Probleme save defense et combofix Résolu/Fermé

Question

Bonjour,

Mon ordinateur est infecté par save defense, et je n'arrive pas à faire fonctionner combofix : je le télécharge et le lance l'exe mais rien ne se passe. Que dois-je faire ? Merci d'avance !

Narco!4 · Accepted Answer

Bonjour
Télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

trollitto · Answer

Salut !

Voilà le rapport

Rapport GenProc 2.617 [2] - 30/08/2009 à 14:19:40 
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.0.13) [Navigateur par défaut]

~~ CM DISK ERROR ~~ 
 
# Etape 1/ Télécharge :
 
- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 (Team IDN) sur ton Bureau.


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** Administrateur *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[2]" sur ton bureau).


# Etape 2/ 

 Lance Toolbar-S&D situé sur le Bureau. Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

# Etape 3/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/ 

 Redémarre normalement et poste, dans la même réponse : 

- Le contenu du rapport TB.txt situé dans C:\ ; 
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.617 30/08/2009 à 13:47:31 
Toolbar:le 30/08/2009 à 13:47:43 "C:\Program Files\BitLord" 

# Détections [2] GenProc 2.617 30/08/2009 à 14:19:41 
Toolbar:le 30/08/2009 à 14:19:55 "C:\Program Files\BitLord" 

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 14:20:12 ~~

Narco!4 · Answer

Suit deja ces manips

trollitto · Answer

Voilà la rapport TB :


   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free : AMD Athlon(tm)  )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : Administrateur ( Administrator )
   BOOT : Fail-safe boot
   Antivirus : avast! antivirus 4.8.1351 [VPS 090829-0] 4.8.1351 (Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:14 Go (Free:5 Go)
   D:\ (Local Disk) - NTFS - Total:153 Go (Free:10 Go)
   E:\ (Local Disk) - NTFS - Total:76 Go (Free:4 Go)
   F:\ (Local Disk) - NTFS - Total:62 Go (Free:6 Go)
   G:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 30/08/2009|14:47 )

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\BitLord\BitLord.exe
   Supprime! - C:\Program Files\BitLord\BitLord.url
   Supprime! - C:\Program Files\BitLord\BitLord.xml
   Supprime! - C:\Program Files\BitLord\Downloads
   Supprime! - C:\Program Files\BitLord\Downloads.xml
   Supprime! - C:\Program Files\BitLord\lang
   Supprime! - C:\Program Files\BitLord\License.txt
   Supprime! - C:\Program Files\BitLordules
   Supprime! - C:\Program Files\BitLord\Torrents
   Supprime! - C:\Program Files\BitLord\uninst.exe
   Supprime! - C:\DOCUME~1\ADMINI~1\MENUDM~1\PROGRA~1\BitLord
   Supprime! - C:\WINDOWS\iun6002.exe
   Supprime! - C:\Program Files\BitLord

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (Administrateur) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\windows\system32\blank.htm"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Local Page"="C:\windows\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 30/08/2009|14:44 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 30/08/2009|14:48 - Option : [2]

   -----------\  Fin du rapport a 14:48:30,09

et le nouveau rapport Gen Proc :

Rapport GenProc 2.617 [3] - 30/08/2009 à 15:05:59 
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.0.13) [Navigateur par défaut]

~~ CM DISK ERROR ~~ 
~~ INTERRUPTION REQUETES COMPTEURMAX ~~  
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


Fais scanner le(s) fichier(s) suivant(s) sur ce site https://www.virustotal.com/gui/ :


C:\WINDOWS\10968zpa5bot552.bin 
C:\WINDOWS\10zs5ywa9e1479.dll 
C:\WINDOWS\115c9zief880.bin 
C:\WINDOWS\12z24wor92705.dll 
C:\WINDOWS\13594nzt-a-vir9s1d15.dll 


et poste le(s) rapport(s) obtenu(s) dans ta prochaine réponse.

 


~~~~ INFORMATION COMPLEMENTAIRE ~~~~
 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:25, on 30/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Nokia\MPlatform\NokiaMServer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\WINDOWS\system32\cmd.exe
C:\GenProc\outil\Administrateur_GenProc.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Fichiers communs\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Nokia FastStart] "C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SaveDefense] C:\Program Files\SaveDefense Software\SaveDefense\SaveDefense.exe -min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe

Narco!4 · Answer

bon, maintenant que tu sait ce qu'le mode sans echec
démarre en mode sans echec
lance combofix

trollitto · Answer

Ca ne marche pas quand même mais je suis débarrassée de safe defense !

Merci !

Narco!4 · Answer

---> Télécharge Gmer http://www2.gmer.net/gmer.zip sur ton Bureau.

---> Extrais le contenu de l'archive puis renomme gmer.exe en tib.exe (Le .exe n'est pas forcément visible).
sur ton burreau

---> Double-clique sur tib.exe.

---> si tu as un message warning 
comme celui la
http://www.genproc.com/gmer.JPG
clique non puis save,  et enregistre sur ton Bureau "gmer.txt".

---> Double-clique sur "gmer.txt", le rapport apparaît, poste-le.

trollitto · Answer

Salut ! Désolé je n'avais pas vu ce post hier ! Merci à toi pour ton soutien !

Voici le rapport

GMER 1.0.15.15077 [tib.exe] - http://www.gmer.net
Rootkit quick scan 2009-08-31 12:25:30
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

Code            864F0E98                                                                                 ZwEnumerateKey
Code            864F1498                                                                                 ZwFlushInstructionCache
Code            864F095E                                                                                 IofCallDriver
Code            864EFAC6                                                                                 IofCompleteRequest
Code            864F3145                                                                                 ZwSaveKey
Code            864F41BD                                                                                 ZwSaveKeyEx

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                   aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                 fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                 aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                 aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\drivers\ESQULswuhbopxgarubqlwbiqjoyhmowqjnodr.sys (*** hidden *** )  [SYSTEM] ESQULserv.sys                                                         <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

Narco!4 · Answer

Telecharge AVZ http://z-oleg.com/avz4.zip
extrait sur ton bureau
ouvre le dossier AVZ4
double clique sur avz.exe
clique sur file (en haut à gauche)
dans la liste choisie Custom scripts
dans le carré qui apparait colle ce qui est en gras dessous
puis clique sur Run
valide le message, ton PC va redémarrer
une fois redémarrer ouvre le dossier AVZ4
poste le contenu de AvzBootCleaner.log
lance combofix rapidement !


var
service, driverfile, AvzDir : string;

begin
AvzDir:=GetAVZDirectory;
service:=('ESQULserv);
driverfile:=('ESQULswuhbopxgarubqlwbiqjoyhmowqjnodr.sys');
ShowMessage('Wichtig! Beende alle Programme, bevor du auf Okay klickst und das Skript startest! Windows wird automatisch neustarten.');
SearchRootKit(true,true);
SetAVZGuardStatus(true);
BC_QrFile('%System32%\Drivers\'+driverfile);
BC_DeleteSvc(service);
BC_LogFile(AvzDir + 'AvzBootCleaner.log');
BC_Activate;
RebootWindows(true);
end.

trollitto · Answer

quand je copie le texte en gras dans custom scripts, et que je cliques sur run il me dit error : Expression expected et postition 6:11

Narco!4 · Answer

normal

colle ça dedant

var
service, driverfile, AvzDir : string;

begin
AvzDir:=GetAVZDirectory;
service:=('ESQULserv.sys');
driverfile:=('ESQULswuhbopxgarubqlwbiqjoyhmowqjnodr.sys');
ShowMessage('Wichtig! Beende alle Programme, bevor du auf Okay klickst und das Skript startest! Windows wird automatisch neustarten.');
SearchRootKit(true,true);
SetAVZGuardStatus(true);
BC_QrFile('%System32%\Drivers\'+driverfile);
BC_DeleteSvc(service);
BC_LogFile(AvzDir + 'AvzBootCleaner.log');
BC_Activate;
RebootWindows(true);
end.

trollitto · Answer

voilà le log d'avz boot cleaner : 

Quarantine path: \??\C:\Documents and Settings\Administrateur\Bureau\avz4\Quarantine\2009-08-31\
QuarantineFile \??\C:\WINDOWS\system32\Drivers\ESQULswuhbopxgarubqlwbiqjoyhmowqjnodr.sys - succeeded
Delete File \systemroot\system32\drivers\ESQULswuhbopxgarubqlwbiqjoyhmowqjnodr.sys - succeeded
Delete Service & File ESQULserv.sys - failed (0xC0000022)
-- End --


J'ai lancé combofix il m'a fait un log que voici :

ComboFix 09-08-30.04 - Administrateur 31/08/2009 20:13.1.1 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.1023.602 [GMT 2:00]
Running from: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1351 [VPS 090830-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\100769zrm435.ocx
c:\windows\1053t9zef1680.ocx
c:\windows\10588woz559a.exe
c:\windows\105959a5ktool16z.ocx
c:\windows\107z95orm199.cpl
c:\windows\108z9viru974b5.cpl
c:\windows\10968zpa5bot552.bin
c:\windows\10zs5ywa9e1479.dll
c:\windows\11296worm159z.bin
c:\windows\11451wozm59f.cpl
c:\windows\11458spzmbot935.exe
c:\windows\115c9zief880.bin
c:\windows\1161sp95z.cpl
c:\windows\1198zr5j383.ocx
c:\windows\11e2szyware599.ocx
c:\windows\1245zvi5us7c39.exe
c:\windows\12498not-a-vizu5759.bin
c:\windows\129z5worm4b4.bin
c:\windows\12z24wor92705.dll
c:\windows\13152virzs389.bin
c:\windows\13594nzt-a-vir9s1d15.dll
c:\windows\13695n5t-a-vzruse9.cpl
c:\windows\138a5dwa9z3045.ocx
c:\windows\13z94s5y3c2.dll
c:\windows\14262w9r55z7.dll
c:\windows\14535ackdozr2980.exe
c:\windows\1468hz5ktoo94f0.cpl
c:\windows\14915pyware2239z.exe
c:\windows\14966viru5330z.dll
c:\windows\15003sz5mb9t50a.bin
c:\windows\15084hackto9z285.bin
c:\windows\15240hackt9oz41c.ocx
c:\windows\1528thzef9561.bin
c:\windows\15827ziru5962.dll
c:\windows\159z6sp533d.bin
c:\windows\16713hac5tz9l522.cpl
c:\windows\173zworm459.exe
c:\windows\175705zambot53f9.dll
c:\windows\175zthreat1793.bin
c:\windows\17977hackt5ol4z2.dll
c:\windows\179815ackzool4e2.dll
c:\windows\18405oznloader1989.cpl
c:\windows\18528sp942z.exe
c:\windows\1859zworm7a65.exe
c:\windows\18659hacktool6z9.cpl
c:\windows\18753hacktzol259.exe
c:\windows\18951not-a-vir5s7cdz.exe
c:\windows\189z1spa5bot470.cpl
c:\windows\18z79t5oj784.bin
c:\windows\19125hackt9oz7dd.ocx
c:\windows\1944szeal2054.cpl
c:\windows\19529zot-a-vi5us705.ocx
c:\windows\19559oz-a-virus6d.ocx
c:\windows\19636no5-a-vi9us28z.exe
c:\windows\1993zw9r5737.dll
c:\windows\19975wz5m65.exe
c:\windows\19f39hie5z801.dll
c:\windows\1b5spywaze9690.ocx
c:\windows\1bdat5r9zt24730.bin
c:\windows\1c09thrzat25945.cpl
c:\windows\1c9espywar94z05.cpl
c:\windows\1cad5pywa9e2319z.ocx
c:\windows\1d8ddownlo5der1z689.dll
c:\windows\1e9tzief554.cpl
c:\windows\1f74ad5w9re5z5.dll
c:\windows\1f95t9zef1695.ocx
c:\windows\1fafspy9zre5562.dll
c:\windows\1fz89pa5se788.exe
c:\windows\1z438h9c5toolef.bin
c:\windows\1z5spa59otb1.dll
c:\windows\1z7519acktool150.exe
c:\windows\1z93t5ief1789.dll
c:\windows\21349n5t-a-vizus709.exe
c:\windows\21560not-a-vzrus9e3.cpl
c:\windows\21a6addz95e1355.dll
c:\windows\21cfba5kzo9r582.cpl
c:\windows\2205trzj3f49.bin
c:\windows\2255zv9rus5fe.exe
c:\windows\225zbackdoor2289.bin
c:\windows\2295thi5992z.dll
c:\windows\22z51hacktool49d.exe
c:\windows\23054w5r925z.ocx
c:\windows\2309virus90z5.exe
c:\windows\23162s5z9bot669.dll
c:\windows\232029pambotz5.ocx
c:\windows\235285za9bota0.cpl
c:\windows\23750spzm59t4eb.exe
c:\windows\2382spa9sz3158.bin
c:\windows\2399steal1z335.cpl
c:\windows\24310viruz957.ocx
c:\windows\2483tzrea531959.dll
c:\windows\24fadown5oa9er2424z.dll
c:\windows\24zbaddw5r91958.cpl
c:\windows\25151v5rus69bz.cpl
c:\windows\25206s594z2.exe
c:\windows\25590worm56z.exe
c:\windows\2559addware5z64.bin
c:\windows\25895wozm54a9.ocx
c:\windows\258z6troj395.cpl
c:\windows\25ezspy9are319.ocx
c:\windows\25z75wo9m38e.bin
c:\windows\25z95troj24.ocx
c:\windows\2615295oj6c4z.exe
c:\windows\26468not-a-9irusz335.cpl
c:\windows\26555s9y4adz.cpl
c:\windows\26668nzt-a9virus5bf.dll
c:\windows\26949roj5za.bin
c:\windows\2708zv9ru5309.dll
c:\windows\27149viruz1965.cpl
c:\windows\27655worz3459.dll
c:\windows\27656n9t-a-viruz7f5.dll
c:\windows\279669acktoz5492.exe
c:\windows\27cbbac9dzo51585.cpl
c:\windows\2865hrzat95680.dll
c:\windows\2875zroj9c5.exe
c:\windows\28z52spy679.exe
c:\windows\2901995rm51z.cpl
c:\windows\29204vir9sza5.bin
c:\windows\2979not-a-ziru5394.dll
c:\windows\2991zsp5470.dll
c:\windows\29cbs95rse2843z.exe
c:\windows\29z2vi52844.ocx
c:\windows\2b9bs9e5l1z16.bin
c:\windows\2bzd5parse14409.bin
c:\windows\2cd7bzckdoo5299.dll
c:\windows\2d5595reat15843z.exe
c:\windows\2f29addwaze956.bin
c:\windows\2z1fdown9oade51833.bin
c:\windows\2z375troj69c.dll
c:\windows\2z50vi59s274.exe
c:\windows\2z6bdownload952976.exe
c:\windows\2z9back5oor911.bin
c:\windows\3010zot-a9viru5709.ocx
c:\windows\3046thze9t23175.bin
c:\windows\307569zr534d.bin
c:\windows\30z08no5-a-v9rus106.bin
c:\windows\311249r5j396z.bin
c:\windows\31195spy998z.cpl
c:\windows\3159vi9us12cz.exe
c:\windows\31z59not-a9virus5e.ocx
c:\windows\3200viru9z51.cpl
c:\windows\322z4not-a-9i5us606.ocx
c:\windows\3397zir1568.ocx
c:\windows\33f9addw5re29z3.ocx
c:\windows\355fadzware2329.exe
c:\windows\35832w9rm3ez.dll
c:\windows\358wor934z.dll
c:\windows\3639hacktool25ez.exe
c:\windows\385ab9ckdozr2456.exe
c:\windows\3898spambzt5.bin
c:\windows\38a5spyw9re25z3.ocx
c:\windows\38d5stezl3090.ocx
c:\windows\38e3ad5waze2290.dll
c:\windows\3902t5oj94z.cpl
c:\windows\395zv5r219.ocx
c:\windows\395zvirusb9.ocx
c:\windows\3992downloa5zr2896.exe
c:\windows\39999py7z85.cpl
c:\windows\39f9st5alz74.bin
c:\windows\39z6troj75a5.exe
c:\windows\3a9ds9y5are127z.ocx
c:\windows\3aa95yware4z3.ocx
c:\windows\3b09backzoor593.dll
c:\windows\3b1dz9c5door3149.exe
c:\windows\3cbzthief3159.exe
c:\windows\3d5ado9nloadez572.cpl
c:\windows\3d75t9zef2891.cpl
c:\windows\3df5steaz9480.ocx
c:\windows\3e21st5al92z5.ocx
c:\windows\3ezet9reat9557.exe
c:\windows\3z16back9oo52694.cpl
c:\windows\3z295worm1d5.exe
c:\windows\3z8ad5wnloader179.bin
c:\windows\4095vir3z9.ocx
c:\windows\4129spars51348z.ocx
c:\windows\4151s5amboz70d9.cpl
c:\windows\4155not-z9virus3cf.exe
c:\windows\4195szeal2097.dll
c:\windows\41ezs9e5l993.exe
c:\windows\42969d5zare476.bin
c:\windows\42zb95dware2516.exe
c:\windows\4326ha5k9ooz394.cpl
c:\windows\443aszywar521679.bin
c:\windows\4456zro92c1.exe
c:\windows\452z9py18f.bin
c:\windows\4557zir20629.bin
c:\windows\464dsparsez935.bin
c:\windows\4687bzck9oor31405.dll
c:\windows\470zth5e9325.cpl
c:\windows\4745threaz65649.cpl
c:\windows\4769downloader5z2.ocx
c:\windows\4856downlo9dzr2740.bin
c:\windows\4898doznloa5er1520.ocx
c:\windows\4927stz9l1552.cpl
c:\windows\4b0s5azse9175.ocx
c:\windows\4b7859iefz507.cpl
c:\windows\4bb6downl5ad9r318z.dll
c:\windows\4bf6baczdoor91095.dll
c:\windows\4e6btzr9a57640.bin
c:\windows\4ezathie59343.exe
c:\windows\4z01s5y2959.bin
c:\windows\4z26spam9ot5665.dll
c:\windows\5025t9reatz5855.dll
c:\windows\50285sz9299.ocx
c:\windows\5039s9ea52z32.ocx
c:\windows\50453zot-a-9irus36c.dll
c:\windows\50993s9azbotf.cpl
c:\windows\50bvirz953.cpl
c:\windows\5193spywar51z86.dll
c:\windows\522stza922505.bin
c:\windows\52431virz92a.ocx
c:\windows\5372hackzoo52669.ocx
c:\windows\53765pyzare2795.exe
c:\windows\53absparse5419z.exe
c:\windows\54a4tzre9t31061.bin
c:\windows\54d4spywzre198.ocx
c:\windows\5521spywarz24239.dll
c:\windows\5530s9zware1595.ocx
c:\windows\553z5hacktoo9216.exe
c:\windows\555zaddw9re1929.bin
c:\windows\5561t95j26z.cpl
c:\windows\55756spyzb69.exe
c:\windows\55e9ste5lz719.cpl
c:\windows\563zspyware20539.exe
c:\windows\5644worm1z89.cpl
c:\windows\56886vizus1d59.cpl
c:\windows\56e0baz5door2398.exe
c:\windows\56f9zpar9e185.cpl
c:\windows\56z08s9y6ab.cpl
c:\windows\5790wzrm6ad.ocx
c:\windows\58b9spzrs91447.cpl
c:\windows\58z49troj976.ocx
c:\windows\5903threzt12919.dll
c:\windows\59098hacztool629.cpl
c:\windows\5952zhr9at20409.bin
c:\windows\59754spambzt238.bin
c:\windows\597fvir301z.dll
c:\windows\5995thiefz078.dll
c:\windows\5998spa5zoteb.dll
c:\windows\5a7spy59rez132.bin
c:\windows\5be5szy5are3269.cpl
c:\windows\5c159ir3236z.bin
c:\windows\5c49ba5k9ooz400.dll
c:\windows\5d9aa5dware2544z.ocx
c:\windows\5dda5p9ware2z01.dll
c:\windows\5e3a9hreat1z575.bin
c:\windows\5e94zpyware9360.cpl
c:\windows\5e9vir39z.bin
c:\windows\5ecaspyw5ze2599.bin
c:\windows\5ed9addwarz1995.exe
c:\windows\5f8b9hz5f1005.dll
c:\windows\5z0dst9al3245.ocx
c:\windows\5z310s9y1a0.ocx
c:\windows\5z995rusf7.exe
c:\windows\5ze3backdoor1591.dll
c:\windows\605a9parsz3129.ocx
c:\windows\63b0ba9zdoor7175.bin
c:\windows\6460d5wnloader94z3.dll
c:\windows\647zvir9358.bin
c:\windows\657zhackto5l9f.cpl
c:\windows\6584szywar91509.bin
c:\windows\6653notza-v5ru96ad.bin
c:\windows\66f99a5kdoor2z04.dll
c:\windows\686n9t-a-vir5s7z0.ocx
c:\windows\695bsparze831.bin
c:\windows\696badd95ze2377.exe
c:\windows\6975adzwa5e586.exe
c:\windows\6978h5cktoolzbe9.bin
c:\windows\6a119hre5t10475z.exe
c:\windows\6a39s95rse21z7.dll
c:\windows\6c1eaddw9re55z8.ocx
c:\windows\6df9spyware5011z.exe
c:\windows\6z265p9544.cpl
c:\windows\6z4baddwa9e19465.dll
c:\windows\6z90backdoor9575.dll
c:\windows\6z95spyware175.cpl
c:\windows\7121thzeat12975.exe
c:\windows\7175szarse9814.bin
c:\windows\71a4t5iez709.exe
c:\windows\72d5stezl15905.dll
c:\windows\735abzckdoor941.dll
c:\windows\735dzhreat92889.cpl
c:\windows\7365t9zef192.bin
c:\windows\73e5s9arse2z54.ocx
c:\windows\73fbstea514z59.dll
c:\windows\7495zp9rse365.exe
c:\windows\7501vi95s6cz.cpl
c:\windows\7512t9reatz3793.cpl
c:\windows\755spyw5ze2497.ocx
c:\windows\75f6st5az194.exe
c:\windows\75zcvi9891.ocx
c:\windows\76c6t5zef1953.exe
c:\windows\76z5t5reat9242.exe
c:\windows\76z69ir2453.dll
c:\windows\76zp9w5re222.exe
c:\windows\789atzief5276.ocx
c:\windows\7952spyware29z4.bin
c:\windows\79z65hief1351.ocx
c:\windows\7ac9szyware3509.dll
c:\windows\7bc1downlo5dez31839.cpl
c:\windows\7bz7downl9a5er769.dll
c:\windows\7bz9spywa5e105.bin
c:\windows\7dc5zac9do5r1371.cpl
c:\windows\7e05threzt26199.ocx
c:\windows\7e5zback9oor632.cpl
c:\windows\7e95addzare5322.dll
c:\windows\7f69viz1561.dll
c:\windows\7fc5ir1z519.bin
c:\windows\7z15downl9ader32345.bin
c:\windows\7zc4vi92852.cpl
c:\windows\8566szy9bb.bin
c:\windows\875aczdoor2928.exe
c:\windows\8ec9irz75.ocx
c:\windows\90473viz5s88.bin
c:\windows\9205vir5s510z.bin
c:\windows\92699tro5z59.bin
c:\windows\9305hacktzol7cd.cpl
c:\windows\9405not-a-virus9ez.exe
c:\windows\9415zpyware19525.cpl
c:\windows\94215ot-a-virzs605.cpl
c:\windows\9502hacktoolz92.cpl
c:\windows\95160tr5j1z1.cpl
c:\windows\95333troz5db.cpl
c:\windows\9559t5oz428.bin
c:\windows\95722vizus5bc5.ocx
c:\windows\95843virz593.bin
c:\windows\95a9stezl709.bin
c:\windows\96easze5l2916.cpl
c:\windows\97409o5m5ez.bin
c:\windows\97935pambotz84.ocx
c:\windows\97z10spam5ot5c1.exe
c:\windows\99315zoj9e.cpl
c:\windows\995zviru950b5.dll
c:\windows\99dbthr5az23124.bin
c:\windows\99esz9war53095.cpl
c:\windows\9cz9addw5re289.exe
c:\windows\9d53backdzor1117.exe
c:\windows\9e35s5eaz3040.ocx
c:\windows\9ec6backzoor2095.exe
c:\windows\9ez8ba5kdoor3065.bin
c:\windows\9f49tz5eat11371.ocx
c:\windows\9z39not5a-vir9s2e3.bin
c:\windows\9z557troj28d.bin
c:\windows\9z959virus58d.exe
c:\windows\a25v9r65z.cpl
c:\windows\b90steaz2695.dll
c:\windows\b91s5arse219z.bin
c:\windows\c9fzhief6335.bin
c:\windows\cz3downl9ad5r2385.exe
c:\windows\cz5v5r599.dll
c:\windows\system32\0qlse65r.exe
c:\windows\system32\1015hac5tool79z.bin
c:\windows\system32\10295troj7cz.cpl
c:\windows\system32\108979roz5855.exe
c:\windows\system32\11075tzo95f.bin
c:\windows\system32\11239sp532z.cpl
c:\windows\system32\11531spam9o581z.cpl
c:\windows\system32\11669szy5519.exe
c:\windows\system32\12009ackd5oz2066.bin
c:\windows\system32\12009spz79b5.dll
c:\windows\system32\12149not-a-v5ruz951.exe
c:\windows\system32\12z99s5ambot52a.bin
c:\windows\system32\135139azktool4be.cpl
c:\windows\system32\13520v9zus17f.cpl
c:\windows\system32\135929orm140z.cpl
c:\windows\system32\13628no9-a-v5rusz7.dll
c:\windows\system32\13656spam9oz25b.bin
c:\windows\system32\139419azkt5ol1c6.cpl
c:\windows\system32\13c5backdozr9199.bin
c:\windows\system32\14777t9ojze5.ocx
c:\windows\system32\14919noz-a-v5rus219.dll
c:\windows\system32\1495ad5ware2z75.exe
c:\windows\system32\1509spywaze1093.bin
c:\windows\system32\15435zpambo99c.cpl
c:\windows\system32\15569h5cktzol9a.bin
c:\windows\system32\15575v9zus2d6.exe
c:\windows\system32\1591stzal509.ocx
c:\windows\system32\15929tzoj55.exe
c:\windows\system32\16502hacz9ool4d9.ocx
c:\windows\system32\1656s9eal1434z.bin
c:\windows\system32\167z1troj50f9.ocx
c:\windows\system32\1688vir9z865.cpl
c:\windows\system32\16c1a5dzare809.dll
c:\windows\system32\17163hacztool953.exe
c:\windows\system32\171z5not-a-viru9454.exe
c:\windows\system32\1753stzal519.exe
c:\windows\system32\17591ha9kzool7d7.bin
c:\windows\system32\17925ownloader3z.ocx
c:\windows\system32\17dzbackd5or12479.cpl
c:\windows\system32\1810nzt-a5virus98f.cpl
c:\windows\system32\18303hazktool65f9.bin
c:\windows\system32\1895backdoor590z.cpl
c:\windows\system32\18zdthief594.cpl
c:\windows\system32\194caddwarz5152.exe
c:\windows\system32\195379pambot7z8.ocx
c:\windows\system32\1959ztroj45b5.cpl
c:\windows\system32\196z3wo5m291.cpl
c:\windows\system32\19993zor52e2.dll
c:\windows\system32\199z9troj39c5.exe
c:\windows\system32\19a55iz9595.bin
c:\windows\system32\19z75spy6e25.ocx
c:\windows\system32\1b47add95re56z.ocx
c:\windows\system32\1c13z5reat4579.bin
c:\windows\system32\1c57vz56039.cpl
c:\windows\system32\1ce1t5reat9z179.dll
c:\windows\system32\1d99ste5l1579z.cpl
c:\windows\system32\1f19tzief2545.dll
c:\windows\system32\1z090spy588.dll
c:\windows\system32\1z092hackto5l577.exe
c:\windows\system32\1z1wor9605.bin
c:\windows\system32\1zeaa5dware10519.dll
c:\windows\system32\1zfcv953091.dll
c:\windows\system32\201s59al1341z.dll
c:\windows\system32\20356tzo915.cpl
c:\windows\system32\2100hz5ktoo91ac.dll
c:\windows\system32\2100z5pambot6959.cpl
c:\windows\system32\2158zp9ware1482.dll
c:\windows\system32\21892spa9z5t783.exe
c:\windows\system32\21906wo5m68bz.cpl
c:\windows\system32\225729ozm511.ocx
c:\windows\system32\22577ziru9153.exe
c:\windows\system32\225ad9wnloazer2746.exe
c:\windows\system32\230255oz-a-v9rus7e0.dll
c:\windows\system32\23056zormc99.ocx
c:\windows\system32\23298hacztool250.dll
c:\windows\system32\23495spyze0.bin
c:\windows\system32\23498hacktool506z.bin
c:\windows\system32\234z7sp5mb9t67e.cpl
c:\windows\system32\23844wor95zb.dll
c:\windows\system32\23950spy75fz.bin
c:\windows\system32\24499hazktool75.bin
c:\windows\system32\2452spars9712z.ocx
c:\windows\system32\245atzief15459.dll
c:\windows\system32\245z59py56b.ocx
c:\windows\system32\24943virusze5.ocx
c:\windows\system32\249545roz749.ocx
c:\windows\system32\250bthief290z.bin
c:\windows\system32\2529z9arse2139.bin
c:\windows\system32\2531b9ckzoor448.cpl
c:\windows\system32\25529vizu54e3.bin
c:\windows\system32\255zsparse9084.exe
c:\windows\system32\25996trzj205.dll
c:\windows\system32\26146spz9bo51b.exe
c:\windows\system32\261695rz395.cpl
c:\windows\system32\26285wzrm9555.ocx
c:\windows\system32\26795s5ambot6z7.cpl
c:\windows\system32\26969s5y7d3z.bin
c:\windows\system32\26978not-a-vizus1cd5.cpl
c:\windows\system32\27573vizus94.bin
c:\windows\system32\2795szeal29575.bin
c:\windows\system32\27bd5wzload9r958.ocx
c:\windows\system32\27z04w59m16d.dll
c:\windows\system32\27z2add9ar5804.cpl
c:\windows\system32\28571n5t-a9vzrus510.dll
c:\windows\system32\285bz591995.ocx
c:\windows\system32\28894worz2c05.cpl
c:\windows\system32\291589iruz51d.dll
c:\windows\system32\29323hzcktoo51a5.bin
c:\windows\system32\29462not5a-viz9s33f.exe
c:\windows\system32\29915zor935b.bin
c:\windows\system32\29d3tzreat280035.exe
c:\windows\system32\2a2ca9dwz5e457.bin
c:\windows\system32\2a93backd9orz05.dll
c:\windows\system32\2ab65pazs9425.ocx
c:\windows\system32\2d4fb59kdoor124z.exe
c:\windows\system32\2ff2sp9warz1525.bin
c:\windows\system32\2fzackd59r765.ocx
c:\windows\system32\2z259spy945.ocx
c:\windows\system32\2z398t5o94bd.exe
c:\windows\system32\2z5615r9j1a6.ocx
c:\windows\system32\2z674hacktool495.exe
c:\windows\system32\2z6cv592853.exe
c:\windows\system32\2z785spy3595.dll
c:\windows\system32\2z910wor5490.ocx
c:\windows\system32\2z912spambot435.ocx
c:\windows\system32\2z963spy354.cpl
c:\windows\system32\2zd2spars51982.dll
c:\windows\system32\30217h9ckzoo55ec.cpl
c:\windows\system32\3035ackdoorz8259.dll
c:\windows\system32\30464hac5too9430z.exe
c:\windows\system32\30532spam9oz559.ocx
c:\windows\system32\30955h9cktool15z.ocx
c:\windows\system32\3169zhacktoo5281.bin
c:\windows\system32\31763wor957ez.cpl
c:\windows\system32\31a5d5wnloader9370z.cpl
c:\windows\system32\320b5hreat299z9.cpl
c:\windows\system32\3255dowzload9r1250.cpl
c:\windows\system32\3350s5y59z9.bin
c:\windows\system32\3369ddwzre2572.bin
c:\windows\system32\34f4zackdoor2590.cpl
c:\windows\system32\354cstezl11629.bin
c:\windows\system32\3550tzief1997.cpl
c:\windows\system32\35696worm7z9.bin
c:\windows\system32\35dastzal1319.bin
c:\windows\system32\35e79ir2z76.ocx
c:\windows\system32\35z4thr9at17003.cpl
c:\windows\system32\36559zr2550.cpl
c:\windows\system32\3696spywa5e1z33.cpl
c:\windows\system32\38759acktooze9.exe
c:\windows\system32\388zwo5m91c.dll
c:\windows\system32\395zvirus79d5.dll
c:\windows\system32\3968hack9oz526c.ocx
c:\windows\system32\39afzpars53057.cpl
c:\windows\system32\39c5downl5zde9418.ocx
c:\windows\system32\39ces5ezl590.bin
c:\windows\system32\39f4t5rea911z71.exe
c:\windows\system32\3a599hrzat9390.cpl
c:\windows\system32\3a9thief595z.ocx
c:\windows\system32\3b65spyw95e2153z.dll
c:\windows\system32\3c54sp5rse249z9.cpl
c:\windows\system32\3cdaspzwar95558.ocx
c:\windows\system32\3czbthr9at19985.exe
c:\windows\system32\3d0zth9eat5545.bin
c:\windows\system32\3d35t9i5f9z5.bin
c:\windows\system32\3e2zs9ywa5e2086.bin
c:\windows\system32\3ez3thief55079.dll
c:\windows\system32\3f80t59ez2932.dll
c:\windows\system32\3z1not-a5virus9cf.dll
c:\windows\system32\4220adzware7965.ocx
c:\windows\system32\42z09ownloader22455.ocx
c:\windows\system32\444f5ackdozr9251.exe
c:\windows\system32\45839zrm35d5.bin
c:\windows\system32\4594troj5z0.ocx
c:\windows\system32\459zsparse617.dll
c:\windows\system32\45acback9oor8z4.cpl
c:\windows\system32\45f5d9wnzoader589.exe
c:\windows\system32\4654wzr951e.bin
c:\windows\system32\4779h9ckto5lz9f.ocx
c:\windows\system32\479fstea5z724.bin
c:\windows\system32\48a9t95ef96z.bin
c:\windows\system32\4a12spzrs91655.dll
c:\windows\system32\4b27ad9ware2z725.dll
c:\windows\system32\4efcback9o5rz517.exe
c:\windows\system32\4z49threat56203.exe
c:\windows\system32\4z59s5yware2356.cpl
c:\windows\system32\507z2hack9ool7b0.exe
c:\windows\system32\51483z9rm3d3.bin
c:\windows\system32\514dzh5ef9483.cpl
c:\windows\system32\5193hacktoo9469z.exe
c:\windows\system32\5216zorm5b39.exe
c:\windows\system32\525fsparse954z.exe
c:\windows\system32\52adaddwz9e1106.ocx
c:\windows\system32\5317not-a-vz9u545e.exe
c:\windows\system32\5319not59zvirus726.cpl
c:\windows\system32\53249vizus2db.cpl
c:\windows\system32\535cdow5loade91577z.ocx
c:\windows\system32\5405sz9rse2986.cpl
c:\windows\system32\5413hazktool499.ocx
c:\windows\system32\5497steal525z.bin
c:\windows\system32\54cezpyw9re2219.dll
c:\windows\system32\55059irus1f9z.cpl
c:\windows\system32\5528sp9zse534.exe
c:\windows\system32\556dst5al3943z.cpl
c:\windows\system32\5571v9515z8.exe
c:\windows\system32\5578zviru914b.exe
c:\windows\system32\55805a9ktool1z.bin
c:\windows\system32\55z1sp5mbot1769.exe
c:\windows\system32\561avir129z.dll
c:\windows\system32\5651szeal2991.cpl
c:\windows\system32\5671sparsez109.bin
c:\windows\system32\57a79aczdoor1155.dll
c:\windows\system32\57bead5waze21789.ocx
c:\windows\system32\58099zpy649.dll
c:\windows\system32\58425pywzre24969.ocx
c:\windows\system32\58449orm4z4.exe
c:\windows\system32\585dspywarz109.exe
c:\windows\system32\5875vzr5s1b9.cpl
c:\windows\system32\5879th59f15z.cpl
c:\windows\system32\58hackzool9c5.bin
c:\windows\system32\5909zirus929.exe
c:\windows\system32\591z9hacktool79f.exe
c:\windows\system32\5923zackdoo915235.ocx
c:\windows\system32\59457worm43z.dll
c:\windows\system32\5952tzief13409.dll
c:\windows\system32\59c6sparse19z85.bin
c:\windows\system32\59cbspywar511z8.cpl
c:\windows\system32\59z1sp9rse5879.cpl
c:\windows\system32\5a06thrzat125449.dll
c:\windows\system32\5afvirz5749.dll
c:\windows\system32\5b0astez5909.ocx
c:\windows\system32\5b36s9e5l712z.dll
c:\windows\system32\5bbe9teaz799.exe
c:\windows\system32\5bz2sparse789.bin
c:\windows\system32\5bzaddw9re25085.bin
c:\windows\system32\5bzat9reat15880.bin
c:\windows\system32\5d0zthreat10597.cpl
c:\windows\system32\5d2fvi9z982.ocx
c:\windows\system32\5d9abackdzor9055.dll
c:\windows\system32\5dz8sparse92655.exe
c:\windows\system32\5e93thzeat15420.dll
c:\windows\system32\5edt9zef1198.bin
c:\windows\system32\5ez1spars95306.cpl
c:\windows\system32\5ez3s9y5are804.ocx
c:\windows\system32\5f75tzr9at19936.dll
c:\windows\system32\5fe59pyware2538z.cpl
c:\windows\system32\5z59tr9j291.ocx
c:\windows\system32\5z60t9oj6a6.cpl
c:\windows\system32\5zcadownl9ader395.dll
c:\windows\system32\6105t9iez16505.cpl
c:\windows\system32\6165tr5j489z.dll
c:\windows\system32\6399zot-a-9irus5ee.bin
c:\windows\system32\6559ba5k9zor1251.bin
c:\windows\system32\6589wzrm596.exe
c:\windows\system32\65bdazdwa9e1431.exe
c:\windows\system32\682ed5wn9oadez1514.dll
c:\windows\system32\689ebackd59z429.bin
c:\windows\system32\6905downzoa9er5898.ocx
c:\windows\system32\695fzpyware963.bin
c:\windows\system32\69739ownloader1573z.dll
c:\windows\system32\6985spzwa9e1378.ocx
c:\windows\system32\6997add5arz2546.bin
c:\windows\system32\69d7dozn9oader24215.dll
c:\windows\system32\69ebthz5at20522.exe
c:\windows\system32\6ed3ba5kdzor694.exe
c:\windows\system32\6z5d5parse1239.ocx
c:\windows\system32\6z95addware994.ocx
c:\windows\system32\6ze4vir1955.cpl
c:\windows\system32\7223wzrm9af5.cpl
c:\windows\system32\7266sz97e5.exe
c:\windows\system32\72859ot-z-viru556.bin
c:\windows\system32\72zd5wnloader549.bin
c:\windows\system32\7495spa9z5641.ocx
c:\windows\system32\74c59ir28z5.dll
c:\windows\system32\753stza92752.bin
c:\windows\system32\759zsteal275.dll
c:\windows\system32\769dbackz5or3126.dll
c:\windows\system32\76acba5kdooz1894.bin
c:\windows\system32\7792v59usz6c.exe
c:\windows\system32\7796t59efz89.bin
c:\windows\system32\7805spy9arz1363.exe
c:\windows\system32\7985sz5rse1299.ocx
c:\windows\system32\79f3zow5loader2324.dll
c:\windows\system32\7a99vi57z7.cpl
c:\windows\system32\7bb059z1887.bin
c:\windows\system32\7c3c5p9ware173z.bin
c:\windows\system32\7f2abackdoor9z85.ocx
c:\windows\system32\7f7b9ownzoader195.bin
c:\windows\system32\7fb8spywaz5962.ocx
c:\windows\system32\7fbds5a9se14z0.bin
c:\windows\system32\83z3v9r5s1da.ocx
c:\windows\system32\882z5iru97b0.ocx
c:\windows\system32\88f9hizf5399.cpl
c:\windows\system32\8e39hze51489.bin
c:\windows\system32\918eth5eat306z.dll
c:\windows\system32\9222steaz1518.exe
c:\windows\system32\9232virzs9045.dll
c:\windows\system32\92693wormz45.ocx
c:\windows\system32\92dzthie5170.ocx
c:\windows\system32\92favir5z36.ocx
c:\windows\system32\941zwor5683.cpl
c:\windows\system32\945cthrez5601.exe
c:\windows\system32\9511downlo5dzr1737.cpl
c:\windows\system32\95174vi5us15z.ocx
c:\windows\system32\955bsteal1z07.exe
c:\windows\system32\955zvir2903.dll
c:\windows\system32\9575trzj6975.exe
c:\windows\system32\95zs5yware18209.ocx
c:\windows\system32\965nz9-a5virus2ee.exe
c:\windows\system32\97184virusz54.bin
c:\windows\system32\972do9nz5ader3119.cpl
c:\windows\system32\97888spz2f5.cpl
c:\windows\system32\982dzwnloa5er428.ocx
c:\windows\system32\9859spa5botz56.bin
c:\windows\system32\994bzckdoor5090.ocx
c:\windows\system32\9a22sparsz3035.cpl
c:\windows\system32\9ef1spywa5e430z.ocx
c:\windows\system32\9z156worm21f.bin
c:\windows\system32\9z2spyware27295.ocx
c:\windows\system32\a839zckdoor815.dll
c:\windows\system32\a97zhreat19455.exe
c:\windows\system32\ac2bzckd9o5625.cpl
c:\windows\system32\b0downlo9de522z9.ocx
c:\windows\system32\b95t5reatz7259.exe
c:\windows\system32\e1zsparse58819.ocx
c:\windows\system32\e53zhie9710.exe
c:\windows\system32\e659hrzat15035.cpl
c:\windows\system32\e695ownlo9zer2318.exe
c:\windows\system32\ESQULqmbyfulrwskyojrftnscfwktjtqqpdwc.dll
c:\windows\system32\ESQULufpgqadpxppnqllkvrdpthkolwhxjgap.dll
c:\windows\system32\ESQULzcounter
c:\windows\system32\f45sparz95295.dll
c:\windows\system32	mp.reg
c:\windows\system32\z2120tr595fc.ocx
c:\windows\system32\z2495sp5756.dll
c:\windows\system32\z28395py15e.dll
c:\windows\system32\z3419pambot6c05.exe
c:\windows\system32\z35spa9se2125.cpl
c:\windows\system32\z3865s5y39f.dll
c:\windows\system32\z429bac5door2966.ocx
c:\windows\system32\z4d5v9r519.bin
c:\windows\system32\z525downloa9er1129.bin
c:\windows\system32\z5653t9oj6b9.cpl
c:\windows\system32\z579steal2339.cpl
c:\windows\system32\z61vir2569.cpl
c:\windows\system32\z6569not-a9viru531.bin
c:\windows\system32\z7543worm629.exe
c:\windows\system32\z779spy51f9.ocx
c:\windows\system32\z79c5pyware9105.bin
c:\windows\system32\z7b2backd95r3125.exe
c:\windows\system32\z8195worm92.cpl
c:\windows\system32\z835v5rus7c59.exe
c:\windows\system32\z839thief2573.bin
c:\windows\system32\z9229hacktool651.exe
c:\windows\system32\z9396spambot395.ocx
c:\windows\system32\z999downloader1514.dll
c:\windows\system32\zb2th9ef2581.dll
c:\windows\system32\zc29vir29435.bin
c:\windows\system32\ze35spyware3091.ocx
c:\windows\system32\zeea9teal5704.dll
c:\windows\z0309tro559b9.ocx
c:\windows\z0495hief921.cpl
c:\windows\z059ackdoor2548.cpl
c:\windows\z084spywa5e9674.exe
c:\windows\z1716h9c5tool36e.cpl
c:\windows\z2612wor5529.ocx
c:\windows\z3412w5rm193.cpl
c:\windows\z374t5o9783.ocx
c:\windows\z4295hreat39488.dll
c:\windows\z4557s9y7de.ocx
c:\windows\z463v5r994.cpl
c:\windows\z46thr9a5987.bin
c:\windows\z495tr5j69b.exe
c:\windows\z4f9s9ea5700.dll
c:\windows\z509spy75f.ocx
c:\windows\z512troj295.exe
c:\windows\z5245virus2459.ocx
c:\windows\z6057n9t-a-vir5s7ba.dll
c:\windows\z6059ownloader2570.bin
c:\windows\z6103not-a-virus6975.ocx
c:\windows\z745ir2698.cpl
c:\windows\z7802hack9o5l69a.cpl
c:\windows\z7995virus380.bin
c:\windows\z8196v5rus428.bin
c:\windows\z891s5a9se526.cpl
c:\windows\z9291h9c5tool540.exe
c:\windows\z95395py7fb.cpl
c:\windows\zbc5downl9ader636.ocx
c:\windows\zd14vir28599.exe
c:\windows\zd65spar9e1767.bin
c:\windows\zde8s9eal23135.dll
c:\windows\zdfthreat159215.dll
c:\windows\zea6spa9se6255.dll
c:\windows\zedfspyware5393.exe
c:\windows\zf059ddware3151.dll

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ESQULserv.sys
-------\Service_ESQULserv.sys


(((((((((((((((((((((((((   Files Created from 2009-07-28 to 2009-08-31  )))))))))))))))))))))))))))))))
.

2009-08-30 21:37 . 2009-08-30 21:38	--------	d-----w-	c:\program files\BitLord
2009-08-30 15:46 . 2009-08-30 16:58	--------	d-----w-	c:\program files\Coolstreaming
2009-08-30 13:04 . 2009-08-30 13:04	--------	d-----w-	c:\program files\Trend Micro
2009-08-30 12:43 . 2009-08-30 12:48	--------	d-----w-	C:\ToolBar SD
2009-08-30 12:25 . 2009-08-30 12:26	--------	d-----w-	c:\program files\CCleaner
2009-08-30 11:47 . 2009-08-30 13:05	--------	d-----w-	C:\GenProc
2009-08-27 13:39 . 2009-08-30 14:05	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2009-08-27 12:52 . 2009-08-17 16:04	23152	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2009-08-27 12:52 . 2009-08-17 16:04	51376	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2009-08-27 12:52 . 2009-08-17 16:03	26944	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2009-08-27 12:52 . 2009-08-17 16:02	97480	----a-w-	c:\windows\system32\AvastSS.scr
2009-08-27 12:52 . 2009-08-17 16:06	93392	----a-w-	c:\windows\system32\drivers\aswmon.sys
2009-08-27 12:52 . 2009-08-17 16:06	94160	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2009-08-27 12:52 . 2009-08-17 16:05	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2009-08-27 12:52 . 2009-08-17 16:05	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2009-08-27 12:51 . 2009-08-17 16:10	1279456	----a-w-	c:\windows\system32\aswBoot.exe
2009-08-27 12:51 . 2009-08-27 12:51	--------	d-----w-	c:\program files\Alwil Software
2009-08-27 12:43 . 2009-08-27 12:49	--------	d-----w-	c:\windows\avxoscan
2009-08-27 12:33 . 2009-08-27 12:33	--------	d-----w-	c:\windows\BDOSCAN8
2009-08-21 23:01 . 2009-08-21 23:06	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\VSO
2009-08-21 22:58 . 2009-08-21 22:58	--------	d-----w-	c:\program files\VSO

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-31 15:34 . 2009-07-28 20:22	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\vlc
2009-07-29 16:50 . 2009-05-04 17:54	173152	----a-w-	c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-07-28 22:51 . 2009-07-28 21:31	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\HouseCall 6.6
2009-07-28 20:20 . 2009-07-28 20:20	--------	d-----w-	c:\program files\VideoLAN
2009-07-23 11:38 . 2009-04-06 09:39	--------	d-----w-	c:\program files\Easy CD-DA Extractor 7
2009-07-19 21:49 . 2009-07-19 21:49	1915520	----a-w-	c:\documents and settings\Administrateur\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-07-12 21:43 . 2009-04-04 12:25	--------	d-----w-	c:\program files\Messenger Plus! Live
2009-06-26 11:03 . 2009-04-04 10:41	22448	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-06-24 20:10 . 2009-06-24 19:47	664	----a-w-	c:\windows\system32\d3d9caps.dat
.

------- Sigcheck -------

[-] 2005-10-24 07:16	1548288	004998C70A3521958D7111FAFC227584	c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\program files\Fichiers communs\Nokia\MPlatform\NokiaMServer" [X]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-07 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Nokia FastStart"="c:\program files\Nokia\Nokia Music\NokiaMusic.exe" [2009-02-26 2376992]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"nlhr"="c:\windows\System32\AdvPack.Dll" [2004-08-19 101888]
"tscuninstall"="c:\windows\system32	scupgrd.exe" [2004-08-19 44544]

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\BitLord\BitLord.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Nokia\Nokia Software Updater\nsu_ui_client.exe"=
"c:\Program Files\Fichiers communs\Nokia\Service Layer\A\nsl_host_process.exe"=
"c:\Program Files\FileZilla FTP Client\filezilla.exe"=
"c:\Program Files\Adobe\Adobe Bridge\Bridge.exe"=
"c:\Program Files\Coolstreaming\coolstreaming.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [27/08/2009 14:52 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [27/08/2009 14:52 20560]
R3 HCWBT8xx;Hauppauge WinTV 848/9 WDM Video Driver;c:\windows\system32\drivers\HCWBT8XX.sys [04/04/2009 21:59 465988]
.
.
------- Supplementary Scan -------
.
mWindow Title = 
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\cl8ehbsy.default\
FF - prefs.js: browser.startup.homepage - google.fr
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-31 20:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(480)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(4080)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Fichiers communs\Nokia\MPlatform\NokiaMServer.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\devldr32.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
c:\program files\Nokia\PC Connectivity Solution\ServiceLayer.exe
c:\program files\Nokia\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\Nokia\PC Connectivity Solution\Transports\NclRSSrv.exe
.
**************************************************************************
.
Completion time: 2009-08-31 20:27 - machine was rebooted
ComboFix-quarantined-files.txt  2009-08-31 18:27

Pre-Run: 7 125 262 336 octets libres
Post-Run: 7 011 827 712 octets libres

896

Narco!4 · Answer

ça doit aller mieut déjà ;)
relance genproc, poste le rapport.

trollitto · Answer

Voici le rapport de genproc : 

Rapport GenProc 2.617 [4] - 31/08/2009 à 20:51:25 
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.0.13) [Navigateur par défaut]

~~ "C:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~
 
# Etape 1/ Télécharge :
 
- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 (Team IDN) sur ton Bureau.


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** Administrateur *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[4]" sur ton bureau).


# Etape 2/ 

 Lance Toolbar-S&D situé sur le Bureau. Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

# Etape 3/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/ 

 Redémarre normalement et poste, dans la même réponse : 

- Le contenu du rapport TB.txt situé dans C:\ ; 
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.617 30/08/2009 à 13:47:31 
Toolbar:le 30/08/2009 à 13:47:43 "C:\Program Files\BitLord" 

# Détections [2] GenProc 2.617 30/08/2009 à 14:19:41 
Toolbar:le 30/08/2009 à 14:19:55 "C:\Program Files\BitLord" 

# Détections [3] GenProc 2.617 30/08/2009 à 15:06:02 
Suspect: le 30/08/2009 à 15:09:36 C:\WINDOWS\10968zpa5bot552.bin 
Suspect: le 30/08/2009 à 15:09:36 C:\WINDOWS\10zs5ywa9e1479.dll 
Suspect: le 30/08/2009 à 15:09:36 C:\WINDOWS\115c9zief880.bin 
Suspect: le 30/08/2009 à 15:09:36 C:\WINDOWS\12z24wor92705.dll 
Suspect: le 30/08/2009 à 15:09:36 C:\WINDOWS\13594nzt-a-vir9s1d15.dll 

# Détections [4] GenProc 2.617 31/08/2009 à 20:51:29 
Toolbar:le 31/08/2009 à 20:52:31 "C:\Program Files\BitLord" 

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 20:53:03 ~~

Narco!4 · Answer

suit ces manips

Utilisateur anonyme · Answer

Nondediou j'ai pas tout capté....

Excellent ce sujet.

Narco!4 dis m'en plus stp :-)

Non :: ne dis rien ;-) Je suis le te sujet.....


MAis.....

Mais....


Je vais surement te perquisitionner cérébralement prochainement ;-)

Narco!4 · Answer

hello,

tu veut savoir quoi ? ;)

trollitto · Answer

Salut Narco et merci pour tes conseils ! LE rapport de Genproc est le même que celui qu'il me faisait au début, dois-je refaire la manip quand même ?

Narco!4 · Answer

oui

trollitto · Answer

Arf bizarre mon message d'hier ne s'est pas posté... Bon voici les différents rapports :

TOOLBAR SD


   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free : AMD Athlon(tm)  )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : Administrateur ( Administrator )
   BOOT : Fail-safe boot
   Antivirus : avast! antivirus 4.8.1351 [VPS 090831-0] 4.8.1351 (Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:14 Go (Free:6 Go)
   D:\ (Local Disk) - NTFS - Total:153 Go (Free:10 Go)
   E:\ (Local Disk) - NTFS - Total:76 Go (Free:4 Go)
   F:\ (Local Disk) - NTFS - Total:62 Go (Free:6 Go)
   G:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 01/09/2009|14:39 )

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\BitLord\BitLord.exe
   Supprime! - C:\Program Files\BitLord\BitLord.url
   Supprime! - C:\Program Files\BitLord\BitLord.xml
   Supprime! - C:\Program Files\BitLord\Downloads
   Supprime! - C:\Program Files\BitLord\Downloads.xml
   Supprime! - C:\Program Files\BitLord\lang
   Supprime! - C:\Program Files\BitLord\License.txt
   Supprime! - C:\Program Files\BitLordules
   Supprime! - C:\Program Files\BitLord\Torrents
   Supprime! - C:\Program Files\BitLord\uninst.exe
   Supprime! - C:\DOCUME~1\ADMINI~1\Bureau\BitLord.lnk
   Supprime! - C:\WINDOWS\Prefetch\BITLORD.EXE-167C46E2.pf
   Supprime! - C:\WINDOWS\Prefetch\BITLORD_1.01.EXE-26C7B723.pf
   Supprime! - C:\DOCUME~1\ADMINI~1\MENUDM~1\PROGRA~1\BitLord
   Supprime! - C:\DOCUME~1\ADMINI~1\Cookies\administrateur@bitlord[2].txt
   Supprime! - C:\Program Files\BitLord

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (Administrateur) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\windows\system32\blank.htm"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Local Page"="C:\windows\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 30/08/2009|14:44 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 30/08/2009|14:48 - Option : [2]
   3 - "C:\ToolBar SD\TB_3.txt" - 01/09/2009|14:41 - Option : [2]

   -----------\  Fin du rapport a 14:41:00,51

HIJACK THIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:46:48, on 02/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Nokia\MPlatform\NokiaMServer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Fichiers communs\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Nokia FastStart] "C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe

Narco!4 · Answer

Poste un rapport Nod32 (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
C:\Program Files\EsetOnlineScanner\log.txt

trollitto · Answer

Okay je fais ça la semaine prochaine ! Merci à toi !

Narco!4 · Answer

ok;)

plopus · Answer

Bonsoir a vous


un peu de prevention  :)

juste pour dire a trolitto de NE + INSTALLER BITLORD, c'est une salete ce truc la

narco te la fait supprimer au debut et tu la reinstallé ensuite....pour qu'il le resupprime

après si t'aime bien les spyware que tu as rien a caché meme pas tes mots de passes pourqu'oi pas....


@+

trollitto · Answer

@ plopus : ben bitlord c'est mon client bittorent, il marche bien j'ai aps de pb avec, maintenant si t'as autre chose à me proposer n'hésite pas...

@ narco : le scan nod32 arrive !

trollitto · Answer

Voici le scan nod 32, il m' viré 5 infections au cheval de troie.

ESETSmartInstaller@High as downloader log:
all ok
# version=6
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6050
# api_version=3.0.2
# EOSSerial=a1c11fbe08628c468432fb8e53c95343
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2009-09-09 03:34:53
# local_time=2009-09-09 05:34:53 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=769 21 100 100 259460781250
# scanned=89240
# found=5
# cleaned=5
# scan_time=6088
C:\Documents and Settings\Administrateur\Bureau\avz4\Quarantine\2009-08-31\bcqr00001.dta	Win32/Rootkit.Agent.NNZ cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\Qoobox\Quarantine\C\WINDOWS\system32\0qlse65r.exe.vir	une variante de Win32/Kryptik.AKL cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\Qoobox\Quarantine\C\WINDOWS\system32\ESQULqmbyfulrwskyojrftnscfwktjtqqpdwc.dll.vir	une variante de Win32/Kryptik.YR cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
C:\Qoobox\Quarantine\C\WINDOWS\system32\ESQULufpgqadpxppnqllkvrdpthkolwhxjgap.dll.vir	Win32/Olmarik.JI cheval de troie (nettoyé par suppression - mis en quarantaine)	00000000000000000000000000000000	C
E:\Utils\Acdsee 6  Powerpack  Plugins  Keygen  Serial  Pack French.rar	une variante probable de Win32/Agent cheval de troie (supprimé - mis en quarantaine)	00000000000000000000000000000000	C

Narco!4 · Answer

* Pour terminer, utilise ToolsCleaner! (de A.Rothstein et Dj Quiou) http://pc-system.fr/ pour nettoyer les utilitaires téléchargés,
* Désactive la restauration système, redémarre l'ordinateur, puis réactive-la, en procédant comme indiqué ici  http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

* Lance le nettoyage avec CCleaner 

* Visite régulièrement le site http://www.update.microsoft.com/windowsupdate/v6/default.aspx afin d'avoir un système toujours actualisé.
* Utilise hebdomadairement ce petit programme http://alt-shift-return.org/Info/Update_Checker.html pour effectuer tes mises à jour logicielles.
* N'installe jamais un programme sans avoir entièrement lu et compris les termes de son contrat d'utilisation, ou sans être définitivement certain qu'il n'installe pas discrètement un logiciel publicitaire (renseigne-toi sur Google ou sur les forums)
* Préfère l'utilisation de logiciels libres https://fr.wikipedia.org/wiki/Logiciel_libre : ils sont transparents et plus sécurisés, à l'inverse des logiciels propriétaires https://fr.wikipedia.org/wiki/Logiciel_propri%C3%A9taire ; Firefox, Thunderbird, OpenOffice, VLC... en font partie.

* A ce moment là, tu pourras marquer ton sujet "résolu" si tu estimes que c'est le cas 

* Note importante : il est fortement conseillé d'utiliser un compte limité pour une utilisation classique d'un ordinateur afin de minimiser très siginificativement les risques d'infection.
Mode d'emploi : https://www.microsoft.com/de-ch

à+

trollitto · Answer

Un grand merci à toi Narco ! Je ferai attention à ce que j'installe promis ;) !

Probleme save defense et combofix

28 réponses

Discussions similaires