infecter mais non detecter Résolu/Fermé

Question

bonjour a tous
je suis tres certainement infecter par quelques chose mais malheureusement aucun logiciel ne le detecte ( enfin ceux installer sur mon pc ) les symptomes sont les suivants, quand je me trouve sur le net, 2 fois sur 3 quand j'ouvre un lien je ne tombe pas sur la bonne fenetres voir assez souvent je tombe sur des sites pour adultes. la derniere fois que cela est arriver c'etait sur mon pc de salon et seul AVG antispyware l'avait detecter, or mon pc de salon est sous XP et mon pc portable lui est sous vista et pour le moment apparement il ne sont pas compatible, adaware se personnal et windows defender ne detecte rien. comment faire, merci de m'aider car la je suis dans une impasse, et surtout comment se fais t'il que je sois infecter alors que maintenant les pc dispose de securiter renforcer. merci

jeje the best · Answer

Tu sais rien n'est infaillible mais tu as peut etre un probleme avec un virus or tu n'as fait des scan qu'avec des anti spywares essaye d'avoir un anti virus si tu n'en a pas deja et lance un scan s'il ne voient rien c'est que tu n'est pas infecté ce qui m'etonnerais mais que voulais tu dire en disant ils ne sont pas compatible ?

Cordialement Jeje

Lyonnais92 · Answer

Bonjour

comment se fais t'il que je sois infecter alors que maintenant les pc dispose de securiter renforcer
Première nouvelle. Les sécurités sont installées par les utilisateurs. Les OS voient leurs faille de sécurité comblées peu à peu mais les créateurs de malawares sont de plus en plus inventifs. Et les meilleurs logiciels ne peuvent pas grand chose contre celui qui est devant le clavier, prêt à cliquer sur n'importe quoi !

Bon, ça ne règle pas ton problème !

Télécharge HijackThis ici: 
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif

Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum 

Démo : (Merci a Balltrap34 pour cette réalisation) 

http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

@+

fabriceg · Answer

Merci de ton aide et de ta rapidité, voici comme convenu le rapport demander                                              Logfile of HijackThis v1.99.1
Scan saved at 13:13:54, on 19/07/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\hijahdkis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.orange.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32
laapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
apinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://farice-gardon.spaces.live.com//PhotoUpload/VistaMsnPUpldfr-fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC380D3-8114-47BD-8DBE-038B7254613C}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{1110ACB7-E02E-4139-8F15-976744DC4747}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EC380D3-8114-47BD-8DBE-038B7254613C}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgemc.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\Program Files\Common Files\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Lyonnais92 · Answer

Re,

je te préviens tout de suite, ça risque de ne pas être simple.

Tu as une infection Wareout et l'outil d'éradication n'est pas compatible Vista. Il va falloir y aller "à la main" et je n'ai pas trouvé de modèle sur le NEt de désinfection réussie.

fais déjà ça :

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes 

O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC380D3-8114-47BD-8DBE-038B7254613C}: NameServer = 85.255.115.30,85.255.112.150 
O17 - HKLM\System\CCS\Services\Tcpip\..\{1110ACB7-E02E-4139-8F15-976744DC4747}: NameServer = 85.255.115.30,85.255.112.150 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150 
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EC380D3-8114-47BD-8DBE-038B7254613C}: NameServer = 85.255.115.30,85.255.112.150 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150 


Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

relance l'ordinateur, remets un log Hijackthis;
@+

 --
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

Lyonnais92 · Answer

Re,

ensuite, tu fais ça :
Scanner ensuite son PC avec un BitDefender en ligne (uniquement sous Internet Explorer) : 

https://www.bitdefender.com/toolbox/

Utilisation : 
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer. 
Ensuite, cliquer sur "Cliquez ici pour scanner". 
Patienter jusqu'à la fin du scan qui peut durer assez longtemps... 

Copier/coller le rapport entier sur le forum. 

Tutoriel en images ici  : (http://pageperso.aol.fr/rginformatique/mapage/defender.htm merci à Balltrap34 pour cette réalisation) 
@+

fabriceg · Answer

voici le second log d'Hijackthis apres la manip que tu m'as demander d'effectuer, je m'occupe de bitdefender en ligne de suite                                                                                                                                                  Logfile of HijackThis v1.99.1
Scan saved at 16:27:59, on 19/07/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\hijahdkis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32
laapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
apinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://farice-gardon.spaces.live.com//PhotoUpload/VistaMsnPUpldfr-fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC380D3-8114-47BD-8DBE-038B7254613C}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{1110ACB7-E02E-4139-8F15-976744DC4747}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EC380D3-8114-47BD-8DBE-038B7254613C}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgemc.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\Program Files\Common Files\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

fabriceg · Answer

j'ai un petit soucis avec bitdefender en ligne, apres le scan il me marque "scan failed! could not check the computer for viruses" et pas de rapport bien sur, est-ce normal?

Lyonnais92 · Answer

Re,

les informations que j'ai le dise compatible Vista

On verra plus tard.

Si tu as un scan de ton antivirus, poste le;

fais aussi ceci (c'est l'anti spy, pas l'antivirus) :
Tu télécharges AVG anti-spyware (gratuit même après la période d'essai) ici :

http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw

Tu enregistres le fichier dans un dossier.

A la fin du téléchargement, tu ouvres le dossier et tu doubles click sur avgas-setup-7.5.0.47.exe Tu suis les instructions.

Si on te demande de redémarrer ton ordinateur, tu le fais.

Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.

La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état", tu choisis inactif pour le bouclier résident.

Sur la page "mise à jour", tu coches les cases sur les mises à jour automatiques et tu fais une mise à jour manuelle (commencer la mise à jour). Tu redémarres l'ordinateur si nécessaire.
Sur la page "analyse", tu choisis d'abord l'onglet "paramètres". Tu coches "générer un rapport après chaque analyse" et "uniquement en cas de menaces". Tu choisis aussi l'option "quarantaine" pour "comment réagir", 'définir l'action par défaut ...'
Tu choisis l'onglet analyser, nouvelle analyse, analyse complète du système.
Aa fin de l'analyse, tu cliques sur "action", "appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre. 
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.

@+

fabriceg · Answer

j'ai les deux derniers rapports de avg(mon anti virus) les voici. pour ce qui est de avg anti-spyware je l'utilise deja sur mon pc de salon qui lui est sous XP, mais quand j'ai voulu l'installé sur vista ( mon pc infecté ) l'assistant de compatibilité des programme m'as dit que ce n'etait pas compatible avec vista, mais il y a un mois de cela, peut etre on t'ils crees un patch depuis. les 2 rapport suivent, merci

fabriceg · Answer

re,
je n'arrive pas a ressortir les deux dernier scan de avg, j'en refait un et te le poste se sera plus simple pour moi

Lyonnais92 · Answer

Re, normalement, AVG AS est compatible Vista. on continue. Va sur ce lien et télécharge Blacklight(de F-Secure) : < https://www.f-secure.com/en > et sauvegarde le sur ton Bureau Consulte le tuto de Malekal_morte ici : < https://www.malekal.com/tutorial-f-secure-blacklight/ > Tu suis le tuto pour la phase 1 (scan) et tu postes le rapport de blacklight dans ta réponse. @+ Edit juste une précision. Il semblerait qu'il faille choisir un paramétrage ad hoc : "compatible Exécuter en tant qu'administrateur". Cette formule est assez mystérieuse pour moi qui ne connait pas Vista. Elle te sera peut être plus parlante.

fabriceg · Answer

re,
pour blacklight, il y en a deux a telecharger, lequel est-ce

Lyonnais92 · Answer

Re

c'est le même outil avec une présentation graphique et une présentation MS-DOS. Choisis la présentation graphique.
@+

fabriceg · Answer

-voici le rapport avg as qui est comme tu l'avais dit maintenant compatible vista car il sont resorti un patch le 14 juin, et pour blacklight, lequel?? merci--------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	18:56:02 19/07/2007

 + Résultat de l'analyse:	



D:\Tuneup_Utilities 2007+keygen.rar/keygen.exe/server.exe -> Dropper.Nuclear.a : Nettoyé et sauvegardé (mise en quarantaine).
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@fnac.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@paypal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@3.adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@4.adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@ads.adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@ads.addynamix[1].txt -> TrackingCookie.Addynamix : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@casalemedia[1].txt -> TrackingCookie.Casalemedia : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@ad1.clickhype[1].txt -> TrackingCookie.Clickhype : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@cz8.clickzs[2].txt -> TrackingCookie.Clickzs : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@dealtime[1].txt -> TrackingCookie.Dealtime : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@ad.doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@enhance[2].txt -> TrackingCookie.Enhance : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@fastclick[1].txt -> TrackingCookie.Fastclick : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@goclick[1].txt -> TrackingCookie.Goclick : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@image.masterstats[1].txt -> TrackingCookie.Masterstats : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@mediaplex[2].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@stat.onestat[2].txt -> TrackingCookie.Onestat : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@overture[2].txt -> TrackingCookie.Overture : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@paycounter[1].txt -> TrackingCookie.Paycounter : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@www.paypal[1].txt -> TrackingCookie.Paypal : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@sexlist[1].txt -> TrackingCookie.Sexlist : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@counter1.sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@counter10.sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@counter12.sextracker[2].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@counter14.sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@counter15.sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@counter16.sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@counter2.sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@counter3.sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@counter4.sextracker[2].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@counter5.sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@counter6.sextracker[2].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@counter8.sextracker[1].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@counter9.sextracker[2].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@sextracker[2].txt -> TrackingCookie.Sextracker : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@spylog[2].txt -> TrackingCookie.Spylog : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@m.webtrends[1].txt -> TrackingCookie.Webtrends : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@xxxcounter[2].txt -> TrackingCookie.Xxxcounter : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@yadro[1].txt -> TrackingCookie.Yadro : Nettoyé.
C:\Users\Fabrice\AppData\Roaming\Microsoft\Windows\Cookies\fabrice@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé.


Fin du rapport

Lyonnais92 · Answer

Re,

tu choisis celle du haut (l'interface graphique).
@+

fabriceg · Answer

ok j'ai commencer le scan avec blaclight, je te poste le resultat des que c'est fini, encore merci pour ton aide car je crois que la sans toi, c'etait mort, une amie m'as conseillerhttp://www.securitystronghold.com/gates/wareout.html , qu'en pense tu, cela peut t'il resoudre le probleme plus simplement

fabriceg · Answer

re,
blacklight ne trouve rien, c peut etre pour ca que je n'arrive pas a acceder au rapport alors je te marque ce qu'il dit


Scan targets:
                     Hidden processes
                     Hidden files and folders

Status:
                     Scan completed
                     No hidden items were found


Summary:
                     Hidden items found:                         0
                     Items queued for renaming           0
c exactement ce qu'il y a d'ecrit dans la fenetre

Lyonnais92 · Answer

Re,

Ouvre ce lien :
https://www.bleepingcomputer.com/download/linux/
pour télécharger regsearch.zip.

Choisis Enregistrer puis Bureau.

A la fin du déchargement fais un clic droit sur l'icône de regsearch.zip créée sur le bureau,choisis Extraire tout et suis les instructions.

Exécute Regsearch.exe qui se trouve dans le dossier qui vient d'être créé en double-cliquant et clique sur exécuter.

Dans la fenêtre qui s'ouvre vérifie que toutes les cases sont cochées.

Ensuite écris ruins dans la première ligne de la fenêtre et urls dans la seconde.

Clique sur OK pour rechercher dans le registre.

En fin de recherche, le bloc-note s'ouvre. Copie-colle le contenu du rapport dans ta réponse.

Le rapport se trouve dans le même dossier que Regsearch.exe sous le nom RegSearch.txt.
@+

fabriceg · Answer

re, voici le dernier rapport que tu m'as demander                                                                                                          Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 19/07/2007 20:06:16 for strings:
;  'ruins'
;  'urls'
; Strings excluded from search:
;  (None)
; Search in: 
; Registry Keys  Registry Values  Registry Data  
; HKEY_LOCAL_MACHINE  HKEY_USERS  


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{87CC5D04-EAFA-4833-9820-8F986530CC00}]
@="IWebBrowserEventsUrlService"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F935DC2B-1CF0-11D0-ADB9-00C04FD58A0B}]
@="IWshURLShortcut"

[HKEY_LOCAL_MACHINE\SOFTWARE\FRANCE TELECOM\ORAHSS\Launcher\RunLists\NewUser\List]
"2"="\"C:\Program Files\OrangeHSS\Launcher\shell.exe\" C:\Program Files\OrangeHSS\Launcher\URLSearchHook.shl"

[HKEY_LOCAL_MACHINE\SOFTWARE\FRANCE TELECOM\ORAHSS\Launcher\RunLists\NewWindowsUser\List]
"2"="\"C:\Program Files\OrangeHSS\Launcher\shell.exe\" C:\Program Files\OrangeHSS\Launcher\URLSearchHook.shl"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\INTERNATIONAL\UTF8_URL]
"Text"="Send UTF-8 URLs"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\12.0\MSE\Languages\Language Services\CSS]
"Default to Non Hot URLs"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\12.0\MSE\Languages\Language Services\HTML]
"Default to Non Hot URLs"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Reliability Analysis\RAC]
"RacUrlSecurity"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0647F4CFCF054D115AE3000972A8B18B]
"00002109110000000000000000F01FEC"="C:\Program Files\Common Files\Microsoft Shared\Help\NamedURLs.HxK"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Help_Menu_URLs]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

[HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CCleaner\Options]
"(App)Recently Typed URLs"="True"

; End Of The Log...

Lyonnais92 · Answer

Re,

est ce que tu peux chercher si tu trouves ces fichiers sur ton ordi et où (nom complet) :

hclean32.exe
Wareout.exe

6b69ae716f1e720091c9a782a9103e9e.exe
nuclearbot.dll

@+

fabriceg · Answer

re,
as tu une idée du ou des dossier ou je dois chercher car en faisant une recherche avec windows ca ne donne rien et il y a tellement de fichier dans windows que c comme chercher une aiguille dans une botte de foin, merci

Lyonnais92 · Answer

Re,

non, je ne sais pas.

Deux idées :

vérifie que tu affiche les fichiers et dossiers cachés et les dossiers systèmes (je ne sais pas faire sous vista).

regarde ce qu'il y a dans D:\Tuneup_Utilities 2007+keygen.rar.
@+

fabriceg · Answer

re, 
c drole ce que tu me dis car mon anti virus m'as donner une alerte sur ce logiciel ( une version que g telecharger avec un crack, je sais c pas bien mais c'etait un essai) sans me mettre les objets en quarantaine, il les voit , me donne le nombre (3) mais ne peut apparemment rien faire. g fais un scan avec le logiciel que m'as recommander mon amies, veux tu que je te poste le resultat ?

Lyonnais92 · Answer

Re,

poste le résultat.

mais peux tu me donner le nom des fichiers contenus dans le répertoire en question.

En fait, c'est ma seule piste avec les 017. j'ai un outil qui va me donner les fichiers et clés créés à la mêm date qu'un fichier donné. mais il m'en faut un ! Et je le cherche. Après, on tirera la bobine.

@+

fabriceg · Answer

re
apparement j'ai ete trop optimiste sur le rapport car apparement on ne peut pas le copier ( bizzare ) pour les fichier il y a 2 fichier wordpad et le fichier d'installation du logiciel c tout, apres j'avais 3 autres version de ce logiciel mais sous archive rar et qui non pas ete decompresser, dans le doute je les ai effacer tout a l'heure

Lyonnais92 · Answer

Re,

donne moi les noms exacts des fichiers de ce répertoire.
@+

fabriceg · Answer

re,
la tu me voit un peu embetter car je les est effacer tout a l'heure, ou alors tu veux peut etre les fichier qui se trouve dans le dossier du programme danc c:/programmes

Lyonnais92 · Answer

Re,

on va essayer ça :

 Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redemanderl'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller

@+

fabriceg · Answer

re,
je suis desolé mais quand je lance le scan il me dit" Run-time error '75': Patch/File acces error" et cela 3 fois de suite, en me demandant de cliquer sur ok a chaque fois ( de toute facon il n'y a pas d'autre option) puis le scan se lance mais ne defile que des lignes ou est marqué " acces refusé " des dizaines de lignes, puis la fenetre disparait et puis plus rien ne se passe, que faire, j'ai exactement suivi les recommendation du tuto et de ce que tu m'as ecrit, que faire?

Lyonnais92 · Answer

Re,

on essaye ça :
Télécharge sur ton bureau DSS (ex Comboscan) :

(choisis enregistrer, puis Bureau comme emplacement) 

http://www.geekstogo.com/forum/files/

Ferme toutes les applications en cours. 
Double-clic sur comboscan.exe pour lancer l'outil. 
Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK. 
A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK. 
Le rapport Comboscan.txt va s'afficher, copie le dans ta prochaine réponse. Si un rapport complémentaire a été créé, poste le aussi dans ta réponse.
@+

fabriceg · Answer

re, voici le premier rapport et je te postele deuxieme de suite                                                                                  Deckard's System Scanner v20070711.54
Run by Fabrice on 2007-07-20 at 00:18:15
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- Last 2 Restore Point(s) --
2: 2007-07-18 22:00:02 UTC - RP86 - Point de contrôle planifié
1: 2007-07-18 06:50:24 UTC - RP85 - Windows Update


Backed up registry hives.

Performed disk cleanup.


-- HijackThis (run as Fabrice.exe) ---------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:20:13, on 20/07/2007
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32	askeng.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Common Files\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\conime.exe
C:\Users\Fabrice\Desktop\dss.exe
C:\Windows\system32\SearchFilterHost.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Fabrice.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.orange.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://farice-gardon.spaces.live.com//PhotoUpload/VistaMsnPUpldfr-fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC380D3-8114-47BD-8DBE-038B7254613C}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{1110ACB7-E02E-4139-8F15-976744DC4747}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EC380D3-8114-47BD-8DBE-038B7254613C}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgemc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\Program Files\Common Files\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

fabriceg · Answer

et voici le second, j'espere qu'ils te parlerons car moi cela me semble assez compliquer, merci                       Deckard's System Scanner v20070711.54
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft® Windows Vista™ Édition Familiale Premium  (build 6000)
Architecture: X86; Language: French

CPU 0: Mobile AMD Sempron(tm) Processor 3400+
Percentage of Memory in Use: 53%
Physical Memory (total/avail): 1277.56 MiB / 600.21 MiB
Pagefile Memory (total/avail): 2804.21 MiB / 1559.94 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1935.2 MiB

C: is Fixed (NTFS) - 33.21 GiB total, 12.47 GiB free. 
D: is Fixed (NTFS) - 33.51 GiB total, 24.72 GiB free. 
E: is CDROM (No Media)
F: is Removable (FAT)
G: is Removable (FAT)


-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is enabled.

AV: AVG 7.5.476 v7.5.476 (GRISOFT)
AS: AVG Anti-Spyware v7, 5, 1, 43 (GRISOFT s.r.o.) [COLOR=RED]Disabled[/COLOR] [COLOR=RED]Outdated[/COLOR]
AS: Windows Defender v1.1.1505.0 (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"="C:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe:*:enabled:CSS"
"C:\Program Files\WINSOS\winsos.exe"="C:\Program Files\WINSOS\winsos.exe:*:Enabled:Winsos"
"C:\Program Files\WINSOS\anti-spy.exe"="C:\Program Files\WINSOS\anti-spy.exe:*:Enabled:anti-spy Winsos"
"C:\Program Files\WINSOS\help.exe"="C:\Program Files\WINSOS\help.exe:*:Enabled:Winsos Help"


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\Fabrice\AppData\Roaming
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=PC-DE-FABRICE
ComSpec=C:\Windows\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Users\Fabrice
LOCALAPPDATA=C:\Users\Fabrice\AppData\Local
LOGONSERVER=\PC-DE-FABRICE
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\Program Files\PC Connectivity Solution\;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 76 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=4c02
ProgramData=C:\ProgramData
ProgramFiles=C:\Program Files
PROMPT=$P$G
PUBLIC=C:\Users\Public
SystemDrive=C:
SystemRoot=C:\Windows
TEMP=C:\Users\Fabrice\AppData\Local\Temp
TMP=C:\Users\Fabrice\AppData\Local\Temp
USERDOMAIN=PC-de-Fabrice
USERNAME=Fabrice
USERPROFILE=C:\Users\Fabrice
windir=C:\Windows


-- User Profiles ---------------------------------------------------------------

Fabrice


-- Add/Remove Programs ---------------------------------------------------------

 --> C:\Program Files\OrangeHSS\Uninstall\Bas_Debit_CustoUpdate\Shell.exe MainUninstall.shl
Ad-Aware SE Personal --> C:\PROGRA~1\Lavasoft\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\INSTALL.LOG
Adobe Flash Player ActiveX --> C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8 - Français --> MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A80000000002}
Archiveur WinRAR --> C:\Program Files\WinRAR\uninstall.exe
AVG Anti-Spyware 7.5 --> C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\Uninstall.exe
AVG Free Edition --> C:\Program Files\Grisoft\AVG Free\setup.exe /UNINSTALL
BitComet 0.70 --> C:\Program Files\BitComet\uninst.exe
CCleaner (remove only) --> "C:\Program Files\CCleaner\uninst.exe"
DivX Codec --> C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Content Uploader --> C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
eMule --> "C:\Program Files\eMule\Uninstall.exe"
EPSON Logiciel imprimante --> C:\Windows\system32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
EPSON Scan --> C:\Program Files\epson\escndv\setup\setup.exe /r
Ev0 --> C:\Program Files\MSN Messenger\uninstallEv0.exe
EVEREST Home Edition v2.20 --> "C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
Google Toolbar for Internet Explorer --> regsvr32 /u /s "c:\program files\google\googletoolbar2.dll"
InfraRecorder --> C:\Program Files\InfraRecorder\uninstall.exe
Java(TM) SE Runtime Environment 6 Update 1 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
Language pack for Ad-Aware SE --> C:\PROGRA~1\Lavasoft\AD-AWA~1\Plugins\Langs\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\Plugins\Langs\INSTALL.LOG
Microsoft Office Access MUI (French) 2007 --> MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007 --> MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007 --> MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007 --> MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007 --> MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint Viewer 2003 --> MsiExec.exe /X{90AF040C-6000-11D3-8CFE-0150048383C9}
Microsoft Office Professional Plus 2007 --> "C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007 --> MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007 --> MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007 --> MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007 --> MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007 --> MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007 --> MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007 --> MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007 --> MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Mozilla Firefox (2.0.0.4) --> C:\PROGRA~1\Mozilla Firefox\uninstall\helper.exe
Navigateur Orange --> C:\Program Files\OrangeHSS\Uninstall\Browser\Shell.exe MainUninstall.shl
Nokia Connectivity Cable Driver --> MsiExec.exe /X{972B1D9B-0EAD-49E8-B7D6-3B83FD5665B1}
Nokia PC Suite --> C:\ProgramData\Installations\{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}\Nokia_PC_Suite_683_rel_14_1_fre.exe /LANG="1036"
Nokia PC Suite --> MsiExec.exe /I{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}
Orange - Logiciels Internet --> C:\Program Files\OrangeHSS\installation\core\Installgui.exe -u
Package de pilotes Windows - Nokia Modem (11/03/2006 6.82.0.1) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository
okbtmdm.inf_7dedec2f
okbtmdm.inf
PC Connectivity Solution --> MsiExec.exe /I{066D65EA-ED53-44E4-A96A-F81B6E409D2E}
Security Update for Excel 2007 (KB936509) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {A00724F5-82C4-4924-B707-0E5A84B52471}
Security Update for Office 2007 (KB934062) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {305D509B-F194-4638-9F0F-D9E4C05F9D33}
Security Update for Office 2007 (KB936514) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C7A78F7F-EF32-4477-BAD7-3439EA7571BF}
Security Update for Publisher 2007 (KB936646) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {A32E4BAF-6477-45FA-B8AB-E743FA8D63FF}
SUPER © Version 2007.bld.21 (Jan 4, 2007) --> C:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0
Synaptics Pointing Device Driver --> rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Tomb Raider: Anniversary 1.0 --> C:\Program Files\Tomb Raider - Anniversary\uninsttra.exe
True Sword 4 --> "C:\Program Files\True Sword 4\unins000.exe"
TuneUp Utilities 2007 --> MsiExec.exe /I{C8BB4912-12D9-42AE-B571-E580D8CD1B5B}
Update for Office 2007 (KB932080) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {EDC9CA29-6BC1-471C-828C-7A36109005D7}
Update for Office 2007 (KB934391) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {B3091818-7C56-4C45-BE7D-CA23027A5EA5}
Update for Office 2007 (KB934393) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {92FBAD46-E7F6-49FA-89B5-C39FC5BFAD15}
Update for Outlook 2007 (KB937608) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {CBB2454D-193F-4523-8A31-FEB343B7C30E}
Update for Outlook 2007 Junk Email Filter (kb936558) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {B6B2802B-6631-4EBE-A062-44AE0C1F0BED}
Update for Word 2007 (KB934173) --> msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C6A89125-5473-45E3-B413-ED8186437475}
Windows Live Messenger --> MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows Live OneCare safety scanner --> "C:\Program Files\Windows Live Safety Center\UnInstall.exe"
Windows Live OneCare safety scanner --> MsiExec.exe /X{FE0646A7-19D0-41B4-A2BB-2C35D644270D}
Windows Live Sign-in Assistant --> MsiExec.exe /I{49672EC2-171B-47B4-8CE7-50D7806360D7}
XviD 1.1 final uninstall --> "C:\Program Files\XviD\unins000.exe"


-- End of Deckard's System Scanner: finished at 2007-07-20 at 00:20:57 ---------

Lyonnais92 · Answer

Re,

fais ça :
==> Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : 1110ACB7-E02E-4139-8F15-976744DC4747
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient 


@+

fabriceg · Answer

bonjour, j'espere que tu as bien dormi.je viens de faire la manip que tu m'as demander et voici ce qu'il se passe. je rentre les donner ( 1110ACB7-E02E-4139-8F15-976744DC4747 et 6) comme tu m'as demander, le processus se lance, il inscrit "recherche registre en cours" puis "test presence fichier" puis "fichier introuvable" et ensuite s'affiche un fenetre bloc note vierge avec une autre fenetre dedans m'indiquant" impossible de trouver le fichier c:\result.txt voulez vous le creer" et la que je clique sur oui, non ou annulé il ne se passe rien, la petite fenetre disparait et le bloc note reste vierge; y a t'il une subtiliter que je n'ai pas compris ? a+

Lyonnais92 · Answer

Bonjour,

je vais voir ça avec le créateur de l'outil.

Peux tu refaire ceci :


Relance HijackThis. 

Choisis Do a scan only 

Coche la case devant les lignes suivantes 

O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC380D3-8114-47BD-8DBE-038B7254613C}: NameServer = 85.255.115.30,85.255.112.150 
O17 - HKLM\System\CCS\Services\Tcpip\..\{1110ACB7-E02E-4139-8F15-976744DC4747}: NameServer = 85.255.115.30,85.255.112.150 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150 
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EC380D3-8114-47BD-8DBE-038B7254613C}: NameServer = 85.255.115.30,85.255.112.150 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150 


Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur. 

Clique sur fix checked. 

Ferme Hijackthis. 

ne relance pas l'ordinateur, remets un log Hijackthis; 
@+

fabriceg · Answer

re,
quand je lance Hijackthis, il me marque dans une fenetre " For some reason your system denied write access to the hosts file if any hyjacked domains are in this file, hijackthis may NOT be able to fix this; if that happens, you need toi the file yourself. to do this, clik start, run and type: notepad " c:\windows\system32\drivers\et\hosts" and press enter. find the line(s) Hijackyhis report and delete them save the file as "host". ( with quotes ), and reboot" et il me demande d'appuyer sur ok puis il marque" An unexpected error has occurent at procedure: modMain_checkother( apres ce mot il y a un grand oval mais je ne l'est pas sur mon clavier ) please email me at merijn@spywareinfo.com, reporting the following: *what you were trying to fix when the error occurred, if applicable *how you can reproduce the error *a complete hijackthis scan log, if possible. windows version: windows NT 6.00.1904 MSIE version: 7.0.6000.16473 Hijackthis version: 1.99.1. this message has been copied to your clipboard. click OK to continue the rest of scan." puis il fait son scan, mais comme mon anglais est tres proche du nul je ne voit pas ce que cela veut dire, je te poste le rapport hijackthis de suite

fabriceg · Answer

voici le rapport hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 12:12:12, on 20/07/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32	askeng.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Windows\system32\conime.exe
C:\hijahdkis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32
laapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
apinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://farice-gardon.spaces.live.com//PhotoUpload/VistaMsnPUpldfr-fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EC380D3-8114-47BD-8DBE-038B7254613C}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{1110ACB7-E02E-4139-8F15-976744DC4747}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EC380D3-8114-47BD-8DBE-038B7254613C}: NameServer = 85.255.115.30,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.30 85.255.112.150
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgemc.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\Program Files\Common Files\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Lyonnais92 · Answer

Re,

pour OAD, il faut faire ceci :

Pour l'utilisation sous Vista:

Clique droit sur le fichier OAD.exe et sur Propriétés, dans l'onglet Compatibilité, Cadre "Niveau de privilège" il faut cocher "Exécuter ce programme en tant qu'administrateur".

Tu fais ça et tu relances OAD comme demandé.

Tu fais la même chose avec hijackthis.exe et tu recommences ce que j'ai demandé pour les lignes 017.

On va voir si ça change des choses.

En plus, tu ouvres hijackthis, tu choisis open the misc tool serction et tu choisi hosts file. tu choisis open in notepad (le bloc-notes) et tu copies le contenu dans ta réponse.
@+

fabriceg · Answer

re,
voici le rapport OAD
 20/07/2007 ---- 12:35:53,83  

----------------------------------
§§§§§§ [ 1110ACB7-E02E-4139-8F15-976744DC4747 ] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

fabriceg · Answer

re,
et voici le rapport hijackthis, tu constateras que les lignes 017 ont disparues, grace a toi je crois qu'on tient le bon bout
Logfile of HijackThis v1.99.1
Scan saved at 12:39:48, on 20/07/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32	askeng.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\hijahdkis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.orange.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32
laapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
apinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://farice-gardon.spaces.live.com//PhotoUpload/VistaMsnPUpldfr-fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgemc.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\Program Files\Common Files\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

fabriceg · Answer

re,
et voici maintenant le rapport hijackthis 'host file'
# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost
::1             localhost

Lyonnais92 · Answer

Re,

on a progressé (merci Nardino), car on sait mieux faire fonctionner les outils.

Redémarre l'ordi, relance Hijackthis. Si les lignes 017 n'ont pas réapparu, on aura fait un grand pas.

Autre critère, où en es tu de tes détournements de page Web ?

@+

fabriceg · Answer

re,
voici le rapport hijackthis apres redemarrage du pc, je teste ensuite mon problème internet
Logfile of HijackThis v1.99.1
Scan saved at 13:05:45, on 20/07/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\hijahdkis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32
laapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
apinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://farice-gardon.spaces.live.com//PhotoUpload/VistaMsnPUpldfr-fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgemc.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\Program Files\Common Files\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

fabriceg · Answer

re,
apparement la connexion internet a l'air de fonctionner normalement, pas de detournement de fenetres

Lyonnais92 · Answer

Re,

un souci pour te répondre.

Les bonnes nouvelles continuent mais on n'est pas forcément tirés d'affaires.

Refais tourner OAD avec ces 4 fichiers :
hclean32.exe 
Wareout.exe 

6b69ae716f1e720091c9a782a9103e9e.exe 
nuclearbot.dll 


Attention, les rapports vont être écrasés. Poste les un par un.

Qu'y-a-t-il comme parefeu sous Vista ? Il est activé ? Il permet de contrôler les connexions sortantes ?
@+

fabriceg · Answer

re,
pour le parefeu de vista, pour ma par c le parefeu windows d'origine, il est actuellement activer, en revanche je ne sais pas si il controle aussi les connexion sortante, pour OAD je le fais de suite et te poste les rapports

fabriceg · Answer

re,
voici le rapport OAD pour la recherche de hclean32.exe
 20/07/2007 ---- 15:31:22,01  

----------------------------------
§§§§§§ [hclean32.exe] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

fabriceg · Answer

voici pour wareout.exe
 20/07/2007 ---- 15:34:08,69  

----------------------------------
§§§§§§ [Wareout.exe] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

fabriceg · Answer

voici pour le dossier avec tous les chiffres
 20/07/2007 ---- 15:39:10,57  

----------------------------------
§§§§§§ [6b69ae716f1e720091c9a782a9103e9e.exe] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

fabriceg · Answer

et voici pour nuclear.dll
 20/07/2007 ---- 15:42:30,19  

----------------------------------
§§§§§§ [nuclearbot.dll] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Lyonnais92 · Answer

Re,

OK Les indicateurs restent au beau fixe.

Je te propose de remplacer le parefeu Windows par ZoneAlarm.

Tu as ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

un tutoriel très bien fait avec un lien de téléchargement. Vista fait partie des OS supportés.

Pour le reste, utilise normalement le PC.

Si tout se passe bien, tu reviens dans 3 jours nous confimer que tout va bien. Si tu as un problème, tu réouvres le post, je serai alerté automatiquement.

Tu as un peu essuyé les plâtres de ma méconnaissance de Vista. On aurait pu aller plus vite et plus sûr. Désolé.
@+

moe · Answer

Salut

Jolie partie de cache-cache.

Au beau fixe très surement car l'infection n'a plus l'air active après reboot.
Avant d'en être certain, peut-être reste à vérifier si  le DNSchanger ou rootkit user mode que vous recherchez depuis le départ, ne se trouve pas toujours ici et s'il existe bien toujours  sous ce nom aléatoire:

C:\Windows\System32\kdbig.exe

Le marqueur qui permet d'identifier le nom exact du fichier dans le registre se situe toujours ici, dans la valeur de cette clé:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"="kdbig.exe"


A+

Lyonnais92 · Answer

Bonjour,

moe, merci de cette info qui est le chaînon manquant que je n'ai pas su trouver dans les fichiers de Fixwareout.

fabrice, relance une dernière (?) fois OAD sur kdbig.exe. Si le rapport est vide, pas la peine de le poster. Ndique seulement qu'il n'a rien trouvé.

Ex-post, je ne suis d'ailleurs plus convaincu d'une infection wareout, faute de voir quel outil en serait venu à bout.

Je me suis orienté sur au vu des 017, mais j'ai déjà vu ces 017 associées à d'autres infections (plus exactement les IP ukrainiennes).

La seule chose trouvée, c'est l'infection Dropper.Nuclear.a dont il semble que AVG AS soit venu à bout. 

@+

moe · Answer

Re,

En fait l'infection Wareout traité par Fixwareout telle qu'elle était il y a quelques mois n'existe pratiquement plus aujourd'hui, seul le dnschanger/rootkit qui était un de ses composants continue de circuler encore, notamment via les faux codecs le plus souvent.
Si mes souvenirs sont bons, le principe n'a pas trop bougé depuis ce temps là, un processus de cinq caractères aléatoires, avec une certaine constance pour les deux premiers et la même clé de lancement dans le registre comme celle détecté par DSS:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=nom.exe
Hijack des DNS, parasitage des recherches google et facheuse tandance à se copier sous un autre nom et s'auto supprimer ensuite.

Apparement catchme et blacklight n'ont rien vu, donc il y a de fortes chances que le fichier ait déjà été supprimé et l'infection définitivement out.


"...faute de voir quel outil en serait venu à bout."
Blacklight et la fonction qui permet de renommer après reboot par exemple ou avec IceSword (version compatible vista) qui nécessite quelques manips, mais d'une efficacité redoutable...Du moment qu'ils soient tout les deux lancés avec des droits admin, sinon...

a+

Lyonnais92 · Answer

Re,

je me rends compte que, quand tu as un bon fix, tu ne sais plus comment fonctionne l'infection.

Il faut des circonstances exceptionnelles pour s'y intéresser.

Pour "...faute de voir quel outil en serait venu à bout.", je me suis mal exprimé. Je voulais dire "en était venu à bout" (car tout avait été négatif), y compris Blacklight qui aurait (merci QC001 qui a fourni l'info dans un (vieux, en 2005) post) du le déceler. Hors comme tu l'as dit, dans la partie de cache-cache, mon inexpérience de Vista le laissait toujours le doute : il n'y a rien ou l'outil dysfonctionne ?
Sinon, si on en était réduit à prier le ciel que ce ne soit pas l'infection machin car on ne sait pas quels outils vont en venir à bout, il vaudrait mieux changer de hobby lol.

Il reste qu'il y avait les 017 et un comportement de détournement des pages web identique à wareout. Mais le seul outil à avoir fourni une action positive a été AVG AS et je ne crois pas qu'il intervienne sur le registre.
@+

fabriceg · Answer

re,
tu n'as pas a t'excuser de tes meconnaissance de vista car meme avec ce petit handicap tu as su resoudre mon probleme, je fais le dernier scan que tu m'as demander et je te donne la reponse
encore mille fois merci de ton aide

fabriceg · Answer

re, 
je te poste le dernier rapport de OAD qui semble positif a la recherche de " kdbig.exe " et pour finir mon message de tout a l'heure je tient a te rappeler que c aussi grace a toi que je sais que maintenant avg as est enfin compatible vista, merci

fabriceg · Answer

re, je viens de realiser que g oublié de poster le rapport dans le dernier message, lol
 20/07/2007 ---- 18:09:59,55  

----------------------------------
§§§§§§ [kdbig.exe] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdbig.exe"

*******************
     [Fichier] 
*******************

c:\Windows\System32\kdbig.exe
c:\Windows\System32\kdbig.exe


*********************
     [Même date] 
*********************

C:\$Recycle.Bin 
C:\Documents 
C:\Windows\bfsvc.exe 
C:\Windows\Boot 
C:\Windows\Branding 
C:\Windows\Cursors 
C:\Windows\DigitalLocker 
C:\Windows\explorer.exe 
C:\Windows\fr-FR 
C:\Windows\fveupdate.exe 
C:\Windows\Globalization 
C:\Windows\Help 
C:\Windows\HelpPane.exe 
C:\Windows\hh.exe 
C:\Windows\IME 
C:\Windows\L2Schemas 
C:\Windows\LiveKernelReports 
C:\Windows\Media 
C:\Windows\mib.bin 
C:\Windows\MSAgent 
C:\Windows
ap 
C:\Windows
otepad.exe 
C:\Windows\Offline 
C:\Windows\Performance 
C:\Windows\PLA 
C:\Windows\PolicyDefinitions 
C:\Windows\Provisioning 
C:\Windowsegedit.exe 
C:\Windows\Resources 
C:\Windows\SchCache 
C:\Windows\schemas 
C:\Windows\security 
C:\Windows\ServiceProfiles 
C:\Windows\Setup 
C:\Windows\SETUPAPI.LOG 
C:\Windows\Speech 
C:\Windows\system 
C:\Windows	api 
C:\Windows	racing 
C:\Windows	wain.dll 
C:\Windows	wain_32.dll 
C:\Windows	wunk_16.exe 
C:\Windows	wunk_32.exe 
C:\Windows\Web 
C:\Windows\WindowsMobile 
C:\Windows\WindowsShell.Manifest 
C:\Windows\winhlp32.exe 
C:\Windows\WMSysPr9.prx 
C:\Windows\system32\040C 
C:\Windows\system32\aaclient.dll 
C:\Windows\system32\accessibilitycpl.dll 
C:\Windows\system32\acledit.dll 
C:\Windows\system32\aclui.dll 
C:\Windows\system32\acppage.dll 
C:\Windows\system32\acprgwiz.dll 
C:\Windows\system32\ActionQueue.dll 
C:\Windows\system32\ActiveContentWizard.dll 
C:\Windows\system32\activeds.dll 
C:\Windows\system32\activeds.tlb 
C:\Windows\system32\actxprxy.dll 
C:\Windows\system32\ACW.exe 
C:\Windows\system32\AdapterTroubleshooter.exe 
C:\Windows\system32\admparse.dll 
C:\Windows\system32\adsldp.dll 
C:\Windows\system32\adsldpc.dll 
C:\Windows\system32\adsmsext.dll 
C:\Windows\system32\adsnt.dll 
C:\Windows\system32\adtschema.dll 
C:\Windows\system32\AdvancedInstallers 
C:\Windows\system32\advapi32.dll 
C:\Windows\system32\aecache.dll 
C:\Windows\system32\aelupsvc.dll 
C:\Windows\system32\alg.exe 
C:\Windows\system32\AltTab.dll 
C:\Windows\system32\amcompat.tlb 
C:\Windows\system32\amstream.dll 
C:\Windows\system32\amxread.dll 
C:\Windows\system32\ANSI.SYS 
C:\Windows\system32\apds.dll 
C:\Windows\system32\apilogen.dll 
C:\Windows\system32\apircl.dll 
C:\Windows\system32\append.exe 
C:\Windows\system32\apphelp.dll 
C:\Windows\system32\Apphlpdm.dll 
C:\Windows\system32\appinfo.dll 
C:\Windows\system32\appwiz.cpl 
C:\Windows\system32\apss.dll 
C:\Windows\system32\ar-SA 
C:\Windows\system32\ARP.EXE 
C:\Windows\system32\asferror.dll 
C:\Windows\system32\asycfilt.dll 
C:\Windows\system32\at.exe 
C:\Windows\system32\AtBroker.exe 
C:\Windows\system32\atl.dll 
C:\Windows\system32\atmfd.dll 
C:\Windows\system32\atmlib.dll 
C:\Windows\system32\attrib.exe 
C:\Windows\system32\audiodev.dll 
C:\Windows\system32\audiodg.exe 
C:\Windows\system32\AudioEng.dll 
C:\Windows\system32\AUDIOKSE.dll 
C:\Windows\system32\AudioSes.dll 
C:\Windows\system32\audiosrv.dll 
C:\Windows\system32\auditpol.exe 
C:\Windows\system32\Aurora.scr 
C:\Windows\system32\authfwcfg.dll 
C:\Windows\system32\AuthFWGP.dll 
C:\Windows\system32\AuthFWSnapin.dll 
C:\Windows\system32\AuthFWWizFwk.dll 
C:\Windows\system32\authui.dll 
C:\Windows\system32\authz.dll 
C:\Windows\system32\autochk.exe 
C:\Windows\system32\autoconv.exe 
C:\Windows\system32\autofmt.exe 
C:\Windows\system32\autoplay.dll 
C:\Windows\system32\AuxiliaryDisplayApi.dll 
C:\Windows\system32\AuxiliaryDisplayClassInstaller.dll 
C:\Windows\system32\AuxiliaryDisplayCpl.dll 
C:\Windows\system32\AuxiliaryDisplayDriverLib.dll 
C:\Windows\system32\AuxiliaryDisplayServices.dll 
C:\Windows\system32\avicap.dll 
C:\Windows\system32\avicap32.dll 
C:\Windows\system32\avifil32.dll 
C:\Windows\system32\avifile.dll 
C:\Windows\system32\avrt.dll 
C:\Windows\system32\axaltocm.dll 
C:\Windows\system32\azroles.dll 
C:\Windows\system32\azroleui.dll 
C:\Windows\system32\AzSqlExt.dll 
C:\Windows\system32\basecsp.dll 
C:\Windows\system32\basesrv.dll 
C:\Windows\system32\batmeter.dll 
C:\Windows\system32\batt.dll 
C:\Windows\system32\bcdedit.exe 
C:\Windows\system32\bcdprov.dll 
C:\Windows\system32\bcdsrv.dll 
C:\Windows\system32\bcrypt.dll 
C:\Windows\system32\bdaplgin.ax 
C:\Windows\system32\BFE.DLL 
C:\Windows\system32\bg-BG 
C:\Windows\system32\bidispl.dll 
C:\Windows\system32\bitsadmin.exe 
C:\Windows\system32\bitsigd.dll 
C:\Windows\system32\bitsperf.dll 
C:\Windows\system32\bitsprx2.dll 
C:\Windows\system32\bitsprx3.dll 
C:\Windows\system32\bitsprx4.dll 
C:\Windows\system32\bitsprx5.dll 
C:\Windows\system32\blackbox.dll 
C:\Windows\system32\Boot 
C:\Windows\system32\bootcfg.exe 
C:\Windows\system32\bootstr.dll 
C:\Windows\system32\BOOTVID.DLL 
C:\Windows\system32\bopomofo.uce 
C:\Windows\system32\Branding 
C:\Windows\system32\brcoinst.dll 
C:\Windows\system32\brcpl.dll 
C:\Windows\system32\brcplsdw.dll 
C:\Windows\system32\brdgcfg.dll 
C:\Windows\system32\bridgeres.dll 
C:\Windows\system32\bridgeunattend.exe 
C:\Windows\system32\browser.dll 
C:\Windows\system32\browseui.dll 
C:\Windows\system32\bthci.dll 
C:\Windows\system32\bthprops.cpl 
C:\Windows\system32\bthserv.dll 
C:\Windows\system32\bthudtask.exe 
C:\Windows\system32\btpanui.dll 
C:\Windows\system32\Bubbles.scr 
C:\Windows\system32\cabinet.dll 
C:\Windows\system32\cabview.dll 
C:\Windows\system32\cacls.exe 
C:\Windows\system32\calc.exe 
C:\Windows\system32\capisp.dll 
C:\Windows\system32\CardGames.dll 
C:\Windows\system32\catsrv.dll 
C:\Windows\system32\catsrvps.dll 
C:\Windows\system32\catsrvut.dll 
C:\Windows\system32\cdd.dll 
C:\Windows\system32\cdosys.dll 
C:\Windows\system32\cero.rs 
C:\Windows\system32\certcli.dll 
C:\Windows\system32\certenc.dll 
C:\Windows\system32\CertEnroll.dll 
C:\Windows\system32\CertEnrollUI.dll 
C:\Windows\system32\certmgr.dll 
C:\Windows\system32\certprop.dll 
C:\Windows\system32\certreq.exe 
C:\Windows\system32\certutil.exe 
C:\Windows\system32\cewmdm.dll 
C:\Windows\system32\cfgbkend.dll 
C:\Windows\system32\cfgmgr32.dll 
C:\Windows\system32\chajei.ime 
C:\Windows\system32\charmap.exe 
C:\Windows\system32\chcp.com 
C:\Windows\system32\chkdsk.exe 
C:\Windows\system32\chkntfs.exe 
C:\Windows\system32\choice.exe 
C:\Windows\system32\chsbrkr.dll 
C:\Windows\system32\chtbrkr.dll 
C:\Windows\system32\CHxReadingStringIME.dll 
C:\Windows\system32\ci.dll 
C:\Windows\system32\cic.dll 
C:\Windows\system32\cintlgnt.ime 
C:\Windows\system32\cipher.exe 
C:\Windows\system32\CIRCoInst.dll 
C:\Windows\system32\clb.dll 
C:\Windows\system32\clbcatq.dll 
C:\Windows\system32\cleanmgr.exe 
C:\Windows\system32\clfs.sys 
C:\Windows\system32\clfsw32.dll 
C:\Windows\system32\cliconfg.dll 
C:\Windows\system32\cliconfg.exe 
C:\Windows\system32\cliconfg.rll 
C:\Windows\system32\clip.exe 
C:\Windows\system32\clusapi.dll 
C:\Windows\system32\cmcfg32.dll 
C:\Windows\system32\cmd.exe 
C:\Windows\system32\cmdial32.dll 
C:\Windows\system32\cmdkey.exe 
C:\Windows\system32\cmdl32.exe 
C:\Windows\system32\cmicryptinstall.dll 
C:\Windows\system32\cmipnpinstall.dll 
C:\Windows\system32\cmlua.dll 
C:\Windows\system32\cmmon32.exe 
C:\Windows\system32\cmpbk32.dll 
C:\Windows\system32\cmstp.exe 
C:\Windows\system32\cmstplua.dll 
C:\Windows\system32\cmutil.dll 
C:\Windows\system32\cngaudit.dll 
C:\Windows\system32\cnvfat.dll 
C:\Windows\system32\CodeIntegrity 
C:\Windows\system32\cofire.exe 
C:\Windows\system32\cofiredm.dll 
C:\Windows\system32\colbact.dll 
C:\Windows\system32\collab.cpl 
C:\Windows\system32\COLORCNV.DLL 
C:\Windows\system32\colorcpl.exe 
C:\Windows\system32\colorui.dll 
C:\Windows\system32\com 
C:\Windows\system32\comcat.dll 
C:\Windows\system32\comctl32.dll 
C:\Windows\system32\comdlg32.dll 
C:\Windows\system32\COMM.drv 
C:\Windows\system32\COMMAND.COM 
C:\Windows\system32\COMMDLG.DLL 
C:\Windows\system32\comp.exe 
C:\Windows\system32\compact.exe 
C:\Windows\system32\CompatUI.dll 
C:\Windows\system32\CompMgmtLauncher.exe 
C:\Windows\system32\compstui.dll 
C:\Windows\system32\ComputerDefaults.exe 
C:\Windows\system32\comrepl.dll 
C:\Windows\system32\comres.dll 
C:\Windows\system32\comsnap.dll 
C:\Windows\system32\comsvcs.dll 
C:\Windows\system32\comuid.dll 
C:\Windows\system32\conime.exe 
C:\Windows\system32\connect.dll 
C:\Windows\system32\consent.exe 
C:\Windows\system32\console.dll 
C:\Windows\system32\control.exe 
C:\Windows\system32\convert.exe 
C:\Windows\system32\corpol.dll 
C:\Windows\system32\country.sys 
C:\Windows\system32\credssp.dll 
C:\Windows\system32\credui.dll 
C:\Windows\system32\credwiz.exe 
C:\Windows\system32\CRPPresentation.dll 
C:\Windows\system32\crtdll.dll 
C:\Windows\system32\cryptdlg.dll 
C:\Windows\system32\cryptdll.dll 
C:\Windows\system32\cryptext.dll 
C:\Windows\system32\cryptnet.dll 
C:\Windows\system32\cryptsvc.dll 
C:\Windows\system32\cryptui.dll 
C:\Windows\system32\cs-CZ 
C:\Windows\system32\cscapi.dll 
C:\Windows\system32\cscdll.dll 
C:\Windows\system32\cscript.exe 
C:\Windows\system32\csrss.exe 
C:\Windows\system32\csrstub.exe 
C:\Windows\system32\ctfmon.exe 
C:\Windows\system32\ctl3d32.dll 
C:\Windows\system32\C_G18030.DLL 
C:\Windows\system32\C_IS2022.DLL 
C:\Windows\system32\C_ISCII.DLL 
C:\Windows\system32\d3d10.dll 
C:\Windows\system32\d3d10core.dll 
C:\Windows\system32\d3d8.dll 
C:\Windows\system32\d3d8thk.dll 
C:\Windows\system32\d3d9.dll 
C:\Windows\system32\d3dim.dll 
C:\Windows\system32\d3dim700.dll 
C:\Windows\system32\d3dramp.dll 
C:\Windows\system32\d3dxof.dll 
C:\Windows\system32\da-DK 
C:\Windows\system32\dataclen.dll 
C:\Windows\system32\davclnt.dll 
C:\Windows\system32\dbgeng.dll 
C:\Windows\system32\dbghelp.dll 
C:\Windows\system32\dbnetlib.dll 
C:\Windows\system32\dbnmpntw.dll 
C:\Windows\system32\dciman32.dll 
C:\Windows\system32\dcomcnfg.exe 
C:\Windows\system32\DDACLSys.dll 
C:\Windows\system32\DDEML.DLL 
C:\Windows\system32\ddraw.dll 
C:\Windows\system32\ddrawex.dll 
C:\Windows\system32\de-DE 
C:\Windows\system32\debug.exe 
C:\Windows\system32\Defrag.exe 
C:\Windows\system32\desk.cpl 
C:\Windows\system32\deskadp.dll 
C:\Windows\system32\deskmon.dll 
C:\Windows\system32\deskperf.dll 
C:\Windows\system32\desktop.ini 
C:\Windows\system32\devenum.dll 
C:\Windows\system32\DeviceEject.exe 
C:\Windows\system32\DeviceProperties.exe 
C:\Windows\system32\devmgr.dll 
C:\Windows\system32\dfdts.dll 
C:\Windows\system32\DFDWiz.exe 
C:\Windows\system32\dfrgfat.exe 
C:\Windows\system32\dfrgifc.exe 
C:\Windows\system32\dfrgifps.dll 
C:\Windows\system32\DfrgNtfs.exe 
C:\Windows\system32\DfrgRes.dll 
C:\Windows\system32\dfrgui.exe 
C:\Windows\system32\dfshim.dll 
C:\Windows\system32\dfsr.exe 
C:\Windows\system32\dfsrperf.dll 
C:\Windows\system32\dfsrres.dll 
C:\Windows\system32\DfsShlEx.dll 
C:\Windows\system32\dhcpcmonitor.dll 
C:\Windows\system32\dhcpcsvc.dll 
C:\Windows\system32\dhcpcsvc6.dll 
C:\Windows\system32\DHCPQEC.DLL 
C:\Windows\system32\dhcpsapi.dll 
C:\Windows\system32\dhcpsoc.dll 
C:\Windows\system32\diagperf.dll 
C:\Windows\system32\dialer.exe 
C:\Windows\system32\diantz.exe 
C:\Windows\system32\dimsjob.dll 
C:\Windows\system32\dimsroam.dll 
C:\Windows\system32\dinput.dll 
C:\Windows\system32\dinput8.dll 
C:\Windows\system32\diskcomp.com 
C:\Windows\system32\diskcopy.com 
C:\Windows\system32\diskcopy.dll 
C:\Windows\system32\diskpart.exe 
C:\Windows\system32\diskperf.exe 
C:\Windows\system32\diskraid.exe 
C:\Windows\system32\dispci.dll 
C:\Windows\system32\dispdiag.exe 
C:\Windows\system32\dispex.dll 
C:\Windows\system32\dllhost.exe 
C:\Windows\system32\dllhst3g.exe 
C:\Windows\system32\dmband.dll 
C:\Windows\system32\dmcompos.dll 
C:\Windows\system32\dmdlgs.dll 
C:\Windows\system32\dmdskmgr.dll 
C:\Windows\system32\dmdskres.dll 
C:\Windows\system32\dmime.dll 
C:\Windows\system32\dmintf.dll 
C:\Windows\system32\dmloader.dll 
C:\Windows\system32\dmocx.dll 
C:\Windows\system32\dmscript.dll 
C:\Windows\system32\dmstyle.dll 
C:\Windows\system32\dmsynth.dll 
C:\Windows\system32\dmusic.dll 
C:\Windows\system32\dmutil.dll 
C:\Windows\system32\dmvdsitf.dll 
C:\Windows\system32\dmview.ocx 
C:\Windows\system32\dnsapi.dll 
C:\Windows\system32\dnscacheugc.exe 
C:\Windows\system32\dnshc.dll 
C:\Windows\system32\dnsrslvr.dll 
C:\Windows\system32\docprop.dll 
C:\Windows\system32\doskey.exe 
C:\Windows\system32\dosx.exe 
C:\Windows\system32\dot3.tmf 
C:\Windows\system32\dot3api.dll 
C:\Windows\system32\dot3cfg.dll 
C:\Windows\system32\dot3dlg.dll 
C:\Windows\system32\dot3gpclnt.dll 
C:\Windows\system32\dot3gpui.dll 
C:\Windows\system32\dot3msm.dll 
C:\Windows\system32\dot3svc.dll 
C:\Windows\system32\dot3ui.dll 
C:\Windows\system32\dpapimig.exe 
C:\Windows\system32\DpiScaling.exe 
C:\Windows\system32\dplaysvr.exe 
C:\Windows\system32\dplayx.dll 
C:\Windows\system32\dpmodemx.dll 
C:\Windows\system32\dpnaddr.dll 
C:\Windows\system32\dpnathlp.dll 
C:\Windows\system32\dpnet.dll 
C:\Windows\system32\dpnhpast.dll 
C:\Windows\system32\dpnhupnp.dll 
C:\Windows\system32\dpnlobby.dll 
C:\Windows\system32\dpnsvr.exe 
C:\Windows\system32\dps.dll 
C:\Windows\system32\dpwsockx.dll 
C:\Windows\system32\dpx.dll 
C:\Windows\system32\driverquery.exe 
C:\Windows\system32\DriverStore 
C:\Windows\system32\drmmgrtn.dll 
C:\Windows\system32\drmv2clt.dll 
C:\Windows\system32\drprov.dll 
C:\Windows\system32\drvinst.exe 
C:\Windows\system32\drvstore.dll 
C:\Windows\system32\DRWATSON.EXE 
C:\Windows\system32\ds32gt.dll 
C:\Windows\system32\dsauth.dll 
C:\Windows\system32\dsdmo.dll 
C:\Windows\system32\dskquota.dll 
C:\Windows\system32\dskquoui.dll 
C:\Windows\system32\dsound.dll 
C:\Windows\system32\dsprop.dll 
C:\Windows\system32\dsquery.dll 
C:\Windows\system32\dssec.dll 
C:\Windows\system32\dssenh.dll 
C:\Windows\system32\dsuiext.dll 
C:\Windows\system32\dswave.dll 
C:\Windows\system32\dtsh.dll 
C:\Windows\system32\duser.dll 
C:\Windows\system32\dvdplay.exe 
C:\Windows\system32\dvdupgrd.exe 
C:\Windows\system32\dwm.exe 
C:\Windows\system32\dwmapi.dll 
C:\Windows\system32\dwmredir.dll 
C:\Windows\system32\dxdiag.exe 
C:\Windows\system32\dxdiagn.dll 
C:\Windows\system32\dxgi.dll 
C:\Windows\system32\dxmasf.dll 
C:\Windows\system32\dxtmsft.dll 
C:\Windows\system32\dxtrans.dll 
C:\Windows\system32\dxva2.dll 
C:\Windows\system32\eapp3hst.dll 
C:\Windows\system32\eappcfg.dll 
C:\Windows\system32\eappgnui.dll 
C:\Windows\system32\eapphost.dll 
C:\Windows\system32\eappprxy.dll 
C:\Windows\system32\EAPQEC.DLL 
C:\Windows\system32\eapsvc.dll 
C:\Windows\system32\edlin.exe 
C:\Windows\system32\efsadu.dll 
C:\Windows\system32\efsui.exe 
C:\Windows\system32\el-GR 
C:\Windows\system32\els.dll 
C:\Windows\system32\emdmgmt.dll 
C:\Windows\system32\en-US 
C:\Windows\system32\encapi.dll 
C:\Windows\system32\EncDec.dll 
C:\Windows\system32\EncDump.dll 
C:\Windows\system32\eqossnap.dll 
C:\Windows\system32\es-ES 
C:\Windows\system32\es.dll 
C:\Windows\system32\esent.dll 
C:\Windows\system32\esentprf.dll 
C:\Windows\system32\esentutl.exe 
C:\Windows\system32\esrb.rs 
C:\Windows\system32\et-EE 
C:\Windows\system32\eudcedit.exe 
C:\Windows\system32\eventcls.dll 
C:\Windows\system32\eventcreate.exe 
C:\Windows\system32\eventvwr.exe 
C:\Windows\system32\evr.dll 
C:\Windows\system32\exe2bin.exe 
C:\Windows\system32\expand.exe 
C:\Windows\system32\ExplorerFrame.dll 
C:\Windows\system32\expsrv.dll 
C:\Windows\system32\extmgr.dll 
C:\Windows\system32\extrac32.exe 
C:\Windows\system32\f3ahvoas.dll 
C:\Windows\system32\fastopen.exe 
C:\Windows\system32\Faultrep.dll 
C:\Windows\system32\fc.exe 
C:\Windows\system32\fde.dll 
C:\Windows\system32\fdeploy.dll 
C:\Windows\system32\fdPHost.dll 
C:\Windows\system32\fdProxy.dll 
C:\Windows\system32\FDResPub.dll 
C:\Windows\system32\fdSSDP.dll 
C:\Windows\system32\fdWCN.dll 
C:\Windows\system32\fdWNet.dll 
C:\Windows\system32\fdWSD.dll 
C:\Windows\system32\feclient.dll 
C:\Windows\system32\fi-FI 
C:\Windows\system32\filemgmt.dll 
C:\Windows\system32\find.exe 
C:\Windows\system32\findnetprinters.dll 
C:\Windows\system32\findstr.exe 
C:\Windows\system32\finger.exe 
C:\Windows\system32\Firewall.cpl 
C:\Windows\system32\FirewallControlPanel.exe 
C:\Windows\system32\FirewallSettings.exe 
C:\Windows\system32\fixmapi.exe 
C:\Windows\system32\fltLib.dll 
C:\Windows\system32\fltMC.exe 
C:\Windows\system32\fmifs.dll 
C:\Windows\system32\fontext.dll 
C:\Windows\system32\fontsub.dll 
C:\Windows\system32\fontview.exe 
C:\Windows\system32\forfiles.exe 
C:\Windows\system32\format.com 
C:\Windows\system32\fphc.dll 
C:\Windows\system32\fr 
C:\Windows\system32\framebuf.dll 
C:\Windows\system32\fsmgmt.msc 
C:\Windows\system32\fsutil.exe 
C:\Windows\system32\ftp.exe 
C:\Windows\system32\fundisc.dll 
C:\Windows\system32\fwcfg.dll 
C:\Windows\system32\FWPUCLNT.DLL 
C:\Windows\system32\FwRemoteSvr.dll 
C:\Windows\system32\g711codc.ax 
C:\Windows\system32\gacinstall.dll 
C:\Windows\system32\gatherWirelessInfo.vbs 
C:\Windows\system32\gatherWirelessInfo.xslt 
C:\Windows\system32\gb2312.uce 
C:\Windows\system32\gcdef.dll 
C:\Windows\system32\GDI.EXE 
C:\Windows\system32\gdi32.dll 
C:\Windows\system32\getmac.exe 
C:\Windows\system32\getuname.dll 
C:\Windows\system32\glmf32.dll 
C:\Windows\system32\glu32.dll 
C:\Windows\system32\gpapi.dll 
C:\Windows\system32\gpedit.dll 
C:\Windows\system32\gpresult.exe 
C:\Windows\system32\gpsvc.dll 
C:\Windows\system32\gptext.dll 
C:\Windows\system32\gpupdate.exe 
C:\Windows\system32\graftabl.com 
C:\Windows\system32\GRAPHICS.COM 
C:\Windows\system32\GroupPolicy 
C:\Windows\system32\GroupPolicyUsers 
C:\Windows\system32\grpconv.exe 
C:\Windows\system32\GuidedHelp.dll 
C:\Windows\system32\hal.dll 
C:\Windows\system32\halacpi.dll 
C:\Windows\system32\halmacpi.dll 
C:\Windows\system32\hbaapi.dll 
C:\Windows\system32\hccoin.dll 
C:\Windows\system32\hdwwiz.cpl 
C:\Windows\system32\hdwwiz.exe 
C:\Windows\system32\he-IL 
C:\Windows\system32\help.exe 
C:\Windows\system32\HelpPaneProxy.dll 
C:\Windows\system32\hhctrl.ocx 
C:\Windows\system32\hhsetup.dll 
C:\Windows\system32\hid.dll 
C:\Windows\system32\hidphone.tsp 
C:\Windows\system32\hidserv.dll 
C:\Windows\system32\HIMEM.SYS 
C:\Windows\system32\hlink.dll 
C:\Windows\system32\hnetcfg.dll 
C:\Windows\system32\hnetmon.dll 
C:\Windows\system32\HOSTNAME.EXE 
C:\Windows\system32\hotplug.dll 
C:\Windows\system32\HotStartUserAgent.dll 
C:\Windows\system32\hr-HR 
C:\Windows\system32\html.iec 
C:\Windows\system32\httpapi.dll 
C:\Windows\system32\htui.dll 
C:\Windows\system32\hu-HU 
C:\Windows\system32\iac25_32.ax 
C:\Windows\system32\ias 
C:\Windows\system32\ias.dll 
C:\Windows\system32\iasacct.dll 
C:\Windows\system32\iasads.dll 
C:\Windows\system32\iasdatastore.dll 
C:\Windows\system32\iashlpr.dll 
C:\Windows\system32\IasMigPlugin.dll 
C:\Windows\system32\iasnap.dll 
C:\Windows\system32\iaspolcy.dll 
C:\Windows\system32\iasrad.dll 
C:\Windows\system32\iasrecst.dll 
C:\Windows\system32\iassam.dll 
C:\Windows\system32\iassdo.dll 
C:\Windows\system32\iassvcs.dll 
C:\Windows\system32\icaapi.dll 
C:\Windows\system32\icacls.exe 
C:\Windows\system32\icardagt.exe 
C:\Windows\system32\icardie.dll 
C:\Windows\system32\icardres.dll 
C:\Windows\system32\iccvid.dll 
C:\Windows\system32\icm32.dll 
C:\Windows\system32\icmp.dll 
C:\Windows\system32\icmui.dll 
C:\Windows\system32\IconCodecService.dll 
C:\Windows\system32\icsfiltr.dll 
C:\Windows\system32\icsigd.dll 
C:\Windows\system32\icsunattend.exe 
C:\Windows\system32\icsxml 
C:\Windows\system32\ideograf.uce 
C:\Windows\system32\idndl.dll 
C:\Windows\system32\ieakeng.dll 
C:\Windows\system32\ieaksie.dll 
C:\Windows\system32\ieakui.dll 
C:\Windows\system32\iedkcs32.dll 
C:\Windows\system32\ieencode.dll 
C:\Windows\system32\iepeers.dll 
C:\Windows\system32\iertutil.dll 
C:\Windows\system32\ieuinit.inf 
C:\Windows\system32\iexpress.exe 
C:\Windows\system32\ifmon.dll 
C:\Windows\system32\ifsutil.dll 
C:\Windows\system32\ifsutilx.dll 
C:\Windows\system32\ifxcardm.dll 
C:\Windows\system32\IKEEXT.DLL 
C:\Windows\system32\imaadp32.acm 
C:\Windows\system32\imageres.dll 
C:\Windows\system32\imapi.dll 
C:\Windows\system32\imapi2.dll 
C:\Windows\system32\imapi2fs.dll 
C:\Windows\system32\IME 
C:\Windows\system32\imgutil.dll 
C:\Windows\system32\IMJP10.IME 
C:\Windows\system32\IMJP10K.DLL 
C:\Windows\system32\imkr80.ime 
C:\Windows\system32\imm32.dll 
C:\Windows\system32\inetmib1.dll 
C:\Windows\system32\inetpp.dll 
C:\Windows\system32\inetppui.dll 
C:\Windows\system32\inetsrv 
C:\Windows\system32\InfDefaultInstall.exe 
C:\Windows\system32\infocardapi.dll 
C:\Windows\system32\infocardcpl.cpl 
C:\Windows\system32\InkEd.dll 
C:\Windows\system32\input.dll 
C:\Windows\system32\inseng.dll 
C:\Windows\system32\intl.cpl 
C:\Windows\system32\iologmsg.dll 
C:\Windows\system32\IPBusEnum.dll 
C:\Windows\system32\IPBusEnumProxy.dll 
C:\Windows\system32\ipconfig.exe 
C:\Windows\system32\IPHLPAPI.DLL 
C:\Windows\system32\ipnathlp.dll 
C:\Windows\system32\iprop.dll 
C:\Windows\system32\iprtprio.dll 
C:\Windows\system32\iprtrmgr.dll 
C:\Windows\system32\ipsecsnp.dll 
C:\Windows\system32\IPSECSVC.DLL 
C:\Windows\system32\ipsmsnap.dll 
C:\Windows\system32\ir32_32.dll 
C:\Windows\system32\ir41_32.ax 
C:\Windows\system32\ir41_qc.dll 
C:\Windows\system32\ir41_qcx.dll 
C:\Windows\system32\ir50_32.dll 
C:\Windows\system32\ir50_qc.dll 
C:\Windows\system32\ir50_qcx.dll 
C:\Windows\system32\irclass.dll 
C:\Windows\system32\irftp.exe 
C:\Windows\system32\irmon.dll 
C:\Windows\system32\irprops.cpl 
C:\Windows\system32\iscsicli.exe 
C:\Windows\system32\iscsicpl.dll 
C:\Windows\system32\iscsicpl.exe 
C:\Windows\system32\iscsidsc.dll 
C:\Windows\system32\iscsied.dll 
C:\Windows\system32\iscsiexe.dll 
C:\Windows\system32\iscsilog.dll 
C:\Windows\system32\iscsium.dll 
C:\Windows\system32\iscsiwmi.dll 
C:\Windows\system32\it-IT 
C:\Windows\system32\itircl.dll 
C:\Windows\system32\itss.dll 
C:\Windows\system32\ivfsrc.ax 
C:\Windows\system32\iyuv_32.dll 
C:\Windows\system32\ja-JP 
C:\Windows\system32\jnwmon.dll 
C:\Windows\system32\joy.cpl 
C:\Windows\system32\jscript.dll 
C:\Windows\system32\kanji_1.uce 
C:\Windows\system32\kanji_2.uce 
C:\Windows\system32\KB16.COM 
C:\Windows\system32\kbd101.dll 
C:\Windows\system32\kbd101a.dll 
C:\Windows\system32\kbd101b.dll 
C:\Windows\system32\kbd101c.dll 
C:\Windows\system32\kbd103.dll 
C:\Windows\system32\kbd106.dll 
C:\Windows\system32\kbd106n.dll 
C:\Windows\system32\KBDA1.DLL 
C:\Windows\system32\KBDA2.DLL 
C:\Windows\system32\KBDA3.DLL 
C:\Windows\system32\KBDAL.DLL 
C:\Windows\system32\KBDARME.DLL 
C:\Windows\system32\KBDARMW.DLL 
C:\Windows\system32\kbdax2.dll 
C:\Windows\system32\KBDAZE.DLL 
C:\Windows\system32\KBDAZEL.DLL 
C:\Windows\system32\KBDBASH.DLL 
C:\Windows\system32\KBDBE.DLL 
C:\Windows\system32\KBDBENE.DLL 
C:\Windows\system32\KBDBGPH.DLL 
C:\Windows\system32\KBDBHC.DLL 
C:\Windows\system32\KBDBLR.DLL 
C:\Windows\system32\KBDBR.DLL 
C:\Windows\system32\KBDBU.DLL 
C:\Windows\system32\KBDBULG.DLL 
C:\Windows\system32\KBDCA.DLL 
C:\Windows\system32\KBDCAN.DLL 
C:\Windows\system32\KBDCR.DLL 
C:\Windows\system32\KBDCZ.DLL 
C:\Windows\system32\KBDCZ1.DLL 
C:\Windows\system32\KBDCZ2.DLL 
C:\Windows\system32\KBDDA.DLL 
C:\Windows\system32\KBDDIV1.DLL 
C:\Windows\system32\KBDDIV2.DLL 
C:\Windows\system32\KBDDV.DLL 
C:\Windows\system32\KBDES.DLL 
C:\Windows\system32\KBDEST.DLL 
C:\Windows\system32\KBDFA.DLL 
C:\Windows\system32\KBDFC.DLL 
C:\Windows\system32\KBDFI.DLL 
C:\Windows\system32\KBDFI1.DLL 
C:\Windows\system32\KBDFO.DLL 
C:\Windows\system32\KBDFR.DLL 
C:\Windows\system32\KBDGAE.DLL 
C:\Windows\system32\KBDGEO.DLL 
C:\Windows\system32\kbdgeoer.dll 
C:\Windows\system32\kbdgeoqw.dll 
C:\Windows\system32\KBDGKL.DLL 
C:\Windows\system32\KBDGR.DLL 
C:\Windows\system32\KBDGR1.DLL 
C:\Windows\system32\KBDGRLND.DLL 
C:\Windows\system32\KBDHE.DLL 
C:\Windows\system32\KBDHE220.DLL 
C:\Windows\system32\KBDHE319.DLL 
C:\Windows\system32\KBDHEB.DLL 
C:\Windows\system32\KBDHELA2.DLL 
C:\Windows\system32\KBDHELA3.DLL 
C:\Windows\system32\KBDHEPT.DLL 
C:\Windows\system32\KBDHU.DLL 
C:\Windows\system32\KBDHU1.DLL 
C:\Windows\system32\kbdibm02.dll 
C:\Windows\system32\KBDIC.DLL 
C:\Windows\system32\KBDINASA.DLL 
C:\Windows\system32\KBDINBE1.DLL 
C:\Windows\system32\KBDINBE2.DLL 
C:\Windows\system32\KBDINBEN.DLL 
C:\Windows\system32\KBDINDEV.DLL 
C:\Windows\system32\KBDINGUJ.DLL 
C:\Windows\system32\KBDINHIN.DLL 
C:\Windows\system32\KBDINKAN.DLL 
C:\Windows\system32\KBDINMAL.DLL 
C:\Windows\system32\KBDINMAR.DLL 
C:\Windows\system32\KBDINORI.DLL 
C:\Windows\system32\KBDINPUN.DLL 
C:\Windows\system32\KBDINTAM.DLL 
C:\Windows\system32\KBDINTEL.DLL 
C:\Windows\system32\KBDINUK2.DLL 
C:\Windows\system32\KBDIR.DLL 
C:\Windows\system32\KBDIT.DLL 
C:\Windows\system32\KBDIT142.DLL 
C:\Windows\system32\KBDIULAT.DLL 
C:\Windows\system32\KBDJPN.DLL 
C:\Windows\system32\KBDKAZ.DLL 
C:\Windows\system32\KBDKHMR.DLL 
C:\Windows\system32\KBDKOR.DLL 
C:\Windows\system32\KBDKYR.DLL 
C:\Windows\system32\KBDLA.DLL 
C:\Windows\system32\KBDLAO.DLL 
C:\Windows\system32\kbdlk41a.dll 
C:\Windows\system32\KBDLT.DLL 
C:\Windows\system32\KBDLT1.DLL 
C:\Windows\system32\KBDLT2.DLL 
C:\Windows\system32\KBDLV.DLL 
C:\Windows\system32\KBDLV1.DLL 
C:\Windows\system32\KBDMAC.DLL 
C:\Windows\system32\KBDMACST.DLL 
C:\Windows\system32\KBDMAORI.DLL 
C:\Windows\system32\KBDMLT47.DLL 
C:\Windows\system32\KBDMLT48.DLL 
C:\Windows\system32\KBDMON.DLL 
C:\Windows\system32\KBDMONMO.DLL 
C:\Windows\system32\KBDNE.DLL 
C:\Windows\system32\kbdnec.dll 
C:\Windows\system32\kbdnec95.dll 
C:\Windows\system32\kbdnecat.dll 
C:\Windows\system32\kbdnecnt.dll 
C:\Windows\system32\KBDNEPR.DLL 
C:\Windows\system32\KBDNO.DLL 
C:\Windows\system32\KBDNO1.DLL 
C:\Windows\system32\KBDPASH.DLL 
C:\Windows\system32\KBDPL.DLL 
C:\Windows\system32\KBDPL1.DLL 
C:\Windows\system32\KBDPO.DLL 
C:\Windows\system32\KBDRO.DLL 
C:\Windows\system32\KBDROPR.DLL 
C:\Windows\system32\KBDROST.DLL 
C:\Windows\system32\KBDRU.DLL 
C:\Windows\system32\KBDRU1.DLL 
C:\Windows\system32\KBDSF.DLL 
C:\Windows\system32\KBDSG.DLL 
C:\Windows\system32\KBDSL.DLL 
C:\Windows\system32\KBDSL1.DLL 
C:\Windows\system32\KBDSMSFI.DLL 
C:\Windows\system32\KBDSMSNO.DLL 
C:\Windows\system32\KBDSN1.DLL 
C:\Windows\system32\KBDSOREX.DLL 
C:\Windows\system32\KBDSORST.DLL 
C:\Windows\system32\KBDSP.DLL 
C:\Windows\system32\KBDSW.DLL 
C:\Windows\system32\KBDSW09.DLL 
C:\Windows\system32\KBDSYR1.DLL 
C:\Windows\system32\KBDSYR2.DLL 
C:\Windows\system32\KBDTAJIK.DLL 
C:\Windows\system32\KBDTAT.DLL 
C:\Windows\system32\KBDTH0.DLL 
C:\Windows\system32\KBDTH1.DLL 
C:\Windows\system32\KBDTH2.DLL 
C:\Windows\system32\KBDTH3.DLL 
C:\Windows\system32\KBDTIPRC.DLL 
C:\Windows\system32\KBDTUF.DLL 
C:\Windows\system32\KBDTUQ.DLL 
C:\Windows\system32\KBDTURME.DLL 
C:\Windows\system32\KBDUGHR.DLL 
C:\Windows\system32\KBDUK.DLL 
C:\Windows\system32\KBDUKX.DLL 
C:\Windows\system32\KBDUR.DLL 
C:\Windows\system32\KBDUR1.DLL 
C:\Windows\system32\KBDURDU.DLL 
C:\Windows\system32\KBDUS.DLL 
C:\Windows\system32\KBDUSA.DLL 
C:\Windows\system32\KBDUSL.DLL 
C:\Windows\system32\KBDUSR.DLL 
C:\Windows\system32\KBDUSX.DLL 
C:\Windows\system32\KBDUZB.DLL 
C:\Windows\system32\KBDVNTC.DLL 
C:\Windows\system32\KBDYAK.DLL 
C:\Windows\system32\KBDYCC.DLL 
C:\Windows\system32\KBDYCL.DLL 
C:\Windows\system32\kd1394.dll 
C:\Windows\system32\kdbig.exe 
C:\Windows\system32\kdcom.dll 
C:\Windows\system32\kdusb.dll 
C:\Windows\system32\kerberos.dll 
C:\Windows\system32\kernel32.dll 
C:\Windows\system32\KEY01.SYS 
C:\Windows\system32\keyboard.drv 
C:\Windows\system32\KEYBOARD.SYS 
C:\Windows\system32\keyiso.dll 
C:\Windows\system32\keymgr.dll 
C:\Windows\system32\kmddsp.tsp 
C:\Windows\system32\KMSVC.DLL 
C:\Windows\system32\ko-KR 
C:\Windows\system32\korean.uce 
C:\Windows\system32\korwbrkr.dll 
C:\Windows\system32\krnl386.exe 
C:\Windows\system32\ksproxy.ax 
C:\Windows\system32\kstvtune.ax 
C:\Windows\system32\ksuser.dll 
C:\Windows\system32\Kswdmcap.ax 
C:\Windows\system32\ksxbar.ax 
C:\Windows\system32\ktmutil.exe 
C:\Windows\system32\ktmw32.dll 
C:\Windows\system32\l2gpstore.dll 
C:\Windows\system32\l2nacp.dll 
C:\Windows\system32\L2SecHC.dll 
C:\Windows\system32\l3codeca.acm 
C:\Windows\system32\l3codecp.acm 
C:\Windows\system32\label.exe 
C:\Windows\system32\LangCleanupSysprepAction.dll 
C:\Windows\system32\LANGWRBK.DLL 
C:\Windows\system32\LAPRXY.DLL 
C:\Windows\system32\licensing 
C:\Windows\system32\licmgr10.dll 
C:\Windows\system32\linkinfo.dll 
C:\Windows\system32\lltdapi.dll 
C:\Windows\system32\lltdres.dll 
C:\Windows\system32\lltdsvc.dll 
C:\Windows\system32\lmhsvc.dll 
C:\Windows\system32\lnkstub.exe 
C:\Windows\system32\LOADFIX.COM 
C:\Windows\system32\loadperf.dll 
C:\Windows\system32\locale.nls 
C:\Windows\system32\localsec.dll 
C:\Windows\system32\localspl.dll 
C:\Windows\system32\localui.dll 
C:\Windows\system32\Locator.exe 
C:\Windows\system32\lodctr.exe 
C:\Windows\system32\logagent.exe 
C:\Windows\system32\loghours.dll 
C:\Windows\system32\logman.exe 
C:\Windows\system32\logon.scr 
C:\Windows\system32\LogonUI.exe 
C:\Windows\system32\lpk.dll 
C:\Windows\system32\lpksetup.exe 
C:\Windows\system32\lpremove.exe 
C:\Windows\system32\lsasrv.dll 
C:\Windows\system32\lsass.exe 
C:\Windows\system32\lsm.exe 
C:\Windows\system32\lsmproxy.dll 
C:\Windows\system32\lt-LT 
C:\Windows\system32\luainstall.dll 
C:\Windows\system32\lv-LV 
C:\Windows\system32\lz32.dll 
C:\Windows\system32\Magnification.dll 
C:\Windows\system32\Magnify.exe 
C:\Windows\system32\main.cpl 
C:\Windows\system32\makecab.exe 
C:\Windows\system32\manifeststore 
C:\Windows\system32\mapi32.dll 
C:\Windows\system32\mapistub.dll 
C:\Windows\system32\mblctr.exe 
C:\Windows\system32\mciavi.drv 
C:\Windows\system32\mciavi32.dll 
C:\Windows\system32\mcicda.dll 
C:\Windows\system32\mciqtz32.dll 
C:\Windows\system32\mciseq.dll 
C:\Windows\system32\mciseq.drv 
C:\Windows\system32\mciwave.dll 
C:\Windows\system32\mciwave.drv 
C:\Windows\system32\mcupdate_GenuineIntel.dll 
C:\Windows\system32\Mcx2Svc.dll 
C:\Windows\system32\McxDriv.dll 
C:\Windows\system32\mdminst.dll 
C:\Windows\system32\MdRes.exe 
C:\Windows\system32\MdSched.exe 
C:\Windows\system32\MediaMetadataHandler.dll 
C:\Windows\system32\mem.exe 
C:\Windows\system32\mf.dll 
C:\Windows\system32\mf3216.dll 
C:\Windows\system32\mfc40.dll 
C:\Windows\system32\mfc40u.dll 
C:\Windows\system32\mfc42.dll 
C:\Windows\system32\mfc42u.dll 
C:\Windows\system32\mfcsubs.dll 
C:\Windows\system32\mferror.dll 
C:\Windows\system32\mfplat.dll 
C:\Windows\system32\mfpmp.exe 
C:\Windows\system32\mfps.dll 
C:\Windows\system32\mfvdsp.dll 
C:\Windows\system32\MFWMAAEC.DLL 
C:\Windows\system32\mgmtapi.dll 
C:\Windows\system32\Microsoft 
C:\Windows\system32\midimap.dll 
C:\Windows\system32\MigAutoPlay.exe 
C:\Windows\system32\migisol.dll 
C:\Windows\system32\miguiresource.dll 
C:\Windows\system32\migwiz 
C:\Windows\system32\migwiz.lnk 
C:\Windows\system32\milcore.dll 
C:\Windows\system32\mimefilt.dll 
C:\Windows\system32\mlang.dll 
C:\Windows\system32\mmc.exe 
C:\Windows\system32\mmcbase.dll 
C:\Windows\system32\mmci.dll 
C:\Windows\system32\mmcico.dll 
C:\Windows\system32\mmcndmgr.dll 
C:\Windows\system32\mmcshext.dll 
C:\Windows\system32\mmcss.dll 
C:\Windows\system32\MMDevAPI.dll 
C:\Windows\system32\mmsys.cpl 
C:\Windows\system32\MMSYSTEM.DLL 
C:\Windows\system32\mmtask.tsk 
C:\Windows\system32\mobsync.exe 
C:\Windows\system32\mode.com 
C:\Windows\system32\modemui.dll 
C:\Windows\system32\montr_ci.dll 
C:\Windows\system32\more.com 
C:\Windows\system32\moricons.dll 
C:\Windows\system32\mountvol.exe 
C:\Windows\system32\mouse.drv 
C:\Windows\system32\MP3DMOD.DLL 
C:\Windows\system32\MP43DECD.DLL 
C:\Windows\system32\MP4SDECD.DLL 
C:\Windows\system32\Mpeg2Data.ax 
C:\Windows\system32\mpg2splt.ax 
C:\Windows\system32\MPG4DECD.DLL 
C:\Windows\system32\mpnotify.exe 
C:\Windows\system32\mpr.dll 
C:\Windows\system32\mprapi.dll 
C:\Windows\system32\mprddm.dll 
C:\Windows\system32\mprdim.dll 
C:\Windows\system32\mprmsg.dll 
C:\Windows\system32\MRINFO.EXE 
C:\Windows\system32\msaatext.dll 
C:\Windows\system32\MSAC3ENC.DLL 
C:\Windows\system32\msacm.dll 
C:\Windows\system32\msacm32.dll 
C:\Windows\system32\msacm32.drv 
C:\Windows\system32\msadp32.acm 
C:\Windows\system32\msafd.dll 
C:\Windows\system32\msasn1.dll 
C:\Windows\system32\msaudite.dll 
C:\Windows\system32\mscandui.dll 
C:\Windows\system32\mscat32.dll 
C:\Windows\system32\mscdexnt.exe 
C:\Windows\system32\mscms.dll 
C:\Windows\system32\msconfig.exe 
C:\Windows\system32\mscoree.dll 
C:\Windows\system32\mscories.dll 
C:\Windows\system32\mscpx32r.dLL 
C:\Windows\system32\mscpxl32.dLL 
C:\Windows\system32\msctf.dll 
C:\Windows\system32\msctfime.ime 
C:\Windows\system32\MsCtfMonitor.dll 
C:\Windows\system32\msctfp.dll 
C:\Windows\system32\msctfui.dll 
C:\Windows\system32\msdadiag.dll 
C:\Windows\system32\msdart.dll 
C:\Windows\system32\msdatsrc.tlb 
C:\Windows\system32\msdelta.dll 
C:\Windows\system32\msdmo.dll 
C:\Windows\system32\msdri.dll 
C:\Windows\system32\msdrm.dll 
C:\Windows\system32\msdt.dll 
C:\Windows\system32\msdt.exe 
C:\Windows\system32\msdtc.exe 
C:\Windows\system32\msdtckrm.dll 
C:\Windows\system32\msdtclog.dll 
C:\Windows\system32\msdtcprx.dll 
C:\Windows\system32\msdtctm.dll 
C:\Windows\system32\msdtcuiu.dll 
C:\Windows\system32\MSDvbNP.ax 
C:\Windows\system32\msdxm.ocx 
C:\Windows\system32\msdxm.tlb 
C:\Windows\system32\msexch40.dll 
C:\Windows\system32\msexcl40.dll 
C:\Windows\system32\msfeeds.dll 
C:\Windows\system32\msfeedsbs.dll 
C:\Windows\system32\msfeedssync.exe 
C:\Windows\system32\msftedit.dll 
C:\Windows\system32\msg711.acm 
C:\Windows\system32\msgsm32.acm 
C:\Windows\system32\mshta.exe 
C:\Windows\system32\mshtmler.dll 
C:\Windows\system32\msi.dll 
C:\Windows\system32\msidcrl30.dll 
C:\Windows\system32\msident.dll 
C:\Windows\system32\msidle.dll 
C:\Windows\system32\msidntld.dll 
C:\Windows\system32\msieftp.dll 
C:\Windows\system32\msiexec.exe 
C:\Windows\system32\msihnd.dll 
C:\Windows\system32\msiltcfg.dll 
C:\Windows\system32\msimg32.dll 
C:\Windows\system32\msimsg.dll 
C:\Windows\system32\msimtf.dll 
C:\Windows\system32\msinfo32.exe 
C:\Windows\system32\msisip.dll 
C:\Windows\system32\msjet40.dll 
C:\Windows\system32\msjetoledb40.dll 
C:\Windows\system32\msjint40.dll 
C:\Windows\system32\msjter40.dll 
C:\Windows\system32\msjtes40.dll 
C:\Windows\system32\msls31.dll 
C:\Windows\system32\msltus40.dll 
C:\Windows\system32\msmmsp.dll 
C:\Windows\system32\MSMPEG2ADEC.DLL 
C:\Windows\system32\MSMPEG2ENC.DLL 
C:\Windows\system32\MSMPEG2VDEC.DLL 
C:\Windows\system32\msnetobj.dll 
C:\Windows\system32\MSNP.ax 
C:\Windows\system32\msobjs.dll 
C:\Windows\system32\msorc32r.dll 
C:\Windows\system32\msorcl32.dll 
C:\Windows\system32\mspaint.exe 
C:\Windows\system32\mspatcha.dll 
C:\Windows\system32\mspbde40.dll 
C:\Windows\system32\msports.dll 
C:\Windows\system32\msprivs.dll 
C:\Windows\system32\msra.exe 
C:\Windows\system32\MsraLegacy.tlb 
C:\Windows\system32\msrating.dll 
C:\Windows\system32\msrd2x40.dll 
C:\Windows\system32\msrd3x40.dll 
C:\Windows\system32\msrdc.dll 
C:\Windows\system32\msrepl40.dll 
C:\Windows\system32\msrle32.dll 
C:\Windows\system32\msscb.dll 
C:\Windows\system32\msscntrs.dll 
C:\Windows\system32\msscript.ocx 
C:\Windows\system32\mssha.dll 
C:\Windows\system32\msshavmsg.dll 
C:\Windows\system32\msshsq.dll 
C:\Windows\system32\mssign32.dll 
C:\Windows\system32\mssip32.dll 
C:\Windows\system32\mssitlb.dll 
C:\Windows\system32\mssph.dll 
C:\Windows\system32\mssphtb.dll 
C:\Windows\system32\mssprxy.dll 
C:\Windows\system32\mssrch.dll 
C:\Windows\system32\msstrc.dll 
C:\Windows\system32\mssvp.dll 
C:\Windows\system32\msswch.dll 
C:\Windows\system32\mstask.dll 
C:\Windows\system32\mstext40.dll 
C:\Windows\system32\mstime.dll 
C:\Windows\system32\mstlsapi.dll 
C:\Windows\system32\mstsc.exe 
C:\Windows\system32\mstscax.dll 
C:\Windows\system32\msutb.dll 
C:\Windows\system32\msv1_0.dll 
C:\Windows\system32\msvbvm60.dll 
C:\Windows\system32\msvcirt.dll 
C:\Windows\system32\msvcp60.dll 
C:\Windows\system32\msvcrt.dll 
C:\Windows\system32\msvcrt20.dll 
C:\Windows\system32\msvcrt40.dll 
C:\Windows\system32\msvfw32.dll 
C:\Windows\system32\msvidc32.dll 
C:\Windows\system32\MSVidCtl.dll 
C:\Windows\system32\msvideo.dll 
C:\Windows\system32\mswdat10.dll 
C:\Windows\system32\mswmdm.dll 
C:\Windows\system32\mswsock.dll 
C:\Windows\system32\mswstr10.dll 
C:\Windows\system32\msxbde40.dll 
C:\Windows\system32\msxml3.dll 
C:\Windows\system32\msxml3r.dll 
C:\Windows\system32\msxml6.dll 
C:\Windows\system32\msxml6r.dll 
C:\Windows\system32\msyuv.dll 
C:\Windows\system32\mtstocom.exe 
C:\Windows\system32\mtxclu.dll 
C:\Windows\system32\mtxdm.dll 
C:\Windows\system32\mtxex.dll 
C:\Windows\system32\mtxlegih.dll 
C:\Windows\system32\mtxoci.dll 
C:\Windows\system32\MUI 
C:\Windows\system32\muifontsetup.dll 
C:\Windows\system32\MUILanguageCleanup.dll 
C:\Windows\system32\MuiUnattend.exe 
C:\Windows\system32\mycomput.dll 
C:\Windows\system32\mydocs.dll 
C:\Windows\system32\Mystify.scr 
C:\Windows\system32\NAPCRYPT.DLL 
C:\Windows\system32
apdsnap.dll 
C:\Windows\system32\NAPHLPR.DLL 
C:\Windows\system32\NapiNSP.dll 
C:\Windows\system32
apipsec.dll 
C:\Windows\system32\NAPMONTR.DLL 
C:\Windows\system32\NAPSTAT.EXE 
C:\Windows\system32\Narrator.exe 
C:\Windows\system32\NativeHooks.dll 
C:\Windows\system32\NaturalLanguage6.dll 
C:\Windows\system32
b-NO 
C:\Windows\system32
btstat.exe 
C:\Windows\system32\NcdProp.dll 
C:\Windows\system32
ci.dll 
C:\Windows\system32
cobjapi.dll 
C:\Windows\system32
cpa.cpl 
C:\Windows\system32
crypt.dll 
C:\Windows\system32
cryptui.dll 
C:\Windows\system32
csi.dll 
C:\Windows\system32
ddeapi.dll 
C:\Windows\system32
dfapi.dll 
C:\Windows\system32
dfetw.dll 
C:\Windows\system32
dishc.dll 
C:\Windows\system32
dproxystub.dll 
C:\Windows\system32
dptsp.tsp 
C:\Windows\system32
et.exe 
C:\Windows\system32
et1.exe 
C:\Windows\system32
etapi32.dll 
C:\Windows\system32
etbtugc.exe 
C:\Windows\system32
etcenter.dll 
C:\Windows\system32
etcfg.exe 
C:\Windows\system32
etcfgx.dll 
C:\Windows\system32
etcorehc.dll 
C:\Windows\system32
etdiagfx.dll 
C:\Windows\system32
etevent.dll 
C:\Windows\system32
etfxperf.dll 
C:\Windows\system32
eth.dll 
C:\Windows\system32
etid.dll 
C:\Windows\system32
etiohlp.dll 
C:\Windows\system32
etiougc.exe 
C:\Windows\system32
etlogon.dll 
C:\Windows\system32
etman.dll 
C:\Windows\system32
etmsg.dll 
C:\Windows\system32
etplwiz.dll 
C:\Windows\system32\Netplwiz.exe 
C:\Windows\system32
etprof.dll 
C:\Windows\system32
etprofm.dll 
C:\Windows\system32\NetProj.exe 
C:\Windows\system32\NetProjW.dll 
C:\Windows\system32
etrap.dll 
C:\Windows\system32
etsh.exe 
C:\Windows\system32
etshell.dll 
C:\Windows\system32\NETSTAT.EXE 
C:\Windows\system32
etworkexplorer.dll 
C:\Windows\system32
etworkitemfactory.dll 
C:\Windows\system32
etworklist 
C:\Windows\system32
etworkmap.dll 
C:\Windows\system32
ewdev.dll 
C:\Windows\system32
ewdev.exe 
C:\Windows\system32
l-NL 
C:\Windows\system32
laapi.dll 
C:\Windows\system32
lasvc.dll 
C:\Windows\system32
lhtml.dll 
C:\Windows\system32
lmsprep.dll 
C:\Windows\system32
lsbres.dll 
C:\Windows\system32\NlsData0000.dll 
C:\Windows\system32\NlsData0001.dll 
C:\Windows\system32\NlsData0002.dll 
C:\Windows\system32\NlsData0003.dll 
C:\Windows\system32\NlsData0007.dll 
C:\Windows\system32\NlsData0009.dll 
C:\Windows\system32\NlsData000a.dll 
C:\Windows\system32\NlsData000c.dll 
C:\Windows\system32\NlsData000d.dll 
C:\Windows\system32\NlsData000f.dll 
C:\Windows\system32\NlsData0010.dll 
C:\Windows\system32\NlsData0011.dll 
C:\Windows\system32\NlsData0013.dll 
C:\Windows\system32\NlsData0018.dll 
C:\Windows\system32\NlsData0019.dll 
C:\Windows\system32\NlsData001a.dll 
C:\Windows\system32\NlsData001b.dll 
C:\Windows\system32\NlsData001d.dll 
C:\Windows\system32\NlsData0020.dll 
C:\Windows\system32\NlsData0021.dll 
C:\Windows\system32\NlsData0022.dll 
C:\Windows\system32\NlsData0024.dll 
C:\Windows\system32\NlsData0026.dll 
C:\Windows\system32\NlsData0027.dll 
C:\Windows\system32\NlsData002a.dll 
C:\Windows\system32\NlsData0039.dll 
C:\Windows\system32\NlsData003e.dll 
C:\Windows\system32\NlsData0045.dll 
C:\Windows\system32\NlsData0046.dll 
C:\Windows\system32\NlsData0047.dll 
C:\Windows\system32\NlsData0049.dll 
C:\Windows\system32\NlsData004a.dll 
C:\Windows\system32\NlsData004b.dll 
C:\Windows\system32\NlsData004c.dll 
C:\Windows\system32\NlsData004e.dll 
C:\Windows\system32\NlsData0414.dll 
C:\Windows\system32\NlsData0416.dll 
C:\Windows\system32\NlsData0816.dll 
C:\Windows\system32\NlsData081a.dll 
C:\Windows\system32\NlsData0c1a.dll 
C:\Windows\system32\Nlsdl.dll 
C:\Windows\system32
lsfunc.exe 
C:\Windows\system32\NlsLexicons0001.dll 
C:\Windows\system32\NlsLexicons0002.dll 
C:\Windows\system32\NlsLexicons0003.dll 
C:\Windows\system32\NlsLexicons0007.dll 
C:\Windows\system32\NlsLexicons0009.dll 
C:\Windows\system32\NlsLexicons000a.dll 
C:\Windows\system32\NlsLexicons000c.dll 
C:\Windows\system32\NlsLexicons000d.dll 
C:\Windows\system32\NlsLexicons000f.dll 
C:\Windows\system32\NlsLexicons0010.dll 
C:\Windows\system32\NlsLexicons0011.dll 
C:\Windows\system32\NlsLexicons0013.dll 
C:\Windows\system32\NlsLexicons0018.dll 
C:\Windows\system32\NlsLexicons0019.dll 
C:\Windows\system32\NlsLexicons001a.dll 
C:\Windows\system32\NlsLexicons001b.dll 
C:\Windows\system32\NlsLexicons001d.dll 
C:\Windows\system32\NlsLexicons0020.dll 
C:\Windows\system32\NlsLexicons0021.dll 
C:\Windows\system32\NlsLexicons0022.dll 
C:\Windows\system32\NlsLexicons0024.dll 
C:\Windows\system32\NlsLexicons0026.dll 
C:\Windows\system32\NlsLexicons0027.dll 
C:\Windows\system32\NlsLexicons002a.dll 
C:\Windows\system32\NlsLexicons0039.dll 
C:\Windows\system32\NlsLexicons003e.dll 
C:\Windows\system32\NlsLexicons0045.dll 
C:\Windows\system32\NlsLexicons0046.dll 
C:\Windows\system32\NlsLexicons0047.dll 
C:\Windows\system32\NlsLexicons0049.dll 
C:\Windows\system32\NlsLexicons004a.dll 
C:\Windows\system32\NlsLexicons004b.dll 
C:\Windows\system32\NlsLexicons004c.dll 
C:\Windows\system32\NlsLexicons004e.dll 
C:\Windows\system32\NlsLexicons0414.dll 
C:\Windows\system32\NlsLexicons0416.dll 
C:\Windows\system32\NlsLexicons0816.dll 
C:\Windows\system32\NlsLexicons081a.dll 
C:\Windows\system32\NlsLexicons0c1a.dll 
C:\Windows\system32\NlsModels0011.dll 
C:\Windows\system32
ormaliz.dll 
C:\Windows\system32
otepad.exe 
C:\Windows\system32
pmproxy.dll 
C:\Windows\system32
shhttp.dll 
C:\Windows\system32
shipsec.dll 
C:\Windows\system32
si.dll 
C:\Windows\system32
sisvc.dll 
C:\Windows\system32
slookup.exe 
C:\Windows\system32
tdll.dll 
C:\Windows\system32\NTDOS.SYS 
C:\Windows\system32\NTDOS404.SYS 
C:\Windows\system32\NTDOS411.SYS 
C:\Windows\system32\NTDOS412.SYS 
C:\Windows\system32\NTDOS804.SYS 
C:\Windows\system32
tdsapi.dll 
C:\Windows\system32\NTIO.SYS 
C:\Windows\system32\NTIO404.SYS 
C:\Windows\system32\NTIO411.SYS 
C:\Windows\system32\NTIO412.SYS 
C:\Windows\system32\NTIO804.SYS 
C:\Windows\system32
tkrnlpa.exe 
C:\Windows\system32
tlanman.dll 
C:\Windows\system32
tlanui2.dll 
C:\Windows\system32
tmarta.dll 
C:\Windows\system32
toskrnl.exe 
C:\Windows\system32
tprint.dll 
C:\Windows\system32
tprint.exe 
C:\Windows\system32
tshrui.dll 
C:\Windows\system32
tvdm.exe 
C:\Windows\system32
tvdmd.dll 
C:\Windows\system32\objsel.dll 
C:\Windows\system32\occache.dll 
C:\Windows\system32\ocsetapi.dll 
C:\Windows\system32\ocsetup.exe 
C:\Windows\system32\odbc32.dll 
C:\Windows\system32\odbc32gt.dll 
C:\Windows\system32\odbcad32.exe 
C:\Windows\system32\odbcbcp.dll 
C:\Windows\system32\odbcconf.dll 
C:\Windows\system32\odbcconf.exe 
C:\Windows\system32\odbcconf.rsp 
C:\Windows\system32\odbccp32.dll 
C:\Windows\system32\odbccr32.dll 
C:\Windows\system32\odbccu32.dll 
C:\Windows\system32\odbcint.dll 
C:\Windows\system32\odbcji32.dll 
C:\Windows\system32\odbcjt32.dll 
C:\Windows\system32\odbctrac.dll 
C:\Windows\system32\oddbse32.dll 
C:\Windows\system32\odexl32.dll 
C:\Windows\system32\odfox32.dll 
C:\Windows\system32\odpdx32.dll 
C:\Windows\system32\odtext32.dll 
C:\Windows\system32\offfilt.dll 
C:\Windows\system32\oflc.rs 
C:\Windows\system32\ogldrv.dll 
C:\Windows\system32\ole32.dll 
C:\Windows\system32\oleacc.dll 
C:\Windows\system32\oleaccrc.dll 
C:\Windows\system32\oleaut32.dll 
C:\Windows\system32\olecli32.dll 
C:\Windows\system32\oledlg.dll 
C:\Windows\system32\oleprn.dll 
C:\Windows\system32\olepro32.dll 
C:\Windows\system32\oleres.dll 
C:\Windows\system32\OLESVR.DLL 
C:\Windows\system32\olesvr32.dll 
C:\Windows\system32\olethk32.dll 
C:\Windows\system32\onex.dll 
C:\Windows\system32\onex.tmf 
C:\Windows\system32\oobe 
C:\Windows\system32\oobefldr.dll 
C:\Windows\system32\openfiles.exe 
C:\Windows\system32\opengl32.dll 
C:\Windows\system32\OptionalFeatures.exe 
C:\Windows\system32\osbaseln.dll 
C:\Windows\system32\osblprov.dll 
C:\Windows\system32\osk.exe 
C:\Windows\system32\osuninst.dll 
C:\Windows\system32\P2P.dll 
C:\Windows\system32\p2pcollab.dll 
C:\Windows\system32\P2PGraph.dll 
C:\Windows\system32\p2phost.exe 
C:\Windows\system32\p2pnetsh.dll 
C:\Windows\system32\p2psvc.dll 
C:\Windows\system32\pacerprf.dll 
C:\Windows\system32\packager.dll 
C:\Windows\system32\panmap.dll 
C:\Windows\system32\PATHPING.EXE 
C:\Windows\system32\pautoenr.dll 
C:\Windows\system32\pcadm.dll 
C:\Windows\system32\pcaelv.exe 
C:\Windows\system32\pcalua.exe 
C:\Windows\system32\pcasvc.dll 
C:\Windows\system32\pcaui.dll 
C:\Windows\system32\pcaui.exe 
C:\Windows\system32\pdh.dll 
C:\Windows\system32\pdhui.dll 
C:\Windows\system32\pegi-fi.rs 
C:\Windows\system32\pegi-pt.rs 
C:\Windows\system32\pegi.rs 
C:\Windows\system32\pegibbfc.rs 
C:\Windows\system32\PerfCenterCPL.dll 
C:\Windows\system32\perfctrs.dll 
C:\Windows\system32\perfd009.dat 
C:\Windows\system32\perfd00C.dat 
C:\Windows\system32\perfdisk.dll 
C:\Windows\system32\perfi009.dat 
C:\Windows\system32\perfi00C.dat 
C:\Windows\system32\perfmon.exe 
C:\Windows\system32\perfnet.dll 
C:\Windows\system32\perfos.dll 
C:\Windows\system32\perfproc.dll 
C:\Windows\system32\perfts.dll 
C:\Windows\system32\phon.ime 
C:\Windows\system32\PhotoMetadataHandler.dll 
C:\Windows\system32\PhotoScreensaver.scr 
C:\Windows\system32\photowiz.dll 
C:\Windows\system32\pid.dll 
C:\Windows\system32\pidgenx.dll 
C:\Windows\system32\pifmgr.dll 
C:\Windows\system32\PING.EXE 
C:\Windows\system32\pintlgnt.ime 
C:\Windows\system32\PkgMgr.exe 
C:\Windows\system32\pl-PL 
C:\Windows\system32\pla.dll 
C:\Windows\system32\plasrv.exe 
C:\Windows\system32\PlaySndSrv.dll 
C:\Windows\system32\pngfilt.dll 
C:\Windows\system32\pnidui.dll 
C:\Windows\system32\pnpsetup.dll 
C:\Windows\system32\pnpts.dll 
C:\Windows\system32\pnpui.dll 
C:\Windows\system32\PnPUnattend.exe 
C:\Windows\system32\PnPutil.exe 
C:\Windows\system32\PNPXAssoc.dll 
C:\Windows\system32\PNPXAssocPrx.dll 
C:\Windows\system32\pnrpnsp.dll 
C:\Windows\system32\pnrpperf.dll 
C:\Windows\system32\polstore.dll 
C:\Windows\system32\poqexec.exe 
C:\Windows\system32\PortableDeviceApi.dll 
C:\Windows\system32\PortableDeviceClassExtension.dll 
C:\Windows\system32\PortableDeviceTypes.dll 
C:\Windows\system32\PortableDeviceWiaCompat.dll 
C:\Windows\system32\PortableDeviceWMDRM.dll 
C:\Windows\system32\pots.dll 
C:\Windows\system32\powercfg.cpl 
C:\Windows\system32\powercfg.exe 
C:\Windows\system32\powercpl.dll 
C:\Windows\system32\powrprof.dll 
C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll 
C:\Windows\system32\PresentationHost.exe 
C:\Windows\system32\PresentationHostProxy.dll 
C:\Windows\system32\PresentationNative_v0300.dll 
C:\Windows\system32\PresentationSettings.exe 
C:\Windows\system32\prevhost.exe 
C:\Windows\system32\prflbmsg.dll 
C:\Windows\system32\print.exe 
C:\Windows\system32\printcom.dll 
C:\Windows\system32\printfilterpipelineprxy.dll 
C:\Windows\system32\printfilterpipelinesvc.exe 
C:\Windows\system32\Printing_Admin_Scripts 
C:\Windows\system32\printui.dll 
C:\Windows\system32\printui.exe 
C:\Windows\system32\prnntfy.dll 
C:\Windows\system32\prntvpt.dll 
C:\Windows\system32\procinst.dll 
C:\Windows\system32\profsvc.dll 
C:\Windows\system32\propdefs.dll 
C:\Windows\system32\propsys.dll 
C:\Windows\system32\proquota.exe 
C:\Windows\system32\psapi.dll 
C:\Windows\system32\psbase.dll 
C:\Windows\system32\PSHED.DLL 
C:\Windows\system32\psisdecd.dll 
C:\Windows\system32\psisrndr.ax 
C:\Windows\system32\pstorec.dll 
C:\Windows\system32\pstorsvc.dll 
C:\Windows\system32\pt-BR 
C:\Windows\system32\pt-PT 
C:\Windows\system32\puiapi.dll 
C:\Windows\system32\puiobj.dll 
C:\Windows\system32\QAGENT.DLL 
C:\Windows\system32\QAGENTRT.DLL 
C:\Windows\system32\qasf.dll 
C:\Windows\system32\qcap.dll 
C:\Windows\system32\QCLIPROV.DLL 
C:\Windows\system32\qdv.dll 
C:\Windows\system32\qdvd.dll 
C:\Windows\system32\qedit.dll 
C:\Windows\system32\qedwipes.dll 
C:\Windows\system32\qintlgnt.ime 
C:\Windows\system32\qmgr.dll 
C:\Windows\system32\qmgrprxy.dll 
C:\Windows\system32\QSHVHOST.DLL 
C:\Windows\system32\QSVRMGMT.DLL 
C:\Windows\system32\quartz.dll 
C:\Windows\system32\Query.dll 
C:\Windows\system32\quick.ime 
C:\Windows\system32\QUTIL.DLL 
C:\Windows\system32\qwave.dll 
C:\Windows\system32\RacAgent.exe 
C:\Windows\system32\RacEngn.dll 
C:\Windows\system32acpldlg.dll 
C:\Windows\system32adardt.dll 
C:\Windows\system32adarrs.dll 
C:\Windows\system32as 
C:\Windows\system32asadhlp.dll 
C:\Windows\system32asapi32.dll 
C:\Windows\system32asauto.dll 
C:\Windows\system32asautou.exe 
C:\Windows\system32ascfg.dll 
C:\Windows\system32aschap.dll 
C:\Windows\system32asctrs.dll 
C:\Windows\system32asdiag.dll 
C:\Windows\system32asdial.exe 
C:\Windows\system32asdlg.dll 
C:\Windows\system32aserver.exe 
C:\Windows\system32asgcw.dll 
C:\Windows\system32asman.dll 
C:\Windows\system32asmans.dll 
C:\Windows\system32\RASMM.dll 
C:\Windows\system32asmontr.dll 
C:\Windows\system32asmxs.dll 
C:\Windows\system32asphone.exe 
C:\Windows\system32asplap.dll 
C:\Windows\system32asppp.dll 
C:\Windows\system32asqec.dll 
C:\Windows\system32asser.dll 
C:\Windows\system32astapi.dll 
C:\Windows\system32astls.dll 
C:\Windows\system32dpcfgex.dll 
C:\Windows\system32dpdd.dll 
C:\Windows\system32\RDPENCDD.dll 
C:\Windows\system32dpencom.dll 
C:\Windows\system32dpwsx.dll 
C:\Windows\system32drleakdiag.exe 
C:\Windows\system32ecover.exe 
C:\Windows\system32edir.exe 
C:\Windows\system32eg.exe 
C:\Windows\system32egapi.dll 
C:\Windows\system32\RegCtrl.dll 
C:\Windows\system32egedt32.exe 
C:\Windows\system32egini.exe 
C:\Windows\system32egsvc.dll 
C:\Windows\system32egsvr32.exe 
C:\Windows\system32ekeywiz.exe 
C:\Windows\system32\RelMon.dll 
C:\Windows\system32elog.exe 
C:\Windows\system32\RelPost.exe 
C:\Windows\system32\RemInst 
C:\Windows\system32emotepg.dll 
C:\Windows\system32emotesp.tsp 
C:\Windows\system32endezvousSession.tlb 
C:\Windows\system32eplace.exe 
C:\Windows\system32\RESAMPLEDMO.DLL 
C:\Windows\system32esutils.dll 
C:\Windows\system32gb9rast.dll 
C:\Windows\system32\Ribbons.scr 
C:\Windows\system32iched20.dll 
C:\Windows\system32iched32.dll 
C:\Windows\system32\RMActivate.exe 
C:\Windows\system32\RMActivate_isv.exe 
C:\Windows\system32\RMActivate_ssp.exe 
C:\Windows\system32\RMActivate_ssp_isv.exe 
C:\Windows\system32\RmClient.exe 
C:\Windows\system32nr20.dll 
C:\Windows\system32o-RO 
C:\Windows\system32\Robocopy.exe 
C:\Windows\system32\ROUTE.EXE 
C:\Windows\system32\RpcDiag.dll 
C:\Windows\system32pchttp.dll 
C:\Windows\system32\RPCNDFP.dll 
C:\Windows\system32\RpcNs4.dll 
C:\Windows\system32pcnsh.dll 
C:\Windows\system32\RpcPing.exe 
C:\Windows\system32pcrt4.dll 
C:\Windows\system32pcss.dll 
C:\Windows\system32rinstaller.exe 
C:\Windows\system32saenh.dll 
C:\Windows\system32shx32.dll 
C:\Windows\system32\RstrtMgr.dll 
C:\Windows\system32strui.exe 
C:\Windows\system32tffilt.dll 
C:\Windows\system32tm.dll 
C:\Windows\system32tutils.dll 
C:\Windows\system32u-RU 
C:\Windows\system32unas.exe 
C:\Windows\system32undll32.exe 
C:\Windows\system32\RunLegacyCPLElevated.exe 
C:\Windows\system32unonce.exe 
C:\Windows\system32\samlib.dll 
C:\Windows\system32\SampleRes.dll 
C:\Windows\system32\samsrv.dll 
C:\Windows\system32\sbe.dll 
C:\Windows\system32\sbeio.dll 
C:\Windows\system32\sbunattend.exe 
C:\Windows\system32\sc.exe 
C:\Windows\system32\scansetting.dll 
C:\Windows\system32\SCardDlg.dll 
C:\Windows\system32\SCardSvr.dll 
C:\Windows\system32\scecli.dll 
C:\Windows\system32\scesrv.dll 
C:\Windows\system32\schannel.dll 
C:\Windows\system32\schedsvc.dll 
C:\Windows\system32\schtasks.exe 
C:\Windows\system32\scksp.dll 
C:\Windows\system32\scripto.dll 
C:\Windows\system32\scrnsave.scr 
C:\Windows\system32\scrobj.dll 
C:\Windows\system32\scrrun.dll 
C:\Windows\system32\sdbinst.exe 
C:\Windows\system32\sdchange.exe 
C:\Windows\system32\sdclt.exe 
C:\Windows\system32\sdengin2.dll 
C:\Windows\system32\sdhcinst.dll 
C:\Windows\system32\sdohlp.dll 
C:\Windows\system32\sdrsvc.dll 
C:\Windows\system32\sdshext.dll 
C:\Windows\system32\SearchFilterHost.exe 
C:\Windows\system32\SearchIndexer.exe 
C:\Windows\system32\SearchProtocolHost.exe 
C:\Windows\system32\SecEdit.exe 
C:\Windows\system32\secinit.exe 
C:\Windows\system32\seclogon.dll 
C:\Windows\system32\secproc.dll 
C:\Windows\system32\secproc_isv.dll 
C:\Windows\system32\secproc_ssp.dll 
C:\Windows\system32\secproc_ssp_isv.dll 
C:\Windows\system32\secur32.dll 
C:\Windows\system32\security.dll 
C:\Windows\system32\sendmail.dll 
C:\Windows\system32\Sens.dll 
C:\Windows\system32\SensApi.dll 
C:\Windows\system32\serialui.dll 
C:\Windows\system32\services.exe 
C:\Windows\system32\serwvdrv.dll 
C:\Windows\system32\SessEnv.dll 
C:\Windows\system32\setbcdlocale.dll 
C:\Windows\system32\sethc.exe 
C:\Windows\system32\setup 
C:\Windows\system32\setupapi.dll 
C:\Windows\system32\setupcl.exe 
C:\Windows\system32\setupcln.dll 
C:\Windows\system32\setupSNK.exe 
C:\Windows\system32\setupugc.exe 
C:\Windows\system32\setver.exe 
C:\Windows\system32\setx.exe 
C:\Windows\system32\sfc.dll 
C:\Windows\system32\sfc.exe 
C:\Windows\system32\sfc_os.dll 
C:\Windows\system32\shacct.dll 
C:\Windows\system32\share.exe 
C:\Windows\system32\shdocvw.dll 
C:\Windows\system32\SHELL.DLL 
C:\Windows\system32\shell32.dll 
C:\Windows\system32\shellstyle.dll 
C:\Windows\system32\shfolder.dll 
C:\Windows\system32\shgina.dll 
C:\Windows\system32\ShiftJIS.uce 
C:\Windows\system32\shimeng.dll 
C:\Windows\system32\shimgvw.dll 
C:\Windows\system32\shlwapi.dll 
C:\Windows\system32\shpafact.dll 
C:\Windows\system32\shrink.dll 
C:\Windows\system32\shrpubw.exe 
C:\Windows\system32\shsetup.dll 
C:\Windows\system32\shsvcs.dll 
C:\Windows\system32\shunimpl.dll 
C:\Windows\system32\shutdown.exe 
C:\Windows\system32\shwebsvc.dll 
C:\Windows\system32\signdrv.dll 
C:\Windows\system32\sigverif.exe 
C:\Windows\system32\simpdata.tlb 
C:\Windows\system32\sisbkup.dll 
C:\Windows\system32\sk-SK 
C:\Windows\system32\sl-SI 
C:\Windows\system32\slcc.dll 
C:\Windows\system32\SLCExt.dll 
C:\Windows\system32\slmgr 
C:\Windows\system32\slwga.dll 
C:\Windows\system32\SmartcardCredentialProvider.dll 
C:\Windows\system32\SMBHelperClass.dll 
C:\Windows\system32\SMI 
C:\Windows\system32\SmiEngine.dll 
C:\Windows\system32\SmiInstaller.dll 
C:\Windows\system32\smss.exe 
C:\Windows\system32\SndVol.exe 
C:\Windows\system32\SndVolSSO.dll 
C:\Windows\system32\SnippingTool.exe 
C:\Windows\system32\snmpapi.dll 
C:\Windows\system32\snmptrap.exe 
C:\Windows\system32\softkbd.dll 
C:\Windows\system32\softpub.dll 
C:\Windows\system32\sort.exe 
C:\Windows\system32\sound.drv 
C:\Windows\system32\SoundRecorder.exe 
C:\Windows\system32\spbcd.dll 
C:\Windows\system32\Speech 
C:\Windows\system32\spnet.dll 
C:\Windows\system32\spool 
C:\Windows\system32\spoolss.dll 
C:\Windows\system32\spoolsv.exe 
C:\Windows\system32\spopk.dll 
C:\Windows\system32\spp.dll 
C:\Windows\system32\sppnp.dll 
C:\Windows\system32\spwinsat.dll 
C:\Windows\system32\spwizeng.dll 
C:\Windows\system32\spwizimg.dll 
C:\Windows\system32\spwizres.dll 
C:\Windows\system32\spwmp.dll 
C:\Windows\system32\sqlceoledb30.dll 
C:\Windows\system32\sqlceqp30.dll 
C:\Windows\system32\sqlcese30.dll 
C:\Windows\system32\sqlsrv32.dll 
C:\Windows\system32\sqlsrv32.rll 
C:\Windows\system32\sqlunirl.dll 
C:\Windows\system32\sqlwid.dll 
C:\Windows\system32\sqlwoa.dll 
C:\W

Lyonnais92 · Answer

Re,

ah le chien, tapi dans l'ombre ! La partie de cache-cache n'était pas du tout finie !Dans ce cas, grand merci à moe pour l'info.

1) peux tu faire sur fsbl.exe (l'exe de Blacklight) la même manip que celle sur OAD et Hijackthis, relancer Blacklight et poster le rapport.

Normalement, Blacklight doit déceler ce rootkit.

2) peux tu me donner les dates associées à ce fichier (c:\Windows\System32\kdbig.exe) et vérifier que c'est bien la même date que un ou deux autres fichiers de la liste.

3) sais tu accéder au répertoire sous Vista (sous xp, c'est clic droit sur démarrer, exécuter et regedit) ?

4) On va essayer par des moyens soft, mais je n'y crois pas trop

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.

fais la même manip sur tMoveIt.exe que pour les autres (OAD, ..)
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en italique ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

c:\Windows\System32\kdbig.exe




clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

5) remets un log Hijackthis.
@+

fabriceg · Answer

re,
voici le rapport blacklight. pour ce qui concerne le repertoire de vista, c encore plus simple d'y acceder que sur xp, il suffit de taper regedit directement du menu demarer, il y a une option "recherche". je m'occupe de suite de OTMoveIT
07/20/07 19:23:03 [Info]: BlackLight Engine 1.0.64 initialized
07/20/07 19:23:03 [Info]: OS: 6.0 build 6000 ()
07/20/07 19:23:03 [Note]: 7019 4
07/20/07 19:23:03 [Note]: 7005 0
07/20/07 19:23:10 [Note]: 7006 0
07/20/07 19:23:10 [Note]: 7027 0
07/20/07 19:23:10 [Note]: 7026 0
07/20/07 19:23:10 [Note]: 7026 0
07/20/07 19:23:14 [Note]: FSRAW library version 1.7.1022
07/20/07 19:27:34 [Note]: 7007 0

fabriceg · Answer

re,
desolé, je viens de me rendre compte, en relisant ton message , que je n'avait pas cocher "executer en tant qu'administrateur" pour blacklight, je relance le scan. encore desolé

fabriceg · Answer

re,
voici le rapport blacklight apres la manip
07/20/07 19:35:29 [Info]: BlackLight Engine 1.0.64 initialized
07/20/07 19:35:29 [Info]: OS: 6.0 build 6000 ()
07/20/07 19:35:30 [Note]: 7019 4
07/20/07 19:35:30 [Note]: 7005 0
07/20/07 19:35:33 [Note]: 7006 0
07/20/07 19:35:33 [Note]: 7027 0
07/20/07 19:35:33 [Note]: 7026 0
07/20/07 19:35:33 [Note]: 7026 0
07/20/07 19:35:36 [Note]: FSRAW library version 1.7.1022
07/20/07 19:39:06 [Note]: 7007 0

Lyonnais92 · Answer

RE,

il date de quand ce fichier ? kbig.exe
@+

fabriceg · Answer

voici le rapport de OTMoveIT
c:\Windows\System32\kdbig.exe moved successfully.
 
Created on 07/20/2007 19:43:49

fabriceg · Answer

et voici le rapport de hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 19:47:34, on 20/07/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\hijahdkis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.orange.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32
laapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
apinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://farice-gardon.spaces.live.com//PhotoUpload/VistaMsnPUpldfr-fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgemc.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\Program Files\Common Files\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Lyonnais92 · Answer

Re,

et celui-là  C:\Windows\system32\sqlwoa.dll 
 date de quand ?
@+

fabriceg · Answer

par quel moyen puis-je savoir de quand date le fichier car la je n'en ai aucune idée? merci

Lyonnais92 · Answer

Re,

par l'explorateurWindows, tu ouvre le répertoire C:\Windows\system32\

tu paramètres sur détails l'onglet affichage et tu n"vois" les dates et heures.
@+

fabriceg · Answer

re,
pour "sqlwoa.dll" il date du 02/11/2006 a 08h47, en revanche je ne trouve pas "kbig.exe"

moe · Answer

Re,

kdbig à l'air joueur en effet mais semble n'être plus actif depuis le fix des 017 apparement.
Dans le cas contraire elles auraient réapparus le reboot d'après, du moins s'il y a eu reboot entre temps.

DSS n'avait pu juste avant que localiser la partie registre de l'infection mais pas le fichier qui n'apparait lui, aucune part dans le rapport des fichiers crées pendant les 30 derniers jours et le fait qu'il soit maintenant visible via l'explorateur et d'OAD, indique que le processus n'est plus "rootkitisé", donc en activité.
Par contre OtMoveit lui, n'a pas fait dans le détail et l'a bel et bien dégagé.
Ca sent le sapin pour l'ami kdbig on dirait bien :-)
 
Fabrice, j'ai juste une question avant de vous laisser continuer, est-ce que tu as rebooté le pc entre le moment ou tu as fais la recherche de kdbig.exe avec OAD et l'utilisation d'OTmoveit ?

a+ et bonne continuation.


PS:
OAD a ressortis tous les fichiers du dossier system32 lors de la dernière recherche...Soucis au niveau du batch...
Et sincèrement bravo à l'auteur de ggfdrtei.vbs pour la datation des clés, fallait y penser !

Lyonnais92 · Answer

re,

on va continuer, on doit plus être loin du but d'ailleurs.

Est ce que tu te sens de faire ça :

tu ouvres le registre, tu cherches la clé : 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

et tu cliques dessus.

Tu fais fichier, exporter. Tu coches "branche sélectionné", tu choisis le bureau et un nom comme cle_winlogon. Tu cliques sur enregistrer. C'est la sauvegarde de la clé.

dans la fenêtre de droite, tu dois voir une ligne avec System et kdbig.exe. Tu cliques pour la mettre en surbrillance et clic droit puis supprimer.

Tu refermes le registre.

Si oui, tu le fais. Sinon, je te proposerai une autre méthode (plus automatique).

Si tu le fais, tu refais tourner OAD sur kdbig.exe. Il ne devrait plus rester que le fichier dans OTMoveIt.



Pour le problème de l'édition de tout system32, je n'ai pas de raisons de remettre en cause OAD. J'ai des cas, sous Windows xp, où la recherche de fichiers par date est discriminante. Mais il peut yavoir un effet Vista. Je vais voir avec !aur3n7.

Le Pc a été rebooté depuis la suppression des 017 : la suppression se fait au le post 41 et il y a reboot au post 44 et les lignes ne reviennent pas.

J'ai réanalysé le post dans son intégralité. La seule hypothèse qui tienne est que l'outil de securitystronghold (post 17) a "dérootiké" le fichier principal sans le détruire ni détruire la clé (un peu comme blacklight qui permet de voir, de renommer mais il faut supprimer à la main). Ca semble donc être le meilleur outils antiwareout sous Vista. Même s'il faut le compléter pour terminer le travail.
@+
 --
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

fabriceg · Answer

re,
pour ce qui est du reboot, il est vrai que j'ai eu besoin de redemarrer le pc apres l'utilisation d'un des scan, mais te dire lequel....en revanche le restant de ton message est un grand mystere pour moi, j'avoue ne pas tout comprendre, mais je te fais largement confiance. je viens a l'instant d'aller sur le net et qu'a une seul reprise j'ai eu un incident de detournement de fenetre, mais c rien par rapport a d'habitudes ou j'atterrissais sur 3 ou 4 site differents avant d'acceder a celui ou je voulais aller.

fabriceg · Answer

re ,
ok je part a la chasse au clé

fabriceg · Answer

re,
voici le rapport OAD apres suppression de la ligne que tu m'as demander
 20/07/2007 ---- 23:53:58,45  

----------------------------------
§§§§§§ [kdbig.exe] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************

c:\_OTMoveIt\MovedFiles\Windows\System32\kdbig.exe
c:\_OTMoveIt\MovedFiles\Windows\System32\kdbig.exe


*********************
     [Même date] 
*********************

C:\$Recycle.Bin 
C:\Documents 
C:\Windows\bfsvc.exe 
C:\Windows\Boot 
C:\Windows\Branding 
C:\Windows\Cursors 
C:\Windows\DigitalLocker 
C:\Windows\explorer.exe 
C:\Windows\fr-FR 
C:\Windows\fveupdate.exe 
C:\Windows\Globalization 
C:\Windows\Help 
C:\Windows\HelpPane.exe 
C:\Windows\hh.exe 
C:\Windows\IME 
C:\Windows\L2Schemas 
C:\Windows\LiveKernelReports 
C:\Windows\Media 
C:\Windows\mib.bin 
C:\Windows\MSAgent 
C:\Windows
ap 
C:\Windows
otepad.exe 
C:\Windows\Offline 
C:\Windows\Performance 
C:\Windows\PLA 
C:\Windows\PolicyDefinitions 
C:\Windows\Provisioning 
C:\Windowsegedit.exe 
C:\Windows\Resources 
C:\Windows\SchCache 
C:\Windows\schemas 
C:\Windows\security 
C:\Windows\ServiceProfiles 
C:\Windows\Setup 
C:\Windows\SETUPAPI.LOG 
C:\Windows\Speech 
C:\Windows\system 
C:\Windows	api 
C:\Windows	racing 
C:\Windows	wain.dll 
C:\Windows	wain_32.dll 
C:\Windows	wunk_16.exe 
C:\Windows	wunk_32.exe 
C:\Windows\Web 
C:\Windows\WindowsMobile 
C:\Windows\WindowsShell.Manifest 
C:\Windows\winhlp32.exe 
C:\Windows\WMSysPr9.prx 
C:\Windows\system32\040C 
C:\Windows\system32\aaclient.dll 
C:\Windows\system32\accessibilitycpl.dll 
C:\Windows\system32\acledit.dll 
C:\Windows\system32\aclui.dll 
C:\Windows\system32\acppage.dll 
C:\Windows\system32\acprgwiz.dll 
C:\Windows\system32\ActionQueue.dll 
C:\Windows\system32\ActiveContentWizard.dll 
C:\Windows\system32\activeds.dll 
C:\Windows\system32\activeds.tlb 
C:\Windows\system32\actxprxy.dll 
C:\Windows\system32\ACW.exe 
C:\Windows\system32\AdapterTroubleshooter.exe 
C:\Windows\system32\admparse.dll 
C:\Windows\system32\adsldp.dll 
C:\Windows\system32\adsldpc.dll 
C:\Windows\system32\adsmsext.dll 
C:\Windows\system32\adsnt.dll 
C:\Windows\system32\adtschema.dll 
C:\Windows\system32\AdvancedInstallers 
C:\Windows\system32\advapi32.dll 
C:\Windows\system32\aecache.dll 
C:\Windows\system32\aelupsvc.dll 
C:\Windows\system32\alg.exe 
C:\Windows\system32\AltTab.dll 
C:\Windows\system32\amcompat.tlb 
C:\Windows\system32\amstream.dll 
C:\Windows\system32\amxread.dll 
C:\Windows\system32\ANSI.SYS 
C:\Windows\system32\apds.dll 
C:\Windows\system32\apilogen.dll 
C:\Windows\system32\apircl.dll 
C:\Windows\system32\append.exe 
C:\Windows\system32\apphelp.dll 
C:\Windows\system32\Apphlpdm.dll 
C:\Windows\system32\appinfo.dll 
C:\Windows\system32\appwiz.cpl 
C:\Windows\system32\apss.dll 
C:\Windows\system32\ar-SA 
C:\Windows\system32\ARP.EXE 
C:\Windows\system32\asferror.dll 
C:\Windows\system32\asycfilt.dll 
C:\Windows\system32\at.exe 
C:\Windows\system32\AtBroker.exe 
C:\Windows\system32\atl.dll 
C:\Windows\system32\atmfd.dll 
C:\Windows\system32\atmlib.dll 
C:\Windows\system32\attrib.exe 
C:\Windows\system32\audiodev.dll 
C:\Windows\system32\audiodg.exe 
C:\Windows\system32\AudioEng.dll 
C:\Windows\system32\AUDIOKSE.dll 
C:\Windows\system32\AudioSes.dll 
C:\Windows\system32\audiosrv.dll 
C:\Windows\system32\auditpol.exe 
C:\Windows\system32\Aurora.scr 
C:\Windows\system32\authfwcfg.dll 
C:\Windows\system32\AuthFWGP.dll 
C:\Windows\system32\AuthFWSnapin.dll 
C:\Windows\system32\AuthFWWizFwk.dll 
C:\Windows\system32\authui.dll 
C:\Windows\system32\authz.dll 
C:\Windows\system32\autochk.exe 
C:\Windows\system32\autoconv.exe 
C:\Windows\system32\autofmt.exe 
C:\Windows\system32\autoplay.dll 
C:\Windows\system32\AuxiliaryDisplayApi.dll 
C:\Windows\system32\AuxiliaryDisplayClassInstaller.dll 
C:\Windows\system32\AuxiliaryDisplayCpl.dll 
C:\Windows\system32\AuxiliaryDisplayDriverLib.dll 
C:\Windows\system32\AuxiliaryDisplayServices.dll 
C:\Windows\system32\avicap.dll 
C:\Windows\system32\avicap32.dll 
C:\Windows\system32\avifil32.dll 
C:\Windows\system32\avifile.dll 
C:\Windows\system32\avrt.dll 
C:\Windows\system32\axaltocm.dll 
C:\Windows\system32\azroles.dll 
C:\Windows\system32\azroleui.dll 
C:\Windows\system32\AzSqlExt.dll 
C:\Windows\system32\basecsp.dll 
C:\Windows\system32\basesrv.dll 
C:\Windows\system32\batmeter.dll 
C:\Windows\system32\batt.dll 
C:\Windows\system32\bcdedit.exe 
C:\Windows\system32\bcdprov.dll 
C:\Windows\system32\bcdsrv.dll 
C:\Windows\system32\bcrypt.dll 
C:\Windows\system32\bdaplgin.ax 
C:\Windows\system32\BFE.DLL 
C:\Windows\system32\bg-BG 
C:\Windows\system32\bidispl.dll 
C:\Windows\system32\bitsadmin.exe 
C:\Windows\system32\bitsigd.dll 
C:\Windows\system32\bitsperf.dll 
C:\Windows\system32\bitsprx2.dll 
C:\Windows\system32\bitsprx3.dll 
C:\Windows\system32\bitsprx4.dll 
C:\Windows\system32\bitsprx5.dll 
C:\Windows\system32\blackbox.dll 
C:\Windows\system32\Boot 
C:\Windows\system32\bootcfg.exe 
C:\Windows\system32\bootstr.dll 
C:\Windows\system32\BOOTVID.DLL 
C:\Windows\system32\bopomofo.uce 
C:\Windows\system32\Branding 
C:\Windows\system32\brcoinst.dll 
C:\Windows\system32\brcpl.dll 
C:\Windows\system32\brcplsdw.dll 
C:\Windows\system32\brdgcfg.dll 
C:\Windows\system32\bridgeres.dll 
C:\Windows\system32\bridgeunattend.exe 
C:\Windows\system32\browser.dll 
C:\Windows\system32\browseui.dll 
C:\Windows\system32\bthci.dll 
C:\Windows\system32\bthprops.cpl 
C:\Windows\system32\bthserv.dll 
C:\Windows\system32\bthudtask.exe 
C:\Windows\system32\btpanui.dll 
C:\Windows\system32\Bubbles.scr 
C:\Windows\system32\cabinet.dll 
C:\Windows\system32\cabview.dll 
C:\Windows\system32\cacls.exe 
C:\Windows\system32\calc.exe 
C:\Windows\system32\capisp.dll 
C:\Windows\system32\CardGames.dll 
C:\Windows\system32\catsrv.dll 
C:\Windows\system32\catsrvps.dll 
C:\Windows\system32\catsrvut.dll 
C:\Windows\system32\cdd.dll 
C:\Windows\system32\cdosys.dll 
C:\Windows\system32\cero.rs 
C:\Windows\system32\certcli.dll 
C:\Windows\system32\certenc.dll 
C:\Windows\system32\CertEnroll.dll 
C:\Windows\system32\CertEnrollUI.dll 
C:\Windows\system32\certmgr.dll 
C:\Windows\system32\certprop.dll 
C:\Windows\system32\certreq.exe 
C:\Windows\system32\certutil.exe 
C:\Windows\system32\cewmdm.dll 
C:\Windows\system32\cfgbkend.dll 
C:\Windows\system32\cfgmgr32.dll 
C:\Windows\system32\chajei.ime 
C:\Windows\system32\charmap.exe 
C:\Windows\system32\chcp.com 
C:\Windows\system32\chkdsk.exe 
C:\Windows\system32\chkntfs.exe 
C:\Windows\system32\choice.exe 
C:\Windows\system32\chsbrkr.dll 
C:\Windows\system32\chtbrkr.dll 
C:\Windows\system32\CHxReadingStringIME.dll 
C:\Windows\system32\ci.dll 
C:\Windows\system32\cic.dll 
C:\Windows\system32\cintlgnt.ime 
C:\Windows\system32\cipher.exe 
C:\Windows\system32\CIRCoInst.dll 
C:\Windows\system32\clb.dll 
C:\Windows\system32\clbcatq.dll 
C:\Windows\system32\cleanmgr.exe 
C:\Windows\system32\clfs.sys 
C:\Windows\system32\clfsw32.dll 
C:\Windows\system32\cliconfg.dll 
C:\Windows\system32\cliconfg.exe 
C:\Windows\system32\cliconfg.rll 
C:\Windows\system32\clip.exe 
C:\Windows\system32\clusapi.dll 
C:\Windows\system32\cmcfg32.dll 
C:\Windows\system32\cmd.exe 
C:\Windows\system32\cmdial32.dll 
C:\Windows\system32\cmdkey.exe 
C:\Windows\system32\cmdl32.exe 
C:\Windows\system32\cmicryptinstall.dll 
C:\Windows\system32\cmipnpinstall.dll 
C:\Windows\system32\cmlua.dll 
C:\Windows\system32\cmmon32.exe 
C:\Windows\system32\cmpbk32.dll 
C:\Windows\system32\cmstp.exe 
C:\Windows\system32\cmstplua.dll 
C:\Windows\system32\cmutil.dll 
C:\Windows\system32\cngaudit.dll 
C:\Windows\system32\cnvfat.dll 
C:\Windows\system32\CodeIntegrity 
C:\Windows\system32\cofire.exe 
C:\Windows\system32\cofiredm.dll 
C:\Windows\system32\colbact.dll 
C:\Windows\system32\collab.cpl 
C:\Windows\system32\COLORCNV.DLL 
C:\Windows\system32\colorcpl.exe 
C:\Windows\system32\colorui.dll 
C:\Windows\system32\com 
C:\Windows\system32\comcat.dll 
C:\Windows\system32\comctl32.dll 
C:\Windows\system32\comdlg32.dll 
C:\Windows\system32\COMM.drv 
C:\Windows\system32\COMMAND.COM 
C:\Windows\system32\COMMDLG.DLL 
C:\Windows\system32\comp.exe 
C:\Windows\system32\compact.exe 
C:\Windows\system32\CompatUI.dll 
C:\Windows\system32\CompMgmtLauncher.exe 
C:\Windows\system32\compstui.dll 
C:\Windows\system32\ComputerDefaults.exe 
C:\Windows\system32\comrepl.dll 
C:\Windows\system32\comres.dll 
C:\Windows\system32\comsnap.dll 
C:\Windows\system32\comsvcs.dll 
C:\Windows\system32\comuid.dll 
C:\Windows\system32\conime.exe 
C:\Windows\system32\connect.dll 
C:\Windows\system32\consent.exe 
C:\Windows\system32\console.dll 
C:\Windows\system32\control.exe 
C:\Windows\system32\convert.exe 
C:\Windows\system32\corpol.dll 
C:\Windows\system32\country.sys 
C:\Windows\system32\credssp.dll 
C:\Windows\system32\credui.dll 
C:\Windows\system32\credwiz.exe 
C:\Windows\system32\CRPPresentation.dll 
C:\Windows\system32\crtdll.dll 
C:\Windows\system32\cryptdlg.dll 
C:\Windows\system32\cryptdll.dll 
C:\Windows\system32\cryptext.dll 
C:\Windows\system32\cryptnet.dll 
C:\Windows\system32\cryptsvc.dll 
C:\Windows\system32\cryptui.dll 
C:\Windows\system32\cs-CZ 
C:\Windows\system32\cscapi.dll 
C:\Windows\system32\cscdll.dll 
C:\Windows\system32\cscript.exe 
C:\Windows\system32\csrss.exe 
C:\Windows\system32\csrstub.exe 
C:\Windows\system32\ctfmon.exe 
C:\Windows\system32\ctl3d32.dll 
C:\Windows\system32\C_G18030.DLL 
C:\Windows\system32\C_IS2022.DLL 
C:\Windows\system32\C_ISCII.DLL 
C:\Windows\system32\d3d10.dll 
C:\Windows\system32\d3d10core.dll 
C:\Windows\system32\d3d8.dll 
C:\Windows\system32\d3d8thk.dll 
C:\Windows\system32\d3d9.dll 
C:\Windows\system32\d3dim.dll 
C:\Windows\system32\d3dim700.dll 
C:\Windows\system32\d3dramp.dll 
C:\Windows\system32\d3dxof.dll 
C:\Windows\system32\da-DK 
C:\Windows\system32\dataclen.dll 
C:\Windows\system32\davclnt.dll 
C:\Windows\system32\dbgeng.dll 
C:\Windows\system32\dbghelp.dll 
C:\Windows\system32\dbnetlib.dll 
C:\Windows\system32\dbnmpntw.dll 
C:\Windows\system32\dciman32.dll 
C:\Windows\system32\dcomcnfg.exe 
C:\Windows\system32\DDACLSys.dll 
C:\Windows\system32\DDEML.DLL 
C:\Windows\system32\ddraw.dll 
C:\Windows\system32\ddrawex.dll 
C:\Windows\system32\de-DE 
C:\Windows\system32\debug.exe 
C:\Windows\system32\Defrag.exe 
C:\Windows\system32\desk.cpl 
C:\Windows\system32\deskadp.dll 
C:\Windows\system32\deskmon.dll 
C:\Windows\system32\deskperf.dll 
C:\Windows\system32\desktop.ini 
C:\Windows\system32\devenum.dll 
C:\Windows\system32\DeviceEject.exe 
C:\Windows\system32\DeviceProperties.exe 
C:\Windows\system32\devmgr.dll 
C:\Windows\system32\dfdts.dll 
C:\Windows\system32\DFDWiz.exe 
C:\Windows\system32\dfrgfat.exe 
C:\Windows\system32\dfrgifc.exe 
C:\Windows\system32\dfrgifps.dll 
C:\Windows\system32\DfrgNtfs.exe 
C:\Windows\system32\DfrgRes.dll 
C:\Windows\system32\dfrgui.exe 
C:\Windows\system32\dfshim.dll 
C:\Windows\system32\dfsr.exe 
C:\Windows\system32\dfsrperf.dll 
C:\Windows\system32\dfsrres.dll 
C:\Windows\system32\DfsShlEx.dll 
C:\Windows\system32\dhcpcmonitor.dll 
C:\Windows\system32\dhcpcsvc.dll 
C:\Windows\system32\dhcpcsvc6.dll 
C:\Windows\system32\DHCPQEC.DLL 
C:\Windows\system32\dhcpsapi.dll 
C:\Windows\system32\dhcpsoc.dll 
C:\Windows\system32\diagperf.dll 
C:\Windows\system32\dialer.exe 
C:\Windows\system32\diantz.exe 
C:\Windows\system32\dimsjob.dll 
C:\Windows\system32\dimsroam.dll 
C:\Windows\system32\dinput.dll 
C:\Windows\system32\dinput8.dll 
C:\Windows\system32\diskcomp.com 
C:\Windows\system32\diskcopy.com 
C:\Windows\system32\diskcopy.dll 
C:\Windows\system32\diskpart.exe 
C:\Windows\system32\diskperf.exe 
C:\Windows\system32\diskraid.exe 
C:\Windows\system32\dispci.dll 
C:\Windows\system32\dispdiag.exe 
C:\Windows\system32\dispex.dll 
C:\Windows\system32\dllhost.exe 
C:\Windows\system32\dllhst3g.exe 
C:\Windows\system32\dmband.dll 
C:\Windows\system32\dmcompos.dll 
C:\Windows\system32\dmdlgs.dll 
C:\Windows\system32\dmdskmgr.dll 
C:\Windows\system32\dmdskres.dll 
C:\Windows\system32\dmime.dll 
C:\Windows\system32\dmintf.dll 
C:\Windows\system32\dmloader.dll 
C:\Windows\system32\dmocx.dll 
C:\Windows\system32\dmscript.dll 
C:\Windows\system32\dmstyle.dll 
C:\Windows\system32\dmsynth.dll 
C:\Windows\system32\dmusic.dll 
C:\Windows\system32\dmutil.dll 
C:\Windows\system32\dmvdsitf.dll 
C:\Windows\system32\dmview.ocx 
C:\Windows\system32\dnsapi.dll 
C:\Windows\system32\dnscacheugc.exe 
C:\Windows\system32\dnshc.dll 
C:\Windows\system32\dnsrslvr.dll 
C:\Windows\system32\docprop.dll 
C:\Windows\system32\doskey.exe 
C:\Windows\system32\dosx.exe 
C:\Windows\system32\dot3.tmf 
C:\Windows\system32\dot3api.dll 
C:\Windows\system32\dot3cfg.dll 
C:\Windows\system32\dot3dlg.dll 
C:\Windows\system32\dot3gpclnt.dll 
C:\Windows\system32\dot3gpui.dll 
C:\Windows\system32\dot3msm.dll 
C:\Windows\system32\dot3svc.dll 
C:\Windows\system32\dot3ui.dll 
C:\Windows\system32\dpapimig.exe 
C:\Windows\system32\DpiScaling.exe 
C:\Windows\system32\dplaysvr.exe 
C:\Windows\system32\dplayx.dll 
C:\Windows\system32\dpmodemx.dll 
C:\Windows\system32\dpnaddr.dll 
C:\Windows\system32\dpnathlp.dll 
C:\Windows\system32\dpnet.dll 
C:\Windows\system32\dpnhpast.dll 
C:\Windows\system32\dpnhupnp.dll 
C:\Windows\system32\dpnlobby.dll 
C:\Windows\system32\dpnsvr.exe 
C:\Windows\system32\dps.dll 
C:\Windows\system32\dpwsockx.dll 
C:\Windows\system32\dpx.dll 
C:\Windows\system32\driverquery.exe 
C:\Windows\system32\DriverStore 
C:\Windows\system32\drmmgrtn.dll 
C:\Windows\system32\drmv2clt.dll 
C:\Windows\system32\drprov.dll 
C:\Windows\system32\drvinst.exe 
C:\Windows\system32\drvstore.dll 
C:\Windows\system32\DRWATSON.EXE 
C:\Windows\system32\ds32gt.dll 
C:\Windows\system32\dsauth.dll 
C:\Windows\system32\dsdmo.dll 
C:\Windows\system32\dskquota.dll 
C:\Windows\system32\dskquoui.dll 
C:\Windows\system32\dsound.dll 
C:\Windows\system32\dsprop.dll 
C:\Windows\system32\dsquery.dll 
C:\Windows\system32\dssec.dll 
C:\Windows\system32\dssenh.dll 
C:\Windows\system32\dsuiext.dll 
C:\Windows\system32\dswave.dll 
C:\Windows\system32\dtsh.dll 
C:\Windows\system32\duser.dll 
C:\Windows\system32\dvdplay.exe 
C:\Windows\system32\dvdupgrd.exe 
C:\Windows\system32\dwm.exe 
C:\Windows\system32\dwmapi.dll 
C:\Windows\system32\dwmredir.dll 
C:\Windows\system32\dxdiag.exe 
C:\Windows\system32\dxdiagn.dll 
C:\Windows\system32\dxgi.dll 
C:\Windows\system32\dxmasf.dll 
C:\Windows\system32\dxtmsft.dll 
C:\Windows\system32\dxtrans.dll 
C:\Windows\system32\dxva2.dll 
C:\Windows\system32\eapp3hst.dll 
C:\Windows\system32\eappcfg.dll 
C:\Windows\system32\eappgnui.dll 
C:\Windows\system32\eapphost.dll 
C:\Windows\system32\eappprxy.dll 
C:\Windows\system32\EAPQEC.DLL 
C:\Windows\system32\eapsvc.dll 
C:\Windows\system32\edlin.exe 
C:\Windows\system32\efsadu.dll 
C:\Windows\system32\efsui.exe 
C:\Windows\system32\el-GR 
C:\Windows\system32\els.dll 
C:\Windows\system32\emdmgmt.dll 
C:\Windows\system32\en-US 
C:\Windows\system32\encapi.dll 
C:\Windows\system32\EncDec.dll 
C:\Windows\system32\EncDump.dll 
C:\Windows\system32\eqossnap.dll 
C:\Windows\system32\es-ES 
C:\Windows\system32\es.dll 
C:\Windows\system32\esent.dll 
C:\Windows\system32\esentprf.dll 
C:\Windows\system32\esentutl.exe 
C:\Windows\system32\esrb.rs 
C:\Windows\system32\et-EE 
C:\Windows\system32\eudcedit.exe 
C:\Windows\system32\eventcls.dll 
C:\Windows\system32\eventcreate.exe 
C:\Windows\system32\eventvwr.exe 
C:\Windows\system32\evr.dll 
C:\Windows\system32\exe2bin.exe 
C:\Windows\system32\expand.exe 
C:\Windows\system32\ExplorerFrame.dll 
C:\Windows\system32\expsrv.dll 
C:\Windows\system32\extmgr.dll 
C:\Windows\system32\extrac32.exe 
C:\Windows\system32\f3ahvoas.dll 
C:\Windows\system32\fastopen.exe 
C:\Windows\system32\Faultrep.dll 
C:\Windows\system32\fc.exe 
C:\Windows\system32\fde.dll 
C:\Windows\system32\fdeploy.dll 
C:\Windows\system32\fdPHost.dll 
C:\Windows\system32\fdProxy.dll 
C:\Windows\system32\FDResPub.dll 
C:\Windows\system32\fdSSDP.dll 
C:\Windows\system32\fdWCN.dll 
C:\Windows\system32\fdWNet.dll 
C:\Windows\system32\fdWSD.dll 
C:\Windows\system32\feclient.dll 
C:\Windows\system32\fi-FI 
C:\Windows\system32\filemgmt.dll 
C:\Windows\system32\find.exe 
C:\Windows\system32\findnetprinters.dll 
C:\Windows\system32\findstr.exe 
C:\Windows\system32\finger.exe 
C:\Windows\system32\Firewall.cpl 
C:\Windows\system32\FirewallControlPanel.exe 
C:\Windows\system32\FirewallSettings.exe 
C:\Windows\system32\fixmapi.exe 
C:\Windows\system32\fltLib.dll 
C:\Windows\system32\fltMC.exe 
C:\Windows\system32\fmifs.dll 
C:\Windows\system32\fontext.dll 
C:\Windows\system32\fontsub.dll 
C:\Windows\system32\fontview.exe 
C:\Windows\system32\forfiles.exe 
C:\Windows\system32\format.com 
C:\Windows\system32\fphc.dll 
C:\Windows\system32\fr 
C:\Windows\system32\framebuf.dll 
C:\Windows\system32\fsmgmt.msc 
C:\Windows\system32\fsutil.exe 
C:\Windows\system32\ftp.exe 
C:\Windows\system32\fundisc.dll 
C:\Windows\system32\fwcfg.dll 
C:\Windows\system32\FWPUCLNT.DLL 
C:\Windows\system32\FwRemoteSvr.dll 
C:\Windows\system32\g711codc.ax 
C:\Windows\system32\gacinstall.dll 
C:\Windows\system32\gatherWirelessInfo.vbs 
C:\Windows\system32\gatherWirelessInfo.xslt 
C:\Windows\system32\gb2312.uce 
C:\Windows\system32\gcdef.dll 
C:\Windows\system32\GDI.EXE 
C:\Windows\system32\gdi32.dll 
C:\Windows\system32\getmac.exe 
C:\Windows\system32\getuname.dll 
C:\Windows\system32\glmf32.dll 
C:\Windows\system32\glu32.dll 
C:\Windows\system32\gpapi.dll 
C:\Windows\system32\gpedit.dll 
C:\Windows\system32\gpresult.exe 
C:\Windows\system32\gpsvc.dll 
C:\Windows\system32\gptext.dll 
C:\Windows\system32\gpupdate.exe 
C:\Windows\system32\graftabl.com 
C:\Windows\system32\GRAPHICS.COM 
C:\Windows\system32\GroupPolicy 
C:\Windows\system32\GroupPolicyUsers 
C:\Windows\system32\grpconv.exe 
C:\Windows\system32\GuidedHelp.dll 
C:\Windows\system32\hal.dll 
C:\Windows\system32\halacpi.dll 
C:\Windows\system32\halmacpi.dll 
C:\Windows\system32\hbaapi.dll 
C:\Windows\system32\hccoin.dll 
C:\Windows\system32\hdwwiz.cpl 
C:\Windows\system32\hdwwiz.exe 
C:\Windows\system32\he-IL 
C:\Windows\system32\help.exe 
C:\Windows\system32\HelpPaneProxy.dll 
C:\Windows\system32\hhctrl.ocx 
C:\Windows\system32\hhsetup.dll 
C:\Windows\system32\hid.dll 
C:\Windows\system32\hidphone.tsp 
C:\Windows\system32\hidserv.dll 
C:\Windows\system32\HIMEM.SYS 
C:\Windows\system32\hlink.dll 
C:\Windows\system32\hnetcfg.dll 
C:\Windows\system32\hnetmon.dll 
C:\Windows\system32\HOSTNAME.EXE 
C:\Windows\system32\hotplug.dll 
C:\Windows\system32\HotStartUserAgent.dll 
C:\Windows\system32\hr-HR 
C:\Windows\system32\html.iec 
C:\Windows\system32\httpapi.dll 
C:\Windows\system32\htui.dll 
C:\Windows\system32\hu-HU 
C:\Windows\system32\iac25_32.ax 
C:\Windows\system32\ias 
C:\Windows\system32\ias.dll 
C:\Windows\system32\iasacct.dll 
C:\Windows\system32\iasads.dll 
C:\Windows\system32\iasdatastore.dll 
C:\Windows\system32\iashlpr.dll 
C:\Windows\system32\IasMigPlugin.dll 
C:\Windows\system32\iasnap.dll 
C:\Windows\system32\iaspolcy.dll 
C:\Windows\system32\iasrad.dll 
C:\Windows\system32\iasrecst.dll 
C:\Windows\system32\iassam.dll 
C:\Windows\system32\iassdo.dll 
C:\Windows\system32\iassvcs.dll 
C:\Windows\system32\icaapi.dll 
C:\Windows\system32\icacls.exe 
C:\Windows\system32\icardagt.exe 
C:\Windows\system32\icardie.dll 
C:\Windows\system32\icardres.dll 
C:\Windows\system32\iccvid.dll 
C:\Windows\system32\icm32.dll 
C:\Windows\system32\icmp.dll 
C:\Windows\system32\icmui.dll 
C:\Windows\system32\IconCodecService.dll 
C:\Windows\system32\icsfiltr.dll 
C:\Windows\system32\icsigd.dll 
C:\Windows\system32\icsunattend.exe 
C:\Windows\system32\icsxml 
C:\Windows\system32\ideograf.uce 
C:\Windows\system32\idndl.dll 
C:\Windows\system32\ieakeng.dll 
C:\Windows\system32\ieaksie.dll 
C:\Windows\system32\ieakui.dll 
C:\Windows\system32\iedkcs32.dll 
C:\Windows\system32\ieencode.dll 
C:\Windows\system32\iepeers.dll 
C:\Windows\system32\iertutil.dll 
C:\Windows\system32\ieuinit.inf 
C:\Windows\system32\iexpress.exe 
C:\Windows\system32\ifmon.dll 
C:\Windows\system32\ifsutil.dll 
C:\Windows\system32\ifsutilx.dll 
C:\Windows\system32\ifxcardm.dll 
C:\Windows\system32\IKEEXT.DLL 
C:\Windows\system32\imaadp32.acm 
C:\Windows\system32\imageres.dll 
C:\Windows\system32\imapi.dll 
C:\Windows\system32\imapi2.dll 
C:\Windows\system32\imapi2fs.dll 
C:\Windows\system32\IME 
C:\Windows\system32\imgutil.dll 
C:\Windows\system32\IMJP10.IME 
C:\Windows\system32\IMJP10K.DLL 
C:\Windows\system32\imkr80.ime 
C:\Windows\system32\imm32.dll 
C:\Windows\system32\inetmib1.dll 
C:\Windows\system32\inetpp.dll 
C:\Windows\system32\inetppui.dll 
C:\Windows\system32\inetsrv 
C:\Windows\system32\InfDefaultInstall.exe 
C:\Windows\system32\infocardapi.dll 
C:\Windows\system32\infocardcpl.cpl 
C:\Windows\system32\InkEd.dll 
C:\Windows\system32\input.dll 
C:\Windows\system32\inseng.dll 
C:\Windows\system32\intl.cpl 
C:\Windows\system32\iologmsg.dll 
C:\Windows\system32\IPBusEnum.dll 
C:\Windows\system32\IPBusEnumProxy.dll 
C:\Windows\system32\ipconfig.exe 
C:\Windows\system32\IPHLPAPI.DLL 
C:\Windows\system32\ipnathlp.dll 
C:\Windows\system32\iprop.dll 
C:\Windows\system32\iprtprio.dll 
C:\Windows\system32\iprtrmgr.dll 
C:\Windows\system32\ipsecsnp.dll 
C:\Windows\system32\IPSECSVC.DLL 
C:\Windows\system32\ipsmsnap.dll 
C:\Windows\system32\ir32_32.dll 
C:\Windows\system32\ir41_32.ax 
C:\Windows\system32\ir41_qc.dll 
C:\Windows\system32\ir41_qcx.dll 
C:\Windows\system32\ir50_32.dll 
C:\Windows\system32\ir50_qc.dll 
C:\Windows\system32\ir50_qcx.dll 
C:\Windows\system32\irclass.dll 
C:\Windows\system32\irftp.exe 
C:\Windows\system32\irmon.dll 
C:\Windows\system32\irprops.cpl 
C:\Windows\system32\iscsicli.exe 
C:\Windows\system32\iscsicpl.dll 
C:\Windows\system32\iscsicpl.exe 
C:\Windows\system32\iscsidsc.dll 
C:\Windows\system32\iscsied.dll 
C:\Windows\system32\iscsiexe.dll 
C:\Windows\system32\iscsilog.dll 
C:\Windows\system32\iscsium.dll 
C:\Windows\system32\iscsiwmi.dll 
C:\Windows\system32\it-IT 
C:\Windows\system32\itircl.dll 
C:\Windows\system32\itss.dll 
C:\Windows\system32\ivfsrc.ax 
C:\Windows\system32\iyuv_32.dll 
C:\Windows\system32\ja-JP 
C:\Windows\system32\jnwmon.dll 
C:\Windows\system32\joy.cpl 
C:\Windows\system32\jscript.dll 
C:\Windows\system32\kanji_1.uce 
C:\Windows\system32\kanji_2.uce 
C:\Windows\system32\KB16.COM 
C:\Windows\system32\kbd101.dll 
C:\Windows\system32\kbd101a.dll 
C:\Windows\system32\kbd101b.dll 
C:\Windows\system32\kbd101c.dll 
C:\Windows\system32\kbd103.dll 
C:\Windows\system32\kbd106.dll 
C:\Windows\system32\kbd106n.dll 
C:\Windows\system32\KBDA1.DLL 
C:\Windows\system32\KBDA2.DLL 
C:\Windows\system32\KBDA3.DLL 
C:\Windows\system32\KBDAL.DLL 
C:\Windows\system32\KBDARME.DLL 
C:\Windows\system32\KBDARMW.DLL 
C:\Windows\system32\kbdax2.dll 
C:\Windows\system32\KBDAZE.DLL 
C:\Windows\system32\KBDAZEL.DLL 
C:\Windows\system32\KBDBASH.DLL 
C:\Windows\system32\KBDBE.DLL 
C:\Windows\system32\KBDBENE.DLL 
C:\Windows\system32\KBDBGPH.DLL 
C:\Windows\system32\KBDBHC.DLL 
C:\Windows\system32\KBDBLR.DLL 
C:\Windows\system32\KBDBR.DLL 
C:\Windows\system32\KBDBU.DLL 
C:\Windows\system32\KBDBULG.DLL 
C:\Windows\system32\KBDCA.DLL 
C:\Windows\system32\KBDCAN.DLL 
C:\Windows\system32\KBDCR.DLL 
C:\Windows\system32\KBDCZ.DLL 
C:\Windows\system32\KBDCZ1.DLL 
C:\Windows\system32\KBDCZ2.DLL 
C:\Windows\system32\KBDDA.DLL 
C:\Windows\system32\KBDDIV1.DLL 
C:\Windows\system32\KBDDIV2.DLL 
C:\Windows\system32\KBDDV.DLL 
C:\Windows\system32\KBDES.DLL 
C:\Windows\system32\KBDEST.DLL 
C:\Windows\system32\KBDFA.DLL 
C:\Windows\system32\KBDFC.DLL 
C:\Windows\system32\KBDFI.DLL 
C:\Windows\system32\KBDFI1.DLL 
C:\Windows\system32\KBDFO.DLL 
C:\Windows\system32\KBDFR.DLL 
C:\Windows\system32\KBDGAE.DLL 
C:\Windows\system32\KBDGEO.DLL 
C:\Windows\system32\kbdgeoer.dll 
C:\Windows\system32\kbdgeoqw.dll 
C:\Windows\system32\KBDGKL.DLL 
C:\Windows\system32\KBDGR.DLL 
C:\Windows\system32\KBDGR1.DLL 
C:\Windows\system32\KBDGRLND.DLL 
C:\Windows\system32\KBDHE.DLL 
C:\Windows\system32\KBDHE220.DLL 
C:\Windows\system32\KBDHE319.DLL 
C:\Windows\system32\KBDHEB.DLL 
C:\Windows\system32\KBDHELA2.DLL 
C:\Windows\system32\KBDHELA3.DLL 
C:\Windows\system32\KBDHEPT.DLL 
C:\Windows\system32\KBDHU.DLL 
C:\Windows\system32\KBDHU1.DLL 
C:\Windows\system32\kbdibm02.dll 
C:\Windows\system32\KBDIC.DLL 
C:\Windows\system32\KBDINASA.DLL 
C:\Windows\system32\KBDINBE1.DLL 
C:\Windows\system32\KBDINBE2.DLL 
C:\Windows\system32\KBDINBEN.DLL 
C:\Windows\system32\KBDINDEV.DLL 
C:\Windows\system32\KBDINGUJ.DLL 
C:\Windows\system32\KBDINHIN.DLL 
C:\Windows\system32\KBDINKAN.DLL 
C:\Windows\system32\KBDINMAL.DLL 
C:\Windows\system32\KBDINMAR.DLL 
C:\Windows\system32\KBDINORI.DLL 
C:\Windows\system32\KBDINPUN.DLL 
C:\Windows\system32\KBDINTAM.DLL 
C:\Windows\system32\KBDINTEL.DLL 
C:\Windows\system32\KBDINUK2.DLL 
C:\Windows\system32\KBDIR.DLL 
C:\Windows\system32\KBDIT.DLL 
C:\Windows\system32\KBDIT142.DLL 
C:\Windows\system32\KBDIULAT.DLL 
C:\Windows\system32\KBDJPN.DLL 
C:\Windows\system32\KBDKAZ.DLL 
C:\Windows\system32\KBDKHMR.DLL 
C:\Windows\system32\KBDKOR.DLL 
C:\Windows\system32\KBDKYR.DLL 
C:\Windows\system32\KBDLA.DLL 
C:\Windows\system32\KBDLAO.DLL 
C:\Windows\system32\kbdlk41a.dll 
C:\Windows\system32\KBDLT.DLL 
C:\Windows\system32\KBDLT1.DLL 
C:\Windows\system32\KBDLT2.DLL 
C:\Windows\system32\KBDLV.DLL 
C:\Windows\system32\KBDLV1.DLL 
C:\Windows\system32\KBDMAC.DLL 
C:\Windows\system32\KBDMACST.DLL 
C:\Windows\system32\KBDMAORI.DLL 
C:\Windows\system32\KBDMLT47.DLL 
C:\Windows\system32\KBDMLT48.DLL 
C:\Windows\system32\KBDMON.DLL 
C:\Windows\system32\KBDMONMO.DLL 
C:\Windows\system32\KBDNE.DLL 
C:\Windows\system32\kbdnec.dll 
C:\Windows\system32\kbdnec95.dll 
C:\Windows\system32\kbdnecat.dll 
C:\Windows\system32\kbdnecnt.dll 
C:\Windows\system32\KBDNEPR.DLL 
C:\Windows\system32\KBDNO.DLL 
C:\Windows\system32\KBDNO1.DLL 
C:\Windows\system32\KBDPASH.DLL 
C:\Windows\system32\KBDPL.DLL 
C:\Windows\system32\KBDPL1.DLL 
C:\Windows\system32\KBDPO.DLL 
C:\Windows\system32\KBDRO.DLL 
C:\Windows\system32\KBDROPR.DLL 
C:\Windows\system32\KBDROST.DLL 
C:\Windows\system32\KBDRU.DLL 
C:\Windows\system32\KBDRU1.DLL 
C:\Windows\system32\KBDSF.DLL 
C:\Windows\system32\KBDSG.DLL 
C:\Windows\system32\KBDSL.DLL 
C:\Windows\system32\KBDSL1.DLL 
C:\Windows\system32\KBDSMSFI.DLL 
C:\Windows\system32\KBDSMSNO.DLL 
C:\Windows\system32\KBDSN1.DLL 
C:\Windows\system32\KBDSOREX.DLL 
C:\Windows\system32\KBDSORST.DLL 
C:\Windows\system32\KBDSP.DLL 
C:\Windows\system32\KBDSW.DLL 
C:\Windows\system32\KBDSW09.DLL 
C:\Windows\system32\KBDSYR1.DLL 
C:\Windows\system32\KBDSYR2.DLL 
C:\Windows\system32\KBDTAJIK.DLL 
C:\Windows\system32\KBDTAT.DLL 
C:\Windows\system32\KBDTH0.DLL 
C:\Windows\system32\KBDTH1.DLL 
C:\Windows\system32\KBDTH2.DLL 
C:\Windows\system32\KBDTH3.DLL 
C:\Windows\system32\KBDTIPRC.DLL 
C:\Windows\system32\KBDTUF.DLL 
C:\Windows\system32\KBDTUQ.DLL 
C:\Windows\system32\KBDTURME.DLL 
C:\Windows\system32\KBDUGHR.DLL 
C:\Windows\system32\KBDUK.DLL 
C:\Windows\system32\KBDUKX.DLL 
C:\Windows\system32\KBDUR.DLL 
C:\Windows\system32\KBDUR1.DLL 
C:\Windows\system32\KBDURDU.DLL 
C:\Windows\system32\KBDUS.DLL 
C:\Windows\system32\KBDUSA.DLL 
C:\Windows\system32\KBDUSL.DLL 
C:\Windows\system32\KBDUSR.DLL 
C:\Windows\system32\KBDUSX.DLL 
C:\Windows\system32\KBDUZB.DLL 
C:\Windows\system32\KBDVNTC.DLL 
C:\Windows\system32\KBDYAK.DLL 
C:\Windows\system32\KBDYCC.DLL 
C:\Windows\system32\KBDYCL.DLL 
C:\Windows\system32\kd1394.dll 
C:\Windows\system32\kdcom.dll 
C:\Windows\system32\kdusb.dll 
C:\Windows\system32\kerberos.dll 
C:\Windows\system32\kernel32.dll 
C:\Windows\system32\KEY01.SYS 
C:\Windows\system32\keyboard.drv 
C:\Windows\system32\KEYBOARD.SYS 
C:\Windows\system32\keyiso.dll 
C:\Windows\system32\keymgr.dll 
C:\Windows\system32\kmddsp.tsp 
C:\Windows\system32\KMSVC.DLL 
C:\Windows\system32\ko-KR 
C:\Windows\system32\korean.uce 
C:\Windows\system32\korwbrkr.dll 
C:\Windows\system32\krnl386.exe 
C:\Windows\system32\ksproxy.ax 
C:\Windows\system32\kstvtune.ax 
C:\Windows\system32\ksuser.dll 
C:\Windows\system32\Kswdmcap.ax 
C:\Windows\system32\ksxbar.ax 
C:\Windows\system32\ktmutil.exe 
C:\Windows\system32\ktmw32.dll 
C:\Windows\system32\l2gpstore.dll 
C:\Windows\system32\l2nacp.dll 
C:\Windows\system32\L2SecHC.dll 
C:\Windows\system32\l3codeca.acm 
C:\Windows\system32\l3codecp.acm 
C:\Windows\system32\label.exe 
C:\Windows\system32\LangCleanupSysprepAction.dll 
C:\Windows\system32\LANGWRBK.DLL 
C:\Windows\system32\LAPRXY.DLL 
C:\Windows\system32\licensing 
C:\Windows\system32\licmgr10.dll 
C:\Windows\system32\linkinfo.dll 
C:\Windows\system32\lltdapi.dll 
C:\Windows\system32\lltdres.dll 
C:\Windows\system32\lltdsvc.dll 
C:\Windows\system32\lmhsvc.dll 
C:\Windows\system32\lnkstub.exe 
C:\Windows\system32\LOADFIX.COM 
C:\Windows\system32\loadperf.dll 
C:\Windows\system32\locale.nls 
C:\Windows\system32\localsec.dll 
C:\Windows\system32\localspl.dll 
C:\Windows\system32\localui.dll 
C:\Windows\system32\Locator.exe 
C:\Windows\system32\lodctr.exe 
C:\Windows\system32\logagent.exe 
C:\Windows\system32\loghours.dll 
C:\Windows\system32\logman.exe 
C:\Windows\system32\logon.scr 
C:\Windows\system32\LogonUI.exe 
C:\Windows\system32\lpk.dll 
C:\Windows\system32\lpksetup.exe 
C:\Windows\system32\lpremove.exe 
C:\Windows\system32\lsasrv.dll 
C:\Windows\system32\lsass.exe 
C:\Windows\system32\lsm.exe 
C:\Windows\system32\lsmproxy.dll 
C:\Windows\system32\lt-LT 
C:\Windows\system32\luainstall.dll 
C:\Windows\system32\lv-LV 
C:\Windows\system32\lz32.dll 
C:\Windows\system32\Magnification.dll 
C:\Windows\system32\Magnify.exe 
C:\Windows\system32\main.cpl 
C:\Windows\system32\makecab.exe 
C:\Windows\system32\manifeststore 
C:\Windows\system32\mapi32.dll 
C:\Windows\system32\mapistub.dll 
C:\Windows\system32\mblctr.exe 
C:\Windows\system32\mciavi.drv 
C:\Windows\system32\mciavi32.dll 
C:\Windows\system32\mcicda.dll 
C:\Windows\system32\mciqtz32.dll 
C:\Windows\system32\mciseq.dll 
C:\Windows\system32\mciseq.drv 
C:\Windows\system32\mciwave.dll 
C:\Windows\system32\mciwave.drv 
C:\Windows\system32\mcupdate_GenuineIntel.dll 
C:\Windows\system32\Mcx2Svc.dll 
C:\Windows\system32\McxDriv.dll 
C:\Windows\system32\mdminst.dll 
C:\Windows\system32\MdRes.exe 
C:\Windows\system32\MdSched.exe 
C:\Windows\system32\MediaMetadataHandler.dll 
C:\Windows\system32\mem.exe 
C:\Windows\system32\mf.dll 
C:\Windows\system32\mf3216.dll 
C:\Windows\system32\mfc40.dll 
C:\Windows\system32\mfc40u.dll 
C:\Windows\system32\mfc42.dll 
C:\Windows\system32\mfc42u.dll 
C:\Windows\system32\mfcsubs.dll 
C:\Windows\system32\mferror.dll 
C:\Windows\system32\mfplat.dll 
C:\Windows\system32\mfpmp.exe 
C:\Windows\system32\mfps.dll 
C:\Windows\system32\mfvdsp.dll 
C:\Windows\system32\MFWMAAEC.DLL 
C:\Windows\system32\mgmtapi.dll 
C:\Windows\system32\Microsoft 
C:\Windows\system32\midimap.dll 
C:\Windows\system32\MigAutoPlay.exe 
C:\Windows\system32\migisol.dll 
C:\Windows\system32\miguiresource.dll 
C:\Windows\system32\migwiz 
C:\Windows\system32\migwiz.lnk 
C:\Windows\system32\milcore.dll 
C:\Windows\system32\mimefilt.dll 
C:\Windows\system32\mlang.dll 
C:\Windows\system32\mmc.exe 
C:\Windows\system32\mmcbase.dll 
C:\Windows\system32\mmci.dll 
C:\Windows\system32\mmcico.dll 
C:\Windows\system32\mmcndmgr.dll 
C:\Windows\system32\mmcshext.dll 
C:\Windows\system32\mmcss.dll 
C:\Windows\system32\MMDevAPI.dll 
C:\Windows\system32\mmsys.cpl 
C:\Windows\system32\MMSYSTEM.DLL 
C:\Windows\system32\mmtask.tsk 
C:\Windows\system32\mobsync.exe 
C:\Windows\system32\mode.com 
C:\Windows\system32\modemui.dll 
C:\Windows\system32\montr_ci.dll 
C:\Windows\system32\more.com 
C:\Windows\system32\moricons.dll 
C:\Windows\system32\mountvol.exe 
C:\Windows\system32\mouse.drv 
C:\Windows\system32\MP3DMOD.DLL 
C:\Windows\system32\MP43DECD.DLL 
C:\Windows\system32\MP4SDECD.DLL 
C:\Windows\system32\Mpeg2Data.ax 
C:\Windows\system32\mpg2splt.ax 
C:\Windows\system32\MPG4DECD.DLL 
C:\Windows\system32\mpnotify.exe 
C:\Windows\system32\mpr.dll 
C:\Windows\system32\mprapi.dll 
C:\Windows\system32\mprddm.dll 
C:\Windows\system32\mprdim.dll 
C:\Windows\system32\mprmsg.dll 
C:\Windows\system32\MRINFO.EXE 
C:\Windows\system32\msaatext.dll 
C:\Windows\system32\MSAC3ENC.DLL 
C:\Windows\system32\msacm.dll 
C:\Windows\system32\msacm32.dll 
C:\Windows\system32\msacm32.drv 
C:\Windows\system32\msadp32.acm 
C:\Windows\system32\msafd.dll 
C:\Windows\system32\msasn1.dll 
C:\Windows\system32\msaudite.dll 
C:\Windows\system32\mscandui.dll 
C:\Windows\system32\mscat32.dll 
C:\Windows\system32\mscdexnt.exe 
C:\Windows\system32\mscms.dll 
C:\Windows\system32\msconfig.exe 
C:\Windows\system32\mscoree.dll 
C:\Windows\system32\mscories.dll 
C:\Windows\system32\mscpx32r.dLL 
C:\Windows\system32\mscpxl32.dLL 
C:\Windows\system32\msctf.dll 
C:\Windows\system32\msctfime.ime 
C:\Windows\system32\MsCtfMonitor.dll 
C:\Windows\system32\msctfp.dll 
C:\Windows\system32\msctfui.dll 
C:\Windows\system32\msdadiag.dll 
C:\Windows\system32\msdart.dll 
C:\Windows\system32\msdatsrc.tlb 
C:\Windows\system32\msdelta.dll 
C:\Windows\system32\msdmo.dll 
C:\Windows\system32\msdri.dll 
C:\Windows\system32\msdrm.dll 
C:\Windows\system32\msdt.dll 
C:\Windows\system32\msdt.exe 
C:\Windows\system32\msdtc.exe 
C:\Windows\system32\msdtckrm.dll 
C:\Windows\system32\msdtclog.dll 
C:\Windows\system32\msdtcprx.dll 
C:\Windows\system32\msdtctm.dll 
C:\Windows\system32\msdtcuiu.dll 
C:\Windows\system32\MSDvbNP.ax 
C:\Windows\system32\msdxm.ocx 
C:\Windows\system32\msdxm.tlb 
C:\Windows\system32\msexch40.dll 
C:\Windows\system32\msexcl40.dll 
C:\Windows\system32\msfeeds.dll 
C:\Windows\system32\msfeedsbs.dll 
C:\Windows\system32\msfeedssync.exe 
C:\Windows\system32\msftedit.dll 
C:\Windows\system32\msg711.acm 
C:\Windows\system32\msgsm32.acm 
C:\Windows\system32\mshta.exe 
C:\Windows\system32\mshtmler.dll 
C:\Windows\system32\msi.dll 
C:\Windows\system32\msidcrl30.dll 
C:\Windows\system32\msident.dll 
C:\Windows\system32\msidle.dll 
C:\Windows\system32\msidntld.dll 
C:\Windows\system32\msieftp.dll 
C:\Windows\system32\msiexec.exe 
C:\Windows\system32\msihnd.dll 
C:\Windows\system32\msiltcfg.dll 
C:\Windows\system32\msimg32.dll 
C:\Windows\system32\msimsg.dll 
C:\Windows\system32\msimtf.dll 
C:\Windows\system32\msinfo32.exe 
C:\Windows\system32\msisip.dll 
C:\Windows\system32\msjet40.dll 
C:\Windows\system32\msjetoledb40.dll 
C:\Windows\system32\msjint40.dll 
C:\Windows\system32\msjter40.dll 
C:\Windows\system32\msjtes40.dll 
C:\Windows\system32\msls31.dll 
C:\Windows\system32\msltus40.dll 
C:\Windows\system32\msmmsp.dll 
C:\Windows\system32\MSMPEG2ADEC.DLL 
C:\Windows\system32\MSMPEG2ENC.DLL 
C:\Windows\system32\MSMPEG2VDEC.DLL 
C:\Windows\system32\msnetobj.dll 
C:\Windows\system32\MSNP.ax 
C:\Windows\system32\msobjs.dll 
C:\Windows\system32\msorc32r.dll 
C:\Windows\system32\msorcl32.dll 
C:\Windows\system32\mspaint.exe 
C:\Windows\system32\mspatcha.dll 
C:\Windows\system32\mspbde40.dll 
C:\Windows\system32\msports.dll 
C:\Windows\system32\msprivs.dll 
C:\Windows\system32\msra.exe 
C:\Windows\system32\MsraLegacy.tlb 
C:\Windows\system32\msrating.dll 
C:\Windows\system32\msrd2x40.dll 
C:\Windows\system32\msrd3x40.dll 
C:\Windows\system32\msrdc.dll 
C:\Windows\system32\msrepl40.dll 
C:\Windows\system32\msrle32.dll 
C:\Windows\system32\msscb.dll 
C:\Windows\system32\msscntrs.dll 
C:\Windows\system32\msscript.ocx 
C:\Windows\system32\mssha.dll 
C:\Windows\system32\msshavmsg.dll 
C:\Windows\system32\msshsq.dll 
C:\Windows\system32\mssign32.dll 
C:\Windows\system32\mssip32.dll 
C:\Windows\system32\mssitlb.dll 
C:\Windows\system32\mssph.dll 
C:\Windows\system32\mssphtb.dll 
C:\Windows\system32\mssprxy.dll 
C:\Windows\system32\mssrch.dll 
C:\Windows\system32\msstrc.dll 
C:\Windows\system32\mssvp.dll 
C:\Windows\system32\msswch.dll 
C:\Windows\system32\mstask.dll 
C:\Windows\system32\mstext40.dll 
C:\Windows\system32\mstime.dll 
C:\Windows\system32\mstlsapi.dll 
C:\Windows\system32\mstsc.exe 
C:\Windows\system32\mstscax.dll 
C:\Windows\system32\msutb.dll 
C:\Windows\system32\msv1_0.dll 
C:\Windows\system32\msvbvm60.dll 
C:\Windows\system32\msvcirt.dll 
C:\Windows\system32\msvcp60.dll 
C:\Windows\system32\msvcrt.dll 
C:\Windows\system32\msvcrt20.dll 
C:\Windows\system32\msvcrt40.dll 
C:\Windows\system32\msvfw32.dll 
C:\Windows\system32\msvidc32.dll 
C:\Windows\system32\MSVidCtl.dll 
C:\Windows\system32\msvideo.dll 
C:\Windows\system32\mswdat10.dll 
C:\Windows\system32\mswmdm.dll 
C:\Windows\system32\mswsock.dll 
C:\Windows\system32\mswstr10.dll 
C:\Windows\system32\msxbde40.dll 
C:\Windows\system32\msxml3.dll 
C:\Windows\system32\msxml3r.dll 
C:\Windows\system32\msxml6.dll 
C:\Windows\system32\msxml6r.dll 
C:\Windows\system32\msyuv.dll 
C:\Windows\system32\mtstocom.exe 
C:\Windows\system32\mtxclu.dll 
C:\Windows\system32\mtxdm.dll 
C:\Windows\system32\mtxex.dll 
C:\Windows\system32\mtxlegih.dll 
C:\Windows\system32\mtxoci.dll 
C:\Windows\system32\MUI 
C:\Windows\system32\muifontsetup.dll 
C:\Windows\system32\MUILanguageCleanup.dll 
C:\Windows\system32\MuiUnattend.exe 
C:\Windows\system32\mycomput.dll 
C:\Windows\system32\mydocs.dll 
C:\Windows\system32\Mystify.scr 
C:\Windows\system32\NAPCRYPT.DLL 
C:\Windows\system32
apdsnap.dll 
C:\Windows\system32\NAPHLPR.DLL 
C:\Windows\system32\NapiNSP.dll 
C:\Windows\system32
apipsec.dll 
C:\Windows\system32\NAPMONTR.DLL 
C:\Windows\system32\NAPSTAT.EXE 
C:\Windows\system32\Narrator.exe 
C:\Windows\system32\NativeHooks.dll 
C:\Windows\system32\NaturalLanguage6.dll 
C:\Windows\system32
b-NO 
C:\Windows\system32
btstat.exe 
C:\Windows\system32\NcdProp.dll 
C:\Windows\system32
ci.dll 
C:\Windows\system32
cobjapi.dll 
C:\Windows\system32
cpa.cpl 
C:\Windows\system32
crypt.dll 
C:\Windows\system32
cryptui.dll 
C:\Windows\system32
csi.dll 
C:\Windows\system32
ddeapi.dll 
C:\Windows\system32
dfapi.dll 
C:\Windows\system32
dfetw.dll 
C:\Windows\system32
dishc.dll 
C:\Windows\system32
dproxystub.dll 
C:\Windows\system32
dptsp.tsp 
C:\Windows\system32
et.exe 
C:\Windows\system32
et1.exe 
C:\Windows\system32
etapi32.dll 
C:\Windows\system32
etbtugc.exe 
C:\Windows\system32
etcenter.dll 
C:\Windows\system32
etcfg.exe 
C:\Windows\system32
etcfgx.dll 
C:\Windows\system32
etcorehc.dll 
C:\Windows\system32
etdiagfx.dll 
C:\Windows\system32
etevent.dll 
C:\Windows\system32
etfxperf.dll 
C:\Windows\system32
eth.dll 
C:\Windows\system32
etid.dll 
C:\Windows\system32
etiohlp.dll 
C:\Windows\system32
etiougc.exe 
C:\Windows\system32
etlogon.dll 
C:\Windows\system32
etman.dll 
C:\Windows\system32
etmsg.dll 
C:\Windows\system32
etplwiz.dll 
C:\Windows\system32\Netplwiz.exe 
C:\Windows\system32
etprof.dll 
C:\Windows\system32
etprofm.dll 
C:\Windows\system32\NetProj.exe 
C:\Windows\system32\NetProjW.dll 
C:\Windows\system32
etrap.dll 
C:\Windows\system32
etsh.exe 
C:\Windows\system32
etshell.dll 
C:\Windows\system32\NETSTAT.EXE 
C:\Windows\system32
etworkexplorer.dll 
C:\Windows\system32
etworkitemfactory.dll 
C:\Windows\system32
etworklist 
C:\Windows\system32
etworkmap.dll 
C:\Windows\system32
ewdev.dll 
C:\Windows\system32
ewdev.exe 
C:\Windows\system32
l-NL 
C:\Windows\system32
laapi.dll 
C:\Windows\system32
lasvc.dll 
C:\Windows\system32
lhtml.dll 
C:\Windows\system32
lmsprep.dll 
C:\Windows\system32
lsbres.dll 
C:\Windows\system32\NlsData0000.dll 
C:\Windows\system32\NlsData0001.dll 
C:\Windows\system32\NlsData0002.dll 
C:\Windows\system32\NlsData0003.dll 
C:\Windows\system32\NlsData0007.dll 
C:\Windows\system32\NlsData0009.dll 
C:\Windows\system32\NlsData000a.dll 
C:\Windows\system32\NlsData000c.dll 
C:\Windows\system32\NlsData000d.dll 
C:\Windows\system32\NlsData000f.dll 
C:\Windows\system32\NlsData0010.dll 
C:\Windows\system32\NlsData0011.dll 
C:\Windows\system32\NlsData0013.dll 
C:\Windows\system32\NlsData0018.dll 
C:\Windows\system32\NlsData0019.dll 
C:\Windows\system32\NlsData001a.dll 
C:\Windows\system32\NlsData001b.dll 
C:\Windows\system32\NlsData001d.dll 
C:\Windows\system32\NlsData0020.dll 
C:\Windows\system32\NlsData0021.dll 
C:\Windows\system32\NlsData0022.dll 
C:\Windows\system32\NlsData0024.dll 
C:\Windows\system32\NlsData0026.dll 
C:\Windows\system32\NlsData0027.dll 
C:\Windows\system32\NlsData002a.dll 
C:\Windows\system32\NlsData0039.dll 
C:\Windows\system32\NlsData003e.dll 
C:\Windows\system32\NlsData0045.dll 
C:\Windows\system32\NlsData0046.dll 
C:\Windows\system32\NlsData0047.dll 
C:\Windows\system32\NlsData0049.dll 
C:\Windows\system32\NlsData004a.dll 
C:\Windows\system32\NlsData004b.dll 
C:\Windows\system32\NlsData004c.dll 
C:\Windows\system32\NlsData004e.dll 
C:\Windows\system32\NlsData0414.dll 
C:\Windows\system32\NlsData0416.dll 
C:\Windows\system32\NlsData0816.dll 
C:\Windows\system32\NlsData081a.dll 
C:\Windows\system32\NlsData0c1a.dll 
C:\Windows\system32\Nlsdl.dll 
C:\Windows\system32
lsfunc.exe 
C:\Windows\system32\NlsLexicons0001.dll 
C:\Windows\system32\NlsLexicons0002.dll 
C:\Windows\system32\NlsLexicons0003.dll 
C:\Windows\system32\NlsLexicons0007.dll 
C:\Windows\system32\NlsLexicons0009.dll 
C:\Windows\system32\NlsLexicons000a.dll 
C:\Windows\system32\NlsLexicons000c.dll 
C:\Windows\system32\NlsLexicons000d.dll 
C:\Windows\system32\NlsLexicons000f.dll 
C:\Windows\system32\NlsLexicons0010.dll 
C:\Windows\system32\NlsLexicons0011.dll 
C:\Windows\system32\NlsLexicons0013.dll 
C:\Windows\system32\NlsLexicons0018.dll 
C:\Windows\system32\NlsLexicons0019.dll 
C:\Windows\system32\NlsLexicons001a.dll 
C:\Windows\system32\NlsLexicons001b.dll 
C:\Windows\system32\NlsLexicons001d.dll 
C:\Windows\system32\NlsLexicons0020.dll 
C:\Windows\system32\NlsLexicons0021.dll 
C:\Windows\system32\NlsLexicons0022.dll 
C:\Windows\system32\NlsLexicons0024.dll 
C:\Windows\system32\NlsLexicons0026.dll 
C:\Windows\system32\NlsLexicons0027.dll 
C:\Windows\system32\NlsLexicons002a.dll 
C:\Windows\system32\NlsLexicons0039.dll 
C:\Windows\system32\NlsLexicons003e.dll 
C:\Windows\system32\NlsLexicons0045.dll 
C:\Windows\system32\NlsLexicons0046.dll 
C:\Windows\system32\NlsLexicons0047.dll 
C:\Windows\system32\NlsLexicons0049.dll 
C:\Windows\system32\NlsLexicons004a.dll 
C:\Windows\system32\NlsLexicons004b.dll 
C:\Windows\system32\NlsLexicons004c.dll 
C:\Windows\system32\NlsLexicons004e.dll 
C:\Windows\system32\NlsLexicons0414.dll 
C:\Windows\system32\NlsLexicons0416.dll 
C:\Windows\system32\NlsLexicons0816.dll 
C:\Windows\system32\NlsLexicons081a.dll 
C:\Windows\system32\NlsLexicons0c1a.dll 
C:\Windows\system32\NlsModels0011.dll 
C:\Windows\system32
ormaliz.dll 
C:\Windows\system32
otepad.exe 
C:\Windows\system32
pmproxy.dll 
C:\Windows\system32
shhttp.dll 
C:\Windows\system32
shipsec.dll 
C:\Windows\system32
si.dll 
C:\Windows\system32
sisvc.dll 
C:\Windows\system32
slookup.exe 
C:\Windows\system32
tdll.dll 
C:\Windows\system32\NTDOS.SYS 
C:\Windows\system32\NTDOS404.SYS 
C:\Windows\system32\NTDOS411.SYS 
C:\Windows\system32\NTDOS412.SYS 
C:\Windows\system32\NTDOS804.SYS 
C:\Windows\system32
tdsapi.dll 
C:\Windows\system32\NTIO.SYS 
C:\Windows\system32\NTIO404.SYS 
C:\Windows\system32\NTIO411.SYS 
C:\Windows\system32\NTIO412.SYS 
C:\Windows\system32\NTIO804.SYS 
C:\Windows\system32
tkrnlpa.exe 
C:\Windows\system32
tlanman.dll 
C:\Windows\system32
tlanui2.dll 
C:\Windows\system32
tmarta.dll 
C:\Windows\system32
toskrnl.exe 
C:\Windows\system32
tprint.dll 
C:\Windows\system32
tprint.exe 
C:\Windows\system32
tshrui.dll 
C:\Windows\system32
tvdm.exe 
C:\Windows\system32
tvdmd.dll 
C:\Windows\system32\objsel.dll 
C:\Windows\system32\occache.dll 
C:\Windows\system32\ocsetapi.dll 
C:\Windows\system32\ocsetup.exe 
C:\Windows\system32\odbc32.dll 
C:\Windows\system32\odbc32gt.dll 
C:\Windows\system32\odbcad32.exe 
C:\Windows\system32\odbcbcp.dll 
C:\Windows\system32\odbcconf.dll 
C:\Windows\system32\odbcconf.exe 
C:\Windows\system32\odbcconf.rsp 
C:\Windows\system32\odbccp32.dll 
C:\Windows\system32\odbccr32.dll 
C:\Windows\system32\odbccu32.dll 
C:\Windows\system32\odbcint.dll 
C:\Windows\system32\odbcji32.dll 
C:\Windows\system32\odbcjt32.dll 
C:\Windows\system32\odbctrac.dll 
C:\Windows\system32\oddbse32.dll 
C:\Windows\system32\odexl32.dll 
C:\Windows\system32\odfox32.dll 
C:\Windows\system32\odpdx32.dll 
C:\Windows\system32\odtext32.dll 
C:\Windows\system32\offfilt.dll 
C:\Windows\system32\oflc.rs 
C:\Windows\system32\ogldrv.dll 
C:\Windows\system32\ole32.dll 
C:\Windows\system32\oleacc.dll 
C:\Windows\system32\oleaccrc.dll 
C:\Windows\system32\oleaut32.dll 
C:\Windows\system32\olecli32.dll 
C:\Windows\system32\oledlg.dll 
C:\Windows\system32\oleprn.dll 
C:\Windows\system32\olepro32.dll 
C:\Windows\system32\oleres.dll 
C:\Windows\system32\OLESVR.DLL 
C:\Windows\system32\olesvr32.dll 
C:\Windows\system32\olethk32.dll 
C:\Windows\system32\onex.dll 
C:\Windows\system32\onex.tmf 
C:\Windows\system32\oobe 
C:\Windows\system32\oobefldr.dll 
C:\Windows\system32\openfiles.exe 
C:\Windows\system32\opengl32.dll 
C:\Windows\system32\OptionalFeatures.exe 
C:\Windows\system32\osbaseln.dll 
C:\Windows\system32\osblprov.dll 
C:\Windows\system32\osk.exe 
C:\Windows\system32\osuninst.dll 
C:\Windows\system32\P2P.dll 
C:\Windows\system32\p2pcollab.dll 
C:\Windows\system32\P2PGraph.dll 
C:\Windows\system32\p2phost.exe 
C:\Windows\system32\p2pnetsh.dll 
C:\Windows\system32\p2psvc.dll 
C:\Windows\system32\pacerprf.dll 
C:\Windows\system32\packager.dll 
C:\Windows\system32\panmap.dll 
C:\Windows\system32\PATHPING.EXE 
C:\Windows\system32\pautoenr.dll 
C:\Windows\system32\pcadm.dll 
C:\Windows\system32\pcaelv.exe 
C:\Windows\system32\pcalua.exe 
C:\Windows\system32\pcasvc.dll 
C:\Windows\system32\pcaui.dll 
C:\Windows\system32\pcaui.exe 
C:\Windows\system32\pdh.dll 
C:\Windows\system32\pdhui.dll 
C:\Windows\system32\pegi-fi.rs 
C:\Windows\system32\pegi-pt.rs 
C:\Windows\system32\pegi.rs 
C:\Windows\system32\pegibbfc.rs 
C:\Windows\system32\PerfCenterCPL.dll 
C:\Windows\system32\perfctrs.dll 
C:\Windows\system32\perfd009.dat 
C:\Windows\system32\perfd00C.dat 
C:\Windows\system32\perfdisk.dll 
C:\Windows\system32\perfi009.dat 
C:\Windows\system32\perfi00C.dat 
C:\Windows\system32\perfmon.exe 
C:\Windows\system32\perfnet.dll 
C:\Windows\system32\perfos.dll 
C:\Windows\system32\perfproc.dll 
C:\Windows\system32\perfts.dll 
C:\Windows\system32\phon.ime 
C:\Windows\system32\PhotoMetadataHandler.dll 
C:\Windows\system32\PhotoScreensaver.scr 
C:\Windows\system32\photowiz.dll 
C:\Windows\system32\pid.dll 
C:\Windows\system32\pidgenx.dll 
C:\Windows\system32\pifmgr.dll 
C:\Windows\system32\PING.EXE 
C:\Windows\system32\pintlgnt.ime 
C:\Windows\system32\PkgMgr.exe 
C:\Windows\system32\pl-PL 
C:\Windows\system32\pla.dll 
C:\Windows\system32\plasrv.exe 
C:\Windows\system32\PlaySndSrv.dll 
C:\Windows\system32\pngfilt.dll 
C:\Windows\system32\pnidui.dll 
C:\Windows\system32\pnpsetup.dll 
C:\Windows\system32\pnpts.dll 
C:\Windows\system32\pnpui.dll 
C:\Windows\system32\PnPUnattend.exe 
C:\Windows\system32\PnPutil.exe 
C:\Windows\system32\PNPXAssoc.dll 
C:\Windows\system32\PNPXAssocPrx.dll 
C:\Windows\system32\pnrpnsp.dll 
C:\Windows\system32\pnrpperf.dll 
C:\Windows\system32\polstore.dll 
C:\Windows\system32\poqexec.exe 
C:\Windows\system32\PortableDeviceApi.dll 
C:\Windows\system32\PortableDeviceClassExtension.dll 
C:\Windows\system32\PortableDeviceTypes.dll 
C:\Windows\system32\PortableDeviceWiaCompat.dll 
C:\Windows\system32\PortableDeviceWMDRM.dll 
C:\Windows\system32\pots.dll 
C:\Windows\system32\powercfg.cpl 
C:\Windows\system32\powercfg.exe 
C:\Windows\system32\powercpl.dll 
C:\Windows\system32\powrprof.dll 
C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll 
C:\Windows\system32\PresentationHost.exe 
C:\Windows\system32\PresentationHostProxy.dll 
C:\Windows\system32\PresentationNative_v0300.dll 
C:\Windows\system32\PresentationSettings.exe 
C:\Windows\system32\prevhost.exe 
C:\Windows\system32\prflbmsg.dll 
C:\Windows\system32\print.exe 
C:\Windows\system32\printcom.dll 
C:\Windows\system32\printfilterpipelineprxy.dll 
C:\Windows\system32\printfilterpipelinesvc.exe 
C:\Windows\system32\Printing_Admin_Scripts 
C:\Windows\system32\printui.dll 
C:\Windows\system32\printui.exe 
C:\Windows\system32\prnntfy.dll 
C:\Windows\system32\prntvpt.dll 
C:\Windows\system32\procinst.dll 
C:\Windows\system32\profsvc.dll 
C:\Windows\system32\propdefs.dll 
C:\Windows\system32\propsys.dll 
C:\Windows\system32\proquota.exe 
C:\Windows\system32\psapi.dll 
C:\Windows\system32\psbase.dll 
C:\Windows\system32\PSHED.DLL 
C:\Windows\system32\psisdecd.dll 
C:\Windows\system32\psisrndr.ax 
C:\Windows\system32\pstorec.dll 
C:\Windows\system32\pstorsvc.dll 
C:\Windows\system32\pt-BR 
C:\Windows\system32\pt-PT 
C:\Windows\system32\puiapi.dll 
C:\Windows\system32\puiobj.dll 
C:\Windows\system32\QAGENT.DLL 
C:\Windows\system32\QAGENTRT.DLL 
C:\Windows\system32\qasf.dll 
C:\Windows\system32\qcap.dll 
C:\Windows\system32\QCLIPROV.DLL 
C:\Windows\system32\qdv.dll 
C:\Windows\system32\qdvd.dll 
C:\Windows\system32\qedit.dll 
C:\Windows\system32\qedwipes.dll 
C:\Windows\system32\qintlgnt.ime 
C:\Windows\system32\qmgr.dll 
C:\Windows\system32\qmgrprxy.dll 
C:\Windows\system32\QSHVHOST.DLL 
C:\Windows\system32\QSVRMGMT.DLL 
C:\Windows\system32\quartz.dll 
C:\Windows\system32\Query.dll 
C:\Windows\system32\quick.ime 
C:\Windows\system32\QUTIL.DLL 
C:\Windows\system32\qwave.dll 
C:\Windows\system32\RacAgent.exe 
C:\Windows\system32\RacEngn.dll 
C:\Windows\system32acpldlg.dll 
C:\Windows\system32adardt.dll 
C:\Windows\system32adarrs.dll 
C:\Windows\system32as 
C:\Windows\system32asadhlp.dll 
C:\Windows\system32asapi32.dll 
C:\Windows\system32asauto.dll 
C:\Windows\system32asautou.exe 
C:\Windows\system32ascfg.dll 
C:\Windows\system32aschap.dll 
C:\Windows\system32asctrs.dll 
C:\Windows\system32asdiag.dll 
C:\Windows\system32asdial.exe 
C:\Windows\system32asdlg.dll 
C:\Windows\system32aserver.exe 
C:\Windows\system32asgcw.dll 
C:\Windows\system32asman.dll 
C:\Windows\system32asmans.dll 
C:\Windows\system32\RASMM.dll 
C:\Windows\system32asmontr.dll 
C:\Windows\system32asmxs.dll 
C:\Windows\system32asphone.exe 
C:\Windows\system32asplap.dll 
C:\Windows\system32asppp.dll 
C:\Windows\system32asqec.dll 
C:\Windows\system32asser.dll 
C:\Windows\system32astapi.dll 
C:\Windows\system32astls.dll 
C:\Windows\system32dpcfgex.dll 
C:\Windows\system32dpdd.dll 
C:\Windows\system32\RDPENCDD.dll 
C:\Windows\system32dpencom.dll 
C:\Windows\system32dpwsx.dll 
C:\Windows\system32drleakdiag.exe 
C:\Windows\system32ecover.exe 
C:\Windows\system32edir.exe 
C:\Windows\system32eg.exe 
C:\Windows\system32egapi.dll 
C:\Windows\system32\RegCtrl.dll 
C:\Windows\system32egedt32.exe 
C:\Windows\system32egini.exe 
C:\Windows\system32egsvc.dll 
C:\Windows\system32egsvr32.exe 
C:\Windows\system32ekeywiz.exe 
C:\Windows\system32\RelMon.dll 
C:\Windows\system32elog.exe 
C:\Windows\system32\RelPost.exe 
C:\Windows\system32\RemInst 
C:\Windows\system32emotepg.dll 
C:\Windows\system32emotesp.tsp 
C:\Windows\system32endezvousSession.tlb 
C:\Windows\system32eplace.exe 
C:\Windows\system32\RESAMPLEDMO.DLL 
C:\Windows\system32esutils.dll 
C:\Windows\system32gb9rast.dll 
C:\Windows\system32\Ribbons.scr 
C:\Windows\system32iched20.dll 
C:\Windows\system32iched32.dll 
C:\Windows\system32\RMActivate.exe 
C:\Windows\system32\RMActivate_isv.exe 
C:\Windows\system32\RMActivate_ssp.exe 
C:\Windows\system32\RMActivate_ssp_isv.exe 
C:\Windows\system32\RmClient.exe 
C:\Windows\system32nr20.dll 
C:\Windows\system32o-RO 
C:\Windows\system32\Robocopy.exe 
C:\Windows\system32\ROUTE.EXE 
C:\Windows\system32\RpcDiag.dll 
C:\Windows\system32pchttp.dll 
C:\Windows\system32\RPCNDFP.dll 
C:\Windows\system32\RpcNs4.dll 
C:\Windows\system32pcnsh.dll 
C:\Windows\system32\RpcPing.exe 
C:\Windows\system32pcrt4.dll 
C:\Windows\system32pcss.dll 
C:\Windows\system32rinstaller.exe 
C:\Windows\system32saenh.dll 
C:\Windows\system32shx32.dll 
C:\Windows\system32\RstrtMgr.dll 
C:\Windows\system32strui.exe 
C:\Windows\system32tffilt.dll 
C:\Windows\system32tm.dll 
C:\Windows\system32tutils.dll 
C:\Windows\system32u-RU 
C:\Windows\system32unas.exe 
C:\Windows\system32undll32.exe 
C:\Windows\system32\RunLegacyCPLElevated.exe 
C:\Windows\system32unonce.exe 
C:\Windows\system32\samlib.dll 
C:\Windows\system32\SampleRes.dll 
C:\Windows\system32\samsrv.dll 
C:\Windows\system32\sbe.dll 
C:\Windows\system32\sbeio.dll 
C:\Windows\system32\sbunattend.exe 
C:\Windows\system32\sc.exe 
C:\Windows\system32\scansetting.dll 
C:\Windows\system32\SCardDlg.dll 
C:\Windows\system32\SCardSvr.dll 
C:\Windows\system32\scecli.dll 
C:\Windows\system32\scesrv.dll 
C:\Windows\system32\schannel.dll 
C:\Windows\system32\schedsvc.dll 
C:\Windows\system32\schtasks.exe 
C:\Windows\system32\scksp.dll 
C:\Windows\system32\scripto.dll 
C:\Windows\system32\scrnsave.scr 
C:\Windows\system32\scrobj.dll 
C:\Windows\system32\scrrun.dll 
C:\Windows\system32\sdbinst.exe 
C:\Windows\system32\sdchange.exe 
C:\Windows\system32\sdclt.exe 
C:\Windows\system32\sdengin2.dll 
C:\Windows\system32\sdhcinst.dll 
C:\Windows\system32\sdohlp.dll 
C:\Windows\system32\sdrsvc.dll 
C:\Windows\system32\sdshext.dll 
C:\Windows\system32\SearchFilterHost.exe 
C:\Windows\system32\SearchIndexer.exe 
C:\Windows\system32\SearchProtocolHost.exe 
C:\Windows\system32\SecEdit.exe 
C:\Windows\system32\secinit.exe 
C:\Windows\system32\seclogon.dll 
C:\Windows\system32\secproc.dll 
C:\Windows\system32\secproc_isv.dll 
C:\Windows\system32\secproc_ssp.dll 
C:\Windows\system32\secproc_ssp_isv.dll 
C:\Windows\system32\secur32.dll 
C:\Windows\system32\security.dll 
C:\Windows\system32\sendmail.dll 
C:\Windows\system32\Sens.dll 
C:\Windows\system32\SensApi.dll 
C:\Windows\system32\serialui.dll 
C:\Windows\system32\services.exe 
C:\Windows\system32\serwvdrv.dll 
C:\Windows\system32\SessEnv.dll 
C:\Windows\system32\setbcdlocale.dll 
C:\Windows\system32\sethc.exe 
C:\Windows\system32\setup 
C:\Windows\system32\setupapi.dll 
C:\Windows\system32\setupcl.exe 
C:\Windows\system32\setupcln.dll 
C:\Windows\system32\setupSNK.exe 
C:\Windows\system32\setupugc.exe 
C:\Windows\system32\setver.exe 
C:\Windows\system32\setx.exe 
C:\Windows\system32\sfc.dll 
C:\Windows\system32\sfc.exe 
C:\Windows\system32\sfc_os.dll 
C:\Windows\system32\shacct.dll 
C:\Windows\system32\share.exe 
C:\Windows\system32\shdocvw.dll 
C:\Windows\system32\SHELL.DLL 
C:\Windows\system32\shell32.dll 
C:\Windows\system32\shellstyle.dll 
C:\Windows\system32\shfolder.dll 
C:\Windows\system32\shgina.dll 
C:\Windows\system32\ShiftJIS.uce 
C:\Windows\system32\shimeng.dll 
C:\Windows\system32\shimgvw.dll 
C:\Windows\system32\shlwapi.dll 
C:\Windows\system32\shpafact.dll 
C:\Windows\system32\shrink.dll 
C:\Windows\system32\shrpubw.exe 
C:\Windows\system32\shsetup.dll 
C:\Windows\system32\shsvcs.dll 
C:\Windows\system32\shunimpl.dll 
C:\Windows\system32\shutdown.exe 
C:\Windows\system32\shwebsvc.dll 
C:\Windows\system32\signdrv.dll 
C:\Windows\system32\sigverif.exe 
C:\Windows\system32\simpdata.tlb 
C:\Windows\system32\sisbkup.dll 
C:\Windows\system32\sk-SK 
C:\Windows\system32\sl-SI 
C:\Windows\system32\slcc.dll 
C:\Windows\system32\SLCExt.dll 
C:\Windows\system32\slmgr 
C:\Windows\system32\slwga.dll 
C:\Windows\system32\SmartcardCredentialProvider.dll 
C:\Windows\system32\SMBHelperClass.dll 
C:\Windows\system32\SMI 
C:\Windows\system32\SmiEngine.dll 
C:\Windows\system32\SmiInstaller.dll 
C:\Windows\system32\smss.exe 
C:\Windows\system32\SndVol.exe 
C:\Windows\system32\SndVolSSO.dll 
C:\Windows\system32\SnippingTool.exe 
C:\Windows\system32\snmpapi.dll 
C:\Windows\system32\snmptrap.exe 
C:\Windows\system32\softkbd.dll 
C:\Windows\system32\softpub.dll 
C:\Windows\system32\sort.exe 
C:\Windows\system32\sound.drv 
C:\Windows\system32\SoundRecorder.exe 
C:\Windows\system32\spbcd.dll 
C:\Windows\system32\Speech 
C:\Windows\system32\spnet.dll 
C:\Windows\system32\spool 
C:\Windows\system32\spoolss.dll 
C:\Windows\system32\spoolsv.exe 
C:\Windows\system32\spopk.dll 
C:\Windows\system32\spp.dll 
C:\Windows\system32\sppnp.dll 
C:\Windows\system32\spwinsat.dll 
C:\Windows\system32\spwizeng.dll 
C:\Windows\system32\spwizimg.dll 
C:\Windows\system32\spwizres.dll 
C:\Windows\system32\spwmp.dll 
C:\Windows\system32\sqlceoledb30.dll 
C:\Windows\system32\sqlceqp30.dll 
C:\Windows\system32\sqlcese30.dll 
C:\Windows\system32\sqlsrv32.dll 
C:\Windows\system32\sqlsrv32.rll 
C:\Windows\system32\sqlunirl.dll 
C:\Windows\system32\sqlwid.dll 
C:\Windows\system32\sqlwoa.dll 
C:\Windows\system32\sqmapi.dll 
C:\Windows\system32\sr-Latn-CS 
C:\Windows\system32\srchadmin.dll

fabriceg · Answer

Bonjour, juste pour te dire que j'ai voulu suivre ton conseille, je telecharge zone alarme, je coupe le parefeu windows, je lance l'installation de zone alarme et a peine ai-je cliquer pour l'installation qu'il me dit " impossible d'installer zonealarme anti-spyware 6.5.737.000 sur cet ordinateur. Cet ordinateur fonctionne sous windows 95, qui n'est pas pris en charge par zonealarme anti spyware". Est-ce un probleme d'incompatibilité avec vista qui donne se resultat?

fabriceg · Answer

re,
desolé, fausse alerte pour zone alarme au final il s'instal

Lyonnais92 · Answer

Bonjour,

je me renseigne.

Mais c'est bizarre qu'il identifie Vista à W95 !

Peut être un paramétrage dans l'installation (toujours les droits administrateurs).

@+

fabriceg · Answer

re,
en fait zone alarm bloque a 37% dans l'installation et semble ne plus vouloir avancer

fabriceg · Answer

re, 
j'ai du redemarrer le pc car il ne voulait plus rien savoir dans le processus d'installation de zone alarm, quand j'ai voulu le reinstaller il n'as pas reconnu windows 95 cette fois si mais il m'ecrit " le programme d'installetion ne peux pas fermer le service Truevector. fermer le service truevector pour poursuivre l'installation" Qu'est-ce donc? Remarque ce n'est pas tres important par rapport au soucis que l'on a deja eu. as tu vue le dernier rapport que j'ai poster cette nuit?

Lyonnais92 · Answer

Re,

je viens de lire le post de moe de cette nuit.

On va corriger mon erreur.

Tu ouvres le registre, tu choisis fichier puis importer.

Clic droit sur le fichier .reg de sauvegarde et modifier. Tu vérifies que c'est bien le bon fichier.

Fermer la fenêtre du bloc-notes qui s'est ouverte et cliquer sur ouvrir.

La clé est rétablie.


Tu la re-sauvegardes (fichier, exporter, branche sélectionnée, ...).

Tu réouvre la clé, double cliquer dessus puis effacer kdbig.exe et la laisser vide.

@+
PS Si tu veux comprendre, j'ai fait l'analyse du contenu du post (le résumé des opérations que tu as faites avec leur résultat) :

fixation des lignes 017 et reboot les lignes sont encore là (post 7)

bit defender on line : échec (post 8)

AVG AS élimine Dropper.Nuclear.a (post 15)

Blacklight ne trouve rien (post 18)

Regsearch ne montre aucune des clés traditionnelles avec ruins ou urls (post 20)

Passage de l'outil de stronghold. Pas de rapports. (post 26)

Diaghelp ne fonctionne pas. (post 30)

DSS montre la clé (mais je ne la voit pas). (post 32)

Hijackthis emet un message d'erreur sur la tentative de supprimer les 017. (post 37)

OAD fonctionne (suite à la manip complémentaire (post 40) 

Hijackthis fonctionne et supprime les clés  (passage en administateur)(post 41)

Redémarrage du pc (post 44). Les 017 ne réapparraissent pas.

Les dysfonctionnements Internet semblent interrompus. (post 45)

ODA ne trouve pas des fichiers de Nuclear ni de Wareout (posts 48 à 51)

moe donne le nom du fichier et sa clé (post 53)

OAD trouve le fichier et la clé. (post 59)

Blacklight ne voit rien (normal, le fichier n'est plus rootkité) (post 63)

OTMoveIt supprime le fichier (post 65).

Au post 7, l'infection est active (les lignes 017 infectées reviennent au reboot).

Les posts 44 et 45 montrent quelle est inactive : les lignes ne reviennent pas et les symptômes de détournement sur le NET semblent avoir disparu.

Entre les 2, il n'y a que le passage de l'outil de stronghold qui ait pu modifier quelque chose.

@+

fabriceg · Answer

re,
impossible de restaurer le fichier de sauvegarde que l'on a fait hier, le pc me marque "Impossible d'importer C:\Users\fabrice\Desktop\cle_winlogon.reg : touts les données n'ont pas été inscrites correctement dans le registre. Certaines clés sont ouvertes par le systeme ou par d'autres processus"A+

Lyonnais92 · Answer

Re,

on va procéder autrement.

Clic droit sur le fichier, choisir modifier. Il va s'ouvrir dans le bloc notes. 

Copie-colle le dans ta réponse s'il ne fait pas plus de 20 lignes.

S'il en fait plus, donne moi le nombre de lignes approximatives.
@+

fabriceg · Answer

re,
il fait 172 lignes

ricket · Answer

Il semble bien qu'il soit infecté. J'ai eu un problème similaire. Il n'existe pas de logiciel de protection parfait.
un reformatage arrangera tout.

fabriceg · Answer

re, 
je dois partir bosser ( et oui un week end, il en faut ) je rentre vers 21h, je ne pourrais donc pas vous repondre durant tout ce temps, a ce soir

!aur3n7 · Answer

Bonjour à tous,

Je viend de corriger OAD en prenant en compte les remarques faites.
j'ai corrigé en même temps une erreur ligne 267 (%systemdrive% au lieu de %programfiles% )

Merci pour les remontées.

Laurent

Lyonnais92 · Answer

Bonjour à tous,

fabrice, mets le en mp (le fichier ne mérite pas de passer à la postérité et on peut supprimer les mp après usage). Mais j'en ai besoin pour te donner la suite des manips.

!aur3n7, merci de ton boulot. Il a été bien utile ici.

ricket, à ton avis, il était infecté ou il est encore infecté ? Quand aux logiciels de protection, il en est de meilleurs que d'autres (truisme).
@+

fabriceg · Answer

re,
me voila de retour, lyonnais92, qu'entend tu par "mets le en MP" qu'est ce que mp et surtout je met quoi en mp? merci

Lyonnais92 · Answer

Re,

désolé,

tu me copies le fichier .reg dans un message personnel (MP).

Sur un de mes posts, dans les icônes, la dernière permet d'envoyer un MP.

Tu cliques, un message vierge s'ouvre, tu donnes un titren tu copies le fichier et tu envoies.
@+

fabriceg · Answer

bonjour,
desolé de n'avoir pu repondre plus rapidement mais j'ai eu un emploi du temps professionnel un peu bizare ces 2 derniers jours, le dossier que je dois t'envoyer c'est bien la sauvegarde du fichier que l'on a renomer 'cle_winlogon', la sauvegarde du dossier ou se trouvait le fichier kdbig.exe?

Lyonnais92 · Answer

Bonjour,

à toi de ne pas t'excuser, c'est l'internaute qui fixe le rythme.

C'est le fichier fix.reg de 172 lignes dont j'ai besoin.
@+

Lyonnais92 · Answer

Bonsoir,

oui, c'est le fichier que je voulais.

Ouvre le Bloc Notes.
Copie le texte ci-dessous (entre les * mais sans les *) avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) : 

*****************************
Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"System"=- 
*****************************
Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg 
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu clique droit sur l'icône de Fix.reg
Tu cliques sur Fusionner.
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.
(j'ai décalqué la procédure ce Xp mais je pense que c'est la même)

Tu remets un log Hijackthis.
@+

moe · Answer

Salut

Pour recréer la valeur System vide il faut deux guillemets après '=', sinon le tiret indiquera au reg qu'il faut à nouveau virer 'System':

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

a+

Lyonnais92 · Answer

Bonsoir,

moe, encore merci de cette "précision". En plus, j'aurai pu le trouver tout seul : "LegalNoticeCaption"="" 
 ou "LegalNoticeText"=""  dans la même clé.

fabrice, tu fais ceci (une légère mais importante modif par rapport à mon post 97.

Ouvre le Bloc Notes. 
Copie le texte ci-dessous (entre les * mais sans les *) avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) : 

***************************** 
Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"System"="" 
***************************** 
Clique sur "Fichier", "Enregistrer sous". 
Clique sur Bureau (dans la colonne de gauche) 
Dans Nom du fichier tu écris fix.reg 
Pour Type tu choisis "tous les fichiers" avec le menu déroulant. 
Tu cliques sur Enregistrer. 
Tu fermes le Bloc-notes 

Sur ton bureau, tu clique droit sur l'icône de Fix.reg 
Tu cliques sur Fusionner. 
Le fix va travailler sans se manifester. 
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides. 
(j'ai décalqué la procédure ce Xp mais je pense que c'est la même) 

Tu remets un log Hijackthis.

@+

fabriceg · Answer

re,
voici le log hijackthis apres la manip avec fix.reg
Logfile of HijackThis v1.99.1
Scan saved at 23:38:56, on 22/07/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\Program Files\Common Files\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\hijahdkis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32
laapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
apinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://farice-gardon.spaces.live.com//PhotoUpload/VistaMsnPUpldfr-fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program Files\Grisoft\AVG Free\avgemc.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\Program Files\Common Files\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

fabriceg · Answer

bonjour,
pas de reponse apres mon dernier post, cela veux t'il dire que mon probleme est resolu?a+

Lyonnais92 · Answer

Bonjour,

oui, ton problème est résolu. Il l'est de fait depuis vendredi. Depuis, on est sur des détails.


On peut faire le ménage de tous les outils utilisés.

Relance OTMoveIt, clique sur le bouton cleanup et redémarre l'ordi.

Blacklight, DSS, OTMoveIt et tout ce qui a été créé avec eux devraient avoir disparu.

Pour les autres outils, on va faire en deux temps.

relance Hijackthis, choisis the misc tools section, clique open sur Uninstall manager,  clique sur save list.

Poste la liste dans ta réponse.

@+

fabriceg · Answer

re,
j'ai effectuer la manip avec OTMoveIT puis redemarrer comme tu me l'as demander et voici le rapport hijackthis 
Ad-Aware SE Personal
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Reader 8 - Français
Archiveur WinRAR
AVG Anti-Spyware 7.5
AVG Free Edition
BitComet 0.70
CCleaner (remove only)
DivX Codec
DivX Content Uploader
eMule
EPSON Logiciel imprimante
EPSON Scan
Ev0
EVEREST Home Edition v2.20
Google Toolbar for Internet Explorer
HijackThis 1.99.1
InfraRecorder
Java(TM) SE Runtime Environment 6 Update 1
Language pack for Ad-Aware SE
Microsoft Office Access MUI (French) 2007
Microsoft Office Excel MUI (French) 2007
Microsoft Office InfoPath MUI (French) 2007
Microsoft Office Outlook MUI (French) 2007
Microsoft Office PowerPoint MUI (French) 2007
Microsoft Office PowerPoint Viewer 2003
Microsoft Office Professional Plus 2007
Microsoft Office Professional Plus 2007
Microsoft Office Proof (Arabic) 2007
Microsoft Office Proof (Dutch) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (French) 2007
Microsoft Office Publisher MUI (French) 2007
Microsoft Office Shared MUI (French) 2007
Microsoft Office Word MUI (French) 2007
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (2.0.0.4)
Navigateur Orange
Nokia Connectivity Cable Driver
Nokia PC Suite
Nokia PC Suite
Orange - Logiciels Internet
Package de pilotes Windows - Nokia Modem  (11/03/2006 6.82.0.1)
PC Connectivity Solution
Security Update for Excel 2007 (KB936509)
Security Update for Office 2007 (KB934062)
Security Update for Office 2007 (KB936514)
Security Update for Publisher 2007 (KB936646)
SUPER © Version 2007.bld.21 (Jan 4, 2007)
Synaptics Pointing Device Driver
Tomb Raider: Anniversary 1.0
TuneUp Utilities 2007
Update for Office 2007 (KB932080)
Update for Office 2007 (KB934391)
Update for Office 2007 (KB934393)
Update for Outlook 2007 (KB937608)
Update for Outlook 2007 Junk Email Filter (kb936558)
Update for Word 2007 (KB934173)
Windows Live Messenger
Windows Live OneCare safety scanner
Windows Live OneCare safety scanner
Windows Live Sign-in Assistant
XviD 1.1 final uninstall

Lyonnais92 · Answer

Re,

désinstalles hijackthis à partir de Ajout/suppression de programme.

Supprime les autres outils par l'explorateur Windows, dont OAD, Diaghelp, C:\Windows\system32\backuped ,  C:\Program Files\True Sword 4 et tout ce qu'ils ont créés aussi.

@+

fabriceg · Answer

bonsoir,
je viens de desistaller hijackthis par ajout/suppression de programme, je m'aprette a faire le reste de la manip, mais 2 questions se posent a moi, la premiere , comment savoir quels sont les fichier qui ont été créer par les logiciel de desinfection, et le dossier "cle_winlogon.reg que l'on a créer et fais fusionner ( sur le bureau) il faut le supprimer ou non, merci a+

Lyonnais92 · Answer

Re,

OAD, supprimer le fichier. Diaghelp, il y a un fichier sur ton bureau et un dossier diaghelp à supprimer entièrement. Pour cle_winlogon.reg, tu supprimes aussi.
@+

fabriceg · Answer

bonjour,
et pour fix.reg sur le bureau, il faut le supprimer egalement ou non?merci

Lyonnais92 · Answer

Bonjour, 

oui,  lui aussi.
@+

fabriceg · Answer

re,
bon ben voila, tout est fait, je pense que l'on a fini pour celui la, je te remerci grandement de ton aide, tu m'as reellement ete d'un grand secours, je crois que sans tes conseils j'etais bon pour en formatage et une reinstalletion en regle, et franchement, je t'avoue que je n'etais vraiment pas moyivé, vista est plutot long a reinstaller, encore merci, a+

Lyonnais92 · Answer

Re,

oui, je crois aussi qu'on est au bout.

N'oublie pas moe dans tes remerciements, son intervention a été plus que bénéfique.

Il est possible que il reste certains fichiers créés pour la désinfection mais oubliés. Si tu en trouves, tu supprimes. Une astuce : tu vides ta corbeille juste avant, tu les supprimes (ce qui les mets dans la corbeille) et tu attends quelques jours pour vérifier le bon fonctionnement de l'ordi sans eux.

Même si le formatage est une opération pénible, elel est parfois inévitable. le mieux est encore de s'y préparer : deux partitions sur le disque dur (le système d'exploitation dans une, les données dans l'autre), sauvegarde régulière sur support amovible (les DD externes sont à prix raisonnable).

Comme je l'ai déjà dit, ce post m'a appris à moi aussi, je devrais être plus efficace sous Vista la prochaine fois.

Et ça a été agréable de travailler avec toi. A l'autre maintenant (Xp, je suis chez moi lol).
@+

fabriceg · Answer

re,
tu a raison, merci a moe pour ses precisions qui nous on plus qu'eclairer, merci a+

moe · Answer

Salut

Merci  à vous et j'ai je crois pas mal appris aussi sur Vista,  en suivant ce nettoyage.
Content en tout cas que tout soit rentré dans l'ordre pour ton pc, fabrice.

Bonne continuation.

Infecter mais non detecter

107 réponses

Discussions similaires