multivirus récalcitrants?... a l'aide siouplait! RESOLU!

[gilbert montagné]

voila le rapport, et celui la, je crois que je l'ai compris....

 

 

************************* Rustock.b-fix -- By ejvindh *************************

mar. 06/02/2007 23:30:12,66

 

No Rustock.b-rootkits found

 

******************************* End of Logfile ********************************

 

bon, j'ai quand meme trouvé un truc qui s'appelle guard.exe, il est impossible d'arreter ce processus dans applications....

[gilbert montagné]

et si ça peut peut etre t'éclairer, je viens de voir aussi que j'avais des programmes innéfaçables dans "ajout et suppression de programmes", y'en a au au moins 20, du genre:

Photogallery

MarketResearch

DocProc

CustomersResearchQFolder

CueTour

...

[bruce lee]

bonjour gilbert montagné,

 

Réexecute Rustbfix s'il te plait

 

@+

[gilbert montagné]

salut bruce lee

je peux pas relancer de Rustbfix car ça active zone alarm qui me demande si je veux réinstaller les saloperies telles que: LZX32.sys, huy32.sys, msguard.exe et Avenger comme application automatique au démarrage. comme je refuse tout, rustbfix met: error fatal et ne se lance pas.... que faire?

en desespoir de cause, voici mon dernier smitfraud et mon dernier hijack, sur lequel C: windows system 32 blank.htm est réapparu (je l'ai rééffacé du coup)

 

 

SmitFraudFix v2.137

 

Rapport fait à 13:28:30,79, sam. 10/02/2007

Executé à partir de C:\Program Files\S‚curit‚\SmitfraudFix

OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\kroquette1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\kroquette1\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\KROQUE~2\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

huy32 détecté, utilisez un scanner de Rootkit

pe386 détecté, utilisez un scanner de Rootkit

lzx32 détecté, utilisez un scanner de Rootkit

msguard détecté, utilisez un scanner de Rootkit

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 13:30:49, on 10/02/2007

Platform: Windows 2000 SP2 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\foobar2000\foobar2000.exe

C:\Program Files\Sécurité\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Sécurité\Hijack this\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe (file missing)

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

 

 

 

 

bon courage!

[bruce lee]

salut gilbert montagné,

 

je peux pas relancer de Rustbfix car ça active zone alarm qui me demande si je veux réinstaller les saloperies telles que: LZX32.sys, huy32.sys, msguard.exe et Avenger comme application automatique au démarrage. comme je refuse tout, rustbfix met: error fatal et ne se lance pas.... que faire?

 

Tes rootkits sont installés donc ne refuse pas pour zone alarm une fois fait lance rustbfix.

 

@+

[gilbert montagné]

salut bruce lee!

 

voila le scan:

 

 

************************* Rustock.b-fix -- By ejvindh *************************

dim. 11/02/2007 21:14:17,27

 

No Rustock.b-rootkits found

 

******************************* End of Logfile ********************************

 

 

 

voila! j'ai accepté tous les trucs de Zone alarm, mais ça a laissé passer avenger qui s'amuse à chaque démarrage de mon ordi à m'imprimer des quantités de pages de messages codés genre "faux scan"...

 

en plus, pour info, si je peux t'aiguiller: j'ai "selfextracting cabinet", "updateipr" et "dummy" dans les logiciels de "ouvrir avec", ce sont des cochonneries en plus et là, j'ai l'impression que plus ça va, et plus je découvre de virus et malwares en tout genre dans mon pc, c'est l'invasion!

par contre, le probleme d'écran est réglé, donc c'était pas un virus, c'était un faux contact, j'ai mon écran qui est de travers maintenant, en équilibre sur une boite mais il marche au moins...

 

reste t'il encore un peu d'espoir pour sauver mon ordi ou dois-je le balancer par ma fenetre?? http://forum.zebulon.fr/style_images/1/fol...icons/icon4.gif

http://forum.zebulon.fr/style_images/1/fol...icons/icon4.gif

 

 

bon courage!

[bruce lee]

Salut gilbert montagné,

 

On av refaire toute la manip.

 

Supprime Rustock.b-fix de ton PC ainsi que:

 

C:\ avenger.txt <== le fichier

C:\ rustbfix<== le fichier

 

 

Télécharge rustbfix (par ejvindh) de l'un de ces deux liens :

 

http://www.uploads.ejvindh.net/rustbfix.exe

http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe

...et sauvegarde-le sur ton Bureau.

 

Désactive ton antivirus et ton firewall.

 

Double clique rustbfix.exe afin de lancer l'outil.

Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).

Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

[gilbert montagné]

yo! ça va bien?

bon, voici le nouveau rapport de rustbfix, qui n' a pas l'air d'avoir trouvé grand chose..., j'avais bien désactivé kaspersky et zone alarm pourtant, comme tu avais dit.

 

 

************************* Rustock.b-fix -- By ejvindh *************************

lun. 12/02/2007 22:07:15,35

 

No Rustock.b-rootkits found

 

******************************* End of Logfile ********************************

 

 

alors, t'en penses quoi du coup?

[bruce lee]

bonjour gilbert montagné

 

Avant de passer a la suppression j'aimerai que tu fasses un nouveau scan avec SDFIX puis que tu postes le rapport

 

@+

[gilbert montagné]

salut bruce lee; voila le rapport:

 

 

 

TITLE SDFix

if [%1]==[/second] goto Second

color 0F

 

VER|find "Windows 95">NUL

IF NOT ERRORLEVEL 1 GOTO End

 

VER|find "Windows 98">NUL

IF NOT ERRORLEVEL 1 GOTO End

 

VER|find "Windows Millennium">NUL

IF NOT ERRORLEVEL 1 GOTO End

 

if defined safeboot_option goto os

 

:AVclean

echo.

echo.

echo To run the SDFix tool please reboot to Safe Mode

echo (Reboot, tap the F8 Key and choose Safe Mode from the Advanced Menu)

echo.

echo.

echo.

echo COMMAND LINE SCANNERS:

echo.

echo.

echo 1. Download/Run a-squared (EMSI Software - 10.5 MB)

echo 2. Download/Run NGenFix (Norman - 2.3 MB)

echo 3. Download/Run SAV32CLI (Sophos - 9.7 MB)

echo E. EXIT

echo.

echo.

echo.

echo (Active Internet Connection Required To Download Files)

echo.

echo.

echo.

echo.

set /p Choice=Type 1,2,3 to Download and Run the Scanners or E to Exit....

if [%Choice%]==[1] goto ASRun

if [%Choice%]==[2] goto NGen

if [%Choice%]==[3] goto startAV

if [%Choice%]==[e] goto End

if [%Choice%]==[E] goto End

For %%a in (1,2,e,E) do if not [%Choice%]==[%%a] goto End

echo.

echo.

echo.

 

:NGen

CLS

IF EXIST NGenFix_Log.txt del /q NGenFix_Log.txt>NUL

IF EXIST NGenFix.exe goto NGenrun

echo.

echo Downloading NGenFix

echo.

echo Norman Generic Fix - http://www.norman.com/Virus/Virus_removal_tools/en

echo.

apps\download http://download.norman.no/public/NGenFix.exe NGenFix.exe

pause

 

:NGenrun

Start NGenFix.exe /run /log:"%cd%\NGenFix_Log.txt"

CLS

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo SDFix will now exit and Norman Generic Fix will start

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

pause

exit

 

:ASRun

IF EXIST a2cmd.exe GOTO ASmenu

IF EXIST a2cmd.zip GOTO ASZIP

CLS

echo Downloading a-squared Command Line Scanner

echo.

echo EMSI Software - http://www.emsisoft.com

echo.

apps\download http://download3.emsisoft.com/a2cmd.zip a2cmd.zip

pause

GOTO ASRun

 

:ASZIP

apps\unzip -o a2cmd.zip

IF NOT EXIST a2cmd.exe GOTO ASRun

 

:ASmenu

CLS

echo.

echo.

echo a-squared Command Line Scanner (EMSI Software)

echo.

echo (%systemdrive%, Memory, Cookie, Archive and ADS scanning enabled)

echo (Infected Items are placed into the Quarantine Folder)

echo.

echo 1. Update (Please Update Before Scanning!)

echo.

echo 2. Full Scan

echo.

echo 3. Full Scan (Heuristic/Riskware Scanning enabled)

echo.

echo 4. Save Quarantine List (Quarantine_Report.txt)

echo.

echo E. EXIT

echo.

echo Scanlogs will save to:

echo %cd%\asquared_Report.txt

echo.

echo.

set /p Choice=Type 1,2,3,4 or E to Exit....

if [%Choice%]==[1] goto ASUpd

if [%Choice%]==[2] goto ASfull

if [%Choice%]==[3] goto ASheur

if [%Choice%]==[4] goto ASQuar

if [%Choice%]==[E] goto End

For %%a in (1,2,3,4,e,E) do if not [%Choice%]==[%%a] goto End

echo.

 

GOTO AVclean

 

:ASQuar

a2cmd /ql>Quarantine_Report.txt

notepad Quarantine_Report.txt

goto ASMenu

 

:ASUpd

CLS

a2cmd /U

goto ASMenu

 

:ASfull

start a2cmd /f="%systemdrive%" /m /t /c /a /n /q /l="%cd%\asquared_Report.txt"

goto End

 

:ASheur

start a2cmd /f="%systemdrive%" /m /t /c /h /r /a /n /q /l="%cd%\asquared_Report.txt"

goto End

 

:MENU

CLS

echo.

echo.

echo Sophos Anti-Virus for Win32 Command Line Interface

echo (SAV32CLI)

echo.

echo.

echo 1 - Run Quick Scan

echo 2 - Run Quick scan/Disinfect

echo 3 - Run Quick scan/Remove Infections

echo 4 - Run Full Scan

echo 5 - Run Full scan/Disinfect

echo 6 - Run Full scan/Remove Infections

echo E - EXIT

echo.

echo.

echo Scanlogs will save to:

echo %cd%\SophosReport.txt

echo.

echo.

echo.

echo.

set /p Choice=Type (1,2,3,4,5,6) to Run Sophos AV scan and save the log or E to Exit....

if [%Choice%]==[1] goto startquick

if [%Choice%]==[2] goto quickdi

if [%Choice%]==[3] goto quickrem

if [%Choice%]==[4] goto startfull

if [%Choice%]==[5] goto fulldi

if [%Choice%]==[6] goto fullrem

if [%Choice%]==[e] goto End

if [%Choice%]==[E] goto End

For %%a in (1,2,3,4,5,6,e,E) do if not [%Choice%]==[%%a] goto AVclean

 

:startAV

 

echo Downloading Definition File from Sophos...

echo.

echo Sophos Anti-Virus - http://www.sophos.com/

echo.

MD "%cd%\IDE">NUL

apps\download http://www.sophos.com/downloads/ide/414_ides.zip 414_ides.zip

apps\unzip -o 414_ides.zip

 

MOVE *.ide "%cd%\IDE">NUL

DEL /Q 41?_ides.zip

 

del /q SophosReport.txt sav32sfx.exe 2>nul

if exist %systemdrive%\SAV32CLI\SAV32CLI.EXE goto MENU

 

echo Downloading SAV32CLI from Sophos...

echo Sophos Anti-Virus - http://www.sophos.com/

echo.

apps\download http://www.sophos.com/tools/sav32sfx.exe sav32sfx.exe

pause

echo.

if exist sav32sfx.exe goto Next

if not exist sav32sfx.exe goto startAV

 

goto MENU

 

:Next

 

if exist %systemdrive%\SAV32CLI\SAV32CLI.EXE goto MENU

if exist sav32sfx.exe start sav32sfx.exe

cls

echo.

echo Please Unzip files to the default location - %systemdrive%\SAV32CLI

echo.

echo.

echo.

echo When the Sophos extraction window opens Click OK, Click Unzip

echo.

echo and OK again then click Close and any key to continue...

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

PAUSE

if exist %systemdrive%\SAV32CLI\SAV32CLI.EXE goto MENU

if not exist sav32sfx.exe goto StartAV

 

GOTO Next

 

:startquick

start %systemdrive%\SAV32CLI\SAV32CLI -nb -dn --stop-scan -idedir="%cd%\IDE" -P="%cd%\SophosReport.txt"

GOTO END

 

:quickdi

start %systemdrive%\SAV32CLI\SAV32CLI -di -nc -nb -dn --stop-scan -idedir="%cd%\IDE" -P="%cd%\SophosReport.txt"

GOTO END

 

:quickrem

start %systemdrive%\SAV32CLI\SAV32CLI -remove -nc -nb -dn --stop-scan -idedir="%cd%\IDE" -P="%cd%\SophosReport.txt"

GOTO END

 

:startfull

start %systemdrive%\SAV32CLI\SAV32CLI -f -nb -dn --stop-scan -idedir="%cd%\IDE" -P="%cd%\SophosReport.txt"

GOTO END

 

:fulldi

start %systemdrive%\SAV32CLI\SAV32CLI -f -di -nc -nb -dn --stop-scan -idedir="%cd%\IDE" -P="%cd%\SophosReport.txt"

GOTO END

 

:fullrem

start %systemdrive%\SAV32CLI\SAV32CLI -f -remove -nc -nb -dn --stop-scan -idedir="%cd%\IDE" -P="%cd%\SophosReport.txt"

GOTO END

 

:notrun

 

echo.

echo SDFix cannot run on this system because Malware Immunizer is Installed

echo.

echo Malware Immunizer creates hundreds of files and folders in different locations

echo using malware filenames to prevent malware installing with the same name,

echo.

echo Running SDFix with Malware Immunizer present will cause conflicts

echo and false detections

echo.

echo If you wish to run SDFix, please uninstall Malware Immunizer from the system

echo.

echo Please Post the Report.txt which is in the SDFix folder back onto the forum.

echo.

echo SDFix will now exit...

echo.

pause

 

>> Report.txt (

echo.

echo SDFix cannot run on this system because Malware Immunizer is Installed

echo.

echo Malware Immunizer creates hundreds of files and folders in different locations

echo using malware filenames to prevent malware installing with the same name,

echo.

echo Running SDFix with Malware Immunizer present will cause conflicts and false detections

echo.

echo If you wish to run SDFix, please uninstall Malware Immunizer from the system first...

echo.)

 

exit

 

:os

 

ver|find "Windows XP">nul && set TypeOS=XP

if [%TypeOS%]==[XP] goto Start

ver|find "Windows 2000">nul && set TypeOS=W2K

if [%TypeOS%]==[W2K] goto Start

 

goto End

 

:Start

 

IF EXIST "%ProgramFiles%\Malware Immunizer\MI.exe" goto notrun

 

color 0F

set update=%Version 1.63

 

echo.

echo.

echo *** SDFix %update% ***

echo.

echo.

echo.

echo.

echo SDFix was developed with the greatest attention to detail,

echo However, Use of this program is at your own discretion.

echo The program is provided "as is" without warranty of any kind.

echo.

echo.

echo Backups will be made of registry entries and files before they are removed

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

echo.

set /p Choice=Type Y to proceed or N to Exit....

if [%Choice%]==[y] goto fix

if [%Choice%]==[Y] goto fix

if [%Choice%]==[n] goto End

if [%Choice%]==[N] goto End

For %%a in (Y,y,N,n) do if not [%Choice%]==[%%a] goto End

echo.

 

:fix

cls

 

if not exist %windir%\system32\AUTOEXEC.NT goto missing

if not exist %windir%\system32\Config.nt goto missing

if not exist %windir%\system32\Command.com goto missing

 

FOR %%G in (

find.exe

findstr.exe

attrib.exe

) DO IF NOT EXIST "%cd%\%%G" copy %systemroot%\system32\%%G "%cd%\%%G" >NUL

 

IF NOT EXIST "%cd%\regedit.exe" copy %systemroot%\regedit.exe "%cd%\regedit.exe" >NUL

 

>fixtools.reg (

echo REGEDIT4

echo.

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System]

echo "DisableRegistryTools"=-

echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer]

echo "DisableRegistryTools"=-

echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

echo "DisableRegistryTools"=-

echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer]

echo "DisableRegistryTools"=-)

 

apps\swreg import fixtools.reg>nul 2>&1

del /q fixtools.reg

 

echo.

echo Starting Repairs:

echo.

echo Checking Running Processes, Services and Files...

echo.

 

> partnership.txt (

dir /b/s/a:-d "%allusersprofile%\partnership.*" 2>nul)

 

if exist Report_old_3.txt ren Report_old_3.txt Report_old_4.txt>NUL

if exist Report_old_2.txt ren Report_old_2.txt Report_old_3.txt>NUL

if exist Report_old_1.txt ren Report_old_1.txt Report_old_2.txt>NUL

if exist Report.txt ren Report.txt Report_old_1.txt>NUL

 

apps\process -k explorer.exe >NUL

 

if exist partnership.txt FIND /I "partnership"<partnership.txt>NUL && apps\process -k smss.exe >> kill.txt

if exist partnership.txt FIND /I "partnership"<partnership.txt>NUL && apps\process -k winlogon.exe >> kill.txt

 

if exist %systemroot%\system32\crypts.dll apps\process -k smss.exe >> kill.txt

if exist %systemroot%\system32\crypts.dll apps\process -k winlogon.exe >> kill.txt

if exist %systemroot%\system32\ntos.exe apps\process -k smss.exe >> kill.txt

if exist %systemroot%\system32\ntos.exe apps\process -k winlogon.exe >> kill.txt

if exist %systemroot%\system32\ntos.exe apps\process -k ntos.exe >> kill.txt

if exist %systemroot%\system32\rpcc.dll apps\process -k smss.exe >> kill.txt

if exist %systemroot%\system32\rpcc.dll apps\process -k winlogon.exe >> kill.txt

if exist %systemroot%\system32\rpccd.dll apps\process -k smss.exe >> kill.txt

if exist %systemroot%\system32\rpccd.dll apps\process -k winlogon.exe >> kill.txt

if exist %systemroot%\szr_dll.dll apps\process -k smss.exe >> kill.txt

if exist %systemroot%\szr_dll.dll apps\process -k winlogon.exe >> kill.txt

 

apps\process -k iexplore.exe >NUL

apps\process -k wupdmgr.exe >> kill.txt

 

if exist %systemroot%\system32\1.tmp apps\process -k 1.tmp >> kill.txt

if exist %systemroot%\system32\2.tmp apps\process -k 2.tmp >> kill.txt

if exist %systemroot%\system32\a apps\process -k a >> kill.txt

if exist %systemroot%\system32\asus.exe apps\process -k asus.exe >> kill.txt

if exist %systemroot%\system32\bootini.exe apps\process -k bootini.exe >> kill.txt

if exist %systemroot%\system32\chh.exe apps\process -k chh.exe >> kill.txt

if exist %systemroot%\system32\creative.exe apps\process -k creative.exe >> kill.txt

if exist %systemroot%\system32\esijavaupdt32.exe apps\process -k esijavaupdt32.exe >> kill.txt

if exist %systemroot%\system32\explorer..exe apps\process -k explorer..exe >> kill.txt

if exist %systemroot%\system32\fservice.exe apps\process -k fservice.exe >> kill.txt

if exist %systemroot%\system32\glossary.exe apps\process -k glossary.exe >> kill.txt

if exist %systemroot%\system32\javaapplets.exe apps\process -k javaapplets.exe >> kill.txt

if exist %systemroot%\system32\javaapplet.exe apps\process -k javaapplet.exe >> kill.txt

if exist %systemroot%\system32\javanet.exe apps\process -k javanet.exe >> kill.txt

if exist %systemroot%\system32\jconsole.exe apps\process -k jconsole.exe >> kill.txt

if exist %systemroot%\system32\linksys.exe apps\process -k linksys.exe >> kill.txt

if exist %systemroot%\system32\mbti.exe apps\process -k mbti.exe >> kill.txt

if exist %systemroot%\system32\mguard.exe apps\process -k mguard.exe >> kill.txt

if exist %systemroot%\system32\mpreg.exe apps\process -k mpreg.exe >> kill.txt

if exist %systemroot%\system32\MS32.exe apps\process -k MS32.exe >> kill.txt

if exist %systemroot%\system32\msclt.exe apps\process -k msclt.exe >> kill.txt

if exist %systemroot%\system32\msdnxp.exe apps\process -k msdnxp.exe >> kill.txt

if exist %systemroot%\system32\msdn-nt.exe apps\process -k msdn-nt.exe >> kill.txt

if exist %systemroot%\system32\msejavaupdt32.exe apps\process -k msejavaupdt32.exe >> kill.txt

if exist %systemroot%\system32\msguard.exe apps\process -k msguard.exe >> kill.txt

if exist %systemroot%\system32\msident.exe apps\process -k msident.exe >> kill.txt

if exist %systemroot%\system32\msi32java.exe apps\process -k msi32java.exe >> kill.txt

if exist %systemroot%\system32\msijavaupdt32.exe apps\process -k msijavaupdt32.exe >> kill.txt

if exist %systemroot%\system32\msjava.exe apps\process -k msjava.exe >> kill.txt

if exist %systemroot%\system32\msjavames.exe apps\process -k msjavames.exe >> kill.txt

if exist %systemroot%\system32\msjavaxps.exe apps\process -k msjavaxps.exe >> kill.txt

if exist %systemroot%\system32\msreged32.exe apps\process -k msreged32.exe >> kill.txt

if exist %systemroot%\system32\mssqlsnt.exe apps\process -k mssqlsnt.exe >> kill.txt

if exist %systemroot%\system32\msvce.exe apps\process -k msvce.exe >> kill.txt

if exist %systemroot%\system32\msvce32.exe apps\process -k msvce32.exe >> kill.txt

if exist %systemroot%\system32\msvcrt.exe apps\process -k msvcrt.exe >> kill.txt

if exist %systemroot%\system32\netapi.exe apps\process -k netapi.exe >> kill.txt

if exist %systemroot%\system32\nlc.exe apps\process -k nlc.exe >> kill.txt

if exist %systemroot%\system32\osndyrn.exe apps\process -k osndyrn.exe >> kill.txt

if exist %systemroot%\system32\scvhost.exe apps\process -k scvhost.exe >> kill.txt

if exist %systemroot%\system32\scvhost apps\process -k scvhost >> kill.txt

if exist %systemroot%\scvhost.exe apps\process -k scvhost.exe >> kill.txt

if exist %systemroot%\system32\shchostv.exe apps\process -k shchostv.exe >> kill.txt

if exist %systemroot%\system32\SndMAX.exe apps\process -k SndMAX.exe >> kill.txt

if exist %systemroot%\system32\soundmax.exe apps\process -k soundmax.exe >> kill.txt

if exist %systemroot%\system32\spoolsrvc.exe apps\process -k spoolsrvc.exe >> kill.txt

if exist %systemroot%\system32\sp2vc.exe apps\process -k sp2vc.exe >> kill.txt

if exist %systemroot%\system32\svcvhost.exe apps\process -k svcvhost.exe >> kill.txt

if exist %systemroot%\SVICHHOST.exe apps\process -k SVICHHOST.exe >> kill.txt

if exist %systemroot%\system32\SVICHHOST.exe apps\process -k SVICHHOST.exe >> kill.txt

if exist %systemroot%\system32\xpjavams.exe apps\process -k xpjavams.exe >> kill.txt

if exist %systemroot%\system32\wincomm.exe apps\process -k wincomm.exe >> kill.txt

if exist %systemroot%\system32\windfe.exe apps\process -k windfe.exe >> kill.txt

if exist %systemroot%\WinIogon.exe apps\process -k WinIogon.exe >> kill.txt

if exist %systemroot%\winlog.exe apps\process -k winlog.exe >> kill.txt

if exist %systemroot%\system32\winlog.exe apps\process -k winlog.exe >> kill.txt

if exist %systemroot%\system32\winser.exe apps\process -k winser.exe >> kill.txt

if exist %systemroot%\system32\winservnt32.exe apps\process -k winservnt32.exe >> kill.txt

if exist %systemroot%\system32\winskd.exe apps\process -k winskd.exe >> kill.txt

if exist %systemroot%\system32\winsys.exe apps\process -k winsys.exe >> kill.txt

if exist %systemroot%\system32\wintask32.exe apps\process -k wintask32.exe >> kill.txt

if exist %systemroot%\system32\wkssvr.exe apps\process -k wkssvr.exe >> kill.txt

if exist %systemroot%\system32\wrapper.exe apps\process -k wrapper.exe >> kill.txt

if exist %systemroot%\wuaucll.exe apps\process -k wuaucll.exe >> kill.txt

if exist %systemroot%\system32\wunosjava.exe apps\process -k wunosjava.exe >> kill.txt

 

if exist backups_old3 ren backups_old3 backups_old4

if exist backups_old2 ren backups_old2 backups_old3

if exist backups_old1 ren backups_old1 backups_old2

if exist backups ren backups backups_old1

 

mkdir backups

mkdir backupreg

apps\swreg export "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services" .\backupreg\Backup_Services.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root" .\backupreg\Backup_Legacy.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" .\backupreg\Backup_HKLMRun.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices" .\backupreg\Backup_HKLMRunServices.reg

apps\swreg export "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" .\backupreg\Backup_HKCURun.reg

apps\swreg export "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices" .\backupreg\Backup_HKCURunServices.reg

apps\swreg export "HKEY_CLASSES_ROOT\exefile\shell\open\command" .\backupreg\Backup_exe_shell_open.reg

apps\swreg export "HKEY_CLASSES_ROOT\txtfile\shell\open\command" .\backupreg\Backup_txt_shell_open.reg

apps\swreg export "HKEY_CLASSES_ROOT\regfile\shell\open\command" .\backupreg\Backup_reg_shell_open.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies" .\backupreg\Backup_HKLMPolicy.reg

apps\swreg export "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies" .\backupreg\Backup_HKCUPolicy.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load1" .\backupreg\Backup_ControlPanel_Load1.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" .\backupreg\Backup_AppInit_DLLs.reg

apps\swreg export "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" .\backupreg\Backup_WinlogonNotify.reg

 

regedit.exe /s apps\assosfix.reg

 

echo.

echo Please Be Patient As This May Take Several Minutes

echo.

 

apps\sc.exe GetKeyName "Print Spooler Service"|FIND /I "SUCCESS">>CheckSvc.txt

IF EXIST CheckSvc.txt For /f "tokens=6 delims= " %%G in (CheckSvc.txt) DO ECHO %%G>>apps\svc.txt

IF EXIST CheckSvc.txt For /f "tokens=6 delims= " %%G in (CheckSvc.txt) DO ECHO %%G>>apps\legacy.txt

 

apps\swreg query "HKLM\SYSTEM\CurrentControlSet\Services\aspi113210"|FIND /I "Imagepath">>Checkasp.txt

FOR /F "TOKENS=4 DELIMS=\" %%G in (Checkasp.txt) DO ECHO %systemroot%\system32\%%G>>Find.txt

 

IF EXIST "%systemroot%\system32\Microsoft\backup.ftp" goto replacetp

IF EXIST "%systemroot%\system32\Microsoft\backup.tftp" goto replacetp

 

goto sdstart

 

:replacetp

 

>> ftpcheck.txt (

echo.

if exist %systemroot%\system32\Microsoft\backup.ftp echo %systemroot%\system32\Microsoft\backup.ftp Found...

if exist %systemroot%\system32\Microsoft\backup.tftp echo %systemroot%\system32\Microsoft\backup.tftp Found...

echo.

echo Checking files:

echo.)

 

> tplocs.txt (

echo %systemroot%\system32\Microsoft\backup.ftp

echo %systemroot%\system32\Microsoft\backup.tftp

echo %systemroot%\system32\ftp.exe

echo %systemroot%\system32\tftp.exe

echo %systemroot%\system32\dllcache\ftp.exe

echo %systemroot%\system32\dllcache\tftp.exe)

 

echo %systemroot%\system32\Microsoft\backup.ftp> tplocsbakf.txt

echo %systemroot%\system32\Microsoft\backup.tftp> tplocsbakt.txt

 

>> ftpcheck.txt (

echo Genuine:

findstr /m /f:tplocs.txt "XcptFilter"

echo.

echo Dummy:

findstr /m /f:tplocs.txt "JARich")

 

findstr /m /f:tplocs.txt "JARich" && goto startrep

 

goto sdstart

 

:startrep

 

findstr /m /f:tplocsbakf.txt "XcptFilter" && COPY /Y "%systemroot%\system32\ftp.exe" backups>nul

findstr /m /f:tplocsbakt.txt "XcptFilter" && COPY /Y "%systemroot%\system32\tftp.exe" backups>nul

findstr /m /f:tplocsbakf.txt "XcptFilter" && COPY /Y "%systemroot%\system32\Microsoft\backup.ftp" "%systemroot%\system32\dllcache\ftp.exe">nul

findstr /m /f:tplocsbakt.txt "XcptFilter" && COPY /Y "%systemroot%\system32\Microsoft\backup.tftp" "%systemroot%\system32\dllcache\tftp.exe">nul

findstr /m /f:tplocsbakf.txt "XcptFilter" && COPY /Y "%systemroot%\system32\Microsoft\backup.ftp" "%systemroot%\system32\ftp.exe">nul

findstr /m /f:tplocsbakt.txt "XcptFilter" && COPY /Y "%systemroot%\system32\Microsoft\backup.tftp" "%systemroot%\system32\tftp.exe">nul

CLS

 

>> ftpcheck.txt (

echo.

echo Files copied to SDFix\Backups

echo.

echo Restoring files if backups are found

echo.

echo Final Check:

echo.

echo Genuine:

findstr /m /f:tplocs.txt "XcptFilter"

echo.

echo Dummy:

findstr /m /f:tplocs.txt "JARich"

echo.)

 

:sdstart

 

> Report.txt (

echo.

echo SDFix: %update%

echo.

echo %date% - %time%

ver

echo.

echo Running From: %cd%

echo.

echo Safe Mode:

echo Checking Services:

echo.

echo Name:

For /f "tokens=*" %%G in (apps\svc.txt) do apps\SWReg QUERY "HKLM\SYSTEM\CurrentControlSet\Services\%%~G"|Find /I "imagepath">>Check.txt && echo %%~G

echo.

echo Path:

for /f "tokens=3*" %%a in (Check.txt) do echo %%a %%b

echo.

For /f "tokens=*" %%G in (apps\svc.txt) do apps\SWSC.exe delete "%%~G" >nul && echo %%~G Deleted

For /f "tokens=*" %%G in (apps\disable.txt) do apps\SWSC.exe config "%%~G" start= disabled>nul && echo %%~G Disabled

echo.

echo Restoring Windows Registry Entries

echo Restoring Default Hosts File

echo.)

 

regedit.exe /s apps\fix.reg

 

if exist kill.txt FIND /i "Killing" < kill.txt >>Report.txt

IF EXIST ftpcheck.txt TYPE ftpcheck.txt>>Report.txt

 

echo Restoring Windows Registry Entries

echo Restoring Default Hosts File

 

if [%TypeOS%]==[W2K] goto wkfix

 

:xpfix

 

> xpfix.reg (

echo REGEDIT4

echo.

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

echo "Shell"="Explorer.exe"

echo "Userinit"="%windir:\=\\%\\system32\\userinit.exe,"

echo "SFCDisable"=dword:00000000

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]

echo "%windir:\=\\%\\system32\\wadinst.sys"=-

echo "%windir:\=\\%\\system32\\1u7.exe"=-)

 

regedit.exe /s xpfix.reg

move /y xpfix.reg .\backupreg\BackupSDRepairXP.reg

 

regedit.exe /s apps\fixXP.reg

 

goto continue

 

:wkfix

 

> wkfix.reg (

echo REGEDIT4

echo.

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

echo "Start"=dword:00000003

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

echo "Shell"="Explorer.exe"

echo "Userinit"="%windir:\=\\%\\system32\\userinit.exe,"

echo "SFCDisable"=dword:00000000

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]

echo "%windir:\=\\%\\system32\\wadinst.sys"=-

echo "%windir:\=\\%\\system32\\1u7.exe"=-)

 

regedit.exe /s wkfix.reg

move /y wkfix.reg .\backupreg\BackupSDRepairW2K.reg

if exist "%systemdrive%\WINDOWS\eraseme_?????.exe" dir /b/s/a-d %systemdrive%\WINDOWS\eraseme_?????.exe >>Find.txt

 

:continue

 

REGEDIT /E CHECK.TXT "HKEY_CLASSES_ROOT\CLSID\{855875B5-93F3-429D-FF34-660B206D897C}"

IF EXIST CHECK.TXT FIND /I "@"<CHECK.TXT>CHECK1.TXT

IF EXIST CHECK1.TXT FOR /F "TOKENS=4 DELIMS=\." %%G in (CHECK1.TXT) DO CALL SET BADDLL=%%G

IF EXIST %systemroot%\system32\%BADDLL%.dll ECHO %systemroot%\system32\%BADDLL%.dll>>FIND.TXT

 

REGEDIT /E CHECK2.TXT "HKEY_CLASSES_ROOT\CLSID\{947254B5-96F3-4A9D-FF34-8466477D897C}"

IF EXIST CHECK2.TXT FIND /I "@"<CHECK.TXT>CHECK3.TXT

IF EXIST CHECK3.TXT FOR /F "TOKENS=4 DELIMS=\." %%A in (CHECK3.TXT) DO CALL SET MOFILE=%%A

IF EXIST %systemroot%\system32\%MOFILE%.dll ECHO %systemroot%\system32\%MOFILE%.dll>>FIND.TXT

 

apps\locate "%systemroot%\SYSTEM32\*.dll" /D- /s:4096! /n >>TEST200.TXT

findstr /m /f:TEST200.TXT "WhAtTheFuck" >> TEST201.TXT

findstr /m /f:TEST201.TXT "ReleaseMutex" && GOTO AppInitstart

 

goto ssnext

 

:AppInitstart

 

regedit.exe /s apps\Reset_AppInit_DLLs.reg

ECHO Reset AppInit_DLLs value >>Report.txt

ECHO.>>Report.txt

 

:ssnext

 

regedit.exe /s apps\FIXCU.reg

regedit.exe /s apps\FIXLM.reg

 

ATTRIB -h -s -r -a "%windir%\SYSTEM32\DRIVERS\ETC\HOSTS" >NUL

DEL /Q "%windir%\SYSTEM32\DRIVERS\ETC\HOSTS" >nul 2>&1

 

>%windir%\SYSTEM32\DRIVERS\ETC\HOSTS (

echo # Copyright © 1993-1999 Microsoft Corp.

echo #

echo # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

echo #

echo # This file contains the mappings of IP addresses to host names. Each

echo # entry should be kept on an individual line. The IP address should

echo # be placed in the first column followed by the corresponding host name.

echo # The IP address and the host name should be separated by at least one

echo # space.

echo #

echo # Additionally, comments ^(such as these^) may be inserted on individual

echo # lines or following the machine name denoted by a "#" symbol.

echo #

echo # For example:

echo #

echo # 102.54.94.97 rhino.acme.com # source server

echo # 38.25.63.10 x.acme.com # x client host

echo #

echo 127.0.0.1 localhost)

 

apps\swreg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /v "SDFix" /d "%~s0 /second"

apps\swreg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SDFix" /d "%cd%\RunThis.bat /second"

 

echo.

echo Checking Files,

echo.

echo Please Wait...

 

apps\locate "%systemroot%\system32\*.exe" /s:74752! /D- /n>>TEST1.TXT

findstr /m /f:TEST1.TXT "z&Q8dD79" >> TEST2.TXT

findstr /m /f:TEST2.TXT "o!H6kv<" >> TEST3.TXT

findstr /m /f:TEST2.TXT "o!H6kv<" >> Find.txt

apps\locate "%temp%\*.tmp" /s:40960! /D- /n /nr>>TEST4.TXT

findstr /m /f:TEST4.TXT "Neg_TMFf" >> TEST5.TXT

findstr /m /f:TEST5.TXT "Project1.exe" >> Find.txt

apps\locate "%systemdrive%\*.T" /D- /s:17571! /n>>TEST6.TXT

findstr /m /f:TEST6.TXT "evLp@F=?3Q">> Find.txt

apps\locate "%systemdrive%\*.T" /D- /s:47235! /n>>TEST7.TXT

apps\locate "%systemdrive%\*.exe" /D- /s:47235! /n>>TEST7.TXT

findstr /m /f:TEST7.TXT "h4a8Sjby{" >> TEST8.TXT

findstr /m /f:TEST8.TXT "SU_UCk" >> Find.txt

apps\locate "%systemroot%\system32\*.exe" /D- /s:93184! /n /nr>>TEST9.TXT

findstr /m /f:TEST9.TXT "VC20XC00U" >> TEST10.TXT

findstr /m /f:TEST10.TXT "{73364D99-1240-4dff-B12A-67E448373148}" >> Find.txt

apps\locate "%systemroot%\system32\*.exe" /D- /s:16384! /n /nr>>TEST11.TXT

findstr /m /f:TEST11.TXT "acmz1__g0ma" >> TEST12.TXT

findstr /m /f:TEST12.TXT "c+dLis3Ne" >> Find.txt

apps\locate "%systemroot%\system32\*.exe" /D- /s:2560! /n /nr>>TEST13.TXT

findstr /m /f:TEST13.TXT "fxaD-qaWZ<O" >> TEST14.TXT

findstr /m /f:TEST14.TXT "rmfmwt" >> Find.txt

apps\locate "%systemroot%\system32\*.exe" /D- /s:13824! /n /nr>>TEST15.TXT

findstr /m /f:TEST15.TXT "98EEA-FEFA-451b-ACF2-7561F94B119k" >> TEST16.TXT

findstr /m /f:TEST16.TXT "rbmlz.txt" >> Find.txt

apps\locate "%systemroot%\system32\*.dll" /D- /s:61! /n /nr>>TEST17.TXT

findstr /m /f:TEST17.TXT "rne:}" >> TEST18.TXT

findstr /m /f:TEST18.TXT "cq<nfx" >> Find.txt

apps\locate "%systemroot%\system32\*.exe" /D- /s:105070! /n /nr>>TEST19.TXT

findstr /m /f:TEST19.TXT "KtVLnlmh" >> TEST20.TXT

findstr /m /f:TEST20.TXT "xAuEvAzKLH" >> Find.txt

apps\locate "%userprofile%\*.exe" /D- /s:16896! /n>>TEST21.TXT

apps\locate "%systemroot%\*.exe" /D- /s:16896! /n>>TEST21.TXT

findstr /m /f:TEST21.TXT "|x3z|x3z|x3z" >> TEST22.TXT

findstr /m /f:TEST22.TXT "inet_ntoa" >> Find.txt

apps\locate "%userprofile%\*.dll" /D- /s:4096! /n >>TEST23.TXT

apps\locate "%userprofile%\*.exe" /D- /s:4096! /n >>TEST23.TXT

apps\locate "%systemroot%\*.dll" /D- /s:4096! /n >>TEST23.TXT

apps\locate "%systemroot%\*.exe" /D- /s:4096! /n >>TEST23.TXT

findstr /m /f:TEST23.TXT "WhAtTheFuck" >> TEST24.TXT

findstr /m /f:TEST24.TXT "ReleaseMutex" >> Find.txt

apps\locate "%temp%\par*.tmp" /D- /n /nr>>TEST25.TXT

findstr /m /f:TEST25.TXT "ROXWUN" >> Find.txt

apps\locate "%temp%\????.tmp" /D- /n /nr>>TEST26.TXT

findstr /m /f:TEST26.TXT "K~LIAMMAILEG<" >> Find.txt

apps\locate "%temp%\*" /D- /n /nr>>TEST27.TXT

findstr /m /f:TEST27.TXT "www.affiliates.topinstalls.com" >> Find.txt

apps\locate "%systemroot%\system32\*.dll" /D- /s:8704! /n /nr>>TEST28.TXT

findstr /m /f:TEST28.TXT "gOhgkog.exe" >> Find.txt

apps\locate "%systemroot%\system32\*.sys" /D- /s:51733! /n /nr>>TEST29.TXT

findstr /m /f:TEST29.TXT "nOqBj#6Y" >> TEST30.TXT

findstr /m /f:TEST30.TXT "GyjnI5Q!" >> Find.txt

 

IF EXIST TEST3.TXT FOR /F "TOKENS=4 DELIMS=\" %%G in (TEST3.TXT) DO CALL SET WormFol=%%G

IF EXIST "%systemroot%\system32\%WormFol%\Winlogon.ini" echo %systemroot%\system32\%WormFol%\Winlogon.ini>>Find.txt

 

IF EXIST "%systemroot%\system32\wsnpoem\audio.dll" echo %systemroot%\system32\wsnpoem\audio.dll>>Find.txt

IF EXIST "%systemroot%\system32\wsnpoem\video.dll" echo %systemroot%\system32\wsnpoem\video.dll>>Find.txt

IF EXIST "%systemroot%\system32\wsnpoem\audio.dll" Move /Y %systemroot%\system32\wsnpoem\audio.dll backups\audio.dll>NUL

IF EXIST "%systemroot%\system32\wsnpoem\video.dll" Move /Y %systemroot%\system32\wsnpoem\video.dll backups\video.dll>NUL

 

cls

echo.

echo.

echo The PC will now restart, SDFix will run after rebooting to Finish the Cleanup

echo.

echo.

echo Please press any key to restart

echo.

echo.

echo.

 

for /f "tokens=*" %%a in (apps\rem.txt) do if exist "%%a" (

del /q "%%a" )

 

 

pause

 

start apps\RestartIt!.exe /f:reboot

 

goto End

 

:missing

 

echo.

echo.

echo FILES MISSING !!

echo ******************

echo.

echo.

echo.

echo Files are missing, this step will replace the files then restart SDFix

echo.

echo Please Unzip the files to System32 when you see the prompt by pressing UNZIP

echo then click OK and CLOSE and press any key to start the fixtool again..

echo.

echo.

echo.

if [%TypeOS%]==[W2K] start apps\Replace\W2K.exe

if [%TypeOS%]==[XP] start apps\Replace\XP.exe

pause

cls

Goto Start

 

:Second

color 0F

cd %~dps0

 

echo.

echo Stage Two:

echo.

echo Finishing Registry Repairs...

 

For /f "tokens=*" %%G in (apps\legacy.txt) do (

apps\RegDACL "HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%%G" /gga:F>NUL)

 

>clean.reg (

echo REGEDIT4

echo.

echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Time]

echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Time]

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

echo "SDFix"=-

echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

echo "SDFix"=-)

 

For /f "tokens=*" %%G in (apps\svc.txt) do (

echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%%G]>>clean.reg)

For /f "tokens=*" %%G in (apps\legacy.txt) do (

echo [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%%G]>>clean.reg )

 

regedit.exe /s clean.reg

 

>>Report.txt (

echo.

echo Rebooting...

echo.

echo Normal Mode:

echo Checking Files:)

 

IF EXIST partnership.txt FIND /I "partnership"<partnership.txt>>FIND.txt

 

>inetcheck.txt (

if exist %systemroot%\inet20??? dir /b %systemroot%\inet20??? 2>nul)

if exist inetcheck.txt for /f "tokens=* delims=inet2" %%a in (inetcheck.txt) do dir /b/s/a-d %systemroot%\inet2%%a\>>Find.txt

 

for /f "tokens=2* delims=%%" %%g in (

'apps\swreg query "hkcu\software\microsoft\windows\currentversion\explorer\user shell folders" ^|

find.exe /i "startup"'

) do call set start=%%%%g%%%%h

 

for /f "tokens=2* delims=%%" %%g in (

'apps\swreg query "hklm\software\microsoft\windows\currentversion\explorer\user shell folders" ^|

find.exe /i "common startup"'

) do call set allstart=%%%%g%%%%h

 

CLS

 

echo.

echo Checking Files:

echo.

echo Please Wait....

 

>> Find.txt (

dir /b/s/a-d "%userprofile%\pack.dat" 2>nul

dir /b/s/a-d %systemroot%\*.exe.exe 2>nul

dir /b/s/a-d %systemroot%\*.png.exe 2>nul

dir /b/s/a-d %systemroot%\*_netapi.exe 2>nul

dir /b/s/a-d %systemroot%\cursors\mstask\* 2>nul

dir /b/s/a-d %systemroot%\cjnr4r4* 2>nul

dir /b/s/a-d %systemroot%\dior4f4* 2>nul

dir /b/s/a-d %systemroot%\directx.sys 2>nul

dir /b/s/a-d %systemroot%\edfimg_* 2>nul

dir /b/s/a-d %systemroot%\eraseme_?????.exe 2>nul

dir /b/s/a-d %systemroot%\haxdrv.sys 2>nul

dir /b/s/a-d %systemroot%\hide_evr2.sys 2>nul

dir /b/s/a-d %systemroot%\Hpdriver.sys 2>nul

dir /b/s/a-d %systemroot%\hxdefdrv.sys 2>nul

dir /b/s/a-d %systemroot%\*_ie-hook.dll 2>nul

dir /b/s/a-d %systemroot%\inetsponsor\* 2>nul

dir /b/s/a-d %systemroot%\Media\ringtones\* 2>nul

dir /b/s/a-d %systemroot%\mlsdf8h* 2>nul

dir /b/s/a-d %systemdrive%\msdirect.sys 2>nul

dir /b/s/a-d %systemdrive%\msdirectx.sys 2>nul

dir /b/s/a-d %systemroot%\new_drv.sys 2>nul

dir /b/s/a-d %systemroot%\nlkfev7* 2>nul

dir /b/s/a-d %systemdrive%\rdriv.sys 2>nul

dir /b/s/a-d %systemroot%\remon.sys 2>nul

dir /b/s/a-d %systemroot%\rofl.sys 2>nul

dir /b/s/a-d %systemroot%\sklrr7y* 2>nul

dir /b/s/a-d %systemroot%\SMONITOR.SYS 2>nul

dir /b/s/a-d %systemroot%\system32\1035\etc\system\* 2>nul

dir /b/s/a-d %systemroot%\system32\dllcache\win32\* 2>nul

dir /b/s/a-d %systemroot%\system32\kazaabackupfiles\* 2>nul

dir /b/s/a-d %systemroot%\system32\scif\* 2>nul

dir /b/s/a-d %systemroot%\loadadv???.exe 2>nul

dir /b/s/a-d %systemroot%\Temp\*.tmp.exe 2>nul

dir /b/s/a-d %systemroot%\Temp\ms-*.exe 2>nul

dir /b/s/a-d %systemroot%\timedrv26.sys 2>nul

dir /b/s/a-d %systemroot%\winmon.sys 2>nul

dir /b/s/a-d %temp%\*_netapi.exe 2>nul

dir /b/s/a-d %temp%\nsProcess.dll 2>nul

dir /b/s/a-d %temp%\cjnr4r4* 2>nul

dir /b/s/a-d %temp%\dior4f4* 2>nul

dir /b/s/a-d %temp%\eraseme_* 2>nul

dir /b/s/a-d %temp%\mlsdf8h* 2>nul

dir /b/s/a-d %temp%\nlkfev7* 2>nul

dir /b/s/a-d %temp%\sklrr7y* 2>nul

dir /b/s/a-d %temp%\*.tmp.dll 2>nul

dir /b/s/a-d %temp%\*.tmp.exe 2>nul

dir /b/s/a-d %temp%\*.exe.exe 2>nul

dir /b/s/a-d %temp%\*.png.exe 2>nul

 

For %%G in (

"%allstart%\JVM0.exe"

"%allstart%\msconfig.exe"

"%allstart%\MS_update_061?_KB7????.exe"

"%allstart%\taskmgr.exe"

"%allstart%\svchost.exe"

"%allstart%\Wincbr.exe"

"%allstart%\winlogin.exe"

"%allstart%\Winlogon.exe"

"%allstart%\winupdbc.exe"

"%allstart%\wsass32.exe"

"%allstart%\wupdmgr.exe"

"%start%\MS_update_061?_KB7????.exe"

"%start%\MY_C4D.jpg"

"%start%\svchost.exe"

"%start%\rBot.exe"

"%start%\winlogon.lnk"

"%programfiles%\Microsoft\svhost32.exe"

"%programfiles%\System32\svchost.exe"

"%commonprogramfiles%\msmgr32.dll"

"%commonprogramfiles%\PnpManager\upnpmngr.exe"

"%commonprogramfiles%\Microsoft Shared\MSINFO\systen32.exe"

"%appdata%\addon.dat"

%temp%\1.reg

%temp%\_check32.bat

%temp%\_ssf.vbs

%temp%\_td???.tmp

%temp%\a.dll

%temp%\a.exe

%temp%\ac?_????.exe

%temp%\adv.exe

%temp%\AutoDownSrv.exe

%temp%\autorun.inf

%temp%\axs???.tmp

%temp%\Chii.exe

%temp%\delmeexe.bat

%temp%\dl72???.exe

%temp%\dnlsvc.exe

%temp%\ExtractDLL.dll

%temp%\hd???.tmp

%temp%\HttpGet.exe

%temp%\httpget.ini

%temp%\HttpGet??????.exe

%temp%\ieupdate.exe

%temp%\install.exe

%temp%\installer.exe

%temp%\it_????.exe

%temp%\kill??.exe

%temp%\ktexec.exe

%temp%\mag????.exe

%temp%\MediaSups.exe

%temp%\msinfo32.dat

%temp%\object?.exe

%temp%\popuplog.txt

%temp%\qms?.tmp

%temp%\RarSFX0\server.exe

%temp%\rsi.exe

%temp%\s1000??.exe

%temp%\service??.exe

%temp%\setup.exe

%temp%\s?chost.exe

%temp%\SysConf.conf

%temp%\sysremove.bat

%temp%\t.bat

%temp%\temp.bat

%temp%\temp_*.bat

%temp%\test?.exe

%temp%\terminate.bat

%temp%\timedrv26.sys

%temp%\tubar????.exe

%temp%\uninstall.exe

%temp%\winlogon.exe

%temp%\winsyst32.exe

%temp%\wz??.exe

%systemdrive%\_?.exe

%systemdrive%\_xr.bat

%systemdrive%\?.bat

%systemdrive%\aaa.cab

%systemdrive%\abcdefg.bat

%systemdrive%\bootini.exe

%systemdrive%\bot.log

%systemdrive%\b?_log.txt

%systemdrive%\chh.exe

%systemdrive%\claro.exe

%systemdrive%\creative.exe

%systemdrive%\data.exe

%systemdrive%\dbg.txt

%systemdrive%\download15??.exe

%systemdrive%\DriverLoad\windrv.exe

%systemdrive%\elk.exe

%systemdrive%\glossary.exe

%systemdrive%\ieupdate.exe

%systemdrive%\iexplore.exe

%systemdrive%\iexplorer.exe

%systemdrive%\int_rem.bat

%systemdrive%\javaapplets.exe

%systemdrive%\javaapplet.exe

%systemdrive%\javanet.exe

%systemdrive%\jconsole.exe

%systemdrive%\KB295792.exe

%systemdrive%\kernel32.exe

%systemdrive%\loaders.exe

%systemdrive%\logn.exe

%systemdrive%\lsass.exe

%systemdrive%\mguard.exe

%systemdrive%\MS32.exe

%systemdrive%\msclt.exe

%systemdrive%\msejavaupdt32.exe

%systemdrive%\msi32java.exe

%systemdrive%\msident.exe

%systemdrive%\msijavaupdt32.exe

%systemdrive%\msjava.exe

%systemdrive%\msjavames.exe

%systemdrive%\msjavaxps.exe

%systemdrive%\myDelm.bat

%systemdrive%\net.exe

%systemdrive%\noexistfile.txt

%systemdrive%\osndyrn.exe

%systemdrive%\owned.txt

%systemdrive%\pizza.exe

%systemdrive%\prosys32.exe

%systemdrive%\s.exe

%systemdrive%\services.exe

%systemdrive%\sp2ini.pif

%systemdrive%\sstray.exe

%systemdrive%\svcccc.exe

%systemdrive%\svchost.com

%systemdrive%\svchost.exe

%systemdrive%\svhost.exe

%systemdrive%\Sysdll.dll

%systemdrive%\sysdrv.bat

%systemdrive%\sysini.bat

%systemdrive%\sysload.pif

%systemdrive%\syst.exe

%systemdrive%\system32.exe

%systemdrive%\t.rar

%systemdrive%\Temp\tmp?.tmp

%systemdrive%\Tmp\Isass.exe

%systemdrive%\tskmgr.exe

%systemdrive%\uniq

%systemdrive%\updata.exe

%systemdrive%\win0.exe

%systemdrive%\windfe.exe

%systemdrive%\WINDOWSPacuks.doc

%systemdrive%\WindowsXPContorl.exe

%systemdrive%\winla\winla.exe

%systemdrive%\winser.exe

%systemdrive%\winservnt32.exe

%systemdrive%\winskd.exe

%systemdrive%\winstall.exe

%systemdrive%\wrapper.exe

%systemdrive%\wunosjava.exe

%systemdrive%\WINNT\system32\esman.exe

%systemdrive%\WINNT\system32\seman.exe

%systemdrive%\xpjavams.exe

%systemdrive%\z.rar

%systemroot%\9129837.exe

%systemroot%\_logo1.exe

%systemroot%\2.tmp

%systemroot%\adminiecc.dll

%systemroot%\adminiecc.exe

%systemroot%\AdobeR.exe

%systemroot%\agl.exe

%systemroot%\alg.exe

%systemroot%\alt.exe

%systemroot%\Antivirus.exe

%systemroot%\antivirus32.exe

%systemroot%\asus.exe

%systemroot%\atapid.exe

%systemroot%\avantage32.exe

%systemroot%\avll32.exe

%systemroot%\Back_On.exe

%systemroot%\bot.exe

%systemroot%\botcrx.exe

%systemroot%\cc.exe

%systemroot%\cdfs.exe

%systemroot%\chckntfs.exe

%systemroot%\comusg.exe

%systemroot%\cmd.com

%systemroot%\cmonsvc322.exe

%systemroot%\comdlj32.dll

%systemroot%\COMMAND\explorer.exe

%systemroot%\comrepl32.exe

%systemroot%\comreplsvc.exe

%systemroot%\config.exe

%systemroot%\config\svchost.exe

%systemroot%\crss32.exe

%systemroot%\CSRSA.exe

%systemroot%\csrsc.exe

%systemroot%\csrss.exe

%systemroot%\ctfmon32.dll

%systemroot%\dcmhelp.exe

%systemroot%\directx.exe

%systemroot%\Dll.dll

%systemroot%\dll\rundll32.exe

%systemroot%\dllhost.exe

%systemroot%\dllwin.exe

%systemroot%\dmrproc.exe

%systemroot%\Download\svhost32.exe

%systemroot%\dsrss.exe

%systemroot%\dupadupam2.exe

%systemroot%\eiRecvr.exe

%systemroot%\elRecvr.exe

%systemroot%\emdat.tm?

%systemroot%\enu-hotfix912840.exe

%systemroot%\etc\services.exe

%systemroot%\explore.exe

%systemroot%\explorer32.exe

%systemroot%\explorer..exe

%systemroot%\FFFFSSSS.BAT

%systemroot%\firefox.exe

%systemroot%\folder.exe

%systemroot%\Fonts\chanflood.mrc

%systemroot%\Fonts\clone.mrc

%systemroot%\Fonts\commands.txt

%systemroot%\Fonts\Explored.exe

%systemroot%\Fonts\kernel33.exe

%systemroot%\Fonts\mirc.ini

%systemroot%\Fonts\moo.dll

%systemroot%\Fonts\portredirect.mrc

%systemroot%\Fonts\remote.ini

%systemroot%\Fonts\script.ini

%systemroot%\Fonts\winboot.bin

%systemroot%\Fonts\winconf.mrc

%systemroot%\Fonts\whvlxd.dat

%systemroot%\Fonts\whvlxd.exe

%systemroot%\fwnet64.exe

%systemroot%\gettfo.exe

%systemroot%\G_Server2006.dll

%systemroot%\G_Server2006.exe

%systemroot%\G_Server2006Key.dll

%systemroot%\Hacker.com.cn.exe

%systemroot%\harvest.exe

%systemroot%\Help\imapi.exe

%systemroot%\Help\svchost.exe

%systemroot%\Help\temp.pid

%systemroot%\HgzServer\Hacker.com.cn.exe

%systemroot%\hook.txt

%systemroot%\host.exe

%systemroot%\hp32.ini

%systemroot%\i386\csrss.exe

%systemroot%\icmp1.exe

%systemroot%\ie.exe

%systemroot%\ie-hook.txt

%systemroot%\iedw.exe

%systemroot%\IefxTray.exe

%systemroot%\ieredir.exe

%systemroot%\ieserver.exe

%systemroot%\iexpl0re.exe

%systemroot%\iexplore.exe

%systemroot%\iexplorer7.exe

%systemroot%\iis\iesetup.exe

%systemroot%\iisctrl.exe

%systemroot%\INETSVC.EXE

%systemroot%\inf\rundll32.exe

%systemroot%\Intel\rundll32.exe

%systemroot%\internet.exe

%systemroot%\iTunesMusic.exe

%systemroot%\JavaPlatform

%systemroot%\kbdsvc.exe

%systemroot%\jusched.exe

%systemroot%\lcass.exe

%systemroot%\litmus\lssas.exe

%systemroot%\logins32.exe

%systemroot%\logitech.exe

%systemroot%\lsass.exe

%systemroot%\lsrvc.exe

%systemroot%\mcmmng32.exe

%systemroot%\mcsecure.exe

%systemroot%\Media\Call32.exe

%systemroot%\Media\hptools.exe

%systemroot%\Media\microsoft.exe

%systemroot%\messengersystem.exe

%systemroot%\mmp.exe

%systemroot%\msagent\server.exe

%systemroot%\Mscfg.exe

%systemroot%\msconfig.com

%systemroot%\msexploren.exe

%systemroot%\mshost.exe

%systemroot%\MsHS64.exe

%systemroot%\MSmedia.exe

%systemroot%\msdtc.exe

%systemroot%\MsLS32.exe

%systemroot%\MsLX32.exe

%systemroot%\Msmgs.exe

%systemroot%\msn93.exe

%systemroot%\msncomm.exe

%systemroot%\msndn.exe

%systemroot%\msngrsm.exe

%systemroot%\msnmsgr.exe

%systemroot%\msnsrv.exe

%systemroot%\msnwebmgr.exe

%systemroot%\mspathfinder

%systemroot%\MSPF.EXE

%systemroot%\msput.exe

%systemroot%\msrvs32.exe

%systemroot%\mssmbios.exe

%systemroot%\mssmp.exe

%systemroot%\mssmppp.exe

%systemroot%\mssql.exe

%systemroot%\mstinit.exe

%systemroot%\msvbn.exe

%systemroot%\mvsql.exe

%systemroot%\navsvc.exe

%systemroot%\NeroCheck.dll

%systemroot%\NeroCheck.exe

%systemroot%\net.com

%systemroot%\netaps2.txt

%systemroot%\netconf32.exe

%systemroot%\netsvc.exe

%systemroot%\nkit.dll

%systemroot%\NT\nrcs.exe

%systemroot%\NT\1.tmp

%systemroot%\ntdev.exe

%systemroot%\nvchost.exe

%systemroot%\Nvds.exe

%systemroot%\nvidcgui.exe

%systemroot%\offlog.txt

%systemroot%\oswinupdate.exe

%systemroot%\Pacuks

%systemroot%\PART0?00.DAT

%systemroot%\poolsv.exe

%systemroot%\preredir.exe

%systemroot%\protect.exe

%systemroot%\plugin1.dat

%systemroot%\QQ.dll

%systemroot%\QQ.exe

%systemroot%\qservice.exe

%systemroot%\r_bifrose.exe

%systemroot%\Rav.dll

%systemroot%\Rav.exe

%systemroot%\realplayers.exe

%systemroot%\regdll.exe

%systemroot%\regedit.com

%systemroot%\register.exe

%systemroot%\regstrmon.exe

%systemroot%\relocater.exe

%systemroot%\rootkit.exe

%systemroot%\rundll.exe

%systemroot%\rundl132.exe

%systemroot%\s.exe

%systemroot%\s32.txt

%systemroot%\scrss32.dll

%systemroot%\scvc.exe

%systemroot%\scvhost.exe

%systemroot%\security\lsass.exe

%systemroot%\serveraa.exe

%systemroot%\service.exe

%systemroot%\services.dll

%systemroot%\services32.dll

%systemroot%\services.exe

%systemroot%\service32.exe

%systemroot%\services32.exe

%systemroot%\Servico.exe

%systemroot%\servstat32x.exe

%systemroot%\shch.exe

%systemroot%\shost.exe

%systemroot%\smsc.exe

%systemroot%\smscc.exe

%systemroot%\smsmanger.exe

%systemroot%\smss.exe

%systemroot%\smsss.exe

%systemroot%\smss32.exe

%systemroot%\Sos28.exe

%systemroot%\soso?.exe

%systemroot%\SP2PATCH.EXE

%systemroot%\spoolsvc.exe

%systemroot%\spoolsvr.exe

%systemroot%\sqldebug.exe

%systemroot%\sqldps.exe

%systemroot%\sqlmanagement.exe

%systemroot%\sql-smss.exe

%systemroot%\srv.exe

%systemroot%\ssms.exe

%systemroot%\SSSFFFFFF.BAT

%systemroot%\svahost.exe

%systemroot%\svcccc.bat

%systemroot%\svcccc.dll

%systemroot%\svcchost.exe

%systemroot%\svchos.exe

%systemroot%\svchos29.dll

%systemroot%\svchos-upd.exe

%systemroot%\svchost.com

%systemroot%\svchost.DLL

%systemroot%\svchost.exe

%systemroot%\SVCH0ST.exe

%systemroot%\svchosts.exe

%systemroot%\svchost32.exe

%systemroot%\svchostKey.DLL

%systemroot%\svchst.exe

%systemroot%\svcr.exe

%systemroot%\svcss.exe

%systemroot%\svhda.exe

%systemroot%\svhost.dll

%systemroot%\SVICHHOST.exe

%systemroot%\svschost.exe

%systemroot%\sys32exploer.dll

%systemroot%\svslogon.exe

%systemroot%\SCVVC.exe

%systemroot%\sychost32.exe

%systemroot%\sylldlm.exe

%systemroot%\sysdll.exe

%systemroot%\sysInf.dat

%systemroot%\sysmgr64.exe

%systemroot%\syspr.prx

%systemroot%\System.dll

%systemroot%\System.exe

%systemroot%\system.txt

%systemroot%\Systemt.exe

%systemroot%\system32.exe

%systemroot%\SystemDebug.exe

%systemroot%\systemKey.DLL

%systemroot%\system\aliases.ini

%systemroot%\system\aliases1.ini

%systemroot%\system\control.ini

%systemroot%\system\dllhost.exe

%systemroot%\system\DSDEV.EXE

%systemroot%\system\Explorer.EXE

%systemroot%\system\fonts.dll

%systemroot%\system\fullname.txt

%systemroot%\system\gm.exe

%systemroot%\system\icrss.exe

%systemroot%\system\ident.txt

%systemroot%\system\iexplorer.exe

%systemroot%\system\kapat.txt

%systemroot%\system\kontrol.dll

%systemroot%\system\lsass.exe

%systemroot%\system\mirc.ico

%systemroot%\system\mirc.ini

%systemroot%\system\ms32.sys

%systemroot%\system\msidll.exe

%systemroot%\system\mside.exe

%systemroot%\system\msie701.exe

%systemroot%\system\mstask.exe

%systemroot%\system\mstctw32.dll

%systemroot%\system\mtstct32.dll

%systemroot%\system\nick.txt

%systemroot%\system\nicks.txt

%systemroot%\system\popups.txt

%systemroot%\system\remote.ini

%systemroot%\system\script.ini

%systemroot%\system\sctwnd32.dll

%systemroot%\system\scvhsot.exe

%systemroot%\system\servers.ini

%systemroot%\system\services.exe

%systemroot%\system\smss.exe

%systemroot%\system\spool_dll.dll

%systemroot%\system\sup.bat

%systemroot%\system\sup.reg

%systemroot%\system\svcchosts.exe

%systemroot%\system\svchest.exe

%systemroot%\system\svchest.reg

%systemroot%\system\svchost.exe

%systemroot%\system\svchost32.exe

%systemroot%\system\svchosts.exe

%systemroot%\system\svchosts.lzma

%systemroot%\system\svhost.exe

%systemroot%\system\svwhost.exe

%systemroot%\system\Swf.dll

%systemroot%\system\System.exe

%systemroot%\system\szr_dr.sys

%systemroot%\system\unsvchosts.exe

%systemroot%\system\unsvchosts.lzma

%systemroot%\system\users.ini

%systemroot%\system\win32.exe

%systemroot%\system\winlogin.exe

%systemroot%\system\yaddress.ico

"%systemroot%\system\You Have Been HaCkeD By Me.jpg"

%systemroot%\system32\.dll

%systemroot%\system32\.exe

%systemroot%\system32\~.exe

%systemroot%\system32\_mzu_stonedrv?.exe

%systemroot%\system32\_tmp????

%systemroot%\system32\___?.dll

%systemroot%\system32\___?.exe

%systemroot%\system32\___?

%systemroot%\system32\___synmgr.exe

%systemroot%\system32\?x32.exe

%systemroot%\system32\1037v.exe

%systemroot%\system32\2pac.txt

%systemroot%\system32\1u7.exe

%systemroot%\system32\5ystem.exe

%systemroot%\system32\a

%systemroot%\system32\a.exe

%systemroot%\system32\ABC2007.exe

%systemroot%\system32\abv.exe

%systemroot%\system32\acpmonsrv.exe

%systemroot%\system32\ActiveScan.exe

%systemroot%\system32\adir.dll

%systemroot%\system32\adirss.exe

%systemroot%\system32\adv.txt

%systemroot%\system32\adv32.exe

%systemroot%\system32\aimplg.exe

%systemroot%\system32\albateam.exe

%systemroot%\system32\algos32.exe

%systemroot%\system32\alg32.exe

%systemroot%\system32\algs.exe

%systemroot%\system32\algsys.exe

%systemroot%\system32\alib.exe

%systemroot%\system32\alota.exe

%systemroot%\system32\alsys.exe

%systemroot%\system32\amsnmgr.exe

%systemroot%\system32\amsnmsgs.exe

%systemroot%\system32\anlServ.exe

%systemroot%\system32\antivir32.exe

%systemroot%\system32\apigrab.dll

%systemroot%\system32\apsvc.exe

%systemroot%\system32\arci.exe

%systemroot%\system32\arse.exe

%systemroot%\system32\asrupdate.exe

%systemroot%\system32\asus.exe

%systemroot%\system32\atievx.exe

%systemroot%\system32\atigfx.exe

%systemroot%\system32\atividx.exe

%systemroot%\system32\atixvdm.exe

%systemroot%\system32\audiocfg.exe

%systemroot%\system32\autosys.exe

%systemroot%\system32\avp.exe

%systemroot%\system32\Awesome32.exe

%systemroot%\system32\backup.exe

%systemroot%\system32\bf4p.exe

%systemroot%\system32\bin29a.log

%systemroot%\system32\bling.exe

%systemroot%\system32\bnc.mrc

%systemroot%\system32\bootini.exe

%systemroot%\system32\bootvfy.exe

%systemroot%\system32\bootwiz.exe

%systemroot%\system32\bot.exe

%systemroot%\system32\btserv.exe

%systemroot%\system32\BttnServ.exe

%systemroot%\system32\cc2.cc

%systemroot%\system32\cflmon.exe

%systemroot%\system32\chh.exe

%systemroot%\system32\chkext.exe

%systemroot%\system32\CiaStream.dll

%systemroot%\system32\ckl009.dat

%systemroot%\system32\clcbt.exe

%systemroot%\system32\cli.exe

%systemroot%\system32\cmd16.exe

%systemroot%\system32\cmd32.exe

%systemroot%\system32\cmh.exe

%systemroot%\system32\cmman32.exe

%systemroot%\system32\Com\svchost.dll

%systemroot%\system32\Com\SVCHOSTKEY.DLL

%systemroot%\system32\comdlg64.dll

%systemroot%\system32\compq32.exe

%systemroot%\system32\config.exe

%systemroot%\system32\configldr.exe

%systemroot%\system32\configure.exe

%systemroot%\system32\copq.exe

%systemroot%\system32\cpmp32.exe

%systemroot%\system32\cprs.exe

%systemroot%\system32\cpstorage.exe

%systemroot%\system32\cpvhost.exe

%systemroot%\system32\crack.exe

%systemroot%\system32\crcss.exe

%systemroot%\system32\creative.exe

%systemroot%\system32\crizak.exe

%systemroot%\system32\cronos.exe

%systemroot%\system32\crp386.exe

%systemroot%\system32\crsrs.exe

%systemroot%\system32\crssxp.exe

%systemroot%\system32\crypts.dll

%systemroot%\system32\cscan.dat

%systemroot%\system32\csdata32.exe

%systemroot%\system32\csmn.exe

%systemroot%\system32\csnss.exe

%systemroot%\system32\csrs.exe

%systemroot%\system32\csrrs.exe

%systemroot%\system32\csrsrv.exe

%systemroot%\system32\csrssv.exe

%systemroot%\system32\csscv.exe

%systemroot%\system32\cssrs.exe

%systemroot%\system32\cssrssv.exe

%systemroot%\system32\csts.exe

%systemroot%\system32\csvc.exe

%systemroot%\system32\csvhost.exe

%systemroot%\system32\ctfcom.exe

%systemroot%\system32\CTFMDN.exe

%systemroot%\system32\ctfmom.exe

%systemroot%\system32\ctfmoom.exe

%systemroot%\system32\ctfnon.exe

%systemroot%\system32\ctpmon.exe

%systemroot%\system32\cUpdate.exe

%systemroot%\system32\czf.exe

%systemroot%\system32\d_service.exe

%systemroot%\system32\daoprint.dll

%systemroot%\system32\DAP.exe

%systemroot%\system32\dcz.exe

%systemroot%\system32\De?eteme.bat

%systemroot%\system32\Del.bat

%systemroot%\system32\delme.bat

%systemroot%\system32\delxp.exe

%systemroot%\system32\Desktop.exe

%systemroot%\system32\dhcpserv.exe

%systemroot%\system32\directxat.exe

%systemroot%\system32\DirectXset.exe

%systemroot%\system32\disctrl.exe

%systemroot%\system32\DIVXPloyer.exe

%systemroot%\system32\dlh9jk??????.exe

%systemroot%\system32\dlha\mstask32.com

%systemroot%\system32\dll.exe

%systemroot%\system32\dllcache\ageofempires.exe

%systemroot%\system32\dllcache\cybershots.exe

%systemroot%\system32\dllcache\dragonage.exe

%systemroot%\system32\dllcache\fifa2007.exe

%systemroot%\system32\dllcache\ffchost.exe

%systemroot%\system32\dllcache\grand.exe

%systemroot%\system32\dllcache\lkmhost.exe

%systemroot%\system32\dllcache\lpohost.exe

%systemroot%\system32\dllcache\mainwin32.exe

%systemroot%\system32\dllcache\mfxbox.exe

%systemroot%\system32\dllcache\msagent.exe

%systemroot%\system32\dllcache\mscom.exe

%systemroot%\system32\dllcache\mshcp.exe

%systemroot%\system32\dllcache\msi.exe

%systemroot%\system32\dllcache\msiupdate32.exe

%systemroot%\system32\dllcache\mslogon.exe

%systemroot%\system32\dllcache\msscmc43.exe

%systemroot%\system32\dllcache\mssecure32.exe

%systemroot%\system32\dllcache\msterminal.exe

%systemroot%\system32\dllcache\mswincom32.exe

%systemroot%\system32\dllcache\msvps.exe

%systemroot%\system32\dllcache\qxchost.exe

%systemroot%\system32\dllcache\rschost.exe

%systemroot%\system32\dllcache\seagatecom.exe

%systemroot%\system32\dllcache\snchost.exe

%systemroot%\system32\dllcache\ssls.exe

%systemroot%\system32\dllcache\starwin32.exe

%systemroot%\system32\dllcache\starwksvc.exe

%systemroot%\system32\dllcache\svcshoter.exe

%systemroot%\system32\dllcache\svhba.exe

%systemroot%\system32\dllcache\svhda.exe

%systemroot%\system32\dllcache\syspool.exe

%systemroot%\system32\dllcache\thesims2.exe

%systemroot%\system32\dllcache\updtftpini.exe

%systemroot%\system32\dllcache\wksrvs.exe

%systemroot%\system32\dllcache\wkssvc.exe

%systemroot%\system32\dllcon.exe

%systemroot%\system32\dllhost32.exe

%systemroot%\system32\dllhost32.dll

%systemroot%\system32\dllhosts.dll

%systemroot%\system32\dllman.exe

%systemroot%\system32\dllmanager32.exe

%systemroot%\system32\dllrun32.exe

%systemroot%\system32\dllsys64.exe

%systemroot%\system32\dnservice.exe

%systemroot%\system32\Downdll.dll

%systemroot%\system32\download.ini

%systemroot%\system32\DownLoadDLL.dll

%systemroot%\system32\drive.exe

%systemroot%\system32\drivemngr.sys

%systemroot%\system32\driver.exe

%systemroot%\system32\drivers\atixd.exe

%systemroot%\system32\drivers\DP.sys

%systemroot%\system32\drivers\etc\hosts.tim

%systemroot%\system32\drivers\KWatch1.sys

%systemroot%\system32\drivers\msgegh.sys

%systemroot%\system32\drivers\ntndis.exe

%systemroot%\system32\drivers\ntndis.sys

%systemroot%\system32\drivers\nvscv32.exe

%systemroot%\system32\drivers\SndSystem.sys

%systemroot%\system32\drivers\spcolsv.exe

%systemroot%\system32\drivers\spoclss.exe

%systemroot%\system32\drivers\spoclsv.exe

%systemroot%\system32\drivers\spo0lsv.exe

%systemroot%\system32\drivers\sppoolsv.exe

%systemroot%\system32\drivers\svchost.exe

%systemroot%\system32\drv32dta\pstore.txt

%systemroot%\system32\drv32dta\tmp.tmp

%systemroot%\system32\DSDEV.EXE

%systemroot%\system32\dwdsregt.exe

%systemroot%\system32\dxdlg32.exe

%systemroot%\system32\dxdmain.exe

%systemroot%\system32\eltcelcius.exe

%systemroot%\system32\ert.dll

%systemroot%\system32\esijavaupdt32.exe

%systemroot%\system32\eventsry.exe

%systemroot%\system32\eventwvr.exe

%systemroot%\system32\EvtEngn.exe

%systemroot%\system32\expl0rer.pif

%systemroot%\system32\explore.exe

%systemroot%\system32\Explored.exe

%systemroot%\system32\explorer32.exe

%systemroot%\system32\explorer.exe

%systemroot%\system32\explorer..exe

%systemroot%\system32\explorers.exe

%systemroot%\system32\firewall.exe

%systemroot%\system32\f.exe

%systemroot%\system32\ffservice.exe

%systemroot%\system32\fhm.exe

%systemroot%\system32\first_file.exe

%systemroot%\system32\fllnm.exe

%systemroot%\system32\form.txt

%systemroot%\system32\FrameWork.exe

%systemroot%\system32\fservice.exe

%systemroot%\system32\fufffy.exe

%systemroot%\system32\fxscomex.exe

%systemroot%\system32\g.exe

%systemroot%\system32\game?.exe

%systemroot%\system32\gay.exe

%systemroot%\system32\glossary.exe

%systemroot%\system32\google.exe

%systemroot%\system32\Googlesetup.exe

%systemroot%\system32\grplscd.exe

%systemroot%\system32\guard.exe

%systemroot%\system32\helperlmdm.exe

%systemroot%\system32\helpermlm4.exe

%systemroot%\system32\helperqttsk.exe

%systemroot%\system32\helperssrvc.exe

%systemroot%\system32\hook.dll

%systemroot%\system32\host.exe

%systemroot%\system32\HPSrvPrt.exe

%systemroot%\system32\hpsvc.exe

%systemroot%\system32\hwclock.exe

%systemroot%\system32\hypertrm.exe

%systemroot%\system32\i

%systemroot%\system32\i.exe

%systemroot%\system32\iasos.dll

%systemroot%\system32\iaxcfg32.dll

%systemroot%\system32\ib6.dll

%systemroot%\system32\ib14.dll

%systemroot%\system32\icf.exe

%systemroot%\system32\icmui32.dll

%systemroot%\system32\IEFilter.dll

%systemroot%\system32\ieschedule.exe

%systemroot%\system32\ieupdate.exe

%systemroot%\system32\iexplor.exe

%systemroot%\system32\iexplore32.exe

%systemroot%\system32\IExplore326.exe

%systemroot%\system32\iexpl0re.exe

%systemroot%\system32\iexplore.exe

%systemroot%\system32\iexplore.pif

%systemroot%\system32\iexplorer.exe

%systemroot%\system32\iexplorer32.exe

%systemroot%\system32\i_explorer.exe

%systemroot%\system32\in.DLL

%systemroot%\system32\in.exe

%systemroot%\system32\inet.exe

%systemroot%\system32\info.txt

%systemroot%\system32\INKEY.DLL

%systemroot%\system32\install.exe

%systemroot%\system32\intenat.exe

%systemroot%\system32\ips6mon.dll

%systemroot%\system32\ipsecs.exe

%systemroot%\system32\ipsec6mon.dll

%systemroot%\system32\ipv4mons.dll

%systemroot%\system32\ipv6moni.dll

%systemroot%\system32\ipv6monj.dll

%systemroot%\system32\ipv6monk.dll

%systemroot%\system32\ipv6monl.dll

%systemroot%\system32\ipv6monm.dll

%systemroot%\system32\ipv6monn.dll

%systemroot%\system32\ipv6mono.dll

%systemroot%\system32\ipv6monp.dll

%systemroot%\system32\ipv6monq.dll

%systemroot%\system32\ipv6monr.dll

%systemroot%\system32\ipv6mons.dll

%systemroot%\system32\ipv6motq.dll

%systemroot%\system32\irdvxc.exe

%systemroot%\system32\IRQconf.exe

%systemroot%\system32\Isass.exe

%systemroot%\system32\ituneshelper32.exe

%systemroot%\system32\iusr.exe

%systemroot%\system32\iwinapp.exe

%systemroot%\system32\jamesbond.exe

%systemroot%\system32\jaupdate.exe

%systemroot%\system32\javaapplet.exe

%systemroot%\system32\javaapplets.exe

%systemroot%\system32\javanet.exe

%systemroot%\system32\javasctp.exe

%systemroot%\system32\jbhook.dll

%systemroot%\system32\jconsole.exe

%systemroot%\system32\jusched.exe

%systemroot%\system32\JVM0.exe

%systemroot%\system32\jxl.exe

%systemroot%\system32\Kernel3?.exe

%systemroot%\system32\kernels1118.exe

%systemroot%\system32\kernels8.exe

%systemroot%\system32\kernels88.exe

%systemroot%\system32\keylog.txt

%systemroot%\system32\ksl48.bin

%systemroot%\system32\KT06.pif

%systemroot%\system32\ldinfo.ldr

%systemroot%\system32\lemsrv.exe

%systemroot%\system32\lEXPLORE.EXE

%systemroot%\system32\lich.exe

%systemroot%\system32\lil32\swchost.exe

%systemroot%\system32\linksys.exe

%systemroot%\system32\LimeWire.exe

%systemroot%\system32\lnwin.exe

%systemroot%\system32\loadcfg32.exe

%systemroot%\system32\log.dat

%systemroot%\system32\logmen.exe

%systemroot%\system32\lsass2k.exe

%systemroot%\system32\lsays.exe

%systemroot%\system32\lmdm.exe

%systemroot%\system32\lmss.exe

%systemroot%\system32\login.exe

%systemroot%\system32\logon.exe

%systemroot%\system32\lrsys.exe

%systemroot%\system32\lsa.exe

%systemroot%\system32\lsass.pif

%systemroot%\system32\lsass.ppf

%systemroot%\system32\lsass32.exe

%systemroot%\system32\lservice.exe

%systemroot%\system32\lsiss.exe

%systemroot%\system32\lsrv.exe

%systemroot%\system32\lssas.exe

%systemroot%\system32\lssc.exe

%systemroot%\system32\lsscs.exe

%systemroot%\system32\lssys.exe

%systemroot%\system32\lsvss.exe

%systemroot%\system32\lsyss.exe

%systemroot%\system32\lviss.exe

%systemroot%\system32\lvsrev.exe

%systemroot%\system32\lxsys.exe

%systemroot%\system32\lzx32.sys

%systemroot%\system32\main.sys

%systemroot%\system32\Main2.exe

%systemroot%\system32\Mastercard32.exe

%systemroot%\system32\mbti.exe

%systemroot%\system32\mdat32.exe

%systemroot%\system32\Meseger.exe

%systemroot%\system32\Messenger.exe

%systemroot%\system32\mfcee.exe

%systemroot%\system32\mguard.exe

%systemroot%\system32\micront.exe

%systemroot%\system32\micropoft.exe

%systemroot%\system32\Microsoft.exe

%systemroot%\system32\Microsoft\backup.ftp

%systemroot%\system32\Microsoft\backup.tftp

%systemroot%\system32\microsoftserv\klog.dat

%systemroot%\system32\microsoftserv\mircosoft3.exe

%systemroot%\system32\mimpatch.exe

%systemroot%\system32\mini?tone.ini

%systemroot%\system32\mirc.ini

%systemroot%\system32\mIRC.exe

%systemroot%\system32\mixers.exe

%systemroot%\system32\mlm4.exe

%systemroot%\system32\mmp.exe

%systemroot%\system32\moo.dll

%systemroot%\system32\mousecrm.exe

%systemroot%\system32\mousehs.exe

%systemroot%\system32\moviemk.exe

%systemroot%\system32\mp2Ld.exe

%systemroot%\system32\mpreg.exe

%systemroot%\system32\ms32.exe

%systemroot%\system32\msapi.exe

%systemroot%\system32\msapps.exe

%systemroot%\system32\msasn.exe

%systemroot%\system32\MSASP32.exe

%systemroot%\system32\msasvc.exe

%systemroot%\system32\msauth.exe

%systemroot%\system32\msbd32.dll

%systemroot%\system32\MSbz32.exe

%systemroot%\system32\mschkdf.exe

%systemroot%\system32\msclt.exe

%systemroot%\system32\mscp.exe

%systemroot%\system32\msconfg.exe

%systemroot%\system32\msconfig32.exe

%systemroot%\system32\msconfigs.exe

%systemroot%\system32\msconfigsu.exe

%systemroot%\system32\msdevelop.exe

%systemroot%\system32\MSDHCP32.exe

%systemroot%\system32\msdn-nt.exe

%systemroot%\system32\msdndr.dat

%systemroot%\system32\msdndr.pif

%systemroot%\system32\msdndr.sys

%systemroot%\system32\MSDNSD32.exe

%systemroot%\system32\msdnxp.exe

%systemroot%\system32\MSDOS.PIF

%systemroot%\system32\MSdos32.exe

%systemroot%\system32\msdriver.exe

%systemroot%\system32\msedit32.exe

%systemroot%\system32\msejavaupdt32.exe

%systemroot%\system32\msfsr.sys

%systemroot%\system32\msgconfigrs.exe

%systemroot%\system32\msguard.exe

%systemroot%\system32\msgzl.exe

%systemroot%\system32\mshotmon.exe

%systemroot%\system32\mshtha.exe

%systemroot%\system32\msi32java.exe

%systemroot%\system32\msicll.exe

%systemroot%\system32\msident.exe

%systemroot%\system32\MSIEHelper.dll

%systemroot%\system32\msiexecs.dll

%systemroot%\system32\msiexecs.exe

%systemroot%\system32\msiexecu.exe

%systemroot%\system32\msijavaupdt32.exe

%systemroot%\system32\MSlti32.exe

%systemroot%\system32\msjava.exe

%systemroot%\system32\msjavames.exe

%systemroot%\system32\msjavaxps.exe

%systemroot%\system32\Msloader32.exe

%systemroot%\system32\msmanager.exe

%systemroot%\system32\msmisso.exe

%systemroot%\system32\MSMSN32.exe

%systemroot%\system32\msmsngr.exe

%systemroot%\system32\msn.exe

%systemroot%\system32\msn16.exe

%systemroot%\system32\msnav32.ax

%systemroot%\system32\msnchecker.exe

%systemroot%\system32\msngr.exe

%systemroot%\system32\msni.exe

%systemroot%\system32\msnka0lids.exe

%systemroot%\system32\msnlive.exe

%systemroot%\system32\msnlivegs.exe

%systemroot%\system32\MSNMEssenger.exe

%systemroot%\system32\msnmesseng.exe

%systemroot%\system32\MsnMsgr.exe

%systemroot%\system32\msnmsgs.exe

%systemroot%\system32\msnmsgsm.exe

%systemroot%\system32\msnmsgsman.exe

%systemroot%\system32\msnmsgsmn.exe

%systemroot%\system32\msnmssgr.exe

%systemroot%\system32\MsnMsr.exe

%systemroot%\system32\msnplus.exe

%systemroot%\system32\msmq2inst.exe

%systemroot%\system32\msnq3insller.exe

%systemroot%\system32\msnqmgr.exe

%systemroot%\system32\msns.exe

%systemroot%\system32\msnscps.dll

%systemroot%\system32\msnse.exe

%systemroot%\system32\msnserve.exe

%systemroot%\system32\msnservice.exe

%systemroot%\system32\msnsrv.exe

%systemroot%\system32\msnsvc.exe

%systemroot%\system32\msnupdate.exe

%systemroot%\system32\msnupdates.exe

%systemroot%\system32\msoff.exe

%systemroot%\system32\mspcdcom.exe

%systemroot%\system32\msrdc.exe

%systemroot%\system32\msreged32.exe

%systemroot%\system32\msresource.exe

%systemroot%\system32\msrp32.exe

%systemroot%\system32\msscf32.exe

%systemroot%\system32\MSsec32.exe

%systemroot%\system32\mssecure.exe

%systemroot%\system32\mssecures.exe

%systemroot%\system32\mssmmspgr.exe

%systemroot%\system32\mssmp.exe

%systemroot%\system32\mssmppp.exe

%systemroot%\system32\mssqlsnt.exe

%systemroot%\system32\MSsslServer.exe

%systemroot%\system32\mssvcc.exe

%systemroot%\system32\mstasks.exe

%systemroot%\system32\MStli32s.exe

%systemroot%\system32\mstc.exe

%systemroot%\system32\msttl.exe

%systemroot%\system32\mstunnel.exe

%systemroot%\system32\msupdate.exe

%systemroot%\system32\msvce.exe

%systemroot%\system32\msvce32.exe

%systemroot%\system32\msvcbm.exe

%systemroot%\system32\msvchost.exe

%systemroot%\system32\msvcrt.exe

%systemroot%\system32\msvcs.exe

%systemroot%\system32\msvrcs.exe

%systemroot%\system32\msw32.exe

%systemroot%\system32\mswindtc.exe

%systemroot%\system32\MSWin.dat

%systemroot%\system32\mswins.exe

%systemroot%\system32\mswinup.exe

%systemroot%\system32\MSWSA32.exe

%systemroot%\system32\mswsus.exe

%systemroot%\system32\msx64.exe

%systemroot%\system32\mtserv.exe

%systemroot%\system32\mxpsp.exe

%systemroot%\system32\mxs.exe

%systemroot%\system32\mybot.log

%systemroot%\system32\mybot.pid

%systemroot%\system32\mybot.state

%systemroot%\system32\myfile.exe

%systemroot%\system32\Mysia.exe

%systemroot%\system32\mysvcc.exe

%systemroot%\system32\mznmgr.exe

%systemroot%\system32\MZU_DRV.sys

%systemroot%\system32\napi32.exe

%systemroot%\system32\nav32.exe

%systemroot%\system32\nbthlp.exe

%systemroot%\system32\NeroFil.EXE

%systemroot%\system32\net32a.exe

%systemroot%\system32\net32b.exe

%systemroot%\system32\neta.exe

%systemroot%\system32\netapi.exe

%systemroot%\system32\netddeclnt.exe

%systemroot%\system32\netddesrv.exe

%systemroot%\system32\netid.exe

%systemroot%\system32\Netlib.exe

%systemroot%\system32\netlib32.exe

%systemroot%\system32\Netmon.exe

%systemroot%\system32\netmsg.exe

%systemroot%\system32\netrap.exe

%systemroot%\system32\netstat.com

%systemroot%\system32\network.exe

"%systemroot%\system32\Network DEE.exe"

%systemroot%\system32\newdll.exe

%systemroot%\system32\newdll2.exe

%systemroot%\system32\nice.exe

%systemroot%\system32\ninsvc.exe

%systemroot%\system32\nlc.exe

%systemroot%\system32\nod.exe

%systemroot%\system32\nod64.exe

%systemroot%\system32\nod6dr4.exe

%systemroot%\system32\nokiacheck.exe

%systemroot%\system32\nordsys.exe

%systemroot%\system32\Norton2005Update.exe

%systemroot%\system32\nortonav.exe

%systemroot%\system32\nsvce32.exe

%systemroot%\system32\ntdrv.exe

%systemroot%\system32\ntframe.exe

%systemroot%\system32\ntfsloc.exe

%systemroot%\system32\nton.exe

%systemroot%\system32\ntos.exe

%systemroot%\system32\ntps.exe

%systemroot%\system32\ntfscrypt.exe

%systemroot%\system32\ntsf.exe

%systemroot%\system32\ntsystem.exe

%systemroot%\system32\nvidia.exe

%systemroot%\system32\Nvpss.exe

%systemroot%\system32\nvsec.exe

%systemroot%\system32\nvsvcd.exe

%systemroot%\system32\o

%systemroot%\system32\ODBCJET.exe

%systemroot%\system32\offlog.txt

%systemroot%\system32\openSSL32.exe

%systemroot%\system32\osndyrn.exe

%systemroot%\system32\outlook.exe

%systemroot%\system32\outlookexpressupdate.exe

%systemroot%\system32\p.exe

%systemroot%\system32\p2pnetworking.exe

%systemroot%\system32\pcedit.exe

%systemroot%\system32\pdate.exe

%systemroot%\system32\peers.ini

%systemroot%\system32\pgql.exe

%systemroot%\system32\plscd.exe

%systemroot%\system32\plugin1.dat

%systemroot%\system32\popspig

%systemroot%\system32\ppl.exe

%systemroot%\system32\prevx.exe

%systemroot%\system32\prinsvc.exe

%systemroot%\system32\ProAntiVirus.exe

%systemroot%\system32\provsvc.exe

%systemroot%\system32\proxy.exe

%systemroot%\system32\prsvr.exe

%systemroot%\system32\psecure.exe

%systemroot%\system32\psmcsh.exe

%systemroot%\system32\pstcp32.exe

%systemroot%\system32\Q8See.exe

%systemroot%\system32\qtask.exe

%systemroot%\system32\qttsk.exe

%systemroot%\system32\r.exe

%systemroot%\system32\rBot.exe

%systemroot%\system32\readysrv.exe

%systemroot%\system32\real.exe

%systemroot%\system32\recsl.exe

%systemroot%\system32\reginv.dll

%systemroot%\system32\regscan.exe

%systemroot%\system32\REG1.exe

%systemroot%\system32\remote.ini

%systemroot%\system32\remote.exe

%systemroot%\system32\rnsys.exe

%systemroot%\system32\rpcc.dll

%systemroot%\system32\rpcc.exe

%systemroot%\system32\rpccd.dll

%systemroot%\system32\rpcclient.exe

%systemroot%\system32\rpclocator.exe

%systemroot%\system32\Rpcmon.exe

%systemroot%\system32\Rpcs.dll

%systemroot%\system32\Rpcs.exe

%systemroot%\system32\Rpcse.dll

%systemroot%\system32\Rpcse.exe

%systemroot%\system32\RpcSs.exe

%systemroot%\system32\Rpcsu.dll

%systemroot%\system32\Rpcsu.exe

%systemroot%\system32\rpcsvc.exe

%systemroot%\system32\Rpcsx.dll

%systemroot%\system32\Rpcsx.exe

%systemroot%\system32\rserv.exe

%systemroot%\system32\run32dll.exe

%systemroot%\system32\rundl32.exe

%systemroot%\system32\rundll.exe

%systemroot%\system32\runjava.exe

%systemroot%\system32\s32.txt

%systemroot%\system32\salvage.exe

%systemroot%\system32\saqevre.exe

%systemroot%\system32\sarvice.exe

%systemroot%\system32\scandskx.exe

%systemroot%\system32\Scheduler.exe

%systemroot%\system32\scorti.exe

%systemroot%\system32\scrss.exe

%systemroot%\system32\scvhost

%systemroot%\system32\scvhost.exe

%systemroot%\system32\scvhsot.exe

%systemroot%\system32\scvideo.exe

%systemroot%\system32\scvvhost.exe

%systemroot%\system32\sdktemp.exe

%systemroot%\system32\se.exe

%systemroot%\system32\second_file.exe

%systemroot%\system32\secure32.exe

%systemroot%\system32\securessl.exe

%systemroot%\system32\Security.exe

%systemroot%\system32\serious.exe

%systemroot%\system32\server.exe

%systemroot%\system32\server2.exe

%systemroot%\system32\service.exe

%systemroot%\system32\servicemon.exe

%systemroot%\system32\servicemp.exe

%systemroot%\system32\servicess.exe

%systemroot%\system32\setup_?????.exe

%systemroot%\system32\setups.bak

%systemroot%\system32\sewins.exe

%systemroot%\system32\sgvrfy32.exe

%systemroot%\system32\shchostv.exe

%systemroot%\system32\shell32.exe

%systemroot%\system32\shellsw.exe

%systemroot%\system32\sms.exe

%systemroot%\system32\smsbvl32.exe

%systemroot%\system32\smsc.exe

%systemroot%\system32\smssb.exe

%systemroot%\system32\smtp32.exe

%systemroot%\system32\snlogsvc.exe

%systemroot%\system32\SndMAX.exe

%systemroot%\system32\snvc.exe

%systemroot%\system32\SoftwareUpdates.exe

%systemroot%\system32\soscks32.exe

%systemroot%\system32\soundman.exe

%systemroot%\system32\soundmax.exe

%systemroot%\system32\sp2vc.exe

%systemroot%\system32\spooIsv.exe

%systemroot%\system32\spool\cmd.exe

%systemroot%\system32\spool\hpprintqueue.exe

%systemroot%\system32\spool\notepad.exe

%systemroot%\system32\spoolcs.exe

%systemroot%\system32\spoolmon.dll

%systemroot%\system32\spoolnt.exe

%systemroot%\system32\spoolsae.exe

%systemroot%\system32\spoolsc.exe

%systemroot%\system32\spoolsrv.exe

%systemroot%\system32\spoolsrvc.exe

%systemroot%\system32\spoolsvc.exe

%systemroot%\system32\spoolsvv.exe

%systemroot%\system32\spoolvse.exe

%systemroot%\system32\spoolvvv.exe

%systemroot%\system32\sqlcer.exe

%systemroot%\system32\srshost.exe

%systemroot%\system32\srshostu.exe

%systemroot%\system32\sps32.exe

%systemroot%\system32\srvc.dll

%systemroot%\system32\srvchost.exe

%systemroot%\system32\srwhost.exe

%systemroot%\system32\ss.exe

%systemroot%\system32\sscs.exe

%systemroot%\system32\sservice.exe

%systemroot%\system32\ssl.exe

%systemroot%\system32\sslms.exe

%systemroot%\system32\ssmc.exe

%systemroot%\system32\ssms.exe

%systemroot%\system32\ssmss.exe

%systemroot%\system32\ssrvc.exe

%systemroot%\system32\ssvsol.exe

%systemroot%\system32\ssvvcchhoosst.exe

%systemroot%\system32\start2.exe

%systemroot%\system32\start32.exe

%systemroot%\system32\stonedrv.exe

%systemroot%\system32\Studio.exe

%systemroot%\system32\suchost.exe

%systemroot%\system32\sucker.exe

%systemroot%\system32\super.txt

%systemroot%\system32\svcchost.exe

%systemroot%\system32\svch0st.exe

%systemroot%\system32\svchest.exe

%systemroot%\system32\svchest.reg

%systemroot%\system32\svchost32.exe

%systemroot%\system32\svchoes.exe

%systemroot%\system32\svchosl.exe

%systemroot%\system32\svchostp.exe

%systemroot%\system32\svchosts.exe

%systemroot%\system32\svchostt.exe

%systemroot%\system32\svchostx.exe

%systemroot%\system32\svchxuf.exe

%systemroot%\system32\svcp.csv

%systemroot%\system32\svcshost.exe

%systemroot%\system32\svcvhost.exe

%systemroot%\system32\svcvlw32.exe

%systemroot%\system32\svehost.exe

%systemroot%\system32\svhost.exe

%systemroot%\system32\svho0st98.exe

%systemroot%\system32\svhostes.exe

%systemroot%\system32\SVICHHOST.exe

%systemroot%\system32\SVKP.SYS

%systemroot%\system32\svohost.exe

%systemroot%\system32\Symantex.exe

%systemroot%\system32\svmgr.exe

%systemroot%\system32\symon.exe

%systemroot%\system32\svmp.exe

%systemroot%\system32\svscache.exe

%systemroot%\system32\svschost.exe

%systemroot%\system32\svsnet.exe

%systemroot%\system32\svsnt.exe

%systemroot%\system32\svxhost.exe

%systemroot%\system32\swchost.exe

%systemroot%\system32\Sygate.exe

%systemroot%\system32\synet-ud.exe

%systemroot%\system32\sys32.exe

%systemroot%\system32\sysamp.exe

%systemroot%\system32\syscfg32.exe

%systemroot%\system32\syscfg32.exe\syscfg32.exe

%systemroot%\system32\syschk.exe

%systemroot%\system32\Sysctrls.exe

%systemroot%\system32\syscxd32.exe

%systemroot%\system32\sysdriver.exe

%systemroot%\system32\sysdtc32.exe

%systemroot%\system32\sysem.exe

%systemroot%\system32\Sysexplr.exe

%systemroot%\system32\syshost.exe

%systemroot%\system32\sysinfo.exe

%systemroot%\system32\sysl.exe

%systemroot%\system32\sysman.exe

%systemroot%\system32\SysMgr.exe

%systemroot%\system32\sysmsn.exe

%systemroot%\system32\sysmsvc.exe

%systemroot%\system32\sysmu_Hook.dll

%systemroot%\system32\sysmu.dll

%systemroot%\system32\sysmu.exe

%systemroot%\system32\syspic?.exe

%systemroot%\system32\syspools.exe

%systemroot%\system32\SysPr.prx

%systemroot%\system32\syssinfos.exe

%systemroot%\system32\sysreg11.exe

%systemroot%\system32\system12.exe

%systemroot%\system32\system32.exe

%systemroot%\system32\system34.exe

%systemroot%\system32\system43.exe

%systemroot%\system32\systemos.exe

%systemroot%\system32\system.exe

%systemroot%\system32\systemKey.DLL

%systemroot%\system32\systems.exe

%systemroot%\system32\systems_.exe

%systemroot%\system32\SysUpdate.exe

%systemroot%\system32\sysvx.exe

%systemroot%\system32\syswin32.exe

%systemroot%\system32\szr_dr.sys

%systemroot%\system32\t3st.bmp

%systemroot%\system32\taskdir.dll

%systemroot%\system32\taskdir.exe

%systemroot%\system32\taskdir~.exe

%systemroot%\system32\taskkill.com

%systemroot%\system32\taskmegr.exe

%systemroot%\system32\taskmgn.exe

%systemroot%\system32\taskmgr32.exe

%systemroot%\system32\taskmnegr.exe

%systemroot%\system32\taskmng.exe

%systemroot%\system32\taskmngr.exe

%systemroot%\system32\taskmngr32.exe

%systemroot%\system32\taskmqr.exe

%systemroot%\system32\taskmqrs.exe

%systemroot%\system32\tccpip.exe

%systemroot%\system32\tcpip.exe

%systemroot%\system32\tcpxp.exe

%systemroot%\system32\telcoms.exe

%systemroot%\system32\temp.exe

%systemroot%\system32\tempfn.dll

%systemroot%\system32\terminals.exe

%systemroot%\system32\termsv.exe

%systemroot%\system32\testtestt.exe

%systemroot%\system32\TFTP????

%systemroot%\system32\TheMatri?HasYou.exe

%systemroot%\system32\Tilecom32.com

%systemroot%\system32\Tilecomten.com

%systemroot%\system32\Tilecomtop.com

%systemroot%\system32\timeapr32.exe

%systemroot%\system32\trmupdate.exe

%systemroot%\system32\truetype.exe

%systemroot%\system32\tsklist32.exe

%systemroot%\system32\tskmgr.exe

%systemroot%\system32\tskscd.exe

%systemroot%\system32\tsstop.exe

%systemroot%\system32\Ttt.exe

%systemroot%\system32\txkernel.exe

%systemroot%\system32\u.exe

%systemroot%\system32\udzou.exe

%systemroot%\system32\un1x.exe

%systemroot%\system32\unsvchosts.lzma

%systemroot%\system32\update.exe

%systemroot%\system32\update32.exe

%systemroot%\system32\update.pif

%systemroot%\system32\update32.exe

%systemroot%\system32\updatees.exe

%systemroot%\system32\updrvs.exe

%systemroot%\system32\upnp.exe

%systemroot%\system32\urdvxc.exe

%systemroot%\system32\usb2ctrl.exe

%systemroot%\system32\USBhardware327.exe

%systemroot%\system32\user32.exe

%systemroot%\system32\userspi.dll

%systemroot%\system32\vcmon.exe

%systemroot%\system32\vcshost.exe

%systemroot%\system32\veritas.exe

%systemroot%\system32\video_32sD.exe

%systemroot%\system32\vig.exe

%systemroot%\system32\vmmon32.exe

%systemroot%\system32\vpms.exe

%systemroot%\system32\vr32.exe

%systemroot%\system32\vsp32.exe

%systemroot%\system32\vv815.exe

%systemroot%\system32\vxgame??.exe

%systemroot%\system32\vxga?m????.exe

%systemroot%\system32\vxg?am????.exe

%systemroot%\system32\w.exe

%systemroot%\system32\wadinst.sys

%systemroot%\system32\WAed.pif

%systemroot%\system32\wangard.exe

%systemroot%\system32\wcsntfy.exe

%systemroot%\system32\wdfmgr32.exe

%systemroot%\system32\webmsn.exe

%systemroot%\system32\wfsup.exe

%systemroot%\system32\wfxmgr.exe

%systemroot%\system32\wgareg.exe

%systemroot%\system32\wgavm.exe

%systemroot%\system32\wgavn.exe

%systemroot%\system32\wgeax.exe

%systemroot%\system32\whitevx.lst

%systemroot%\system32\win.ini.t00

%systemroot%\system32\win.exe

%systemroot%\system32\win32.exe

%systemroot%\system32\win32bootcfg.exe

%systemroot%\system32\win32ttb.exe

%systemroot%\system32\Win32Update.exe

%systemroot%\system32\WinAbring.exe

%systemroot%\system32\winaamp.exe

%systemroot%\system32\winamp.exe

%systemroot%\system32\winampa.exe

%systemroot%\system32\winclean.exe

%systemroot%\system32\wincom32.ini

%systemroot%\system32\wincom32.sys

%systemroot%\system32\wincntrl.exe

%systemroot%\system32\wincomm.exe

%systemroot%\system32\windat.exe

%systemroot%\system32\WinDDE.exe

%systemroot%\system32\windfe.exe

%systemroot%\system32\windir32.exe

%systemroot%\system32\windll32.exe

%systemroot%\system32\windmupdr.exe

%systemroot%\system32\windocs.exe

%systemroot%\system32\windows.exe

%systemroot%\system32\windows32.exe

%systemroot%\system32\Windows-.exe

%systemroot%\system32\Windows-Anti.exe

%systemroot%\system32\Windows-mod.exe

%systemroot%\system32\Windows-spyware.exe

%systemroot%\system32\windows.pif

%systemroot%\system32\WindowsLockdown.exe

%systemroot%\system32\windowsp.exe

%systemroot%\system32\windowstime.exe

%systemroot%\system32\WindowsUpdate.exe

%systemroot%\system32\WindowsXPContorl.exe

%systemroot%\system32\windowz.exe

%systemroot%\system32\windrg.exe

%systemroot%\system32\windrv.exe

%systemroot%\system32\WinDrv32.exe

%systemroot%\system32\winfix.exe

%systemroot%\system32\WinGuard.exe

%systemroot%\system32\wingrd32.exe

%systemroot%\system32\winhlp32.pif

%systemroot%\system32\winhost.exe

%systemroot%\system32\winhttps.exe

%systemroot%\system32\wininit.exe

%systemroot%\system32\winIogon.exe

%systemroot%\system32\WinIp32.exe

%systemroot%\system32\winis.exe

%systemroot%\system32\winit.exe

%systemroot%\system32\winjews16.exe

%systemroot%\system32\winkey.dll

%systemroot%\system32\winl0g0.exe

%systemroot%\system32\winl0g0z.exe

%systemroot%\system32\winligom.exe

%systemroot%\system32\winlive.exe

%systemroot%\system32\winlog.exe

%systemroot%\system32\winlogi.exe

%systemroot%\system32\winlogin.exe

%systemroot%\system32\winlogin.pif

%systemroot%\system32\winlogin32.exe

%systemroot%\system32\winlogom.exe

%systemroot%\system32\winlogon32.exe

%systemroot%\system32\winlogz2.exe

%systemroot%\system32\winlolx.exe

%systemroot%\system32\winmes.exe

%systemroot%\system32\winmnpld.lhp

%systemroot%\system32\winmsfw.exe

%systemroot%\system32\winmx.exe

%systemroot%\system32\winmx32.EXE

%systemroot%\system32\winnnit.exe

%systemroot%\system32\winnt4.exe

%systemroot%\system32\winntmsn.exe

%systemroot%\system32\WinOcx.exe

%systemroot%\system32\winoem.exe

%systemroot%\system32\winPE.exe

%systemroot%\system32\winpnp32.exe

%systemroot%\system32\winpol.exe

%systemroot%\system32\winprotect.exe

%systemroot%\system32\Winregs326a.exe

%systemroot%\system32\winrestore.exe

%systemroot%\system32\winrnr.exe

%systemroot%\system32\winrvc.exe

%systemroot%\system32\winrxd64.exe

%systemroot%\system32\wins32a.exe

%systemroot%\system32\winscntrl.exe

%systemroot%\system32\winscv.exe

%systemroot%\system32\WinSecUp.exe

%systemroot%\system32\WinSecure.exe

%systemroot%\system32\winsecurityxp\mswinup.exe

%systemroot%\system32\winser.exe

%systemroot%\system32\winserv.exe

%systemroot%\system32\winservicess.exe

%systemroot%\system32\winservnt32.exe

%systemroot%\system32\winsfs32.exe

%systemroot%\system32\winskd.exe

%systemroot%\system32\winslog.exe

%systemroot%\system32\wins0ck.dll

%systemroot%\system32\winsock.exe

%systemroot%\system32\WinSock32

%systemroot%\system32\WinSock32.exe

%systemroot%\system32\winsockx32.exe

%systemroot%\system32\winssh.exe

%systemroot%\system32\winssv.exe

%systemroot%\system32\winssx.exe

%systemroot%\system32\winsub.xml

%systemroot%\system32\winsvc.exe

%systemroot%\system32\winsvcup.exe

%systemroot%\system32\winsys.exe

%systemroot%\system32\winsys_32.exe

%systemroot%\system32\winsystems.exe

%systemroot%\system32\winsystems16.exe

%systemroot%\system32\wintask32.exe

%systemroot%\system32\wintasks32.exe

%systemroot%\system32\wintrust32.exe

%systemroot%\system32\winupcd.exe

%systemroot%\system32\winupd.exe

%systemroot%\system32\winupdate.exe

%systemroot%\system32\winupdbc.exe

%systemroot%\system32\winupn.exe

%systemroot%\system32\winupser.exe

%systemroot%\system32\winupsvc.exe

%systemroot%\system32\winusers.exe

%systemroot%\system32\winxp.exe

%systemroot%\system32\winystems.exe

%systemroot%\system32\winzip.exe

%systemroot%\system32\winzip81.exe

%systemroot%\system32\wkssr.exe

%systemroot%\system32\wkssvr.exe

%systemroot%\system32\wlmsn.exe

%systemroot%\system32\wlmsngr.exe

%systemroot%\system32\wmedia.exe

%systemroot%\system32\wmedia

%systemroot%\system32\wmwplayers.exe

%systemroot%\system32\wmsv.exe

%systemroot%\system32\wns.exe

%systemroot%\system32\Wntsf.exe

%systemroot%\system32\wnuserv.exe

%systemroot%\system32\wor.exe

%systemroot%\system32\wpa.exe

%systemroot%\system32\wrdpad05.exe

%systemroot%\system32\wrapper.exe

%systemroot%\system32\ws386.ini

%systemroot%\system32\wsap32.exe

%systemroot%\system32\wsass.exe

%systemroot%\system32\wsass32.exe

%systemroot%\system32\wservice.exe

%systemroot%\system32\wsock32.sys

%systemroot%\system32\wsscntfy.exe

%systemroot%\system32\wuamk032.exe

%systemroot%\system32\wuapi.exe

%systemroot%\system32\wuaumqr.exe

%systemroot%\system32\wunosjava.exe

%systemroot%\system32\wupdate.exe

%systemroot%\system32\wupdategux32.exe

%systemroot%\system32\wupdates.exe

%systemroot%\system32\wupdmgr32x.exe

%systemroot%\system32\xp386.exe

%systemroot%\system32\xpcphost.exe

%systemroot%\system32\xpiupdate.exe

%systemroot%\system32\xpjavams.exe

%systemroot%\system32\xpfilesys.exe

%systemroot%\system32\xpspz.exe

%systemroot%\system32\xptxt.exe

%systemroot%\system32\xydll.dll

%systemroot%\system32\ymsmsgs.exe

%systemroot%\system32\ymssgr.exe

%systemroot%\system32\ymssmsgs.exe

%systemroot%\system32\zaq.exe

%systemroot%\system32\zanbor.exe

%systemroot%\system32\zlbw.dll

%systemroot%\system32\zz.exe

%systemroot%\system32\systen32.exe

%systemroot%\systemn.in

%systemroot%\sysvx_.exe

%systemroot%\szr_dll.dll

%systemroot%\szr_32.exe

%systemroot%\taskbarmngr.exe

%systemroot%\Taskend.exe

%systemroot%\taskib.exe

%systemroot%\taskmg.exe

%systemroot%\taskms.exe

%systemroot%\taskshed.exe

%systemroot%\tasksch.exe

%systemroot%\tcb.pmw

%systemroot%\TCPIPSTACK.EXE

%systemroot%\temp.exe

%systemroot%\Temp\_deleteme.bat

%systemroot%\Temp\1?.exe

%systemroot%\Temp\89$$.bat

%systemroot%\Temp\~tenp.exe

%systemroot%\Temp\adv.exe

%systemroot%\Temp\??.dllb

%systemroot%\Temp\CCG?.exe

%systemroot%\Temp\chii.exe

%systemroot%\Temp\del.bat

%systemroot%\Temp\delmeexe.bat

%systemroot%\Temp\DSAR.exe

"%systemroot%\Temp\free porn finder.exe"

%systemroot%\Temp\ie888.exe

%systemroot%\Temp\irc_invader.exe

%systemroot%\Temp\it_????.exe

%systemroot%\Temp\loadadv???.exe

%systemroot%\Temp\lsass.exe

%systemroot%\Temp\iexplorer.exe

%systemroot%\Temp\m7.sys

%systemroot%\Temp\msnmsg.exe

%systemroot%\Temp\open0???.tmp

%systemroot%\Temp\pcs.exe

%systemroot%\Temp\pic.jpg

%systemroot%\Temp\pinch?.exe

%systemroot%\Temp\pmh.exe

%systemroot%\Temp\pwow.exe

%systemroot%\Temp\pzt.exe

%systemroot%\Temp\removalfile.bat

%systemroot%\Temp\s1000??.exe

%systemroot%\Temp\server.exe

%systemroot%\Temp\service32.exe

%systemroot%\Temp\SimbiOZ.exe

%systemroot%\Temp\smsbomb.exe

"%systemroot%\Temp\SMS Bomber*.exe"

%systemroot%\Temp\SRJ.exe

%systemroot%\Temp\Steamhookalpha??.exe

%systemroot%\Temp\svcgirl.exe

%systemroot%\Temp\Sys.htm

%systemroot%\Temp\system.tmp

%systemroot%\Temp\temp.dat

%systemroot%\Temp\tem1p.exe

%systemroot%\Temp\tuk.php

%systemroot%\Temp\upwind?.exe

%systemroot%\Temp\wrar351ru.exe

%systemroot%\Temp\win.exe

%systemroot%\Temp\win32.exe

%systemroot%\Temp\winsyst32.exe

%systemroot%\Temp\zupacha.exe

%systemroot%\termsvrs.exe

%systemroot%\themeui.exe

%systemroot%\themeupd.exe

%systemroot%\Uninst2.htm

%systemroot%\Unist1.htm

%systemroot%\uninstal.bat

%systemroot%\update\updmgr.exe

%systemroot%\update\updmangr.exe

%systemroot%\update\wuauclt.exe

%systemroot%\userinit.exe

%systemroot%\Vista32.exe

%systemroot%\vmmlog32.dll

%systemroot%\wadsys\counters.ini

%systemroot%\wadsys\ftp.exe

%systemroot%\wadsys\ftpcmd.txt

%systemroot%\wadsys\keystring?????.txt

%systemroot%\wadsys\TCPServer.exe

%systemroot%\wadsys\TCPService.exe

%systemroot%\waudio.exe

%systemroot%\wbRecv.exe

%systemroot%\wcsrss.exe

%systemroot%\wdfmgr.exe

%systemroot%\wdfmgrr.exe

%systemroot%\webmsn.exe

%systemroot%\WeRecl.exe

%systemroot%\weRecv.exe

%systemroot%\win.exe

%systemroot%\win32dll.exe

%systemroot%\win32host.exe

%systemroot%\win32logon.exe

%systemroot%\win32ssr.exe

%systemroot%\win325b.exe

%systemroot%\win64tyt.exe

%systemroot%\winagent.exe

%systemroot%\wincrypt32.exe

%systemroot%\windat.exe

%systemroot%\windll32.exe

%systemroot%\windmupdr.exe

%systemroot%\windows.bat

%systemroot%\windows.dll

%systemroot%\windows.exe

%systemroot%\windowslife\Windows.exe

%systemroot%\windows32.exe

%systemroot%\WindowsSecurityUpdate.exe

%systemroot%\Win31SecurityUpdates.dll

%systemroot%\Win32SecurityUpdates.exe

%systemroot%\Win33SecurityUpdates.exe

%systemroot%\windrg.exe

%systemroot%\WinDrives.EXE

%systemroot%\windrvrs32.exe

%systemroot%\wingrd32.exe

%systemroot%\winhlp.exe

%systemroot%\winlog.exe

%systemroot%\winlog0n.exe

%systemroot%\winiogon.exe

%systemroot%\winlogin.exe

%systemroot%\winlogoin.exe

%systemroot%\winlogon.exe

%systemroot%\winmgc.exe

%systemroot%\winmgr.exe

%systemroot%\winmon.exe

%systemroot%\winnt32.exe

%systemroot%\winrvc.exe

%systemroot%\winservs.exe

%systemroot%\wins0ck.dll

%systemroot%\winsock\csrss.exe

%systemroot%\winSock32.exe

%systemroot%\winsock32

%systemroot%\winsocks32.exe

%systemroot%\winsvc.exe

%systemroot%\winsvcmgr.exe

%systemroot%\winsys.exe

%systemroot%\winsysplg.exe

%systemroot%\winsysdir.exe

%systemroot%\wintasks32.exe

%systemroot%\wints.ini

%systemroot%\winupd.exe

%systemroot%\winx.log

%systemroot%\wkssvc.exe

%systemroot%\wlmsngr.exe

%systemroot%\wmedia.exe

%systemroot%\wmiapsv.exe

%systemroot%\wmiprvse.exe

%systemroot%\wordpad.exe

%systemroot%\wpablan.exe

%systemroot%\wpablin.exe

%systemroot%\ws386.ini

%systemroot%\wscty32.exe

%systemroot%\wuaucll.exe

%systemroot%\wuauclt.exe

%systemroot%\wupdmgr.exe

%systemroot%\wupdmgr32x.exe

%systemroot%\xpos.exe

%systemroot%\xpupdate.exe

%systemroot%\z.exe

) do if exist %%G echo %%~G)

cls

 

for /f "tokens=*" %%a in (Find.txt) do ( attrib -a -h -r -s "%%a"

copy "%%a" backups

del "%%a" )

 

apps\zip "backups.zip" backups\*.* >nul 2>&1

del /q backups\*.*

move backups.zip backups>nul 2>&1

apps\zip ".\backups\backupreg.zip" backupreg\*.* >nul 2>&1

 

cls

>> Report.txt (

echo.

IF EXIST Find.txt FIND /I ":\" <Find.txt>NUL && echo Below files will be copied to Backups folder then removed:||echo No Trojan Files Found..

echo.

IF EXIST Find.txt for /f "tokens=*" %%a in (Find.txt) do if not exist "%%a" echo %%a - Deleted

IF EXIST "%systemroot%\Temp\win*.tmp" del /q "%systemroot%\Temp\win*.tmp" && echo %systemroot%\Temp\win*.tmp - Deleted

echo.

IF EXIST Find.txt for /f "tokens=*" %%a in (Find.txt) do if exist "%%a" echo Could Not Remove %%a

echo.

rd /s /q backupreg >nul 2>&1

if exist inetcheck.txt for /f "tokens=* delims=inet2" %%a in (inetcheck.txt) do rd /q /s "%systemroot%\inet2%%a" >nul && echo Folder %systemroot%\inet2%%a - Removed

if exist "%systemdrive%\DriverLoad" rd /q "%systemdrive%\DriverLoad" >nul && echo Folder %systemdrive%\DriverLoad - Removed

if exist "%systemdrive%\winla" rd /q "%systemdrive%\winla" >nul && echo Folder %systemdrive%\winla - Removed

if exist "%systemroot%\HgzServer" rd /q "%systemroot%\HgzServer" >nul && echo Folder %systemroot%\HgzServer - Removed

if exist "%systemroot%\inetsponsor" rd /s /q "%systemroot%\inetsponsor" >nul && echo Folder %systemroot%\inetsponsor - Removed

if exist "%systemroot%\litmus" rd /q "%systemroot%\litmus" >nul && echo Folder %systemroot%\litmus - Removed

if exist "%systemroot%\system32\dllcache\win32" rd /q /s "%systemroot%\system32\dllcache\win32" >nul && echo Folder %systemroot%\system32\dllcache\win32 - Removed

if exist "%systemroot%\system32\drv32dta" rd /q "%systemroot%\system32\drv32dta" >nul && echo Folder %systemroot%\system32\drv32dta - Removed

if exist "%systemroot%\system32\kazaabackupfiles" rd /q "%systemroot%\system32\kazaabackupfiles" >nul && echo Folder %systemroot%\system32\kazaabackupfiles - Removed

if exist "%systemroot%\system32\lil32" rd /q "%systemroot%\system32\lil32" >nul && echo Folder %systemroot%\system32\lil32 - Removed

if exist "%systemroot%\system32\microsoftserv" rd /q "%systemroot%\system32\microsoftserv" >nul && echo Folder %systemroot%\system32\microsoftserv - Removed

if exist "%systemroot%\system32\wsnpoem" rd /q "%systemroot%\system32\wsnpoem" >nul && echo Folder %systemroot%\system32\wsnpoem - Removed

if exist "%systemroot%\wadsys" rd /q "%systemroot%\wadsys" >nul && echo Folder %systemroot%\wadsys - Removed

if exist "%systemroot%\windowslife" rd /q "%systemroot%\windowslife" >nul && echo Folder %systemroot%\windowslife - Removed

echo.

echo ADS Check:

echo.

apps\ls.exe %systemroot%\system32

if errorlevel 1 goto final

echo.

echo. Removing ADS...

echo.

apps\sf.exe %systemroot%\system32

echo.

ECHO Checking for remaining Streams

echo.

apps\ls.exe %systemroot%\system32)

 

:final

 

cls

echo.

echo Checking For Remaining Files and Services:

echo.

echo Please Wait...

 

>> Report.txt (

echo.

echo.

echo Final Check:

echo.

echo Remaining Services:

echo ------------------

For /f "tokens=*" %%G in (apps\svc.txt) do apps\SWReg QUERY "HKLM\SYSTEM\CurrentControlSet\Services\%%~G" >nul && echo %%~G

echo.

if EXIST pe?.hiv del pe?.hiv

apps\swreg add "HKLM\System\CurrentControlSet\Services\pe386" >nul

apps\swreg save "HKLM\System\CurrentControlSet\Services\pe386" pe1.hiv>nul

apps\swreg delete "HKLM\System\CurrentControlSet\Services\pe386" >nul

if NOT EXIST pe1.hiv echo Rootkit PE386 maybe active, Use a Rootkit scanner!

apps\swreg add "HKLM\System\CurrentControlSet\Services\lzx32" >nul

apps\swreg save "HKLM\System\CurrentControlSet\Services\lzx32" pe2.hiv>nul

apps\swreg delete "HKLM\System\CurrentControlSet\Services\lzx32" >nul

if NOT EXIST pe2.hiv echo Rootkit lzx32 maybe active, Use a Rootkit scanner!

apps\swreg add "HKLM\System\CurrentControlSet\Services\msguard" >nul

apps\swreg save "HKLM\System\CurrentControlSet\Services\msguard" pe3.hiv>nul

apps\swreg delete "HKLM\System\CurrentControlSet\Services\msguard" >nul

if NOT EXIST pe3.hiv echo Rootkit msguard maybe active, Use a Rootkit scanner!)

 

if errorlevel 1 goto final

 

ver|find "Windows 2000">nul && set TypeOS=W2K

if [%TypeOS%]==[W2K] goto twokbit

 

echo.>>Report.txt

regedit.exe /e /a CheckSA1.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List"

regedit.exe /e /a CheckSA2.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List"

IF EXIST CheckSA?.txt echo Authorized Application Key Export:>> Report.txt

TYPE CheckSA*.txt|FIND /I /V "REGEDIT4">> Report.txt

CLS

echo.

ECHO Finishing....

 

:twokbit

 

dir /a:h-d/s/b "%systemdrive%\*.*"|FIND /V /I ".manifest"|FIND /V /I "IO.SYS"|FIND /V /I "pagefile.sys"|FIND /V /I "MSDOS.SYS"|FIND /V /I "NTDETECT.COM">dirc.txt

FIND /I ".com"<dirc.txt>>dircheck.txt

FIND /I ".dll"<dirc.txt>>dircheck.txt

FIND /I ".exe"<dirc.txt>>dircheck.txt

FIND /I ".pif"<dirc.txt>>dircheck.txt

FIND /I ".rar"<dirc.txt>>dircheck.txt

FIND /I ".sys"<dirc.txt>>dircheck.txt

FIND /I ".tmp"<dirc.txt>>dircheck.txt

FIND /I ".zip"<dirc.txt>>dircheck.txt

 

>> Report.txt (

echo.

echo Remaining Files:

echo ---------------

if exist %systemroot%\system32\rsvp32_2.dll ECHO %systemroot%\system32\rsvp32_2.dll Found - LSP

if exist Find.txt For /f "tokens=*" %%G in (Find.txt) do if exist "%%~G" echo %%G Found

echo.

echo Backups Folder: - %CD%\backups\backups.zip

echo.

If exist BakCheck.txt Type Bakcheck

echo.

echo Checking For Files with Hidden Attributes :

echo.

if exist dircheck.txt TYPE dircheck.txt

echo.

echo Finished)

 

for /f "tokens=*" %%a in (apps\rem2.txt) do if exist %%a (

del /q "%%a" )

 

FOR %%G in (

find.exe

findstr.exe

attrib.exe

regedit.exe

) DO IF EXIST %%G del /q %%G>NUL

 

apps\ClipText.exe from Report.txt

 

cls

echo.

echo.

echo.

echo.

echo Finished!

echo.

echo.

echo.

echo.

echo Report.txt has been copied to Clipboard and the SDFix folder

echo.

echo.

echo (Right click and choose Paste to post logfile back on forums)

echo.

echo.

echo.

echo.

echo.

pause

start notepad report.txt

 

:End

exit