Recherche :

16 utilisateurs inconnus

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : [RESOLU] virus

budul

bonjour voici mon souci.
Mon antivirus m'envois un message d'alerte d'un cheval de troie en tant que vundo et qu'il lui est impossible de le supprime.Ce message arrive au demarage de window et ensuite de tant en tant.J'ai lance la procedure de pre netoyage mais rien n'a change. Que faire merci d'avance.

Message édité par nerol95 le 18-11-2007 à 10:19:41

Jeroma

Quel antivirus ?
Quel Windows ?

---------------
[:jeroma:3]

Jeroma

budul

xp et antivirus mac cafee

budul

pardon mcafee et xp pro

laripette

Bouffon, paraît-il ....
Profil : Star interplanétaire

Bonjour,

Le lancement de la procédure de pré-nettoyage n'éradiquera pas par elle même les malfaisants :non: C'est après l'édition ici des 3 rapports demandés que les analyseurs du coin te proposeront des actions de nettoyage.
Ces 3 rapports leur permettra d'avoir des infos, c'est tout.

---------------
[:laripette]

---------------
laripette ? bof ... Sur moi, les avis divergent. Oui, je sais, pour Apollinaire c'était 11.000, pas dix ...

budul

voici mes 3 rapports.
07/11/2007 a 22:26:19,93

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
"C:\Documents and Settings\thierry\Application Data\ezpinst.exe" FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 21:55:02 07/11/2007

+ Résultat de l'analyse:

C:\WINDOWS\photos.zip/webcam_photos-2007-06.scr -> Backdoor.IRCBot.aaq : Nettoyé.
D:\programme\Cyberlink.PowerDVD.v7.0.1813.Multilangages.Incl-Crack.rar/Crack\keygen.exe -> Logger.Banker.ba : Nettoyé.
C:\Documents and Settings\thierry\Cookies\thierry@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\thierry\Cookies\thierry@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\thierry\Cookies\thierry@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
G:\Windows\System32\timerstop.sys -> Trojan.ActivCrk.b : Nettoyé.

Fin du rapport
Logfile of HijackThis v1.99.1
Scan saved at 22:20:31, on 07/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\anti-virus\SHSTAT.EXE
D:\Common Framework\UpdaterUI.exe
D:\e carte bleu\ECB.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
D:\anti spam\spamihilator\spamihilator.exe
C:\WINDOWS\Fonts\svchost.exe
D:\avg\AVG Anti-Spyware 7.5\avgas.exe
D:\voip buster\voipbuster\voipbuster.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\avg\AVG Anti-Spyware 7.5\guard.exe
D:\encyclopedie encarta\Microsoft Encarta 2007 - Études DVD\EDICT.EXE
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
D:\nikon\NkvMon.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
D:\Common Framework\FrameworkService.exe
D:\anti-virus\Mcshield.exe
D:\INCRED~1\bin\IMApp.exe
D:\anti-virus\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\hijackthis\aideonline.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/disp [...] tbid=66017
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66017
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_ [...] TbId=66017
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66017
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_ [...] TbId=66017
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C1DD717-53B2-485E-A17B-C9977C205E10} - C:\WINDOWS\system32\nnnkkli.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ShStatEXE] "D:\anti-virus\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "D:\e carte bleu\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Spamihilator] "D:\anti spam\spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\avg\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [IncrediMail] D:\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [VoipBuster] "D:\voip buster\voipbuster\voipbuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [L07FXLRD_2043515] "D:\encyclopedie encarta\Microsoft Encarta 2007 - Études DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkvMon.exe.lnk = D:\nikon\NkvMon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://D:\canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://D:\canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://D:\canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://D:\canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Wanadoo - http://chat9.x-echo.com/version6/Applet/wchatsign.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/14.21/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 4479500890
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - http://www.bobtv.fr/download/cfweb [...] module.exe
O16 - DPF: {EFFDEEEC-F9E1-4461-91D2-DAEB8CC595F1} (CSViewer Control) - http://lall.dyndns.org:81/CSViewer.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll
O20 - Winlogon Notify: nnnkkli - C:\WINDOWS\SYSTEM32\nnnkkli.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\avg\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - D:\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\anti-virus\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\anti-virus\VsTskMgr.exe
O23 - Service: Card Adapter (NETDown) - Unknown owner - C:\WINDOWS\smss.exe (file missing)

laripette

Bouffon, paraît-il ....
Profil : Star interplanétaire

Effectivement, HijackThis a débusqué certaines bestioles .... Mais je laisse à nos désinfecteurs émérites le soin de te proposer des actions.

Entre-temps, comme HijackThis relève que :

Aucun pare-feu actif n'a été trouvé sur votre système ou le pare-feu que vous utilisez nous est inconnu. Si vous n'utilisez pas de pare-feu vous devriez en télécharger un et l'installer ou activer celui de Windows XP.

Si c'est exact, conseils de l'ami synthexe :

Le pare-feu windows ne bloque QUE LES ENTREES, il ne bloque aucune sortie, ce qui fait que lorsque l'on est infecté, toutes les infos récupérées par les éditeurs de malwares peuvent sortir en douce sans que tu ne les aperçoives, ce qui n'est pas le cas des pare-feux suivants, qui bloquent les entrées ET les sorties.

Tu DOIS ABSOLUMENT installer un FIREWALL, en voila 4, gratuits et performants :
Tu as par exemple zone alarm, parefeu gratuit et performant :

Téléchargement de ZoneAlarm : http://www.zonealarm.com/store/con [...] y=&lang=fr
Tutorial de configuration : http://speedweb1.free.fr/frames2.php?page=tuto1

Tu as aussi Kerio Personnal Firewall très bon et gratuit aussi :

Téléchargement de Kerio : http://telechargement.zebulon.fr/license-1-82.html
Tutorial de configuration : http://www.vulgarisation-informatique.com/kerio.php

Jetico, que je n'ai pas testé mais dont j'ai eu de très bons échos :

Téléchargement de Jetico : http://www.jetico.com/download.htm
Tutorial de configuration : http://www.malekal.com/tutorial_JeticoFirewall.php

Outpost

Téléchargement d'Outpost : http://www.agnitum.com/products/ou [...] wnload.php
Tutorial de configuration : http://c.rosu.free.fr/Conf_outpost.htm

---------------
[:laripette]

---------------
laripette ? bof ... Sur moi, les avis divergent. Oui, je sais, pour Apollinaire c'était 11.000, pas dix ...

synthexe

Anti-Malware Power

Bonjour à tous :hello:

Citation :

D:\programme\Cyberlink.PowerDVD.v7.0.1813.Multilangages.Incl-Crack.rar/Crack\keygen.exe -> Logger.Banker.ba : Nettoyé.

Vive les cracks pourris !!!!! Attention à ce que tu télécharges !!!!!!!
/!\ ATTENTION /!\ Si tu fais des transactions en ligne, contacte ta banque pour changer tes accès, notemment ton mot de passe !! /!\ ATTENTION /!\

Effectivement, tu es encore bien infecté (des bots, du vundo, et des restes d'infection MSN), voila ce qu'on va faire :

Le disque G: est-il une partition de ton disque dur ? ou est-il un disque dur externe ? Tu as 2 systemes d'exploitation installé sur ta machine ?

Installe un FireWall comme te l'a indiqué Laripette.

Désinstalle par Ajout/Suppression de Programme, le programme suivant, si présent :
Crawler Toolbar

===========================

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

Redémarre ton ordinateur

Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Déroule la liste des instructions ci-dessous :

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y et Entrée pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

N.B.:
- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

===========================

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
Double-clique VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est complété, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

=========================

Télécharge MSNFix(de !aur3n7) sur ton bureau :
Décompresse-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
Exécute l'option R.
Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal.

Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

============================

Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître.
Choisis l'option 2 et appuie sur Entrée pour valider.
Copie/colle moi le rapport qui apparait dans ta prochaine réponse.

==========================

Poste les rapports demandés : SDFix, VundoFix, MSNFix, Clean option2 et un nouveau hijackthis.

Comment se comporte ta machine ? As-tu toujours des dysfonctionnements ?

Bonne journée

---------------
¤¤ Kaspersky WebScanner ¤¤¤¤¤¤¤ AVG AntiSpyware ¤¤
¤¤¤¤¤¤ CCleaner ¤¤¤¤¤¤

budul

tout d'abord merci pour ton aide.mon disque G est une partition de mon disque dur et j'ai bien 2 systeme sur ma machine.j'ai suivi tes instructions mais pas de changement toujours le meme message au demarage sur vundo voici les rapports demande.

SDFix: Version 1.114

Run by thierry on 11/11/2007 at 20:58

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
cmdService
Network Monitor

Path:
C:\WINDOWS\YnVkdWw\command.exe
C:\Program Files\Network Monitor\netmon.exe service

cmdService - Deleted
Network Monitor - Deleted

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing SharedAccess Service
Resetting AppInit_DLLs value

Rebooting...

Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\YnVkdWw\asappsrv.dll - Deleted
C:\WINDOWS\YnVkdWw\command.exe - Deleted
C:\WINDOWS\YnVkdWw\sBp4xqT.vbs - Deleted
C:\X.DAT - Deleted
C:\Z.DAT - Deleted
C:\WINDOWS\FONTS\A.ZIP - Deleted
C:\WINDOWS\FONTS\'\00JJ99~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\101JUK~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\20YEAR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\20YEAR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\30DAYS~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\88MINU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\88MINU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\ABLETO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ABLETO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\ABLETO~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\ABSOLU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ABSOLU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\ABSOLU~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\ADOBEP~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ADOBEP~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\ADOBEP~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\AERIAL~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\AERIAL~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\AERIAL~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\ALANIS~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ALANIS~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\ALLDIT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ALLDIT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\APEXVI~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\APEXVI~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\APEXVI~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\APOCAL~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ASCIIG~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ASPECT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ASPECT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\ASPECT~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\AVGINT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\AVGINT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\AVGINT~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\AYREON~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BABYLO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BABYLO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\BABYLO~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\BACKST~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BACKST~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\BASSHU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BASSHU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\BASSHU~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\BATTLE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BATTLE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\BESTOF~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BESTOF~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\BITDEF~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BITDEF~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\BLADES~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BLOODA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BLOODA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\BLOODA~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\BRIDGE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BRIDGE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\BRIDGE~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\BRITNE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BRUCEA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BRUCES~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BUBBLE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\BUBBLE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\BUBBLE~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\CHMTOP~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\COLLEC~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\CONVER~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\CORELP~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\COUNTE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\COUNTE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\CRASHD~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\CRASHD~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\CSIMIA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\CSIMIA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\CULPAI~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\CULPAI~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\CULPAI~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\DAREDE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\DDFILE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\DDFILE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\DDFILE~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\DEADMA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\DEFQON~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\DELTAF~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\DELTAF~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\DELTAF~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\DISKEE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\DISKEE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\DJFINE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\DJFINE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\DJFINE~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\DOGMA(~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\DOGMA(~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\DOGMA(~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\DRYFT-~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\DRYFT-~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\EAAA47~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\EAAFFB~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\EAGLES~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\EAGLES~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\EAGLES~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\EAGLES~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\ELVISP~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\EVANAL~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\FANTAS~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\FANTAS~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\FANTAS~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\FIBABA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\FIBABA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\FIFA20~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\FIFA20~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\FIFA20~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\FIREDE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\FIREDE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\FIREDE~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\FIX-IT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\FR643D~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\FRACTU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\FRACTU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\FRACTU~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\FRANKZ~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\FRANKZ~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\FRANKZ~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\FRANKZ~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\FRAPSR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\FRAPSR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\FRAPSR~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\FREDDY~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\G-FORC~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\G-FORC~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\G-FORC~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\GANGBA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\GANGBA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\GOODLU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\GRIDIR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\GRIDIR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\GRIDIR~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\HALF-L~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\HALF-L~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\HALF-L~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\HALLOW~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\HATCHE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\HIDOWN~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\HIDOWN~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\HIDOWN~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\HIM-VE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\HOMEGR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\HOMEGR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\HOMEGR~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\HOTDOG~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\HOTDOG~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\HOTDOG~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\HOTFUZ~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\HOTFUZ~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\HOTFUZ~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\HUNTIN~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\HUNTIN~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\ILLEGA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ILLEGA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN0A90~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN0AB0~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN11OU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN11OU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN120B~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN121B~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN12OU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN12OU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN14OU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN14OU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN15OU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN15OU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN15OU~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN15OU~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN16OU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN16OU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN16OU~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN18OU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN18OU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN19OU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN19OU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN1OUT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN1OUT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN1OUT~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN1OUT~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN22OU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN22OU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN23OU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN25OU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN25OU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN2OUT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN2OUT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN2OUT~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN2OUT~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN39OU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN3OUT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN3OUT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN3OUT~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN3OUT~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN40OU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN40OU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN4OUT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN4OUT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN4OUT~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN4OUT~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN5OUT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN5OUT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN5OUT~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN5OUT~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN6OUT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN6OUT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN6OUT~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN6OUT~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN70B1~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN70D1~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN71D1~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN7OUT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN89A0~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN89F0~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN8OUT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN8OUT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN920B~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN921B~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN925B~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN92FA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN935B~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN9OUT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN9OUT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\IN9OUT~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\INDIAA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\INDIAA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\INF0C1~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\INF0E1~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\INF122~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\INTELO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\INTELO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\INTELO~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\INTENS~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\INTENS~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\INTENS~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\INTENS~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\ISCORE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ISCORE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\ISCORE~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\ISCORE~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\JACKED~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\JACKED~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\JIMMYE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\JIMMYE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\JIMMYE~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\JIMMYE~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\JOHNLE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\JOJO-B~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\KA1517~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\KA4F60~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\KA79BC~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\KA883D~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\KANYEW~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\KANYEW~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\KANYEW~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\KANYEW~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\KASPER~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\KASPER~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\KATIEM~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\KATIEM~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\KYLIEM~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\KYLIEM~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\LASTBI~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LASTBI~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\LASTBI~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\LAVASO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LAVASO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\LAVASO~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\LEGALA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LEGALA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\LEGALA~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\LI0144~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LI0859~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LI7FF6~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LI94F6~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIBD41~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIFESU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIFESU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIFESU~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIMEWI~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIMEWI~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIMEWI~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIMEWI~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIMOSE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIMOSE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIMOSE~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIVEFR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIVEFR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIVEFR~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\LIVEFR~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\LOKIHE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LOKIHE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\LOKIHE~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\LOVEHA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\LUCKYY~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MAE-TH~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MAE-TH~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\MARCDO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MARCDO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\MARCDO~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\MARVIN~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MARVIN~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\MEDALO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MEDALO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\MENINB~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MENINB~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\MICROS~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MICROS~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\MINIVA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MINIVA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\MONKEY~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MONKEY~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\MONKEY~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\MONKEY~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\MOTORO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MOUTH(~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MOUTH(~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\MP3PRO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MRBROO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MRBROO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\MRBROO~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\MRWOOD~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MUNICH~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MUNICH~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\MUNICH~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\MUNNAB~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MUNNAB~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\MUNNAB~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\MYSUPE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\MYSUPE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\MYSUPE~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\NANCYD~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\NANCYD~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\NATALI~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\NATALI~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\NATALI~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\NAUGHT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\NEEDFO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\NEEDFO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\NEEDFO~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\NINANA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\NORTON~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\NORTON~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\NORTON~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\OCEANS~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\OCEANS~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\OODEFR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\OODEFR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\PANORA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PANORA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\PANORA~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\PARIST~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PC0CAC~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PC706D~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PC8234~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PC9B03~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PCTOOL~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PCTOOL~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\PCTOOL~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\PCTOOL~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\PERFEC~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PERFEC~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\PINK-I~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PINK-I~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\PIRATE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PLACEB~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PLACEB~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\PLATOD~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PLATOD~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\PORTAB~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PRIVAT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PRO-AM~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PRO-AM~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\PRO-AM~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\PROEVO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\PROEVO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\QUICKB~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\QUICKB~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\R-STUD~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\R-STUD~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\R-STUD~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\RAPIDM~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\RAPIDM~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\RAPIDM~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\RAPIDS~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\RAPIDS~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\RAPIDS~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\RAPIDS~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\RE70B5~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\READYW~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\REGIST~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\REGIST~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\REGIST~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\REGIST~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\REVELA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\REVELA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\REVELA~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\RIHANN~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\RIHANN~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\ROBOTA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ROBOTA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\ROBOTA~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\RORYGA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\RUSHHO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SAGEFR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SAW4TS~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SCHILL~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SCHILL~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SCHOOL~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SCHOOL~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SCREAM~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SCREAM~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SELTEC~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SELTEC~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SELTEC~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\SEVEN-~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SEVEN-~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SHANGH~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SHANGH~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SHOOTE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SIXDAY~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SKINWA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SKINWA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SLYSOF~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SLYSOF~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SOFTWA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SOFTWA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SOFTWA~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\SONICR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SONICR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SPYWAR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SPYWAR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SPYWAR~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\STARTR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\STARTR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\STARWO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\STARWO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\STATUS~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\STATUS~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\STATUS~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\STEVIE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\STEVIE~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\STRANG~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\STRANG~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\STRANG~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\STRANG~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\STUNTG~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\STUNTG~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SUPERC~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SUPERC~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SUPERC~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\SURF'S~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SURF'S~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SWORDO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SWORDO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\SYSTEM~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\SYSTEM~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\TATU-2~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\TATU-2~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\TELEPO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\TELEPO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\TELEPO~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEBON~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEBOS~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEBOU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEBOU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEBRA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THECHR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THECHR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEEXO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEGIR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEGIR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEGIR~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEHIT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THELON~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THELOR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THELOR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEMAD~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEMAR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEMAR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEMAT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEMAT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\THESEV~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THESIM~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THESIM~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\THETEM~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THETEM~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEYEA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEYOU~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEYOU~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\THEYOU~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\THR3E(~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\THR3E(~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\TIGERW~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\TIGERW~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\TMNT(2~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\TMNT(2~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\TMNT(2~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\TOTALC~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\TOTALC~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\TOTALC~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\TOTALE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\TRANSF~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\TREMOR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\TREMOR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\TREMOR~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\TROY20~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ULTIMA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ULTIMA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\ULTIMA~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\ULTRAI~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ULTRAM~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ULTRAM~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\UNIVER~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\UNIVER~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\UNIVER~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\VA-IRE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\VA-SIX~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\VACANC~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\VISTAO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\VISTAO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\VISTAO~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\WEFUCK~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\WEFUCK~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\WHALET~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\WHALET~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\WHISPE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\WINAGE~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\WINDOW~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\WINDOW~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\WINDOW~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\WINPAT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\WINPAT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\WINRAR~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\WINRAR~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\WINRAR~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\WMRECO~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\WMRECO~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\WMRECO~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\WOMENS~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\WOMENS~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\WOMENS~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\WONDER~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\XZIBIT~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\XZIBIT~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\XZIBIT~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\XZIBIT~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\YAMICS~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\YINGYA~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\YINGYA~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\YOUTUB~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\YOUTUB~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\YOUTUB~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\ZEALLS~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ZONEAL~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ZONEAL~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\ZONEAL~3.ZIP - Deleted
C:\WINDOWS\FONTS\'\ZONEAL~4.ZIP - Deleted
C:\WINDOWS\FONTS\'\ZOOMMY~1.ZIP - Deleted
C:\WINDOWS\FONTS\'\ZOOMMY~2.ZIP - Deleted
C:\WINDOWS\FONTS\'\ZOOMMY~3.ZIP - Deleted
C:\Program Files\Network Monitor\netmon.exe - Deleted
C:\DOCUME~1\thierry\LOCALS~1\Temp\cmdinst.exe - Deleted
C:\n.bat - Deleted
C:\a.exe - Deleted
C:\winlogon.exe - Deleted
C:\WINDOWS\Fonts\Crack.exe - Deleted
C:\WINDOWS\Fonts\svchost.exe - Deleted
C:\WINDOWS\system32\atmtd.dll - Deleted
C:\WINDOWS\system32\atmtd.dll._ - Deleted
C:\WINDOWS\system32\ldcore.dll - Deleted
C:\WINDOWS\system32\ldinfo.ldr - Deleted
C:\WINDOWS\uninstall_nmon.vbs - Deleted

Folder C:\Program Files\Network Monitor - Removed
Folder C:\WINDOWS\Fonts\' - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-11 21:05:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sun 27 Nov 2005 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 6 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!

VundoFix V6.5.11

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Scan started at 21:19:42 11/11/2007

Listing files found while scanning....

No infected files were found.

Beginning removal...

MSNFix 1.574

C:\Documents and Settings\thierry\Bureau\MSNFix
Fix exécuté le 11/11/2007 - 21:23:14,14 By thierry
mode normal

************************ Recherche les fichiers présents

Aucun Fichier trouvé

************************ Recherche les dossiers présents

... C:\Temp\

************************ Suppression des fichiers

************************ Suppression des dossiers

.. OK ... C:\Temp\

************************ Nettoyage du registre

************************ Fichiers suspects

Aucun Fichier trouvé

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 11112007_21241851.zip

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 11/11/2007 a 21:33:58,10

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 11/11/2007 a 21:33:58,10

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 11/11/2007 a 21:33:58,10

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

Logfile of HijackThis v1.99.1
Scan saved at 21:40:20, on 11/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\anti-virus\SHSTAT.EXE
D:\Common Framework\UpdaterUI.exe
D:\e carte bleu\ECB.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\anti spam\spamihilator\spamihilator.exe
D:\avg\AVG Anti-Spyware 7.5\avgas.exe
D:\voip buster\voipbuster\voipbuster.exe
D:\avg\AVG Anti-Spyware 7.5\guard.exe
D:\encyclopedie encarta\Microsoft Encarta 2007 - Études DVD\EDICT.EXE
D:\Common Framework\FrameworkService.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
D:\anti-virus\Mcshield.exe
D:\anti-virus\VsTskMgr.exe
D:\nikon\NkvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
D:\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\svchost.exe
D:\hijackthis\aideonline.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66017
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_ [...] TbId=66017
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C1DD717-53B2-485E-A17B-C9977C205E10} - C:\WINDOWS\system32\nnnkkli.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ShStatEXE] "D:\anti-virus\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "D:\e carte bleu\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Spamihilator] "D:\anti spam\spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\avg\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [IncrediMail] D:\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [VoipBuster] "D:\voip buster\voipbuster\voipbuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [L07FXLRD_2043515] "D:\encyclopedie encarta\Microsoft Encarta 2007 - Études DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkvMon.exe.lnk = D:\nikon\NkvMon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://D:\canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://D:\canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://D:\canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://D:\canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Wanadoo - http://chat9.x-echo.com/version6/Applet/wchatsign.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/14.21/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 4479500890
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - http://www.bobtv.fr/download/cfweb [...] module.exe
O16 - DPF: {EFFDEEEC-F9E1-4461-91D2-DAEB8CC595F1} (CSViewer Control) - http://lall.dyndns.org:81/CSViewer.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: nnnkkli - C:\WINDOWS\SYSTEM32\nnnkkli.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\avg\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - D:\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\anti-virus\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\anti-virus\VsTskMgr.exe

budul

juste une precision virus scan me donne les noms suivant pour vundo: CAY34963 et pmkhf.dll

synthexe

Anti-Malware Power

Bonjour :hello:

Bon boulot, il reste du vundo, voila ce qu'on va faire :

Désactive ton antivirus et tous les résidents en mémoire (AVG-AS, McAffee), le temps de faire les manipulations suivantes :

Télécharge combofix.exe (par sUBs) sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse, accompagné d'un nouveau hijackthis.

Bonne journée

---------------
¤¤ Kaspersky WebScanner ¤¤¤¤¤¤¤ AVG AntiSpyware ¤¤
¤¤¤¤¤¤ CCleaner ¤¤¤¤¤¤

budul

bonsoir :hello:

je viens d'effectuer combofixe et un nouveau hijackthis et voici les rapports. A noter que j'ai execute 2 fois combofixe car la 1ere j'avais pas desactive l'antivirus. Depuis et cela me semble tres interressant plus de message de viruscan sur un certain cheval de troie.Tout serait t'il resolu ?

ComboFix 07-11-08.1 - thierry 2007-11-12 19:33:33.6 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.667 [GMT 1:00]
Running from: C:\Documents and Settings\thierry\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-10-12 to 2007-11-12 ))))))))))))))))))))))))))))))))))))
.

2007-11-11 22:11 <REP> d-------- C:\Program Files\MSXML 6.0
2007-11-11 22:07 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2007-11-11 22:07 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2007-11-11 22:07 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2007-11-11 22:05 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-11-11 21:44 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-11-11 21:19 <REP> d-------- C:\VundoFix Backups
2007-11-11 20:58 <REP> d-------- C:\WINDOWS\ERUNT
2007-11-11 20:33 <REP> d-------- C:\WINDOWS\YnVkdWw
2007-11-11 10:00 36,352 --a------ C:\WINDOWS\system32\nnnnkki.dll
2007-11-10 18:15 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-10 11:03 36,352 --a------ C:\WINDOWS\system32\pmnlmmm.dll
2007-11-09 08:18 518,862 --a------ C:\Documents and Settings\thierry\z.dat
2007-11-09 08:18 35,328 --a------ C:\WINDOWS\system32\ssqpmlm.dll
2007-11-09 08:18 4,874 --a------ C:\Documents and Settings\thierry\x.dat
2007-11-08 00:06 35,328 --a------ C:\WINDOWS\system32\ssqpolj.dll
2007-11-07 21:07 <REP> d-------- C:\Documents and Settings\thierry\Application Data\Grisoft
2007-11-07 21:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-11-07 21:07 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-11-07 09:18 35,328 --a------ C:\WINDOWS\system32\efcabca.dll
2007-11-06 22:01 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-11-06 21:57 <REP> d-------- C:\WINDOWS\system32\Mz18r
2007-11-06 21:57 35,328 --a------ C:\WINDOWS\system32\nnnkkli.dll
2007-11-06 21:56 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-04 16:50 <REP> d-------- C:\Program Files\Panda Security
2007-10-28 21:56 <REP> d-------- C:\Program Files\Crawler
2007-10-28 20:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Emjysoft
2007-10-17 10:20 283,648 --a------ C:\WINDOWS\uninst.exe
2007-10-17 10:10 <REP> d-------- C:\WINDOWS\ASTULogTemp
2007-10-13 09:53 <REP> d-------- C:\Documents and Settings\thierry\Application Data\Spamihilator

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-11 22:57 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-11 19:47 --------- d-----w C:\Documents and Settings\thierry\Application Data\LimeWire
2007-10-24 07:50 --------- d-----w C:\Documents and Settings\thierry\Application Data\Skype
2007-10-17 11:03 --------- d-----w C:\Documents and Settings\thierry\Application Data\VoipBuster
2007-09-21 16:36 30,256 ----a-w C:\WINDOWS\macromix.dll
2007-09-19 09:31 --------- d-----w C:\Program Files\Microsoft ActiveSync
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-17 15:23 679,936 ----a-w C:\WINDOWS\system32\spsplib1.dll
2006-09-09 13:39 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLbz.DAT
2006-08-15 08:39 47,360 ----a-w C:\Documents and Settings\thierry\Application Data\pcouffin.sys
.

((((((((((((((((((((((((((((( snapshot_2007-11-12_18.51.41.14 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-12 17:55:46 2,306,048 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Mobile\85fa2a4f4894b04a7c955636fafdbe17\System.Web.Mobile.ni.dll
+ 2007-11-12 17:55:47 237,568 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.RegularE#\ff5f1842361f1e0bfcaeca306bf7d40b\System.Web.RegularExpressions.ni.dll
+ 2007-11-12 17:55:49 1,941,504 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Services\622f5e33b8f90d865d3b46f997f9b564\System.Web.Services.ni.dll
+ 2007-11-12 17:55:42 12,185,600 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\33832a669730076ff8fad5f4adbe9353\System.Web.ni.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1C1DD717-53B2-485E-A17B-C9977C205E10}]
2007-11-06 21:57 35328 --a------ C:\WINDOWS\system32\nnnkkli.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 19:51]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-03 20:05]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 17:48 C:\WINDOWS\SOUNDMAN.EXE]
"ShStatEXE"="D:\anti-virus\SHSTAT.exe" [2003-09-29 06:10]
"McAfeeUpdaterUI"="D:\Common Framework\UpdaterUI.exe" [2003-09-10 02:11]
"eCarteBleue-LPV-P1"="D:\e carte bleu\ECB.exe" [2002-12-20 08:57]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24]
"Spamihilator"="D:\anti spam\spamihilator\spamihilator.exe" [2007-08-17 16:24]
"!AVG Anti-Spyware"="D:\avg\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="D:\INCRED~1\bin\IncMail.exe" [2005-06-11 17:06]
"VoipBuster"="D:\voip buster\voipbuster\voipbuster.exe" [2007-06-21 17:41]
"L07FXLRD_2043515"="D:\encyclopedie encarta\Microsoft Encarta 2007 - Études DVD\EDICT.exe" [2006-06-13 17:11]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 13:07]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Picasa Media Detector"=D:\picassa\Picasa2\PicasaMediaDetector.exe

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-08-11 17:40:19]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]
NkvMon.exe.lnk - D:\nikon\NkvMon.exe [2007-07-04 21:14:30]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{1C1DD717-53B2-485E-A17B-C9977C205E10}"= C:\WINDOWS\system32\nnnkkli.dll [2007-11-06 21:57 35328]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnkkli]
nnnkkli.dll 2007-11-06 21:57 35328 C:\WINDOWS\system32\nnnkkli.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 HCW848NT;Hauppauge Win/TV;C:\WINDOWS\system32\DRIVERS\hcw848nt.sys
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys
R3 WmXlCore;Logitech WingMan Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys
S3 DSDrv4;DSDrv4;\??\C:\PROGRA~1\K!\K!TVXP~1\DSDrv4.sys
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 WmFilter;Logitech WingMan HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-11-07 21:21:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2007-08-17 17:42:12 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- D:\tuneup.2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-12 19:34:49
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-12 19:35:34
C:\ComboFix2.txt ... 2007-11-12 19:31
C:\ComboFix3.txt ... 2007-11-12 19:17
.
--- E O F ---

Logfile of HijackThis v1.99.1
Scan saved at 19:43:53, on 12/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\anti-virus\SHSTAT.EXE
D:\Common Framework\UpdaterUI.exe
D:\e carte bleu\ECB.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
D:\anti spam\spamihilator\spamihilator.exe
D:\avg\AVG Anti-Spyware 7.5\avgas.exe
D:\voip buster\voipbuster\voipbuster.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\avg\AVG Anti-Spyware 7.5\guard.exe
D:\encyclopedie encarta\Microsoft Encarta 2007 - Études DVD\EDICT.EXE
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
D:\Common Framework\FrameworkService.exe
D:\nikon\NkvMon.exe
D:\anti-virus\Mcshield.exe
D:\anti-virus\VsTskMgr.exe
D:\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\hijackthis\aideonline.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66017
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_ [...] TbId=66017
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C1DD717-53B2-485E-A17B-C9977C205E10} - C:\WINDOWS\system32\nnnkkli.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ShStatEXE] "D:\anti-virus\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [eCarteBleue-LPV-P1] "D:\e carte bleu\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Spamihilator] "D:\anti spam\spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\avg\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [IncrediMail] D:\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [VoipBuster] "D:\voip buster\voipbuster\voipbuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [L07FXLRD_2043515] "D:\encyclopedie encarta\Microsoft Encarta 2007 - Études DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkvMon.exe.lnk = D:\nikon\NkvMon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://D:\canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://D:\canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://D:\canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://D:\canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Wanadoo - http://chat9.x-echo.com/version6/Applet/wchatsign.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/14.21/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 4479500890
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - http://www.bobtv.fr/download/cfweb [...] module.exe
O16 - DPF: {EFFDEEEC-F9E1-4461-91D2-DAEB8CC595F1} (CSViewer Control) - http://lall.dyndns.org:81/CSViewer.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: nnnkkli - C:\WINDOWS\SYSTEM32\nnnkkli.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\avg\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - D:\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\anti-virus\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\anti-virus\VsTskMgr.exe

budul

bonjour rectificatif lors d'un essai de demarage ce matin virus scan m'a envoye un message d'une presence de vundo.bonne journee

synthexe

Anti-Malware Power

Bonjour :hello:

Effectivement, on peut voir que tu es encore infecté ... voila ce qu'on va faire :
Tu n'as toujours pas installé de parefeu !!!!
Si tu n'en installes pas un tout de suite, cela ne sert à rien de désinfecter

Crée un fichier avec le bloc-note, saisie le contenu de la boite ci-dessous (sans les ====) :

================================================================
File::
C:\WINDOWS\system32\nnnnkki.dll
C:\WINDOWS\system32\pmnlmmm.dll
C:\Documents and Settings\thierry\z.dat
C:\WINDOWS\system32\ssqpmlm.dll
C:\Documents and Settings\thierry\x.dat
C:\WINDOWS\system32\ssqpolj.dll
C:\WINDOWS\system32\nnnkkli.dll
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\efcabca.dll

Folder::
C:\WINDOWS\system32\Mz18r
C:\WINDOWS\YnVkdWw
C:\Program Files\Crawler

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1C1DD717-53B2-485E-A17B-C9977C205E10}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnkkli]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{1C1DD717-53B2-485E-A17B-C9977C205E10}"=-
================================================================

Sauvegarde le fichier avec le nom suivant : CFScript.txt
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

===============================

Fais un scan en ligne Kaspersky
Clique sur Accept
Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
clique une nouvelle fois sur "Accept"
Les bases de mises à jour vont s'installer, patiente un moment
Clique sur Next.
Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Colle ce rapport dans ta réponse dans ta réponse ainsi qu'un nouveau log Hijackthis.

===============================

Poste les rapports demandés : ComboFix, KasperskyOnline et un nouveau hijackthis.

Comment se comporte ta machine ? As-tu encore des alertes ?

Bonne journée

Message édité par synthexe le 13-11-2007 à 11:34:48

---------------
¤¤ Kaspersky WebScanner ¤¤¤¤¤¤¤ AVG AntiSpyware ¤¤
¤¤¤¤¤¤ CCleaner ¤¤¤¤¤¤

budul

bonjour :pt1cable:
comme tu me la fortement conseille j'ai installe zone alarme qui m'a d'ailleurs deja bloque 12 intrusions je suppose donc qu'il doit rester encore des infections.Quand a viruscan aucune alerte depuis hier soir. je poste les rapports demandes.merci bonne journee.

ComboFix 07-11-08.1 - thierry 2007-11-13 23:02:29.7 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.556 [GMT 1:00]
Running from: C:\Documents and Settings\thierry\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\thierry\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\Documents and Settings\thierry\x.dat
C:\Documents and Settings\thierry\z.dat
C:\WINDOWS\system32\efcabca.dll
C:\WINDOWS\system32\nnnkkli.dll
C:\WINDOWS\system32\nnnnkki.dll
C:\WINDOWS\system32\pmnlmmm.dll
C:\WINDOWS\system32\ssqpmlm.dll
C:\WINDOWS\system32\ssqpolj.dll
C:\WINDOWS\system32\vbzip10.dll
.

Incapable d'obtenir les privilèges Système

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Menu Démarrer\Live Safety Center.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.lnk
C:\Documents and Settings\thierry\Bureau\Live Safety Center.lnk
C:\Documents and Settings\thierry\Bureau\Online Security Guide.lnk
C:\Documents and Settings\thierry\Favoris\Online Security Guide.lnk
C:\Documents and Settings\thierry\x.dat
C:\Documents and Settings\thierry\z.dat
C:\Program Files\Crawler
C:\Program Files\Crawler\CTipsDef.dll
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\efcabca.dll
C:\WINDOWS\system32\ldwpeosv.dll
C:\WINDOWS\system32\Mz18r
C:\WINDOWS\system32\nnnkkli.dll
C:\WINDOWS\system32\nnnnkki.dll
C:\WINDOWS\system32\pmnlmmm.dll
C:\WINDOWS\system32\prqss.ini
C:\WINDOWS\system32\prqss.ini2
C:\WINDOWS\system32\ssqpmlm.dll
C:\WINDOWS\system32\ssqpolj.dll
C:\WINDOWS\system32\ssqrp.dll
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\zrfgwuph.dllbox
C:\WINDOWS\YnVkdWw

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-13 to 2007-11-13 ))))))))))))))))))))))))))))))))))))
.

2007-11-13 22:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2007-11-13 22:18 133,152 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-13 22:18 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-11-13 22:18 75,248 --a------ C:\WINDOWS\zllsputility.exe
2007-11-13 22:18 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-11-13 22:18 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2007-11-13 22:18 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2007-11-13 22:18 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-11-13 22:18 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-11-13 22:18 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-11-13 08:08 88,128 --a------ C:\WINDOWS\system32\bssidtow.dll
2007-11-13 08:05 145,984 --a------ C:\WINDOWS\system32\zrfgwuph.dll
2007-11-13 08:05 145,984 --a------ C:\WINDOWS\system32\bokiqjgt.dll
2007-11-11 22:11 <REP> d-------- C:\Program Files\MSXML 6.0
2007-11-11 22:07 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2007-11-11 22:07 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2007-11-11 22:07 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2007-11-11 22:05 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-11-11 21:44 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-11-11 20:58 <REP> d-------- C:\WINDOWS\ERUNT
2007-11-10 18:15 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-07 21:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-11-06 21:56 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-04 16:50 <REP> d-------- C:\Program Files\Panda Security
2007-10-28 20:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Emjysoft
2007-10-17 10:20 283,648 --a------ C:\WINDOWS\uninst.exe
2007-10-17 10:10 <REP> d-------- C:\WINDOWS\ASTULogTemp
2007-10-13 09:53 <REP> d-------- C:\Documents and Settings\thierry\Application Data\Spamihilator

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-13 21:52 4,724 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-11 22:57 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-11 19:47 --------- d-----w C:\Documents and Settings\thierry\Application Data\LimeWire
2007-10-24 07:50 --------- d-----w C:\Documents and Settings\thierry\Application Data\Skype
2007-10-17 11:03 --------- d-----w C:\Documents and Settings\thierry\Application Data\VoipBuster
2007-09-21 16:36 30,256 ----a-w C:\WINDOWS\macromix.dll
2007-09-19 09:31 --------- d-----w C:\Program Files\Microsoft ActiveSync
2006-09-09 13:39 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLbz.DAT
2006-08-15 08:39 47,360 ----a-w C:\Documents and Settings\thierry\Application Data\pcouffin.sys
.

((((((((((((((((((((((((((((( snapshot_2007-11-12_18.51.41.14 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-12 17:55:46 2,306,048 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Mobile\85fa2a4f4894b04a7c955636fafdbe17\System.Web.Mobile.ni.dll
+ 2007-11-12 17:55:47 237,568 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.RegularE#\ff5f1842361f1e0bfcaeca306bf7d40b\System.Web.RegularExpressions.ni.dll
+ 2007-11-12 17:55:49 1,941,504 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web.Services\622f5e33b8f90d865d3b46f997f9b564\System.Web.Services.ni.dll
+ 2007-11-12 17:55:42 12,185,600 ----a-w C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\33832a669730076ff8fad5f4adbe9353\System.Web.ni.dll
+ 2007-05-30 23:03:48 110,360 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
+ 2007-05-30 23:03:50 119,576 ----a-w C:\WINDOWS\system32\drivers\klif.sys
+ 2007-06-21 20:54:26 796,048 ----a-w C:\WINDOWS\system32\libeay32_0.9.6l.dll
+ 2007-06-21 20:54:30 83,432 ----a-w C:\WINDOWS\system32\vsdata.dll
+ 2007-06-21 20:54:52 394,984 ----a-w C:\WINDOWS\system32\vsdatant.sys
+ 2007-06-21 20:54:32 157,160 ----a-w C:\WINDOWS\system32\vsinit.dll
+ 2007-06-21 20:54:32 103,912 ----a-w C:\WINDOWS\system32\vsmonapi.dll
+ 2007-06-21 20:54:32 275,944 ----a-w C:\WINDOWS\system32\vspubapi.dll
+ 2007-06-21 20:54:32 71,144 ----a-w C:\WINDOWS\system32\vsregexp.dll
+ 2007-06-21 20:54:34 472,552 ----a-w C:\WINDOWS\system32\vsutil.dll
+ 2007-06-21 20:54:34 46,568 ----a-w C:\WINDOWS\system32\vswmi.dll
+ 2007-06-21 20:54:34 99,816 ----a-w C:\WINDOWS\system32\vsxml.dll
+ 2007-06-21 20:54:34 83,432 ----a-w C:\WINDOWS\system32\zlcomm.dll
+ 2007-06-21 20:54:34 71,144 ----a-w C:\WINDOWS\system32\zlcommdb.dll
- 2006-03-31 20:23:41 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
+ 2007-11-13 21:19:38 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
+ 2007-06-21 20:54:24 366,112 ----a-w C:\WINDOWS\system32\ZoneLabs\av.dll
+ 2007-06-21 20:55:26 26,000 ----a-w C:\WINDOWS\system32\ZoneLabs\av_loc040c.dll
+ 2007-05-30 23:03:30 65,248 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\bases\aphish.dat
+ 2006-06-30 13:47:36 21,568 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\bases\avcmhk4.dll
+ 2007-05-30 23:03:16 77,824 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\CKAHComm.dll
+ 2007-05-30 23:03:16 110,592 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\CKAHrule.dll
+ 2007-05-30 23:03:16 331,776 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\CKAHUM.dll
+ 2007-05-30 23:03:16 38,400 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\FSSync.dll
+ 2006-09-19 22:12:14 208,960 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\inv.dll
+ 2007-05-30 23:03:16 258,048 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\kave.dll
+ 2006-12-19 17:13:52 1,093,632 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\libeay32.dll
+ 2007-05-30 23:03:20 548,864 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\msvcp80.dll
+ 2007-05-30 23:03:20 626,688 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\msvcr80.dll
+ 2007-05-30 23:03:18 184,320 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\prloader.dll
+ 2007-05-30 23:03:22 90,112 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\prremote.dll
+ 2007-05-30 23:03:18 118,784 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
+ 2006-12-19 17:13:52 200,704 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\ssleay32.dll
+ 2007-06-21 20:54:24 99,816 ----a-w C:\WINDOWS\system32\ZoneLabs\camupd.dll
+ 2007-06-21 20:55:26 17,808 ----a-w C:\WINDOWS\system32\ZoneLabs\camupd_loc040c.dll
+ 2004-01-30 11:35:08 813,568 ----a-w C:\WINDOWS\system32\ZoneLabs\dbghelp.dll
+ 2007-06-21 20:54:24 128,480 ----a-w C:\WINDOWS\system32\ZoneLabs\fbl.dll
+ 2007-06-21 20:54:26 38,376 ----a-w C:\WINDOWS\system32\ZoneLabs\featuremap.dll
+ 2007-06-21 20:54:26 321,016 ----a-w C:\WINDOWS\system32\ZoneLabs\imsecure.dll
+ 2007-06-21 20:55:28 26,000 ----a-w C:\WINDOWS\system32\ZoneLabs\imsecure_loc040c.dll
+ 2007-06-21 20:55:26 288,144 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\ConfigWizard_loc040c.zip.dll
+ 2007-06-21 20:55:28 152,976 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\LicenseUI_loc040c.zip.dll
+ 2007-06-21 20:54:54 26,000 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\zlsvc.zip.dll
+ 2007-06-21 20:54:54 1,361,296 --

FORUM AideOnline

Aide Sécurité

[RESOLU] virus

[RESOLU] virus