A voir également:
- Win64:Sirefef-A [Trj]
- Win64 malware gen ✓ - Forum Virus
- Win64:malwarex-gen - Forum Virus
- Win64 - Forum Windows
- Win64/CoinMiner : CPU à 100% Miner en vue ✓ - Forum Virus
- Win64.exe ? - Forum Logiciels
16 réponses
ZeroAccess a mangé quelques services comme je l'imaginais.
On va les réparer :
● Télécharge Service Repair (Eset) sur ton Bureau.
● Exécute le, clique sur Yes dans la boite de dialogue.
● A la fin, clique sur Yes pour autoriser le redémarrage.
● L'outil va créer un dossier CC Support dans le répertoire où l'outil a été exécuté.
● Héberge le rapport CC Support\Logs\SvcRepair.txt sur PJJOINT et poste le lien obtenu en échange
.::. Contributeur Sécurité .::.
On va les réparer :
● Télécharge Service Repair (Eset) sur ton Bureau.
● Exécute le, clique sur Yes dans la boite de dialogue.
● A la fin, clique sur Yes pour autoriser le redémarrage.
● L'outil va créer un dossier CC Support dans le répertoire où l'outil a été exécuté.
● Héberge le rapport CC Support\Logs\SvcRepair.txt sur PJJOINT et poste le lien obtenu en échange
.::. Contributeur Sécurité .::.
Salut,
[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start=
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start=
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Administrateur [Droits d'admin]
Mode : Recherche -- Date : 09/05/2013 13:24:36
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 15 ¤¤¤
[RUN][SUSP PATH] HKUS\.DEFAULT[...]\RunOnce : WVLOAD3 (C:\WINDOWS\Delf.cmd) [x] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-20[...]\RunOnce : WVLOAD3 (C:\WINDOWS\Delf.cmd) [x] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-18[...]\RunOnce : WVLOAD3 (C:\WINDOWS\Delf.cmd) [x] -> TROUVÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\10083 (C:\Documents and Settings\Administrateur\Local Settings\Temp\10083.sys) -> TROUVÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet002\Services\10083 (C:\Documents and Settings\Administrateur\Local Settings\Temp\10083.sys) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\n) [-] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\n) [-] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\n) [-] -> TROUVÉ
[APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs (c:\docume~1\alluse~1\applic~1\browse~1\25986~1.67\{c16c1~1\browse~1.dll) [x] -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\n [-] --> TROUVÉ
[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\n [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\@ [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\L --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[50] : NtCreateSection @ 0x80565333 -> HOOKED (\??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys @ 0xF7DD9700)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD1600JB-00GVC0 +++++
--- User ---
[MBR] 85a0070eaf3e3001aed41279a4815937
[BSP] 32229884e858de993b7d7ebb38978c55 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_09052013_132436.txt >>
RKreport[1]_S_09052013_132436.txt
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Administrateur [Droits d'admin]
Mode : Recherche -- Date : 09/05/2013 13:24:36
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 15 ¤¤¤
[RUN][SUSP PATH] HKUS\.DEFAULT[...]\RunOnce : WVLOAD3 (C:\WINDOWS\Delf.cmd) [x] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-20[...]\RunOnce : WVLOAD3 (C:\WINDOWS\Delf.cmd) [x] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-18[...]\RunOnce : WVLOAD3 (C:\WINDOWS\Delf.cmd) [x] -> TROUVÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\10083 (C:\Documents and Settings\Administrateur\Local Settings\Temp\10083.sys) -> TROUVÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet002\Services\10083 (C:\Documents and Settings\Administrateur\Local Settings\Temp\10083.sys) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\n) [-] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\n) [-] -> TROUVÉ
[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\n) [-] -> TROUVÉ
[APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs (c:\docume~1\alluse~1\applic~1\browse~1\25986~1.67\{c16c1~1\browse~1.dll) [x] -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\n [-] --> TROUVÉ
[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\n [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\@ [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\L --> TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[50] : NtCreateSection @ 0x80565333 -> HOOKED (\??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys @ 0xF7DD9700)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD1600JB-00GVC0 +++++
--- User ---
[MBR] 85a0070eaf3e3001aed41279a4815937
[BSP] 32229884e858de993b7d7ebb38978c55 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_09052013_132436.txt >>
RKreport[1]_S_09052013_132436.txt
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Administrateur [Droits d'admin]
Mode : Suppression -- Date : 09/05/2013 13:25:49
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 13 ¤¤¤
[RUN][SUSP PATH] HKUS\.DEFAULT[...]\RunOnce : WVLOAD3 (C:\WINDOWS\Delf.cmd) [x] -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-20[...]\RunOnce : WVLOAD3 (C:\WINDOWS\Delf.cmd) [x] -> SUPPRIMÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\10083 (C:\Documents and Settings\Administrateur\Local Settings\Temp\10083.sys) -> SUPPRIMÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet002\Services\10083 (C:\Documents and Settings\Administrateur\Local Settings\Temp\10083.sys) -> SUPPRIMÉ
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\n) [-] -> REMPLACÉ (C:\WINDOWS\system32\shell32.dll)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\n) [-] -> REMPLACÉ (C:\WINDOWS\system32\wbem\fastprox.dll)
[APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs (c:\docume~1\alluse~1\applic~1\browse~1\25986~1.67\{c16c1~1\browse~1.dll) [x] -> REMPLACÉ ()
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\n [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\n [-] --> SUPPRIMÉ
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\@ [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000001.@ : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\U\00000001.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\L --> SUPPRIMÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[50] : NtCreateSection @ 0x80565333 -> HOOKED (\??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys @ 0xF7DD9700)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD1600JB-00GVC0 +++++
--- User ---
[MBR] 85a0070eaf3e3001aed41279a4815937
[BSP] 32229884e858de993b7d7ebb38978c55 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2]_D_09052013_132549.txt >>
RKreport[1]_S_09052013_132436.txt ; RKreport[2]_D_09052013_132549.txt
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Administrateur [Droits d'admin]
Mode : Suppression -- Date : 09/05/2013 13:25:49
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 13 ¤¤¤
[RUN][SUSP PATH] HKUS\.DEFAULT[...]\RunOnce : WVLOAD3 (C:\WINDOWS\Delf.cmd) [x] -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-20[...]\RunOnce : WVLOAD3 (C:\WINDOWS\Delf.cmd) [x] -> SUPPRIMÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\10083 (C:\Documents and Settings\Administrateur\Local Settings\Temp\10083.sys) -> SUPPRIMÉ
[Services][ROGUE ST] HKLM\[...]\ControlSet002\Services\10083 (C:\Documents and Settings\Administrateur\Local Settings\Temp\10083.sys) -> SUPPRIMÉ
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\n) [-] -> REMPLACÉ (C:\WINDOWS\system32\shell32.dll)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\n) [-] -> REMPLACÉ (C:\WINDOWS\system32\wbem\fastprox.dll)
[APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs (c:\docume~1\alluse~1\applic~1\browse~1\25986~1.67\{c16c1~1\browse~1.dll) [x] -> REMPLACÉ ()
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\n [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\n [-] --> SUPPRIMÉ
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\@ [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000001.@ : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\U\00000001.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$0a0b00638b4a23d40d9f9f7edcea7095\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-796845957-790525478-1606980848-500\$0a0b00638b4a23d40d9f9f7edcea7095\L --> SUPPRIMÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[50] : NtCreateSection @ 0x80565333 -> HOOKED (\??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys @ 0xF7DD9700)
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD1600JB-00GVC0 +++++
--- User ---
[MBR] 85a0070eaf3e3001aed41279a4815937
[BSP] 32229884e858de993b7d7ebb38978c55 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2]_D_09052013_132549.txt >>
RKreport[1]_S_09052013_132436.txt ; RKreport[2]_D_09052013_132549.txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
avant tout il faut savoir de quel manière ce virus se manifeste sur ton ordi?
avant tout il faut savoir de quel manière ce virus se manifeste sur ton ordi?
Bonjour, laisse Malekal faire la désinfection, si tu veux te renseigner sur Sirefef/ZeroAccess regarde ici : http://www.security-helpzone.com/blog/supprimer_zaccess_sirefef_max-news-45.html et ceci : https://www.malekal.com/sirefef-b-rootkit-win32-zaccess-max/
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Salut Malekal est en congé on va continuer et terminer le travail ensemble :)
Désinstalle SpyHunter c'est une arnaque ce logiciel est complètement bidon !
Pareil pour Spybot - Search & Destroy
~~
Télécharge Farbar Service Scanner sur ton Bureau.
● Coche les cases suivantes :
● Clique sur "Scan".
● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.
Héberge le rapport sur PJJOINT et poste le lien obtenu en échange
A+
Désinstalle SpyHunter c'est une arnaque ce logiciel est complètement bidon !
Pareil pour Spybot - Search & Destroy
~~
Télécharge Farbar Service Scanner sur ton Bureau.
● Coche les cases suivantes :
Internet Services Windows Firewall System Restore Security Center Windows Update Windows Defender Others Services
● Clique sur "Scan".
● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.
Héberge le rapport sur PJJOINT et poste le lien obtenu en échange
A+
BONJOUR
Ok refais FSS pour contrôle : https://forums.commentcamarche.net/forum/affich-27773659-win64-sirefef-a-trj#12
Ok refais FSS pour contrôle : https://forums.commentcamarche.net/forum/affich-27773659-win64-sirefef-a-trj#12
nouveau rapport fss
Farbar Service Scanner Version: 14-04-2013
Ran by Administrateur (administrator) on 13-05-2013 at 12:34:28
Running from "C:\Documents and Settings\Administrateur\Bureau"
Microsoft Windows XP Service Pack 3 (X86)
Boot Mode: Normal
****************************************************************
Internet Services:
============
Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.
Windows Firewall:
=============
sharedaccess Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to retrieve start type of sharedaccess. The value does not exist.
Checking ImagePath: ATTENTION!=====> Unable to retrieve ImagePath of sharedaccess. The value does not exist.
Unable to retrieve ServiceDll of sharedaccess. The value does not exist.
Checking LEGACY_sharedaccess: ATTENTION!=====> Unable to open LEGACY_sharedaccess\0000 registry key. The key does not exist.
Firewall Disabled Policy:
==================
System Restore:
============
System Restore Disabled Policy:
========================
Security Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking LEGACY_wscsvc: ATTENTION!=====> Unable to open LEGACY_wscsvc\0000 registry key. The key does not exist.
Windows Update:
============
Windows Autoupdate Disabled Policy:
============================
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=DWORD:1
File Check:
========
C:\WINDOWS\system32\dhcpcsvc.dll
[2008-06-03 10:03] - [2008-06-03 10:03] - 0127488 ____A (Microsoft Corporation) AF05C284607F5DB89F51CC7E31064267
C:\WINDOWS\system32\Drivers\afd.sys
[2009-09-16 07:41] - [2009-09-16 07:41] - 0138496 ____A (Microsoft Corporation) E840FD588CD9DA721500E2CC3C0EFCA2
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys
[2008-07-28 07:53] - [2008-07-28 07:53] - 0361600 ____A (Microsoft Corporation) 367DE8E5F638C091F49273144274F629
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2009-05-22 03:45] - [2009-05-22 03:45] - 0045568 ____A (Microsoft Corporation) EA3E88C4D516A8CF94E93939CD3CC709
C:\WINDOWS\system32\ipnathlp.dll
[2008-04-28 10:08] - [2008-04-28 10:08] - 0332288 ____A (Microsoft Corporation) DE96587B8AC476F54D840AD7E008C3AC
C:\WINDOWS\system32\netman.dll
[2008-04-14 08:00] - [2008-04-14 08:00] - 0198144 ____A (Microsoft Corporation) BE0CB143FA427D93440DED18DB8C918B
C:\WINDOWS\system32\wbem\WMIsvc.dll
[2010-09-17 12:49] - [2008-04-14 08:00] - 0145408 ____A (Microsoft Corporation) 5E9DEAE9980FF34BCD6DDE2E9E2BF911
C:\WINDOWS\system32\srsvc.dll
[2010-09-17 12:51] - [2008-04-14 08:00] - 0171520 ____A (Microsoft Corporation) 6ED29124A1C83BD0CF6B26BD01CA6F6F
C:\WINDOWS\system32\Drivers\sr.sys
[2010-09-17 12:51] - [2008-04-14 08:00] - 0073600 ____A (Microsoft Corporation) 39626E6DC1FB39434EC40C42722B660A
C:\WINDOWS\system32\wscsvc.dll
[2008-04-14 08:00] - [2008-04-14 08:00] - 0080896 ____A (Microsoft Corporation) C1FD85DB4A80A98D60ECB7A828E77FE0
C:\WINDOWS\system32\wbem\WMIsvc.dll
[2010-09-17 12:49] - [2008-04-14 08:00] - 0145408 ____A (Microsoft Corporation) 5E9DEAE9980FF34BCD6DDE2E9E2BF911
C:\WINDOWS\system32\wuauserv.dll
[2010-09-17 12:51] - [2009-08-06 13:23] - 0022744 ____A (Microsoft Corporation) 02E4055488047729B333F99D93877038
C:\WINDOWS\system32\qmgr.dll
[2010-09-17 12:51] - [2009-04-19 06:20] - 0408576 ____A (Microsoft Corporation) 783AEC130153069CB6F13790BEB64AB4
C:\WINDOWS\system32\es.dll
[2008-07-07 16:24] - [2008-07-07 16:24] - 0253952 ____A (Microsoft Corporation) 157F9C595FD0D10502497DC4C1348D17
C:\WINDOWS\system32\cryptsvc.dll
[2008-04-14 08:00] - [2008-04-14 08:00] - 0062464 ____A (Microsoft Corporation) 7A6D0B71035E123FDDA2156A25578AD3
C:\WINDOWS\system32\svchost.exe
[2008-10-03 07:54] - [2008-10-03 07:54] - 0014848 ____A (Microsoft Corporation) 67E38B4A549833E02D4D1617B5DBC318
C:\WINDOWS\system32\rpcss.dll
[2009-02-09 06:56] - [2009-02-09 06:56] - 0401408 ____A (Microsoft Corporation) F83B964469D230F445613C44DF9FE25D
C:\WINDOWS\system32\services.exe
[2009-12-24 00:36] - [2009-12-24 00:36] - 0111104 ____A (Microsoft Corporation) EFA4EA36A72DB28F0BE04B40C9CB2388
Extra List:
=======
aswTdi(8) Gpc(6) IPSec(4) NetBT(5) PSched(7) Tcpip(3)
0x080000000400000001000000020000000300000008000000050000000600000007000000
IpSec Tag value is correct.
**** End of log ****
Farbar Service Scanner Version: 14-04-2013
Ran by Administrateur (administrator) on 13-05-2013 at 12:34:28
Running from "C:\Documents and Settings\Administrateur\Bureau"
Microsoft Windows XP Service Pack 3 (X86)
Boot Mode: Normal
****************************************************************
Internet Services:
============
Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.
Windows Firewall:
=============
sharedaccess Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to retrieve start type of sharedaccess. The value does not exist.
Checking ImagePath: ATTENTION!=====> Unable to retrieve ImagePath of sharedaccess. The value does not exist.
Unable to retrieve ServiceDll of sharedaccess. The value does not exist.
Checking LEGACY_sharedaccess: ATTENTION!=====> Unable to open LEGACY_sharedaccess\0000 registry key. The key does not exist.
Firewall Disabled Policy:
==================
System Restore:
============
System Restore Disabled Policy:
========================
Security Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking LEGACY_wscsvc: ATTENTION!=====> Unable to open LEGACY_wscsvc\0000 registry key. The key does not exist.
Windows Update:
============
Windows Autoupdate Disabled Policy:
============================
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=DWORD:1
File Check:
========
C:\WINDOWS\system32\dhcpcsvc.dll
[2008-06-03 10:03] - [2008-06-03 10:03] - 0127488 ____A (Microsoft Corporation) AF05C284607F5DB89F51CC7E31064267
C:\WINDOWS\system32\Drivers\afd.sys
[2009-09-16 07:41] - [2009-09-16 07:41] - 0138496 ____A (Microsoft Corporation) E840FD588CD9DA721500E2CC3C0EFCA2
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys
[2008-07-28 07:53] - [2008-07-28 07:53] - 0361600 ____A (Microsoft Corporation) 367DE8E5F638C091F49273144274F629
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2009-05-22 03:45] - [2009-05-22 03:45] - 0045568 ____A (Microsoft Corporation) EA3E88C4D516A8CF94E93939CD3CC709
C:\WINDOWS\system32\ipnathlp.dll
[2008-04-28 10:08] - [2008-04-28 10:08] - 0332288 ____A (Microsoft Corporation) DE96587B8AC476F54D840AD7E008C3AC
C:\WINDOWS\system32\netman.dll
[2008-04-14 08:00] - [2008-04-14 08:00] - 0198144 ____A (Microsoft Corporation) BE0CB143FA427D93440DED18DB8C918B
C:\WINDOWS\system32\wbem\WMIsvc.dll
[2010-09-17 12:49] - [2008-04-14 08:00] - 0145408 ____A (Microsoft Corporation) 5E9DEAE9980FF34BCD6DDE2E9E2BF911
C:\WINDOWS\system32\srsvc.dll
[2010-09-17 12:51] - [2008-04-14 08:00] - 0171520 ____A (Microsoft Corporation) 6ED29124A1C83BD0CF6B26BD01CA6F6F
C:\WINDOWS\system32\Drivers\sr.sys
[2010-09-17 12:51] - [2008-04-14 08:00] - 0073600 ____A (Microsoft Corporation) 39626E6DC1FB39434EC40C42722B660A
C:\WINDOWS\system32\wscsvc.dll
[2008-04-14 08:00] - [2008-04-14 08:00] - 0080896 ____A (Microsoft Corporation) C1FD85DB4A80A98D60ECB7A828E77FE0
C:\WINDOWS\system32\wbem\WMIsvc.dll
[2010-09-17 12:49] - [2008-04-14 08:00] - 0145408 ____A (Microsoft Corporation) 5E9DEAE9980FF34BCD6DDE2E9E2BF911
C:\WINDOWS\system32\wuauserv.dll
[2010-09-17 12:51] - [2009-08-06 13:23] - 0022744 ____A (Microsoft Corporation) 02E4055488047729B333F99D93877038
C:\WINDOWS\system32\qmgr.dll
[2010-09-17 12:51] - [2009-04-19 06:20] - 0408576 ____A (Microsoft Corporation) 783AEC130153069CB6F13790BEB64AB4
C:\WINDOWS\system32\es.dll
[2008-07-07 16:24] - [2008-07-07 16:24] - 0253952 ____A (Microsoft Corporation) 157F9C595FD0D10502497DC4C1348D17
C:\WINDOWS\system32\cryptsvc.dll
[2008-04-14 08:00] - [2008-04-14 08:00] - 0062464 ____A (Microsoft Corporation) 7A6D0B71035E123FDDA2156A25578AD3
C:\WINDOWS\system32\svchost.exe
[2008-10-03 07:54] - [2008-10-03 07:54] - 0014848 ____A (Microsoft Corporation) 67E38B4A549833E02D4D1617B5DBC318
C:\WINDOWS\system32\rpcss.dll
[2009-02-09 06:56] - [2009-02-09 06:56] - 0401408 ____A (Microsoft Corporation) F83B964469D230F445613C44DF9FE25D
C:\WINDOWS\system32\services.exe
[2009-12-24 00:36] - [2009-12-24 00:36] - 0111104 ____A (Microsoft Corporation) EFA4EA36A72DB28F0BE04B40C9CB2388
Extra List:
=======
aswTdi(8) Gpc(6) IPSec(4) NetBT(5) PSched(7) Tcpip(3)
0x080000000400000001000000020000000300000008000000050000000600000007000000
IpSec Tag value is correct.
**** End of log ****
