Pc infecté par brontok A et cpu toujours 100%
Fermé
hurbainharder
-
18 oct. 2008 à 18:37
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 1 nov. 2008 à 12:12
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 1 nov. 2008 à 12:12
A voir également:
- Pc infecté par brontok A et cpu toujours 100%
- Temperature cpu - Guide
- Test performance pc - Guide
- Reinitialiser pc - Guide
- Pc lent - Guide
- Whatsapp pc - Télécharger - Messagerie
50 réponses
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
18 oct. 2008 à 20:07
18 oct. 2008 à 20:07
1) Ouvre le bloc-notes ( demarrer --> tous les programmes --> accessoires --> bloc-notes ) et copie le texte en citation ci-dessous.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=-
"Tok-Cirrhatus-3675"=-
"Tok-Cirrhatus"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
"Tok-Cirrhatus-1860"=-
[HKEY_USERS\S-1-5-21-73586283-963894560-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus-3675"=-
"Tok-Cirrhatus"=-
Menu Fichier --> enregistrer sous --> une boite de dialogue va s'ouvrir
Il y a deux lignes en bas de la fenetre :
- la première pour le nom : tape fix.reg
- la deuxième pour le type : clique sur l'onglet pour faire apparaitre tous les fichiers (*.* )
il te reste alors à choisir l'emplacement où tu vas l'enregistrer.
Clique sur le flêche en haut jusqu'à arriver au bureau.
2) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
C:\WINDOWS\ShellNew\RakyatKelaparan.exe
C:\Documents and Settings\hurbainharder\Local Settings\Application Data\smss.exe
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.
3) poste ensuite un nouveau rapport avec PCA.
A+
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=-
"Tok-Cirrhatus-3675"=-
"Tok-Cirrhatus"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
"Tok-Cirrhatus-1860"=-
[HKEY_USERS\S-1-5-21-73586283-963894560-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus-3675"=-
"Tok-Cirrhatus"=-
Menu Fichier --> enregistrer sous --> une boite de dialogue va s'ouvrir
Il y a deux lignes en bas de la fenetre :
- la première pour le nom : tape fix.reg
- la deuxième pour le type : clique sur l'onglet pour faire apparaitre tous les fichiers (*.* )
il te reste alors à choisir l'emplacement où tu vas l'enregistrer.
Clique sur le flêche en haut jusqu'à arriver au bureau.
2) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
C:\WINDOWS\ShellNew\RakyatKelaparan.exe
C:\Documents and Settings\hurbainharder\Local Settings\Application Data\smss.exe
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.
3) poste ensuite un nouveau rapport avec PCA.
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
18 oct. 2008 à 20:39
18 oct. 2008 à 20:39
Un oubli de ma part.
Pour le fichier fix.reg, il doit y avoir une ligne vide entre REGEDIT4 et la suite des consignes.
Je l'ai corrigé dans le message précédent.
A+
Pour le fichier fix.reg, il doit y avoir une ligne vide entre REGEDIT4 et la suite des consignes.
Je l'ai corrigé dans le message précédent.
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
18 oct. 2008 à 20:48
18 oct. 2008 à 20:48
1) Télécharge CleanX-II de sUBs :
http://download.bleepingcomputer.com/sUBs/CleanX-II.exe
Déconnecte tes accès internet. Coupe tous les accès physiques (débranchement du modem, ...).
Ferme toutes les applications.
Double-clique CleanX-II.exe.
Clique OK lorsque tu reçois un message d'avertissement.
A la fin du scan (qui peut prendre plusieurs minutes, patiente le temps qu'il finisse), il y aura un message d'erreur (parce que l'outil ne prend pas en compte la copie pour un Windows français). Pour contourner cette erreur, fais ceci :
Démarrer --> exécuter --> tape %temp%\report.txt .
Le bloc-note va ouvrir le rapport.
Si ce rapport montre qu'il reste encore des fichiers infectés (en fin de rapport après "POST RUN ANALYSIS"), relance l'outil une nouvelle fois.
Ouvre à nouveau le rapport avec la méthode ci-dessus et copie le dans ta réponse. S'il reste encore des fichiers infectés, inutile de relancer encore l'outil. Il faut examiner le rapport.
2) Edite un rapport Hijackthis ( tu devrais cette fois-ci arriver à utiliser le logiciel )
Regarde le message suivant ( partie 1 ).
http://www.commentcamarche.net/forum/affich 8948877 pc infecte par brontok a et cpu toujours 100?#1
A+
http://download.bleepingcomputer.com/sUBs/CleanX-II.exe
Déconnecte tes accès internet. Coupe tous les accès physiques (débranchement du modem, ...).
Ferme toutes les applications.
Double-clique CleanX-II.exe.
Clique OK lorsque tu reçois un message d'avertissement.
A la fin du scan (qui peut prendre plusieurs minutes, patiente le temps qu'il finisse), il y aura un message d'erreur (parce que l'outil ne prend pas en compte la copie pour un Windows français). Pour contourner cette erreur, fais ceci :
Démarrer --> exécuter --> tape %temp%\report.txt .
Le bloc-note va ouvrir le rapport.
Si ce rapport montre qu'il reste encore des fichiers infectés (en fin de rapport après "POST RUN ANALYSIS"), relance l'outil une nouvelle fois.
Ouvre à nouveau le rapport avec la méthode ci-dessus et copie le dans ta réponse. S'il reste encore des fichiers infectés, inutile de relancer encore l'outil. Il faut examiner le rapport.
2) Edite un rapport Hijackthis ( tu devrais cette fois-ci arriver à utiliser le logiciel )
Regarde le message suivant ( partie 1 ).
http://www.commentcamarche.net/forum/affich 8948877 pc infecte par brontok a et cpu toujours 100?#1
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
18 oct. 2008 à 21:54
18 oct. 2008 à 21:54
C'est une sale bête, le brontok.
jamais évident. les outils peuvent marcher du premier coup ou pas.
Tu vas télécharger ComBoFix sur le bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
Redémarre l'ordinateur en mode sans échec ( touche F8 ) et choisis ton compte.
Double sur Combofix.exe et suis les invites.
Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
jamais évident. les outils peuvent marcher du premier coup ou pas.
Tu vas télécharger ComBoFix sur le bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
Redémarre l'ordinateur en mode sans échec ( touche F8 ) et choisis ton compte.
Double sur Combofix.exe et suis les invites.
Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
18 oct. 2008 à 23:06
18 oct. 2008 à 23:06
Tu as chopé la totale : brontok + Bagle.
L'infection bagle s'attrappe avec le P2P et le téléchargement de cracks ou de keygens.
Si tu as des cracks, supprime-les pour éviter que l'infection ne revienne.
On poursuit avec ComBofix et on verra après pour bagle
Passe combofix sous windows et poste le rapport.
A+
L'infection bagle s'attrappe avec le P2P et le téléchargement de cracks ou de keygens.
Si tu as des cracks, supprime-les pour éviter que l'infection ne revienne.
On poursuit avec ComBofix et on verra après pour bagle
Passe combofix sous windows et poste le rapport.
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
19 oct. 2008 à 14:23
19 oct. 2008 à 14:23
C'est le bagle qui le bloque.
Télécharge FindyKill
Fais un clic droit sur le lien, enregister sous --> choisis sur le bureau
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
Supprime Elibagla si tu l’as téléchargé ( risque de conflit entre les deux outils )
Fais un clic droit sur le lien, enregister sous .....sur le bureau
Dezippe le sur le bureau
Entre dans le dossier FindyKill
double clique sur FindyKill.exe
choisi l'option 1 (recherche)
un rapport va s ouvrir, poste le dans ta prochaine réponse stp.
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
A+
Télécharge FindyKill
Fais un clic droit sur le lien, enregister sous --> choisis sur le bureau
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe
Supprime Elibagla si tu l’as téléchargé ( risque de conflit entre les deux outils )
Fais un clic droit sur le lien, enregister sous .....sur le bureau
Dezippe le sur le bureau
Entre dans le dossier FindyKill
double clique sur FindyKill.exe
choisi l'option 1 (recherche)
un rapport va s ouvrir, poste le dans ta prochaine réponse stp.
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
19 oct. 2008 à 17:30
19 oct. 2008 à 17:30
Si j'étais toi, j'attendrais que le PC soit désinfecté pour installer quoi que ce soit.
Ton PC est infecté par deux virus dangereux.
Va voir par exemple, si tu peux ouvrir ton antivirus, Nod32.
Bagle a tout deglingué, sans parler du Brontok.
Poste moi le rapport de findyKill.
A+
Ton PC est infecté par deux virus dangereux.
Va voir par exemple, si tu peux ouvrir ton antivirus, Nod32.
Bagle a tout deglingué, sans parler du Brontok.
Poste moi le rapport de findyKill.
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
19 oct. 2008 à 19:33
19 oct. 2008 à 19:33
Je n'ai pas eu ce message en téléchargea,t l'archive.
Autant pour moi, il faut double cliquer sur FindyKill.exe
A+
Autant pour moi, il faut double cliquer sur FindyKill.exe
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
20 oct. 2008 à 21:11
20 oct. 2008 à 21:11
Ton PC est vraiment très infecté.
réouvre findykill,
choisis cette fois ci l'option 2 (suppression)
il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué"
un rapport va s ouvrir, poste le dans ta prochaine réponse.
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque.
A+
réouvre findykill,
choisis cette fois ci l'option 2 (suppression)
il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué"
un rapport va s ouvrir, poste le dans ta prochaine réponse.
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque.
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
23 oct. 2008 à 19:40
23 oct. 2008 à 19:40
Tu choisis ton compte.
L'outil devrait redémarrer.
Si tu n'y arrives pas, fais ceci.
1) Télécharge Elibagla :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Téléchargement en bas de page : descargar Elibagla
Enregistre-le sur ton bureau.
Double clique sur l'éxecutable ( ELIBAGLAxxxxxxxxxxxxxx.EXE )
Assure-toi que dans le menu déroulant Unidad, tu as bien C:\
Vérifie également que Eliminar Ficheros Automaticamente est cochée
Clique sur le bouton Explorar pour lancer l'analyse
Tu lances Elibagla en double-cliquant dessus.
tu utilises cet outil et lance le plusieurs fois ( 3 à 4 fois ).
Tu postes le rapport qui se trouve en C:\Infosat.txt.
2) Si Elibagla refuse de se lancer en te mettant le message d'erreur suivant : ' application Win 32 non valide ).
renomme l'exécutable ELIBAGLAxxxxxxxxxxxxxx.EXE en en mdlek.exe.
Pour cela click droit --> renommer
Suis ensuite les consignes d'au dessus.
3) Si cela ne marche pas, renomme combofix.exe en combo-fix.exe.
Suis alors les consignes suivantes :
déconnecte toi du net.
Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
Lance Combofix.exe et suis les invites.
Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.
Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Si tu ne le trouves pas, il est à C:\ComboFix.txt.
L'outil devrait redémarrer.
Si tu n'y arrives pas, fais ceci.
1) Télécharge Elibagla :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Téléchargement en bas de page : descargar Elibagla
Enregistre-le sur ton bureau.
Double clique sur l'éxecutable ( ELIBAGLAxxxxxxxxxxxxxx.EXE )
Assure-toi que dans le menu déroulant Unidad, tu as bien C:\
Vérifie également que Eliminar Ficheros Automaticamente est cochée
Clique sur le bouton Explorar pour lancer l'analyse
Tu lances Elibagla en double-cliquant dessus.
tu utilises cet outil et lance le plusieurs fois ( 3 à 4 fois ).
Tu postes le rapport qui se trouve en C:\Infosat.txt.
2) Si Elibagla refuse de se lancer en te mettant le message d'erreur suivant : ' application Win 32 non valide ).
renomme l'exécutable ELIBAGLAxxxxxxxxxxxxxx.EXE en en mdlek.exe.
Pour cela click droit --> renommer
Suis ensuite les consignes d'au dessus.
3) Si cela ne marche pas, renomme combofix.exe en combo-fix.exe.
Suis alors les consignes suivantes :
déconnecte toi du net.
Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
Lance Combofix.exe et suis les invites.
Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.
Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Si tu ne le trouves pas, il est à C:\ComboFix.txt.
il y a deux fichier pour le resultat de MOVEIT! je sais pas le quel donc voici:
le premier:
C:\WINDOWS\ShellNew\RakyatKelaparan.exe moved successfully.
C:\Documents and Settings\hurbainharder\Local Settings\Application Data\smss.exe moved successfully.
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10182008_022828
le deuxieme:
To:C:\WINDOWS\ShellNew\RakyatKelaparan.exe;From:C:\_OTMoveIt\MovedFiles\10182008_022828\WINDOWS\ShellNew\RakyatKelaparan.exe
To:C:\Documents and Settings\hurbainharder\Local Settings\Application Data\smss.exe;From:C:\_OTMoveIt\MovedFiles\10182008_022828\Documents and Settings\hurbainharder\Local Settings\Application Data\smss.exe
puis le log de PCA:
# PCA Sécurité V 1.2.11, (fichier LOG).
# Rapport du :10/18/2008 8:42:47 PM
Microsoft Windows XP Service Pack 2
==>> Processus <==
\SystemRoot\System32\smss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Documents and Settings\hurbainharder\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\hurbainharder\Local Settings\Application Data\services.exe
C:\Documents and Settings\hurbainharder\Local Settings\Application Data\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\hurbainharder\Application Data\m\flec006.exe
C:\WINDOWS\system32\ping.exe
C:\Documents and Settings\hurbainharder\Desktop\pca.exe
//pages de démarrage et de recherche d'Internet Explorer
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.msn.com/fr-fr/?ocid=iehp
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.com/?gws_rd=ssl
RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Links
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
//applications lancées depuis system.ini,win.ini
//03 - Browser Helper Objects (BHOs)
02 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
02 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
02 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
02 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
02 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
02 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
02 - BHO: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
02 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
02 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar : PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar : VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O3 - Toolbar : Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar : Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
//04 - applications chargées automatiquement
04 - HKLM\..\RUN: [ATICCC] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKLM\..\RUN: [DLA] - C:\WINDOWS\System32\DLA\DLACTRLW.EXE
04 - HKLM\..\RUN: [UltraMon] - "C:\Program Files\UltraMon\UltraMon.exe" /auto
04 - HKLM\..\RUN: [SbUsb AudCtrl] - RunDll32 sbusbdll.dll,RCMonitor
04 - HKLM\..\RUN: [SunJavaUpdateSched] - "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
04 - HKLM\..\RUN: [UserFaultCheck] -
04 - HKLM\..\RUN: [Adobe Reader Speed Launcher] - "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
04 - HKLM\..\RUN: [Acrobat Assistant 8.0] - "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
04 - HKLM\..\RUN: [] -
04 - HKLM\..\RUN: [Adobe_ID0EYTHM] - C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
04 - HKLM\..\RUN: [QuickTime Task] - "C:\Program Files\QuickTime\QTTask.exe" -atboottime
04 - HKLM\..\RUN: [iTunesHelper] - "C:\Program Files\iTunes\iTunesHelper.exe"
04 - HKLM\..\RUN: [Launch Ai Booster] - "C:\Program Files\ASUS\Ai Booster\OverClk.exe"
04 - HKLM\..\RUN: [egui] - "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
04 - HKLM\..\RUN: [KernelFaultCheck] -
04 - HKLM\..\RUN: [Bron-Spizaetus] - "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
04 - HKCU\..\RUN: [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
04 - HKCU\..\RUN: [MsnMsgr] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKCU\..\RUN: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
04 - HKCU\..\RUN: [ccleaner] - "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
04 - HKCU\..\RUN: [Tok-Cirrhatus-3675] - "C:\Documents and Settings\hurbainharder\Local Settings\Application Data\smss.exe"
04 - HKCU\..\RUN: [Tok-Cirrhatus] -
04 - HKUS\S-1-5-18\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-18\..\RUN: [Tok-Cirrhatus] - C:\WINDOWS\System32\DLA\DLACTRLW.EXE
04 - HKUS\S-1-5-18\..\RUN: [Tok-Cirrhatus-1860] - "C:\Program Files\UltraMon\UltraMon.exe" /auto
04 - HKUS\S-1-5-19\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-20\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [MsnMsgr] - C:\WINDOWS\System32\DLA\DLACTRLW.EXE
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files\UltraMon\UltraMon.exe" /auto
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [ccleaner] - RunDll32 sbusbdll.dll,RCMonitor
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [Tok-Cirrhatus-3675] - "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [Tok-Cirrhatus] -
04 - Global Startup: Adobe Acrobat Speed Launcher.lnk= C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Acrobat Speed Launcher.lnk
04 - Global Startup: Adobe Acrobat Synchronizer.lnk= C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Acrobat Synchronizer.lnk
04 - Startup: Adobe Gamma.lnk= C:\Documents and Settings\hurbainharder\Start Menu\Programs\Startup\Adobe Gamma.lnk
//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini)
//06- interdiction à l' accès au options (Internet Explorer)
06 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel: Homepage
//07 - blocage de l'exécution de Regedit
//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
08 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
08 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
08 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
08 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
08 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
08 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
08 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
08 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
08 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
//09 - boutons situés sur la barre d'outils principale d'Internet Explorer
09 - Extra button: - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
09 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
09 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
09 - Extra 'Tools' menuitem: - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
09 - Extra button: - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
09 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
//O10 - Pirates de Winsock
O10 - fichier inconnu - winsock lsp : mdnsNSP - C:\Program Files\Bonjour\mdnsNSP.dll
//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer)
O11 - Options group: [INTERNATIONAL] - International*
//O12 - IE plugins
//013 : DefaultPrefix
//014 - Option : (Rétablir les paramètres Web)
//015 - Zone de confiance d'Internet Explorer
//O16 - Objets ActiveX
O16 - DPF : - {17492023-C23A-453E-A040-C7C580BBF700} -
O16 - DPF : - {3234504D-0000-0010-8000-00AA00389B71} -
O16 - DPF : Windows Live Safety Center Base Module - {5ED80217-570B-4DA9-BF44-BE107C0EC166} - C:\WINDOWS\Downloaded Program Files\wlscBase.dll
O16 - DPF : HouseCall Control - {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - C:\WINDOWS\DOWNLO~1\xscan53.ocx
O16 - DPF : Shockwave Flash Object - {D27CDB6E-AE6D-11CF-96B8-444553540000} - C:\WINDOWS\system32\Macromed\Flash\Flash9e.ocx
//O17 - piratage de domaine Lop.com
//O18 - protocoles additionnels
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
//O19 - feuille de style de l'utilisateur
//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
//O21 - ShellServiceObjectDelayLoad
//O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
//O23 - services de XP,NT, 2000, et 2003
O23 - Service: [Adobe LM Service] - "C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"
O23 - Service: [Adobe Version Cue CS3] - "C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service
O23 - Service: [Application Layer Gateway Service] - %SystemRoot%\System32\alg.exe
O23 - Service: [Apple Mobile Device] - "C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
O23 - Service: [ASP.NET State Service] - %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: [] - %SystemRoot%\system32\Ati2evxx.exe
O23 - Service: [ATI Smart] - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: [BitDefender Scan Server] - "C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service
O23 - Service: [Bonjour Service] - "C:\Program Files\Bonjour\mDNSResponder.exe"
O23 - Service: [Boonty Games] - "C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe"
O23 - Service: [ClipBook] - %SystemRoot%\system32\clipsrv.exe
O23 - Service: [.NET Runtime Optimization Service v2.0.50727_X86] - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: [COM+ System Application] - C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
O23 - Service: [Eset HTTP Server] - "C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe"
O23 - Service: [Eset Service] - "C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe"
O23 - Service: [FLEXnet Licensing Service] - "C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe"
O23 - Service: [IMAPI CD-Burning COM Service] -
O23 - Service: [iPod Service] - "C:\Program Files\iPod\bin\iPodService.exe"
O23 - Service: [NetMeeting Remote Desktop Sharing] - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\system32\msdtc.exe
O23 - Service: [NMIndexingService] - "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe"
O23 - Service: [Office Source Engine] - "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE"
O23 - Service: [Remote Desktop Help Session Manager] - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: [Remote Procedure Call (RPC) Locator] - %SystemRoot%\system32\locator.exe
O23 - Service: [QoS RSVP] - %SystemRoot%\system32\rsvp.exe
O23 - Service: [Print Spooler] - %SystemRoot%\system32\spoolsv.exe
O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\system32\dllhost.exe /Processid:{3637F69E-F4CF-40BD-BB64-EA8D9F9B4D6C}
O23 - Service: [Performance Logs and Alerts] - %SystemRoot%\system32\smlogsvc.exe
O23 - Service: [Telnet] - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: [Uninterruptible Power Supply] - %SystemRoot%\System32\ups.exe
O23 - Service: [Service Messenger Sharing Folders USN Journal Reader] - "C:\Program Files\Windows Live\Messenger\usnsvc.exe"
O23 - Service: [Volume Shadow Copy] - %SystemRoot%\System32\vssvc.exe
O23 - Service: [Windows Live Setup Service] - "C:\Program Files\Windows Live\installer\WLSetupSvc.exe"
O23 - Service: [WMI Performance Adapter] - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: [Service Partage réseau du Lecteur Windows Media] - "C:\Program Files\Windows Media Player\WMPNetwk.exe"
le premier:
C:\WINDOWS\ShellNew\RakyatKelaparan.exe moved successfully.
C:\Documents and Settings\hurbainharder\Local Settings\Application Data\smss.exe moved successfully.
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10182008_022828
le deuxieme:
To:C:\WINDOWS\ShellNew\RakyatKelaparan.exe;From:C:\_OTMoveIt\MovedFiles\10182008_022828\WINDOWS\ShellNew\RakyatKelaparan.exe
To:C:\Documents and Settings\hurbainharder\Local Settings\Application Data\smss.exe;From:C:\_OTMoveIt\MovedFiles\10182008_022828\Documents and Settings\hurbainharder\Local Settings\Application Data\smss.exe
puis le log de PCA:
# PCA Sécurité V 1.2.11, (fichier LOG).
# Rapport du :10/18/2008 8:42:47 PM
Microsoft Windows XP Service Pack 2
==>> Processus <==
\SystemRoot\System32\smss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Documents and Settings\hurbainharder\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\hurbainharder\Local Settings\Application Data\services.exe
C:\Documents and Settings\hurbainharder\Local Settings\Application Data\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\hurbainharder\Application Data\m\flec006.exe
C:\WINDOWS\system32\ping.exe
C:\Documents and Settings\hurbainharder\Desktop\pca.exe
//pages de démarrage et de recherche d'Internet Explorer
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.msn.com/fr-fr/?ocid=iehp
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.com/?gws_rd=ssl
RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Links
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
//applications lancées depuis system.ini,win.ini
//03 - Browser Helper Objects (BHOs)
02 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
02 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
02 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
02 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
02 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
02 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
02 - BHO: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
02 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
02 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar : PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar : VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O3 - Toolbar : Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar : Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
//04 - applications chargées automatiquement
04 - HKLM\..\RUN: [ATICCC] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKLM\..\RUN: [DLA] - C:\WINDOWS\System32\DLA\DLACTRLW.EXE
04 - HKLM\..\RUN: [UltraMon] - "C:\Program Files\UltraMon\UltraMon.exe" /auto
04 - HKLM\..\RUN: [SbUsb AudCtrl] - RunDll32 sbusbdll.dll,RCMonitor
04 - HKLM\..\RUN: [SunJavaUpdateSched] - "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
04 - HKLM\..\RUN: [UserFaultCheck] -
04 - HKLM\..\RUN: [Adobe Reader Speed Launcher] - "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
04 - HKLM\..\RUN: [Acrobat Assistant 8.0] - "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
04 - HKLM\..\RUN: [] -
04 - HKLM\..\RUN: [Adobe_ID0EYTHM] - C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
04 - HKLM\..\RUN: [QuickTime Task] - "C:\Program Files\QuickTime\QTTask.exe" -atboottime
04 - HKLM\..\RUN: [iTunesHelper] - "C:\Program Files\iTunes\iTunesHelper.exe"
04 - HKLM\..\RUN: [Launch Ai Booster] - "C:\Program Files\ASUS\Ai Booster\OverClk.exe"
04 - HKLM\..\RUN: [egui] - "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
04 - HKLM\..\RUN: [KernelFaultCheck] -
04 - HKLM\..\RUN: [Bron-Spizaetus] - "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
04 - HKCU\..\RUN: [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
04 - HKCU\..\RUN: [MsnMsgr] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKCU\..\RUN: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
04 - HKCU\..\RUN: [ccleaner] - "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
04 - HKCU\..\RUN: [Tok-Cirrhatus-3675] - "C:\Documents and Settings\hurbainharder\Local Settings\Application Data\smss.exe"
04 - HKCU\..\RUN: [Tok-Cirrhatus] -
04 - HKUS\S-1-5-18\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-18\..\RUN: [Tok-Cirrhatus] - C:\WINDOWS\System32\DLA\DLACTRLW.EXE
04 - HKUS\S-1-5-18\..\RUN: [Tok-Cirrhatus-1860] - "C:\Program Files\UltraMon\UltraMon.exe" /auto
04 - HKUS\S-1-5-19\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-20\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [MsnMsgr] - C:\WINDOWS\System32\DLA\DLACTRLW.EXE
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files\UltraMon\UltraMon.exe" /auto
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [ccleaner] - RunDll32 sbusbdll.dll,RCMonitor
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [Tok-Cirrhatus-3675] - "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [Tok-Cirrhatus] -
04 - Global Startup: Adobe Acrobat Speed Launcher.lnk= C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Acrobat Speed Launcher.lnk
04 - Global Startup: Adobe Acrobat Synchronizer.lnk= C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Acrobat Synchronizer.lnk
04 - Startup: Adobe Gamma.lnk= C:\Documents and Settings\hurbainharder\Start Menu\Programs\Startup\Adobe Gamma.lnk
//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini)
//06- interdiction à l' accès au options (Internet Explorer)
06 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel: Homepage
//07 - blocage de l'exécution de Regedit
//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
08 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
08 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
08 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
08 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
08 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
08 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
08 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
08 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
08 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
//09 - boutons situés sur la barre d'outils principale d'Internet Explorer
09 - Extra button: - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
09 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
09 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
09 - Extra 'Tools' menuitem: - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
09 - Extra button: - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
09 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
//O10 - Pirates de Winsock
O10 - fichier inconnu - winsock lsp : mdnsNSP - C:\Program Files\Bonjour\mdnsNSP.dll
//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer)
O11 - Options group: [INTERNATIONAL] - International*
//O12 - IE plugins
//013 : DefaultPrefix
//014 - Option : (Rétablir les paramètres Web)
//015 - Zone de confiance d'Internet Explorer
//O16 - Objets ActiveX
O16 - DPF : - {17492023-C23A-453E-A040-C7C580BBF700} -
O16 - DPF : - {3234504D-0000-0010-8000-00AA00389B71} -
O16 - DPF : Windows Live Safety Center Base Module - {5ED80217-570B-4DA9-BF44-BE107C0EC166} - C:\WINDOWS\Downloaded Program Files\wlscBase.dll
O16 - DPF : HouseCall Control - {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - C:\WINDOWS\DOWNLO~1\xscan53.ocx
O16 - DPF : Shockwave Flash Object - {D27CDB6E-AE6D-11CF-96B8-444553540000} - C:\WINDOWS\system32\Macromed\Flash\Flash9e.ocx
//O17 - piratage de domaine Lop.com
//O18 - protocoles additionnels
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
//O19 - feuille de style de l'utilisateur
//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
//O21 - ShellServiceObjectDelayLoad
//O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
//O23 - services de XP,NT, 2000, et 2003
O23 - Service: [Adobe LM Service] - "C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"
O23 - Service: [Adobe Version Cue CS3] - "C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service
O23 - Service: [Application Layer Gateway Service] - %SystemRoot%\System32\alg.exe
O23 - Service: [Apple Mobile Device] - "C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
O23 - Service: [ASP.NET State Service] - %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: [] - %SystemRoot%\system32\Ati2evxx.exe
O23 - Service: [ATI Smart] - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: [BitDefender Scan Server] - "C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service
O23 - Service: [Bonjour Service] - "C:\Program Files\Bonjour\mDNSResponder.exe"
O23 - Service: [Boonty Games] - "C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe"
O23 - Service: [ClipBook] - %SystemRoot%\system32\clipsrv.exe
O23 - Service: [.NET Runtime Optimization Service v2.0.50727_X86] - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: [COM+ System Application] - C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
O23 - Service: [Eset HTTP Server] - "C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe"
O23 - Service: [Eset Service] - "C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe"
O23 - Service: [FLEXnet Licensing Service] - "C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe"
O23 - Service: [IMAPI CD-Burning COM Service] -
O23 - Service: [iPod Service] - "C:\Program Files\iPod\bin\iPodService.exe"
O23 - Service: [NetMeeting Remote Desktop Sharing] - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\system32\msdtc.exe
O23 - Service: [NMIndexingService] - "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe"
O23 - Service: [Office Source Engine] - "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE"
O23 - Service: [Remote Desktop Help Session Manager] - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: [Remote Procedure Call (RPC) Locator] - %SystemRoot%\system32\locator.exe
O23 - Service: [QoS RSVP] - %SystemRoot%\system32\rsvp.exe
O23 - Service: [Print Spooler] - %SystemRoot%\system32\spoolsv.exe
O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\system32\dllhost.exe /Processid:{3637F69E-F4CF-40BD-BB64-EA8D9F9B4D6C}
O23 - Service: [Performance Logs and Alerts] - %SystemRoot%\system32\smlogsvc.exe
O23 - Service: [Telnet] - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: [Uninterruptible Power Supply] - %SystemRoot%\System32\ups.exe
O23 - Service: [Service Messenger Sharing Folders USN Journal Reader] - "C:\Program Files\Windows Live\Messenger\usnsvc.exe"
O23 - Service: [Volume Shadow Copy] - %SystemRoot%\System32\vssvc.exe
O23 - Service: [Windows Live Setup Service] - "C:\Program Files\Windows Live\installer\WLSetupSvc.exe"
O23 - Service: [WMI Performance Adapter] - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: [Service Partage réseau du Lecteur Windows Media] - "C:\Program Files\Windows Media Player\WMPNetwk.exe"
donc voici le cleanX-II fait deux fois et voici le deuxieme rapport:
####################################################################
Brontok Worm Removal Tool - (Version - 06.09.17B)
by sUBs
#######################################################################
Current date: Sat 10/18/2008 Current time: 21:21:10.20
=== PRE RUN ANALYSIS ===================================
=== POST RUN ANALYSIS ==================================
NOTE
The post-run analysis portion should be empty. If it's not, reboot and run the tool a second time.
21:23:07.21
======================================================
et voici le pca car hijack marche toujours pas "invalide win32 application"
# PCA Sécurité V 1.2.11, (fichier LOG).
# Rapport du :10/18/2008 9:26:27 PM
Microsoft Windows XP Service Pack 2
==>> Processus <==
\SystemRoot\System32\smss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\hurbainharder\Desktop\pca.exe
//pages de démarrage et de recherche d'Internet Explorer
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.msn.com/fr-fr/?ocid=iehp
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.com/?gws_rd=ssl
RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Links
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
//applications lancées depuis system.ini,win.ini
//03 - Browser Helper Objects (BHOs)
02 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
02 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
02 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
02 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
02 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
02 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
02 - BHO: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
02 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
02 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar : PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar : VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O3 - Toolbar : Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar : Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
//04 - applications chargées automatiquement
04 - HKLM\..\RUN: [ATICCC] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKLM\..\RUN: [DLA] - C:\WINDOWS\System32\DLA\DLACTRLW.EXE
04 - HKLM\..\RUN: [UltraMon] - "C:\Program Files\UltraMon\UltraMon.exe" /auto
04 - HKLM\..\RUN: [SbUsb AudCtrl] - RunDll32 sbusbdll.dll,RCMonitor
04 - HKLM\..\RUN: [SunJavaUpdateSched] - "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
04 - HKLM\..\RUN: [UserFaultCheck] -
04 - HKLM\..\RUN: [Adobe Reader Speed Launcher] - "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
04 - HKLM\..\RUN: [Acrobat Assistant 8.0] - "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
04 - HKLM\..\RUN: [] -
04 - HKLM\..\RUN: [Adobe_ID0EYTHM] - C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
04 - HKLM\..\RUN: [QuickTime Task] - "C:\Program Files\QuickTime\QTTask.exe" -atboottime
04 - HKLM\..\RUN: [iTunesHelper] - "C:\Program Files\iTunes\iTunesHelper.exe"
04 - HKLM\..\RUN: [Launch Ai Booster] - "C:\Program Files\ASUS\Ai Booster\OverClk.exe"
04 - HKLM\..\RUN: [egui] - "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
04 - HKLM\..\RUN: [KernelFaultCheck] -
04 - HKCU\..\RUN: [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
04 - HKCU\..\RUN: [MsnMsgr] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKCU\..\RUN: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
04 - HKCU\..\RUN: [ccleaner] - "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
04 - HKCU\..\RUN: [Tok-Cirrhatus-3675] - "C:\Documents and Settings\hurbainharder\Local Settings\Application Data\smss.exe"
04 - HKUS\S-1-5-18\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-18\..\RUN: [Tok-Cirrhatus] - C:\WINDOWS\System32\DLA\DLACTRLW.EXE
04 - HKUS\S-1-5-18\..\RUN: [Tok-Cirrhatus-1860] - "C:\Program Files\UltraMon\UltraMon.exe" /auto
04 - HKUS\S-1-5-19\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-20\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [MsnMsgr] - C:\WINDOWS\System32\DLA\DLACTRLW.EXE
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files\UltraMon\UltraMon.exe" /auto
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [ccleaner] - RunDll32 sbusbdll.dll,RCMonitor
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [Tok-Cirrhatus-3675] - "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
04 - Global Startup: Adobe Acrobat Speed Launcher.lnk= C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Acrobat Speed Launcher.lnk
04 - Global Startup: Adobe Acrobat Synchronizer.lnk= C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Acrobat Synchronizer.lnk
04 - Startup: Adobe Gamma.lnk= C:\Documents and Settings\hurbainharder\Start Menu\Programs\Startup\Adobe Gamma.lnk
//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini)
//06- interdiction à l' accès au options (Internet Explorer)
06 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel: Homepage
//07 - blocage de l'exécution de Regedit
//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
08 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
08 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
08 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
08 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
08 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
08 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
08 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
08 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
08 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
//09 - boutons situés sur la barre d'outils principale d'Internet Explorer
09 - Extra button: - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
09 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
09 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
09 - Extra 'Tools' menuitem: - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
09 - Extra button: - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
09 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
//O10 - Pirates de Winsock
O10 - fichier inconnu - winsock lsp : mdnsNSP - C:\Program Files\Bonjour\mdnsNSP.dll
//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer)
O11 - Options group: [INTERNATIONAL] - International*
//O12 - IE plugins
//013 : DefaultPrefix
//014 - Option : (Rétablir les paramètres Web)
//015 - Zone de confiance d'Internet Explorer
//O16 - Objets ActiveX
O16 - DPF : - {17492023-C23A-453E-A040-C7C580BBF700} -
O16 - DPF : - {3234504D-0000-0010-8000-00AA00389B71} -
O16 - DPF : Windows Live Safety Center Base Module - {5ED80217-570B-4DA9-BF44-BE107C0EC166} - C:\WINDOWS\Downloaded Program Files\wlscBase.dll
O16 - DPF : HouseCall Control - {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - C:\WINDOWS\DOWNLO~1\xscan53.ocx
O16 - DPF : Shockwave Flash Object - {D27CDB6E-AE6D-11CF-96B8-444553540000} - C:\WINDOWS\system32\Macromed\Flash\Flash9e.ocx
//O17 - piratage de domaine Lop.com
//O18 - protocoles additionnels
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
//O19 - feuille de style de l'utilisateur
//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
//O21 - ShellServiceObjectDelayLoad
//O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
//O23 - services de XP,NT, 2000, et 2003
O23 - Service: [Adobe LM Service] - "C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"
O23 - Service: [Adobe Version Cue CS3] - "C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service
O23 - Service: [Application Layer Gateway Service] - %SystemRoot%\System32\alg.exe
O23 - Service: [Apple Mobile Device] - "C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
O23 - Service: [ASP.NET State Service] - %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: [] - %SystemRoot%\system32\Ati2evxx.exe
O23 - Service: [ATI Smart] - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: [BitDefender Scan Server] - "C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service
O23 - Service: [Bonjour Service] - "C:\Program Files\Bonjour\mDNSResponder.exe"
O23 - Service: [Boonty Games] - "C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe"
O23 - Service: [ClipBook] - %SystemRoot%\system32\clipsrv.exe
O23 - Service: [.NET Runtime Optimization Service v2.0.50727_X86] - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: [COM+ System Application] - C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
O23 - Service: [Eset HTTP Server] - "C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe"
O23 - Service: [Eset Service] - "C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe"
O23 - Service: [FLEXnet Licensing Service] - "C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe"
O23 - Service: [IMAPI CD-Burning COM Service] -
O23 - Service: [iPod Service] - "C:\Program Files\iPod\bin\iPodService.exe"
O23 - Service: [NetMeeting Remote Desktop Sharing] - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\system32\msdtc.exe
O23 - Service: [NMIndexingService] - "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe"
O23 - Service: [Office Source Engine] - "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE"
O23 - Service: [Remote Desktop Help Session Manager] - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: [Remote Procedure Call (RPC) Locator] - %SystemRoot%\system32\locator.exe
O23 - Service: [QoS RSVP] - %SystemRoot%\system32\rsvp.exe
O23 - Service: [Print Spooler] - %SystemRoot%\system32\spoolsv.exe
O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\system32\dllhost.exe /Processid:{3637F69E-F4CF-40BD-BB64-EA8D9F9B4D6C}
O23 - Service: [Performance Logs and Alerts] - %SystemRoot%\system32\smlogsvc.exe
O23 - Service: [Telnet] - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: [Uninterruptible Power Supply] - %SystemRoot%\System32\ups.exe
O23 - Service: [Service Messenger Sharing Folders USN Journal Reader] - "C:\Program Files\Windows Live\Messenger\usnsvc.exe"
O23 - Service: [Volume Shadow Copy] - %SystemRoot%\System32\vssvc.exe
O23 - Service: [Windows Live Setup Service] - "C:\Program Files\Windows Live\installer\WLSetupSvc.exe"
O23 - Service: [WMI Performance Adapter] - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: [Service Partage réseau du Lecteur Windows Media] - "C:\Program Files\Windows Media Player\WMPNetwk.exe"
####################################################################
Brontok Worm Removal Tool - (Version - 06.09.17B)
by sUBs
#######################################################################
Current date: Sat 10/18/2008 Current time: 21:21:10.20
=== PRE RUN ANALYSIS ===================================
=== POST RUN ANALYSIS ==================================
NOTE
The post-run analysis portion should be empty. If it's not, reboot and run the tool a second time.
21:23:07.21
======================================================
et voici le pca car hijack marche toujours pas "invalide win32 application"
# PCA Sécurité V 1.2.11, (fichier LOG).
# Rapport du :10/18/2008 9:26:27 PM
Microsoft Windows XP Service Pack 2
==>> Processus <==
\SystemRoot\System32\smss.exe
\??\C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\hurbainharder\Desktop\pca.exe
//pages de démarrage et de recherche d'Internet Explorer
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.msn.com/fr-fr/?ocid=iehp
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.com/?gws_rd=ssl
RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Links
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
//applications lancées depuis system.ini,win.ini
//03 - Browser Helper Objects (BHOs)
02 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
02 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
02 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
02 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
02 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
02 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
02 - BHO: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
02 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
02 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar : PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar : VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O3 - Toolbar : Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar : Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
//04 - applications chargées automatiquement
04 - HKLM\..\RUN: [ATICCC] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKLM\..\RUN: [DLA] - C:\WINDOWS\System32\DLA\DLACTRLW.EXE
04 - HKLM\..\RUN: [UltraMon] - "C:\Program Files\UltraMon\UltraMon.exe" /auto
04 - HKLM\..\RUN: [SbUsb AudCtrl] - RunDll32 sbusbdll.dll,RCMonitor
04 - HKLM\..\RUN: [SunJavaUpdateSched] - "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
04 - HKLM\..\RUN: [UserFaultCheck] -
04 - HKLM\..\RUN: [Adobe Reader Speed Launcher] - "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
04 - HKLM\..\RUN: [Acrobat Assistant 8.0] - "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
04 - HKLM\..\RUN: [] -
04 - HKLM\..\RUN: [Adobe_ID0EYTHM] - C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
04 - HKLM\..\RUN: [QuickTime Task] - "C:\Program Files\QuickTime\QTTask.exe" -atboottime
04 - HKLM\..\RUN: [iTunesHelper] - "C:\Program Files\iTunes\iTunesHelper.exe"
04 - HKLM\..\RUN: [Launch Ai Booster] - "C:\Program Files\ASUS\Ai Booster\OverClk.exe"
04 - HKLM\..\RUN: [egui] - "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
04 - HKLM\..\RUN: [KernelFaultCheck] -
04 - HKCU\..\RUN: [CTFMON.EXE] - C:\WINDOWS\system32\ctfmon.exe
04 - HKCU\..\RUN: [MsnMsgr] - "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
04 - HKCU\..\RUN: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
04 - HKCU\..\RUN: [ccleaner] - "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
04 - HKCU\..\RUN: [Tok-Cirrhatus-3675] - "C:\Documents and Settings\hurbainharder\Local Settings\Application Data\smss.exe"
04 - HKUS\S-1-5-18\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-18\..\RUN: [Tok-Cirrhatus] - C:\WINDOWS\System32\DLA\DLACTRLW.EXE
04 - HKUS\S-1-5-18\..\RUN: [Tok-Cirrhatus-1860] - "C:\Program Files\UltraMon\UltraMon.exe" /auto
04 - HKUS\S-1-5-19\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-20\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [CTFMON.EXE] - "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [MsnMsgr] - C:\WINDOWS\System32\DLA\DLACTRLW.EXE
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files\UltraMon\UltraMon.exe" /auto
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [ccleaner] - RunDll32 sbusbdll.dll,RCMonitor
04 - HKUS\S-1-5-21-73586283-963894560-1801674531-1003\..\RUN: [Tok-Cirrhatus-3675] - "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
04 - Global Startup: Adobe Acrobat Speed Launcher.lnk= C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Acrobat Speed Launcher.lnk
04 - Global Startup: Adobe Acrobat Synchronizer.lnk= C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Acrobat Synchronizer.lnk
04 - Startup: Adobe Gamma.lnk= C:\Documents and Settings\hurbainharder\Start Menu\Programs\Startup\Adobe Gamma.lnk
//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini)
//06- interdiction à l' accès au options (Internet Explorer)
06 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel: Homepage
//07 - blocage de l'exécution de Regedit
//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
08 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
08 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
08 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
08 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
08 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
08 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
08 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
08 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
08 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
//09 - boutons situés sur la barre d'outils principale d'Internet Explorer
09 - Extra button: - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
09 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
09 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
09 - Extra 'Tools' menuitem: - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
09 - Extra button: - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
09 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
09 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
//O10 - Pirates de Winsock
O10 - fichier inconnu - winsock lsp : mdnsNSP - C:\Program Files\Bonjour\mdnsNSP.dll
//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer)
O11 - Options group: [INTERNATIONAL] - International*
//O12 - IE plugins
//013 : DefaultPrefix
//014 - Option : (Rétablir les paramètres Web)
//015 - Zone de confiance d'Internet Explorer
//O16 - Objets ActiveX
O16 - DPF : - {17492023-C23A-453E-A040-C7C580BBF700} -
O16 - DPF : - {3234504D-0000-0010-8000-00AA00389B71} -
O16 - DPF : Windows Live Safety Center Base Module - {5ED80217-570B-4DA9-BF44-BE107C0EC166} - C:\WINDOWS\Downloaded Program Files\wlscBase.dll
O16 - DPF : HouseCall Control - {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - C:\WINDOWS\DOWNLO~1\xscan53.ocx
O16 - DPF : Shockwave Flash Object - {D27CDB6E-AE6D-11CF-96B8-444553540000} - C:\WINDOWS\system32\Macromed\Flash\Flash9e.ocx
//O17 - piratage de domaine Lop.com
//O18 - protocoles additionnels
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
//O19 - feuille de style de l'utilisateur
//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
//O21 - ShellServiceObjectDelayLoad
//O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
//O23 - services de XP,NT, 2000, et 2003
O23 - Service: [Adobe LM Service] - "C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"
O23 - Service: [Adobe Version Cue CS3] - "C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service
O23 - Service: [Application Layer Gateway Service] - %SystemRoot%\System32\alg.exe
O23 - Service: [Apple Mobile Device] - "C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
O23 - Service: [ASP.NET State Service] - %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: [] - %SystemRoot%\system32\Ati2evxx.exe
O23 - Service: [ATI Smart] - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: [BitDefender Scan Server] - "C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service
O23 - Service: [Bonjour Service] - "C:\Program Files\Bonjour\mDNSResponder.exe"
O23 - Service: [Boonty Games] - "C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe"
O23 - Service: [ClipBook] - %SystemRoot%\system32\clipsrv.exe
O23 - Service: [.NET Runtime Optimization Service v2.0.50727_X86] - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: [COM+ System Application] - C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
O23 - Service: [Eset HTTP Server] - "C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe"
O23 - Service: [Eset Service] - "C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe"
O23 - Service: [FLEXnet Licensing Service] - "C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe"
O23 - Service: [IMAPI CD-Burning COM Service] -
O23 - Service: [iPod Service] - "C:\Program Files\iPod\bin\iPodService.exe"
O23 - Service: [NetMeeting Remote Desktop Sharing] - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\system32\msdtc.exe
O23 - Service: [NMIndexingService] - "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe"
O23 - Service: [Office Source Engine] - "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE"
O23 - Service: [Remote Desktop Help Session Manager] - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: [Remote Procedure Call (RPC) Locator] - %SystemRoot%\system32\locator.exe
O23 - Service: [QoS RSVP] - %SystemRoot%\system32\rsvp.exe
O23 - Service: [Print Spooler] - %SystemRoot%\system32\spoolsv.exe
O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\system32\dllhost.exe /Processid:{3637F69E-F4CF-40BD-BB64-EA8D9F9B4D6C}
O23 - Service: [Performance Logs and Alerts] - %SystemRoot%\system32\smlogsvc.exe
O23 - Service: [Telnet] - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: [Uninterruptible Power Supply] - %SystemRoot%\System32\ups.exe
O23 - Service: [Service Messenger Sharing Folders USN Journal Reader] - "C:\Program Files\Windows Live\Messenger\usnsvc.exe"
O23 - Service: [Volume Shadow Copy] - %SystemRoot%\System32\vssvc.exe
O23 - Service: [Windows Live Setup Service] - "C:\Program Files\Windows Live\installer\WLSetupSvc.exe"
O23 - Service: [WMI Performance Adapter] - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: [Service Partage réseau du Lecteur Windows Media] - "C:\Program Files\Windows Media Player\WMPNetwk.exe"
en redemarant en mode sans echec le pc reboot j ai essayer plusieur fois mais ca reboot sans cesse.
que faire??
que faire??
de plus enralumant en mode normal message de windows ::
VAlerte virus : Microsoft a détecté le virus WinNT / Bagle.gen sur votre ordinateur.
VAlerte virus : Microsoft a détecté le virus WinNT / Bagle.gen sur votre ordinateur.
je suis en train d enlever mon dernier ckrack mais pour l instaznt mais combo fix me dit toujours apllication win32 non valid qur faire ??
j ai la desinstalation de ADOBE CS3 design prenium( instalé avec crack) qui j ai l impression est blocké ca fait plus de 6 h quil tourne est progresse pas depuis 3h il est toujours a 9.3% de la desintalation.
Que faire,? attendre encore un peux?
Que faire,? attendre encore un peux?
j ai essayer deux fois le processus findy kill il me dit fichier manquand avez vous bien dezipper??
quefaire??
quefaire??
premier partie du post
----------------- FindyKill V4.005 ------------------
* User : hurbainharder - STICK-8D24848FE
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 19/10/08 par Chiquitine29
* Recherche effectuée à 19:45:31 le Sun 10/19/2008
* Windows XP - Internet Explorer 7.0.5730.13
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\hurbainharder\Desktop\aswclnr.exe
C:\Documents and Settings\hurbainharder\Desktop\aswclnr.tmp
C:\Documents and Settings\hurbainharder\Application Data\m\flec006.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\hurbainharder\Desktop\pca.exe
--------------- [ Processus infectieux stoppés ] ----------------
"C:\WINDOWS\system32\drivers\hldrrr.exe" (1104)
"C:\Documents and Settings\hurbainharder\Application Data\m\flec006.exe" (3792)
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
Present ! - C:\WINDOWS\prefetch\113546.EXE-07F02BD1.pf
Present ! - C:\WINDOWS\prefetch\118375.EXE-1D6F6A05.pf
Present ! - C:\WINDOWS\prefetch\1219625.EXE-32CA859B.pf
Present ! - C:\WINDOWS\prefetch\122984.EXE-00980E53.pf
Present ! - C:\WINDOWS\prefetch\126062.EXE-2D24D1CD.pf
Present ! - C:\WINDOWS\prefetch\134453.EXE-298F9548.pf
Present ! - C:\WINDOWS\prefetch\138484.EXE-0D880CFF.pf
Present ! - C:\WINDOWS\prefetch\140078.EXE-12F1817A.pf
Present ! - C:\WINDOWS\prefetch\140343.EXE-2B9D558F.pf
Present ! - C:\WINDOWS\prefetch\144921.EXE-09B36850.pf
Present ! - C:\WINDOWS\prefetch\145390.EXE-2631A7E7.pf
Present ! - C:\WINDOWS\prefetch\149203.EXE-10F4BA3F.pf
Present ! - C:\WINDOWS\prefetch\150046.EXE-0DA10BB3.pf
Present ! - C:\WINDOWS\prefetch\152203.EXE-311037E1.pf
Present ! - C:\WINDOWS\prefetch\152328.EXE-0E335B79.pf
Present ! - C:\WINDOWS\prefetch\153593.EXE-3053EB53.pf
Present ! - C:\WINDOWS\prefetch\156437.EXE-078EE2BB.pf
Present ! - C:\WINDOWS\prefetch\167187.EXE-1FA27F39.pf
Present ! - C:\WINDOWS\prefetch\168156.EXE-2E03D8C7.pf
Present ! - C:\WINDOWS\prefetch\171546.EXE-09D01106.pf
Present ! - C:\WINDOWS\prefetch\176921.EXE-2D923463.pf
Present ! - C:\WINDOWS\prefetch\177906.EXE-38AF6C20.pf
Present ! - C:\WINDOWS\prefetch\184046.EXE-26B2A677.pf
Present ! - C:\WINDOWS\prefetch\1874656.EXE-310E0578.pf
Present ! - C:\WINDOWS\prefetch\190640.EXE-26B53AB7.pf
Present ! - C:\WINDOWS\prefetch\199171.EXE-01DB73D1.pf
Present ! - C:\WINDOWS\prefetch\224796.EXE-2C5D6ECA.pf
Present ! - C:\WINDOWS\prefetch\226296.EXE-190C587A.pf
Present ! - C:\WINDOWS\prefetch\2476453.EXE-0159A3C4.pf
Present ! - C:\WINDOWS\prefetch\275375.EXE-1A51C7E9.pf
Present ! - C:\WINDOWS\prefetch\279656.EXE-35038053.pf
Present ! - C:\WINDOWS\prefetch\285593.EXE-11ABDD2B.pf
Present ! - C:\WINDOWS\prefetch\287296.EXE-11CAF356.pf
Present ! - C:\WINDOWS\prefetch\333078.EXE-31753BF5.pf
Present ! - C:\WINDOWS\prefetch\336265.EXE-0B65419D.pf
Present ! - C:\WINDOWS\prefetch\343484.EXE-0E2F71B5.pf
Present ! - C:\WINDOWS\prefetch\347625.EXE-263D4ADE.pf
Present ! - C:\WINDOWS\prefetch\98406.EXE-02D9026A.pf
Present ! - C:\WINDOWS\prefetch\FLEC006.EXE-28EEE9F7.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-23B13664.pf
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf
»»»» Presence des fichiers dans C:\WINDOWS\system32
Présent ! - C:\WINDOWS\system32\mdelk.exe
Présent ! - C:\WINDOWS\system32\wintems.exe
Présent ! - C:\WINDOWS\system32\ban_list.txt
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Présent ! - C:\WINDOWS\system32\drivers\mdelk.exe
Présent ! - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - "C:\WINDOWS\system32\drivers\downld"
Present ! - C:\WINDOWS\system32\drivers\downld\114000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\115500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\116640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\121000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\121250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1246890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\125250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1264750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\128000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\131390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\135140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\137640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\141000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\141640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\145390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14757750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14799000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14819890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1496750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\152390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\153640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\154250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\158890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\164750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\168640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\169500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\171000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\174250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\178390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\178750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\181250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\185000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\187750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\189250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\190640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\191750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\191890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\192250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\200140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\204390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\209500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\211390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\214640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\215000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\221000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\223750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\227000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\228000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\2289750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\230500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\234750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\239000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\243000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\2478140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\248750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\249250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\258750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\2597250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\267250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\270250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\275890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\276000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\277140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\277250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\2792000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\2811890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\2881140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\288640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29345000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29441750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\305140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\324750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\334500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\342390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\349390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\354640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\355640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\362890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\365640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\420250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44067500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44091250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44167390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44320140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44347640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\630140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\639250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\654640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\656000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\665250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\666250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\674250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\703640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\74015750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\784750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\80890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\830250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\840890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\856890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\859250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\958000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\108531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\117031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\122421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\122671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\124031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1242421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1289281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\130171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\132171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1326031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\136281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1375921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\144921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14657781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14701421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14773281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14846781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14856171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14858031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\148671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14944281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\151421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\151531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\153171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\153281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\157671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\158671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\159531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\159671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\160531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\163531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\166671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\169781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\174531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\176671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\176921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\177031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\185031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\186031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\188781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1907421.exe
----------------- FindyKill V4.005 ------------------
* User : hurbainharder - STICK-8D24848FE
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 19/10/08 par Chiquitine29
* Recherche effectuée à 19:45:31 le Sun 10/19/2008
* Windows XP - Internet Explorer 7.0.5730.13
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\hurbainharder\Desktop\aswclnr.exe
C:\Documents and Settings\hurbainharder\Desktop\aswclnr.tmp
C:\Documents and Settings\hurbainharder\Application Data\m\flec006.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\hurbainharder\Desktop\pca.exe
--------------- [ Processus infectieux stoppés ] ----------------
"C:\WINDOWS\system32\drivers\hldrrr.exe" (1104)
"C:\Documents and Settings\hurbainharder\Application Data\m\flec006.exe" (3792)
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
Present ! - C:\WINDOWS\prefetch\113546.EXE-07F02BD1.pf
Present ! - C:\WINDOWS\prefetch\118375.EXE-1D6F6A05.pf
Present ! - C:\WINDOWS\prefetch\1219625.EXE-32CA859B.pf
Present ! - C:\WINDOWS\prefetch\122984.EXE-00980E53.pf
Present ! - C:\WINDOWS\prefetch\126062.EXE-2D24D1CD.pf
Present ! - C:\WINDOWS\prefetch\134453.EXE-298F9548.pf
Present ! - C:\WINDOWS\prefetch\138484.EXE-0D880CFF.pf
Present ! - C:\WINDOWS\prefetch\140078.EXE-12F1817A.pf
Present ! - C:\WINDOWS\prefetch\140343.EXE-2B9D558F.pf
Present ! - C:\WINDOWS\prefetch\144921.EXE-09B36850.pf
Present ! - C:\WINDOWS\prefetch\145390.EXE-2631A7E7.pf
Present ! - C:\WINDOWS\prefetch\149203.EXE-10F4BA3F.pf
Present ! - C:\WINDOWS\prefetch\150046.EXE-0DA10BB3.pf
Present ! - C:\WINDOWS\prefetch\152203.EXE-311037E1.pf
Present ! - C:\WINDOWS\prefetch\152328.EXE-0E335B79.pf
Present ! - C:\WINDOWS\prefetch\153593.EXE-3053EB53.pf
Present ! - C:\WINDOWS\prefetch\156437.EXE-078EE2BB.pf
Present ! - C:\WINDOWS\prefetch\167187.EXE-1FA27F39.pf
Present ! - C:\WINDOWS\prefetch\168156.EXE-2E03D8C7.pf
Present ! - C:\WINDOWS\prefetch\171546.EXE-09D01106.pf
Present ! - C:\WINDOWS\prefetch\176921.EXE-2D923463.pf
Present ! - C:\WINDOWS\prefetch\177906.EXE-38AF6C20.pf
Present ! - C:\WINDOWS\prefetch\184046.EXE-26B2A677.pf
Present ! - C:\WINDOWS\prefetch\1874656.EXE-310E0578.pf
Present ! - C:\WINDOWS\prefetch\190640.EXE-26B53AB7.pf
Present ! - C:\WINDOWS\prefetch\199171.EXE-01DB73D1.pf
Present ! - C:\WINDOWS\prefetch\224796.EXE-2C5D6ECA.pf
Present ! - C:\WINDOWS\prefetch\226296.EXE-190C587A.pf
Present ! - C:\WINDOWS\prefetch\2476453.EXE-0159A3C4.pf
Present ! - C:\WINDOWS\prefetch\275375.EXE-1A51C7E9.pf
Present ! - C:\WINDOWS\prefetch\279656.EXE-35038053.pf
Present ! - C:\WINDOWS\prefetch\285593.EXE-11ABDD2B.pf
Present ! - C:\WINDOWS\prefetch\287296.EXE-11CAF356.pf
Present ! - C:\WINDOWS\prefetch\333078.EXE-31753BF5.pf
Present ! - C:\WINDOWS\prefetch\336265.EXE-0B65419D.pf
Present ! - C:\WINDOWS\prefetch\343484.EXE-0E2F71B5.pf
Present ! - C:\WINDOWS\prefetch\347625.EXE-263D4ADE.pf
Present ! - C:\WINDOWS\prefetch\98406.EXE-02D9026A.pf
Present ! - C:\WINDOWS\prefetch\FLEC006.EXE-28EEE9F7.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-23B13664.pf
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf
»»»» Presence des fichiers dans C:\WINDOWS\system32
Présent ! - C:\WINDOWS\system32\mdelk.exe
Présent ! - C:\WINDOWS\system32\wintems.exe
Présent ! - C:\WINDOWS\system32\ban_list.txt
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Présent ! - C:\WINDOWS\system32\drivers\mdelk.exe
Présent ! - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe
Présent ! - "C:\WINDOWS\system32\drivers\downld"
Present ! - C:\WINDOWS\system32\drivers\downld\114000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\115500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\116640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\121000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\121250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1246890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\125250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1264750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\128000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\131390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\135140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\137640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\141000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\141640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\145390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14757750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14799000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14819890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1496750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\152390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\153640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\154250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\158890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\164750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\168640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\169500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\171000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\174250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\178390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\178750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\181250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\185000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\187750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\189250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\190640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\191750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\191890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\192250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\200140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\204390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\209500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\211390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\214640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\215000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\221000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\223750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\227000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\228000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\2289750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\230500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\234750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\239000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\243000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\2478140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\248750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\249250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\258750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\2597250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\267250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\270250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\275890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\276000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\277140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\277250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\2792000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\2811890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\2881140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\288640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29345000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\29441750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\305140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\324750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\334500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\342390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\349390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\354640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\355640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\362890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\365640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\420250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44067500.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44091250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44167390.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44320140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\44347640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\630140.exe
Present ! - C:\WINDOWS\system32\drivers\downld\639250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\654640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\656000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\665250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\666250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\674250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\703640.exe
Present ! - C:\WINDOWS\system32\drivers\downld\74015750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\784750.exe
Present ! - C:\WINDOWS\system32\drivers\downld\80890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\830250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\840890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\856890.exe
Present ! - C:\WINDOWS\system32\drivers\downld\859250.exe
Present ! - C:\WINDOWS\system32\drivers\downld\958000.exe
Present ! - C:\WINDOWS\system32\drivers\downld\108531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\117031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\122421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\122671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\124031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1242421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1289281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\130171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\132171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1326031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\136281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1375921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\144921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14657781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14701421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14773281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14846781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14856171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14858031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\148671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\14944281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\151421.exe
Present ! - C:\WINDOWS\system32\drivers\downld\151531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\153171.exe
Present ! - C:\WINDOWS\system32\drivers\downld\153281.exe
Present ! - C:\WINDOWS\system32\drivers\downld\157671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\158671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\159531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\159671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\160531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\163531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\166671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\169781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\174531.exe
Present ! - C:\WINDOWS\system32\drivers\downld\176671.exe
Present ! - C:\WINDOWS\system32\drivers\downld\176921.exe
Present ! - C:\WINDOWS\system32\drivers\downld\177031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\185031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\186031.exe
Present ! - C:\WINDOWS\system32\drivers\downld\188781.exe
Present ! - C:\WINDOWS\system32\drivers\downld\1907421.exe