sophie2
-
Compteur de contenus
31 -
Inscription
-
Dernière visite
sophie2's Achievements
Member (4/12)
0
Réputation sur la communauté
-
page Mozilla qui s'ouvre avec Internet Explorer
sophie2 a répondu à un(e) sujet de Arthas dans Internet & Réseaux
Salut Arthas, Inspecteur Derrick. Arthas, as-tu pensé à faire clic droit/ouvrir avec/choisir le programme/ sur un fichier .html Choisis firefox et coche toujours utiliser le programme sélectionné pour ouvrir ce type de fichier. C'est tout bête mais ça vient peut-être de là. -
Salut ticlou, La version de firefox que j'ai installé est la dernière en date (Firefox Setup 1.5.0.1). Je l'ai téléchargée sur le site officiel de mozilla firefox donc on peut enlever l'hypothèse de l'application défectueuse. Aux dernières nouvelles mon Pc était clean (pas de virus, spywares, trojans) mais je referai quand même une analyse en soirée. Mon cas n'est pas isolé (voir ici) mais ce qui m'exaspère c'est que j'ai bien nettoyé la base de registre avant de réinstaller firefox, que mon problème a disparu quelques temps pour réapparaitre soudainement et sans trop de raison. La seule solution que j'ai trouvée pour l'instant c'est de nettoyer la bdr et de réinstaller firefox dès que le problème réapparait => assez long et pas très pratique.
-
J'ai apparemment crié victoire trop vite, les icones "mortes" sont revenues sans raison apparente
-
Message avant transfert clé USB
sophie2 a répondu à un(e) sujet de Maupas dans Optimisation, Trucs & Astuces
Salut Maupas, As-tu Kaspersky d'installé sur ton ordi ? J'avais rencontré le même problème suite à la désinstallation de Kaspersky Antivirus, la solution a constité à le réinstaller et à le désinstaller en cochant une case qui parmettait de virer les flux de données que kaspersky générait. Dès lors nous n'avons plus eu le message d'erreur lors de transferts vers une clé USB mais bon, ça n'a peut être rien à voir avec ton problème. Sinon une autre méthode expliquée dans la faq de Kaspersky. -
Ça remarche ! La solution était de supprimer tous les dossiers de mozilla & firefox (dans program files & application data), de supprimer toutes les clés de registre (mozilla, firefox) et de réinstaller mozilla firefox. Les icones .htm et .html ont enfin repris leur apparence normale.
-
Apparemment il s'agirait d'un bug de mozilla. Une solution trouvé sur un forum : J'essaye et vous tiens au courant si ça fonctionne.
-
Bonjour à tous, Mon problème est le suivant : Je n'arrive pas à changer l'icone des fichiers .htm et .html que ce soit en passant par option des dossiers/type de fichiers ou par clic droit/apparence, rien y fait. A noter que je n'ai aucun problème pour changer n'importe quelle autre icone. Bref, quelqu'un aurait-il une solution ? Merci par avance.
-
msdirectx et maxifiles
sophie2 a répondu à un(e) sujet de sophie2 dans Analyses et éradication malwares
Rebonjour à tous, Voici les raports de Virusscan pour le fichier SVKP.SYS : BitDefender : Found Backdoor.Rbot.CBD VBA32 : Found Virtool.SVKProtector Et de virustotal : BitDefender 7.2 02.27.2006 Backdoor.Rbot.CBD VBA32 3.10.5 02.27.2006 Virtool.SVKProtector Sinon toujours pas de msdirectx.sys en vue et j'ouvre pourtant bien les yeux Pour finir, le rapport en mode sans échec de Spy Sweeper : ******** 03:14: | Début de session, mardi 28 février 2006 | 03:14: Spy Sweeper démarrée 03:14: Analyse lancée avec la version des définitions 622 03:14: Démarrage de l’analyse de la mémoire 03:15: Analyse de la mémoire terminée, temps passé : 00:01:06 03:15: Démarrage de l’analyse du Registre 03:16: Trouvé Adware: dollarrevenue 03:16: HKLM\software\microsoft\drsmartload2\ (1 traces secondaires) (ID = 1134137) 03:16: Trouvé Adware: maxifiles 03:16: HKCR\typelib\{75e46ee7-404b-48ec-9326-c654f21f65bf}\ (9 traces secondaires) (ID = 1156391) 03:16: HKLM\software\classes\typelib\{75e46ee7-404b-48ec-9326-c654f21f65bf}\ (9 traces secondaires) (ID = 1156508) 03:16: Trouvé System Monitor: windows keylogger 03:16: HKCR\.pca\ (4 traces secondaires) (ID = 1179879) 03:16: HKLM\software\classes\.pca\ (4 traces secondaires) (ID = 1179881) 03:16: HKU\S-1-5-21-507921405-583907252-1801674531-1004\software\xbtb04715\ (69 traces secondaires) (ID = 1156401) 03:16: Analyse du Registre terminée, temps passé :00:00:12 03:16: Démarrage de l’analyse des cookies 03:16: Analyse des cookies terminée, temps passé : 00:00:00 03:16: Démarrage de l’analyse des fichiers 03:47: Trouvé Trojan Horse: sdbot 03:47: adiras.ini (ID = 74768) 03:56: Analyse des fichiers terminée, temps passé : 00:39:56 03:56: Analyse complète terminée. Durée 00:41:21 03:56: Traces trouvées : 103 03:57: Processus de suppression lancé. 03:57: Mise en quarantaine de toutes les traces : dollarrevenue 03:57: Mise en quarantaine de toutes les traces : maxifiles 03:57: Mise en quarantaine de toutes les traces : windows keylogger 03:57: Mise en quarantaine de toutes les traces : sdbot 03:57: Processus de suppression lancé. Durée 00:00:05 ******** 01:51: | Début de session, mardi 28 février 2006 | 01:51: Spy Sweeper démarrée 01:52: Les définitions de logiciels espions ont été mises à jour. 03:14: Version du programme : 4.5.9 (Build 709) - Définitions de logiciels espions 622 03:14: | Fin de session, mardi 28 février 2006 | Sinon petite question, les fichiers vérolés sont en quarantaine pour l'instant, seront-ils supprimés une fois Spy Sweeper supprimé ou dois-je les supprimer manuellement ? Charles Ingals, je crois qu'on va en rester là pour ce malware, je pense avoir sufisamment abusé de ton temps et te remercie beaucoup pour ton aide précieuse et tes conseils avisés -
msdirectx et maxifiles
sophie2 a répondu à un(e) sujet de sophie2 dans Analyses et éradication malwares
Voilà le résultat : "Silent Runners.vbs", revision 43, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "STYLEXP" = "C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide" [empty string] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "*AIMFix" = "C:\Documents and Settings\florian\Bureau\AIMFix.exe" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "avgnt" = ""C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {C333CF63-767F-4831-94AC-E683D962C63C}\(Default) = "TGTSoft Explorer Toolbar Changer" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{780BCB64-0CAF-473c-A9FC-E08C03D75515}" = "Matroska Shell Extension, Properties Page CLSID" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MatroskaProp\MatroskaProp.dll" [" "] "{78DC191E-EFC1-4532-9A71-224577A86A7D}" = "Matroska Shell Extension, Thumbnail Handler CLSID" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MatroskaProp\MatroskaProp.dll" [" "] "{794D04CA-70AC-4020-80EB-FFD59DEF8027}" = "Matroska Shell Extension, Tooltip Provider CLSID" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MatroskaProp\MatroskaProp.dll" [" "] "{789111D8-68A3-46a3-9663-145A3FF4C9C9}" = "Matroska Shell Extension, ContextMenu CLSID" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MatroskaProp\MatroskaProp.dll" [" "] "{781395AF-A127-469f-A06F-59B482AF4F3F}" = "Matroska Shell Extension, Column Provider CLSID" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MatroskaProp\MatroskaProp.dll" [" "] "{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Shell Extension DLL" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\SmartFTP\smarthook.dll" ["SmartFTP"] "{616c1f06-bad8-11d2-b355-00104b642749}" = "Microangelo Context Menu Extension" -> {CLSID}\InProcServer32\(Default) = "muangsys.dll" [null data] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealOne Player\rpshell.dll" ["RealNetworks, Inc."] "{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\7-Zip\7-zip.dll" ["Igor Pavlov"] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Ewido Anti-Malware\shellhook.dll" ["TODO: <Firmenname>"] HKLM\Software\Classes\PROTOCOLS\Filter\ INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\7-Zip\7-zip.dll" ["Igor Pavlov"] CuteFTP\(Default) = "{8f7261d0-d2b9-11d2-9909-00605205b24c}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\CuteFTPFR\Cuteshell.dll" ["GlobalSCAPE, Inc."] ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Ewido Anti-Malware\context.dll" ["ewido networks"] MatroskaContextMenu\(Default) = "{789111D8-68A3-46a3-9663-145A3FF4C9C9}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\MatroskaProp\MatroskaProp.dll" [" "] QuickSFV Shell Extension\(Default) = "{906b0e6e-61ce-11d3-8ee2-0060080a7242}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\QuickSFV\QSFVShll.dll" ["Mercedes"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ 7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\7-Zip\7-zip.dll" ["Igor Pavlov"] CuteFTP\(Default) = "{8f7261d0-d2b9-11d2-9909-00605205b24c}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\CuteFTPFR\Cuteshell.dll" ["GlobalSCAPE, Inc."] ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Ewido Anti-Malware\context.dll" ["ewido networks"] QuickSFV Shell Extension\(Default) = "{906b0e6e-61ce-11d3-8ee2-0060080a7242}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\QuickSFV\QSFVShll.dll" ["Mercedes"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Documents and Settings\florian\Local Settings\Application Data\Microsoft\Wallpaper1.bmp" Startup items in "florian" & "All Users" startup folders: --------------------------------------------------------- C:\Documents and Settings\florian\Menu Démarrer\Programmes\Démarrage "hotpop" -> shortcut to: "C:\Program Files\Hotmail Popper\hotpop.exe" [null data] "Thundertray" -> shortcut to: "C:\unzipped\thunderbird-0.5-win32\thunderbird\thundertray.exe" ["Dirk T. Manders"] "YzDock" -> shortcut to: "C:\Program Files\YzDock\YzDock.exe" ["Y'z@Home"] C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage "DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe /W" [empty string] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{17939A30-18E2-471E-9D3A-56DD725F1215}" = "ReGet Bar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ReGetDx\iebar.dll" ["ReGet Software"] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{17939A30-18E2-471E-9D3A-56DD725F1215}" = "ReGet Bar" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ReGetDx\iebar.dll" ["ReGet Software"] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [strings]: START_PAGE_URL=http://home.free.fr/ [strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/" Missing lines (compared with English-language version): [strings]: 2 lines Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe" ["H+BEDV Datentechnik GmbH"] AntiVir Scheduler, AntiVirScheduler, "C:\Program Files\AntiVir PersonalEdition Classic\sched.exe" ["H+BEDV Datentechnik GmbH"] ewido security suite control, ewido security suite control, "C:\Program Files\Ewido Anti-Malware\ewidoctrl.exe" ["ewido networks"] ewido security suite guard, ewido security suite guard, "C:\Program Files\Ewido Anti-Malware\ewidoguard.exe" ["ewido networks"] WAN Miniport (ATW) Service, WANMiniportService, ""C:\WINDOWS\wanmpsvc.exe"" ["America Online, Inc."] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 173 seconds, including 11 seconds for message boxes) -
msdirectx et maxifiles
sophie2 a répondu à un(e) sujet de sophie2 dans Analyses et éradication malwares
Charles Ingals, on s'en donne du mal pour éradiquer ce malware ! J'ai suivi tes conseils : J'ai supprimé NTOSKRNL.BAD et fucking-script.exe. Je n'ai pas trouvé de trace de IPOT USB Service DRV32. Je n'ai pas trouvé hpsebc08.exe, compaq.exe, msdirectx.sys dans system32. J'ai vérifié sur l'ensemble de l'ordi pour msdirectx.sys, sans résultat. Panda Antivirus me détecte : Adware:adware/maxifiles No Désinfecté Registre Windows J'ai recherché "maxifiles" dans la base de registre mais n'ai rien trouvé. Adaware et spybot ne détectent aucun malware. Aimfix est malheureusement toujours sans effet même en mode sans échec. J'en ai profité pour faire un screenshot des différents processus qui tournent en mode sans échec, on ne sait jamais... -
msdirectx et maxifiles
sophie2 a répondu à un(e) sujet de sophie2 dans Analyses et éradication malwares
Les cases sont bien cochées : mais toujours impossible à supprimer et ceci même en mode sans échec. Rapport virusscan : Pour NTOSKRNL.BAD : Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.Gator.3103 NOD32 Found Win32/Adware.Gator.Trickler.E application Pour fucking-script.exe : ArcaVir Found Trojan.Door.Mirc-based Dr.Web Found BackDoor.IRC.based Kaspersky Anti-Virus Found not-a-virus:Client-IRC.Win32.mIRC.60 Norman Virus Control Found W32/IRCFlood.EC UNA Found Backdoor.mIRC Rapport virustotal : Pour NTOSKRNL.BAD : NOD32v2 1.1418 02.24.2006 Win32/Adware.Gator.Trickler.E Pour fucking-script.exe : DrWeb 4.33 02.25.2006 BackDoor.IRC.based Norman 5.70.10 02.24.2006 W32/IRCFlood.EC -
msdirectx et maxifiles
sophie2 a répondu à un(e) sujet de sophie2 dans Analyses et éradication malwares
Rebonjour à tous, Nous ne sommes malheureusement pas venu à bout de msdirectx. _ Log de escan antivirus : File C:\WINDOWS\System32\NTOSKRNL.BAD tagged as not-a-virus:AdWare.Win32.Gator.3103. No Action Taken. File C:\Documents and Settings\florian\Favoris\FLORIAN\??????18???.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File C:\Documents and Settings\florian\Favoris\FLORIAN\?????????????????!.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File C:\Program Files\Warning Stupid People Inside\fucking-script.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.60. No Action Taken. File C:\WINDOWS\system32\NTOSKRNL.BAD tagged as not-a-virus:AdWare.Win32.Gator.3103. No Action Taken. A noter que fucking-script.exe est le nom d'un client irc à savoir mirc. _ Résultat de regsearch : REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 25/02/2006 13:06:01 for strings: ; 'msdirectx' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDIRECTX] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDIRECTX\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDIRECTX\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECTX] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECTX\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECTX\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000\Control] [HKEY_USERS\S-1-5-21-507921405-583907252-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit] "LastKey"="Poste de travail\\HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_MSDIRECTX" ; End Of The Log... Cette fois-ci la fusion des clés de registre a fonctionné mais msdirectx est toujours là et toujours impossible de supprimer la clé de registre manuellement alors que nous avons les autorisations (caches cochées). Charles Ingals, est-ce que tu pourrai STP jeter un oeil à cette méthode, il me semble que ça a été la solution pour quelqu'un d'autre qui rencontrai le même problème. Merci. -
msdirectx et maxifiles
sophie2 a répondu à un(e) sujet de sophie2 dans Analyses et éradication malwares
Merci pour la méthode à suivre Charles Ingals, A première vue je n'ai pas SVK Protector, j'ai bien regardé dans Program Files et dans le panneau de désinstallation mais je demanderai à mon frère quand il rentrera ce soir (c'est son ordi). J'attaquerai les hostilités du mode sans échec ce soir et posterai les logs demain. Bonne soirée en attendant -
msdirectx et maxifiles
sophie2 a répondu à un(e) sujet de sophie2 dans Analyses et éradication malwares
Je n'ai trouvé que SVKP.sys. Ce qui est étrange c'est qu'aucun antivirus ne détecte de virus sur mon ordi mais qu'il m'est impossible d'effacer les clés de registre infectées que trouve a-quared (HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_msdirectx entre autre). -
msdirectx et maxifiles
sophie2 a répondu à un(e) sujet de sophie2 dans Analyses et éradication malwares
Merci pour ton aide, voici les deux logs générés : Regsearch : REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 23/02/2006 18:33:46 for strings: ; 'svkp' ; 'msdirectx' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDIRECTX] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDIRECTX\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDIRECTX\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVKP\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVKP\0000] "Service"="SVKP" "DeviceDesc"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVKP\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SVKP] ; Contents of value: ; \??\C:\WINDOWS\System32\SVKP.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,\ 6d,33,32,5c,53,56,4b,50,2e,73,79,73,00 "DisplayName"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SVKP\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000] "Service"="SVKP" "DeviceDesc"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000\Control] "ActiveService"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP] ; Contents of value: ; \??\C:\WINDOWS\System32\SVKP.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,\ 6d,33,32,5c,53,56,4b,50,2e,73,79,73,00 "DisplayName"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP\Enum] "0"="Root\\LEGACY_SVKP\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECTX] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECTX\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECTX\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVKP\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVKP\0000] "Service"="SVKP" "DeviceDesc"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SVKP\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SVKP] ; Contents of value: ; \??\C:\WINDOWS\System32\SVKP.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,\ 6d,33,32,5c,53,56,4b,50,2e,73,79,73,00 "DisplayName"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SVKP\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000] "Service"="SVKP" "DeviceDesc"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000\Control] "ActiveService"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP] ; Contents of value: ; \??\C:\WINDOWS\System32\SVKP.sys "ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,\ 6d,33,32,5c,53,56,4b,50,2e,73,79,73,00 "DisplayName"="SVKP" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Enum] "0"="Root\\LEGACY_SVKP\\0000" [HKEY_USERS\S-1-5-21-507921405-583907252-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit] "LastKey"="Poste de travail\\HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_MSDIRECTX" ; End Of The Log... Both : Logfile of HijackThis v1.99.1 Scan saved at 18:38:37, on 23/02/2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Ewido Anti-Malware\ewidoctrl.exe C:\Program Files\Ewido Anti-Malware\ewidoguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Hotmail Popper\hotpop.exe C:\unzipped\thunderbird-0.5-win32\thunderbird\thundertray.exe C:\Program Files\YzDock\YzDock.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\System32\cmd.exe C:\Program Files\HijackThis\HijackThis.exe C:\WINDOWS\system32\ping.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/ O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Startup: hotpop.lnk = C:\Program Files\Hotmail Popper\hotpop.exe O4 - Startup: Thundertray.lnk = C:\unzipped\thunderbird-0.5-win32\thunderbird\thundertray.exe O4 - Startup: YzDock.lnk = C:\Program Files\YzDock\YzDock.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O8 - Extra context menu item: Tous Télécharger par ReGet Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_All.htm O8 - Extra context menu item: Télécharger avec Re&Get Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_Link.htm O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/ O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1139963760543 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://misnetwork.jexiste.fr/mischat45.cab O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\Ewido Anti-Malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\Ewido Anti-Malware\ewidoguard.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing) O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iexplore.exe doesn't exist HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx doesn't exist HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe ----------------------- ----------------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\7-Zip] @="{23170F69-40C1-278A-1000-000100020000}" [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\CuteFTP] @="{8f7261d0-d2b9-11d2-9909-00605205b24c}" [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido] @="{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\IMMenuShellExt] @="{F8984111-38B6-11D5-8725-0050DA2761C4}" [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\MatroskaContextMenu] @="{789111D8-68A3-46a3-9663-145A3FF4C9C9}" [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files] @="{750fdf0e-2a26-11d1-a3ea-080036587f03}" [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With] @="{09799AFB-AD67-11d1-ABCD-00C04FC30936}" [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu] @="{A470F8CF-A1E8-4f65-8335-227475AA5C46}" [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\QuickSFV Shell Extension] @="{906b0e6e-61ce-11d3-8ee2-0060080a7242}" [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning] @="{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR] @="{B41DB860-8EE4-11D2-9906-E49FADC173CA}" [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip] @="{E0D79304-84BE-11CE-9641-444553540000}" [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{616c1f06-bad8-11d2-b355-00104b642749}] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}] @="Épingle du menu Démarrer" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "STYLEXP"="C:\\Program Files\\TGTSoft\\StyleXP\\StyleXP.exe -Hide" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] Scheduled Tasks Folder Contents * C:\WINDOWS\Tasks\desktop.ini C:\WINDOWS\Tasks\SA.DAT