Gros problème avec pc (gros virus ?!)
Fermé
gia17
Messages postés
48
Date d'inscription
dimanche 24 décembre 2006
Statut
Membre
Dernière intervention
4 décembre 2009
-
24 déc. 2006 à 15:47
Utilisateur anonyme - 13 janv. 2007 à 20:23
Utilisateur anonyme - 13 janv. 2007 à 20:23
A voir également:
- Gros problème avec pc (gros virus ?!)
- Test performance pc - Guide
- Reinitialiser pc - Guide
- Pc lent - Guide
- Whatsapp pc - Télécharger - Messagerie
- Audacity enregistrer son pc - Guide
70 réponses
Séb08
Messages postés
16503
Date d'inscription
dimanche 13 novembre 2005
Statut
Contributeur
Dernière intervention
17 février 2023
1 430
12 janv. 2007 à 23:33
12 janv. 2007 à 23:33
oui fais ma manip STP
a+
a+
gia17
Messages postés
48
Date d'inscription
dimanche 24 décembre 2006
Statut
Membre
Dernière intervention
4 décembre 2009
2
13 janv. 2007 à 00:51
13 janv. 2007 à 00:51
Bonsoir tout le monde
Que dois-je faire en 1er ? la manip proposée par Seb ou celle proposés par Philo ?
Merci encore
et bonne soirée à tous
Que dois-je faire en 1er ? la manip proposée par Seb ou celle proposés par Philo ?
Merci encore
et bonne soirée à tous
Séb08
Messages postés
16503
Date d'inscription
dimanche 13 novembre 2005
Statut
Contributeur
Dernière intervention
17 février 2023
1 430
13 janv. 2007 à 00:54
13 janv. 2007 à 00:54
fais la mienne STP
a+
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
gia17
Messages postés
48
Date d'inscription
dimanche 24 décembre 2006
Statut
Membre
Dernière intervention
4 décembre 2009
2
13 janv. 2007 à 16:31
13 janv. 2007 à 16:31
voici les rapports après la manip de Seb
VundoFix V6.2.13
Checking Java version...
Java version is 1.5.0.5
Java version is 1.5.0.6
Scan started at 16:21:28 13/01/2007
Listing files found while scanning....
C:\WINDOWS\System32\cbaab.dll
C:\WINDOWS\System32\baabc.ini
C:\WINDOWS\System32\baabc.bak1
C:\WINDOWS\System32\baabc.bak2
C:\WINDOWS\System32\baabc.ini2
C:\WINDOWS\System32\baabc.tmp
Beginning removal...
Attempting to delete C:\WINDOWS\System32\cbaab.dll
C:\WINDOWS\System32\cbaab.dll Has been deleted!
Attempting to delete C:\WINDOWS\System32\baabc.ini
C:\WINDOWS\System32\baabc.ini Has been deleted!
Attempting to delete C:\WINDOWS\System32\baabc.bak1
C:\WINDOWS\System32\baabc.bak1 Has been deleted!
Attempting to delete C:\WINDOWS\System32\baabc.bak2
C:\WINDOWS\System32\baabc.bak2 Has been deleted!
Attempting to delete C:\WINDOWS\System32\baabc.ini2
C:\WINDOWS\System32\baabc.ini2 Has been deleted!
Attempting to delete C:\WINDOWS\System32\baabc.tmp
C:\WINDOWS\System32\baabc.tmp Has been deleted!
Performing Repairs to the registry.
Done!
et le nouveau rapport HJT
Logfile of HijackThis v1.99.1
Scan saved at 16:28:14, on 13/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Diskeeper Corporation\Diskeeper\DkServiceA.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\HijackThis\Hijackthis Version Française\Sandrafumi.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - C:\WINDOWS\system32\yayxyyy.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing)
O2 - BHO: (no name) - {472909BF-9B78-4CD1-B512-7FBEF1C63B14} - C:\WINDOWS\System32\cbaab.dll (file missing)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\cywugbak.dll",setvm
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O20 - Winlogon Notify: yayxyyy - C:\WINDOWS\SYSTEM32\yayxyyy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
dois-je faire la manip de philo ??
Merci beaucoup
VundoFix V6.2.13
Checking Java version...
Java version is 1.5.0.5
Java version is 1.5.0.6
Scan started at 16:21:28 13/01/2007
Listing files found while scanning....
C:\WINDOWS\System32\cbaab.dll
C:\WINDOWS\System32\baabc.ini
C:\WINDOWS\System32\baabc.bak1
C:\WINDOWS\System32\baabc.bak2
C:\WINDOWS\System32\baabc.ini2
C:\WINDOWS\System32\baabc.tmp
Beginning removal...
Attempting to delete C:\WINDOWS\System32\cbaab.dll
C:\WINDOWS\System32\cbaab.dll Has been deleted!
Attempting to delete C:\WINDOWS\System32\baabc.ini
C:\WINDOWS\System32\baabc.ini Has been deleted!
Attempting to delete C:\WINDOWS\System32\baabc.bak1
C:\WINDOWS\System32\baabc.bak1 Has been deleted!
Attempting to delete C:\WINDOWS\System32\baabc.bak2
C:\WINDOWS\System32\baabc.bak2 Has been deleted!
Attempting to delete C:\WINDOWS\System32\baabc.ini2
C:\WINDOWS\System32\baabc.ini2 Has been deleted!
Attempting to delete C:\WINDOWS\System32\baabc.tmp
C:\WINDOWS\System32\baabc.tmp Has been deleted!
Performing Repairs to the registry.
Done!
et le nouveau rapport HJT
Logfile of HijackThis v1.99.1
Scan saved at 16:28:14, on 13/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Diskeeper Corporation\Diskeeper\DkServiceA.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\HijackThis\Hijackthis Version Française\Sandrafumi.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - C:\WINDOWS\system32\yayxyyy.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing)
O2 - BHO: (no name) - {472909BF-9B78-4CD1-B512-7FBEF1C63B14} - C:\WINDOWS\System32\cbaab.dll (file missing)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\cywugbak.dll",setvm
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O20 - Winlogon Notify: yayxyyy - C:\WINDOWS\SYSTEM32\yayxyyy.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
dois-je faire la manip de philo ??
Merci beaucoup
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
13 janv. 2007 à 17:25
13 janv. 2007 à 17:25
dois-je faire la manip de philo ??
Oui, fais la
Stp
Merci
A++
Oui, fais la
Stp
Merci
A++
Regis59
Messages postés
21143
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 321
13 janv. 2007 à 17:55
13 janv. 2007 à 17:55
Salut à tous,
[On est tous la pour aider, la on dirait qu'on se tire dans les pattes...]
C'est du vundo.
Soit vous supprimez avec l'option manuelle de vundofix soit vous utilisez la méthode manuelle avec killbox et processxp.
A+
[On est tous la pour aider, la on dirait qu'on se tire dans les pattes...]
C'est du vundo.
Soit vous supprimez avec l'option manuelle de vundofix soit vous utilisez la méthode manuelle avec killbox et processxp.
A+
Séb08
Messages postés
16503
Date d'inscription
dimanche 13 novembre 2005
Statut
Contributeur
Dernière intervention
17 février 2023
1 430
13 janv. 2007 à 18:09
13 janv. 2007 à 18:09
Ou t'as vu qu'on se tirait dans les pattes ?
Gia,
avant toute chose fais cette manip s'il te plait
1) Va sur ce site :
http://www.uploadmalware.com/
...pour uploader un fichier douteux pour analyse.
*"Your Username": -> Entre ton pseudo de ce forum
*"Topic Where File Was Requested": -> Copie/colle le lien vers cette discussion
*"File(s) To Submit": ->Case "1" ->Bouton [Parcourir...] pour naviguer vers ce nom de fichier :
C:\WINDOWS\SYSTEM32\yayxyyy.dll
*Répète pour le second fichier (case "2") :
*Clique sur Send File
*Merci :-)
=================
Ensuite :
2) Suppression des fichiers :
*Lance VundoFix, mais ne clique pas "Scan for Vundo"
*Fais un clic droit dans la fenêtre blanche de l'outil et choisis Add more files?
*Dans la première case, colle ceci :
C:\WINDOWS\SYSTEM32\yayxyyy.dll
*Clique sur le bouton Add file, puis sur Close Window
*Clique maintenant sur Remove Vundo
*Une invite te demandera si tu veux supprimer les fichiers; clique <grasYes</gras>
*Ton Bureau va disparaître un moment, puis l'outil t'avertira qu'il doit redémarrer; clique Ok
*Colle le rapport de l'outil, situé à C:\vundofix.txt dans ta prochaine réponse, ainsi qu'un nouveau rapport HijackThis!
A+
Gia,
avant toute chose fais cette manip s'il te plait
1) Va sur ce site :
http://www.uploadmalware.com/
...pour uploader un fichier douteux pour analyse.
*"Your Username": -> Entre ton pseudo de ce forum
*"Topic Where File Was Requested": -> Copie/colle le lien vers cette discussion
*"File(s) To Submit": ->Case "1" ->Bouton [Parcourir...] pour naviguer vers ce nom de fichier :
C:\WINDOWS\SYSTEM32\yayxyyy.dll
*Répète pour le second fichier (case "2") :
*Clique sur Send File
*Merci :-)
=================
Ensuite :
2) Suppression des fichiers :
*Lance VundoFix, mais ne clique pas "Scan for Vundo"
*Fais un clic droit dans la fenêtre blanche de l'outil et choisis Add more files?
*Dans la première case, colle ceci :
C:\WINDOWS\SYSTEM32\yayxyyy.dll
*Clique sur le bouton Add file, puis sur Close Window
*Clique maintenant sur Remove Vundo
*Une invite te demandera si tu veux supprimer les fichiers; clique <grasYes</gras>
*Ton Bureau va disparaître un moment, puis l'outil t'avertira qu'il doit redémarrer; clique Ok
*Colle le rapport de l'outil, situé à C:\vundofix.txt dans ta prochaine réponse, ainsi qu'un nouveau rapport HijackThis!
A+
gia17
Messages postés
48
Date d'inscription
dimanche 24 décembre 2006
Statut
Membre
Dernière intervention
4 décembre 2009
2
13 janv. 2007 à 19:47
13 janv. 2007 à 19:47
Donc voici le nouveau rapport de Vundo
VundoFix V6.2.13
Checking Java version...
Java version is 1.5.0.5
Java version is 1.5.0.6
Scan started at 18:53:00 13/01/2007
Listing files found while scanning....
Beginning removal...
Performing Repairs to the registry.
Done!
et celui de HJT
Logfile of HijackThis v1.99.1
Scan saved at 19:43:23, on 13/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis\Hijackthis Version Française\Sandrafumi.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {04CE7054-A4E2-4CC2-82E1-FC349CCB0B8D} - C:\WINDOWS\System32\opnkl.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing)
O2 - BHO: (no name) - {472909BF-9B78-4CD1-B512-7FBEF1C63B14} - C:\WINDOWS\System32\cbaab.dll (file missing)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\cywugbak.dll",setvm
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O20 - Winlogon Notify: opnkl - C:\WINDOWS\System32\opnkl.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Merci
Bonne soirée
VundoFix V6.2.13
Checking Java version...
Java version is 1.5.0.5
Java version is 1.5.0.6
Scan started at 18:53:00 13/01/2007
Listing files found while scanning....
Beginning removal...
Performing Repairs to the registry.
Done!
et celui de HJT
Logfile of HijackThis v1.99.1
Scan saved at 19:43:23, on 13/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis\Hijackthis Version Française\Sandrafumi.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {04CE7054-A4E2-4CC2-82E1-FC349CCB0B8D} - C:\WINDOWS\System32\opnkl.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing)
O2 - BHO: (no name) - {472909BF-9B78-4CD1-B512-7FBEF1C63B14} - C:\WINDOWS\System32\cbaab.dll (file missing)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\cywugbak.dll",setvm
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] cmh.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] lvcwhy.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll
O20 - Winlogon Notify: opnkl - C:\WINDOWS\System32\opnkl.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Merci
Bonne soirée
Utilisateur anonyme
13 janv. 2007 à 20:23
13 janv. 2007 à 20:23
Liste à éliminer
------------------------------------------------
kuvxhhfp.dll
opnkl.dll
cbaab.dll
hgggh.dll
boinlovf.dll
------------------------------------------------------------------------------
*Lance VundoFix, mais ne clique pas "Scan for Vundo"
*Fais un clic droit dans la fenêtre blanche de l'outil et choisis Add more files?
*Dans la première case, colle ceci :
C:\WINDOWS\SYSTEM32\"voir liste ".dll
*Clique sur le bouton Add file, puis sur Close Window
*Clique maintenant sur Remove Vundo
*Une invite te demandera si tu veux supprimer les fichiers; clique <grasYes</gras>
*Ton Bureau va disparaître un moment, puis l'outil t'avertira qu'il doit redémarrer; clique Ok
*Colle le rapport de l'outil, situé à C:\vundofix.txt dans ta prochaine réponse, ainsi qu'un nouveau rapport HijackThis!
(Seb08, je me suis permis de faire un copier/coller de ton texte ;-))
---------------------------------------------------------------------------
scan + coche dans Hijackthis
O2 - BHO: (no name) - {04CE7054-A4E2-4CC2-82E1-FC349CCB0B8D} - C:\WINDOWS\System32\opnkl.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing)
O2 - BHO: (no name) - {472909BF-9B78-4CD1-B512-7FBEF1C63B14} - C:\WINDOWS\System32\cbaab.dll (file missing)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll (file missing)
O20 - Winlogon Notify: opnkl - C:\WINDOWS\System32\opnkl.dll
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
---------------------------------------------------------------------------
désactiver ce service
tapes dans Démarre/Exécuter/ services.msc
recherche Microsoft Star Window Service
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
-------------------------------------------------------------------------
je crois que ça en remet une couche à chaque démarrage....
source:
http://209.85.129.104/search?q=cache:uEuGpJfTTJ4J:www.trendmicro.com/vinfo/virusencyclo/default5.asp%3FVName%3DWORM_SDBOT.ANK%26VSect%3DT+svcshoter.exe&hl=fr&gl=fr&ct=clnk&cd=3
Pour Info
----------------------
Installation
Upon execution, this worm drops a copy of itself as SVCSHOTER.EXE in the %System%\DLLCACHE folder.
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, or C:\Windows\System32 on Windows XP and Server 2003.)
Autostart Technique
On Windows NT, 2000, XP, and Server 2003, it registers itself as a service to ensure its automatic execution at every system startup. It does the said routine by creating the following registry key and entry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Star Window Service
ImagePath = "%System%\DLLCACHE\SVCSHOTER.EXE"
-----------------------------------------------------------------------------
------------------------------------------------
kuvxhhfp.dll
opnkl.dll
cbaab.dll
hgggh.dll
boinlovf.dll
------------------------------------------------------------------------------
*Lance VundoFix, mais ne clique pas "Scan for Vundo"
*Fais un clic droit dans la fenêtre blanche de l'outil et choisis Add more files?
*Dans la première case, colle ceci :
C:\WINDOWS\SYSTEM32\"voir liste ".dll
*Clique sur le bouton Add file, puis sur Close Window
*Clique maintenant sur Remove Vundo
*Une invite te demandera si tu veux supprimer les fichiers; clique <grasYes</gras>
*Ton Bureau va disparaître un moment, puis l'outil t'avertira qu'il doit redémarrer; clique Ok
*Colle le rapport de l'outil, situé à C:\vundofix.txt dans ta prochaine réponse, ainsi qu'un nouveau rapport HijackThis!
(Seb08, je me suis permis de faire un copier/coller de ton texte ;-))
---------------------------------------------------------------------------
scan + coche dans Hijackthis
O2 - BHO: (no name) - {04CE7054-A4E2-4CC2-82E1-FC349CCB0B8D} - C:\WINDOWS\System32\opnkl.dll
O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\kuvxhhfp.dll (file missing)
O2 - BHO: (no name) - {472909BF-9B78-4CD1-B512-7FBEF1C63B14} - C:\WINDOWS\System32\cbaab.dll (file missing)
O2 - BHO: (no name) - {5C071280-4256-4E79-AFFF-EEC4CD999A5C} - C:\WINDOWS\System32\hgggh.dll (file missing)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32\boinlovf.dll (file missing)
O20 - Winlogon Notify: opnkl - C:\WINDOWS\System32\opnkl.dll
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
---------------------------------------------------------------------------
désactiver ce service
tapes dans Démarre/Exécuter/ services.msc
recherche Microsoft Star Window Service
O23 - Service: Microsoft Star Window Service - Unknown owner - C:\WINDOWS\System32\dllcache\svcshoter.exe (file missing)
-------------------------------------------------------------------------
je crois que ça en remet une couche à chaque démarrage....
source:
http://209.85.129.104/search?q=cache:uEuGpJfTTJ4J:www.trendmicro.com/vinfo/virusencyclo/default5.asp%3FVName%3DWORM_SDBOT.ANK%26VSect%3DT+svcshoter.exe&hl=fr&gl=fr&ct=clnk&cd=3
Pour Info
----------------------
Installation
Upon execution, this worm drops a copy of itself as SVCSHOTER.EXE in the %System%\DLLCACHE folder.
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, or C:\Windows\System32 on Windows XP and Server 2003.)
Autostart Technique
On Windows NT, 2000, XP, and Server 2003, it registers itself as a service to ensure its automatic execution at every system startup. It does the said routine by creating the following registry key and entry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Microsoft Star Window Service
ImagePath = "%System%\DLLCACHE\SVCSHOTER.EXE"
-----------------------------------------------------------------------------