Eradiquer virus mbr:\\.>phisical drive0

Résolu/Fermé
clochette71 - 9 juin 2008 à 12:23
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 10 juin 2008 à 16:48
Bonjour,
Avast a trouve un rootkit et j'ai téléchargé 2 antirootkit mais rien a faire pas moyen de l'enlever et je suis tomber sur vos solutions. Pourriez-vous m'aider car j'ai tout mon travail sur mon pc et je dois le remettre fin de semaine et dans l'empressement je n'ai pas pris le temps de le sauvegarder sur un autre support.
Merci d'avance
A voir également:

34 réponses

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
9 juin 2008 à 12:26
Bonjour,

Télécharge mbr.exe de Gmer :
http://www2.gmer.net/mbr/mbr.exe
Sur le bureau.
Merci à Malekal pour le tutoriel

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe Un rapport sera généré : mbr.log
En cas d'infection, ce message MBR rootkit code detected va apparaitre.
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra original MBR restored successfully !
Poste ce rapport et supprimes-le ensuite.

Relance mbr.exe et le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net


device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK


Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.
0
Utilisateur anonyme
9 juin 2008 à 12:27
un travail gardé avec une passoire c'est normal
sa rajoutera a ma liste une bulle de +
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
9 juin 2008 à 12:36
Salut,

barre toi avec tes commentaires à la noix;

tu ne sers à rien.

sa "passoire" lui as dit ce qui se passait.

Vérifies que les autres en font autant.
0
re,
je suie à la lettre vos instructions mais dans demarrer,executer ca m'indique mdr n'est pas reconnu comme une commande interne
le chemin suivi est bien c:\documents and settings\valerie\bureau\mdr -f
j'ai aussi essaye avec mdr.exe comme dans le log.
merci.

PS: je ne préfère même pas répondre à ceux qui ne servent à rien j'ai l'habitude, je suis une nulle et lui est si malin.
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
9 juin 2008 à 13:40
Re,

juste un doute.

Tu écris mdr j'avais écrit mbr avec un B
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
je l'écris bien avec un b
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
9 juin 2008 à 14:06
Re,

tu as un rapport mbr.log ?

poste le;

tu mets bien les % ?
0
re,

Voici le rapport mbr.log:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x6fc3dbf size 0x1e4 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
9 juin 2008 à 14:37
Re,

OK, maintenant, Démarrer, exécuter.

Tu tapes (ou tu copies)

"%userprofile%\Bureau\mbr" -f

n'oublie pas les % ni l'espace entre mbr" et -f

tu as bien téléchargé mbr sur Ton Bureau ?

Tu vois son icône ?
0
re,

Maintenant, ca a bien fonctionne mon mbr.log est :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

C est bon ?

Mais peu avant si je n'ai aps pu repondre plus vite c'est que windows a rencontre de grosses erreurs a votre avis dois je reparer windows ?

Et j'ai mon disque dur externe infecte comment puis je le desinfecte sans reinfecter mon pc ?
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
9 juin 2008 à 15:15
Re,

d'abord stabiliser le pc. Le DD attendra (sauf besoin urgent).

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Ferme Hijackthis en cliquant sur la croix rouge.

Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

Choisis "enregistrer" et "Bureau" comme emplacement.

Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

Double-clique sur dss.exe pour lancer l'outil.

S'il ne trouve pas HijackThis, clique sur Oui.

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.

Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.
0
Voici le main.txt

Deckard's System Scanner v20071014.68
Run by Valerie on 2008-06-09 15:22:59
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 2 Restore Point(s) --
2: 2008-06-09 13:23:06 UTC - RP76 - Deckard's System Scanner Restore Point
1: 2008-06-08 17:12:26 UTC - RP75 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Valerie.exe) ---------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:23:44, on 9/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\lxdjcoms.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Lexmark 1400 Series\lxdjamon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\helloserv.exe
C:\Program Files\ScanWizard 5\ScannerFinder.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Valerie\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Valerie.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-be
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: run=""
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [lxdjamon] "C:\Program Files\Lexmark 1400 Series\lxdjamon.exe"
O4 - HKLM\..\Run: [LXDJCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDJtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [helloserv] C:\WINDOWS\helloserv.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Scanner Finder.lnk = C:\Program Files\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/lookup.js
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/translate.js
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: lxdj_device - - C:\WINDOWS\system32\lxdjcoms.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
9 juin 2008 à 16:15
RE,

Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : win.ini
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)

Quand tu auras le résultat, tu devrais avoir le nom complet du fichier win.ini.

Cherche le par l'explorateur Windows et fais un clic droit dessus.

Choisis modifier. Il va s'ouvrir dans le bloc-notes.

Copie son contenu dans ta réponse.




0
mon resultat est :

lun. 09/06/2008 ---- 16:55:00,60

----------------------------------
§§§§§§ [win.ini ] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------


et win.ini est :

; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMC=1
CMCDLLNAME=mapi.dll
CMCDLLNAME32=mapi32.dll
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
[Microtek]
Interface=
[SM_22]
LeadEdge=2980
SideEdge=1371
[SciCalc]
layout=0
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
9 juin 2008 à 17:04
Re,

tu as laissé un espace après ini qui fausse la recherche. :

[win.ini ]

il faut avoir :

[win.ini]

désolé, recommence.
0
C'est moi qui suis desolee, si je fesais plus attention on aurait peut etre deja fini, merci
j'espere que c'est bon cette fois

lun. 09/06/2008 ---- 17:08:29,27

----------------------------------
§§§§§§ [win.ini] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Network]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Windows]

[HKEY_USERS\S-1-5-21-1614895754-1708537768-1417001333-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="win.ini"

*******************
[Fichier]
*******************

c:\WINDOWS\win.ini


*********************
[Même date]
*********************

[21/08/2004 ] ---> C:\Bootfont.bin
[21/08/2004 ] ---> C:\WINDOWS\_default.pif
[21/08/2004 ] ---> C:\WINDOWS\clock.avi
[21/08/2004 ] ---> C:\WINDOWS\explorer.scf
[21/08/2004 ] ---> C:\WINDOWS\msdfmap.ini
[21/08/2004 ] ---> C:\WINDOWS\system.ini
[21/08/2004 ] ---> C:\WINDOWS\system32\12520437.cpx
[21/08/2004 ] ---> C:\WINDOWS\system32\12520850.cpx
[21/08/2004 ] ---> C:\WINDOWS\system32\aaaamon.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\acelpdec.ax
[21/08/2004 ] ---> C:\WINDOWS\system32\acledit.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\activeds.tlb
[21/08/2004 ] ---> C:\WINDOWS\system32\adptif.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\adsnds.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\adsnw.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ansi.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\apcups.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\append.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\arp.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\asr_ldm.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\atkctrs.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\atmpvcno.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\attrib.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\autodisc.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\avicap.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\avicap32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\avifile.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\bios1.rom
[21/08/2004 ] ---> C:\WINDOWS\system32\bios4.rom
[21/08/2004 ] ---> C:\WINDOWS\system32\bootcfg.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\bootok.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\bootvid.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\bootvrfy.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\c_037.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_10000.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_10079.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_1026.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_1250.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_1251.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_1252.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_1253.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_1254.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_1255.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_1256.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_1257.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_1258.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_20261.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_20866.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_20905.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_21866.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_28591.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_28592.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_28593.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_28598.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_28605.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_437.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_500.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_775.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_850.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_860.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_861.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_863.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_865.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_874.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_932.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_936.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_949.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\c_950.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\cacls.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\capesnpn.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\cards.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ccfgnt.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\certmgr.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\ChaŒnes.scf
[21/08/2004 ] ---> C:\WINDOWS\system32\chcp.com
[21/08/2004 ] ---> C:\WINDOWS\system32\chkdsk.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\chkntfs.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\ciadmin.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ciadv.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\cic.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\cidaemon.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\ckcnv.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\clb.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\cliconf.chm
[21/08/2004 ] ---> C:\WINDOWS\system32\cmdlib.wsc
[21/08/2004 ] ---> C:\WINDOWS\system32\cmmgr32.hlp
[21/08/2004 ] ---> C:\WINDOWS\system32\cmos.ram
[21/08/2004 ] ---> C:\WINDOWS\system32\cmpbk32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\cnetcfg.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\cnvfat.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\comcat.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\comm.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\command.com
[21/08/2004 ] ---> C:\WINDOWS\system32\commdlg.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\comp.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\compact.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\compmgmt.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\compobj.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\confmsp.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\console.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\control.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\convert.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\country.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\crtdll.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\csseqchk.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ctl3d32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ctl3dv2.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ctype.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\d3dim.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\d3dpmesh.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\d3dramp.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\d3drm.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\d3dxof.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\datime.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dbgeng.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ddeml.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\debug.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\deskadp.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\deskmon.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\deskperf.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\devmgmt.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\dfrg.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\dfrgres.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dhcpmon.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dhcpsapi.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\diactfrm.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dimap.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\diskcomp.com
[21/08/2004 ] ---> C:\WINDOWS\system32\diskcopy.com
[21/08/2004 ] ---> C:\WINDOWS\system32\diskcopy.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\diskmgmt.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\diskperf.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\dispex.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dllhst3g.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\dmconfig.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dmdlgs.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dmdskres.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dmintf.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dmocx.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dmview.ocx
[21/08/2004 ] ---> C:\WINDOWS\system32\docprop.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\doskey.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\dplay.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dpnmodem.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dpnwsock.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dpserial.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dpwsock.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\driverquery.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\acpiec.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\atmepvc.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\atmuni.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\beep.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\cbidf2k.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\dmload.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\dxapi.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\dxgthk.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\fips.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\fs_rec.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\ftdisk.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\gm.dls
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\gmreadme.txt
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\hidusb.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\ipfltdrv.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\isapnp.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\mcd.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\mnmdd.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\ndistapi.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\ndproxy.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\null.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\nwlnkflt.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\nwlnkfwd.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\nwlnknb.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\nwlnkspx.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\oprghdlr.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\partmgr.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\parvdm.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\pciide.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\ptilink.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\rasacd.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\raspti.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\rawwan.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\rdpcdd.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\RMCast.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\rootmdm.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\smclib.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\usbd.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\wmilib.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drivers\ws2ifsl.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\drwatson.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\drwtsn32.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\dsauth.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dskquoui.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\dsound.vxd
[21/08/2004 ] ---> C:\WINDOWS\system32\dssec.dat
[21/08/2004 ] ---> C:\WINDOWS\system32\edit.com
[21/08/2004 ] ---> C:\WINDOWS\system32\edit.hlp
[21/08/2004 ] ---> C:\WINDOWS\system32\edlin.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\ega.cpi
[21/08/2004 ] ---> C:\WINDOWS\system32\esent97.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\esentprf.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\esentprf.hxx
[21/08/2004 ] ---> C:\WINDOWS\system32\esentprf.ini
[21/08/2004 ] ---> C:\WINDOWS\system32\esentutl.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\eula.txt
[21/08/2004 ] ---> C:\WINDOWS\system32\eventcls.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\eventquery.vbs
[21/08/2004 ] ---> C:\WINDOWS\system32\eventtriggers.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\eventvwr.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\eventvwr.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\exe2bin.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\expand.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\exts.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\fastopen.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\fc.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\fde.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\find.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\finger.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\fixmapi.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\fmifs.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\fontsub.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\forcedos.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\format.com
[21/08/2004 ] ---> C:\WINDOWS\system32\fsmgmt.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\fsusd.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\fsutil.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\ftsrch.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\g711codc.ax
[21/08/2004 ] ---> C:\WINDOWS\system32\gcdef.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\gdi.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\geo.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\getmac.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\glmf32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\gpedit.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\gpupdate.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\graftabl.com
[21/08/2004 ] ---> C:\WINDOWS\system32\graphics.com
[21/08/2004 ] ---> C:\WINDOWS\system32\graphics.pro
[21/08/2004 ] ---> C:\WINDOWS\system32\help.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\himem.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\hlink.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\hnetmon.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\hostname.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\iasacct.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\iasads.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\iashlpr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\iasnap.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\iaspolcy.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\iasrecst.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\iassam.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\iassdo.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\iassvcs.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\icmui.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ieakui.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ifsutil.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\iissuba.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\inetcplc.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\infosoft.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\iologmsg.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ipmontr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\iprop.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\iprtprio.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\iprtrmgr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ipsec6.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\ipxmontr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ipxpromn.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ipxrip.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ipxrtmgr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ipxsap.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ipxwan.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ir32_32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\jet500.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\jgaw400.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\jgdw400.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\jgmd400.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\jgpl400.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\jgsd400.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\jgsh400.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\jobexec.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\jsfr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kb16.com
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdbe.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdbene.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdbr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdca.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdcan.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdda.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbddv.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdes.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdfc.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdfi.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdfo.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdfr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdgae.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdgr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdgr1.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdic.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdir.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdit.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdit142.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdla.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdmac.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdne.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdnec.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdno.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdpo.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdsf.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdsg.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdsp.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdsw.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbduk.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdus.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdusl.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdusr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kbdusx.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\kdcom.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\key01.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\keyboard.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\l_except.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\l_intl.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\l3codecx.ax
[21/08/2004 ] ---> C:\WINDOWS\system32\label.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\langwrbk.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\lanman.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\lights.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\lnkstub.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\loadfix.com
[21/08/2004 ] ---> C:\WINDOWS\system32\loadfix.zmx
[21/08/2004 ] ---> C:\WINDOWS\system32\lodctr.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\loghours.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\lpq.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\lpr.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\lprmonui.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\lusrmgr.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\lz32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\lzexpand.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mag_hook.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\main.cpl
[21/08/2004 ] ---> C:\WINDOWS\system32\mapistub.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mcd32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mcdsrv32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mchgrcoi.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mciavi.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\mcicda.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mciole16.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mciole32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mciseq.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\mciwave.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\mdhcp.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mem.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\mfc40.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mfc40loc.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mfc40u.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mfc42loc.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mib.bin
[21/08/2004 ] ---> C:\WINDOWS\system32\migpwd.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\mimefilt.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mlang.dat
[21/08/2004 ] ---> C:\WINDOWS\system32\mll_hp.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mll_mtf.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mll_qic.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mmdriver.inf
[21/08/2004 ] ---> C:\WINDOWS\system32\mmdrv.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mmtask.tsk
[21/08/2004 ] ---> C:\WINDOWS\system32\mmutilse.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mode.com
[21/08/2004 ] ---> C:\WINDOWS\system32\modex.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\more.com
[21/08/2004 ] ---> C:\WINDOWS\system32\mountvol.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\mouse.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\mpnotify.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\mprddm.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mprdim.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mprmsg.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mprui.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mqcertui.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mqgentr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mqoa.tlb
[21/08/2004 ] ---> C:\WINDOWS\system32\mqoa10.tlb
[21/08/2004 ] ---> C:\WINDOWS\system32\mqoa20.tlb
[21/08/2004 ] ---> C:\WINDOWS\system32\mqperf.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mqperf.ini
[21/08/2004 ] ---> C:\WINDOWS\system32\mqprfsym.h
[21/08/2004 ] ---> C:\WINDOWS\system32\mrinfo.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\msaatext.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msacm.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msacm32.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\msaudite.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mscat32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mscdexnt.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\msencode.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msg711.acm
[21/08/2004 ] ---> C:\WINDOWS\system32\msgsm32.acm
[21/08/2004 ] ---> C:\WINDOWS\system32\msidntld.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msls31.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msobjs.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msports.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msr2c.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msr2cenu.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msratelc.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msrclr40.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msrecr40.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mssign32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mssip32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msswch.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msswchx.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\msvbvm50.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msvcp50.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msvcrt20.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msvidc32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msvideo.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msxml2r.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msxml3r.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\msxmlr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\mycomput.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\narrhook.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\nbtstat.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\ncpa.cpl
[21/08/2004 ] ---> C:\WINDOWS\system32\ncxpnt.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\net.hlp
[21/08/2004 ] ---> C:\WINDOWS\system32\netapi.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\netevent.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\neth.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\netmsg.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\netui2.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\netware.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\nlsfunc.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\noise.chs
[21/08/2004 ] ---> C:\WINDOWS\system32\noise.cht
[21/08/2004 ] ---> C:\WINDOWS\system32\noise.dat
[21/08/2004 ] ---> C:\WINDOWS\system32\noise.deu
[21/08/2004 ] ---> C:\WINDOWS\system32\noise.eng
[21/08/2004 ] ---> C:\WINDOWS\system32\noise.enu
[21/08/2004 ] ---> C:\WINDOWS\system32\noise.esn
[21/08/2004 ] ---> C:\WINDOWS\system32\noise.fra
[21/08/2004 ] ---> C:\WINDOWS\system32\noise.ita
[21/08/2004 ] ---> C:\WINDOWS\system32\noise.nld
[21/08/2004 ] ---> C:\WINDOWS\system32\noise.sve
[21/08/2004 ] ---> C:\WINDOWS\system32\noise.tha
[21/08/2004 ] ---> C:\WINDOWS\system32\ntdos.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\ntdos404.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\ntdos411.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\ntdos412.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\ntdos804.sys
[21/08/2004 ] ---> C:\WINDOWS\system32\ntdsbcli.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ntimage.gif
[21/08/2004 ] ---> C:\WINDOWS\system32\ntlanui.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ntlanui2.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ntmsevt.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ntmsmgr.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\ntmsoprq.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\ntsd.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\ntsdexts.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ntvdmd.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\nw16.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\nwapi16.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\nwapi32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\nwc.cpl
[21/08/2004 ] ---> C:\WINDOWS\system32\nwcfg.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\nwevent.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\nwscript.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\ocmanage.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ole2.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ole2disp.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ole2nls.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\oleacc.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\oleaccrc.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\olecli.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\olecli32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\olecnv32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\oledlg.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\olesvr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\olesvr32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\olethk32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\osuninst.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\pagefileconfig.vbs
[21/08/2004 ] ---> C:\WINDOWS\system32\panmap.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\pathping.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\pcl.sep
[21/08/2004 ] ---> C:\WINDOWS\system32\pentnt.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\perfc009.dat
[21/08/2004 ] ---> C:\WINDOWS\system32\perfc00C.dat
[21/08/2004 ] ---> C:\WINDOWS\system32\perfci.h
[21/08/2004 ] ---> C:\WINDOWS\system32\perfci.ini
[21/08/2004 ] ---> C:\WINDOWS\system32\perfd009.dat
[21/08/2004 ] ---> C:\WINDOWS\system32\perfd00C.dat
[21/08/2004 ] ---> C:\WINDOWS\system32\perffilt.h
[21/08/2004 ] ---> C:\WINDOWS\system32\perffilt.ini
[21/08/2004 ] ---> C:\WINDOWS\system32\perfh009.dat
[21/08/2004 ] ---> C:\WINDOWS\system32\perfh00C.dat
[21/08/2004 ] ---> C:\WINDOWS\system32\perfi009.dat
[21/08/2004 ] ---> C:\WINDOWS\system32\perfi00C.dat
[21/08/2004 ] ---> C:\WINDOWS\system32\perfmon.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\perfnet.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\perfnw.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\perfts.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\perfwci.h
[21/08/2004 ] ---> C:\WINDOWS\system32\perfwci.ini
[21/08/2004 ] ---> C:\WINDOWS\system32\pifmgr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ping6.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\plugin.ocx
[21/08/2004 ] ---> C:\WINDOWS\system32\plustab.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\pmspl.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\prflbmsg.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\print.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\prncnfg.vbs
[21/08/2004 ] ---> C:\WINDOWS\system32\prndrvr.vbs
[21/08/2004 ] ---> C:\WINDOWS\system32\prnjobs.vbs
[21/08/2004 ] ---> C:\WINDOWS\system32\prnmngr.vbs
[21/08/2004 ] ---> C:\WINDOWS\system32\prnport.vbs
[21/08/2004 ] ---> C:\WINDOWS\system32\prnqctl.vbs
[21/08/2004 ] ---> C:\WINDOWS\system32\prodspec.ini
[21/08/2004 ] ---> C:\WINDOWS\system32\pschdcnt.h
[21/08/2004 ] ---> C:\WINDOWS\system32\pschdprf.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\pschdprf.ini
[21/08/2004 ] ---> C:\WINDOWS\system32\pscript.sep
[21/08/2004 ] ---> C:\WINDOWS\system32\psnppagn.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\pubprn.vbs
[21/08/2004 ] ---> C:\WINDOWS\system32\qosname.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\rasautou.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\rasctrnm.h
[21/08/2004 ] ---> C:\WINDOWS\system32\rasctrs.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\rasctrs.ini
[21/08/2004 ] ---> C:\WINDOWS\system32\rasdial.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\rasmontr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\rasmxs.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\rasrad.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\rasser.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\recover.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\regedt32.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\regwiz.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\relog.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\rend.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\replace.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\riched32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\rnr20.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\route.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\routemon.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\routetab.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\rpcns4.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\rsaci.rat
[21/08/2004 ] ---> C:\WINDOWS\system32\rsfsaps.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\rsm.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\rsmsink.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\rsmui.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\rsop.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\rsopprov.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\rsvp.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\rsvp.ini
[21/08/2004 ] ---> C:\WINDOWS\system32\rsvpcnts.h
[21/08/2004 ] ---> C:\WINDOWS\system32\rsvpmsg.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\rsvpperf.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\rsvpsp.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\rtm.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\runas.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\sc.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\scardssp.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\scofr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\scredir.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\scriptpw.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\scrrnfr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\sdpblb.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\secpol.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\senscfg.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\serialui.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\services.msc
[21/08/2004 ] ---> C:\WINDOWS\system32\serwvdrv.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\setup.bmp
[21/08/2004 ] ---> C:\WINDOWS\system32\setupdll.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\setver.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\sfc.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\sfmapi.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\share.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\shell.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\shellstyle.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\sisbkup.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\skdll.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\slbrccsp.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\softpub.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\sort.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\sound.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\sprestrt.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\sqlsodbc.chm
[21/08/2004 ] ---> C:\WINDOWS\system32\sqlwid.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\sqlwoa.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\stdole2.tlb
[21/08/2004 ] ---> C:\WINDOWS\system32\stdole32.tlb
[21/08/2004 ] ---> C:\WINDOWS\system32\storage.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\subst.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\svcpack.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\swprv.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\syncapp.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\sysedit.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\sysinv.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\syskey.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\sysprint.sep
[21/08/2004 ] ---> C:\WINDOWS\system32\sysprtj.sep
[21/08/2004 ] ---> C:\WINDOWS\system32\system.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\systeminfo.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\systray.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\tapi.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\tapiperf.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\tapiui.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\taskkill.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\tasklist.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\taskman.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\tcmsetup.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\tcpsvcs.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\telephon.cpl
[21/08/2004 ] ---> C:\WINDOWS\system32\tftp.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\timer.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\toolhelp.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\tracert6.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\traffic.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\tree.com
[21/08/2004 ] ---> C:\WINDOWS\system32\tsappcmp.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\tsd32.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\tssoft32.acm
[21/08/2004 ] ---> C:\WINDOWS\system32\typelib.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\typeperf.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\ufat.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\umdmxfrm.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\unicode.nls
[21/08/2004 ] ---> C:\WINDOWS\system32\unlodctr.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\ureg.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\user.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\utildll.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\v7vga.rom
[21/08/2004 ] ---> C:\WINDOWS\system32\vbsfr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\vcdex.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\ver.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\verifier.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\verifier.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\vfpodbc.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\vga.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\vga.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\vga256.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\vga64k.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\vjoy.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\vss_ps.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\vssadmin.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\vwipxspx.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\vwipxspx.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\w32tm.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\w32topl.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\wavemsp.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\wbcache.deu
[21/08/2004 ] ---> C:\WINDOWS\system32\wbcache.enu
[21/08/2004 ] ---> C:\WINDOWS\system32\wbcache.esn
[21/08/2004 ] ---> C:\WINDOWS\system32\wbcache.fra
[21/08/2004 ] ---> C:\WINDOWS\system32\wbcache.ita
[21/08/2004 ] ---> C:\WINDOWS\system32\wbcache.nld
[21/08/2004 ] ---> C:\WINDOWS\system32\wbcache.sve
[21/08/2004 ] ---> C:\WINDOWS\system32\wbdbase.deu
[21/08/2004 ] ---> C:\WINDOWS\system32\wbdbase.enu
[21/08/2004 ] ---> C:\WINDOWS\system32\wbdbase.esn
[21/08/2004 ] ---> C:\WINDOWS\system32\wbdbase.fra
[21/08/2004 ] ---> C:\WINDOWS\system32\wbdbase.ita
[21/08/2004 ] ---> C:\WINDOWS\system32\wbdbase.nld
[21/08/2004 ] ---> C:\WINDOWS\system32\wbdbase.sve
[21/08/2004 ] ---> C:\WINDOWS\system32\wdl.trm
[21/08/2004 ] ---> C:\WINDOWS\system32\webhits.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\wfwnet.drv
[21/08/2004 ] ---> C:\WINDOWS\system32\wiasf.ax
[21/08/2004 ] ---> C:\WINDOWS\system32\wiavusd.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\wifeman.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\win.com
[21/08/2004 ] ---> C:\WINDOWS\system32\win87em.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\winfax.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\winhelp.hlp
[21/08/2004 ] ---> C:\WINDOWS\system32\winhlp32.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\winmsd.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\winoldap.mod
[21/08/2004 ] ---> C:\WINDOWS\system32\winsock.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\winspool.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\winstrm.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\wmerrFRA.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\wmiprop.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\wmiscmgr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\wowdeb.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\wowexec.exe
[21/08/2004 ] ---> C:\WINDOWS\system32\wpa.dbl
[21/08/2004 ] ---> C:\WINDOWS\system32\wshatm.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\wshfr.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\wshisn.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\wshnetbs.dll
[21/08/2004 ] ---> C:\WINDOWS\system32\wupdmgr.exe
[21/08/2004 ] ---> C:\WINDOWS\twain.dll
[21/08/2004 ] ---> C:\WINDOWS\twunk_16.exe
[21/08/2004 ] ---> C:\WINDOWS\twunk_32.exe
[21/08/2004 ] ---> C:\WINDOWS\vmmreg32.dll
[21/08/2004 ] ---> C:\WINDOWS\win.ini
[21/08/2004 ] ---> C:\WINDOWS\winhelp.exe
[21/08/2004 ] ---> C:\WINDOWS\wmprfFRA.prx



Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
9 juin 2008 à 17:27
Re,

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

F3 - REG:win.ini: run=""


Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

Redémarre l'ordi et remets un rapport Hijackthis.

Du mieux ?
0
j'espere que c'est ca le rapport que vous me demandez

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:41, on 9/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\system32\lxdjcoms.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Lexmark 1400 Series\lxdjamon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\helloserv.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\ScanWizard 5\ScannerFinder.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-be
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [lxdjamon] "C:\Program Files\Lexmark 1400 Series\lxdjamon.exe"
O4 - HKLM\..\Run: [LXDJCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDJtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [helloserv] C:\WINDOWS\helloserv.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Scanner Finder.lnk = C:\Program Files\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/lookup.js
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/translate.js
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: lxdj_device - - C:\WINDOWS\system32\lxdjcoms.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
9 juin 2008 à 18:34
Re,

E:, c'est ton DD externe ?

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
re,
mon DD est F je l'avais enleve

ComboFix 08-06-08.8 - Valerie 2008-06-09 19:26:41.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.209 [GMT 2:00]
Endroit: C:\Documents and Settings\Valerie\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Valerie\Application Data\inst.exe
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx
C:\WINDOWS\system32\winupdate.exe
C:\WINDOWS\system32\wscmp.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-09 to 2008-06-09 ))))))))))))))))))))))))))))))))))))
.

2008-06-09 15:22 . 2008-06-09 15:22 <REP> d-------- C:\Deckard
2008-06-09 15:20 . 2008-06-09 15:20 <REP> d-------- C:\Program Files\Trend Micro
2008-06-09 13:08 . 2008-06-09 14:54 250 --a------ C:\WINDOWS\gmer.ini
2008-06-09 11:31 . 2008-06-09 11:34 0 --a------ C:\Program1
2008-06-09 11:26 . 2008-06-09 11:26 <REP> d-------- C:\Program Files\Sophos
2008-06-09 01:33 . 2008-06-09 01:32 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-09 01:33 . 2008-06-09 01:33 2,557 --a------ C:\WINDOWS\unins000.dat
2008-06-08 20:53 . 2008-06-09 01:35 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-06-08 20:53 . 2008-06-09 01:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-08 19:29 . 2008-06-08 19:29 2,031,832 --a------ C:\WINDOWS\system321lkdoiuekrewr.bin
2008-06-08 19:13 . 2008-06-09 19:24 29,994 --a------ C:\WINDOWS\helloserv.config
2008-06-08 19:12 . 2008-06-08 19:12 118,784 --a------ C:\WINDOWS\helloserv.exe
2008-06-08 19:11 . 2008-06-08 20:41 160,256 --a------ C:\WINDOWS\system32\blackster.scr
2008-06-08 12:49 . 2008-06-08 12:49 <REP> d-------- C:\WINDOWS\system32\FlashAX
2008-06-08 12:48 . 2008-06-08 12:48 <REP> d-------- C:\MicroGaming
2008-06-06 08:52 . 2008-06-06 08:52 13,030 --a------ C:\PDOXUSRS.NET
2008-06-06 08:47 . 2008-06-06 08:47 <REP> d-------- C:\Inprise
2008-06-06 08:47 . 1999-10-23 14:41 55,808 --------- C:\WINDOWS\system32\ActPanel.dll
2008-06-06 08:46 . 2008-06-06 08:46 <REP> d-------- C:\Program Files\JavaSoft
2008-06-06 08:46 . 2008-06-06 08:46 <REP> d-------- C:\Documents and Settings\Valerie\WINDOWS
2008-06-06 08:46 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-06-06 08:41 . 2008-06-06 08:44 <REP> d-------- C:\Program Files\Fichiers communs\Borland Shared
2008-06-06 08:41 . 2008-06-06 08:45 <REP> d-------- C:\Program Files\Borland
2008-06-06 08:34 . 2001-11-29 04:50 430,080 --a------ C:\WINDOWS\system32\ibmgr.cpl
2008-06-06 08:34 . 2001-11-29 04:50 376,832 --a------ C:\WINDOWS\system32\gds32.dll
2008-06-06 08:34 . 2001-11-29 04:50 177,152 --a------ C:\WINDOWS\system32\ibinstall.dll
2008-06-06 08:34 . 2001-11-29 04:50 28,672 --a------ C:\WINDOWS\system32\ibxml.dll
2008-06-04 22:34 . 2008-06-04 22:35 <REP> d-------- C:\Program Files\Windows Live
2008-06-04 22:34 . 2008-06-04 22:34 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-04 22:34 . 2008-06-04 22:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-06-04 22:24 . 2008-06-04 22:24 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-06-04 22:24 . 2005-02-25 05:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-06-04 22:21 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-06-04 22:21 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-06-04 22:21 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-06-04 22:21 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-06-04 22:21 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-06-04 21:47 . 2008-06-04 21:48 <REP> d-------- C:\Documents and Settings\Valerie\Contacts
2008-06-04 21:46 . 2008-06-04 22:35 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-05-26 18:15 . 2008-06-09 13:04 <REP> d-------- C:\Documents and Settings\Valerie\Application Data\Microsoft Corporation
2008-05-26 18:15 . 2008-06-09 13:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Corporation
2008-05-23 19:02 . 2008-05-25 00:10 <REP> d-------- C:\elec
2008-05-23 15:35 . 2008-05-23 15:35 35 --a------ C:\WINDOWS\Ulead32.INI
2008-05-22 21:06 . 2008-05-23 18:51 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-22 21:06 . 2008-05-22 21:06 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-22 20:34 . 2008-05-25 13:49 <REP> d-------- C:\Program Files\eMule
2008-05-22 19:24 . 2008-05-22 19:24 2,359,350 --a------ C:\WINDOWS\Quest1024.bmp
2008-05-22 19:23 . 2008-05-22 19:24 <REP> d-------- C:\Program Files\Stardock
2008-05-22 19:23 . 2008-05-22 19:23 <REP> d-------- C:\Program Files\Fichiers communs\Stardock
2008-05-17 23:06 . 2008-05-23 18:12 40 --a------ C:\WINDOWS\system32\mscandc.ini
2008-05-17 23:04 . 2008-05-23 15:38 <REP> d-------- C:\Program Files\ScanWizard 5
2008-05-15 18:43 . 2008-06-05 23:22 <REP> d-------- C:\Program Files\Lx_cats
2008-05-15 18:25 . 2008-05-15 18:25 <REP> d-------- C:\logs
2008-05-15 18:25 . 2007-02-23 08:31 344,064 --a------ C:\WINDOWS\system32\lxdjcoin.dll
2008-05-15 18:25 . 2006-05-18 16:47 40,960 --a------ C:\WINDOWS\system32\lxdjvs.dll
2008-05-15 18:17 . 2008-05-15 18:24 <REP> d-------- C:\Program Files\Lexmark 1400 Series
2008-05-15 15:45 . 2008-05-15 15:45 <REP> d-------- C:\Documents and Settings\Valerie\Application Data\1.0.0.0
2008-05-15 15:45 . 2008-05-15 15:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\1.0.0.0
2008-05-15 14:46 . 2008-05-15 14:46 16,574 --a------ C:\WINDOWS\EPISMF00.SWB
2008-05-10 19:53 . 2008-05-21 23:05 16 --a------ C:\WINDOWS\popcinfo.dat
2008-05-10 15:37 . 2008-05-10 15:37 <REP> d-------- C:\Program Files\ReflexiveArcade
2008-05-10 15:37 . 2008-05-15 23:30 <REP> d-------- C:\Program Files\Bejeweled 2 Deluxe
2008-05-09 22:36 . 2008-05-09 22:36 <REP> d-------- C:\Program Files\FDRLab

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-08 17:20 --------- d-----w C:\Documents and Settings\Valerie\Application Data\uTorrent
2008-05-22 19:14 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-05-18 16:43 --------- d-----w C:\Documents and Settings\Valerie\Application Data\Vso
2008-05-17 21:04 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-17 21:03 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-05-16 12:15 --------- d-----w C:\Documents and Settings\Valerie\Application Data\Ahead
2008-05-16 10:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink
2008-04-29 20:39 --------- d-----w C:\Documents and Settings\All Users\Application Data\vsosdk
2008-04-29 18:16 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2008-04-29 18:16 47,360 ----a-w C:\Documents and Settings\Valerie\Application Data\pcouffin.sys
2008-04-29 18:16 --------- d-----w C:\Program Files\VSO
2008-04-28 10:42 --------- d-----w C:\Program Files\Ripp-it_AM
2008-04-28 10:28 --------- d-----w C:\Program Files\ffdshow
2008-04-28 09:43 --------- d-----w C:\Program Files\XviD
2008-04-28 09:42 --------- d-----w C:\Program Files\Ripp-It Codec Pack
2008-04-28 09:36 --------- d-----w C:\Program Files\AviSynth 2.5
2008-04-28 09:32 --------- d-----w C:\Program Files\Xilisoft
2008-04-26 21:54 --------- d-----w C:\Documents and Settings\Valerie\Application Data\Apple Computer
2008-04-26 21:51 --------- d-----w C:\Program Files\QuickTime
2008-04-26 21:50 --------- d-----w C:\Program Files\Apple Software Update
2008-04-26 21:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-26 21:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-04-26 13:18 --------- d-----w C:\Program Files\EPSON
2008-04-25 10:19 --------- d-----w C:\Documents and Settings\Valerie\Application Data\SYSTRAN
2008-04-25 10:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield
2008-04-25 10:15 878,080 ----a-w C:\WINDOWS\system32\iconv.dll
2008-04-25 10:15 721,920 ----a-w C:\WINDOWS\system32\libxml2.dll
2008-04-25 10:15 51,200 ----a-w C:\WINDOWS\system32\libexslt.dll
2008-04-25 10:15 150,016 ----a-w C:\WINDOWS\system32\libxslt.dll
2008-04-25 10:15 --------- d-----w C:\Program Files\SYSTRAN
2008-04-25 08:34 --------- d-----w C:\Program Files\MagicDisc
2008-04-25 07:39 19,560 ----a-w C:\Documents and Settings\Valerie\Application Data\GDIPFONTCACHEV1.DAT
2008-04-23 20:11 --------- d-----w C:\Program Files\PFConfig
2008-04-20 13:37 --------- d-----w C:\Program Files\VMware
2008-04-20 13:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\VMware
2008-04-20 13:32 --------- d-----w C:\Documents and Settings\Valerie\Application Data\VMware
2008-04-20 13:26 --------- d-----w C:\Documents and Settings\LocalService\Application Data\VMware
2008-04-19 14:36 --------- d-----w C:\Program Files\CCleaner
2008-04-19 14:35 --------- d-----w C:\Program Files\Yahoo!
2008-04-19 14:19 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-04-19 14:05 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-04-19 14:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ahead
2008-04-19 14:03 --------- d-----w C:\Program Files\Nero
2008-04-19 14:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero
2008-04-19 13:59 --------- d-----w C:\Program Files\AskTBar
2008-04-19 13:54 --------- d-----w C:\Program Files\Alcohol Soft
2008-04-19 13:50 --------- d-----w C:\Program Files\uTorrent
2008-04-19 13:47 --------- d-----w C:\Program Files\DVD Shrink
2008-04-19 12:34 --------- d-----w C:\Program Files\Alwil Software
2008-04-19 12:25 --------- d-----w C:\Program Files\microsoft frontpage
2008-04-19 12:23 --------- d-----w C:\Program Files\Services en ligne
2008-03-29 11:15 42,672 ----a-w C:\WINDOWS\system32\wbsys.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:54 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03 152872]
"helloserv"="C:\WINDOWS\helloserv.exe" [2008-06-08 19:12 118784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 17:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-02-09 17:54 65024 C:\WINDOWS\SOUNDMAN.EXE]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"ISUSPM"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 17:34 213936]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"lxdjamon"="C:\Program Files\Lexmark 1400 Series\lxdjamon.exe" [2007-03-06 04:40 20480]
"LXDJCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDJtime.dll" [2007-02-10 01:21 102400]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 02:54 15360]

C:\Documents and Settings\Valerie\Menu D‚marrer\Programmes\D‚marrage\
MagicDisc.lnk - C:\Program Files\MagicDisc\MagicDisc.exe [2008-04-25 10:34:20 546816]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50 734872]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20 40048]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]
Scanner Finder.lnk - C:\Program Files\ScanWizard 5\ScannerFinder.exe [2008-05-17 23:04:03 315392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\lxdjcoms.exe"=
"C:\\Program Files\\Lexmark 1400 Series\\lxdjamon.exe"=
"C:\\Program Files\\Lexmark 1400 Series\\app4r.exe"=
"C:\\Program Files\\Lexmark 1400 Series\\Wireless\\lxdjwpss.exe"=
"C:\\WINDOWS\\system32\\lxdjcfg.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjpswx.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjjswx.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS\\helloserv.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjtime.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
S3 {DEF85C80-216A-43ab-AF70-1665EDBE2780};{DEF85C80-216A-43ab-AF70-1665EDBE2780};C:\WINDOWS\TEMP\3C2.tmp []
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\115.tmp []

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-06-04 09:50:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-09 19:28:03
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXDJCATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDJtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\115.tmp"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]
"ImagePath"="\??\C:\WINDOWS\TEMP\3C2.tmp"
.
Temps d'accomplissement: 2008-06-09 19:28:51
ComboFix-quarantined-files.txt 2008-06-09 17:28:44

Pre-Run: 23,937,003,520 octets libres
Post-Run: 23,943,024,640 octets libres

214
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
9 juin 2008 à 20:33
Bonjour,

on contrôle 3 fichiers.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system321lkdoiuekrewr.bin

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Tu fais de même avec :

C:\WINDOWS\helloserv.config

C:\WINDOWS\helloserv.exe

__________________

Imprime ces instructions car tu n'y auras pas accès durant le passage en mode sans échec.
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié dans C:\. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
0
voila j'espere que c'est bon car j'ai eu un peu de mal pour les rapports

system321lkdoiuekrewr.bin

Fichier system321lkdoiuekrewr.bin reçu le 2008.06.09 21:09:17 (CET)
Situation actuelle: terminé

Résultat: 12/32 (37.50%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.30.1 2008.06.09 -
AntiVir 7.8.0.55 2008.06.09 SPR/Fake.axf.2
Authentium 5.1.0.4 2008.06.08 -
Avast 4.8.1195.0 2008.06.09 -
AVG 7.5.0.516 2008.06.09 Potentially harmful program Fake_AntiSpyware.OI
BitDefender 7.2 2008.06.09 -
CAT-QuickHeal 9.50 2008.06.09 -
ClamAV 0.92.1 2008.06.09 Trojan.FakeAV.Winifixer
DrWeb 4.44.0.09170 2008.06.09 Trojan.Fakealert.703
eSafe 7.0.15.0 2008.06.09 -
eTrust-Vet 31.6.5858 2008.06.08 -
Ewido 4.0 2008.06.09 -
F-Prot 4.4.4.56 2008.06.08 -
F-Secure 6.70.13260.0 2008.06.09 -
Fortinet 3.14.0.0 2008.06.09 Misc/AdvancedXPFixer
GData 2.0.7306.1023 2008.06.09 -
Ikarus T3.1.1.26.0 2008.06.09 -
Kaspersky 7.0.0.125 2008.06.09 not-a-virus:FraudTool.Win32.AdvancedXPFixer.a
McAfee 5313 2008.06.09 -
Microsoft 1.3604 2008.06.09 -
NOD32v2 3169 2008.06.09 Win32/Adware.WinFixer
Norman 5.80.02 2008.06.09 -
Panda 9.0.0.4 2008.06.08 Suspicious file
Prevx1 V2 2008.06.09 Malicious Software
Rising 20.47.42.00 2008.06.06 -
Sophos 4.30.0 2008.06.09 Advanced XP Fixer
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.09 AdvancedXPFixer
TheHacker 6.2.92.339 2008.06.07 -
VBA32 3.12.6.7 2008.06.09 -
VirusBuster 4.3.26:9 2008.06.09 -
Webwasher-Gateway 6.6.2 2008.06.09 Riskware.Fake.axf.2
Information additionnelle
File size: 2031832 bytes
MD5...: 5f2b1618dfa9dcd9141ffc3e83b325b3
SHA1..: 9b2c07e20e1e626f140b02d993ca1e3c6fdb0699
SHA256: 354eca7e9b6224b349712b47a534b800d1470e117248e9af07f1df12657e5584
SHA512: f3c98489da01fdc5b7b6d1c88ca3b817df529c3b229441c8f437132bf41cafa3
046950c8c84c5ef342afb98f60751edd453eeacda458bf553f0e62ba240bbb72
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403225
timedatestamp.....: 0x47acc8b2 (Fri Feb 08 21:25:06 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5934 0x5a00 6.46 663546ac41801daf2dc51f560ec05a56
.rdata 0x7000 0x1190 0x1200 5.18 db16645055619c0cc73276ff5c3adb75
.data 0x9000 0x1af98 0x400 4.70 f0511f18783910813a0de0de02bc1206
.ndata 0x24000 0xa000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x2e000 0x1b58 0x1c00 3.58 145206486b74eb2aa8d9ef4a8b9ecb64

( 8 imports )
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, CreateFileA, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=13550397D8C62AA400561F46E6D56D00AA27E958


helloserv.config


Fichier helloserv.config reçu le 2008.06.09 21:15:54 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 1/32 (3.13%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.30.1 2008.06.09 -
AntiVir 7.8.0.55 2008.06.09 -
Authentium 5.1.0.4 2008.06.08 -
Avast 4.8.1195.0 2008.06.09 -
AVG 7.5.0.516 2008.06.09 -
BitDefender 7.2 2008.06.09 -
CAT-QuickHeal 9.50 2008.06.09 -
ClamAV 0.92.1 2008.06.09 -
DrWeb 4.44.0.09170 2008.06.09 -
eSafe 7.0.15.0 2008.06.09 -
eTrust-Vet 31.6.5858 2008.06.08 -
Ewido 4.0 2008.06.09 -
F-Prot 4.4.4.56 2008.06.08 -
F-Secure 6.70.13260.0 2008.06.09 -
Fortinet 3.14.0.0 2008.06.09 -
GData 2.0.7306.1023 2008.06.09 -
Ikarus T3.1.1.26.0 2008.06.09 -
Kaspersky 7.0.0.125 2008.06.09 -
McAfee 5313 2008.06.09 -
Microsoft 1.3604 2008.06.09 Backdoor:Win32/Nuwar.B!ini
NOD32v2 3169 2008.06.09 -
Norman 5.80.02 2008.06.09 -
Panda 9.0.0.4 2008.06.08 -
Prevx1 V2 2008.06.09 -
Rising 20.47.42.00 2008.06.06 -
Sophos 4.30.0 2008.06.09 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.09 -
TheHacker 6.2.92.339 2008.06.07 -
VBA32 3.12.6.7 2008.06.09 -
VirusBuster 4.3.26:9 2008.06.09 -
Webwasher-Gateway 6.6.2 2008.06.09 -
Information additionnelle
File size: 30778 bytes
MD5...: 9bdf179189ce5bd268a54f9bfda49756
SHA1..: 1728e2cec5bbf4c11a97bdb6588db4e739d68a35
SHA256: 3153454c50c0c67927facd9b12c0eac23a7124a569361f207d9dbeded4151f9f
SHA512: e114e3f677c673ce90838eda13d1a5dd93369c8934beca53d1bbdaaf8e0632ce
fd2e4115c42a9ec20e4ddb0add166e2c6206420b3ca5d357b65fab7c3d30fde4
PEiD..: -
PEInfo: -


helloserv.exe


Fichier helloserv.exe reçu le 2008.06.08 20:31:06 (CET)
Situation actuelle: terminé

Résultat: 11/32 (34.38%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - TR/Dropper.Gen
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - Dropped:Trojan.Peed.PM
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
DrWeb - - Trojan.DownLoader.62867
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - Email-Worm.Win32.Zhelatin.zy
Fortinet - - -
GData - - Email-Worm.Win32.Zhelatin.zy
Ikarus - - -
Kaspersky - - Email-Worm.Win32.Zhelatin.zy
McAfee - - -
Microsoft - - Backdoor:Win32/Nuwar.A
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - Mal/Dorf-N
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Dropper.Gen
Information additionnelle
MD5: 81cca17a06f955c78dfd748fb8eba261
SHA1: 88246966b5debca18f6ea14490dda3788958dbe0
SHA256: f6e2443a005a1c7c08c62a2efdb973de1dc7f3e1f805803e0f19224a6a600bda
SHA512: 67489897b634b73e24e2e8337f1070897d1a591cc5d1c56a48f6ac702c591a54336cd4d03aceb1482aea503005f83c8edcd68718851eb6679adb6207c265838d

Report.txt

[b]SDFix: Version 1.190 /b
Run by Valerie on lun. 09/06/2008 at 21:36

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:

[b]Name /b:
{DEF85C80-216A-43ab-AF70-1665EDBE2780}

[b]Path /b:
\??\C:\WINDOWS\TEMP\3C2.tmp

{DEF85C80-216A-43ab-AF70-1665EDBE2780} - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files /b:

Trojan Files Found:

C:\WINDOWS\system32\blackster.scr - Deleted





Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-09 21:41:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:120dd88d
"s2"=dword:28f83ff5
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:09,db,0a,b4,5f,76,db,a3,40,bb,03,c7,6b,93,df,a6,eb,69,36,a1,97,..
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:09,db,0a,b4,5f,76,db,a3,40,bb,03,c7,6b,93,df,a6,eb,69,36,a1,97,..
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{71A46AEE-E86B-D05C-FE59-A3B01B9E1496}]
"abdhikefmpkbblafomffgeceeabmcjnaml"=hex:65,62,64,6e,61,63,64,63,70,6e,67,6d,63,66,6c,6f,66,63,63,64,68,..
"bbdhikefmpkbblafomocbdfhoeomdiklemil"=hex:61,62,70,6d,70,6b,6d,67,6a,65,62,69,68,63,6d,62,62,69,66,6b,6e,..

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe:*:Enabled:Nero ShowTime"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\WINDOWS\\system32\\lxdjcoms.exe"="C:\\WINDOWS\\system32\\lxdjcoms.exe:*:Enabled:Lexmark Communications System"
"C:\\Program Files\\Lexmark 1400 Series\\lxdjamon.exe"="C:\\Program Files\\Lexmark 1400 Series\\lxdjamon.exe:*:Enabled:Lexmark Device Monitor"
"C:\\Program Files\\Lexmark 1400 Series\\app4r.exe"="C:\\Program Files\\Lexmark 1400 Series\\app4r.exe:*:Enabled:Lexmark Imaging Studio"
"C:\\Program Files\\Lexmark 1400 Series\\Wireless\\lxdjwpss.exe"="C:\\Program Files\\Lexmark 1400 Series\\Wireless\\lxdjwpss.exe:*:Enabled: "
"C:\\WINDOWS\\system32\\lxdjcfg.exe"="C:\\WINDOWS\\system32\\lxdjcfg.exe:*:Enabled: "
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjpswx.exe"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjpswx.exe:*:Enabled: "
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjjswx.exe"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjjswx.exe:*:Enabled: "
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\WINDOWS\\helloserv.exe"="C:\\WINDOWS\\helloserv.exe:*:Enabled:enable"
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjtime.exe"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdjtime.exe:*:Enabled: "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Lexmark 1400 Series\\app4r.exe"="C:\\Program Files\\Lexmark 1400 Series\\app4r.exe:*:Enabled:BorgListener"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files /b:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Wed 13 Feb 2008 23,552 A..H. --- "C:\valerie\~WRL0002.tmp"
Wed 13 Feb 2008 30,208 A..H. --- "C:\valerie\~WRL0249.tmp"
Wed 13 Feb 2008 33,792 A..H. --- "C:\valerie\~WRL0303.tmp"
Wed 13 Feb 2008 32,256 A..H. --- "C:\valerie\~WRL1257.tmp"
Wed 13 Feb 2008 28,160 A..H. --- "C:\valerie\~WRL2225.tmp"
Wed 13 Feb 2008 29,696 A..H. --- "C:\valerie\~WRL2232.tmp"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

[b]Finished!/b


HijackThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:46:00, on 9/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\system32\lxdjcoms.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Lexmark 1400 Series\lxdjamon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\helloserv.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\ScanWizard 5\ScannerFinder.exe
C:\Program Files\MagicDisc\MagicDisc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-be
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [lxdjamon] "C:\Program Files\Lexmark 1400 Series\lxdjamon.exe"
O4 - HKLM\..\Run: [LXDJCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDJtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [helloserv] C:\WINDOWS\helloserv.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Scanner Finder.lnk = C:\Program Files\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/lookup.js
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/translate.js
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: lxdj_device - - C:\WINDOWS\system32\lxdjcoms.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
0