infect rootkit c:windows/drivers/uyjilio.sys

[nevsky]

bonjour, j'ai besoin d'aide car mon pc est capricieux au possible!

mbam a detecter uyjilio.sys et avira toute une serie de troyen

ci joint rapport mbam, avira et hijackthis

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3510

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

04/03/2010 23:12:52

mbam-log-2010-03-04 (23-12-38).txt

 

Type de recherche: Examen rapide

Eléments examinés: 119061

Temps écoulé: 1 hour(s), 2 minute(s), 14 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\drivers\uyjilio.sys (Rootkit.Agent) -> No action taken.

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : dimanche 28 février 2010 16:17

La recherche porte sur 1796891 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 2) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : FRED

 

Informations de version :

BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 21:37:15

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 21:37:19

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 21:37:21

VBASE004.VDF : 7.10.3.76 2048 Bytes 26/01/2010 21:37:21

VBASE005.VDF : 7.10.3.77 2048 Bytes 26/01/2010 21:37:21

VBASE006.VDF : 7.10.3.78 2048 Bytes 26/01/2010 21:37:21

VBASE007.VDF : 7.10.3.79 2048 Bytes 26/01/2010 21:37:21

VBASE008.VDF : 7.10.3.80 2048 Bytes 26/01/2010 21:37:22

VBASE009.VDF : 7.10.3.81 2048 Bytes 26/01/2010 21:37:22

VBASE010.VDF : 7.10.3.82 2048 Bytes 26/01/2010 21:37:22

VBASE011.VDF : 7.10.3.83 2048 Bytes 26/01/2010 21:37:22

VBASE012.VDF : 7.10.3.84 2048 Bytes 26/01/2010 21:37:22

VBASE013.VDF : 7.10.3.85 2048 Bytes 26/01/2010 21:37:23

VBASE014.VDF : 7.10.3.122 172544 Bytes 29/01/2010 21:37:23

VBASE015.VDF : 7.10.3.149 79872 Bytes 01/02/2010 21:37:23

VBASE016.VDF : 7.10.3.174 68608 Bytes 03/02/2010 21:37:24

VBASE017.VDF : 7.10.3.199 76800 Bytes 04/02/2010 21:37:24

VBASE018.VDF : 7.10.3.222 64512 Bytes 05/02/2010 21:35:16

VBASE019.VDF : 7.10.3.243 75776 Bytes 08/02/2010 21:35:17

VBASE020.VDF : 7.10.4.6 81920 Bytes 09/02/2010 21:35:23

VBASE021.VDF : 7.10.4.30 78848 Bytes 11/02/2010 21:35:23

VBASE022.VDF : 7.10.4.50 107520 Bytes 15/02/2010 21:35:29

VBASE023.VDF : 7.10.4.62 105472 Bytes 15/02/2010 21:35:30

VBASE024.VDF : 7.10.4.85 111616 Bytes 17/02/2010 21:35:41

VBASE025.VDF : 7.10.4.109 122368 Bytes 21/02/2010 21:36:07

VBASE026.VDF : 7.10.4.128 109056 Bytes 23/02/2010 21:36:01

VBASE027.VDF : 7.10.4.151 111104 Bytes 26/02/2010 21:36:37

VBASE028.VDF : 7.10.4.152 2048 Bytes 26/02/2010 21:36:38

VBASE029.VDF : 7.10.4.153 2048 Bytes 26/02/2010 21:36:39

VBASE030.VDF : 7.10.4.154 2048 Bytes 26/02/2010 21:36:40

VBASE031.VDF : 7.10.4.158 68608 Bytes 26/02/2010 21:36:41

Version du moteur : 8.2.1.176

AEVDF.DLL : 8.1.1.3 106868 Bytes 06/02/2010 21:37:29

AESCRIPT.DLL : 8.1.3.17 1032570 Bytes 25/02/2010 21:36:12

AESCN.DLL : 8.1.5.0 127347 Bytes 25/02/2010 21:36:11

AESBX.DLL : 8.1.2.0 254323 Bytes 25/02/2010 21:36:12

AERDL.DLL : 8.1.4.2 479602 Bytes 14/02/2010 21:35:33

AEPACK.DLL : 8.2.0.8 426357 Bytes 14/02/2010 21:35:30

AEOFFICE.DLL : 8.1.0.39 196987 Bytes 19/02/2010 21:36:11

AEHEUR.DLL : 8.1.1.7 2326902 Bytes 19/02/2010 21:36:11

AEHELP.DLL : 8.1.10.1 237942 Bytes 25/02/2010 21:36:11

AEGEN.DLL : 8.1.2.0 373107 Bytes 25/02/2010 21:36:10

AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26

AECORE.DLL : 8.1.12.1 188790 Bytes 25/02/2010 21:36:10

AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31

AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 21:35:43

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26

RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: arrêt

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

 

Début de la recherche : dimanche 28 février 2010 16:17

 

La recherche d'objets cachés commence.

HKEY_LOCAL_MACHINE\System\ControlSet002\Services\uyjilio\type

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet002\Services\uyjilio\start

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet002\Services\uyjilio\errorcontrol

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet002\Services\uyjilio\group

[iNFO] L'entrée d'enregistrement n'est pas visible.

HKEY_LOCAL_MACHINE\System\ControlSet002\Services\uyjilio\bjhv0bs8

[iNFO] L'entrée d'enregistrement n'est pas visible.

'35971' objets ont été contrôlés, '5' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AGRSMMSG.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'raysat_3dsmax8server.exe' - '1' module(s) sont contrôlés

Processus de recherche 'cisvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AdskScSrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'27' processus ont été contrôlés avec '27' modules

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '53' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Documents and Settings\Fredi\Local Settings\Application Data\Ares\My Shared Folder\4-cad archicad v 10 multilanguage + serial and application keys (new version 2006).ace

[0] Type d'archive: ACE

--> EDEN FINAL.cdi

[AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !

--> DeathMarine.txt

[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

C:\Documents and Settings\Fredi\Menu Démarrer\Programmes\Démarrage\winesm32.exe

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP583\A0529748.exe

[RESULTAT] Contient le cheval de Troie TR/Dldr.Swizzor.Gen2

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP583\A0529749.exe

[RESULTAT] Contient le cheval de Troie TR/Dldr.Swizzor.Gen2

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP583\A0529750.exe

[RESULTAT] Contient le cheval de Troie TR/Dldr.Swizzor.Gen2

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP583\A0529751.exe

[RESULTAT] Contient le cheval de Troie TR/Dldr.Swizzor.Gen2

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0544024.bat

[RESULTAT] Contient le modèle de détection du virus Batch BAT/DelIE.148

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0544025.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0544026.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0544045.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0544051.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0545020.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0545021.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

C:\WINDOWS\system32\drivers\uyjilio.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

Recherche débutant dans 'D:\'

 

Début de la désinfection :

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP583\A0529748.exe

[RESULTAT] Contient le cheval de Troie TR/Dldr.Swizzor.Gen2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bbf9f21.qua' !

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP583\A0529749.exe

[RESULTAT] Contient le cheval de Troie TR/Dldr.Swizzor.Gen2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ad8b33a.qua' !

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP583\A0529750.exe

[RESULTAT] Contient le cheval de Troie TR/Dldr.Swizzor.Gen2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ad5dc52.qua' !

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP583\A0529751.exe

[RESULTAT] Contient le cheval de Troie TR/Dldr.Swizzor.Gen2

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ad6a48a.qua' !

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0544024.bat

[RESULTAT] Contient le modèle de détection du virus Batch BAT/DelIE.148

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48d07532.qua' !

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0544025.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ae68d22.qua' !

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0544026.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48d17d6a.qua' !

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0544045.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ad7acc2.qua' !

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0544051.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48cf6efa.qua' !

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0545020.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48ce6682.qua' !

C:\System Volume Information\_restore{E2DD1058-BC8C-45B1-9A41-695A7C791A8C}\RP595\A0545021.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48cc9e4a.qua' !

C:\WINDOWS\system32\drivers\uyjilio.sys

[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004

[AVERTISSEMENT] Impossible de trouver le fichier source.

[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bf49f6c.qua' !

 

 

Fin de la recherche : dimanche 28 février 2010 17:51

Temps nécessaire: 47:57 Minute(s)

 

La recherche a été effectuée intégralement

 

4975 Les répertoires ont été contrôlés

187749 Des fichiers ont été contrôlés

12 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

12 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

3 Impossible de contrôler des fichiers

187734 Fichiers non infectés

6341 Les archives ont été contrôlées

6 Avertissements

13 Consignes

35971 Des objets ont été contrôlés lors du Rootkitscan

5 Des objets cachés ont été trouvés

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:48:15, on 04/03/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Fredi\Bureau\HijackThis.exe

C:\Program Files\ZebHelpProcess\ZHP2.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystart101.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.targa.co.uk

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-21-4058797087-1872374222-1640616834-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrateur')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: winesm32.exe

O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.targa.co.uk

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: lmab_device - Unknown owner - C:\WINDOWS\system32\LMabcoms.exe

O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

 

--

 

 

Je serais tenter de supprimer cette ligne: O4 - Startup: winesm32.exe, mais est ce suffisant ?,Merci

[Falkra]

Bonsoir,

 

Messages : 2

Si jamais tu as besoin de quelques infos ou d'un peu d'aide pour retrouver tes posts :

• Comment participer à un forum
  
• Retrouver ses messages
  

 

Je serais tenter de supprimer cette ligne: O4 - Startup: winesm32.exe, mais est ce suffisant ?,Merci

Ca ne servirait à rien.

 

Si le 4 mars tu avais la base de données: 3510, tu as raté 300 mises à jour.

Mets à jour MBAM, tu dois avoir la base de donnés 3825 minimum.

 

Après la mise à jour, fais une recherche rapide, et supprime ce qui est trouvé, puis poste le rapport stp.

[nevsky]

bonjour, falkra, merci de ta répose rapide.

effectivement mbam n'était pas à jour , bien vu.

après update, il a détecté un worm qu'il a éradiqué, mon pc va mieux, plus de blocage et ralentissement.

par contre, toujours la présence du root kit , impossible a supprimer.

ci joint les logs avant et après éradiquation du vers.

 

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3825

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

05/03/2010 19:18:48

mbam-log-2010-03-05 (19-18-38).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 185555

Temps écoulé: 5 hour(s), 38 minute(s), 53 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\Fredi\Menu Démarrer\Programmes\Démarrage\winesm32.exe (Worm.KoobFace) -> No action taken.

C:\WINDOWS\system32\drivers\uyjilio.sys (HackTool.Agent) -> No action taken.

 

 

 

 

apres

 

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3825

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

05/03/2010 22:00:50

mbam-log-2010-03-05 (22-00-43).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 185363

Temps écoulé: 2 hour(s), 16 minute(s), 42 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\drivers\uyjilio.sys (HackTool.Agent) -> No action taken.

[Falkra]

C'est logique, ça marque "No action taken", tu n'as rien supprimé d'après les rapports postés.

Mets à jour (encore), fais une recherche rapide et surtout, supprime puis poste le rapport.

 

• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre.
  
• A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster.

[nevsky]

1° comment faire pour éradiquer ce hacktool?

2° puis-je effacer tous les trojans detecté par avira (voir rapport ci dessus) sans crainte, notamment les

C:\WINDOWS\system32\drivers\xxxxxx : ce ne sont pas des vrai drivers, n'est ce pas?

et les C:\System Volume Information\_restore\ xxxxxx.sys :

 

Qu'en penses-tu?

 

merci

[Falkra]

1° comment faire pour éradiquer ce hacktool?

Je t'ai posté ça juste au dessus, tu ne sembles avoir rien supprimé du tout.

 

2° puis-je effacer tous les trojans detecté par avira (voir rapport ci dessus) sans crainte, notamment les

C:\WINDOWS\system32\drivers\xxxxxx : ce ne sont pas des vrai drivers, n'est ce pas?

et les C:\System Volume Information\_restore\ xxxxxx.sys :

On voit ça après, ne touche à rien pour le moment, et désactive Antivir pendant le scan de MBAM si ça gêne, ne fais rien d'autre que les instructions en cours.

[nevsky]

voila le log mbam demander.

j'ai exécuté mbam il a trouvé C:\WINDOWS\system32\drivers\uyjilio.sys (HackTool.Agent)

 

Mbam a demander le reboot pour suppression, j'ai accepté, rebooté et postage du log

 

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3827

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

05/03/2010 23:19:12

mbam-log-2010-03-05 (23-19-12).txt

 

Type de recherche: Examen rapide

Eléments examinés: 129047

Temps écoulé: 5 minute(s), 51 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\drivers\uyjilio.sys (HackTool.Agent) -> Delete on reboot.

[nevsky]

je viens de refaire un scan mbam pour voir si le hacktool a disparu

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3827

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

05/03/2010 23:41:26

mbam-log-2010-03-05 (23-41-23).txt

 

Type de recherche: Examen rapide

Eléments examinés: 128996

Temps écoulé: 5 minute(s), 17 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\drivers\uyjilio.sys (HackTool.Agent) -> No action taken.

[Falkra]

Ok, parfait. On va creuser ça.

 

Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/#files

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau.

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes.

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

• Sections
  
• **Assure-toi que "Show All" est décoché**
  

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

[nevsky]

salut, voilà ce ce que tu m'as demandé.

je connaissais pas du tout gmer!

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-03-06 21:19:30

Windows 5.1.2600 Service Pack 2

Running: rowofgqq.exe; Driver: C:\DOCUME~1\Fredi\LOCALS~1\Temp\pxtdypog.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT F8BEA026 ZwCreateKey

SSDT F8BEA01C ZwCreateThread

SSDT F8BEA02B ZwDeleteKey

SSDT F8BEA035 ZwDeleteValueKey

SSDT F8BEA03A ZwLoadKey

SSDT F8BEA008 ZwOpenProcess

SSDT F8BEA00D ZwOpenThread

SSDT F8BEA044 ZwReplaceKey

SSDT F8BEA03F ZwRestoreKey

SSDT F8BEA030 ZwSetValueKey

SSDT F8BEA017 ZwTerminateProcess

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 82CF9950

 

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

 

---- Services - GMER 1.0.15 ----

 

Service (*** hidden *** ) [bOOT] uyjilio <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001109e621fc

Reg HKLM\SYSTEM\CurrentControlSet\Services\uyjilio@Type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\uyjilio@Start 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\uyjilio@ErrorControl 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\uyjilio@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001109e621fc (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\uyjilio@Type 1

Reg HKLM\SYSTEM\ControlSet003\Services\uyjilio@Start 0

Reg HKLM\SYSTEM\ControlSet003\Services\uyjilio@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet003\Services\uyjilio@Group Boot Bus Extender

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Documents and Settings\All Users\Application Data\EBP\Devis\Report\Documents\Ventes\Avoirs\Avoir avec N\xb0 sur page suivante.rtm 1

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Documents and Settings\All Users\Application Data\EBP\Devis\Report\Documents\Ventes\Devis\Devis avec N\xb0 sur page suivante.rtm 1

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Documents and Settings\All Users\Application Data\EBP\Devis\Report\Documents\Ventes\Factures\Facture avec N\xb0 sur page suivante.rtm 1

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xE2 0x63 0x26 0xF1 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x6B 0x65 0x49 0x6A ...

Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xF5 0x1D 0x4D 0x73 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x83 0x6C 0x56 0x8B ...

Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0x51 0xFA 0x6E 0x91 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xE3 0x0E 0x66 0xD5 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x6C 0x43 0x2D 0x1E ...

 

---- EOF - GMER 1.0.15 ----