[Résolu] analyse rapport navilog

bauert1 · le 30 novembre 2007

Pouvez-vous analyser le rapport suivant et me donner la marche a suivre.

Attention, je ne suis peu expérimenté en informatique!

Merci beaucoup pour votre aide

Search Navipromo version 3.3.6 commencé le 30/11/2007 à 11:57:38,84

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Fabien\Application Data ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\kieaaukheb.dat

C:\WINDOWS\system32\kieaaukheb.exe

C:\WINDOWS\system32\kieaaukheb_nav.dat

C:\WINDOWS\system32\kieaaukheb_navps.dat

C:\WINDOWS\system32\kieaaukheb_navup.dat

Processus caché(s) :

C:\WINDOWS\system32\kieaaukheb.exe

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\FABIEN\LOCALS~1\APPLIC~1 *

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Analyse terminée le 30/11/2007 à 11:59:13,12 ***

Modifié le 15 décembre 2007 par bauert1

wong · le 30 novembre 2007

Bonjour bauert1 et bienvenue,

1°) Lance Navilg1

Double clique sur le raccourci navilog1 sur ton bureau.
Une fenêtre noire va s'ouvrir.
Appuie sur une touche à chaque fois qu'il te sera demandé de le faire.
Dans la fenêtre de choix qui s'ouvre : Choisis l'option 2 ( Désinfection automatique ), pour celà Tape sur la touche 2 de ton clavier et Valide en appuyant sur Entrée
Laisse le fix faire son travail cela peut durer un certain temps.
Le fix va t'informer qu'il va alors redémarrer ton PC ( Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts ).
Appuie sur une touche de ton clavier comme demandé ( si ton Pc ne redémarre pas automatiquement, fais le toi même ).
Au redémarrage de ton PC, choisis ta session habituelle. Navilog1 terminera la désinfection.
Patiente jusqu'au message : *** Nettoyage Termine le ..... ***
Le bloc-note va s'ouvrir. Sauvegarde le rapport ( sur ton bureau par exemple ) de manière à le retrouver.
Referme le bloc-note. Ton bureau va réapparaitre
Copie/Colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C\cleannavi.txt

Si ton Bureau ne réapparaît pas, fais ceci :

Clique simultanément sur Ctrl + Alt + Suppr : le Gestionnaire de tâches va s'ouvrir.
Rends-toi à l'onglet "processus".
Dans la barre des menus, Clique sur Fichier, et dans le menu déroulant Clique sur Nouvelle tâche ( Exécuter.. )
Dns la fenêtre qui s'ouvre, Tape Explorer puis valide.

2°) Suppression des certificats

Cliques sur Démarrer
Cliques sur Panneau de configuration
Cliques sur Options internet
Cliques sur Onglet "Contenu"
Cliques sur Onglet "Certificats"
Si tu trouves ceci, en particulier dans "éditeurs approuvés":
electronic-group
egroup
Montorgueil
VIP
Sunny Day Design Ltd
Supprimes les

3°) Télécharge Hijackthis v 2.0.2 : http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe

Enregistre ce fichier sur le bureau. Ferme tous les programmes ouverts y compris le navigateur ( sauf ton anti-virus et pare-feux )

Fais un double clic sur HJTInstall.exe afin de lancer l'installation ( par défaut il s'installera ici : C:\Program Files\Trend Micro\HijackThis ).
Clique sur Install ensuite sur I Accept
Clique sur Do a scan system and save log file
Cela va t'ouvrir un rapport dans le Bloc-note à la fin du scan.
Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistre le fichier sous le nom HJT1.txt.
Copie/Colle tout son contenu dans ta prochaine réponse.

Pour t'aider, voici un Tuto en images : http://cybersecurite.xooit.com/t138-Hijack...-2-0-2.htm#1185

J'attends 2 rapports ( celui de Navilog et celui de HijackThis ).

Cordialement.

Modifié le 30 novembre 2007 par wong

bauert1 · le 30 novembre 2007

voila le rapport navilog

ça semble en bonne voie

merci pour votre rapidité!

Clean Navipromo version 3.3.6 commencé le 30/11/2007 à 15:15:13,55

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

Mode suppression automatique

*** Creation backups fichiers trouvés par Catchme ***

Copie vers "C:\Program Files\navilog1\Backupnavi"

Copie C:\WINDOWS\system32\kieaaukheb.dat réalisé avec succès !

Copie C:\WINDOWS\system32\kieaaukheb.exe réalisé avec succès !

Copie C:\WINDOWS\system32\kieaaukheb_nav.dat réalisé avec succès !

Copie C:\WINDOWS\system32\kieaaukheb_navps.dat réalisé avec succès !

Copie C:\WINDOWS\system32\kieaaukheb_navup.dat réalisé avec succès !

*** Suppression des fichiers trouvés avec Catchme ***

C:\WINDOWS\system32\kieaaukheb.dat supprimé !

C:\WINDOWS\system32\kieaaukheb.exe supprimé !

C:\WINDOWS\system32\kieaaukheb_nav.dat supprimé !

C:\WINDOWS\system32\kieaaukheb_navps.dat supprimé !

C:\WINDOWS\system32\kieaaukheb_navup.dat supprimé !

** 2ème passage avec résultats Catchme **

C:\WINDOWS\prefetch\kieaaukheb*.pf trouvé !

Copie C:\WINDOWS\prefetch\kieaaukheb*.pf réalisé avec succès !

C:\WINDOWS\prefetch\kieaaukheb*.pf supprimé !

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

* Suppression dans C:\DOCUME~1\FABIEN\LOCALS~1\APPLIC~1 *

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\Fabien\Application Data ***

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Fabien\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche, création sauvegardes et suppression Heuristique :

*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 30/11/2007 à 15:21:23,03 ***

wong · le 30 novembre 2007

RE bauert1,

Et le rapport HijackThis ?

Cordialement.

bauert1 · le 30 novembre 2007

voila le rapport hijackthis

j'ai eu 2 fenètres d'erreur pdt le scan, j'ai cliqué 2 fois sur ok et le scan s'est poursuivi (je n'ai rien compris et je ne sais pas faire de capture d'écran pour vous montrer le fenètres qui sont apparues!)

Par contre je n'ai pas correctement suivi votre procédure lors de ce premier scan (j'ai oublié d'aller dans format, etc), je vous présente donc le rapport du 2è scan (pour lequel j'ai suivi vote procédure à la lettre)

Merci de ce que vous ferez

Cordialement

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:47:25, on 30/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: LightFrame3IECOM - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:\WINDOWS\System32\LightFrame3IECOM.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [zzz_ImInstaller_Magentic] C:\Documents and Settings\Fabien\Local Settings\Temp\ImInstaller\Magentic\magentic_install.exe -startup -product Magentic

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Mozilla Firefox.lnk = C:\Program Files\Mozilla Firefox\firefox.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Ajouter au tueur de pub - C:\Documents and Settings\Fabien\Mes documents\bazar\Config\myie20927\config/blacklist.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1155985234693

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

End of file - 6138 bytes

wong · le 30 novembre 2007

RE bauert1,

On a réglé l'infection Magic.Control.

Je dois m'absenter jusqu'à 19 h.

Cordialement.

wong · le 30 novembre 2007

Bonsoir bauert1,

1°) Désactive le TeaTimer de Spybot

Désactive le teatimer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne doit plus voir l'icône du Teatimer dans la barre de tâches.

Ne fais pas l'impasse sur cette étape, car ca peut faire échouer la procédure de désinfection !

2°) Téléchargement d'utilitaires :

Télécharge ATF Cleaner par Atribune : http://www.atribune.org/ccount/click.php?id=1

Enregistre-le sur ton bureau ( ou mieux dans un répertoire dédié : C:\ATF\ATF Cleaner.exe ).

Télécharge AVG Anti-Spyware de ewido/grisoft : http://www.ewido.net/en/download/

Enregistre-le sur ton bureau.
Lance le depuis l'icône presente sur ton bureau.
Clique sur modifier l'état du bouclier résident et mise à jour automatique, pour DESACTIVER ces deux fonctions.
Clique sur mise à jour, commencer la mise à jour.
Clique sur analyse puis sur paramètres.
Clique sur actions recommandées puis sur quarantaine.
Ferme le programme.

Tuto Malekal : http://www.malekal.com/tutorial_AVG_AntiSpyware.html

3°) Redémarre en mode sans échec

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer la procédure ( ou, événtuellement, de l'enregistrer sur ton bureau dans un fichier texte ).

Clique sur Démarrer
Clique sur Arrêter l'ordinateur
Dans la fenêtre qui s'ouvre : clique sur " Redémarrer "
Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul )
Appui dur la touche " ENTRÉE "
Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ).
Clique sur ta session normale : ton nom (Administrateur )
Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI

Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php

3.1 - Nettoyage avec HijackThis

Lance un scan HijackThis : Clique sur Do a system scan only et coche les lignes ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.

3.2 - Nettoyage avec AVG Anti-Spyware

Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware.

Double-clique ATF Cleaner.exe afin de lancer le programme.

Main correspond à IE
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu principal, afin de fermer le programme.

Lance AVG Anti-Spyware

Clique sur scanner, puis sur scan complet du système.

Si des fichiers malveillants sont trouvés :

Clique sur Appliquer toutes les actions
Clique sur enregistrer le rapport d'analyse.
Colle le rapport dans ton prochain message

Pour t'aider tu as deux tutos à ta disposition:

ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html
AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html

4°) Redémarre en mode normal

Lance HijackThis : Clique sur Do a scan system and save log file

Copie/Colle le rapport HijackThis dans ta réponse

J'attends 2 rapports ( celui de AVG AS, et celui de HijackThis ).

Cordialement.

bauert1 · le 1 décembre 2007

Bonjour wong,

L'analyse AVG AS n'a détecté aucun fichier infecté (donc pas de rapport)

C'est un véritable plaisir de naviguer sur Firefox sans aucun plantage!!

Merci encore pour votre aide!

Par contre, la navigation est assez ralentie ces derniers temps, pourriez-vous m'indiquer un (ou plusieurs) lien pour améliorer la réactivité de firefox (et de mon ordinateur...)?

Merci

Je vous donne le rapport Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:37:10, on 01/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Spamihilator\spamihilator.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe