[RESOLU] win32:delf-BTD [Trj]

obelix 26 · le 16 février 2007

Bonjour, Je n'arrete pas d'avoir un message d'erreur de Avast

"un cheval de troie a été trouvé

fichier C:\windows\d3acdb.dll.temp\[uPX]

nom du logiciel malveillant: win32:delf-btd

version VPS: 0074.4,15/02/2007"

à chaque fois, je le supprime ou le met en quarantaine mais ils reviens toujours

depuis ce matin j'essaye de le supprimé sans résultat.

J'ai essayé- un scan en ligne avec Trend Micro rien trouvé

-outli desinfectant avast rien trouvé

il semblerait que ce trojan soit assez malin pour bloquer l'acces aux recherches sur le sujet sur internet car je vois les pages s'ouvrir et se refermer aussitôt.

(là je suis chez un copain pour essayer de trouver une solution)

Si quelqu"un à une idee, je suis preneur

merci

Modifié le 23 février 2007 par obelix 26

regis56 · le 16 février 2007

Bonjour obelix 26 !

Fais ceci STP :

- Télécharge HijackThis de Merijn sur ton bureau.

http://www.merijn.org/files/hijackthis.zip

- Génère un rapport en suivant ces indications :

- Double-clic sur hijackthis.exe

- Exécute le et clique sur Do a scan and save log file.

- Le rapport s'ouvre sur leBloc-Note

- Colle le rapport ici, pour cela :

- Menu Edition / Selectionner Tout

- Menu Edition / copier

- Ici dans un nouveau message : clic droit / coller

Aide : N'hésite pas à consulter l'aide HijackThis -

http://www.malekal.com/tutorial_HijackThis.html

Ensuite fais ceci :

Télécharge AVG Anti-Spyware

Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
Redémarre ton ordi en mode Normal.

.

Je te fais passer un autre outil :

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

Prière de poster les rapports suivant dans ta prochaine réponse :

1) AVG Anti-Spyware

2) BlackLight

3) Nouveau rapport HijackThis!

Bon courage, et @+

obelix 26 · le 16 février 2007

re bonjour Godlike;,

j'ai telechargé tout ce que tu m'a dit de chez mon copain,

-j'ai eu du mal à de zipper hijacktis sur mon pc. lorsque je l'ouvre il se referme tres vite j'ai casi pas le temps de cliquer sur do and scan,

lorsque j'y arrive, on apperçoit plein de lignes mais le prog se referme avant que le rapport ne puisse etre enregistré.

-j'ai le même problème avec avg. Il se referme immediatement: impossible de faire une mise à jour et encore moins de lancer un scan

-impossible aussi de le faire en mode sans echec.

-Blackliight de Fsecure est "aveugle" lui .il demarre et fait son scan. "No hidden items found.

-ce matin, j'ai telechargé Rootkit revealer sysinternals. Lui, il en trouve mais à la fin de son scan,il reste sur le message clean up mais ne supprime rien!!!!

Je commence à desesperer;

J'ai ouvert ce nouveau post parcque si j'utilise le forum "Analyseapport....." mon IE6 se ferme.

Merci encore pour votre aide

Nota, je viens de m'appercevoir que je pouvais basculer dans ce forum indirectement à partir d'un autre de mes posts voici pourquoi j'ai recopier l'autre ici. Excuser moi pour le "souk "que je fais

Je t'envoie un bout de rapport qui est sorti de Hijack. J'ai pu l'ouvrir en le renommant: sinon, il se refermait instantanément

Logfile of HijackThis v1.99.1

Scan saved at 17:40:12, on 16/02/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

C:\Documents and Settings\xxxxxxxxx\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab

O16 - DPF: {94B82441-A413-4E43-8422-D49930E69764} (TLIEFlashObj Class) - https://rtc1.webresponse.one.microsoft.com/...p/TLIEFlash.CAB

O16 - DPF: {BA00165E-C903-11D3-BD27-0050048A82BF} (eShare Technologies NetAgent Customer ActiveX Control) - http://chat.caleris.com/netagent/objects/CustAppX.CAB

O20 - Winlogon Notify: agunporcfgrc - C:\WINDOWS\system32\agunporcfgrc.dll

O20 - Winlogon Notify: ovptxlqjfzoo - C:\WINDOWS\system32\ovptxlqjfzoo.dll

et le rapport de Blacklight

02/16/07 17:54:15 [info]: BlackLight Engine 1.0.55 initialized

02/16/07 17:54:15 [info]: OS: 5.1 build 2600 (Service Pack 1)

02/16/07 17:54:15 [Note]: 7019 4

02/16/07 17:54:15 [Note]: 7005 0

02/16/07 17:54:18 [Note]: 7006 0

02/16/07 17:54:18 [Note]: 7011 1440

02/16/07 17:54:18 [Note]: 7026 0

02/16/07 17:54:19 [Note]: 7026 0

02/16/07 17:54:31 [Note]: FSRAW library version 1.7.1021

02/16/07 18:04:13 [Note]: 2000 1012

02/16/07 18:05:56 [Note]: 7007 0

en esperant que cela pourra servir

merci

regis56 · le 16 février 2007

re

Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:

Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

Ne pas lancer le scan tout de suite !

Étape 3:

Redémarre en mode Sans Échec

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,
Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8]ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/SUPPORT/INTER...020325143456924

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

A plus.

obelix 26 · le 17 février 2007

bonjour, j'essaye depuis hier de virer ce trojan.

J'ai pu utiliser Antivir (mis à jour) en mode sans echec

il me trouve 2 fois le trojan: TR/winlogonHook.D.4 dans 2 adresses différentes C:\windows\system32\agunporfgrc.dll

C:\windows\system32\ovjtxlqjfzoo.dll

mais n'arrive pas à les supprimer dans le mode sans echec et propose donc le suppression au redemarrage

Mais au redemarrage, il ne peux pas les supprimer non plus: access deny!!!!

lorsque j'essaye d'utiliser l'aide, ça me bloque l'acces internet.

Avg anti spyware ne peux pas etre utilisé en mode sans echec. Il est refermé casi immediatement

J'ai remarqué q'au redemarrage apres antivir, je pouvais le lancer et faire la mise à jour; je l'ai donc utilisé dans ces conditions: "aucun probleme à signalé bien qu'il soit resté assez longtemps sur les 2 adresses ci dessus.!!!!

Bon, maintenant je vais essayer la manip que tu me donne en croisant les doigts

a bientot (mais c'est un peu long)

obelix 26 · le 17 février 2007

re bonjour Regis 56.

Ta procedure est nicquel et je l'ai appliquée à la lettre. Malheureusement, au bout de presque 1 heure, escan n'a détecté aucun virus ce qui fait que le rapport est vierge et que je n'ai pas besoin de te le joindre.

je commence a desesperer un peu

merci

regis56 · le 17 février 2007

Re

Ok on va essayer autre chose !

Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip

Place le programme dans le répertoire qui te plaît (pas d'installation Windows)

- redémarre l'ordinateur en mode sans échec

- lance Pocket Killbox

--- choisis l'option Delete on Reboot

--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\WINDOWS\system32\agunporcfgrc.dll

C:\WINDOWS\system32\ovptxlqjfzoo.dll

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.

Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.

--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"

--- /!\ ATTENTION si un ou des fichiers ".dll" sont présents dans la liste les mettrent en début de liste , et coche "Unregister .dll Before Deleting".

--- clique sur la croix blanche sur fond rouge (Delete File) :

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm

A plus !

obelix 26 · le 17 février 2007

Un grand merci à toi

je m'en suis vu un peu car il m'etait imposssible d'utiliser Killbox dans le mode sans echec.

Il s'ouvrait et se refermait presque intantanément.

J'ai donc repassé un coup d'Antivir en mode sans echec .(c'est le seul prog qui ai reussi à me detecter ce trojan et à le "bloquer" un peu.)

Il n'arrivait pas à le détruire même après un redemarrage mais il m'a permis de pouvoir ouvrir Killbox en mode normal.

J'ai donc appliqué ta procédure dans ce mode et j'ai redémarré une fois de + mon Pc.

Je pense que killbox en est venu à bout car je peux rouvrir tout les progs qui étaient "bloqués" par le trojan

Je te remercie encore et maintenant,

que me conseille tu de garder comme prog (j'en ai installé beaucoup pour essayer de virer ce trojan)??

Comment remettre au propre mon Pc

regis56 · le 18 février 2007

Re

Attend c'est pas finit !

J'aimerai que tu fasse un nouveau rapport hijackthis complet cette fois ci ainsi qu'un scan AVG en mode sans echec comme proposé au tout début !

Bon courage !

A plus.

obelix 26 · le 19 février 2007

salut Regis, je ne te reponds que maintenant car je me suis accordé une journée sans Pc après cette rude bataille.

Voici les éléments demandés

Logfile of HijackThis v1.99.1

Scan saved at 17:08:50, on 19/02/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\Brmfrmps.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\ups.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Scansoft\PaperPort\pptd40nt.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Microsoft IntelliPoint\point32.exe

C:\WINDOWS\Dit.exe

C:\WINDOWS\DitExp.exe

C:\WINDOWS\System32\RunDll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ZoneLabs\vsmon.exe

C:\Program Files\Scansoft\PaperPort\SmartUI\SmartUI.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe

C:\Documents and Settings\christian\Mes documents\Hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [setDefPrt] C:\Program Files\Brother\BRMFLPRO\BrDefPrt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\Scansoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [indexSearch] C:\Program Files\Scansoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [spywareBot] C:\Program Files\SpywareBot\SpywareBot.exe -boot

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: SmartUI.lnk = ?