tr\crypt.xpack.gen CONFICKER

angelique · le 20 avril 2009

tu mets le fichiers kill.bat là : c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\catchme.exe , juste à coté de catchme.exe et tu continues comme je te dis.

NONO61 · le 20 avril 2009

tu mets le fichiers kill.bat là : c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\catchme.exe , juste à coté de catchme.exe et tu continues comme je te dis.

voici catchme.log :

read file error: C:\WINDOWS\system32\nevimh.dll, Le fichier spécifié est introuvable.

angelique · le 20 avril 2009

• Installe ce correctif : http://www.microsoft.com/downloads/details...76-2067b73d6a03

• desactive tes executions automatiques sur tous tes lecteurs comme sur la capture via executer----> gpedit.msc

http://imagesup.org/images/1240216766-gpedit.jpg

et continue quand meme.

pas certaine que tu puisses telecharger le correctif microsoft , donc au cas ou il est là:

http://senduit.com/2974c9

NONO61 · le 20 avril 2009

• Installe ce correctif : http://www.microsoft.com/downloads/details...76-2067b73d6a03

• desactive tes executions automatiques sur tous tes lecteurs comme sur la capture via executer----> gpedit.msc

http://imagesup.org/images/1240216766-gpedit.jpg

et continue quand meme.

pas certaine que tu puisses telecharger le correctif microsoft , donc au cas ou il est là:

http://senduit.com/2974c9

voici le rapport et je continue : télécharge le correctif

ComboFix 09-04-20.05 - Administrateur 2009-04-20 11:32.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1983.1362 [GMT 2:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

FILE ::

C:\autorun.inf

c:\windows\system32\nevimh.dll

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\docume~1\ADMINI~1\LOCALS~1\Temp\SolidWorksLicTemp.0001.dir.0003\~de688f.tmp

c:\docume~1\ADMINI~1\LOCALS~1\Temp\SolidWorksLicTemp.0001.dir.0003\~df394b.tmp

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_KSEZNJ

-------\Service_kseznj

-------\Service_poof

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-20 au 2009-04-20 ))))))))))))))))))))))))))))))))))))

.

2009-04-20 08:29 . 2009-04-20 08:29 16293343 ----a-w C:\upload_moi_CFAIADMIN.tar.gz

2009-04-14 13:43 . 2009-04-14 13:43 -------- d-----w c:\documents and settings\norbert\Application Data\Skyline

2009-04-09 08:13 . 2009-04-09 08:13 56 ---ha-w c:\windows\system32\ezsidmv.dat

2009-04-09 08:13 . 2009-04-09 08:13 -------- d-----w c:\documents and settings\Administrateur\Application Data\skypePM

2009-04-07 13:36 . 2009-04-07 13:36 -------- d-sha-r C:\autorun.inf

2009-04-06 13:02 . 2009-04-06 13:02 -------- d-----w c:\documents and settings\norbert\Application Data\Malwarebytes

2009-04-03 14:42 . 2009-04-03 14:42 -------- d-----w c:\documents and settings\philippe\Application Data\SolidWorks 2008

2009-04-03 14:41 . 2009-04-03 14:41 -------- d-----w c:\documents and settings\philippe\Application Data\SolidWorks

2009-04-01 05:38 . 2009-04-01 05:38 -------- d-----w c:\documents and settings\andre\Local Settings\Application Data\DassaultSystemes

2009-04-01 05:38 . 2009-04-01 05:38 -------- d-----w c:\documents and settings\andre\Application Data\DassaultSystemes

2009-04-01 05:38 . 2009-04-01 05:38 -------- d-----w c:\documents and settings\All Users\Application Data\DassaultSystemes

2009-03-31 07:20 . 2009-03-31 07:20 -------- d-----w c:\documents and settings\Administrateur\Application Data\Malwarebytes

2009-03-31 07:20 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-03-31 07:20 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-31 07:20 . 2009-04-09 06:59 -------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-03-31 07:20 . 2009-03-31 07:20 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-26 17:02 . 2009-03-26 17:02 -------- d-----w c:\program files\Avira

2009-03-26 17:02 . 2009-03-26 17:02 -------- d-----w c:\documents and settings\All Users\Application Data\Avira

2009-03-26 16:58 . 2009-03-26 16:58 24 ----a-w c:\windows\pccntmon.INI

2009-03-26 14:09 . 2009-03-26 14:10 -------- d-----w c:\windows\avxoscan

2009-03-26 14:07 . 2009-03-26 14:08 -------- d-----w c:\windows\BDOSCAN8

2009-03-26 09:20 . 2009-03-26 09:24 -------- d-----w c:\documents and settings\andre\thinkdesign 7.0

2009-03-23 07:48 . 2009-03-23 07:48 -------- d-----w c:\documents and settings\norbert\Application Data\CyberLink

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-20 09:37 . 2008-09-05 12:58 -------- d-----w c:\documents and settings\Administrateur\Application Data\IM

2009-04-20 08:30 . 2009-04-20 08:27 71214 ----a-w C:\resultat.txt

2009-04-20 07:30 . 2008-11-04 14:41 -------- d-----w c:\documents and settings\norbert\Application Data\Skype

2009-04-20 07:29 . 2008-11-04 14:42 -------- d-----w c:\documents and settings\norbert\Application Data\skypePM

2009-04-20 06:06 . 2008-09-08 06:03 -------- d-----w c:\documents and settings\norbert\Application Data\IM

2009-04-20 06:06 . 2008-08-21 14:09 -------- d-----w c:\documents and settings\All Users\Application Data\Google Updater

2009-04-10 07:49 . 2008-09-04 15:15 -------- d-----w c:\documents and settings\andre\Application Data\IM

2009-04-09 08:17 . 2009-04-09 08:17 1297 ----a-w C:\mbam-log-2009-04-09 (10-17-22).txt

2009-04-09 08:15 . 2008-11-04 14:40 -------- d-----w c:\documents and settings\Administrateur\Application Data\Skype

2009-04-09 06:09 . 2009-04-09 06:09 1733 ----a-w C:\rookit malware.log

2009-04-08 21:00 . 2008-09-05 12:58 -------- d-----w c:\documents and settings\Administrateur\Application Data\SolidWorks

2009-04-06 06:16 . 2008-09-08 06:51 -------- d-----w c:\documents and settings\norbert\Application Data\SolidWorks

2009-04-03 14:41 . 2008-12-04 16:38 -------- d-----w c:\documents and settings\philippe\Application Data\IM

2009-04-03 13:29 . 2008-09-08 15:28 -------- d-----w c:\documents and settings\andre\Application Data\SolidWorks

2009-04-03 13:13 . 2009-04-03 13:13 -------- d-----w c:\program files\Free Audio Pack

2009-03-31 07:23 . 2008-07-30 09:22 -------- d-----w c:\program files\Trend Micro

2009-03-30 06:07 . 2007-10-29 12:00 87910 ----a-w c:\windows\system32\perfc00C.dat

2009-03-30 06:07 . 2007-10-29 12:00 517166 ----a-w c:\windows\system32\perfh00C.dat

2009-03-11 13:59 . 2008-08-21 07:52 -------- d-----w c:\program files\Google

2009-03-11 12:24 . 2008-11-03 10:31 -------- d-----w c:\program files\adslTV

2009-03-03 12:26 . 2008-08-26 10:16 108472 ----a-w c:\documents and settings\andre\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-03-03 07:42 . 2008-08-21 14:06 108472 ----a-w c:\documents and settings\norbert\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-02-25 08:10 . 2008-08-21 14:10 108472 ----a-w c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-02-25 08:07 . 2009-02-25 08:04 -------- d-----w c:\program files\Fichiers communs\Autodesk Shared

2009-02-25 08:07 . 2009-02-25 08:04 -------- d-----w c:\program files\AutoCAD LT 2009

2009-02-25 07:58 . 2008-12-16 08:14 -------- d-----w c:\documents and settings\Administrateur\Application Data\Autodesk

2009-02-25 07:50 . 2008-12-16 08:14 -------- d-----w c:\documents and settings\All Users\Application Data\Autodesk

2009-02-09 14:05 . 2007-10-29 12:00 1846912 ----a-w c:\windows\system32\win32k.sys

2009-01-14 16:06 . 2008-09-04 15:40 698328 ----a-w c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

2008-12-19 08:12 . 2008-12-19 08:12 108472 ----a-w c:\documents and settings\philippe\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2008-07-23 15:44 . 2008-07-23 13:24 13104 ----a-w c:\documents and settings\UTILISATEUR\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-21 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-25 8491008]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-25 81920]

"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]

"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]

"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [2004-04-07 311296]

"BrStsWnd"="c:\program files\Brownie\BrstsWnd.exe" [2007-07-31 815104]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"SolidWorks_CheckForUpdates"="c:\program files\Fichiers communs\Gestionnaire d'installation SolidWorks\Scheduler\sldIMScheduler.exe" [2008-06-14 6862104]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-01-29 16859648]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-02-25 1626112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\norbert\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-6-14 488728]

c:\documents and settings\philippe\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-6-14 488728]

c:\documents and settings\Administrateur.TO1\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-6-14 488728]

c:\documents and settings\andre\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-6-14 488728]

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\

Moteur du Planificateur de tƒches SolidWorks.lnk - c:\program files\SolidWorks\SolidWorks\swScheduler\swBOEngine.exe [2008-6-14 488728]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Windows Desktop Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2007-2-5 118784]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 gupdate1c9a25192db0aca;Service Google Update (gupdate1c9a25192db0aca);c:\program files\Google\Update\GoogleUpdate.exe [2009-03-11 133104]

R2 spupdsvc;Windows Service Pack Installer update service;c:\windows\system32\spupdsvc.exe [2008-07-09 26488]

R3 getPlus® Helper;getPlus® Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2008-06-26 31592]

R3 SetupNTGLM7X;SetupNTGLM7X; [x]

S2 Remote Solver for COSMOSFloWorks 2008;Remote Solver for COSMOSFloWorks 2008;c:\program files\SolidWorks\COSMOSFloWorks\FloWorks\binCFW\StandAloneSlv.exe [2008-06-04 237568]

S2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXPFlt.sys [2008-09-01 205328]

S2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\TmPreFlt.sys [2008-09-01 36368]

.

Contenu du dossier 'Tâches planifiées'

2009-04-20 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-21 03:11]

2009-04-20 c:\windows\Tasks\GoogleUpdateTaskMachine.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-03-11 13:59]

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {157D1E77-D33D-497B-85C4-E406A508FBD7} = 192.168.2.1,192.168.2.254

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-20 11:38

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

c:\windows\system32\xpsp4res.dll 3072 bytes executable

Scan terminé avec succès

Fichiers cachés: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\kseznj]

"ServiceDll"="c:\windows\system32\nevimh.dll"

--

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\poof]

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(936)

c:\windows\system32\eappprxy.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\_000023_.tmp.dll

c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\Nero\Nero 7\InCD\InCDsrv.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\program files\Trend Micro\OfficeScan Client\NTRtScan.exe

c:\windows\system32\nvsvc32.exe

c:\program files\CyberLink\Shared Files\RichVideo.exe

c:\program files\Trend Micro\OfficeScan Client\TmListen.exe

c:\windows\system32\searchindexer.exe

c:\program files\Trend Micro\OfficeScan Client\OfcDog.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\searchprotocolhost.exe

c:\docume~1\ADMINI~1\LOCALS~1\Temp\SolidWorksLicTemp.0001

c:\program files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe

c:\windows\SoftwareDistribution\Download\Install\windows-kb890830-v2.9-delta.exe

c:\4abb64a23966ae8b6a0fdd\mrtstub.exe

c:\windows\system32\searchfilterhost.exe

c:\windows\system32\MRT.exe

.

**************************************************************************

.

Heure de fin: 2009-04-20 11:46 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-04-20 09:46

ComboFix2.txt 2009-04-08 13:48

ComboFix3.txt 2009-04-07 14:43

Avant-CF: 135,615,111,168 octets libres

Après-CF: 135,560,228,864 octets libres

198 --- E O F --- 2009-03-15 16:01

Modifié le 20 avril 2009 par NONO61

NONO61 · le 20 avril 2009

si je lance gpedit.msc, dans les modèles d'administration, je n'ai que les 2 premières lignes, les autres n'apparaîssent pas , donc je ne peux aller dans système !

bon a cet aprem !

angelique · le 20 avril 2009

• le 7 avril 2009 tu as utilisés un outils de suppressions d'infections sur supports amovibles USB ??

2009-04-07 13:36 . 2009-04-07 13:36 -------- d-sha-r C:\autorun.inf

• elle est relou ton infection lol , on va y aller à taton lol

• tu as installé le correctif microsoft??

• telecharge dans le dossier Diaghelp à coté de catchme.exe comme tout à l'heure , HideLook.bat : http://senduit.com/918da9

ne clic pas encore dessus!!

• telecharge sur ton bureau : http://downloads.sophos.com/dp/conficker/s...ool_107_sfx.exe et execute le pour l'installer , suis les instructions .

il est là si Conficker t'empeche de le telecharger:: http://senduit.com/fb4ef2

je connais pas le toolfix aussi si tu as un rapport qui s'affiche , poste le moi.

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\kseznj]
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\poof]
RootKit::
c:\windows\system32\nevimh.dll

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

• double clic sur Hidelook.bat que tu as mis dans le dossier DiagHelp comme expliqué precedemment et post le contenu du rapport catchme.log qui se trouve sur ton bureau.

angelique · le 20 avril 2009

j'ai oublié :

supprime le precedent cachme.log de ton bureau

avant de cliquer hidelook.bat dans le dossier Diaghelp , tu remplaces catchme.exe dans le dossier Diaghelp par celui ci stp:

http://www2.gmer.net/catchme.exe

NONO61 · le 20 avril 2009

bon c'est terminé pour sophos, mais il m'a mis un message qu'il avait trouvé qqchose, puis il a redémarré , et je n'ai pas eu le tps de noter, mais pendant le scan j'avais fait un Bmp de sauvegarde je vais essayer de la poster sinon je vais recopier ce qu'il y a d'écrit

hidden : file c:\windows\system32\nevimh.o

Description : Mal/Conficker-A

Notes : (no more detail available)

The above item is recommended for clean up .

angelique · le 20 avril 2009

ok il a été viré?? hidden : file c:\windows\system32\nevimh.o

• continue avec CFScript et hidenlook.bat , poste les rapports respectifs

NONO61 · le 20 avril 2009

ok il a été viré?? hidden : file c:\windows\system32\nevimh.o

• continue avec CFScript et hidenlook.bat , poste les rapports respectifs

voilà combofix et je traite la suite

ComboFix 09-04-20.05 - Administrateur 2009-04-20 14:25.4 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1983.1407 [GMT 2:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\cfscript.txt

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\docume~1\ADMINI~1\LOCALS~1\Temp\SolidWorksLicTemp.0001.dir.0002\~de688f.tmp

c:\docume~1\ADMINI~1\LOCALS~1\Temp\SolidWorksLicTemp.0001.dir.0002\~df394b.tmp

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-20 au 2009-04-20 ))))))))))))))))))))))))))))))))))))

.

2009-04-20 11:57 . 2009-01-16 07:27 18816 ------w c:\windows\system32\SAVRKBootTasks.sys

2009-04-20 09:47 . 2009-04-20 09:47 118 ----a-w c:\windows\system32\MRT.INI

2009-04-20 08:29 . 2009-04-20 08:29 16293343 ----a-w C:\upload_moi_CFAIADMIN.tar.gz

2009-04-15 07:46 . 2009-03-27 06:54 1203922 -c----w c:\windows\system32\dllcache\sysmain.sdb

2009-04-15 07:46 . 2008-04-21 21:15 219136 -c----w c:\windows\system32\dllcache\wordpad.exe

2009-04-15 07:46 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe

2009-04-15 07:46 . 2009-03-06 14:20 286720 -c----w c:\windows\system32\dllcache\pdh.dll

2009-04-15 07:46 . 2009-02-09 11:23 111104 -c----w c:\windows\system32\dllcache\services.exe

2009-04-15 07:46 . 2009-02-09 10:53 401408 -c----w c:\windows\system32\dllcache\rpcss.dll

2009-04-15 07:46 . 2009-02-09 10:53 735744 -c----w c:\windows\system32\dllcache\lsasrv.dll

2009-04-15 07:46 . 2009-02-09 10:53 685568 -c----w c:\windows\system32\dllcache\advapi32.dll

2009-04-15 07:46 . 2009-02-09 10:53 473600 -c----w c:\windows\system32\dllcache\fastprox.dll

2009-04-15 07:46 . 2009-02-09 10:53 739840 -c----w c:\windows\system32\dllcache\ntdll.dll

2009-04-15 07:46 . 2009-02-09 10:53 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll

2009-04-15 07:45 . 2008-12-16 12:31 354304 -c----w c:\windows\system32\dllcache\winhttp.dll

2009-04-14 13:43 . 2009-04-14 13:43 -------- d-----w c:\documents and settings\norbert\Application Data\Skyline

2009-04-09 08:13 . 2009-04-09 08:13 56 ---ha-w c:\windows\system32\ezsidmv.dat

2009-04-09 08:13 . 2009-04-20 11:15 -------- d-----w c:\documents and settings\Administrateur\Application Data\skypePM