Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

multivirus récalcitrants?... a l'aide siouplait! RESOLU!


Messages recommandés

salut à tous

j'ai un vieux pc qui m'a tout l'air 'être infecté par un regiment complet de virus. voici les symptomes:

-au bout de deux heures a peu pres, mon écran s'éteind tout seul, comme s'il surchauffait. (j'ai beau taper dessus... rien n'y fait)

-au démarrage, zone alarm me dit TOUT LE TEMPS si je veux bloquer les applications suivantes:

MTASK.exe, ISSASS.exe et SVCHOST.exe.

-quand je désactive zone alarm, kaspersky devient fou et détécte des virus,

-et tout d'un coup, la fenetre (célebre) de "votre ordinateur va s'éteindre dans 0.59 secondes" s'affiche.

 

je vous poste un rapport hijack avant que l'écran ne décede encore une fois...

merci pour votre aide!

Modifié par gilbert montagné
Lien vers le commentaire
Partager sur d’autres sites

Logfile of HijackThis v1.99.1

Scan saved at 18:14:28, on 05/02/2007

Platform: Windows 2000 SP2 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINNT\System32\svcchost.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\foobar2000\foobar2000.exe

C:\Program Files\Hijack this\HijackThis.exe

C:\WINNT\system32\NOTEPAD.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: @msdxmLC.dll,[email protected],&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [msvcc25] svcchost.exe

O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

 

bon courage...

Lien vers le commentaire
Partager sur d’autres sites

bonjour gilbert montagné et bienvenue sur zebulon :P

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou ici: http://siri.geekstogo.com/SmitfraudFix.exe sur ton bureau

 

 

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "rename ou cleaning" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Lien vers le commentaire
Partager sur d’autres sites

en fait, j'ai quand meme réussi.... je sais pas trop comment mais bon.

alors, voici le rapport de smitfraud:

SmitFraudFix v2.137

 

Rapport fait à 21:54:23,85, lun. 05/02/2007

Executé à partir de C:\Documents and Settings\kroquette1\Bureau\SmitfraudFix

OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\kroquette1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\kroquette1\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\KROQUE~2\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

et le rapport de blacklight:

 

 

02/05/07 21:27:25 [info]: BlackLight Engine 1.0.55 initialized

02/05/07 21:27:25 [info]: OS: 5.0 build 2195 (Service Pack 2)

02/05/07 21:27:25 [Note]: 7019 4

02/05/07 21:27:25 [Note]: 7005 0

02/05/07 21:27:40 [Note]: 7006 0

02/05/07 21:27:42 [Note]: 7011 832

02/05/07 21:27:44 [Note]: 7026 0

02/05/07 21:27:45 [Note]: 7026 0

02/05/07 21:27:45 [Note]: 7015 912

02/05/07 21:27:45 [Note]: 7015 5

02/05/07 21:27:45 [Note]: 7015 968

02/05/07 21:27:45 [Note]: 7015 5

02/05/07 21:28:04 [Note]: FSRAW library version 1.7.1021

02/05/07 21:32:16 [Note]: 7006 0

02/05/07 21:32:17 [Note]: 7011 832

02/05/07 21:32:19 [Note]: 7026 0

02/05/07 21:32:21 [Note]: 7026 0

02/05/07 21:32:21 [Note]: 7015 912

02/05/07 21:32:21 [Note]: 7015 5

02/05/07 21:32:21 [Note]: 7015 968

02/05/07 21:32:21 [Note]: 7015 5

02/05/07 21:32:39 [Note]: FSRAW library version 1.7.1021

02/05/07 21:55:09 [Note]: 7006 0

02/05/07 21:55:09 [Note]: 7011 832

02/05/07 21:55:10 [Note]: 7026 0

02/05/07 21:55:12 [Note]: 7026 0

02/05/07 21:55:12 [Note]: 7015 1444

02/05/07 21:55:12 [Note]: 7015 87

02/05/07 21:55:28 [Note]: FSRAW library version 1.7.1021

02/05/07 21:57:56 [Note]: 7007 0

 

 

voila... bonne recherche!

Lien vers le commentaire
Partager sur d’autres sites

bonjour gilbert montagné,

 

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

Je te conseille d'enregistrer la page web compléte sous Internet Explorer comme ceci :

 

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. Une partie de la désinfection se déroulera en mode sans échec.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.

 

 

telecharge sur ton bureau:

 

http://www.spywareinfo.com/downloads/tools/IEFIX.reg

 

 

2/Démarre en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

 

3//lance hijackthis en cliquant sur do a scan system only et coche ces lignes:

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

O4 - HKLM\..\Run: [msvcc25] svcchost.exe

O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

4/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

 

Décocher la case : Masquer les extensions des fichiers dont le type est connu

 

Décocher la case : Masquer les fichiers protégés du système d'exploitation

 

cliquer sur "Appliquer"

 

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

5/Supprime ce qui est en gras:

 

C:\windows\system32\ blank.htm<== le fichier

 

 

6/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

7/ Déroule la liste des instructions ci-dessous :

  • En mode sans échec, fais un clic droit sur le fichier SDFix.zip et choisis extraire tout,
  • Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le script.
  • Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

 

 

8/Double clique sur IEFIX.reg qui se trouve sur ton bureau puis clique ensuite sur yes

 

9/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis.

 

Bon courage, et si tu as la moindre question n'hésite surtout pas :P

 

@+

Lien vers le commentaire
Partager sur d’autres sites

yo! bon, j'ai suivi toutes les étapes que tu m'avias inscrites. par contre, il y en a une qui a raté, et un truc que j'ai pas pu trouver.

 

à l'étape 5, "supprime ce qui est en gras:

C:windows system 32 blank.htm, eh bien je n'ai pas pu le trouver, meme en affichant tous les fichiers cachés du systeme. et puis l'autre chose qui a raté, c'est pour sdfix, au moment ou je clique sur runthis.bat, un script se lance tout seul sans que j'aie le temps d'appuyer sur quoi que ce soit, et un message d'erreur me dit: erreur d'impression, vous pas connecté et blablabla.

resultat, apres avoir retenté le truc 4 ou 5 fois sans trouver de message "appuyer sur une touche pour redémarrer", j'ai redémarré manuellement.

Et rien ne s'est affiché comme message sur mon bureau, a part mes icones habituels.

 

je poste quand meme le rapport que ça m'a mis, au cas où.

et il y a eu un truc étrange aussi; zone alarm m'a demandé non pas les trucs qu'ils me demandait avant, mais un autre:

"infrastructure de gestion windows demande d'installer un nouveau pilote ou service:

MCHINJDRV, alors j'ai dit "refuser" vu que je savais un trojan.

autre info, mon écran s'éteind tout le temps... (et je vois pas trop ce que j'écris; je fais une pause...)

 

Donc, voici les rapports:

 

 

1- hijack this

 

Logfile of HijackThis v1.99.1

Scan saved at 19:34:03, on 06/02/2007

Platform: Windows 2000 SP2 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\HPZipm12.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINNT\system32\NOTEPAD.EXE

C:\Program Files\Hijack this\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: @msdxmLC.dll,[email protected],&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

 

 

 

 

2- AVG

 

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 18:36:28 06/02/2007

 

+ Résultat de l'analyse:

 

 

 

C:\WINNT\system32\FrameWork.exe -> Backdoor.PoeBot.c : Nettoyé.

C:\Documents and Settings\Ici !!!\Local Settings\Temporary Internet Files\Content.IE5\496Z4TIV1-radio-france-webtv4[1].htm -> Hijacker.Small.jf : Nettoyé.

C:\Documents and Settings\Ici !!!\Local Settings\Temporary Internet Files\Content.IE5\496Z4TIV1-tv-france-webtv4[1].htm -> Hijacker.Small.jf : Nettoyé.

C:\Documents and Settings\Ici !!!\Local Settings\Temporary Internet Files\Content.IE5\OT6Z8DIV\index-webtv4[1].htm -> Hijacker.Small.jf : Nettoyé.

:mozilla.116:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.

:mozilla.67:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.

:mozilla.68:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.

:mozilla.69:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.

:mozilla.103:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.104:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.244:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.245:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.249:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.24:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.267:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.

:mozilla.131:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.

:mozilla.132:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.

:mozilla.93:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.

:mozilla.94:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.

:mozilla.20:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.

:mozilla.38:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.

:mozilla.45:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.

:mozilla.148:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Com : Nettoyé.

:mozilla.151:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Com : Nettoyé.

:mozilla.35:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.

:mozilla.62:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.

:mozilla.167:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.

:mozilla.176:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.

:mozilla.328:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Falkag : Nettoyé.

:mozilla.331:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Falkag : Nettoyé.

:mozilla.332:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Falkag : Nettoyé.

:mozilla.333:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Falkag : Nettoyé.

:mozilla.334:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Falkag : Nettoyé.

:mozilla.335:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Falkag : Nettoyé.

:mozilla.86:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.

:mozilla.89:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyé.

:mozilla.94:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyé.

:mozilla.97:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Hitbox : Nettoyé.

:mozilla.202:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Hotlog : Nettoyé.

:mozilla.208:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Ivwbox : Nettoyé.

:mozilla.44:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.

:mozilla.95:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.

:mozilla.127:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Pointroll : Nettoyé.

:mozilla.128:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Pointroll : Nettoyé.

:mozilla.129:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Pointroll : Nettoyé.

:mozilla.130:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Pointroll : Nettoyé.

:mozilla.79:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyé.

:mozilla.80:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Questionmarket : Nettoyé.

:mozilla.290:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.291:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.292:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.293:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.294:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.84:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.85:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.86:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.87:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.88:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.89:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.

:mozilla.46:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.47:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.48:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.49:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.50:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.

:mozilla.100:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.

:mozilla.101:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.

:mozilla.99:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Tradedoubler : Nettoyé.

:mozilla.289:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Tribalfusion : Nettoyé.

:mozilla.106:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.

:mozilla.107:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.

:mozilla.108:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.

:mozilla.115:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.

:mozilla.326:C:\Documents and Settings\kroquette1\Application Data\Mozilla\Firefox\Profiles\vicske3b.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.

:mozilla.328:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.

:mozilla.329:C:\Documents and Settings\Ici !!!\Application Data\Mozilla\Firefox\Profiles\n2jjkzu3.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.

 

 

Fin du rapport

 

 

 

et 3- SD fix:

 

 

 

 

TITLE SDFix

if [%1]==[/second] goto Second

color 0F

 

VER|find "Windows 95">NUL

IF NOT ERRORLEVEL 1 GOTO End

 

VER|find "Windows 98">NUL

IF NOT ERRORLEVEL 1 GOTO End

 

VER|find "Windows Millennium">NUL

IF NOT ERRORLEVEL 1 GOTO End

 

if defined safeboot_option goto os

 

:AVclean

echo.

echo.

echo To run the SDFix tool please reboot to Safe Mode

echo (Reboot, tap the F8 Key and choose Safe Mode from the Advanced Menu)

echo.

echo.

echo.

echo COMMAND LINE SCANNERS:

echo.

echo.

echo 1. Download/Run a-squared (EMSI Software - 10.5 MB)

echo 2. Download/Run NGenFix (Norman - 2.3 MB)

echo 3. Download/Run SAV32CLI (Sophos - 9.7 MB)

echo E. EXIT

echo.

echo.

echo.

echo (Active Internet Connection Required To Download Files)

echo.

echo.

echo.

echo.

set /p Choice=Type 1,2,3 to Download and Run the Scanners or E to Exit....

if [%Choice%]==[1] goto ASRun

if [%Choice%]==[2] goto NGen

if [%Choice%]==[3] goto startAV

if [%Choice%]==[e] goto End

if [%Choice%]==[E] goto End

For %%a in (1,2,e,E) do if not [%Choice%]==[%%a] goto End

echo.

echo.

echo.

 

:NGen

CLS

IF EXIST NGenFix_Log.txt del /q NGenFix_Log.txt>NUL

IF EXIST NGenFix.exe goto NGenrun

echo.

echo Downloading NGenFix

echo.

echo Norman Generic Fix - http://www.norman.com/Virus/Virus_removal_tools/en

echo.

apps\download http://download.norman.no/public/NGenFix.exe NGenFix.exe

pause

 

:NGenrun

Start NGenFix.exe /run /log:"%cd%\NGenFix_Log.txt"

CLS

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo SDFix will now exit and Norman Generic Fix will start

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

pause

exit

 

:ASRun

IF EXIST a2cmd.exe GOTO ASmenu

IF EXIST a2cmd.zip GOTO ASZIP

CLS

echo Downloading a-squared Command Line Scanner

echo.

echo EMSI Software - http://www.emsisoft.com

echo.

apps\download http://download3.emsisoft.com/a2cmd.zip a2cmd.zip

pause

GOTO ASRun

 

:ASZIP

apps\unzip -o a2cmd.zip

IF NOT EXIST a2cmd.exe GOTO ASRun

 

:ASmenu

CLS

echo.

echo.

echo a-squared Command Line Scanner (EMSI Software)

echo.

echo (%systemdrive%, Memory, Cookie, Archive and ADS scanning enabled)

echo (Infected Items are placed into the Quarantine Folder)

echo.

echo 1. Update (Please Update Before Scanning!)

echo.

echo 2. Full Scan

echo.

echo 3. Full Scan (Heuristic/Riskware Scanning enabled)

echo.

echo 4. Save Quarantine List (Quarantine_Report.txt)

echo.

echo E. EXIT

echo.

echo Scanlogs will save to:

echo %cd%\asquared_Report.txt

echo.

echo.

set /p Choice=Type 1,2,3,4 or E to Exit....

if [%Choice%]==[1] goto ASUpd

if [%Choice%]==[2] goto ASfull

if [%Choice%]==[3] goto ASheur

if [%Choice%]==[4] goto ASQuar

if [%Choice%]==[E] goto End

For %%a in (1,2,3,4,e,E) do if not [%Choice%]==[%%a] goto End

echo.

 

GOTO AVclean

 

:ASQuar

a2cmd /ql>Quarantine_Report.txt

notepad Quarantine_Report.txt

goto ASMenu

 

:ASUpd

CLS

a2cmd /U

goto ASMenu

 

:ASfull

start a2cmd /f="%systemdrive%" /m /t /c /a /n /q /l="%cd%\asquared_Report.txt"

goto End

 

:ASheur

start a2cmd /f="%systemdrive%" /m /t /c /h /r /a /n /q /l="%cd%\asquared_Report.txt"

goto End

 

:MENU

CLS

echo.

echo.

echo Sophos Anti-Virus for Win32 Command Line Interface

echo (SAV32CLI)

echo.

echo.

echo 1 - Run Quick Scan

echo 2 - Run Quick scan/Disinfect

echo 3 - Run Quick scan/Remove Infections

echo 4 - Run Full Scan

echo 5 - Run Full scan/Disinfect

echo 6 - Run Full scan/Remove Infections

echo E - EXIT

echo.

echo.

echo Scanlogs will save to:

echo %cd%\SophosReport.txt

echo.

echo.

echo.

echo.

set /p Choice=Type (1,2,3,4,5,6) to Run Sophos AV scan and save the log or E to Exit....

if [%Choice%]==[1] goto startquick

if [%Choice%]==[2] goto quickdi

if [%Choice%]==[3] goto quickrem

if [%Choice%]==[4] goto startfull

if [%Choice%]==[5] goto fulldi

if [%Choice%]==[6] goto fullrem

if [%Choice%]==[e] goto End

if [%Choice%]==[E] goto End

For %%a in (1,2,3,4,5,6,e,E) do if not [%Choice%]==[%%a] goto AVclean

 

:startAV

 

echo Downloading Definition File from Sophos...

echo.

echo Sophos Anti-Virus - http://www.sophos.com/

echo.

MD "%cd%\IDE">NUL

apps\download http://www.sophos.com/downloads/ide/414_ides.zip 414_ides.zip

apps\unzip -o 414_ides.zip

 

MOVE *.ide "%cd%\IDE">NUL

DEL /Q 41?_ides.zip

 

del /q SophosReport.txt sav32sfx.exe 2>nul

if exist %systemdrive%\SAV32CLI\SAV32CLI.EXE goto MENU

 

echo Downloading SAV32CLI from Sophos...

echo Sophos Anti-Virus - http://www.sophos.com/

echo.

apps\download http://www.sophos.com/tools/sav32sfx.exe sav32sfx.exe

pause

echo.

if exist sav32sfx.exe goto Next

if not exist sav32sfx.exe goto startAV

 

goto MENU

 

:Next

 

if exist %systemdrive%\SAV32CLI\SAV32CLI.EXE goto MENU

if exist sav32sfx.exe start sav32sfx.exe

cls

echo.

echo Please Unzip files to the default location - %systemdrive%\SAV32CLI

echo.

echo.

echo.

echo When the Sophos extraction window opens Click OK, Click Unzip

echo.

echo and OK again then click Close and any key to continue...

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

PAUSE

if exist %systemdrive%\SAV32CLI\SAV32CLI.EXE goto MENU

if not exist sav32sfx.exe goto StartAV

 

GOTO Next

 

:startquick

start %systemdrive%\SAV32CLI\SAV32CLI -nb -dn --stop-scan -idedir="%cd%\IDE" -P="%cd%\SophosReport.txt"

GOTO END

 

:quickdi

start %systemdrive%\SAV32CLI\SAV32CLI -di -nc -nb -dn --stop-scan -idedir="%cd%\IDE" -P="%cd%\SophosReport.txt"

GOTO END

 

:quickrem

start %systemdrive%\SAV32CLI\SAV32CLI -remove -nc -nb -dn --stop-scan -idedir="%cd%\IDE" -P="%cd%\SophosReport.txt"

GOTO END

 

:startfull

start %systemdrive%\SAV32CLI\SAV32CLI -f -nb -dn --stop-scan -idedir="%cd%\IDE" -P="%cd%\SophosReport.txt"

GOTO END

 

:fulldi

start %systemdrive%\SAV32CLI\SAV32CLI -f -di -nc -nb -dn --stop-scan -idedir="%cd%\IDE" -P="%cd%\SophosReport.txt"

GOTO END

 

:fullrem

start %systemdrive%\SAV32CLI\SAV32CLI -f -remove -nc -nb -dn --stop-scan -idedir="%cd%\IDE" -P="%cd%\SophosReport.txt"

GOTO END

 

:notrun

 

echo.

echo SDFix cannot run on this system because Malware Immunizer is Installed

echo.

echo Malware Immunizer creates hundreds of files and folders in different locations

echo using malware filenames to prevent malware installing with the same name,

echo.

echo Running SDFix with Malware Immunizer present will cause conflicts

echo and false detections

echo.

echo If you wish to run SDFix, please uninstall Malware Immunizer from the system

echo.

echo Please Post the Report.txt which is in the SDFix folder back onto the forum.

echo.

echo SDFix will now exit...

echo.

pause

 

>> Report.txt (

echo.

echo SDFix cannot run on this system because Malware Immunizer is Installed

echo.

echo Malware Immunizer creates hundreds of files and folders in different locations

echo using malware filenames to prevent malware installing with the same name,

echo.

echo Running SDFix with Malware Immunizer present will cause conflicts and false detections

echo.

echo If you wish to run SDFix, please uninstall Malware Immunizer from the system first...

echo.)

 

exit

 

:os

 

ver|find "Windows XP">nul && set TypeOS=XP

if [%TypeOS%]==[XP] goto Start

ver|find "Windows 2000">nul && set TypeOS=W2K

if [%TypeOS%]==[W2K] goto Start

 

goto End

 

:Start

 

IF EXIST "%ProgramFiles%\Malware Immunizer\MI.exe" goto notrun

 

color 0F

set update=%Version 1.63

 

echo.

echo.

echo *** SDFix %update% ***

echo.

echo.

echo.

echo.

echo SDFix was developed with the greatest attention to detail,

echo However, Use of this program is at your own discretion.

echo The program is provided "as is" without warranty of any kind.

echo.

echo.

echo Backups will be made of registry entries and files before they are removed

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

set /p Choice=Type Y to proceed or N to Exit....

if [%Choice%]==[y] goto fix

if [%Choice%]==[Y] goto fix

if [%Choice%]==[n] goto End

if [%Choice%]==[N] goto End

For %%a in (Y,y,N,n) do if not [%Choice%]==[%%a] goto End

echo.

 

:fix

cls

 

if not exist %windir%\system32\AUTOEXEC.NT goto missing

if not exist %windir%\system32\Config.nt goto missing

if not exist %windir%\system32\Command.com goto missing

 

FOR %%G in (

find.exe

findstr.exe

attrib.exe

) DO IF NOT EXIST "%cd%\%%G" copy %systemroot%\system32\%%G "%cd%\%%G" >NUL

 

IF NOT EXIST "%cd%\regedit.exe" copy %systemroot%\regedit.exe "%cd%\regedit.exe" >NUL

 

>fixtools.reg (

echo REGEDIT4

echo.

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System]

echo "DisableRegistryTools"=-

echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer]

echo "DisableRegistryTools"=-

echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

echo "DisableRegistryTools"=-

echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer]

echo "DisableRegistryTools"=-)

 

apps\swreg import fixtools.reg>nul 2>&1

del /q fixtools.reg

 

echo.

echo Starting Repairs:

echo.

echo Checking Running Processes, Services and Files...

echo.

 

> partnership.txt (

dir /b/s/a:-d "%allusersprofile%\partnership.*" 2>nul)

 

if exist Report_old_3.txt ren Report_old_3.txt Report_old_4.txt>NUL

if exist Report_old_2.txt ren Report_old_2.txt Report_old_3.txt>NUL

if exist Report_old_1.txt ren Report_old_1.txt Report_old_2.txt>NUL

if exist Report.txt ren Report.txt Report_old_1.txt>NUL

 

apps\process -k explorer.exe >NUL

 

if exist partnership.txt FIND /I "partnership"<partnership.txt>NUL && apps\process -k smss.exe >> kill.txt

if exist partnership.txt FIND /I "partnership"<partnership.txt>NUL && apps\process -k winlogon.exe >> kill.txt

 

if exist %systemroot%\system32\crypts.dll apps\process -k smss.exe >> kill.txt

if exist %systemroot%\system32\crypts.dll apps\process -k winlogon.exe >> kill.txt

if exist %systemroot%\system32\ntos.exe apps\process -k smss.exe >> kill.txt

if exist %systemroot%\system32\ntos.exe apps\process -k winlogon.exe >> kill.txt

if exist %systemroot%\system32\ntos.exe apps\process -k ntos.exe >> kill.txt

if exist %systemroot%\system32\rpcc.dll apps\process -k smss.exe >> kill.txt

if exist %systemroot%\system32\rpcc.dll apps\process -k winlogon.exe >> kill.txt

if exist %systemroot%\system32\rpccd.dll apps\process -k smss.exe >> kill.txt

if exist %systemroot%\system32\rpccd.dll apps\process -k winlogon.exe >> kill.txt

if exist %systemroot%\szr_dll.dll apps\process -k smss.exe >> kill.txt

if exist %systemroot%\szr_dll.dll apps\process -k winlogon.exe >> kill.txt

 

apps\process -k iexplore.exe >NUL

apps\process -k wupdmgr.exe >> kill.txt

 

if exist %systemroot%\system32\1.tmp apps\process -k 1.tmp >> kill.txt

if exist %systemroot%\system32\2.tmp apps\process -k 2.tmp >> kill.txt

if exist %systemroot%\system32\a apps\process -k a >> kill.txt

if exist %systemroot%\system32\asus.exe apps\process -k asus.exe >> kill.txt

if exist %systemroot%\system32\bootini.exe apps\process -k bootini.exe >> kill.txt

if exist %systemroot%\system32\chh.exe apps\process -k chh.exe >> kill.txt

if exist %systemroot%\system32\creative.exe apps\process -k creative.exe >> kill.txt

if exist %systemroot%\system32\esijavaupdt32.exe apps\process -k esijavaupdt32.exe >> kill.txt

if exist %systemroot%\system32\explorer..exe apps\process -k explorer..exe >> kill.txt

if exist %systemroot%\system32\fservice.exe apps\process -k fservice.exe >> kill.txt

if exist %systemroot%\system32\glossary.exe apps\process -k glossary.exe >> kill.txt

if exist %systemroot%\system32\javaapplets.exe apps\process -k javaapplets.exe >> kill.txt

if exist %systemroot%\system32\javaapplet.exe apps\process -k javaapplet.exe >> kill.txt

if exist %systemroot%\system32\javanet.exe apps\process -k javanet.exe >> kill.txt

if exist %systemroot%\system32\jconsole.exe apps\process -k jconsole.exe >> kill.txt

if exist %systemroot%\system32\linksys.exe apps\process -k linksys.exe >> kill.txt

if exist %systemroot%\system32\mbti.exe apps\process -k mbti.exe >> kill.txt

if exist %systemroot%\system32\mguard.exe apps\process -k mguard.exe >> kill.txt

if exist %systemroot%\system32\mpreg.exe apps\process -k mpreg.exe >> kill.txt

if exist %systemroot%\system32\MS32.exe apps\process -k MS32.exe >> kill.txt

if exist %systemroot%\system32\msclt.exe apps\process -k msclt.exe >> kill.txt

if exist %systemroot%\system32\msdnxp.exe apps\process -k msdnxp.exe >> kill.txt

if exist %systemroot%\system32\msdn-nt.exe apps\process -k msdn-nt.exe >> kill.txt

if exist %systemroot%\system32\msejavaupdt32.exe apps\process -k msejavaupdt32.exe >> kill.txt

if exist %systemroot%\system32\msguard.exe apps\process -k msguard.exe >> kill.txt

if exist %systemroot%\system32\msident.exe apps\process -k msident.exe >> kill.txt

if exist %systemroot%\system32\msi32java.exe apps\process -k msi32java.exe >> kill.txt

if exist %systemroot%\system32\msijavaupdt32.exe apps\process -k msijavaupdt32.exe >> kill.txt

if exist %systemroot%\system32\msjava.exe apps\process -k msjava.exe >> kill.txt

if exist %systemroot%\system32\msjavames.exe apps\process -k msjavames.exe >> kill.txt

if exist %systemroot%\system32\msjavaxps.exe apps\process -k msjavaxps.exe >> kill.txt

if exist %systemroot%\system32\msreged32.exe apps\process -k msreged32.exe >> kill.txt

if exist %systemroot%\system32\mssqlsnt.exe apps\process -k mssqlsnt.exe >> kill.txt

if exist %systemroot%\system32\msvce.exe apps\process -k msvce.exe >> kill.txt

if exist %systemroot%\system32\msvce32.exe apps\process -k msvce32.exe >> kill.txt

if exist %systemroot%\system32\msvcrt.exe apps\process -k msvcrt.exe >> kill.txt

if exist %systemroot%\system32\netapi.exe apps\process -k netapi.exe >> kill.txt

if exist %systemroot%\system32\nlc.exe apps\process -k nlc.exe >> kill.txt

if exist %systemroot%\system32\osndyrn.exe apps\process -k osndyrn.exe >> kill.txt

if exist %systemroot%\system32\scvhost.exe apps\process -k scvhost.exe >> kill.txt

if exist %systemroot%\system32\scvhost apps\process -k scvhost >> kill.txt

if exist %systemroot%\scvhost.exe apps\process -k scvhost.exe >> kill.txt

if exist %systemroot%\system32\shchostv.exe apps\process -k shchostv.exe >> kill.txt

if exist %systemroot%\system32\SndMAX.exe apps\process -k SndMAX.exe >> kill.txt

if exist %systemroot%\system32\soundmax.exe apps\process -k soundmax.exe >> kill.txt

if exist %systemroot%\system32\spoolsrvc.exe apps\process -k spoolsrvc.exe >> kill.txt

if exist %systemroot%\system32\sp2vc.exe apps\process -k sp2vc.exe >> kill.txt

if exist %systemroot%\system32\svcvhost.exe apps\process -k svcvhost.exe >> kill.txt

if exist %systemroot%\SVICHHOST.exe apps\process -k SVICHHOST.exe >> kill.txt

if exist %systemroot%\system32\SVICHHOST.exe apps\process -k SVICHHOST.exe >> kill.txt

if exist %systemroot%\system32\xpjavams.exe apps\process -k xpjavams.exe >> kill.txt

if exist %systemroot%\system32\wincomm.exe apps\process -k wincomm.exe >> kill.txt

if exist %systemroot%\system32\windfe.exe apps\process -k windfe.exe >> kill.txt

if exist %systemroot%\WinIogon.exe apps\process -k WinIogon.exe >> kill.txt

if exist %systemroot%\winlog.exe apps\process -k winlog.exe >> kill.txt

if exist %systemroot%\system32\winlog.exe apps\process -k winlog.exe >> kill.txt

if exist %systemroot%\system32\winser.exe apps\process -k winser.exe >> kill.txt

if exist %systemroot%\system32\winservnt32.exe apps\process -k winservnt32.exe >> kill.txt

if exist %systemroot%\system32\winskd.exe apps\process -k winskd.exe >> kill.txt

if exist %systemroot%\system32\winsys.exe apps\process -k winsys.exe >> kill.txt

if exist %systemroot%\system32\wintask32.exe apps\process -k wintask32.exe >> kill.txt

if exist %systemroot%\system32\wkssvr.exe apps\process -k wkssvr.exe >> kill.txt

if exist %systemroot%\system32\wrapper.exe apps\process -k wrapper.exe >> kill.txt

if exist %systemroot%\wuaucll.exe apps\process -k wuaucll.exe >> kill.txt

if exist %systemroot%\system32\wunosjava.exe apps\process -k wunosjava.exe >> kill.txt

 

if exist backups_old3 ren backups_old3 backups_old4

if exist backups_old2 ren backups_old2 backups_old3

if exist backups_old1 ren backups_old1 backups_old2

if exist backups ren backups backups_old1

 

mkdir backups

mkdir backupreg

apps\swreg export "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services" .\backupreg\Backup_Services.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root" .\backupreg\Backup_Legacy.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" .\backupreg\Backup_HKLMRun.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices" .\backupreg\Backup_HKLMRunServices.reg

apps\swreg export "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" .\backupreg\Backup_HKCURun.reg

apps\swreg export "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices" .\backupreg\Backup_HKCURunServices.reg

apps\swreg export "HKEY_CLASSES_ROOT\exefile\shell\open\command" .\backupreg\Backup_exe_shell_open.reg

apps\swreg export "HKEY_CLASSES_ROOT\txtfile\shell\open\command" .\backupreg\Backup_txt_shell_open.reg

apps\swreg export "HKEY_CLASSES_ROOT\regfile\shell\open\command" .\backupreg\Backup_reg_shell_open.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies" .\backupreg\Backup_HKLMPolicy.reg

apps\swreg export "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies" .\backupreg\Backup_HKCUPolicy.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load1" .\backupreg\Backup_ControlPanel_Load1.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" .\backupreg\Backup_AppInit_DLLs.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" .\backupreg\Backup_WinlogonNotify.reg

 

regedit.exe /s apps\assosfix.reg

 

echo.

echo Please Be Patient As This May Take Several Minutes

echo.

 

apps\sc.exe GetKeyName "Print Spooler Service"|FIND /I "SUCCESS">>CheckSvc.txt

IF EXIST CheckSvc.txt For /f "tokens=6 delims= " %%G in (CheckSvc.txt) DO ECHO %%G>>apps\svc.txt

IF EXIST CheckSvc.txt For /f "tokens=6 delims= " %%G in (CheckSvc.txt) DO ECHO %%G>>apps\legacy.txt

 

apps\swreg query "HKLM\SYSTEM\CurrentControlSet\Services\aspi113210"|FIND /I "Imagepath">>Checkasp.txt

FOR /F "TOKENS=4 DELIMS=\" %%G in (Checkasp.txt) DO ECHO %systemroot%\system32\%%G>>Find.txt

 

IF EXIST "%systemroot%\system32\Microsoft\backup.ftp" goto replacetp

IF EXIST "%systemroot%\system32\Microsoft\backup.tftp" goto replacetp

 

goto sdstart

 

:replacetp

 

>> ftpcheck.txt (

echo.

if exist %systemroot%\system32\Microsoft\backup.ftp echo %systemroot%\system32\Microsoft\backup.ftp Found...

if exist %systemroot%\system32\Microsoft\backup.tftp echo %systemroot%\system32\Microsoft\backup.tftp Found...

echo.

echo Checking files:

echo.)

 

> tplocs.txt (

echo %systemroot%\system32\Microsoft\backup.ftp

echo %systemroot%\system32\Microsoft\backup.tftp

echo %systemroot%\system32\ftp.exe

echo %systemroot%\system32\tftp.exe

echo %systemroot%\system32\dllcache\ftp.exe

echo %systemroot%\system32\dllcache\tftp.exe)

 

echo %systemroot%\system32\Microsoft\backup.ftp> tplocsbakf.txt

echo %systemroot%\system32\Microsoft\backup.tftp> tplocsbakt.txt

 

>> ftpcheck.txt (

echo Genuine:

findstr /m /f:tplocs.txt "XcptFilter"

echo.

echo Dummy:

findstr /m /f:tplocs.txt "JARich")

 

findstr /m /f:tplocs.txt "JARich" && goto startrep

 

goto sdstart

 

:startrep

 

findstr /m /f:tplocsbakf.txt "XcptFilter" && COPY /Y "%systemroot%\system32\ftp.exe" backups>nul

findstr /m /f:tplocsbakt.txt "XcptFilter" && COPY /Y "%systemroot%\system32\tftp.exe" backups>nul

findstr /m /f:tplocsbakf.txt "XcptFilter" && COPY /Y "%systemroot%\system32\Microsoft\backup.ftp" "%systemroot%\system32\dllcache\ftp.exe">nul

findstr /m /f:tplocsbakt.txt "XcptFilter" && COPY /Y "%systemroot%\system32\Microsoft\backup.tftp" "%systemroot%\system32\dllcache\tftp.exe">nul

findstr /m /f:tplocsbakf.txt "XcptFilter" && COPY /Y "%systemroot%\system32\Microsoft\backup.ftp" "%systemroot%\system32\ftp.exe">nul

findstr /m /f:tplocsbakt.txt "XcptFilter" && COPY /Y "%systemroot%\system32\Microsoft\backup.tftp" "%systemroot%\system32\tftp.exe">nul

CLS

 

>> ftpcheck.txt (

echo.

echo Files copied to SDFix\Backups

echo.

echo Restoring files if backups are found

echo.

echo Final Check:

echo.

echo Genuine:

findstr /m /f:tplocs.txt "XcptFilter"

echo.

echo Dummy:

findstr /m /f:tplocs.txt "JARich"

echo.)

 

:sdstart

 

> Report.txt (

echo.

echo SDFix: %update%

echo.

echo %date% - %time%

ver

echo.

echo Running From: %cd%

echo.

echo Safe Mode:

echo Checking Services:

echo.

echo Name:

For /f "tokens=*" %%G in (apps\svc.txt) do apps\SWReg QUERY "HKLM\SYSTEM\CurrentControlSet\Services\%%~G"|Find /I "imagepath">>Check.txt && echo %%~G

echo.

echo Path:

for /f "tokens=3*" %%a in (Check.txt) do echo %%a %%b

echo.

For /f "tokens=*" %%G in (apps\svc.txt) do apps\SWSC.exe delete "%%~G" >nul && echo %%~G Deleted

For /f "tokens=*" %%G in (apps\disable.txt) do apps\SWSC.exe config "%%~G" start= disabled>nul && echo %%~G Disabled

echo.

echo Restoring Windows Registry Entries

echo Restoring Default Hosts File

echo.)

 

regedit.exe /s apps\fix.reg

 

if exist kill.txt FIND /i "Killing" < kill.txt >>Report.txt

IF EXIST ftpcheck.txt TYPE ftpcheck.txt>>Report.txt

 

echo Restoring Windows Registry Entries

echo Restoring Default Hosts File

 

if [%TypeOS%]==[W2K] goto wkfix

 

:xpfix

 

> xpfix.reg (

echo REGEDIT4

echo.

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

echo "Shell"="Explorer.exe"

echo "Userinit"="%windir:\=\\%\\system32\\userinit.exe,"

echo "SFCDisable"=dword:00000000

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]

echo "%windir:\=\\%\\system32\\wadinst.sys"=-

echo "%windir:\=\\%\\system32\\1u7.exe"=-)

 

regedit.exe /s xpfix.reg

move /y xpfix.reg .\backupreg\BackupSDRepairXP.reg

 

regedit.exe /s apps\fixXP.reg

 

goto continue

 

:wkfix

 

> wkfix.reg (

echo REGEDIT4

echo.

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

echo "Start"=dword:00000003

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

echo "Shell"="Explorer.exe"

echo "Userinit"="%windir:\=\\%\\system32\\userinit.exe,"

echo "SFCDisable"=dword:00000000

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]

echo "%windir:\=\\%\\system32\\wadinst.sys"=-

echo "%windir:\=\\%\\system32\\1u7.exe"=-)

 

regedit.exe /s wkfix.reg

move /y wkfix.reg .\backupreg\BackupSDRepairW2K.reg

if exist "%systemdrive%\WINDOWS\eraseme_?????.exe" dir /b/s/a-d %systemdrive%\WINDOWS\eraseme_?????.exe >>Find.txt

 

:continue

 

REGEDIT /E CHECK.TXT "HKEY_CLASSES_ROOT\CLSID\{855875B5-93F3-429D-FF34-660B206D897C}"

IF EXIST CHECK.TXT FIND /I "@"<CHECK.TXT>CHECK1.TXT

IF EXIST CHECK1.TXT FOR /F "TOKENS=4 DELIMS=\." %%G in (CHECK1.TXT) DO CALL SET BADDLL=%%G

IF EXIST %systemroot%\system32\%BADDLL%.dll ECHO %systemroot%\system32\%BADDLL%.dll>>FIND.TXT

 

REGEDIT /E CHECK2.TXT "HKEY_CLASSES_ROOT\CLSID\{947254B5-96F3-4A9D-FF34-8466477D897C}"

IF EXIST CHECK2.TXT FIND /I "@"<CHECK.TXT>CHECK3.TXT

IF EXIST CHECK3.TXT FOR /F "TOKENS=4 DELIMS=\." %%A in (CHECK3.TXT) DO CALL SET MOFILE=%%A

IF EXIST %systemroot%\system32\%MOFILE%.dll ECHO %systemroot%\system32\%MOFILE%.dll>>FIND.TXT

 

apps\locate "%systemroot%\SYSTEM32\*.dll" /D- /s:4096! /n >>TEST200.TXT

findstr /m /f:TEST200.TXT "WhAtTheFuck" >> TEST201.TXT

findstr /m /f:TEST201.TXT "ReleaseMutex" && GOTO AppInitstart

 

goto ssnext

 

:AppInitstart

 

regedit.exe /s apps\Reset_AppInit_DLLs.reg

ECHO Reset AppInit_DLLs value >>Report.txt

ECHO.>>Report.txt

 

:ssnext

 

regedit.exe /s apps\FIXCU.reg

regedit.exe /s apps\FIXLM.reg

 

ATTRIB -h -s -r -a "%windir%\SYSTEM32\DRIVERS\ETC\HOSTS" >NUL

DEL /Q "%windir%\SYSTEM32\DRIVERS\ETC\HOSTS" >nul 2>&1

 

>%windir%\SYSTEM32\DRIVERS\ETC\HOSTS (

echo # Copyright © 1993-1999 Microsoft Corp.

echo #

echo # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

echo #

echo # This file contains the mappings of IP addresses to host names. Each

echo # entry should be kept on an individual line. The IP address should

echo # be placed in the first column followed by the corresponding host name.

echo # The IP address and the host name should be separated by at least one

echo # space.

echo #

echo # Additionally, comments ^(such as these^) may be inserted on individual

echo # lines or following the machine name denoted by a "#" symbol.

echo #

echo # For example:

echo #

echo # 102.54.94.97 rhino.acme.com # source server

echo # 38.25.63.10 x.acme.com # x client host

echo #

echo 127.0.0.1 localhost)

 

apps\swreg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /v "SDFix" /d "%~s0 /second"

apps\swreg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SDFix" /d "%cd%\RunThis.bat /second"

 

echo.

echo Checking Files,

echo.

echo Please Wait...

 

apps\locate "%systemroot%\system32\*.exe" /s:74752! /D- /n>>TEST1.TXT

findstr /m /f:TEST1.TXT "z&Q8dD79" >> TEST2.TXT

findstr /m /f:TEST2.TXT "o!H6kv<" >> TEST3.TXT

findstr /m /f:TEST2.TXT "o!H6kv<" >> Find.txt

apps\locate "%temp%\*.tmp" /s:40960! /D- /n /nr>>TEST4.TXT

findstr /m /f:TEST4.TXT "Neg_TMFf" >> TEST5.TXT

findstr /m /f:TEST5.TXT "Project1.exe" >> Find.txt

apps\locate "%systemdrive%\*.T" /D- /s:17571! /n>>TEST6.TXT

findstr /m /f:TEST6.TXT "[email protected]=?3Q">> Find.txt

apps\locate "%systemdrive%\*.T" /D- /s:47235! /n>>TEST7.TXT

apps\locate "%systemdrive%\*.exe" /D- /s:47235! /n>>TEST7.TXT

findstr /m /f:TEST7.TXT "h4a8Sjby{" >> TEST8.TXT

findstr /m /f:TEST8.TXT "SU_UCk" >> Find.txt

apps\locate "%systemroot%\system32\*.exe" /D- /s:93184! /n /nr>>TEST9.TXT

findstr /m /f:TEST9.TXT "VC20XC00U" >> TEST10.TXT

findstr /m /f:TEST10.TXT "{73364D99-1240-4dff-B12A-67E448373148}" >> Find.txt

apps\locate "%systemroot%\system32\*.exe" /D- /s:16384! /n /nr>>TEST11.TXT

findstr /m /f:TEST11.TXT "acmz1__g0ma" >> TEST12.TXT

findstr /m /f:TEST12.TXT "c+dLis3Ne" >> Find.txt

apps\locate "%systemroot%\system32\*.exe" /D- /s:2560! /n /nr>>TEST13.TXT

findstr /m /f:TEST13.TXT "fxaD-qaWZ<O" >> TEST14.TXT

findstr /m /f:TEST14.TXT "rmfmwt" >> Find.txt

apps\locate "%systemroot%\system32\*.exe" /D- /s:13824! /n /nr>>TEST15.TXT

findstr /m /f:TEST15.TXT "98EEA-FEFA-451b-ACF2-7561F94B119k" >> TEST16.TXT

findstr /m /f:TEST16.TXT "rbmlz.txt" >> Find.txt

apps\locate "%systemroot%\system32\*.dll" /D- /s:61! /n /nr>>TEST17.TXT

findstr /m /f:TEST17.TXT "rne:}" >> TEST18.TXT

findstr /m /f:TEST18.TXT "cq<nfx" >> Find.txt

apps\locate "%systemroot%\system32\*.exe" /D- /s:105070! /n /nr>>TEST19.TXT

findstr /m /f:TEST19.TXT "KtVLnlmh" >> TEST20.TXT

findstr /m /f:TEST20.TXT "xAuEvAzKLH" >> Find.txt

apps\locate "%userprofile%\*.exe" /D- /s:16896! /n>>TEST21.TXT

apps\locate "%systemroot%\*.exe" /D- /s:16896! /n>>TEST21.TXT

findstr /m /f:TEST21.TXT "|x3z|x3z|x3z" >> TEST22.TXT

findstr /m /f:TEST22.TXT "inet_ntoa" >> Find.txt

apps\locate "%userprofile%\*.dll" /D- /s:4096! /n >>TEST23.TXT

apps\locate "%userprofile%\*.exe" /D- /s:4096! /n >>TEST23.TXT

apps\locate "%systemroot%\*.dll" /D- /s:4096! /n >>TEST23.TXT

apps\locate "%systemroot%\*.exe" /D- /s:4096! /n >>TEST23.TXT

findstr /m /f:TEST23.TXT "WhAtTheFuck" >> TEST24.TXT

findstr /m /f:TEST24.TXT "ReleaseMutex" >> Find.txt

apps\locate "%temp%\par*.tmp" /D- /n /nr>>TEST25.TXT

findstr /m /f:TEST25.TXT "ROXWUN" >> Find.txt

apps\locate "%temp%\????.tmp" /D- /n /nr>>TEST26.TXT

findstr /m /f:TEST26.TXT "K~LIAMMAILEG<" >> Find.txt

apps\locate "%temp%\*" /D- /n /nr>>TEST27.TXT

findstr /m /f:TEST27.TXT "www.affiliates.topinstalls.com" >> Find.txt

apps\locate "%systemroot%\system32\*.dll" /D- /s:8704! /n /nr>>TEST28.TXT

findstr /m /f:TEST28.TXT "gOhgkog.exe" >> Find.txt

apps\locate "%systemroot%\system32\*.sys" /D- /s:51733! /n /nr>>TEST29.TXT

findstr /m /f:TEST29.TXT "nOqBj#6Y" >> TEST30.TXT

findstr /m /f:TEST30.TXT "GyjnI5Q!" >> Find.txt

 

IF EXIST TEST3.TXT FOR /F "TOKENS=4 DELIMS=\" %%G in (TEST3.TXT) DO CALL SET WormFol=%%G

IF EXIST "%systemroot%\system32\%WormFol%\Winlogon.ini" echo %systemroot%\system32\%WormFol%\Winlogon.ini>>Find.txt

 

IF EXIST "%systemroot%\system32\wsnpoem\audio.dll" echo %systemroot%\system32\wsnpoem\audio.dll>>Find.txt

IF EXIST "%systemroot%\system32\wsnpoem\video.dll" echo %systemroot%\system32\wsnpoem\video.dll>>Find.txt

IF EXIST "%systemroot%\system32\wsnpoem\audio.dll" Move /Y %systemroot%\system32\wsnpoem\audio.dll backups\audio.dll>NUL

IF EXIST "%systemroot%\system32\wsnpoem\video.dll" Move /Y %systemroot%\system32\wsnpoem\video.dll backups\video.dll>NUL

 

cls

echo.

echo.

echo The PC will now restart, SDFix will run after rebooting to Finish the Cleanup

echo.

echo.

echo Please press any key to restart

echo.

echo.

echo.

 

for /f "tokens=*" %%a in (apps\rem.txt) do if exist "%%a" (

del /q "%%a" )

 

 

pause

 

start apps\RestartIt!.exe /f:reboot

 

goto End

 

:missing

 

echo.

echo.

echo FILES MISSING !!

echo ******************

echo.

echo.

echo.

echo Files are missing, this step will replace the files then restart SDFix

echo.

echo Please Unzip the files to System32 when you see the prompt by pressing UNZIP

echo then click OK and CLOSE and press any key to start the fixtool again..

echo.

echo.

echo.

if [%TypeOS%]==[W2K] start apps\Replace\W2K.exe

if [%TypeOS%]==[XP] start apps\Replace\XP.exe

pause

cls

Goto Start

 

:Second

color 0F

cd %~dps0

 

echo.

echo Stage Two:

echo.

echo Finishing Registry Repairs...

 

For /f "tokens=*" %%G in (apps\legacy.txt) do (

apps\RegDACL "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%%G" /gga:F>NUL)

 

>clean.reg (

echo REGEDIT4

echo.

echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Time]

echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Time]

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

echo "SDFix"=-

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

echo "SDFix"=-)

 

For /f "tokens=*" %%G in (apps\svc.txt) do (

echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%%G]>>clean.reg)

For /f "tokens=*" %%G in (apps\legacy.txt) do (

echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%%G]>>clean.reg )

 

regedit.exe /s clean.reg

 

>>Report.txt (

echo.

echo Rebooting...

echo.

echo Normal Mode:

echo Checking Files:)

 

IF EXIST partnership.txt FIND /I "partnership"<partnership.txt>>FIND.txt

 

>inetcheck.txt (

if exist %systemroot%\inet20??? dir /b %systemroot%\inet20??? 2>nul)

if exist inetcheck.txt for /f "tokens=* delims=inet2" %%a in (inetcheck.txt) do dir /b/s/a-d %systemroot%\inet2%%a\>>Find.txt

 

for /f "tokens=2* delims=%%" %%g in (

'apps\swreg query "hkcu\software\microsoft\windows\currentversion\explorer\user shell folders" ^|

find.exe /i "startup"'

) do call set start=%%%%g%%%%h

 

for /f "tokens=2* delims=%%" %%g in (

'apps\swreg query "hklm\software\microsoft\windows\currentversion\explorer\user shell folders" ^|

find.exe /i "common startup"'

) do call set allstart=%%%%g%%%%h

 

CLS

 

echo.

echo Checking Files:

echo.

echo Please Wait....

 

>> Find.txt (

dir /b/s/a-d "%userprofile%\pack.dat" 2>nul

dir /b/s/a-d %systemroot%\*.exe.exe 2>nul

dir /b/s/a-d %systemroot%\*.png.exe 2>nul

dir /b/s/a-d %systemroot%\*_netapi.exe 2>nul

dir /b/s/a-d %systemroot%\cursors\mstask\* 2>nul

dir /b/s/a-d %systemroot%\cjnr4r4* 2>nul

dir /b/s/a-d %systemroot%\dior4f4* 2>nul

dir /b/s/a-d %systemroot%\directx.sys 2>nul

dir /b/s/a-d %systemroot%\edfimg_* 2>nul

dir /b/s/a-d %systemroot%\eraseme_?????.exe 2>nul

dir /b/s/a-d %systemroot%\haxdrv.sys 2>nul

dir /b/s/a-d %systemroot%\hide_evr2.sys 2>nul

dir /b/s/a-d %systemroot%\Hpdriver.sys 2>nul

dir /b/s/a-d %systemroot%\hxdefdrv.sys 2>nul

dir /b/s/a-d %systemroot%\*_ie-hook.dll 2>nul

dir /b/s/a-d %systemroot%\inetsponsor\* 2>nul

dir /b/s/a-d %systemroot%\Media\ringtones\* 2>nul

dir /b/s/a-d %systemroot%\mlsdf8h* 2>nul

dir /b/s/a-d %systemdrive%\msdirect.sys 2>nul

dir /b/s/a-d %systemdrive%\msdirectx.sys 2>nul

dir /b/s/a-d %systemroot%\new_drv.sys 2>nul

dir /b/s/a-d %systemroot%\nlkfev7* 2>nul

dir /b/s/a-d %systemdrive%\rdriv.sys 2>nul

dir /b/s/a-d %systemroot%\remon.sys 2>nul

dir /b/s/a-d %systemroot%\rofl.sys 2>nul

dir /b/s/a-d %systemroot%\sklrr7y* 2>nul

dir /b/s/a-d %systemroot%\SMONITOR.SYS 2>nul

dir /b/s/a-d %systemroot%\system32\1035\etc\system\* 2>nul

dir /b/s/a-d %systemroot%\system32\dllcache\win32\* 2>nul

dir /b/s/a-d %systemroot%\system32\kazaabackupfiles\* 2>nul

dir /b/s/a-d %systemroot%\system32\scif\* 2>nul

dir /b/s/a-d %systemroot%\loadadv???.exe 2>nul

dir /b/s/a-d %systemroot%\Temp\*.tmp.exe 2>nul

dir /b/s/a-d %systemroot%\Temp\ms-*.exe 2>nul

dir /b/s/a-d %systemroot%\timedrv26.sys 2>nul

dir /b/s/a-d %systemroot%\winmon.sys 2>nul

dir /b/s/a-d %temp%\*_netapi.exe 2>nul

dir /b/s/a-d %temp%\nsProcess.dll 2>nul

dir /b/s/a-d %temp%\cjnr4r4* 2>nul

dir /b/s/a-d %temp%\dior4f4* 2>nul

dir /b/s/a-d %temp%\eraseme_* 2>nul

dir /b/s/a-d %temp%\mlsdf8h* 2>nul

dir /b/s/a-d %temp%\nlkfev7* 2>nul

dir /b/s/a-d %temp%\sklrr7y* 2>nul

dir /b/s/a-d %temp%\*.tmp.dll 2>nul

dir /b/s/a-d %temp%\*.tmp.exe 2>nul

dir /b/s/a-d %temp%\*.exe.exe 2>nul

dir /b/s/a-d %temp%\*.png.exe 2>nul

 

For %%G in (

"%allstart%\JVM0.exe"

"%allstart%\msconfig.exe"

"%allstart%\MS_update_061?_KB7????.exe"

"%allstart%\taskmgr.exe"

"%allstart%\svchost.exe"

"%allstart%\Wincbr.exe"

"%allstart%\winlogin.exe"

"%allstart%\Winlogon.exe"

"%allstart%\winupdbc.exe"

"%allstart%\wsass32.exe"

"%allstart%\wupdmgr.exe"

"%start%\MS_update_061?_KB7????.exe"

"%start%\MY_C4D.jpg"

"%start%\svchost.exe"

"%start%\rBot.exe"

"%start%\winlogon.lnk"

"%programfiles%\Microsoft\svhost32.exe"

"%programfiles%\System32\svchost.exe"

"%commonprogramfiles%\msmgr32.dll"

"%commonprogramfiles%\PnpManager\upnpmngr.exe"

"%commonprogramfiles%\Microsoft Shared\MSINFO\systen32.exe"

"%appdata%\addon.dat"

%temp%\1.reg

%temp%\_check32.bat

%temp%\_ssf.vbs

%temp%\_td???.tmp

%temp%\a.dll

%temp%\a.exe

%temp%\ac?_????.exe

%temp%\adv.exe

%temp%\AutoDownSrv.exe

%temp%\autorun.inf

%temp%\axs???.tmp

%temp%\Chii.exe

%temp%\delmeexe.bat

%temp%\dl72???.exe

%temp%\dnlsvc.exe

%temp%\ExtractDLL.dll

%temp%\hd???.tmp

%temp%\HttpGet.exe

%temp%\httpget.ini

%temp%\HttpGet??????.exe

%temp%\ieupdate.exe

%temp%\install.exe

%temp%\installer.exe

%temp%\it_????.exe

%temp%\kill??.exe

%temp%\ktexec.exe

%temp%\mag????.exe

%temp%\MediaSups.exe

%temp%\msinfo32.dat

%temp%\object?.exe

%temp%\popuplog.txt

%temp%\qms?.tmp

%temp%\RarSFX0\server.exe

%temp%\rsi.exe

%temp%\s1000??.exe

%temp%\service??.exe

%temp%\setup.exe

%temp%\s?chost.exe

%temp%\SysConf.conf

%temp%\sysremove.bat

%temp%\t.bat

%temp%\temp.bat

%temp%\temp_*.bat

%temp%\test?.exe

%temp%\terminate.bat

%temp%\timedrv26.sys

%temp%\tubar????.exe

%temp%\uninstall.exe

%temp%\winlogon.exe

%temp%\winsyst32.exe

%temp%\wz??.exe

%systemdrive%\_?.exe

%systemdrive%\_xr.bat

%systemdrive%\?.bat

%systemdrive%\aaa.cab

%systemdrive%\abcdefg.bat

%systemdrive%\bootini.exe

%systemdrive%\bot.log

%systemdrive%\b?_log.txt

%systemdrive%\chh.exe

%systemdrive%\claro.exe

%systemdrive%\creative.exe

%systemdrive%\data.exe

%systemdrive%\dbg.txt

%systemdrive%\download15??.exe

%systemdrive%\DriverLoad\windrv.exe

%systemdrive%\elk.exe

%systemdrive%\glossary.exe

%systemdrive%\ieupdate.exe

%systemdrive%\iexplore.exe

%systemdrive%\iexplorer.exe

%systemdrive%\int_rem.bat

%systemdrive%\javaapplets.exe

%systemdrive%\javaapplet.exe

%systemdrive%\javanet.exe

%systemdrive%\jconsole.exe

%systemdrive%\KB295792.exe

%systemdrive%\kernel32.exe

%systemdrive%\loaders.exe

%systemdrive%\logn.exe

%systemdrive%\lsass.exe

%systemdrive%\mguard.exe

%systemdrive%\MS32.exe

%systemdrive%\msclt.exe

%systemdrive%\msejavaupdt32.exe

%systemdrive%\msi32java.exe

%systemdrive%\msident.exe

%systemdrive%\msijavaupdt32.exe

%systemdrive%\msjava.exe

%systemdrive%\msjavames.exe

%systemdrive%\msjavaxps.exe

%systemdrive%\myDelm.bat

%systemdrive%\net.exe

%systemdrive%\noexistfile.txt

%systemdrive%\osndyrn.exe

%systemdrive%\owned.txt

%systemdrive%\pizza.exe

%systemdrive%\prosys32.exe

%systemdrive%\s.exe

%systemdrive%\services.exe

%systemdrive%\sp2ini.pif

%systemdrive%\sstray.exe

%systemdrive%\svcccc.exe

%systemdrive%\svchost.com

%systemdrive%\svchost.exe

%systemdrive%\svhost.exe

%systemdrive%\Sysdll.dll

%systemdrive%\sysdrv.bat

%systemdrive%\sysini.bat

%systemdrive%\sysload.pif

%systemdrive%\syst.exe

%systemdrive%\system32.exe

%systemdrive%\t.rar

%systemdrive%\Temp\tmp?.tmp

%systemdrive%\Tmp\Isass.exe

%systemdrive%\tskmgr.exe

%systemdrive%\uniq

%systemdrive%\updata.exe

%systemdrive%\win0.exe

%systemdrive%\windfe.exe

%systemdrive%\WINDOWSPacuks.doc

%systemdrive%\WindowsXPContorl.exe

%systemdrive%\winla\winla.exe

%systemdrive%\winser.exe

%systemdrive%\winservnt32.exe

%systemdrive%\winskd.exe

%systemdrive%\winstall.exe

%systemdrive%\wrapper.exe

%systemdrive%\wunosjava.exe

%systemdrive%\WINNT\system32\esman.exe

%systemdrive%\WINNT\system32\seman.exe

%systemdrive%\xpjavams.exe

%systemdrive%\z.rar

%systemroot%\9129837.exe

%systemroot%\_logo1.exe

%systemroot%\2.tmp

%systemroot%\adminiecc.dll

%systemroot%\adminiecc.exe

%systemroot%\AdobeR.exe

%systemroot%\agl.exe

%systemroot%\alg.exe

%systemroot%\alt.exe

%systemroot%\Antivirus.exe

%systemroot%\antivirus32.exe

%systemroot%\asus.exe

%systemroot%\atapid.exe

%systemroot%\avantage32.exe

%systemroot%\avll32.exe

%systemroot%\Back_On.exe

%systemroot%\bot.exe

%systemroot%\botcrx.exe

%systemroot%\cc.exe

%systemroot%\cdfs.exe

%systemroot%\chckntfs.exe

%systemroot%\comusg.exe

%systemroot%\cmd.com

%systemroot%\cmonsvc322.exe

%systemroot%\comdlj32.dll

%systemroot%\COMMAND\explorer.exe

%systemroot%\comrepl32.exe

%systemroot%\comreplsvc.exe

%systemroot%\config.exe

%systemroot%\config\svchost.exe

%systemroot%\crss32.exe

%systemroot%\CSRSA.exe

%systemroot%\csrsc.exe

%systemroot%\csrss.exe

%systemroot%\ctfmon32.dll

%systemroot%\dcmhelp.exe

%systemroot%\directx.exe

%systemroot%\Dll.dll

%systemroot%\dll\rundll32.exe

%systemroot%\dllhost.exe

%systemroot%\dllwin.exe

%systemroot%\dmrproc.exe

%systemroot%\Download\svhost32.exe

%systemroot%\dsrss.exe

%systemroot%\dupadupam2.exe

%systemroot%\eiRecvr.exe

%systemroot%\elRecvr.exe

%systemroot%\emdat.tm?

%systemroot%\enu-hotfix912840.exe

%systemroot%\etc\services.exe

%systemroot%\explore.exe

%systemroot%\explorer32.exe

%systemroot%\explorer..exe

%systemroot%\FFFFSSSS.BAT

%systemroot%\firefox.exe

%systemroot%\folder.exe

%systemroot%\Fonts\chanflood.mrc

%systemroot%\Fonts\clone.mrc

%systemroot%\Fonts\commands.txt

%systemroot%\Fonts\Explored.exe

%systemroot%\Fonts\kernel33.exe

%systemroot%\Fonts\mirc.ini

%systemroot%\Fonts\moo.dll

%systemroot%\Fonts\portredirect.mrc

%systemroot%\Fonts\remote.ini

%systemroot%\Fonts\script.ini

%systemroot%\Fonts\winboot.bin

%systemroot%\Fonts\winconf.mrc

%systemroot%\Fonts\whvlxd.dat

%systemroot%\Fonts\whvlxd.exe

%systemroot%\fwnet64.exe

%systemroot%\gettfo.exe

%systemroot%\G_Server2006.dll

%systemroot%\G_Server2006.exe

%systemroot%\G_Server2006Key.dll

%systemroot%\Hacker.com.cn.exe

%systemroot%\harvest.exe

%systemroot%\Help\imapi.exe

%systemroot%\Help\svchost.exe

%systemroot%\Help\temp.pid

%systemroot%\HgzServer\Hacker.com.cn.exe

%systemroot%\hook.txt

%systemroot%\host.exe

%systemroot%\hp32.ini

%systemroot%\i386\csrss.exe

%systemroot%\icmp1.exe

%systemroot%\ie.exe

%systemroot%\ie-hook.txt

%systemroot%\iedw.exe

%systemroot%\IefxTray.exe

%systemroot%\ieredir.exe

%systemroot%\ieserver.exe

%systemroot%\iexpl0re.exe

%systemroot%\iexplore.exe

%systemroot%\iexplorer7.exe

%systemroot%\iis\iesetup.exe

%systemroot%\iisctrl.exe

%systemroot%\INETSVC.EXE

%systemroot%\inf\rundll32.exe

%systemroot%\Intel\rundll32.exe

%systemroot%\internet.exe

%systemroot%\iTunesMusic.exe

%systemroot%\JavaPlatform

%systemroot%\kbdsvc.exe

%systemroot%\jusched.exe

%systemroot%\lcass.exe

%systemroot%\litmus\lssas.exe

%systemroot%\logins32.exe

%systemroot%\logitech.exe

%systemroot%\lsass.exe

%systemroot%\lsrvc.exe

%systemroot%\mcmmng32.exe

%systemroot%\mcsecure.exe

%systemroot%\Media\Call32.exe

%systemroot%\Media\hptools.exe

%systemroot%\Media\microsoft.exe

%systemroot%\messengersystem.exe

%systemroot%\mmp.exe

%systemroot%\msagent\server.exe

%systemroot%\Mscfg.exe

%systemroot%\msconfig.com

%systemroot%\msexploren.exe

%systemroot%\mshost.exe

%systemroot%\MsHS64.exe

%systemroot%\MSmedia.exe

%systemroot%\msdtc.exe

%systemroot%\MsLS32.exe

%systemroot%\MsLX32.exe

%systemroot%\Msmgs.exe

%systemroot%\msn93.exe

%systemroot%\msncomm.exe

%systemroot%\msndn.exe

%systemroot%\msngrsm.exe

%systemroot%\msnmsgr.exe

%systemroot%\msnsrv.exe

%systemroot%\msnwebmgr.exe

%systemroot%\mspathfinder

%systemroot%\MSPF.EXE

%systemroot%\msput.exe

%systemroot%\msrvs32.exe

%systemroot%\mssmbios.exe

%systemroot%\mssmp.exe

%systemroot%\mssmppp.exe

%systemroot%\mssql.exe

%systemroot%\mstinit.exe

%systemroot%\msvbn.exe

%systemroot%\mvsql.exe

%systemroot%\navsvc.exe

%systemroot%\NeroCheck.dll

%systemroot%\NeroCheck.exe

%systemroot%\net.com

%systemroot%\netaps2.txt

%systemroot%\netconf32.exe

%systemroot%\netsvc.exe

%systemroot%\nkit.dll

%systemroot%\NT\nrcs.exe

%systemroot%\NT\1.tmp

%systemroot%\ntdev.exe

%systemroot%\nvchost.exe

%systemroot%\Nvds.exe

%systemroot%\nvidcgui.exe

%systemroot%\offlog.txt

%systemroot%\oswinupdate.exe

%systemroot%\Pacuks

%systemroot%\PART0?00.DAT

%systemroot%\poolsv.exe

%systemroot%\preredir.exe

%systemroot%\protect.exe

%systemroot%\plugin1.dat

%systemroot%\QQ.dll

%systemroot%\QQ.exe

%systemroot%\qservice.exe

%systemroot%\r_bifrose.exe

%systemroot%\Rav.dll

%systemroot%\Rav.exe

%systemroot%\realplayers.exe

%systemroot%\regdll.exe

%systemroot%\regedit.com

%systemroot%\register.exe

%systemroot%\regstrmon.exe

%systemroot%\relocater.exe

%systemroot%\rootkit.exe

%systemroot%\rundll.exe

%systemroot%\rundl132.exe

%systemroot%\s.exe

%systemroot%\s32.txt

%systemroot%\scrss32.dll

%systemroot%\scvc.exe

%systemroot%\scvhost.exe

%systemroot%\security\lsass.exe

%systemroot%\serveraa.exe

%systemroot%\service.exe

%systemroot%\services.dll

%systemroot%\services32.dll

%systemroot%\services.exe

%systemroot%\service32.exe

%systemroot%\services32.exe

%systemroot%\Servico.exe

%systemroot%\servstat32x.exe

%systemroot%\shch.exe

%systemroot%\shost.exe

%systemroot%\smsc.exe

%systemroot%\smscc.exe

%systemroot%\smsmanger.exe

%systemroot%\smss.exe

%systemroot%\smsss.exe

%systemroot%\smss32.exe

%systemroot%\Sos28.exe

%systemroot%\soso?.exe

%systemroot%\SP2PATCH.EXE

%systemroot%\spoolsvc.exe

%systemroot%\spoolsvr.exe

%systemroot%\sqldebug.exe

%systemroot%\sqldps.exe

%systemroot%\sqlmanagement.exe

%systemroot%\sql-smss.exe

%systemroot%\srv.exe

%systemroot%\ssms.exe

%systemroot%\SSSFFFFFF.BAT

%systemroot%\svahost.exe

%systemroot%\svcccc.bat

%systemroot%\svcccc.dll

%systemroot%\svcchost.exe

%systemroot%\svchos.exe

%systemroot%\svchos29.dll

%systemroot%\svchos-upd.exe

%systemroot%\svchost.com

%systemroot%\svchost.DLL

%systemroot%\svchost.exe

%systemroot%\SVCH0ST.exe

%systemroot%\svchosts.exe

%systemroot%\svchost32.exe

%systemroot%\svchostKey.DLL

%systemroot%\svchst.exe

%systemroot%\svcr.exe

%systemroot%\svcss.exe

%systemroot%\svhda.exe

%systemroot%\svhost.dll

%systemroot%\SVICHHOST.exe

%systemroot%\svschost.exe

%systemroot%\sys32exploer.dll

%systemroot%\svslogon.exe

%systemroot%\SCVVC.exe

%systemroot%\sychost32.exe

%systemroot%\sylldlm.exe

%systemroot%\sysdll.exe

%systemroot%\sysInf.dat

%systemroot%\sysmgr64.exe

%systemroot%\syspr.prx

%systemroot%\System.dll

%systemroot%\System.exe

%systemroot%\system.txt

%systemroot%\Systemt.exe

%systemroot%\system32.exe

%systemroot%\SystemDebug.exe

%systemroot%\systemKey.DLL

%systemroot%\system\aliases.ini

%systemroot%\system\aliases1.ini

%systemroot%\system\control.ini

%systemroot%\system\dllhost.exe

%systemroot%\system\DSDEV.EXE

%systemroot%\system\Explorer.EXE

%systemroot%\system\fonts.dll

%systemroot%\system\fullname.txt

%systemroot%\system\gm.exe

%systemroot%\system\icrss.exe

%systemroot%\system\ident.txt

%systemroot%\system\iexplorer.exe

%systemroot%\system\kapat.txt

%systemroot%\system\kontrol.dll

%systemroot%\system\lsass.exe

%systemroot%\system\mirc.ico

%systemroot%\system\mirc.ini

%systemroot%\system\ms32.sys

%systemroot%\system\msidll.exe

%systemroot%\system\mside.exe

%systemroot%\system\msie701.exe

%systemroot%\system\mstask.exe

%systemroot%\system\mstctw32.dll

%systemroot%\system\mtstct32.dll

%systemroot%\system\nick.txt

%systemroot%\system\nicks.txt

%systemroot%\system\popups.txt

%systemroot%\system\remote.ini

%systemroot%\system\script.ini

%systemroot%\system\sctwnd32.dll

%systemroot%\system\scvhsot.exe

%systemroot%\system\servers.ini

%systemroot%\system\services.exe

%systemroot%\system\smss.exe

%systemroot%\system\spool_dll.dll

%systemroot%\system\sup.bat

%systemroot%\system\sup.reg

%systemroot%\system\svcchosts.exe

%systemroot%\system\svchest.exe

%systemroot%\system\svchest.reg

%systemroot%\system\svchost.exe

%systemroot%\system\svchost32.exe

%systemroot%\system\svchosts.exe

%systemroot%\system\svchosts.lzma

%systemroot%\system\svhost.exe

%systemroot%\system\svwhost.exe

%systemroot%\system\Swf.dll

%systemroot%\system\System.exe

%systemroot%\system\szr_dr.sys

%systemroot%\system\unsvchosts.exe

%systemroot%\system\unsvchosts.lzma

%systemroot%\system\users.ini

%systemroot%\system\win32.exe

%systemroot%\system\winlogin.exe

%systemroot%\system\yaddress.ico

"%systemroot%\system\You Have Been HaCkeD By Me.jpg"

%systemroot%\system32\.dll

%systemroot%\system32\.exe

%systemroot%\system32\~.exe

%systemroot%\system32\_mzu_stonedrv?.exe

%systemroot%\system32\_tmp????

%systemroot%\system32\___?.dll

%systemroot%\system32\___?.exe

%systemroot%\system32\___?

%systemroot%\system32\___synmgr.exe

%systemroot%\system32\?x32.exe

%systemroot%\system32\1037v.exe

%systemroot%\system32\2pac.txt

%systemroot%\system32\1u7.exe

%systemroot%\system32\5ystem.exe

%systemroot%\system32\a

%systemroot%\system32\a.exe

%systemroot%\system32\ABC2007.exe

%systemroot%\system32\abv.exe

%systemroot%\system32\acpmonsrv.exe

%systemroot%\system32\ActiveScan.exe

%systemroot%\system32\adir.dll

%systemroot%\system32\adirss.exe

%systemroot%\system32\adv.txt

%systemroot%\system32\adv32.exe

%systemroot%\system32\aimplg.exe

%systemroot%\system32\albateam.exe

%systemroot%\system32\algos32.exe

%systemroot%\system32\alg32.exe

%systemroot%\system32\algs.exe

%systemroot%\system32\algsys.exe

%systemroot%\system32\alib.exe

%systemroot%\system32\alota.exe

%systemroot%\system32\alsys.exe

%systemroot%\system32\amsnmgr.exe

%systemroot%\system32\amsnmsgs.exe

%systemroot%\system32\anlServ.exe

%systemroot%\system32\antivir32.exe

%systemroot%\system32\apigrab.dll

%systemroot%\system32\apsvc.exe

%systemroot%\system32\arci.exe

%systemroot%\system32\arse.exe

%systemroot%\system32\asrupdate.exe

%systemroot%\system32\asus.exe

%systemroot%\system32\atievx.exe

%systemroot%\system32\atigfx.exe

%systemroot%\system32\atividx.exe

%systemroot%\system32\atixvdm.exe

%systemroot%\system32\audiocfg.exe

%systemroot%\system32\autosys.exe

%systemroot%\system32\avp.exe

%systemroot%\system32\Awesome32.exe

%systemroot%\system32\backup.exe

%systemroot%\system32\bf4p.exe

%systemroot%\system32\bin29a.log

%systemroot%\system32\bling.exe

%systemroot%\system32\bnc.mrc

%systemroot%\system32\bootini.exe

%systemroot%\system32\bootvfy.exe

%systemroot%\system32\bootwiz.exe

%systemroot%\system32\bot.exe

%systemroot%\system32\btserv.exe

%systemroot%\system32\BttnServ.exe

%systemroot%\system32\cc2.cc

%systemroot%\system32\cflmon.exe

%systemroot%\system32\chh.exe

%systemroot%\system32\chkext.exe

%systemroot%\system32\CiaStream.dll

%systemroot%\system32\ckl009.dat

%systemroot%\system32\clcbt.exe

%systemroot%\system32\cli.exe

%systemroot%\system32\cmd16.exe

%systemroot%\system32\cmd32.exe

%systemroot%\system32\cmh.exe

%systemroot%\system32\cmman32.exe

%systemroot%\system32\Com\svchost.dll

%systemroot%\system32\Com\SVCHOSTKEY.DLL

%systemroot%\system32\comdlg64.dll

%systemroot%\system32\compq32.exe

%systemroot%\system32\config.exe

%systemroot%\system32\configldr.exe

%systemroot%\system32\configure.exe

%systemroot%\system32\copq.exe

%systemroot%\system32\cpmp32.exe

%systemroot%\system32\cprs.exe

%systemroot%\system32\cpstorage.exe

%systemroot%\system32\cpvhost.exe

%systemroot%\system32\crack.exe

%systemroot%\system32\crcss.exe

%systemroot%\system32\creative.exe

%systemroot%\system32\crizak.exe

%systemroot%\system32\cronos.exe

%systemroot%\system32\crp386.exe

%systemroot%\system32\crsrs.exe

%systemroot%\system32\crssxp.exe

%systemroot%\system32\crypts.dll

%systemroot%\system32\cscan.dat

%systemroot%\system32\csdata32.exe

%systemroot%\system32\csmn.exe

%systemroot%\system32\csnss.exe

%systemroot%\system32\csrs.exe

%systemroot%\system32\csrrs.exe

%systemroot%\system32\csrsrv.exe

%systemroot%\system32\csrssv.exe

%systemroot%\system32\csscv.exe

%systemroot%\system32\cssrs.exe

%systemroot%\system32\cssrssv.exe

%systemroot%\system32\csts.exe

%systemroot%\system32\csvc.exe

%systemroot%\system32\csvhost.exe

%systemroot%\system32\ctfcom.exe

%systemroot%\system32\CTFMDN.exe

%systemroot%\system32\ctfmom.exe

%systemroot%\system32\ctfmoom.exe

%systemroot%\system32\ctfnon.exe

%systemroot%\system32\ctpmon.exe

%systemroot%\system32\cUpdate.exe

%systemroot%\system32\czf.exe

%systemroot%\system32\d_service.exe

%systemroot%\system32\daoprint.dll

%systemroot%\system32\DAP.exe

%systemroot%\system32\dcz.exe

%systemroot%\system32\De?eteme.bat

%systemroot%\system32\Del.bat

%systemroot%\system32\delme.bat

%systemroot%\system32\delxp.exe

%systemroot%\system32\Desktop.exe

%systemroot%\system32\dhcpserv.exe

%systemroot%\system32\directxat.exe

%systemroot%\system32\DirectXset.exe

%systemroot%\system32\disctrl.exe

%systemroot%\system32\DIVXPloyer.exe

%systemroot%\system32\dlh9jk??????.exe

%systemroot%\system32\dlha\mstask32.com

%systemroot%\system32\dll.exe

%systemroot%\system32\dllcache\ageofempires.exe

%systemroot%\system32\dllcache\cybershots.exe

%systemroot%\system32\dllcache\dragonage.exe

%systemroot%\system32\dllcache\fifa2007.exe

%systemroot%\system32\dllcache\ffchost.exe

%systemroot%\system32\dllcache\grand.exe

%systemroot%\system32\dllcache\lkmhost.exe

%systemroot%\system32\dllcache\lpohost.exe

%systemroot%\system32\dllcache\mainwin32.exe

%systemroot%\system32\dllcache\mfxbox.exe

%systemroot%\system32\dllcache\msagent.exe

%systemroot%\system32\dllcache\mscom.exe

%systemroot%\system32\dllcache\mshcp.exe

%systemroot%\system32\dllcache\msi.exe

%systemroot%\system32\dllcache\msiupdate32.exe

%systemroot%\system32\dllcache\mslogon.exe

%systemroot%\system32\dllcache\msscmc43.exe

%systemroot%\system32\dllcache\mssecure32.exe

%systemroot%\system32\dllcache\msterminal.exe

%systemroot%\system32\dllcache\mswincom32.exe

%systemroot%\system32\dllcache\msvps.exe

%systemroot%\system32\dllcache\qxchost.exe

%systemroot%\system32\dllcache\rschost.exe

%systemroot%\system32\dllcache\seagatecom.exe

%systemroot%\system32\dllcache\snchost.exe

%systemroot%\system32\dllcache\ssls.exe

%systemroot%\system32\dllcache\starwin32.exe

%systemroot%\system32\dllcache\starwksvc.exe

%systemroot%\system32\dllcache\svcshoter.exe

%systemroot%\system32\dllcache\svhba.exe

%systemroot%\system32\dllcache\svhda.exe

%systemroot%\system32\dllcache\syspool.exe

%systemroot%\system32\dllcache\thesims2.exe

%systemroot%\system32\dllcache\updtftpini.exe

%systemroot%\system32\dllcache\wksrvs.exe

%systemroot%\system32\dllcache\wkssvc.exe

%systemroot%\system32\dllcon.exe

%systemroot%\system32\dllhost32.exe

%systemroot%\system32\dllhost32.dll

%systemroot%\system32\dllhosts.dll

%systemroot%\system32\dllman.exe

%systemroot%\system32\dllmanager32.exe

%systemroot%\system32\dllrun32.exe

%systemroot%\system32\dllsys64.exe

%systemroot%\system32\dnservice.exe

%systemroot%\system32\Downdll.dll

%systemroot%\system32\download.ini

%systemroot%\system32\DownLoadDLL.dll

%systemroot%\system32\drive.exe

%systemroot%\system32\drivemngr.sys

%systemroot%\system32\driver.exe

%systemroot%\system32\drivers\atixd.exe

%systemroot%\system32\drivers\DP.sys

%systemroot%\system32\drivers\etc\hosts.tim

%systemroot%\system32\drivers\KWatch1.sys

%systemroot%\system32\drivers\msgegh.sys

%systemroot%\system32\drivers\ntndis.exe

%systemroot%\system32\drivers\ntndis.sys

%systemroot%\system32\drivers\nvscv32.exe

%systemroot%\system32\drivers\SndSystem.sys

%systemroot%\system32\drivers\spcolsv.exe

%systemroot%\system32\drivers\spoclss.exe

%systemroot%\system32\drivers\spoclsv.exe

%systemroot%\system32\drivers\spo0lsv.exe

%systemroot%\system32\drivers\sppoolsv.exe

%systemroot%\system32\drivers\svchost.exe

%systemroot%\system32\drv32dta\pstore.txt

%systemroot%\system32\drv32dta\tmp.tmp

%systemroot%\system32\DSDEV.EXE

%systemroot%\system32\dwdsregt.exe

%systemroot%\system32\dxdlg32.exe

%systemroot%\system32\dxdmain.exe

%systemroot%\system32\eltcelcius.exe

%systemroot%\system32\ert.dll

%systemroot%\system32\esijavaupdt32.exe

%systemroot%\system32\eventsry.exe

%systemroot%\system32\eventwvr.exe

%systemroot%\system32\EvtEngn.exe

%systemroot%\system32\expl0rer.pif

%systemroot%\system32\explore.exe

%systemroot%\system32\Explored.exe

%systemroot%\system32\explorer32.exe

%systemroot%\system32\explorer.exe

%systemroot%\system32\explorer..exe

%systemroot%\system32\explorers.exe

%systemroot%\system32\firewall.exe

%systemroot%\system32\f.exe

%systemroot%\system32\ffservice.exe

%systemroot%\system32\fhm.exe

%systemroot%\system32\first_file.exe

%systemroot%\system32\fllnm.exe

%systemroot%\system32\form.txt

%systemroot%\system32\FrameWork.exe

%systemroot%\system32\fservice.exe

%systemroot%\system32\fufffy.exe

%systemroot%\system32\fxscomex.exe

%systemroot%\system32\g.exe

%systemroot%\system32\game?.exe

%systemroot%\system32\gay.exe

%systemroot%\system32\glossary.exe

%systemroot%\system32\google.exe

%systemroot%\system32\Googlesetup.exe

%systemroot%\system32\grplscd.exe

%systemroot%\system32\guard.exe

%systemroot%\system32\helperlmdm.exe

%systemroot%\system32\helpermlm4.exe

%systemroot%\system32\helperqttsk.exe

%systemroot%\system32\helperssrvc.exe

%systemroot%\system32\hook.dll

%systemroot%\system32\host.exe

%systemroot%\system32\HPSrvPrt.exe

%systemroot%\system32\hpsvc.exe

%systemroot%\system32\hwclock.exe

%systemroot%\system32\hypertrm.exe

%systemroot%\system32\i

%systemroot%\system32\i.exe

%systemroot%\system32\iasos.dll

%systemroot%\system32\iaxcfg32.dll

%systemroot%\system32\ib6.dll

%systemroot%\system32\ib14.dll

%systemroot%\system32\icf.exe

%systemroot%\system32\icmui32.dll

%systemroot%\system32\IEFilter.dll

%systemroot%\system32\ieschedule.exe

%systemroot%\system32\ieupdate.exe

%systemroot%\system32\iexplor.exe

%systemroot%\system32\iexplore32.exe

%systemroot%\system32\IExplore326.exe

%systemroot%\system32\iexpl0re.exe

%systemroot%\system32\iexplore.exe

%systemroot%\system32\iexplore.pif

%systemroot%\system32\iexplorer.exe

%systemroot%\system32\iexplorer32.exe

%systemroot%\system32\i_explorer.exe

%systemroot%\system32\in.DLL

%systemroot%\system32\in.exe

%systemroot%\system32\inet.exe

%systemroot%\system32\info.txt

%systemroot%\system32\INKEY.DLL

%systemroot%\system32\install.exe

%systemroot%\system32\intenat.exe

%systemroot%\system32\ips6mon.dll

%systemroot%\system32\ipsecs.exe

%systemroot%\system32\ipsec6mon.dll

%systemroot%\system32\ipv4mons.dll

%systemroot%\system32\ipv6moni.dll

%systemroot%\system32\ipv6monj.dll

%systemroot%\system32\ipv6monk.dll

%systemroot%\system32\ipv6monl.dll

%systemroot%\system32\ipv6monm.dll

%systemroot%\system32\ipv6monn.dll

%systemroot%\system32\ipv6mono.dll

%systemroot%\system32\ipv6monp.dll

%systemroot%\system32\ipv6monq.dll

%systemroot%\system32\ipv6monr.dll

%systemroot%\system32\ipv6mons.dll

%systemroot%\system32\ipv6motq.dll

%systemroot%\system32\irdvxc.exe

%systemroot%\system32\IRQconf.exe

%systemroot%\system32\Isass.exe

%systemroot%\system32\ituneshelper32.exe

%systemroot%\system32\iusr.exe

%systemroot%\system32\iwinapp.exe

%systemroot%\system32\jamesbond.exe

%systemroot%\system32\jaupdate.exe

%systemroot%\system32\javaapplet.exe

%systemroot%\system32\javaapplets.exe

%systemroot%\system32\javanet.exe

%systemroot%\system32\javasctp.exe

%systemroot%\system32\jbhook.dll

%systemroot%\system32\jconsole.exe

%systemroot%\system32\jusched.exe

%systemroot%\system32\JVM0.exe

%systemroot%\system32\jxl.exe

%systemroot%\system32\Kernel3?.exe

%systemroot%\system32\kernels1118.exe

%systemroot%\system32\kernels8.exe

%systemroot%\system32\kernels88.exe

%systemroot%\system32\keylog.txt

%systemroot%\system32\ksl48.bin

%systemroot%\system32\KT06.pif

%systemroot%\system32\ldinfo.ldr

%systemroot%\system32\lemsrv.exe

%systemroot%\system32\lEXPLORE.EXE

%systemroot%\system32\lich.exe

%systemroot%\system32\lil32\swchost.exe

%systemroot%\system32\linksys.exe

%systemroot%\system32\LimeWire.exe

%systemroot%\system32\lnwin.exe

%systemroot%\system32\loadcfg32.exe

%systemroot%\system32\log.dat

%systemroot%\system32\logmen.exe

%systemroot%\system32\lsass2k.exe

%systemroot%\system32\lsays.exe

%systemroot%\system32\lmdm.exe

%systemroot%\system32\lmss.exe

%systemroot%\system32\login.exe

%systemroot%\system32\logon.exe

%systemroot%\system32\lrsys.exe

%systemroot%\system32\lsa.exe

%systemroot%\system32\lsass.pif

%systemroot%\system32\lsass.ppf

%systemroot%\system32\lsass32.exe

%systemroot%\system32\lservice.exe

%systemroot%\system32\lsiss.exe

%systemroot%\system32\lsrv.exe

%systemroot%\system32\lssas.exe

%systemroot%\system32\lssc.exe

%systemroot%\system32\lsscs.exe

%systemroot%\system32\lssys.exe

%systemroot%\system32\lsvss.exe

%systemroot%\system32\lsyss.exe

%systemroot%\system32\lviss.exe

%systemroot%\system32\lvsrev.exe

%systemroot%\system32\lxsys.exe

%systemroot%\system32\lzx32.sys

%systemroot%\system32\main.sys

%systemroot%\system32\Main2.exe

%systemroot%\system32\Mastercard32.exe

%systemroot%\system32\mbti.exe

%systemroot%\system32\mdat32.exe

%systemroot%\system32\Meseger.exe

%systemroot%\system32\Messenger.exe

%systemroot%\system32\mfcee.exe

%systemroot%\system32\mguard.exe

%systemroot%\system32\micront.exe

%systemroot%\system32\micropoft.exe

%systemroot%\system32\Microsoft.exe

%systemroot%\system32\Microsoft\backup.ftp

%systemroot%\system32\Microsoft\backup.tftp

%systemroot%\system32\microsoftserv\klog.dat

%systemroot%\system32\microsoftserv\mircosoft3.exe

%systemroot%\system32\mimpatch.exe

%systemroot%\system32\mini?tone.ini

%systemroot%\system32\mirc.ini

%systemroot%\system32\mIRC.exe

%systemroot%\system32\mixers.exe

%systemroot%\system32\mlm4.exe

%systemroot%\system32\mmp.exe

%systemroot%\system32\moo.dll

%systemroot%\system32\mousecrm.exe

%systemroot%\system32\mousehs.exe

%systemroot%\system32\moviemk.exe

%systemroot%\system32\mp2Ld.exe

%systemroot%\system32\mpreg.exe

%systemroot%\system32\ms32.exe

%systemroot%\system32\msapi.exe

%systemroot%\system32\msapps.exe

%systemroot%\system32\msasn.exe

%systemroot%\system32\MSASP32.exe

%systemroot%\system32\msasvc.exe

%systemroot%\system32\msauth.exe

%systemroot%\system32\msbd32.dll

%systemroot%\system32\MSbz32.exe

%systemroot%\system32\mschkdf.exe

%systemroot%\system32\msclt.exe

%systemroot%\system32\mscp.exe

%systemroot%\system32\msconfg.exe

%systemroot%\system32\msconfig32.exe

%systemroot%\system32\msconfigs.exe

%systemroot%\system32\msconfigsu.exe

%systemroot%\system32\msdevelop.exe

%systemroot%\system32\MSDHCP32.exe

%systemroot%\system32\msdn-nt.exe

%systemroot%\system32\msdndr.dat

%systemroot%\system32\msdndr.pif

%systemroot%\system32\msdndr.sys

%systemroot%\system32\MSDNSD32.exe

%systemroot%\system32\msdnxp.exe

%systemroot%\system32\MSDOS.PIF

%systemroot%\system32\MSdos32.exe

%systemroot%\system32\msdriver.exe

%systemroot%\system32\msedit32.exe

%systemroot%\system32\msejavaupdt32.exe

%systemroot%\system32\msfsr.sys

%systemroot%\system32\msgconfigrs.exe

%systemroot%\system32\msguard.exe

%systemroot%\system32\msgzl.exe

%systemroot%\system32\mshotmon.exe

%systemroot%\system32\mshtha.exe

%systemroot%\system32\msi32java.exe

%systemroot%\system32\msicll.exe

%systemroot%\system32\msident.exe

%systemroot%\system32\MSIEHelper.dll

%systemroot%\system32\msiexecs.dll

%systemroot%\system32\msiexecs.exe

%systemroot%\system32\msiexecu.exe

%systemroot%\system32\msijavaupdt32.exe

%systemroot%\system32\MSlti32.exe

%systemroot%\system32\msjava.exe

%systemroot%\system32\msjavames.exe

%systemroot%\system32\msjavaxps.exe

%systemroot%\system32\Msloader32.exe

%systemroot%\system32\msmanager.exe

%systemroot%\system32\msmisso.exe

%systemroot%\system32\MSMSN32.exe

%systemroot%\system32\msmsngr.exe

%systemroot%\system32\msn.exe

%systemroot%\system32\msn16.exe

%systemroot%\system32\msnav32.ax

%systemroot%\system32\msnchecker.exe

%systemroot%\system32\msngr.exe

%systemroot%\system32\msni.exe

%systemroot%\system32\msnka0lids.exe

%systemroot%\system32\msnlive.exe

%systemroot%\system32\msnlivegs.exe

%systemroot%\system32\MSNMEssenger.exe

%systemroot%\system32\msnmesseng.exe

%systemroot%\system32\MsnMsgr.exe

%systemroot%\system32\msnmsgs.exe

%systemroot%\system32\msnmsgsm.exe

%systemroot%\system32\msnmsgsman.exe

%systemroot%\system32\msnmsgsmn.exe

%systemroot%\system32\msnmssgr.exe

%systemroot%\system32\MsnMsr.exe

%systemroot%\system32\msnplus.exe

%systemroot%\system32\msmq2inst.exe

%systemroot%\system32\msnq3insller.exe

%systemroot%\system32\msnqmgr.exe

%systemroot%\system32\msns.exe

%systemroot%\system32\msnscps.dll

%systemroot%\system32\msnse.exe

%systemroot%\system32\msnserve.exe

%systemroot%\system32\msnservice.exe

%systemroot%\system32\msnsrv.exe

%systemroot%\system32\msnsvc.exe

%systemroot%\system32\msnupdate.exe

%systemroot%\system32\msnupdates.exe

%systemroot%\system32\msoff.exe

%systemroot%\system32\mspcdcom.exe

%systemroot%\system32\msrdc.exe

%systemroot%\system32\msreged32.exe

%systemroot%\system32\msresource.exe

%systemroot%\system32\msrp32.exe

%systemroot%\system32\msscf32.exe

%systemroot%\system32\MSsec32.exe

%systemroot%\system32\mssecure.exe

%systemroot%\system32\mssecures.exe

%systemroot%\system32\mssmmspgr.exe

%systemroot%\system32\mssmp.exe

%systemroot%\system32\mssmppp.exe

%systemroot%\system32\mssqlsnt.exe

%systemroot%\system32\MSsslServer.exe

%systemroot%\system32\mssvcc.exe

%systemroot%\system32\mstasks.exe

%systemroot%\system32\MStli32s.exe

%systemroot%\system32\mstc.exe

%systemroot%\system32\msttl.exe

%systemroot%\system32\mstunnel.exe

%systemroot%\system32\msupdate.exe

%systemroot%\system32\msvce.exe

%systemroot%\system32\msvce32.exe

%systemroot%\system32\msvcbm.exe

%systemroot%\system32\msvchost.exe

%systemroot%\system32\msvcrt.exe

%systemroot%\system32\msvcs.exe

%systemroot%\system32\msvrcs.exe

%systemroot%\system32\msw32.exe

%systemroot%\system32\mswindtc.exe

%systemroot%\system32\MSWin.dat

%systemroot%\system32\mswins.exe

%systemroot%\system32\mswinup.exe

%systemroot%\system32\MSWSA32.exe

%systemroot%\system32\mswsus.exe

%systemroot%\system32\msx64.exe

%systemroot%\system32\mtserv.exe

%systemroot%\system32\mxpsp.exe

%systemroot%\system32\mxs.exe

%systemroot%\system32\mybot.log

%systemroot%\system32\mybot.pid

%systemroot%\system32\mybot.state

%systemroot%\system32\myfile.exe

%systemroot%\system32\Mysia.exe

%systemroot%\system32\mysvcc.exe

%systemroot%\system32\mznmgr.exe

%systemroot%\system32\MZU_DRV.sys

%systemroot%\system32\napi32.exe

%systemroot%\system32\nav32.exe

%systemroot%\system32\nbthlp.exe

%systemroot%\system32\NeroFil.EXE

%systemroot%\system32\net32a.exe

%systemroot%\system32\net32b.exe

%systemroot%\system32\neta.exe

%systemroot%\system32\netapi.exe

%systemroot%\system32\netddeclnt.exe

%systemroot%\system32\netddesrv.exe

%systemroot%\system32\netid.exe

%systemroot%\system32\Netlib.exe

%systemroot%\system32\netlib32.exe

%systemroot%\system32\Netmon.exe

%systemroot%\system32\netmsg.exe

%systemroot%\system32\netrap.exe

%systemroot%\system32\netstat.com

%systemroot%\system32\network.exe

"%systemroot%\system32\Network DEE.exe"

%systemroot%\system32\newdll.exe

%systemroot%\system32\newdll2.exe

%systemroot%\system32\nice.exe

%systemroot%\system32\ninsvc.exe

%systemroot%\system32\nlc.exe

%systemroot%\system32\nod.exe

%systemroot%\system32\nod64.exe

%systemroot%\system32\nod6dr4.exe

%systemroot%\system32\nokiacheck.exe

%systemroot%\system32\nordsys.exe

%systemroot%\system32\Norton2005Update.exe

%systemroot%\system32\nortonav.exe

%systemroot%\system32\nsvce32.exe

%systemroot%\system32\ntdrv.exe

%systemroot%\system32\ntframe.exe

%systemroot%\system32\ntfsloc.exe

%systemroot%\system32\nton.exe

%systemroot%\system32\ntos.exe

%systemroot%\system32\ntps.exe

%systemroot%\system32\ntfscrypt.exe

%systemroot%\system32\ntsf.exe

%systemroot%\system32\ntsystem.exe

%systemroot%\system32\nvidia.exe

%systemroot%\system32\Nvpss.exe

%systemroot%\system32\nvsec.exe

%systemroot%\system32\nvsvcd.exe

%systemroot%\system32\o

%systemroot%\system32\ODBCJET.exe

%systemroot%\system32\offlog.txt

%systemroot%\system32\openSSL32.exe

%systemroot%\system32\osndyrn.exe

%systemroot%\system32\outlook.exe

%systemroot%\system32\outlookexpressupdate.exe

%systemroot%\system32\p.exe

%systemroot%\system32\p2pnetworking.exe

%systemroot%\system32\pcedit.exe

%systemroot%\system32\pdate.exe

%systemroot%\system32\peers.ini

%systemroot%\system32\pgql.exe

%systemroot%\system32\plscd.exe

%systemroot%\system32\plugin1.dat

%systemroot%\system32\popspig

%systemroot%\system32\ppl.exe

%systemroot%\system32\prevx.exe

%systemroot%\system32\prinsvc.exe

%systemroot%\system32\ProAntiVirus.exe

%systemroot%\system32\provsvc.exe

%systemroot%\system32\proxy.exe

%systemroot%\system32\prsvr.exe

%systemroot%\system32\psecure.exe

%systemroot%\system32\psmcsh.exe

%systemroot%\system32\pstcp32.exe

%systemroot%\system32\Q8See.exe

%systemroot%\system32\qtask.exe

%systemroot%\system32\qttsk.exe

%systemroot%\system32\r.exe

%systemroot%\system32\rBot.exe

%systemroot%\system32\readysrv.exe

%systemroot%\system32\real.exe

%systemroot%\system32\recsl.exe

%systemroot%\system32\reginv.dll

%systemroot%\system32\regscan.exe

%systemroot%\system32\REG1.exe

%systemroot%\system32\remote.ini

%systemroot%\system32\remote.exe

%systemroot%\system32\rnsys.exe

%systemroot%\system32\rpcc.dll

%systemroot%\system32\rpcc.exe

%systemroot%\system32\rpccd.dll

%systemroot%\system32\rpcclient.exe

%systemroot%\system32\rpclocator.exe

%systemroot%\system32\Rpcmon.exe

%systemroot%\system32\Rpcs.dll

%systemroot%\system32\Rpcs.exe

%systemroot%\system32\Rpcse.dll

%systemroot%\system32\Rpcse.exe

%systemroot%\system32\RpcSs.exe

%systemroot%\system32\Rpcsu.dll

%systemroot%\system32\Rpcsu.exe

%systemroot%\system32\rpcsvc.exe

%systemroot%\system32\Rpcsx.dll

%systemroot%\system32\Rpcsx.exe

%systemroot%\system32\rserv.exe

%systemroot%\system32\run32dll.exe

%systemroot%\system32\rundl32.exe

%systemroot%\system32\rundll.exe

%systemroot%\system32\runjava.exe

%systemroot%\system32\s32.txt

%systemroot%\system32\salvage.exe

%systemroot%\system32\saqevre.exe

%systemroot%\system32\sarvice.exe

%systemroot%\system32\scandskx.exe

%systemroot%\system32\Scheduler.exe

%systemroot%\system32\scorti.exe

%systemroot%\system32\scrss.exe

%systemroot%\system32\scvhost

%systemroot%\system32\scvhost.exe

%systemroot%\system32\scvhsot.exe

%systemroot%\system32\scvideo.exe

%systemroot%\system32\scvvhost.exe

%systemroot%\system32\sdktemp.exe

%systemroot%\system32\se.exe

%systemroot%\system32\second_file.exe

%systemroot%\system32\secure32.exe

%systemroot%\system32\securessl.exe

%systemroot%\system32\Security.exe

%systemroot%\system32\serious.exe

%systemroot%\system32\server.exe

%systemroot%\system32\server2.exe

%systemroot%\system32\service.exe

%systemroot%\system32\servicemon.exe

%systemroot%\system32\servicemp.exe

%systemroot%\system32\servicess.exe

%systemroot%\system32\setup_?????.exe

%systemroot%\system32\setups.bak

%systemroot%\system32\sewins.exe

%systemroot%\system32\sgvrfy32.exe

%systemroot%\system32\shchostv.exe

%systemroot%\system32\shell32.exe

%systemroot%\system32\shellsw.exe

%systemroot%\system32\sms.exe

%systemroot%\system32\smsbvl32.exe

%systemroot%\system32\smsc.exe

%systemroot%\system32\smssb.exe

%systemroot%\system32\smtp32.exe

%systemroot%\system32\snlogsvc.exe

%systemroot%\system32\SndMAX.exe

%systemroot%\system32\snvc.exe

%systemroot%\system32\SoftwareUpdates.exe

%systemroot%\system32\soscks32.exe

%systemroot%\system32\soundman.exe

%systemroot%\system32\soundmax.exe

%systemroot%\system32\sp2vc.exe

%systemroot%\system32\spooIsv.exe

%systemroot%\system32\spool\cmd.exe

%systemroot%\system32\spool\hpprintqueue.exe

%systemroot%\system32\spool\notepad.exe

%systemroot%\system32\spoolcs.exe

%systemroot%\system32\spoolmon.dll

%systemroot%\system32\spoolnt.exe

%systemroot%\system32\spoolsae.exe

%systemroot%\system32\spoolsc.exe

%systemroot%\system32\spoolsrv.exe

%systemroot%\system32\spoolsrvc.exe

%systemroot%\system32\spoolsvc.exe

%systemroot%\system32\spoolsvv.exe

%systemroot%\system32\spoolvse.exe

%systemroot%\system32\spoolvvv.exe

%systemroot%\system32\sqlcer.exe

%systemroot%\system32\srshost.exe

%systemroot%\system32\srshostu.exe

%systemroot%\system32\sps32.exe

%systemroot%\system32\srvc.dll

%systemroot%\system32\srvchost.exe

%systemroot%\system32\srwhost.exe

%systemroot%\system32\ss.exe

%systemroot%\system32\sscs.exe

%systemroot%\system32\sservice.exe

%systemroot%\system32\ssl.exe

%systemroot%\system32\sslms.exe

%systemroot%\system32\ssmc.exe

%systemroot%\system32\ssms.exe

%systemroot%\system32\ssmss.exe

%systemroot%\system32\ssrvc.exe

%systemroot%\system32\ssvsol.exe

%systemroot%\system32\ssvvcchhoosst.exe

%systemroot%\system32\start2.exe

%systemroot%\system32\start32.exe

%systemroot%\system32\stonedrv.exe

%systemroot%\system32\Studio.exe

%systemroot%\system32\suchost.exe

%systemroot%\system32\sucker.exe

%systemroot%\system32\super.txt

%systemroot%\system32\svcchost.exe

%systemroot%\system32\svch0st.exe

%systemroot%\system32\svchest.exe

%systemroot%\system32\svchest.reg

%systemroot%\system32\svchost32.exe

%systemroot%\system32\svchoes.exe

%systemroot%\system32\svchosl.exe

%systemroot%\system32\svchostp.exe

%systemroot%\system32\svchosts.exe

%systemroot%\system32\svchostt.exe

%systemroot%\system32\svchostx.exe

%systemroot%\system32\svchxuf.exe

%systemroot%\system32\svcp.csv

%systemroot%\system32\svcshost.exe

%systemroot%\system32\svcvhost.exe

%systemroot%\system32\svcvlw32.exe

%systemroot%\system32\svehost.exe

%systemroot%\system32\svhost.exe

%systemroot%\system32\svho0st98.exe

%systemroot%\system32\svhostes.exe

%systemroot%\system32\SVICHHOST.exe

%systemroot%\system32\SVKP.SYS

%systemroot%\system32\svohost.exe

%systemroot%\system32\Symantex.exe

%systemroot%\system32\svmgr.exe

%systemroot%\system32\symon.exe

%systemroot%\system32\svmp.exe

%systemroot%\system32\svscache.exe

%systemroot%\system32\svschost.exe

%systemroot%\system32\svsnet.exe

%systemroot%\system32\svsnt.exe

%systemroot%\system32\svxhost.exe

%systemroot%\system32\swchost.exe

%systemroot%\system32\Sygate.exe

%systemroot%\system32\synet-ud.exe

%systemroot%\system32\sys32.exe

%systemroot%\system32\sysamp.exe

%systemroot%\system32\syscfg32.exe

%systemroot%\system32\syscfg32.exe\syscfg32.exe

%systemroot%\system32\syschk.exe

%systemroot%\system32\Sysctrls.exe

%systemroot%\system32\syscxd32.exe

%systemroot%\system32\sysdriver.exe

%systemroot%\system32\sysdtc32.exe

%systemroot%\system32\sysem.exe

%systemroot%\system32\Sysexplr.exe

%systemroot%\system32\syshost.exe

%systemroot%\system32\sysinfo.exe

%systemroot%\system32\sysl.exe

%systemroot%\system32\sysman.exe

%systemroot%\system32\SysMgr.exe

%systemroot%\system32\sysmsn.exe

%systemroot%\system32\sysmsvc.exe

%systemroot%\system32\sysmu_Hook.dll

%systemroot%\system32\sysmu.dll

%systemroot%\system32\sysmu.exe

%systemroot%\system32\syspic?.exe

%systemroot%\system32\syspools.exe

%systemroot%\system32\SysPr.prx

%systemroot%\system32\syssinfos.exe

%systemroot%\system32\sysreg11.exe

%systemroot%\system32\system12.exe

%systemroot%\system32\system32.exe

%systemroot%\system32\system34.exe

%systemroot%\system32\system43.exe

%systemroot%\system32\systemos.exe

%systemroot%\system32\system.exe

%systemroot%\system32\systemKey.DLL

%systemroot%\system32\systems.exe

%systemroot%\system32\systems_.exe

%systemroot%\system32\SysUpdate.exe

%systemroot%\system32\sysvx.exe

%systemroot%\system32\syswin32.exe

%systemroot%\system32\szr_dr.sys

%systemroot%\system32\t3st.bmp

%systemroot%\system32\taskdir.dll

%systemroot%\system32\taskdir.exe

%systemroot%\system32\taskdir~.exe

%systemroot%\system32\taskkill.com

%systemroot%\system32\taskmegr.exe

%systemroot%\system32\taskmgn.exe

%systemroot%\system32\taskmgr32.exe

%systemroot%\system32\taskmnegr.exe

%systemroot%\system32\taskmng.exe

%systemroot%\system32\taskmngr.exe

%systemroot%\system32\taskmngr32.exe

%systemroot%\system32\taskmqr.exe

%systemroot%\system32\taskmqrs.exe

%systemroot%\system32\tccpip.exe

%systemroot%\system32\tcpip.exe

%systemroot%\system32\tcpxp.exe

%systemroot%\system32\telcoms.exe

%systemroot%\system32\temp.exe

%systemroot%\system32\tempfn.dll

%systemroot%\system32\terminals.exe

%systemroot%\system32\termsv.exe

%systemroot%\system32\testtestt.exe

%systemroot%\system32\TFTP????

%systemroot%\system32\TheMatri?HasYou.exe

%systemroot%\system32\Tilecom32.com

%systemroot%\system32\Tilecomten.com

%systemroot%\system32\Tilecomtop.com

%systemroot%\system32\timeapr32.exe

%systemroot%\system32\trmupdate.exe

%systemroot%\system32\truetype.exe

%systemroot%\system32\tsklist32.exe

%systemroot%\system32\tskmgr.exe

%systemroot%\system32\tskscd.exe

%systemroot%\system32\tsstop.exe

%systemroot%\system32\Ttt.exe

%systemroot%\system32\txkernel.exe

%systemroot%\system32\u.exe

%systemroot%\system32\udzou.exe

%systemroot%\system32\un1x.exe

%systemroot%\system32\unsvchosts.lzma

%systemroot%\system32\update.exe

%systemroot%\system32\update32.exe

%systemroot%\system32\update.pif

%systemroot%\system32\update32.exe

%systemroot%\system32\updatees.exe

%systemroot%\system32\updrvs.exe

%systemroot%\system32\upnp.exe

%systemroot%\system32\urdvxc.exe

%systemroot%\system32\usb2ctrl.exe

%systemroot%\system32\USBhardware327.exe

%systemroot%\system32\user32.exe

%systemroot%\system32\userspi.dll

%systemroot%\system32\vcmon.exe

%systemroot%\system32\vcshost.exe

%systemroot%\system32\veritas.exe

%systemroot%\system32\video_32sD.exe

%systemroot%\system32\vig.exe

%systemroot%\system32\vmmon32.exe

%systemroot%\system32\vpms.exe

%systemroot%\system32\vr32.exe

%systemroot%\system32\vsp32.exe

%systemroot%\system32\vv815.exe

%systemroot%\system32\vxgame??.exe

%systemroot%\system32\vxga?m????.exe

%systemroot%\system32\vxg?am????.exe

%systemroot%\system32\w.exe

%systemroot%\system32\wadinst.sys

%systemroot%\system32\WAed.pif

%systemroot%\system32\wangard.exe

%systemroot%\system32\wcsntfy.exe

%systemroot%\system32\wdfmgr32.exe

%systemroot%\system32\webmsn.exe

%systemroot%\system32\wfsup.exe

%systemroot%\system32\wfxmgr.exe

%systemroot%\system32\wgareg.exe

%systemroot%\system32\wgavm.exe

%systemroot%\system32\wgavn.exe

%systemroot%\system32\wgeax.exe

%systemroot%\system32\whitevx.lst

%systemroot%\system32\win.ini.t00

%systemroot%\system32\win.exe

%systemroot%\system32\win32.exe

%systemroot%\system32\win32bootcfg.exe

%systemroot%\system32\win32ttb.exe

%systemroot%\system32\Win32Update.exe

%systemroot%\system32\WinAbring.exe

%systemroot%\system32\winaamp.exe

%systemroot%\system32\winamp.exe

%systemroot%\system32\winampa.exe

%systemroot%\system32\winclean.exe

%systemroot%\system32\wincom32.ini

%systemroot%\system32\wincom32.sys

%systemroot%\system32\wincntrl.exe

%systemroot%\system32\wincomm.exe

%systemroot%\system32\windat.exe

%systemroot%\system32\WinDDE.exe

%systemroot%\system32\windfe.exe

%systemroot%\system32\windir32.exe

%systemroot%\system32\windll32.exe

%systemroot%\system32\windmupdr.exe

%systemroot%\system32\windocs.exe

%systemroot%\system32\windows.exe

%systemroot%\system32\windows32.exe

%systemroot%\system32\Windows-.exe

%systemroot%\system32\Windows-Anti.exe

%systemroot%\system32\Windows-mod.exe

%systemroot%\system32\Windows-spyware.exe

%systemroot%\system32\windows.pif

%systemroot%\system32\WindowsLockdown.exe

%systemroot%\system32\windowsp.exe

%systemroot%\system32\windowstime.exe

%systemroot%\system32\WindowsUpdate.exe

%systemroot%\system32\WindowsXPContorl.exe

%systemroot%\system32\windowz.exe

%systemroot%\system32\windrg.exe

%systemroot%\system32\windrv.exe

%systemroot%\system32\WinDrv32.exe

%systemroot%\system32\winfix.exe

%systemroot%\system32\WinGuard.exe

%systemroot%\system32\wingrd32.exe

%systemroot%\system32\winhlp32.pif

%systemroot%\system32\winhost.exe

%systemroot%\system32\winhttps.exe

%systemroot%\system32\wininit.exe

%systemroot%\system32\winIogon.exe

%systemroot%\system32\WinIp32.exe

%systemroot%\system32\winis.exe

%systemroot%\system32\winit.exe

%systemroot%\system32\winjews16.exe

%systemroot%\system32\winkey.dll

%systemroot%\system32\winl0g0.exe

%systemroot%\system32\winl0g0z.exe

%systemroot%\system32\winligom.exe

%systemroot%\system32\winlive.exe

%systemroot%\system32\winlog.exe

%systemroot%\system32\winlogi.exe

%systemroot%\system32\winlogin.exe

%systemroot%\system32\winlogin.pif

%systemroot%\system32\winlogin32.exe

%systemroot%\system32\winlogom.exe

%systemroot%\system32\winlogon32.exe

%systemroot%\system32\winlogz2.exe

%systemroot%\system32\winlolx.exe

%systemroot%\system32\winmes.exe

%systemroot%\system32\winmnpld.lhp

%systemroot%\system32\winmsfw.exe

%systemroot%\system32\winmx.exe

%systemroot%\system32\winmx32.EXE

%systemroot%\system32\winnnit.exe

%systemroot%\system32\winnt4.exe

%systemroot%\system32\winntmsn.exe

%systemroot%\system32\WinOcx.exe

%systemroot%\system32\winoem.exe

%systemroot%\system32\winPE.exe

%systemroot%\system32\winpnp32.exe

%systemroot%\system32\winpol.exe

%systemroot%\system32\winprotect.exe

%systemroot%\system32\Winregs326a.exe

%systemroot%\system32\winrestore.exe

%systemroot%\system32\winrnr.exe

%systemroot%\system32\winrvc.exe

%systemroot%\system32\winrxd64.exe

%systemroot%\system32\wins32a.exe

%systemroot%\system32\winscntrl.exe

%systemroot%\system32\winscv.exe

%systemroot%\system32\WinSecUp.exe

%systemroot%\system32\WinSecure.exe

%systemroot%\system32\winsecurityxp\mswinup.exe

%systemroot%\system32\winser.exe

%systemroot%\system32\winserv.exe

%systemroot%\system32\winservicess.exe

%systemroot%\system32\winservnt32.exe

%systemroot%\system32\winsfs32.exe

%systemroot%\system32\winskd.exe

%systemroot%\system32\winslog.exe

%systemroot%\system32\wins0ck.dll

%systemroot%\system32\winsock.exe

%systemroot%\system32\WinSock32

%systemroot%\system32\WinSock32.exe

%systemroot%\system32\winsockx32.exe

%systemroot%\system32\winssh.exe

%systemroot%\system32\winssv.exe

%systemroot%\system32\winssx.exe

%systemroot%\system32\winsub.xml

%systemroot%\system32\winsvc.exe

%systemroot%\system32\winsvcup.exe

%systemroot%\system32\winsys.exe

%systemroot%\system32\winsys_32.exe

%systemroot%\system32\winsystems.exe

%systemroot%\system32\winsystems16.exe

%systemroot%\system32\wintask32.exe

%systemroot%\system32\wintasks32.exe

%systemroot%\system32\wintrust32.exe

%systemroot%\system32\winupcd.exe

%systemroot%\system32\winupd.exe

%systemroot%\system32\winupdate.exe

%systemroot%\system32\winupdbc.exe

%systemroot%\system32\winupn.exe

%systemroot%\system32\winupser.exe

%systemroot%\system32\winupsvc.exe

%systemroot%\system32\winusers.exe

%systemroot%\system32\winxp.exe

%systemroot%\system32\winystems.exe

%systemroot%\system32\winzip.exe

%systemroot%\system32\winzip81.exe

%systemroot%\system32\wkssr.exe

%systemroot%\system32\wkssvr.exe

%systemroot%\system32\wlmsn.exe

%systemroot%\system32\wlmsngr.exe

%systemroot%\system32\wmedia.exe

%systemroot%\system32\wmedia

%systemroot%\system32\wmwplayers.exe

%systemroot%\system32\wmsv.exe

%systemroot%\system32\wns.exe

%systemroot%\system32\Wntsf.exe

%systemroot%\system32\wnuserv.exe

%systemroot%\system32\wor.exe

%systemroot%\system32\wpa.exe

%systemroot%\system32\wrdpad05.exe

%systemroot%\system32\wrapper.exe

%systemroot%\system32\ws386.ini

%systemroot%\system32\wsap32.exe

%systemroot%\system32\wsass.exe

%systemroot%\system32\wsass32.exe

%systemroot%\system32\wservice.exe

%systemroot%\system32\wsock32.sys

%systemroot%\system32\wsscntfy.exe

%systemroot%\system32\wuamk032.exe

%systemroot%\system32\wuapi.exe

%systemroot%\system32\wuaumqr.exe

%systemroot%\system32\wunosjava.exe

%systemroot%\system32\wupdate.exe

%systemroot%\system32\wupdategux32.exe

%systemroot%\system32\wupdates.exe

%systemroot%\system32\wupdmgr32x.exe

%systemroot%\system32\xp386.exe

%systemroot%\system32\xpcphost.exe

%systemroot%\system32\xpiupdate.exe

%systemroot%\system32\xpjavams.exe

%systemroot%\system32\xpfilesys.exe

%systemroot%\system32\xpspz.exe

%systemroot%\system32\xptxt.exe

%systemroot%\system32\xydll.dll

%systemroot%\system32\ymsmsgs.exe

%systemroot%\system32\ymssgr.exe

%systemroot%\system32\ymssmsgs.exe

%systemroot%\system32\zaq.exe

%systemroot%\system32\zanbor.exe

%systemroot%\system32\zlbw.dll

%systemroot%\system32\zz.exe

%systemroot%\system32\systen32.exe

%systemroot%\systemn.in

%systemroot%\sysvx_.exe

%systemroot%\szr_dll.dll

%systemroot%\szr_32.exe

%systemroot%\taskbarmngr.exe

%systemroot%\Taskend.exe

%systemroot%\taskib.exe

%systemroot%\taskmg.exe

%systemroot%\taskms.exe

%systemroot%\taskshed.exe

%systemroot%\tasksch.exe

%systemroot%\tcb.pmw

%systemroot%\TCPIPSTACK.EXE

%systemroot%\temp.exe

%systemroot%\Temp\_deleteme.bat

%systemroot%\Temp\1?.exe

%systemroot%\Temp\89$$.bat

%systemroot%\Temp\~tenp.exe

%systemroot%\Temp\adv.exe

%systemroot%\Temp\??.dllb

%systemroot%\Temp\CCG?.exe

%systemroot%\Temp\chii.exe

%systemroot%\Temp\del.bat

%systemroot%\Temp\delmeexe.bat

%systemroot%\Temp\DSAR.exe

"%systemroot%\Temp\free porn finder.exe"

%systemroot%\Temp\ie888.exe

%systemroot%\Temp\irc_invader.exe

%systemroot%\Temp\it_????.exe

%systemroot%\Temp\loadadv???.exe

%systemroot%\Temp\lsass.exe

%systemroot%\Temp\iexplorer.exe

%systemroot%\Temp\m7.sys

%systemroot%\Temp\msnmsg.exe

%systemroot%\Temp\open0???.tmp

%systemroot%\Temp\pcs.exe

%systemroot%\Temp\pic.jpg

%systemroot%\Temp\pinch?.exe

%systemroot%\Temp\pmh.exe

%systemroot%\Temp\pwow.exe

%systemroot%\Temp\pzt.exe

%systemroot%\Temp\removalfile.bat

%systemroot%\Temp\s1000??.exe

%systemroot%\Temp\server.exe

%systemroot%\Temp\service32.exe

%systemroot%\Temp\SimbiOZ.exe

%systemroot%\Temp\smsbomb.exe

"%systemroot%\Temp\SMS Bomber*.exe"

%systemroot%\Temp\SRJ.exe

%systemroot%\Temp\Steamhookalpha??.exe

%systemroot%\Temp\svcgirl.exe

%systemroot%\Temp\Sys.htm

%systemroot%\Temp\system.tmp

%systemroot%\Temp\temp.dat

%systemroot%\Temp\tem1p.exe

%systemroot%\Temp\tuk.php

%systemroot%\Temp\upwind?.exe

%systemroot%\Temp\wrar351ru.exe

%systemroot%\Temp\win.exe

%systemroot%\Temp\win32.exe

%systemroot%\Temp\winsyst32.exe

%systemroot%\Temp\zupacha.exe

%systemroot%\termsvrs.exe

%systemroot%\themeui.exe

%systemroot%\themeupd.exe

%systemroot%\Uninst2.htm

%systemroot%\Unist1.htm

%systemroot%\uninstal.bat

%systemroot%\update\updmgr.exe

%systemroot%\update\updmangr.exe

%systemroot%\update\wuauclt.exe

%systemroot%\userinit.exe

%systemroot%\Vista32.exe

%systemroot%\vmmlog32.dll

%systemroot%\wadsys\counters.ini

%systemroot%\wadsys\ftp.exe

%systemroot%\wadsys\ftpcmd.txt

%systemroot%\wadsys\keystring?????.txt

%systemroot%\wadsys\TCPServer.exe

%systemroot%\wadsys\TCPService.exe

%systemroot%\waudio.exe

%systemroot%\wbRecv.exe

%systemroot%\wcsrss.exe

%systemroot%\wdfmgr.exe

%systemroot%\wdfmgrr.exe

%systemroot%\webmsn.exe

%systemroot%\WeRecl.exe

%systemroot%\weRecv.exe

%systemroot%\win.exe

%systemroot%\win32dll.exe

%systemroot%\win32host.exe

%systemroot%\win32logon.exe

%systemroot%\win32ssr.exe

%systemroot%\win325b.exe

%systemroot%\win64tyt.exe

%systemroot%\winagent.exe

%systemroot%\wincrypt32.exe

%systemroot%\windat.exe

%systemroot%\windll32.exe

%systemroot%\windmupdr.exe

%systemroot%\windows.bat

%systemroot%\windows.dll

%systemroot%\windows.exe

%systemroot%\windowslife\Windows.exe

%systemroot%\windows32.exe

%systemroot%\WindowsSecurityUpdate.exe

%systemroot%\Win31SecurityUpdates.dll

%systemroot%\Win32SecurityUpdates.exe

%systemroot%\Win33SecurityUpdates.exe

%systemroot%\windrg.exe

%systemroot%\WinDrives.EXE

%systemroot%\windrvrs32.exe

%systemroot%\wingrd32.exe

%systemroot%\winhlp.exe

%systemroot%\winlog.exe

%systemroot%\winlog0n.exe

%systemroot%\winiogon.exe

%systemroot%\winlogin.exe

%systemroot%\winlogoin.exe

%systemroot%\winlogon.exe

%systemroot%\winmgc.exe

%systemroot%\winmgr.exe

%systemroot%\winmon.exe

%systemroot%\winnt32.exe

%systemroot%\winrvc.exe

%systemroot%\winservs.exe

%systemroot%\wins0ck.dll

%systemroot%\winsock\csrss.exe

%systemroot%\winSock32.exe

%systemroot%\winsock32

%systemroot%\winsocks32.exe

%systemroot%\winsvc.exe

%systemroot%\winsvcmgr.exe

%systemroot%\winsys.exe

%systemroot%\winsysplg.exe

%systemroot%\winsysdir.exe

%systemroot%\wintasks32.exe

%systemroot%\wints.ini

%systemroot%\winupd.exe

%systemroot%\winx.log

%systemroot%\wkssvc.exe

%systemroot%\wlmsngr.exe

%systemroot%\wmedia.exe

%systemroot%\wmiapsv.exe

%systemroot%\wmiprvse.exe

%systemroot%\wordpad.exe

%systemroot%\wpablan.exe

%systemroot%\wpablin.exe

%systemroot%\ws386.ini

%systemroot%\wscty32.exe

%systemroot%\wuaucll.exe

%systemroot%\wuauclt.exe

%systemroot%\wupdmgr.exe

%systemroot%\wupdmgr32x.exe

%systemroot%\xpos.exe

%systemroot%\xpupdate.exe

%systemroot%\z.exe

) do if exist %%G echo %%~G)

cls

 

for /f "tokens=*" %%a in (Find.txt) do ( attrib -a -h -r -s "%%a"

copy "%%a" backups

del "%%a" )

 

apps\zip "backups.zip" backups\*.* >nul 2>&1

del /q backups\*.*

move backups.zip backups>nul 2>&1

apps\zip ".\backups\backupreg.zip" backupreg\*.* >nul 2>&1

 

cls

>> Report.txt (

echo.

IF EXIST Find.txt FIND /I ":\" <Find.txt>NUL && echo Below files will be copied to Backups folder then removed:||echo No Trojan Files Found..

echo.

IF EXIST Find.txt for /f "tokens=*" %%a in (Find.txt) do if not exist "%%a" echo %%a - Deleted

IF EXIST "%systemroot%\Temp\win*.tmp" del /q "%systemroot%\Temp\win*.tmp" && echo %systemroot%\Temp\win*.tmp - Deleted

echo.

IF EXIST Find.txt for /f "tokens=*" %%a in (Find.txt) do if exist "%%a" echo Could Not Remove %%a

echo.

rd /s /q backupreg >nul 2>&1

if exist inetcheck.txt for /f "tokens=* delims=inet2" %%a in (inetcheck.txt) do rd /q /s "%systemroot%\inet2%%a" >nul && echo Folder %systemroot%\inet2%%a - Removed

if exist "%systemdrive%\DriverLoad" rd /q "%systemdrive%\DriverLoad" >nul && echo Folder %systemdrive%\DriverLoad - Removed

if exist "%systemdrive%\winla" rd /q "%systemdrive%\winla" >nul && echo Folder %systemdrive%\winla - Removed

if exist "%systemroot%\HgzServer" rd /q "%systemroot%\HgzServer" >nul && echo Folder %systemroot%\HgzServer - Removed

if exist "%systemroot%\inetsponsor" rd /s /q "%systemroot%\inetsponsor" >nul && echo Folder %systemroot%\inetsponsor - Removed

if exist "%systemroot%\litmus" rd /q "%systemroot%\litmus" >nul && echo Folder %systemroot%\litmus - Removed

if exist "%systemroot%\system32\dllcache\win32" rd /q /s "%systemroot%\system32\dllcache\win32" >nul && echo Folder %systemroot%\system32\dllcache\win32 - Removed

if exist "%systemroot%\system32\drv32dta" rd /q "%systemroot%\system32\drv32dta" >nul && echo Folder %systemroot%\system32\drv32dta - Removed

if exist "%systemroot%\system32\kazaabackupfiles" rd /q "%systemroot%\system32\kazaabackupfiles" >nul && echo Folder %systemroot%\system32\kazaabackupfiles - Removed

if exist "%systemroot%\system32\lil32" rd /q "%systemroot%\system32\lil32" >nul && echo Folder %systemroot%\system32\lil32 - Removed

if exist "%systemroot%\system32\microsoftserv" rd /q "%systemroot%\system32\microsoftserv" >nul && echo Folder %systemroot%\system32\microsoftserv - Removed

if exist "%systemroot%\system32\wsnpoem" rd /q "%systemroot%\system32\wsnpoem" >nul && echo Folder %systemroot%\system32\wsnpoem - Removed

if exist "%systemroot%\wadsys" rd /q "%systemroot%\wadsys" >nul && echo Folder %systemroot%\wadsys - Removed

if exist "%systemroot%\windowslife" rd /q "%systemroot%\windowslife" >nul && echo Folder %systemroot%\windowslife - Removed

echo.

echo ADS Check:

echo.

apps\ls.exe %systemroot%\system32

if errorlevel 1 goto final

echo.

echo. Removing ADS...

echo.

apps\sf.exe %systemroot%\system32

echo.

ECHO Checking for remaining Streams

echo.

apps\ls.exe %systemroot%\system32)

 

:final

 

cls

echo.

echo Checking For Remaining Files and Services:

echo.

echo Please Wait...

 

>> Report.txt (

echo.

echo.

echo Final Check:

echo.

echo Remaining Services:

echo ------------------

For /f "tokens=*" %%G in (apps\svc.txt) do apps\SWReg QUERY "HKLM\SYSTEM\CurrentControlSet\Services\%%~G" >nul && echo %%~G

echo.

if EXIST pe?.hiv del pe?.hiv

apps\swreg add "HKLM\System\CurrentControlSet\Services\pe386" >nul

apps\swreg save "HKLM\System\CurrentControlSet\Services\pe386" pe1.hiv>nul

apps\swreg delete "HKLM\System\CurrentControlSet\Services\pe386" >nul

if NOT EXIST pe1.hiv echo Rootkit PE386 maybe active, Use a Rootkit scanner!

apps\swreg add "HKLM\System\CurrentControlSet\Services\lzx32" >nul

apps\swreg save "HKLM\System\CurrentControlSet\Services\lzx32" pe2.hiv>nul

apps\swreg delete "HKLM\System\CurrentControlSet\Services\lzx32" >nul

if NOT EXIST pe2.hiv echo Rootkit lzx32 maybe active, Use a Rootkit scanner!

apps\swreg add "HKLM\System\CurrentControlSet\Services\msguard" >nul

apps\swreg save "HKLM\System\CurrentControlSet\Services\msguard" pe3.hiv>nul

apps\swreg delete "HKLM\System\CurrentControlSet\Services\msguard" >nul

if NOT EXIST pe3.hiv echo Rootkit msguard maybe active, Use a Rootkit scanner!)

 

if errorlevel 1 goto final

 

ver|find "Windows 2000">nul && set TypeOS=W2K

if [%TypeOS%]==[W2K] goto twokbit

 

echo.>>Report.txt

regedit.exe /e /a CheckSA1.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List"

regedit.exe /e /a CheckSA2.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List"

IF EXIST CheckSA?.txt echo Authorized Application Key Export:>> Report.txt

TYPE CheckSA*.txt|FIND /I /V "REGEDIT4">> Report.txt

CLS

echo.

ECHO Finishing....

 

:twokbit

 

dir /a:h-d/s/b "%systemdrive%\*.*"|FIND /V /I ".manifest"|FIND /V /I "IO.SYS"|FIND /V /I "pagefile.sys"|FIND /V /I "MSDOS.SYS"|FIND /V /I "NTDETECT.COM">dirc.txt

FIND /I ".com"<dirc.txt>>dircheck.txt

FIND /I ".dll"<dirc.txt>>dircheck.txt

FIND /I ".exe"<dirc.txt>>dircheck.txt

FIND /I ".pif"<dirc.txt>>dircheck.txt

FIND /I ".rar"<dirc.txt>>dircheck.txt

FIND /I ".sys"<dirc.txt>>dircheck.txt

FIND /I ".tmp"<dirc.txt>>dircheck.txt

FIND /I ".zip"<dirc.txt>>dircheck.txt

 

>> Report.txt (

echo.

echo Remaining Files:

echo ---------------

if exist %systemroot%\system32\rsvp32_2.dll ECHO %systemroot%\system32\rsvp32_2.dll Found - LSP

if exist Find.txt For /f "tokens=*" %%G in (Find.txt) do if exist "%%~G" echo %%G Found

echo.

echo Backups Folder: - %CD%\backups\backups.zip

echo.

If exist BakCheck.txt Type Bakcheck

echo.

echo Checking For Files with Hidden Attributes :

echo.

if exist dircheck.txt TYPE dircheck.txt

echo.

echo Finished)

 

for /f "tokens=*" %%a in (apps\rem2.txt) do if exist %%a (

del /q "%%a" )

 

FOR %%G in (

find.exe

findstr.exe

attrib.exe

regedit.exe

) DO IF EXIST %%G del /q %%G>NUL

 

apps\ClipText.exe from Report.txt

 

cls

echo.

echo.

echo.

echo.

echo Finished!

echo.

echo.

echo.

echo.

echo Report.txt has been copied to Clipboard and the SDFix folder

echo.

echo.

echo (Right click and choose Paste to post logfile back on forums)

echo.

echo.

echo.

echo.

echo.

pause

start notepad report.txt

 

:End

exit

 

 

 

 

 

 

voila. et aussi, j'ai une question: tu fais comment pour connaitre autant de trucs en informatique???? ;)

 

 

merci et bonne lecture!

 

 

 

 

 

 

 

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

salut gilbert montagné,

 

tu es infecté par un rootkit j'aimerai que l'on vérifie si tu as le dernier...

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou ici: http://siri.geekstogo.com/SmitfraudFix.exe sur ton bureau

 

 

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

 

 

Pour l'informatique j'ai appris au fil du temps et apprends tous les jours :P

 

@+

Lien vers le commentaire
Partager sur d’autres sites

SmitFraudFix v2.137

 

Rapport fait à 20:28:05,33, mar. 06/02/2007

Executé à partir de C:\Documents and Settings\kroquette1\Bureau\SmitfraudFix

OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\kroquette1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\kroquette1\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\KROQUE~2\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

lzx32 détecté, utilisez un scanner de Rootkit

msguard détecté, utilisez un scanner de Rootkit

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

 

 

voila pour le rapport (je me bats avec mon ecran... :P )

 

par contre pendant que le log se faisait, Zone alarm s'est affolé et m'a demandé plein de trucs :

application machin veut installer ceci, veut desinstaller cela, j'ai répondu un peu au pif entre "autoriser" et "refuser", je ne connaissais pas les noms des elements... j'ai du faire des boulettes je crois.

 

 

autre question; tu es informaticien professionnel?? (je sais, je suis curieuse mais ça m'a toujours épatée les pros de l'informatique)

Lien vers le commentaire
Partager sur d’autres sites

re,

 

Télécharge rustbfix (par ejvindh) de l'un de ces deux liens :

 

http://www.uploads.ejvindh.net/rustbfix.exe

http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe

...et sauvegarde-le sur ton Bureau.

 

Double clique rustbfix.exe afin de lancer l'outil.

Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).

Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

 

 

Je suis pas informaticien mais j'aimerai en faire mon métier plus tard :P

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...