll
c:\windows\system32\18997hackto5l5ze.bin
c:\windows\system32\18espywz951792.dll
c:\windows\system32\1914spz5are17569.ocx
c:\windows\system32\195125ozm5749.cpl
c:\windows\system32\19543zpy465.cpl
c:\windows\system32\19598viru55z0.cpl
c:\windows\system32\19625not-a-virusz56.exe
c:\windows\system32\1995zworm43d.dll
c:\windows\system32\19979sp56z.cpl
c:\windows\system32\1999zworm4875.ocx
c:\windows\system32\19c5z9wn5oader1121.ocx
c:\windows\system32\19z13t5o95f4.bin
c:\windows\system32\19z9troj155.bin
c:\windows\system32\1a9fstzal1056.dll
c:\windows\system32\1az5s9eal3063.bin
c:\windows\system32\1e8zth95f456.exe
c:\windows\system32\1e965irz934.dll
c:\windows\system32\1f6b5h9efz09.bin
c:\windows\system32\1fabstezl9556.exe
c:\windows\system32\1fff5owzloader96.ocx
c:\windows\system32\1z953troj95d.bin
c:\windows\system32\1ze8v5r1029.bin
c:\windows\system32\1zf9st9a52855.bin
c:\windows\system32\2009vz5710.ocx
c:\windows\system32\2010zhack9o5l3a4.dll
c:\windows\system32\203z0wor9656.dll
c:\windows\system32\211dszars98865.ocx
c:\windows\system32\21906ha5ktool5z2.ocx
c:\windows\system32\2228zot-a-vir5s196.ocx
c:\windows\system32\22659noz-a-v5rus79.cpl
c:\windows\system32\22999hackto5l6z.bin
c:\windows\system32\2304zviru5779.dll
c:\windows\system32\23352sp97z7.cpl
c:\windows\system32\233fsparse129z5.bin
c:\windows\system32\233z95pambot579.cpl
c:\windows\system32\23930spambotz55.dll
c:\windows\system32\239bthr9at7517z.bin
c:\windows\system32\24189wor51z5.bin
c:\windows\system32\24563not-z9vir5s5f.ocx
c:\windows\system32\245btzreat91737.cpl
c:\windows\system32\245z9d5ware736.ocx
c:\windows\system32\25017s9ambzt3b5.ocx
c:\windows\system32\250659roj5z9.bin
c:\windows\system32\25090spz5c39.dll
c:\windows\system32\255119ozm495.dll
c:\windows\system32\25539trzj745.cpl
c:\windows\system32\25908zpy610.exe
c:\windows\system32\259865roj5cz.cpl
c:\windows\system32\25z6hac9tool253.dll
c:\windows\system32\262829iruszfb5.cpl
c:\windows\system32\26625not-a-zirus259.dll
c:\windows\system32\26883hackt95l3ez.bin
c:\windows\system32\26950wozm385.cpl
c:\windows\system32\269b5ckdoorz532.cpl
c:\windows\system32\27153wor95z.dll
c:\windows\system32\275zvir9959.bin
c:\windows\system32\276z9s5y651.cpl
c:\windows\system32\27754z9rm2ed.cpl
c:\windows\system32\27920sp5z91.bin
c:\windows\system32\279359pz5d85.ocx
c:\windows\system32\280vi9162z5.ocx
c:\windows\system32\2838szar5957.cpl
c:\windows\system32\2894back5ozr2670.bin
c:\windows\system32\289559irus315z.dll
c:\windows\system32\28971zroj579.dll
c:\windows\system32\28z60s5y9bc.exe
c:\windows\system32\2909py5cz.dll
c:\windows\system32\2915thr95t30z20.dll
c:\windows\system32\292z2spa5bo95a7.ocx
c:\windows\system32\2945addwarez051.ocx
c:\windows\system32\296265orm7ez.cpl
c:\windows\system32\29701z5y144.exe
c:\windows\system32\29804wzrm255.ocx
c:\windows\system32\2985sparse4z9.bin
c:\windows\system32\299z5spy2975.cpl
c:\windows\system32\2a495zckdoor901.ocx
c:\windows\system32\2b625aczd9or2391.ocx
c:\windows\system32\2b75s9arsz25.dll
c:\windows\system32\2c59add5are23z9.exe
c:\windows\system32\2c9cthrezt154489.ocx
c:\windows\system32\2dbzspars91725.bin
c:\windows\system32\2e57szywa9e2909.cpl
c:\windows\system32\2eceadd5arz11899.cpl
c:\windows\system32\2f8ath9e5t22636z.exe
c:\windows\system32\2f9a9t5al3z40.exe
c:\windows\system32\2fz89hief951.exe
c:\windows\system32\2z1795orm259.exe
c:\windows\system32\2z481not-a95irus536.exe
c:\windows\system32\2z5eaddware892.cpl
c:\windows\system32\2z5tro9c1.exe
c:\windows\system32\2z650h9cktooled.cpl
c:\windows\system32\2z699wor5be.ocx
c:\windows\system32\2z955s9ambot356.dll
c:\windows\system32\30356v9rus2ze.ocx
c:\windows\system32\30436spy579z.bin
c:\windows\system32\30556h9ckzool562.ocx
c:\windows\system32\30z95troj14e.cpl
c:\windows\system32\315429zrm130.exe
c:\windows\system32\31991not-a-virusz0a5.dll
c:\windows\system32\31zft5ief14189.bin
c:\windows\system32\320bazd5are9279.bin
c:\windows\system32\322znot-a-viru935d.dll
c:\windows\system32\3390not-az59rus5bc.dll
c:\windows\system32\33f65i916z9.exe
c:\windows\system32\33fz9ddware5728.bin
c:\windows\system32\3411vzru54789.ocx
c:\windows\system32\34e8zownlo9de51529.cpl
c:\windows\system32\3529dow9loaderz1405.ocx
c:\windows\system32\35633szy469.cpl
c:\windows\system32\3899s9ar5e59z.cpl
c:\windows\system32\39745s5yfez.bin
c:\windows\system32\39ca5dware1725z.exe
c:\windows\system32\3a47t5z9at14851.dll
c:\windows\system32\3d3095izf2777.ocx
c:\windows\system32\3dc1szarse19665.cpl
c:\windows\system32\3e059pyware164z.dll
c:\windows\system32\3e55sz9ware590.ocx
c:\windows\system32\3ed5addzar91622.cpl
c:\windows\system32\3f5s9zware2630.dll
c:\windows\system32\3f9zthr9a520437.exe
c:\windows\system32\3fb2s59al2875z.ocx
c:\windows\system32\3z139not-a-virus525.cpl
c:\windows\system32\3z6edownlo5de93122.cpl
c:\windows\system32\404Fix.exe
c:\windows\system32\40c5virz519.ocx
c:\windows\system32\4105wo9m55z.dll
c:\windows\system32\41czsparse10059.exe
c:\windows\system32\4205s9arse1369z.ocx
c:\windows\system32\444downloazer5987.bin
c:\windows\system32\452zno5-a-virus2c9.bin
c:\windows\system32\4598downloader59z.bin
c:\windows\system32\475dbazk95or3035.cpl
c:\windows\system32\4896tro9z75.dll
c:\windows\system32\48cz95r88.dll
c:\windows\system32\494esp5warz1968.bin
c:\windows\system32\4952spambzt95.ocx
c:\windows\system32\4957backdoor26z1.exe
c:\windows\system32\495ddoznloader1997.dll
c:\windows\system32\4975downloade58z0.bin
c:\windows\system32\498e5hr9at30162z.ocx
c:\windows\system32\49d1spy5a9e1z5.bin
c:\windows\system32\49z5spy429.ocx
c:\windows\system32\4aa8s5zrse3099.dll
c:\windows\system32\4b1zvir9951.cpl
c:\windows\system32\4bb25zief891.ocx
c:\windows\system32\4c06a5dwarz6659.dll
c:\windows\system32\4c20s9yw5rez615.bin
c:\windows\system32\4cb1z593268.dll
c:\windows\system32\4cezbackdo5r23919.cpl
c:\windows\system32\4d95down9o5derz815.bin
c:\windows\system32\4dbaa9dware254z.exe
c:\windows\system32\4deastea91652z.ocx
c:\windows\system32\4z52thief31949.ocx
c:\windows\system32\4z85downlo9de5549.dll
c:\windows\system32\50375te9l567z.bin
c:\windows\system32\5065tr9j5fz.cpl
c:\windows\system32\512dadd5aze1697.ocx
c:\windows\system32\51bs9yware1540z.cpl
c:\windows\system32\51t9ief1z79.exe
c:\windows\system32\5246ste9z12665.dll
c:\windows\system32\5303w5r934z.exe
c:\windows\system32\5305zroj5e9.exe
c:\windows\system32\538159ozm72a.bin
c:\windows\system32\5390tro5z69.bin
c:\windows\system32\542add9aze2745.bin
c:\windows\system32\54447hzck9ool91.dll
c:\windows\system32\547bbac9dzor97.ocx
c:\windows\system32\5486virzs39.ocx
c:\windows\system32\5521thiez9993.cpl
c:\windows\system32\5528tro95z.ocx
c:\windows\system32\55756v9ruz799.exe
c:\windows\system32\5585zo9m1d6.cpl
c:\windows\system32\5596zhief1619.ocx
c:\windows\system32\55deadd9zre505.cpl
c:\windows\system32\55f95zeal2338.dll
c:\windows\system32\563ezpars5999.dll
c:\windows\system32\569atzi5f2584.dll
c:\windows\system32\56bas5yw9re20z4.cpl
c:\windows\system32\56c1sze5l3296.bin
c:\windows\system32\5741spz9se2995.exe
c:\windows\system32\57523worz4c9.cpl
c:\windows\system32\57fcth5ea925z6.cpl
c:\windows\system32\5834v5r908z.cpl
c:\windows\system32\583739rzj589.exe
c:\windows\system32\5890vzr9s675.bin
c:\windows\system32\58z5downloa9er619.exe
c:\windows\system32\59426virzs41.cpl
c:\windows\system32\59bfthizf905.cpl
c:\windows\system32\59z5worm391.bin
c:\windows\system32\59zeth9eat3956.ocx
c:\windows\system32\5aa3szywar9856.cpl
c:\windows\system32\5ae0threat8956z.exe
c:\windows\system32\5b9az9eal5913.ocx
c:\windows\system32\5b9s5arze9218.dll
c:\windows\system32\5c5zs9ea51755.exe
c:\windows\system32\5cb2thie9z125.ocx
c:\windows\system32\5ddzbackdoor958.ocx
c:\windows\system32\5df7t9izf2509.cpl
c:\windows\system32\5dz39parse1593.cpl
c:\windows\system32\5dzaste5l28339.cpl
c:\windows\system32\5e2bz5ief9103.cpl
c:\windows\system32\5ed5doznloade91856.exe
c:\windows\system32\5ef5tzie943.ocx
c:\windows\system32\5fb2v9rz10.ocx
c:\windows\system32\6084tzi5f2795.ocx
c:\windows\system32\60dda95wzre3158.cpl
c:\windows\system32\6295s9y59z.ocx
c:\windows\system32\6295thiefz02.bin
c:\windows\system32\62acspzrse1591.cpl
c:\windows\system32\645caddzar93197.ocx
c:\windows\system32\65a0downlo9dez1145.ocx
c:\windows\system32\65e3b9ckdzor67.dll
c:\windows\system32\66bzvir3095.exe
c:\windows\system32\678bstza98005.exe
c:\windows\system32\68509pazb5t388.bin
c:\windows\system32\68aathz5f496.ocx
c:\windows\system32\6992backdoor11z5.dll
c:\windows\system32\6995zroj156.bin
c:\windows\system32\69bzvi51069.dll
c:\windows\system32\6a38ztea95190.bin
c:\windows\system32\6b55downzo5de942.bin
c:\windows\system32\6d01s5ywarez619.bin
c:\windows\system32\6d1zb59kdoor1587.exe
c:\windows\system32\6e2bazdwa952547.cpl
c:\windows\system32\6eb5addware291z.cpl
c:\windows\system32\6fz2sp5rse2194.exe
c:\windows\system32\6z33worm5a39.ocx
c:\windows\system32\6z849teal5530.bin
c:\windows\system32\7027spa9bot39z5.cpl
c:\windows\system32\7027z9r52b6.exe
c:\windows\system32\70439teal215z.bin
c:\windows\system32\70bzsteal94505.dll
c:\windows\system32\70zaspar9e5614.cpl
c:\windows\system32\7156worm57z9.cpl
c:\windows\system32\719cthzeat8456.cpl
c:\windows\system32\71afsp5wa9e2608z.exe
c:\windows\system32\71z5roj79b.cpl
c:\windows\system32\7219stealz556.cpl
c:\windows\system32\7255doznloader11189.exe
c:\windows\system32\7329trzj2ea5.cpl
c:\windows\system32\73659pyzar51920.exe
c:\windows\system32\7489troj755z.dll
c:\windows\system32\7556zparse9931.bin
c:\windows\system32\7647w9zm4d5.cpl
c:\windows\system32\765et95eaz9919.ocx
c:\windows\system32\76fe5ack9oor1z95.exe
c:\windows\system32\77cfazdwa592372.dll
c:\windows\system32\77febac5do9r38z.cpl
c:\windows\system32\7903spar5z1295.ocx
c:\windows\system32\795atzief508.cpl
c:\windows\system32\79675pywaze1076.ocx
c:\windows\system32\7995w9rz130.dll
c:\windows\system32\79aav5rz994.cpl
c:\windows\system32\79e9addwa5e961z.ocx
c:\windows\system32\7b07downlo5der1z59.dll
c:\windows\system32\7bcbspzwa5e1191.exe
c:\windows\system32\7da2s9y5aze76.ocx
c:\windows\system32\7f76sp5zar9995.cpl
c:\windows\system32\7z19spy5are2684.dll
c:\windows\system32\7z44th9eat15118.exe
c:\windows\system32\7z90virus33f5.exe
c:\windows\system32\7z96s9arse1592.dll
c:\windows\system32\80039pamz5t3cd.dll
c:\windows\system32\81athrezt98665.dll
c:\windows\system32\8416zac9to5l3e8.exe
c:\windows\system32\8440spyz259.exe
c:\windows\system32\8923w5zmc1.dll
c:\windows\system32\8998zroj1275.exe
c:\windows\system32\90452spy271z.exe
c:\windows\system32\904625zrm2b7.cpl
c:\windows\system32\9084ha5ktool43z9.exe
c:\windows\system32\9245s5z57c.dll
c:\windows\system32\92975py570z.bin
c:\windows\system32\93297not-a-viruz540.bin
c:\windows\system32\935vi5us391z.ocx
c:\windows\system32\93ezthreat20445.dll
c:\windows\system32\9499not-a-vizus5ae.cpl
c:\windows\system32\951fthreat59z95.bin
c:\windows\system32\9521spamzot203.dll
c:\windows\system32\9527zorm4f9.ocx
c:\windows\system32\9531viruz1845.bin
c:\windows\system32\954spyw9rz1253.cpl
c:\windows\system32\9555vir15z4.cpl
c:\windows\system32\955csteal1z53.exe
c:\windows\system32\9605tr5j59az.exe
c:\windows\system32\964zsparse5426.ocx
c:\windows\system32\999z5pyfd.exe
c:\windows\system32\9a95szarse301.ocx
c:\windows\system32\9dz5stea5285.ocx
c:\windows\system32\9fz2spyware952.dll
c:\windows\system32\9z3b5ir933.ocx
c:\windows\system32\9z420w5rm5c9.bin
c:\windows\system32\9z44s5ambot7f3.dll
c:\windows\system32\9z45acktool6cc.bin
c:\windows\system32\9z95vir1343.bin
c:\windows\system32\9zdasp5ware2300.ocx
c:\windows\system32\aae9zarse504.dll
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\b29addware3055z.ocx
c:\windows\system32\b369ddz5re2041.exe
c:\windows\system32\bf7ste9l5z49.bin
c:\windows\system32\c38viz53229.cpl
c:\windows\system32\drivers\c4f4b22f.sys
c:\windows\system32\drivers\MSIVXejwxrevdjbitqskwkosrqxfmjnevworp.sys
c:\windows\system32\drivers\MSIVXvnssrsnqfvxvkiltitlwmqppetpwowxl.sys
c:\windows\system32\drivers\MSIVXvxvakxiqfoawvblovdnoppfmnmtvooew.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\e32a5dwarz3960.cpl
c:\windows\system32\e57th95f269z.cpl
c:\windows\system32\e79t95ef1z51.exe
c:\windows\system32\e9cspzrse1845.bin
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\MSIVXcount
c:\windows\system32\MSIVXcxrqlyabdweyoylenxogunspopruerft.dll
c:\windows\system32\MSIVXidxyiqxrxjexelwkanyresdpqjykimpp.dll
c:\windows\system32\MSIVXtewrtthkwkfpibeexupwfyaldjuxvbwg.dll
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
c:\windows\system32\z00fdownl5ader179.dll
c:\windows\system32\z02499py85.ocx
c:\windows\system32\z0e3vi92556.dll
c:\windows\system32\z1397wor547c.ocx
c:\windows\system32\z3419spambot578.dll
c:\windows\system32\z35c5hief2946.exe
c:\windows\system32\z3bcaddwa9e1535.ocx
c:\windows\system32\z4359orm550.dll
c:\windows\system32\z5096hacktoolf95.ocx
c:\windows\system32\z5355ha59tool66d.dll
c:\windows\system32\z537thief5299.bin
c:\windows\system32\z539worm785.exe
c:\windows\system32\z5539teal2766.cpl
c:\windows\system32\z5559t5oj649.bin
c:\windows\system32\z559s9arse1669.bin
c:\windows\system32\z5898tro933d.exe
c:\windows\system32\z628add5are7399.exe
c:\windows\system32\z643495rus49a.ocx
c:\windows\system32\z6c5thr9at12445.cpl
c:\windows\system32\z6e6ste9l505.dll
c:\windows\system32\z8304w9rm465.bin
c:\windows\system32\z8335spy6739.bin
c:\windows\system32\z850worm269.ocx
c:\windows\system32\z8525py396.dll
c:\windows\system32\z889hacktoo571.ocx
c:\windows\system32\z88sp9war5697.cpl
c:\windows\system32\z9075hief689.ocx
c:\windows\system32\z922stea5549.exe
c:\windows\system32\z925backdoor205.exe
c:\windows\system32\z95289acktool42.bin
c:\windows\system32\z9685virus721.cpl
c:\windows\system32\z9a4s5arse9308.cpl
c:\windows\system32\z9b5ckdoo9688.cpl
c:\windows\system32\zab0thief539.cpl
c:\windows\system32\zb159ir479.cpl
c:\windows\system32\zbb5downloader51939.bin
c:\windows\system32\zbethie99595.bin
c:\windows\system32\zc9fthief27075.bin
c:\windows\system32\zcaf5ir919.cpl
c:\windows\system32\zd85th9ef2609.exe
c:\windows\system32\zfd29py5are3045.cpl
c:\windows\z11d9hief1515.dll
c:\windows\z1251hackt9ol21b.exe
c:\windows\z1944hacktool93b5.ocx
c:\windows\z1994not-a-virus58f.dll
c:\windows\z1dfvir509.cpl
c:\windows\z21downloa9er5655.dll
c:\windows\z2465roj249.ocx
c:\windows\z29975iruscd.ocx
c:\windows\z407t9re5t17054.bin
c:\windows\z41asp9w5re2163.exe
c:\windows\z46095o9m622.cpl
c:\windows\z5234vi9us476.ocx
c:\windows\z5314viru94d4.exe
c:\windows\z564s5ambot4e59.ocx
c:\windows\z58215py69b.cpl
c:\windows\z5f0sp59se2983.dll
c:\windows\z681659y3c5.ocx
c:\windows\z74ft9ief1155.ocx
c:\windows\z7806spy25c9.dll
c:\windows\z7e9spywar51736.exe
c:\windows\z9158virus1a49.bin
c:\windows\z987viru9f75.exe
c:\windows\z9f5sparse76.bin
c:\windows\za14spar5e9326.dll
c:\windows\zb905pyware918.ocx


.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_msivxserv.sys
-------\Legacy_msivxserv.sys
-------\Service_c4f4b22f


((((((((((((((((((((((((( Files Created from 2009-07-14 to 2009-08-14 )))))))))))))))))))))))))))))))
.

2009-08-14 00:17 . 2009-08-14 00:17 -------- d-----w- C:\sh4ldr
2009-08-14 00:16 . 2009-08-14 00:16 -------- d-----w- c:\program files\Enigma Software Group
2009-08-13 23:55 . 2009-08-13 23:55 3942048 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-08-13 22:53 . 2009-08-13 22:53 396800 ----a-w- c:\windows\system32\ptbwj3vm.exe
2009-08-13 20:52 . 2009-08-14 00:30 -------- d-----w- c:\windows\system32\CatRoot2
2009-08-13 12:39 . 2009-08-13 12:39 -------- d-----w- c:\program files\Windows Defender
2009-08-12 23:45 . 2009-08-12 23:45 26686 ----a-w- c:\windows\system32\msword98.exe
2009-08-04 14:42 . 2009-08-13 22:13 -------- d-----w- c:\documents and settings\C D\Application Data\vlc
2009-08-01 23:23 . 2009-08-01 23:23 -------- d-----w- c:\documents and settings\C D\Application Data\dvdcss
2009-07-30 12:53 . 2001-08-23 15:47 5632 ----a-w- c:\windows\system32\ptpusb.dll
2009-07-30 12:53 . 2008-04-13 17:33 159232 ----a-w- c:\windows\system32\ptpusd.dll
2009-07-30 12:53 . 2008-04-13 09:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2009-07-30 12:53 . 2008-04-13 09:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-07-29 22:35 . 2009-07-29 22:35 -------- d-----w- c:\documents and settings\C D\Application Data\Malwarebytes
2009-07-29 22:27 . 2009-07-29 22:31 -------- d-----w- C:\WORT
2009-07-29 22:20 . 2009-04-05 10:33 508 ----a-w- c:\documents and settings\C D\WareOut Removal Tool.bat
2009-07-29 22:20 . 2009-07-25 12:53 -------- d-----w- c:\documents and settings\C D\WORT
2009-07-29 22:17 . 2009-07-29 22:18 -------- d-----w- c:\documents and settings\C D\SmitfraudFix
2009-07-29 20:01 . 2009-07-29 20:01 -------- d-----w- c:\program files\CCleaner
2009-07-29 19:26 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-29 19:26 . 2009-08-13 23:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-29 19:26 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-27 18:33 . 2009-08-12 20:04 0 ----a-w- c:\windows\system32\drivers\e56f9b37.sys
2009-07-26 01:20 . 2009-07-26 01:20 -------- d-----w- c:\program files\VideoLAN
2009-07-22 13:12 . 2009-07-22 13:12 -------- d-----w- c:\windows\Sun
2009-07-20 21:30 . 2009-07-20 21:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-07-17 19:08 . 2009-07-17 19:08 0 ----a-w- c:\windows\nsreg.dat
2009-07-17 19:08 . 2009-07-17 19:08 -------- d-----w- c:\documents and settings\C D\Local Settings\Application Data\Mozilla

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-22 13:12 . 2009-07-07 07:59 -------- d-----w- c:\documents and settings\C D\Application Data\Juniper Networks
2009-07-18 14:58 . 2009-06-23 20:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-07-07 07:59 . 2009-07-07 07:59 37021 ----a-w- c:\documents and settings\C D\Application Data\Juniper Networks\Setup\uninstall.exe
2009-07-07 07:59 . 2009-07-07 07:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Juniper Networks
2009-06-30 17:52 . 2009-06-30 17:51 1915520 ----a-w- c:\documents and settings\C D\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-06-26 16:50 . 2009-02-12 19:30 670720 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:50 . 2009-06-22 22:23 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-26 10:29 . 2009-06-22 22:05 67992 ----a-w- c:\documents and settings\C D\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-06-25 19:48 . 2009-02-12 19:30 49054 ----a-w- c:\windows\system32\perfc00C.dat
2009-06-25 19:48 . 2009-02-12 19:30 368314 ----a-w- c:\windows\system32\perfh00C.dat
2009-06-24 10:12 . 2009-02-12 11:50 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-06-23 20:16 . 2009-06-23 20:16 2139086 ----a-w- c:\documents and settings\C D\Application Data\winrar_4.6_full.exe
2009-06-23 20:16 . 2009-06-23 20:16 2139086 ----a-w- c:\documents and settings\C D\Application Data\winrar_4.6_full.exe
2009-06-23 17:48 . 2009-06-23 17:48 -------- d-----w- c:\program files\ESET
2009-06-23 17:48 . 2009-06-23 17:48 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2009-06-23 17:43 . 2009-02-12 12:03 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee
2009-06-23 03:21 . 2009-06-23 03:21 -------- d-----w- c:\program files\WIDCOMM
2009-06-23 03:20 . 2009-06-23 03:20 0 ----a-w- c:\windows\system32\drivers\144D_SAMSUNG_N_NC10_07CA.mrk
2009-06-22 22:28 . 2009-06-22 22:28 -------- d-----w- c:\program files\Microsoft
2009-06-22 22:28 . 2009-06-22 22:27 -------- d-----w- c:\program files\Windows Live
2009-06-22 22:28 . 2009-06-22 22:28 -------- d-----w- c:\program files\Windows Live SkyDrive
2009-06-22 22:05 . 2009-06-22 22:05 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2009-06-22 21:22 . 2009-02-12 11:57 -------- d-----w- c:\program files\Samsung
2009-06-16 14:40 . 2009-02-12 19:30 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:40 . 2009-02-12 19:30 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-03 19:10 . 2009-02-12 19:30 1297408 ----a-w- c:\windows\system32\quartz.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ptbwj3vm.exe"="c:\windows\system32\ptbwj3vm.exe" [2009-08-13 396800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2009-02-12 36972]
"EDS"="c:\program files\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"DMHotKey"="c:\program files\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\program files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-20 2768896]
"MagicKeyboard"="c:\program files\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 1443072]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"SpyHunter Security Suite"="c:\program files\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2009-04-02 868352]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-08-26 16851456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-17 580200]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\windefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Samsung\\Easy Network Manager\\ENM.exe"=
"%windir%\\system32\\drivers\\svchost.exe"=

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [21/12/2007 08:21 33800]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [12/02/2009 13:55 4300]
R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [21/12/2007 08:21 468224]
R2 windefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592]
R2 yksvc;Marvell Yukon Service;RUNDLL32.EXE ykx32mpcoinst,serviceStartProc --> RUNDLL32.EXE ykx32mpcoinst,serviceStartProc [?]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [12/02/2009 13:59 238464]
S1 e56f9b37;e56f9b37;c:\windows\system32\drivers\e56f9b37.sys [27/07/2009 20:33 0]
S3 SUEPD;SUE NDIS Protocol Driver;c:\windows\system32\drivers\SUE_PD.sys [01/08/2006 16:57 19840]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MCHINJDRV
*Deregistered* - mchInjDrv
.
Contents of the 'Scheduled Tasks' folder

2009-08-14 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
- - - - ORPHANS REMOVED - - - -

Toolbar-Locked - (no file)


.
------- Supplementary Scan -------
.
uStart Page =
uInternet Connection Wizard,ShellNext = hxxp://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
FF - ProfilePath - c:\documents and settings\C D\Application Data\Mozilla\Firefox\Profiles\19ueg92t.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJPI150.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPOJI610.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-14 02:41
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(4000)
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\program files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Samsung\MagicKBD\MagicKBD.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
.
**************************************************************************
.
Completion time: 2009-08-14 2:44 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-14 00:44

Pre-Run: 47,517,360,128 octets libres
Post-Run: 47,607,877,632 octets libres

993 --- E O F --- 2009-07-29 11:00
0
Réponse 6 / 9
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
14 août 2009 à 03:13
Ton ordinateur est plus infecté que je ne le pensais, il y avait aussi un rootkit, et une quantité impressionnante de fichiers infectés (tout n'a pas été supprimé d'ailleurs)...


• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : c:\windows\system32\msword98.exe
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.


Analyse également ce fichier : c:\windows\system32\drivers\e56f9b37.sys

0
Réponse 7 / 9
glamiria
14 août 2009 à 03:28
Et oui...étonnant pour le peu de choses dont cet ordi me sert...(un de "voyage")

voici les rapports:

1. pour c:\windows\system32\msword98.exe

ntivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.14 -
AhnLab-V3 5.0.0.2 2009.08.13 Win-Trojan/Downloader.26686.B
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.14 Win32:Trojan-gen {Other}
AVG 8.5.0.406 2009.08.13 Crypt.GHK
BitDefender 7.2 2009.08.14 Trojan.Downloader.Kobcka.H
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1971 2009.08.14 TrojWare.Win32.Trojan.Injecter.~E
DrWeb 5.0.0.12182 2009.08.14 Trojan.DownLoad.41506
eSafe 7.0.17.0 2009.08.13 -
eTrust-Vet 31.6.6676 2009.08.13 Win32/Cutwail.ARR
F-Prot 4.4.4.56 2009.08.13 -
F-Secure 8.0.14470.0 2009.08.13 Trojan-Downloader.Win32.Mutant.edz
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.14 Trojan.Downloader.Kobcka.H
Ikarus T3.1.1.64.0 2009.08.14 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.14 Trojan-Downloader.Win32.Mutant.edz
McAfee 5708 2009.08.13 -
McAfee+Artemis 5708 2009.08.13 Artemis!8E485A44934C
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.14 TrojanDownloader:Win32/Cutwail.AQ
NOD32 4333 2009.08.13 a variant of Win32/Wigon.LW
Norman 6.01.09 2009.08.13 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.13 Suspicious file
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.14 High Risk Cloaked Malware
Rising 21.42.34.00 2009.08.13 -
Sophos 4.44.0 2009.08.14 Troj/Agent-KUU
Sunbelt 3.2.1858.2 2009.08.13 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.08.14 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 Trojan.Win32.Downloader.26686.L
VirusBuster 4.6.5.0 2009.08.13 -
Information additionnelle
File size: 26686 bytes
MD5...: 8e485a44934c8f964ad3361c9c40eb62
SHA1..: 938b297de5c8497541f0219347d40b62ce00acd5
SHA256: 0737793e15c5161ae2c9c420172f6f98a9a49f3f273367ae021534713184b55f
ssdeep: 768:ZcTrSdBhTH27tDn079tiNtF1xl8uhYB0q7z0cOD:lB1HW073qtF1z8uhW0qv
s
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x346
timedatestamp.....: 0x4a76d7a6 (Mon Aug 03 12:27:18 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x106 0x200 3.48 3b3ab53d190d27e105d3671121f00a12
.rdata 0x500 0x94 0x100 2.41 745b981e015d0fa0960d5deda9a2b87e
.data 0x600 0x15 0x100 0.39 adf093358e185b99ae981802989fb79c
.rsrc 0x700 0x3a0 0x400 2.47 9142ef7a19ad1e3396481a55dcdea6e9
.aaaa 0xb00 0x5e00 0x5e00 7.70 80514aa4a0b8c4673ce3f6c83882ad0a

( 1 imports )
> kernel32.dll: ExitProcess, GetModuleHandleA, VirtualAlloc

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set

2. c:\windows\system32\drivers\e56f9b37.sys

impossible de l'analyser
j'obtiens cela "0 bytes size received / Se ha recibido un archivo vacio"
0
Réponse 8 / 9
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
14 août 2009 à 04:11
Ok ;)


/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour glamiria, il n'est pas transposable sur un autre ordinateur !

• Télécharge ce dossier glamiria.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.

• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

0
glamiria
14 août 2009 à 12:51
Hello,

Voilà j'ai refait un scan ce midi:

ComboFix 09-08-10.06 - C D 14/08/2009 12:35.2.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.655 [GMT 2:00]
Running from: c:\documents and settings\C D\Bureau\ComboFix.exe
Command switches used :: c:\documents and settings\C D\Bureau\CFScript.txt
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

file zipped: c:\windows\system32\drivers\e56f9b37.sys
file zipped: c:\windows\system32\msword98.exe
file zipped: c:\windows\system32\ptbwj3vm.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\e56f9b37.sys
c:\windows\system32\msword98.exe
c:\windows\system32\ptbwj3vm.exe


.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_YKSVC
-------\Service_e56f9b37
-------\Service_yksvc


((((((((((((((((((((((((( Files Created from 2009-07-14 to 2009-08-14 )))))))))))))))))))))))))))))))
.

2009-08-14 00:16 . 2009-08-14 00:16 -------- d-----w- c:\program files\Enigma Software Group
2009-08-13 23:55 . 2009-08-13 23:55 3942048 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-08-13 20:52 . 2009-08-14 10:33 -------- d-----w- c:\windows\system32\CatRoot2
2009-08-13 12:39 . 2009-08-13 12:39 -------- d-----w- c:\program files\Windows Defender
2009-08-04 14:42 . 2009-08-13 22:13 -------- d-----w- c:\documents and settings\C D\Application Data\vlc
2009-08-01 23:23 . 2009-08-01 23:23 -------- d-----w- c:\documents and settings\C D\Application Data\dvdcss
2009-07-30 12:53 . 2001-08-23 15:47 5632 ----a-w- c:\windows\system32\ptpusb.dll
2009-07-30 12:53 . 2008-04-13 17:33 159232 ----a-w- c:\windows\system32\ptpusd.dll
2009-07-30 12:53 . 2008-04-13 09:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2009-07-30 12:53 . 2008-04-13 09:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-07-29 22:35 . 2009-07-29 22:35 -------- d-----w- c:\documents and settings\C D\Application Data\Malwarebytes
2009-07-29 22:27 . 2009-07-29 22:31 -------- d-----w- C:\WORT
2009-07-29 22:20 . 2009-04-05 10:33 508 ----a-w- c:\documents and settings\C D\WareOut Removal Tool.bat
2009-07-29 22:20 . 2009-07-25 12:53 -------- d-----w- c:\documents and settings\C D\WORT
2009-07-29 22:17 . 2009-07-29 22:18 -------- d-----w- c:\documents and settings\C D\SmitfraudFix
2009-07-29 20:01 . 2009-07-29 20:01 -------- d-----w- c:\program files\CCleaner
2009-07-29 19:26 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-29 19:26 . 2009-08-13 23:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-29 19:26 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-26 01:20 . 2009-07-26 01:20 -------- d-----w- c:\program files\VideoLAN
2009-07-22 13:12 . 2009-07-22 13:12 -------- d-----w- c:\windows\Sun
2009-07-20 21:30 . 2009-07-20 21:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-07-17 19:08 . 2009-07-17 19:08 0 ----a-w- c:\windows\nsreg.dat
2009-07-17 19:08 . 2009-07-17 19:08 -------- d-----w- c:\documents and settings\C D\Local Settings\Application Data\Mozilla

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-22 13:12 . 2009-07-07 07:59 -------- d-----w- c:\documents and settings\C D\Application Data\Juniper Networks
2009-07-18 14:58 . 2009-06-23 20:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-07-07 07:59 . 2009-07-07 07:59 37021 ----a-w- c:\documents and settings\C D\Application Data\Juniper Networks\Setup\uninstall.exe
2009-07-07 07:59 . 2009-07-07 07:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Juniper Networks
2009-06-30 17:52 . 2009-06-30 17:51 1915520 ----a-w- c:\documents and settings\C D\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-06-26 16:50 . 2009-02-12 19:30 670720 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:50 . 2009-06-22 22:23 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-26 10:29 . 2009-06-22 22:05 67992 ----a-w- c:\documents and settings\C D\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-06-25 19:48 . 2009-02-12 19:30 49054 ----a-w- c:\windows\system32\perfc00C.dat
2009-06-25 19:48 . 2009-02-12 19:30 368314 ----a-w- c:\windows\system32\perfh00C.dat
2009-06-24 10:12 . 2009-02-12 11:50 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-06-23 20:16 . 2009-06-23 20:16 2139086 ----a-w- c:\documents and settings\C D\Application Data\winrar_4.6_full.exe
2009-06-23 20:16 . 2009-06-23 20:16 2139086 ----a-w- c:\documents and settings\C D\Application Data\winrar_4.6_full.exe
2009-06-23 17:48 . 2009-06-23 17:48 -------- d-----w- c:\program files\ESET
2009-06-23 17:48 . 2009-06-23 17:48 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2009-06-23 17:43 . 2009-02-12 12:03 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee
2009-06-23 03:21 . 2009-06-23 03:21 -------- d-----w- c:\program files\WIDCOMM
2009-06-23 03:20 . 2009-06-23 03:20 0 ----a-w- c:\windows\system32\drivers\144D_SAMSUNG_N_NC10_07CA.mrk
2009-06-22 22:28 . 2009-06-22 22:28 -------- d-----w- c:\program files\Microsoft
2009-06-22 22:28 . 2009-06-22 22:27 -------- d-----w- c:\program files\Windows Live
2009-06-22 22:28 . 2009-06-22 22:28 -------- d-----w- c:\program files\Windows Live SkyDrive
2009-06-22 22:05 . 2009-06-22 22:05 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2009-06-22 21:22 . 2009-02-12 11:57 -------- d-----w- c:\program files\Samsung
2009-06-16 14:40 . 2009-02-12 19:30 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:40 . 2009-02-12 19:30 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-03 19:10 . 2009-02-12 19:30 1297408 ----a-w- c:\windows\system32\quartz.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-08-14_00.41.26 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-08-14 00:39 . 2009-08-14 00:39 16384 c:\windows\ERDNT\subs\Users\00000004\UsrClass.dat
+ 2009-08-14 10:39 . 2009-08-14 10:39 16384 c:\windows\ERDNT\subs\Users\00000004\UsrClass.dat
+ 2009-08-14 10:39 . 2009-08-14 10:39 8192 c:\windows\ERDNT\subs\Users\00000006\UsrClass.dat
- 2009-08-14 00:39 . 2009-08-14 00:39 8192 c:\windows\ERDNT\subs\Users\00000006\UsrClass.dat
- 2009-08-14 00:39 . 2009-08-14 00:39 8192 c:\windows\ERDNT\subs\Users\00000002\UsrClass.dat
+ 2009-08-14 10:39 . 2009-08-14 10:39 8192 c:\windows\ERDNT\subs\Users\00000002\UsrClass.dat
- 2009-08-14 00:39 . 2009-08-14 00:39 249856 c:\windows\ERDNT\subs\Users\00000005\NTUSER.DAT
+ 2009-08-14 10:39 . 2009-08-14 10:39 249856 c:\windows\ERDNT\subs\Users\00000005\NTUSER.DAT
+ 2009-08-14 10:39 . 2009-08-14 10:39 249856 c:\windows\ERDNT\subs\Users\00000001\NTUSER.DAT
- 2009-08-14 00:39 . 2009-08-14 00:39 249856 c:\windows\ERDNT\subs\Users\00000001\NTUSER.DAT
- 2009-08-14 00:39 . 2009-08-14 00:39 3084288 c:\windows\ERDNT\subs\Users\00000003\NTUSER.DAT
+ 2009-08-14 10:39 . 2009-08-14 10:39 3084288 c:\windows\ERDNT\subs\Users\00000003\NTUSER.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2009-02-12 36972]
"EDS"="c:\program files\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"DMHotKey"="c:\program files\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\program files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-20 2768896]
"MagicKeyboard"="c:\program files\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 1443072]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-08-26 16851456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-9-17 580200]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\windefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Samsung\\Easy Network Manager\\ENM.exe"=

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [21/12/2007 08:21 33800]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [12/02/2009 13:55 4300]
R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [21/12/2007 08:21 468224]
R2 windefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14/01/2008 20:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [12/02/2009 13:59 238464]
S3 SUEPD;SUE NDIS Protocol Driver;c:\windows\system32\drivers\SUE_PD.sys [01/08/2006 16:57 19840]
.
Contents of the 'Scheduled Tasks' folder

2009-08-14 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Supplementary Scan -------
.
uStart Page =
uInternet Connection Wizard,ShellNext = hxxp://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
FF - ProfilePath - c:\documents and settings\C D\Application Data\Mozilla\Firefox\Profiles\19ueg92t.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJPI150.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPOJI610.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-14 12:41
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(2744)
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\program files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Samsung\MagicKBD\MagicKBD.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-08-14 12:44 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-14 10:44
ComboFix2.txt 2009-08-14 00:44

Pre-Run: 47,625,490,432 octets libres
Post-Run: 47,608,238,080 octets libres

232 --- E O F --- 2009-07-29 11:00
0
Réponse 9 / 9
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
14 août 2009 à 14:44
Fais redémarrer ton ordinateur et poste un nouveau rapport hijackthis stp

0
glamiria
14 août 2009 à 15:40
Dernier rapport en date:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37:20, on 14/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Program Files\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\C D\Mes documents\Downloads\HiJackThis.exe
C:\Documents and Settings\C D\Mes documents\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EDS] C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DMHotKey] C:\Program Files\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupControlXP Class) - https://nantes.metagate.francetelecom.com/dana-cached/setup/JuniperSetupSP1.cab
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
je viens de recevoir une alerte aux virus sur mon iphone
Hugoboss23 -
zoulou33 -

6 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses