Startseite (a-z)

**Ruby** · 07.05.2005 03:28

about:blank - verschiedene Variationen
Entfernungshilfe

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jcxzs.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jcxzs.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\jcxzs.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jcxzs.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jcxzs.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\jcxzs.dll/sp.html#28129
R3 - Default URLSearchHook is missing

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vlpkp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vlpkp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vlpkp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vlpkp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vlpkp.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vlpkp.dll/sp.html#29126

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ucvsg.dll/sp.html#66987
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ucvsg.dll/sp.html#66987
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ucvsg.dll/sp.html#66987
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ucvsg.dll/sp.html#66987
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ucvsg.dll/sp.html#66987
R3 - Default URLSearchHook is missing

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\tqwqw.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\tqwqw.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\tqwqw.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\tqwqw.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\tqwqw.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\tqwqw.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\tqwqw.dll/sp.html#83556
R3 - Default URLSearchHook is missing

Wichtiger Hinweis:

HijackThis muss in einem eigenen Ordner laufen, um BackUps erstellen zu können.
Es muss so aussehen: C:\HJT\HijackThis.exe

Diese Anweisung erst gründlich durchlesen.
Drucke diese Anweisung entweder aus oder speichere sie als *.txt-file,
da du u.a. im abgesicherten Modus/VGA Modus arbeiten wirst.

Folge den Nummern in der Reihenfolge:

1
Download und Anwendung:

1-1
ein kostenloses Zip-Programm, falls keines vorhanden:
SIMPLYZIP

1-2
about:Buster,
entpacke C:\aboutbuster
Starte das Programm:
1. Klicke auf "Update".
2. Klicke auf "Check For Update"

(wenn derzeit keine Updates vorhanden sind, kannst du diesen Punkt überspringen.)
3. Klicke auf "Download Update", und warte bis der Download installiert ist.

1-3
CWShredder, installieren und updaten

1-4
CleanUp

2
Im Windows-Explorer:

>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

3
Boote in den abgesicherten Modus/VGA Modus von Windows und bleibe dort bis du liest, dass du in den normalen Modus (Punkt 9) booten sollst.

4
Schliesse alle Programme einschliesslich Internet Explorer.
Lass Hijackthis laufen, klick scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:

-> Fixe alle aufgeführten Einträge unter R0, R1 und R3
zuzüglich der als Malware erkannten weiteren Einträge
und einer der Startseiten.dlls: "res://C:\WINDOWS\uuuuu.dll".

Beende das Programm HijackThis.

5
Lösche die als Malware erkannten Files, im abgesicherten Modus, mit dem Windows Explorer:

-> Malware-Files löschen

6
Schliesse alle Programme einschliesslich Internet Explorer.

7
Lass about:Buster laufen
4. Klicke auf "Start".
5. Warte bis der Scan zu ende ist.
6. Klicke auf "Exit".

8
Lass CWShredder laufen
Klicke auf den fix-Button und lass das Programm dein System scannen und reinigen.

9
Boote in den normalen Modus.

10
Beende die Prozesse gefundener Malware im Task-Manager:

*.exe
*.exe

11
Lass CleanUp laufen

"option" -> Wähle ‘custom’ -> Setze Häkchen bei:

* Cookies
* Prefetch
* Temp
* All users.

Drücke den 'cleanup' Button

12
Lass HijackThis laufen
Speichere das Logfile.

13
Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE sicher. Stelle ihn so ein, wie hier empfohlen: Sicherheitseinstellungen!

-> Poste das about:Buster Logfile.
-> Poste das HJT Logfile.

Anmerkung

Files unter
O20 - Winlogon Notify: wenn eindeutig als Malware festgestellt
O23 - Service: Workstation NetLogon Service: die diese Zeichen tragen: ( 11Fßä#·ºÄÖ`I)

werden am besten entweder mit HijackThis über ">Config->Misc. Tools->Open process manager> delete" entfernt
oder im normalen Modus mit der KillBox:

Killbox starten
Einstellungen:
Replace on Reboot
Nun die betreffenden Dateien in die Killbox reinkopieren:

*.dll
*.exe

Für jede Datei zusätzlich die Option "Use Dummy" auswählen,
das rote X drücken
die erste Meldung (Confirmation) mit Ja
und die Zweite dann mit Ja bestätigen,
wenn alle zu löschenden Dateien in der Killbox sind.
Bitte die Killbox nur anwenden, wenn du weißt, was du tust.
Gekillte Dateien können nicht wieder hergestellt werden.

-> bitte beachten
Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib dann auch einen neuen Systemwiederherstellungspunkt.

**Ruby** · 21.05.2005 08:15

specialgoods, newgenlook, hotoffers

Erscheinungsformen

ad/ad0278/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://www.specialgoods.info/ad/ad0278/
oder
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://www.newgenlook.info/ad/ad0278/

ad/ad0271/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://www.specialgoods.info/ad/ad0271/
oder
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://www.newgenlook.info/ad/ad0271/

a0002/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =hzzp://www.hotoffers.info/a0002/

Troj/Warspy-G ist ein Downloade Trojaner, der versucht eine Anzahl von Websites zu
kontaktieren und eine Anzahl gefakte Warnberichte auf dem Bildschirm erstellt.

Anleitung zur Entfernung

1
Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

2
Download:

Lade die Killbox runter.
Installiere das Programm auf deinem Desktop.

3
Wichtiger Hinweis:
HijackThis muss in einem eigenen Ordner laufen, um BackUps erstellen zu können.
Es muss so aussehen: C:\HJT\HijackThis.exe

4
Verwende einen Texteditor
Kopiere den Text aus der Box mittels copy&paste.
Speichere diesen Text unter "alle Datei-Typen" als "fixme.reg"

für Windows 2000, Windows XP und Windows Server 2003:

Code:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D56A1203-1452-EBA1-7294-EE3377770000}"=-

[-HKEY_CLASSES_ROOT\CLSID\{D56A1203-1452-EBA1-7294-EE3377770000}]

für Windows 98, ME, NT4:

Code:

REGEDIT4 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D56A1203-1452-EBA1-7294-EE3377770000}"=-

[-HKEY_CLASSES_ROOT\CLSID\{D56A1203-1452-EBA1-7294-EE3377770000}]

5
Speichere das fixme.reg auf deinem Desktop.

Klicke doppelt auf das fixme.reg auf deinem Desktop.
Beantworte die Frage, ob du diesen Text der Registry zufügen möchtest, mit "yes" oder "ja"
Warte bis du de Antwort erhältst, dass der Text der Registry erfolgreich zugefügt worden ist.

6
Boote in den abgesicherten Modus/VGA Modus von Windows.

7
Suche mit dem Windows Explorer diese Dateien

param32.dll
guninst.exe
popup_bl.dll
systr.dll
svrhost.exe

Lösche, was du davon findest.
Wenn du diese Dateien nicht löschen kannst,
sie sich aber auf deinem System befinden,
kopiere sie in die Killbox.

8
Starte die Killbox
Einstellungen:
Replace on Reboot
Nun in die killbox reinkopieren:

C:\windows\system32\systr.dll
C:\windows\system32\param32.dll
C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

Für jede Datei zusätzlich die Option "Use Dummy" auswählen,
das rote X drücken
die erste Meldung (Confirmation) mit Ja und
die zweite Meldung dann mit Ja bestätigen, wenn alle drei Datafiles in der Killbox sind.

Sollten nicht alle dieser Dateien auf deinem System anwesend sein, nimm einfach die nächste Datei und kopiere sie in die Killbox. Wenn alle Dateien in der Killbox sind, bestätigst du die zweite meldung mit "ja" (YES). Nun musst du deinen Rechner booten. Sollte das Programm aus irgendwelchen Gründen dies nicht alleine veranlassen, fährst du deinen Rechner sofort runter und nach ein paar Minuten wieder hoch.

9
Boote den Rechner neu und wieder in den abgesicherten Modus/VGA Modus von Windows

10
Schliesse alle Programme einschliesslich Internet Explorer.

11
Lass Hijackthis laufen, klick scan
und setze ein Häkchen neben den jeweiligen Eintrag dieser Infektion auf deinem System.
Drücke dann auf den Fix Button:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://www.specialgoods.info/ad/ad0278/
oder
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://www.newgenlook.info/ad/ad0278/
oder
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://www.specialgoods.info/ad/ad0271/
oder
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://www.newgenlook.info/ad/ad0271/
oder
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =hzzp://www.hotoffers.info/a0002/

Beende das Programm HijackThis.

12
Klicke doppelt auf das fixme.reg auf deinem Desktop.
Beantworte die Frage, ob du diesen Text der Registry zufügen möchtest, mit "yes" oder "ja"
Warte bis du de Antwort erhältst, dass der Text der Registry erfolgreich zugefügt worden ist.

13
Boote in den normalen Modus.

Anmerkung
Diese Startseiten-Infektion kann allein oder in Kombination mit anderen Startseiten-Infektionen auftreten, wie zum Beispiel startsearches.net, se.dll/sp.html, se.dll/spage.html, Smitfraud.c, qfind.net, quicknavigate.com usw.

-> bitte beachten
Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Vergib dann auch einen neuen Systemwiederherstellungspunkt.

Quelle 1 und Quelle 2 und Quelle 3

**Ruby** · 22.05.2005 18:52

Win32.WinAd Family:

ADW_WINAD.C

Entdeckungs Datum: Januar 2005
Beschreibung und Typ: Adware laut TrendMicro
Beschreibung und Typ: Trojaner laut Computer Associates

Name des Herstellers: Windows AdControl

Infizierte Systeme: Windows 95, 98, ME, NT, 2000, and XP.

Diese Adware wird als ActiveX Objekt installiert, wenn ein User bestimmte Websites besucht. Es trifft zusammen mit einer Direct Link Library (.DLL) Komponente auf dem System an, die eine Routine enthält, um den Browser festzuhalten. Sie befähigt die Adware Files von verdächtigen Werbeseiten herunter zu laden. Der darin enthaltene ausführbare File erstellt immer wieder
Popup Displays der heruntergeladenen Files.

Diese Adware ein nicht bösartiges File, das IDE21201.VXD ins System, das es braucht, um richtig zu funktionieren.

Lösung:

HINWEISE ZUR MANUELLEN ENTFERNUNG

Diese Methode beendet laufende Prozesse. Dazu brauchst du jedoch die Namen der Files, die vorher entdeckt worden sind:

1. Öffne den Windows Task Manager.
» bei Windows 95, 98, und ME, drücke
CTRL+ALT+DELETE
» bei Windows NT, 2000, und XP, drücke
CTRL+SHIFT+ESC, klick dann auf die Prozesstaste.
2. Entnimm der Liste der Programme diejenigen Files, die vorher entdeckt worden sind.
3. Beende den Prozess im Task Manager.
4. Mach das mit jedem der entdeckten Files in der Liste der laufenden Prozesse.
5. Um herauszufinden, ob ein Prozess beendet ist, schliesse den Task Manager und öffne ihn dann wieder..
6. Schliesse den Task Manager.

C:\Program Files\Windows AdControl\WinAdCtl.exe

Beachte: Auf Systemen unter Windows 95, 98, und ME, zeigt der Windows Task Manager möglicherweise bestimmte Prozesse nicht an. Man kann daher auch einen anderen Prozess Manager verwenden, wie zum Beispiel den Process Explorer, um die Grayware Prozesse zu beenden. Andernfalls mache weiter mit den folgenden Maßnahmen, beachte die zusätzlichen Hinweise.

Lösche folgenden Ordner von deinem System:

C:\Program Files\Windows AdControl

Einträge aus der Registry entfernen:

Lade Registrar Lite runter und installiere es in einem eigenen Ordner (Einführung in Windows).

(Es wird empfohlen, ein BackUp der Registry anzulegen, bevor sie editiert wird. VORSICHT: dieses BackUp ist verseucht! Es dient nur als Sicherheit und sollte nach dem richtigen editieren der Registry vernichtet werden.)

Wende entweder Registrar Lite an oder editiere die Registry von Hand:

1. Öffne den Registry Editor. Klick Start>ausführen, schreibe REGEDIT, drücke dann Enter.

2. Auf der linken Seite, Doppelklick auf:
HHKEY_LOCAL_MACHINE>SOFTWARE>
3. Auf der rechten Seite, suche und lösche den Eintrag:
Windows AdControl

4. Schliesse den Registry Editor.

Installation: ActiveX Objekt ausgeführt

Entdeckter Filename: WINCTLAD.EXE/WINAD2.DLL

Prozess Name: WinCtlAd

Registry Entrag:

HKEY_LOCAL_MACHINE\Sof(t)ware\Windows\AdControl

Weitere Hinweise: Trend Micro und Virus Information Center

-> bitte beachten
Bei Windows XP und ME bitte die Systemwiederherstellung im Anschluß an die Reinigungsarbeiten einmal im Wechsel deaktivieren und aktivieren, dazwischen jedes mal neu booten. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Nun auch einen neuen Systemwiederherstellungspunkt vergeben.

English speaking Users, please have a look to the original Page of TREND MICRO and CA

Übersetzung von/Translation of Ruby

**Ruby** · 03.06.2005 07:16

v73.us/10095/search.html

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hzzp://v73.us/10095/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hzzp://v73.us/10095/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hzzp://v73.us/10095/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://v73.us/10095/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hzzp://v73.us/10095/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hzzp://v73.us/10095/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hzzp://v73.us/10095/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://v73.us/10095/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hzzp://v73.us/10095/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hzzp://v73.us/10095/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = hzzp://v73.us/10095/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = hzzp://v73.us/10095/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = hzzp://v73.us/10095/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = hzzp://v73.us/10095/
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O21 - SSODL: eplrr9 - {7D5CC380-BDB2-11D9-979B-0008A11C13E5} - C:\WINDOWS\SYSTEM\mspdnx.dll

Anleitung zur Entfernung

Bei Windows XP und ME muss vor den Arbeiten am System die Systemwiederherstellung deaktiviert werden.

Anmerkung:
Troj/Haxdoor-X, zu finden in der Datei: C:\WINDOWS\SYSTEM\mspdnx.dll

W32/Forbot-BD, alias Backdoor.Win32.Wootbot.gen, SDBot.Gen,
zu finden in der Datei: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe

scheinen die Beigabe zu diesem Browser-Hijacking zu sein. Während der Wurm
mit einem unserer Removal-Tools entfernt werden kann, muss der gefährliche
Trojaner mit einem tiefgreifenden Anti-Viren-Programm beseitigt werden.

Code:

Anweisung bitte sorgf&#228;ltig lesen!

Teil 1
Lade folgende Programme runter:

1-1
Lade den EliteToolbar Remover als Zip runter,

erstelle einen neuen Ordner auf der Festplatte C: (Einf&#252;hrung in Windows) "C:\ETR" und entpacke den EliteToolbar Remover V.1.3.0 mit allen Komponenten in diesen Ordner.
(kostenloses Zip-Programm SIMPLYZIP)

1-2
CleanUp

1-3
Ad-Aware SE, installieren und updaten

1-4
Spybot Search & Destroy, installieren und updaten

1-5
CWShredder 2.14, installieren und updaten

1-6
about:Buster,
entpacke es in C:\aboutbuster
Starte das Programm:
1. Klicke auf "Update".
2. Klicke auf "Check For Update"

(wenn derzeit keine Updates vorhanden sind, kannst du diesen Punkt &#252;berspringen.)
3. Klicke auf "Download Update", und warte bis der Download installiert ist.
.
.
.
.
.
1-7
Lade das
msmsgs_remover.zip 
gegen den Wurm "SDBot.Gen" ("msmsgs.exe") runter, entpacke es auf deinem 
Desktop. Starte das Programm und lass ihm die Zeit, die es braucht, um diese 
schwerwiegende Wurmvariante von deinem Rechner zu entfernen. Es kann 
sein, dass es ca 30 Minuten dauert, bis das Programm fertig ist. Du musst 
deinen Rechner danach neu booten. -> Bitte die Anweisung von Marc genau befolgen!

(Kostenloses Zip-Programm:  SIMPLYZIP).
.
.
.
.
.
1-8
Lade die Killbox runter.
Installiere das Programm auf deinem Desktop.

1-9
Cleaner f&#252;r deine Windows Version
Verwende das Programm laut Anweisung. 
Speichere das Logfile. 
Poste es sp&#228;ter.


Teil 2
Anleitung zur Entfernung

1
*SEHR WICHTIG*

Im Windows-Explorer:

>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Gesch&#252;tzte Systemdateien ausblenden (empfohlen)" deaktivieren.

2
Die Killbox starten

Einstellungen:
Replace on Reboot
Nun in die Killbox reinkopieren:

C:\WINDOWS\SYSTEM\mspdnx.dll

Zus&#228;tzlich die Option "Use Dummy" ausw&#228;hlen,
das rote X dr&#252;cken
die erste Meldung (Confirmation) mit Ja (YES) und die Zweite mit Ja (YES) best&#228;tigen.

3
Starte deinen Rechner neu auf in den abgesicherten Modus.(Windows)

4
Schliesse alle Programme einschliesslich Internet Explorer.
Suche das Hosts-File auf, du findest es unter
C:\Windows\System32\Drivers\Etc

Lass Hijackthis laufen,

Config< Misc Tools < Open Hosts file Manager < Delete line <
l&#246;sche alles bis auf:
	
		
			
			
				# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
			
		
	
 Alle Eintr&#228;ge, die mit 127.0.0.1 anfangen, sind ok und brauchen nicht gel&#246;scht zu werden.
Wenn es bei dir keine weiteren Eintr&#228;ge gibt, ist es ok.

5
Lass Hijackthis laufen,
klick scan und setze ein H&#228;kchen neben jeden dieser Eintr&#228;ge.
Dr&#252;cke dann auf den Fix Button:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hzzp://v73.us/10095/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hzzp://v73.us/10095/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hzzp://v73.us/10095/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://v73.us/10095/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hzzp://v73.us/10095/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hzzp://v73.us/10095/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hzzp://v73.us/10095/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://v73.us/10095/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hzzp://v73.us/10095/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hzzp://v73.us/10095/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = hzzp://v73.us/10095/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = hzzp://v73.us/10095/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = hzzp://v73.us/10095/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = hzzp://v73.us/10095/

O2 - BHO: (no name) - {C37E0001-77DE-11D9-979B-00085B758069} - (no file)
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O21 - SSODL: eplrr9 - {7D5CC380-BDB2-11D9-979B-0008A11C13E5} - C:\WINDOWS\SYSTEM\mspdnx.dll

Dr&#252;cke auf den Fix Button.
Beende das Programm HijackThis.

6
Ad-Aware SE laufen lassen.
Lass das Programm alles entfernen, was es findet.
Speichere das Logfile ab.
Leere nach dem Scan alle Verzeichnisse von Ad-Aware SE und die Quarant&#228;ne-Box.

7
Spybot Search & Destroy laufen lassen.
Geh auf "Advanced", unter Tools kannst du u.a. AktiveX deaktivieren.
Lass das Programm alles entfernen, was es findet.
Immunisiere dein System.

8
Ein Klick auf die Taste "Kill Elite Toolbar" setzt das Programm in Gang.

Es scannt nun Registry, Memory und untersucht den Rechner auf das
Vorhandensein bestimmter Malware. Wenn es f&#252;ndig geworden ist, klappt ein
schwarzes DOS-Fensterchen auf und fragt ob du m&#246;chtest, dass ein File
gel&#246;scht wird, ja oder nein. Du gibst ein "j" f&#252;r "ja" ein und dr&#252;ckst auf [enter].
Nun scannt das Programm weiter.

Wenn der Scan zuende ist, bitte das Logfile
abspeichern &#252;ber die Taste "Save Reg.log". Das Logfile zeigt eine Liste
der Autostart-Schl&#252;ssel, Unterschl&#252;ssel und der Werte der System Registry.

9
Lass CWShredder laufen
Klicke auf den fix-Button und lass das Programm dein System scannen und reinigen.

10
Lass about:Buster laufen
4. Klicke auf "Start".
5. Warte bis der Scan fertig ist.
6. Klicke auf "Save log" (speichere das Logfile).
7. Klicke auf "Exit".

11
Boote deinen Rechner wieder in den normalen Modus.

12
Lass CleanUp laufen

Geh zu "option" -> W&#228;hle ‘custom’ -> Setze H&#228;kchen bei:

      * Cookies
      * Prefetch
      * Temp
      * All users.

Dr&#252;cke den 'cleanup' Button

13
F&#252;hre einen mwavscan durch

1) Lege einen Ordner c:\bases an (Einf&#252;hrung in Windows)
2) Download der  mwav.exe
3) Entpacke die Datei (mit einem Zip-Programm SIMPLYZIP) !!! Die Datei  mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) &#214;ffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schlie&#223;e den Explorer.
7) &#220;berpr&#252;fe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* dr&#252;cken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:


8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zur&#252;ck in den normalen Modus.
9) Nun &#246;ffnest du mit einem Editor die mwav.log und w&#228;hlst unter bearbeiten -> suchen, hier gibst du "tagged as" ein


-> jede Zeile in der "tagged as" bzw. "infected" 
steht, markieren, und hier einf&#252;gen/sehr genau kontrollieren, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)
Ganz unten steht die Zusammenfassung, diese auch posten/beachten:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****


14
Vergib eine neue Startseite f&#252;r den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!
.

**Ruby** · 17.06.2005 10:49

clicksearchclick
(siehe dazu -> Sicherheits-News)

Anleitung zur Entfernung:

(willkürlich gewähltes Beispiel)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://www.clicksearchclick.com/
O2 - BHO: IE SP2 AddOn - {16A79161-5E1A-4501-8B9F-3637DE9F42C3} - C:\WINDOWS\system32\spgun.dll
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{38F5BF12-9D77-4393-9584-AD26382BEF55}\SVCHOST.EXE
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{38F5BF12-9D77-4393-9584-AD26382BEF55}\SECURITY.EXE
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\system32\kernels32.exe
O4 - HKCU\..\Run: [msvbvm60] C:\WINDOWS\System32\msvbvm60.exe
O4 - HKCU\..\Run: [wupd] C:\WINDOWS\system32\win32.exe
O4 - HKCU\..\Run: [Lwu5Rgd5i] bthnonce.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Finance - hzzp://listdating.com/se/se6.htm
O8 - Extra context menu item: Games - hzzp://listdating.com/se/se12.htm
O8 - Extra context menu item: Online Casino - hzzp://listdating.com/se/se2.htm
O18 - Filter: text/html - {3F88B720-CC91-4738-9671-2A75718FA614} - C:\WINDOWS\System32\fomg.dll

User, die Opfer dieses clicksearchclick Browser-Hijackings geworden sind, können sich glücklich schätzen, wenn sie ein Forum erreicht haben. Jeder Klick führt auf die Website clicksearchclick.

Einem User Links zu geben, zu Programmen, die er nicht erreichen kann, ist
sinnlos. Folglich müssen wir dem User erst die Möglichkeit geben, Links zu Programmen erreichen zu können.
Das heisst, wir müssen zuerst diesen clicksearchclick-Urwald fixen.

Hinweise zur Entfernung von clicksearchclick

Bei Windows XP und ME muss die Systemwiederherstellung vor den Arbeiten am System deaktiviert werden.

HijackThis muss in einem eigenen Ordner laufen, um BackUps erstellen zu können.

Es muss so aussehen: C:\HJT\HijackThis.exe oder C:\Programme\HijackThis.exe

Drucke diese Anweisung entweder aus oder speichere sie als *.txt-file,
da du u.a offline im abgesicherten Modus/VGA Modus arbeiten wirst.

Folge den Nummern in der Reihenfolge:
-> Anweisung bitte sorgfältig lesen!

Teil 1
clicksearchclick-Befreiung:

1
Beende im Taskmanager folgende Prozesse:

C:\WINDOWS\System32\Services\{38F5BF12-9D77-4393-9584-AD26382BEF55}\SVCHOST.EXE
C:\WINDOWS\System\svchost.exe
C:\WINDOWS\system32\kernels32.exe
C:\WINDOWS\System32\msvbvm60.exe
C:\WINDOWS\system32\win32.exe
C:\winstall.exe

(Es empfiehlt sich, den Dateipfad mitanzugeben, da sonst möglicherweise System-Dateien gelöscht werden.)

2
Boote in den abgesicherten Modus/VGA Modus (Anleitung).

3
Schliesse alle Programme einschliesslich Internet Explorer.

4
Lass Hijackthis laufen,
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles bis auf:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

Alle Einträge, die mit 127.0.0.1 anfangen, sind ok und brauchen nicht gelöscht zu werden.
Wenn es bei dir keine weiteren Einträge gibt, ist es ok.

5
Lass Hijackthis laufen,
klick scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:

(willkürlich gewähltes Beispiel)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://www.clicksearchclick.com/
O2 - BHO: IE SP2 AddOn - {16A79161-5E1A-4501-8B9F-3637DE9F42C3} - C:\WINDOWS\system32\spgun.dll
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{38F5BF12-9D77-4393-9584-AD26382BEF55}\SVCHOST.EXE
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{38F5BF12-9D77-4393-9584-AD26382BEF55}\SECURITY.EXE
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\system32\kernels32.exe
O4 - HKCU\..\Run: [msvbvm60] C:\WINDOWS\System32\msvbvm60.exe
O4 - HKCU\..\Run: [wupd] C:\WINDOWS\system32\win32.exe
O4 - HKCU\..\Run: [Lwu5Rgd5i] bthnonce.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Finance - hzzp://listdating.com/se/se6.htm
O8 - Extra context menu item: Games - hzzp://listdating.com/se/se12.htm
O8 - Extra context menu item: Online Casino - hzzp://listdating.com/se/se2.htm
O18 - Filter: text/html - {3F88B720-CC91-4738-9671-2A75718FA614} - C:\WINDOWS\System32\fomg.dll

Drücke auf den Fix Button.
Beende das Programm HijackThis.

6
Lösche diese Files mit dem Windows Explorer:

C:\WINDOWS\system32\spgun.dll
C:\WINDOWS\System32\Services\{38F5BF12-9D77-4393-9584-AD26382BEF55}\SVCHOST.EXE
C:\WINDOWS\System\svchost.exe
C:\WINDOWS\system32\kernels32.exe
C:\WINDOWS\System32\msvbvm60.exe
C:\WINDOWS\system32\win32.exe
C:\winstall.exe
C:\WINDOWS\System32\fomg.dll

7
Boote deinen Rechner wieder in den normalen Modus.

8
System-Reinigung

8-1
START > ausführen (schreib): %temp% -> ok.
Mach das für jedes Benutzerkonto.
Du leerst damit den/die Ordner C:\DOKUME~1\Dein Name\LOKALE~1\Temp\

8-2
C:\WINDOWS\PREFETCH
Alle Dateien in dem Verzeichnis mit [STRG]+[A] markieren
und auf [Entf] drücken.

8-3
START > ausführen (schreib): cleanmgr -> ok.
Vergewissere dich, dass die Temporary Files,
Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden.
Klicke ok.

(Hier angelangt, dürften unsere User wieder sehend geworden sein.)

Teil 2
Lade folgende Programme runter:

1-1
Lade den CCleaner runter.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
nach jeder Sitzung im Netz anwenden.)

1-2
NEUE Version: Ad-Aware SE, installieren und updaten
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
einmal im Monat anwenden, das Programm vorher updaten.)

1-3
NEUE Version: Spybot Search & Destroy, installieren und updaten
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
einmal im Monat anwenden, das Programm vorher updaten.)

1-4
CWShredder 2.14, installieren und updaten

1-5
about:Buster,
entpacke es in C:\aboutbuster
Starte das Programm:
1. Klicke auf "Update".
2. Klicke auf "Check For Update"

(wenn derzeit keine Updates vorhanden sind, kannst du diesen Punkt überspringen.)
3. Klicke auf "Download Update", und warte bis der Download installiert ist.

1-6
Lade den EliteToolbar Remover V.1.3.0 als Zip runter,
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
einmal im Monat anwenden, das Programm vorher updaten.)

Erstelle einen neuen Ordner ETR auf C:\ (Einführung in Windows)
und entpacke die EliteToolbar Remover V.1.3.0 mit allen Komponenten in diesen Ordner.

(kostenloses Zip-Programm SIMPLYZIP)

1-7
Lade den RegCleaner runter.
Installiere und update das Programm.

1-8
Lade den SpywareBlaster runter.
Installiere und update das Programm.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
vor jeder Sitzung im Netz anwenden.)

1-9
Lade den SpywareGuard 2.2 runter.
Installiere und update das Programm.
(Hinweis zur weiteren Verwendung über diese Reinigung hinaus:
vor jeder Sitzung im Netz anwenden.)

1-10
Lade das hosts.zip runter.
Wende es laut der bebilderten Anleitung an.
Ersetze damit deine Datei HOSTS.

1-11
Lade lspfix runter.
Wende es folgendermaßen an, wenn du Probleme mit deiner Netzverbindung bekommst:
lass es laufen, drücke den "finished"-Button, schliesse das Programm.
Boote deinen Rechner neu.

1-12
Lade die Killbox runter.
Installiere das Programm auf deinem Desktop.

1-13
--> !!! speichere den Text unter "alle Datei-Typen" als "DelDomains.inf" auf deinem Desktop!!! --> DelDomains.inf
Schliesse den Internet Explorer!
Mach einen Doppel-Klick auf die neue Datei "DelDomains.inf" auf deinem Desktop.
(Das Programm zieht die Einträge aus der "Trusted Zone" und den "Ranges".)

Teil 3
Anleitung zur Entfernung

1
*SEHR WICHTIG*
Im Windows-Explorer:

>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
>Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

2
Du musst nun im abgesicherten Modus/VGA Modus (Anleitung) arbeiten.

3
Schliesse alle Programme einschliesslich Internet Explorer.
Ad-Aware SE laufen lassen.
Lass das Programm alles entfernen, was es findet.
Speichere das Logfile ab.
Leere nach dem Scan alle Verzeichnisse von Ad-Aware SE und die Quarantäne-Box.

4
Spybot Search & Destroy laufen lassen.
Geh auf "Advanced", unter Tools kannst du u.a. AktiveX deaktivieren.
Lass das Programm alles entfernen, was es findet.
Immunisiere dein System.

5
Lass CWShredder laufen
Klicke auf den fix-Button und lass das Programm dein System scannen und reinigen.

6
Lass about:Buster laufen
4. Klicke auf "Start".
5. Warte bis der Scan fertig ist.
6. Klicke auf "Save log" (speichere das Logfile).
7. Klicke auf "Exit".

7
Lass den ETR mitDoppelklick auf die "ETRemover_v130.exe" laufen.
Ein Klick auf die Taste "Kill Elite Toolbar" setzt das Programm in Gang.

Es scannt nun Registry, Memory und untersucht den Rechner auf das
Vorhandensein bestimmter Malware. Wenn es fündig geworden ist, klappt ein
schwarzes DOS-Fensterchen auf und fragt ob du möchtest, dass ein File
gelöscht wird, ja oder nein. Du gibst ein "j" für "ja" ein und drückst auf [enter].
Nun scannt das Programm weiter.

Wenn der Scan zuende ist, bitte das Logfile
abspeichern über die Taste "Save Reg.log". Das Logfile zeigt eine Liste
der Autostart-Schlüssel, Unterschlüssel und der Werte der System Registry.

Merke dir wieviel und welche Dateien, bzw. welche Malware gefunden und
eliminiert wurde (bitte aufschreiben).

8
Boote deinen Rechner wieder in den normalen Modus.

9
Lass den CCleaner laufen
Setze in alle Kästchen (Windows, Anwendungen und Probleme) ein Häkchen
und drücke dann auf "Starte Cleaner".

10
Lass den RegCleaner laufen
und alles entfernen, was er findet.

11
Scanne deinen Rechner mit einem Full-System-Scan mit Panda ActiveScan.
Der Scan kann ca 2-3 Stunden dauern. Erlaube AktiveX. Lass alles löschen, was gefunden wird.
Speichere das Logfile. Boote deinen Rechner danach neu auf.

Lösche alle Dateien, die von Panda gefunden worden sind, einschliesslich der Favoriten-Seiten des Internet-Explorers.

12
Sollte es dir nicht möglich sein, diese Adware-Dateien mit dem Windows Explorer zu löschen:

Die Killbox starten
Einstellungen:
Replace on Reboot
Nun in die Killbox reinkopieren/browsen:

Datei mit Datei-Pfad

Für jede Datei zusätzlich die Option "Use Dummy" auswählen,
das rote X drücken
die erste Meldung (Confirmation) mit Ja und die Zweite
dann mit Ja bestätigen, wenn alle Dateien in der Killbox sind.

Den Rechner neu aufstarten.

13
Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

14
Besuche www.windowsupdate.com.
Hast du alle Updates für dein Betriebssystem und deinen Browser?
Wenn nicht, das nächste clicksearchclick wartet auf dich.

15
Lass HijackThis laufen
Speichere das Logfile.

-> Betrachte das About:Buster Logfile.
-> Betrachte das Ad-Aware SE Logfile.
-> Betrachte das ETR Logfile.
-> Betrachte das Panda Online-Scan Logfile.
-> Betrachte das HJT Logfile.

Ein Beispiel-Thread, der meiner Lösungsmethode Recht gibt: -> Klick ;-)

Hinweis: Tipps & Tricks rund um den Internet Explorer, mit Frühjahrsputz

**Ruby** · 04.10.2005 22:54

Martfinder
(als Übersetzung der belgischen Seite users.telenet.be mit Dank übernommen.)

Die Startseite im Internet Explorer wird auf about:blank gesetzt, man wird auf die Seite
hzzp://www.martfinder.com/index.htm weitergeleitet.

Diese Infektion entfernt die StartUp-Schlüssel unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run

Sie entfernt auch den Eintrag zu den Browser Helper Objecten:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects\

Ursache dieser Infektion ist ein versteckte *.sys Datei, die als Service installiert wird.
Dieser Service taucht nicht auf in einem HijackThis Logfile, wohl aber in einem StartUp-Logfile:

ExtraSystemService3: \??\C:\WINDOWS\System32\drivers\systemsvr.sys (autostart)

Diesen Service kann man nicht beendigen über services.msc, weil es kein Service ist, sondern ein *.sys-Bestand.
Dieser Service wird auch nicht im Systemsteuerungsschirm aufgeführt.

In einem HijackThis Logfile sieht man:

O19 - User stylesheet: C:\Windows\windows.dat

Wie entfernt man das:

Es ist folgendes zu tun:
- Den Service ausschalten.
- Die datei entfernen

Der Service, der für diese Infektion verantwortlich ist, ist:
ExtraSystemService3.
Die Datei, die wir entfernen müssen, ist:
c:\Windows\System32\drivers\systemsvr.sys

Wenn du WindowsXP verwendest, kannst du das ESS3remove.bat verwenden.

Während das Batfile läuft, wirst du gefragt, eine beliebige taste einzudrücken, um den Fix weiter auszuführen. Mach das bitte. Der Code des Batfiles ist:

sc stop ExtraSystemService3
pause
sc delete ExtraSystemService3

cd %windir%
attrib -r -s -h windows.dat
del windows.dat

cd system32\drivers\
attrib -r -s -h systemsvr.sys
del systemsvr.sys

Wenn du Windows 2000 verwendest, musst du den Service erst auf "ausgeschaltet" stellen, mithilfe von diesem Regfile.

Starte den Rechner dann neu auf und entferne die Datei.

Der Code des Regfiles:
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ExtraSy stemService3]
"Start"=dword:00000004

Führe dann dieses Regfile aus der Codebox aus (Windows 2000 und WIndows XP):

- Kopiere den Text in einen Texteditor (Notepad),
- Speichere den Text auf deinem Desktop mit der Auswahl 'alle Dateitypen' als "REGEDIT4"
- Nun die Datei "REGEDIT4" auf dem Desktop doppelt anklicken.
- Bestätige, dass du diese Datei der Registry beifügen möchtest.
- Starte deinen Rechner neu auf.

Code:

REGEDIT4
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalUserRun"=-
 
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalUserRun"=-
 
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalUserRun"=-               
 
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalUserRun"=-
               
[HKEY_CURRENT_USER\Software\Microsoft\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisableLocalUserRun"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"DisableLocalMachineRun"=-
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""
 
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""
 
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""
 
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""
 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"=-
"Use My Stylesheet"=dword:00000000
 
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"=-
"Use My Stylesheet"=dword:00000000
 
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"=-
"Use My Stylesheet"=dword:00000000
 
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"=-
"Use My Stylesheet"=dword:00000000
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"=-
"Use My Stylesheet"=dword:00000000

Es kann nun sein, dass bestimmte Programme nicht mehr funktionieren, weil die dazugehörigen Schlüssel aus der Registry entfernt worden sind. Das kannst du dadurch lösen, dass du die Programme neu installierst.

Source : vertaald door/übersetzt von Ruby für HijackThis.de

**Ruby** · 07.10.2005 09:35

Smitfraud Infektionen u.a.m.

Anwendern der Betriebssysteme WinXP, Win2K empfehlen wir die Anwendung des SmitFraudFix für folgende Infektionen:

AdwarePunisher, AdwareSheriff, AlphaCleaner, Antispyware Soldier, AntiVermeans, AntiVermins, AntiVerminser, AntivirusGolden, AVGold, BraveSentry, MalwareWipe, MalwareWiped, MalwareWipePro, MalwareWiper, PestCapture, PestTrap, PSGuard, quicknavigate.com, Registry Cleaner, Security iGuard, Smitfraud, SpyAxe, SpyCrush, SpyDown, SpyFalcon, SpyGuard, SpyHeal, SpyLocked, SpyMarshal, SpySheriff, SpySoldier, Spyware Vanisher, Spyware Soft Stop, SpywareQuake, SpywareKnight, SpywareSheriff, SpywareStrike, Startsearches.net, TitanShield Antispyware, Trust Cleaner, UpdateSearches.com, Virtual Maid, VirusBlast, VirusBurst, Win32.puper, WinHound, Brain Codec, DirectVideo, EliteCodec, eMedia Codec, FreeVideo, Gold Codec, HQ Codec, iCodecPack, iMediaCodec, Image ActiveX Object, IntCodec, iVideoCodec, JPEG Encoder, Key Generator, Media-Codec, MediaCodec, MMediaCodec, MovieCommander, MPCODEC, My Pass Generator, PCODEC, Perfect Codec, PowerCodec, PornPass Manager, PornMag Pass, PrivateVideo, QualityCodec, Silver Codec, SiteEntry, SiteTicket, SoftCodec, strCodec, Super Codec, TrueCodec, VideoAccess, VideoBox, VidCodecs, Video Access ActiveX Object, Video ActiveX Object, VideoCompressionCodec, VideoKeyCodec, VideosCodec, WinAntiSpyPro, WinMediaCodec, X Password Generator, X Password Manager, ZipCodec...

Erkennbar an einer Unmenge Dateien, von S!Ri in eifriger Kleinarbeit seinem Remover hinzugefügt und seinem Changelog zu entnehmen.... bitte klicken

... Dankeschön S!Ri ...

**S!Ri** · 16.12.2005 08:59

Hello !

Hierbei handelt es sich um das mitwachsende Logfile der Dateien des SmitfraudFix.
( http://siri.urz.free.fr/Fix/SmitfraudFix.php )

Diese Dateien sollen bewirken, dass ein User eines der aufgezählten Programme kauft. (SpyAxe, Spysheriff, PSGuard, SpywareStrike...)

Ein Trojan Downloader installiert sie (FakeSpyware-Programm + InfeKtion).

Version 2.45 (May 18, 2006)

Code:

      %SYSTEM%\kernels8.exe (see kernels32.exe)
      %SYSTEM%\dcom_16.dll (see dcom_15.dll)


      %HOMEDRIVE%\defender??.exe
      %WINDIR%\defender??.exe

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "defender"=-


      O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp????.tmp
      [-HKEY_CLASSES_ROOT\CLSID\{f79fd28e-36ee-4989-aa61-9dd8e30a82fa}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f79fd28e-36ee-4989-aa61-9dd8e30a82fa}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{f79fd28e-36ee-4989-aa61-9dd8e30a82fa}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f79fd28e-36ee-4989-aa61-9dd8e30a82fa}]



      Version 2.44 (May 14, 2006)


      Generic Renos Fix Added


      %SYSTEM%\win64.exe



      Version 2.43 (May 11, 2006)


      %SYSTEM%\winmuse.exe
      O4 - HKLM\..\Run: [ZPoint] %SYSTEM%\winmuse.exe
      [-HKEY_LOCAL_MACHINE\SOFTWARE\WMuse]


      %SYSTEM%\winbrume.dll

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{196B9CB5-4C83-46F7-9B06-9672ECD9D99B}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
      "{196B9CB5-4C83-46F7-9B06-9672ECD9D99B}"=-


      %SYSTEM%\truetype.exe
      O4 - HKLM\..\Run: [truetype] %SYSTEM%\truetype.exe
      O4 - HKLM\..\RunServices: [truetype] %SYSTEM%\truetype.exe
      O4 - HKCU\..\Run: [truetype] %SYSTEM%\truetype.exe


      [-HKEY_LOCAL_MACHINE\SOFTWARE\ZEROSOFT]


      %SYSTEM%\appmagr.dll

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{64ba30a2-811a-4597-b0af-d551128be340}"=-

      [-HKEY_CLASSES_ROOT\CLSID\{64ba30a2-811a-4597-b0af-d551128be340}]

      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{64ba30a2-811a-4597-b0af-d551128be340}]



      Version 2.42 (May 10, 2006)


      %SYSTEM%\autodisc32.dll

      [-HKEY_CLASSES_ROOT\CLSID\{8e99f990-b75a-4568-b3c8-24cbc8cbbfc1}]

      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{8e99f990-b75a-4568-b3c8-24cbc8cbbfc1}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{8e99f990-b75a-4568-b3c8-24cbc8cbbfc1}"=-



      Version 2.41 (May 8, 2006)


      %SYSTEM%\regperf.exe


      %ALLUSERPROFILE%\Start Menu\Programs\Startup\.protected
      %USERPROFILE%\Start Menu\Programs\Startup\.protected
      %WINDOWS%\.protected
      %SYSTEM%\drivers\etc\.protected


      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
      "NoActiveDesktopChanges"=-
      "NoActiveDesktop"=-



      Version 2.40 (May 5, 2006)


      %SYSTEM%\a.exe
      %SYSTEM%\alxres.dll
      %SYSTEM%\bridge.dll
      %SYSTEM%\CWS_iestart.exe
      %SYSTEM%\dailytoolbar.dll
      %SYSTEM%\exuc32.tmp
      %SYSTEM%\jao.dll
      %SYSTEM%\mirarsearch_toolbar.exe
      %SYSTEM%\questmod.dll
      %SYSTEM%\reger.exe
      %SYSTEM%\repigsp.exe
      %SYSTEM%\shellgui32.dll
      %SYSTEM%\susp.exe
      %SYSTEM%\udpmod.dll
      %SYSTEM%\winbl32.dll
      %SYSTEM%\winsrv32.exe
      %WINDOWS%\alexaie.dll
      %WINDOWS%\alxie328.dll
      %WINDOWS%\alxtb1.dll
      %WINDOWS%\BTGrab.dll
      %WINDOWS%\dlmax.dll
      %WINDOWS%\Pynix.dll
      %WINDOWS%\susp.exe
      %WINDOWS%\ZServ.dll
      %WINDOWS%\adware-sheriff-box.gif
      %WINDOWS%\adware-sheriff-header.gif
      %WINDOWS%\antispylab-logo.gif
      %WINDOWS%\blue-bg.gif
      %WINDOWS%\buy-now-btn.gif
      %WINDOWS%\close-bar.gif
      %WINDOWS%\corner-left.gif
      %WINDOWS%\corner-right.gif
      %WINDOWS%\facts.gif
      %WINDOWS%\footer.gif
      %WINDOWS%\free-scan-btn.gif
      %WINDOWS%\h-line-gradient.gif
      %WINDOWS%\header-bg.gif
      %WINDOWS%\infected.gif
      %WINDOWS%\info.gif
      %WINDOWS%\no-icon.gif
      %WINDOWS%\reg-freeze-box.gif
      %WINDOWS%\reg-freeze-header.gif
      %WINDOWS%\remove-spyware-btn.gif
      %WINDOWS%\spyware-sheriff-header.gif
      %WINDOWS%\spyware-sheriff-box.gif
      %WINDOWS%\star.gif
      %WINDOWS%\star-grey.gif
      %WINDOWS%\true-stories.gif
      %WINDOWS%\warning-bar-ico.gif
      %WINDOWS%\win-sec-center-logo.gif
      %WINDOWS%\windows-compatible.gif
      %WINDOWS%\yes-icon.gif

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{951B3138-AE8E-4676-A05A-250A5F111631}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\DailyToolbar.DLL]
      [-HKEY_LOCAL_MACHINE\Software\Classes\AppID\WStart.DLL]

      [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{58F9B276-E1CC-458e-8159-21CBC021874B}]
      [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{60e2e76b-60e2e76b-60e2e76b-60e2e76b-60e2e76b}]
      [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{80bb7465-a638-43b5-9827-8e8fe38dfcc1}]
      [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8333C319-0669-4893-A418-F56D9249FCA6}]
      [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E52DEDBB-D168-4BDB-B229-C48160800E81}]
      [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F1FABE79-25FC-46de-8C5A-2C6DB9D64333}]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0BBB0424-E98E-4405-9A94-481854765C80}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0F3332B5-BC98-48AF-9FAC-05FEC94EBE73}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{10195311-E434-47A9-ADBA-48839E3F7E4E}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E60160F-0ED6-4DCC-B6B6-850CDE4FD217}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4FDBDBAD-FEFE-4C4C-9CC1-1181052AFB12}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A69107CC-BEC8-4A34-B474-211B0F46A764}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A6A68CBD-6673-41B1-B997-3F83A25B45B0}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{ABAFA0B4-F78D-42E5-8C31-1A441D01C1DF}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B71C7D9A-DA43-4E8B-BB98-1684AC2AF324}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B7B84995-8B92-46BF-94AA-FA2F3DD23B84}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FA77AD79-09CF-41FB-B171-CC856F9E737F}]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{547AB549-4DD8-4ea0-B070-F6EA062148FF}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{c094876d-1b0e-46fa-b6a6-7ffc0f970c27}]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AlxTB.BHO]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Bridge.brdg]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DailyToolbar.IEBand]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DailyToolbar.SysMgr]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEToolbar.AffiliateCtl]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jao.jao]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PopMenu.Menu]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Popup.HTMLEvent.]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Popup.PopupKiller]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\url_relpacer.URLResolver]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Alexa Internet]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Alexa Toolbar]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\DailyToolbar]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\NIX Solutions]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\RespondMiter]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Software\TPS108]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Transponder]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00000000-59D4-4008-9058-080011001200}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00000000-C1EC-0345-6EC2-4D0300000000}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00000000-F09C-02B4-6EC2-AD0300000000}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3ceff6cd-6f08-4e4d-bccd-ff7415288c3b}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7b55bb05-0b4d-44fd-81a6-b136188f5deb}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8333c319-0669-4893-a418-f56d9249fca6}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9c691a33-7dda-4c2f-be4c-c176083f35cf}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e52dedbb-d168-4bdb-b229-c48160800e81}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ffd2825e-0785-40c5-9a41-518f53a8261f}]

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
      "Transponder"=-
      "Adware.Srv32"=-

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
      "Srv32 spool service"=-

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
      "Srv32 spool service"=-

      [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\IPCheck]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Alexa Toolbar]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\bridge]

      (%SYSTEM%\winapi32.dll)
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winapi32.MyBHO]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{62E2E094-F989-48C6-B947-6E79DA2294F9}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{31F9B5A7-5B94-445D-922C-E97BF52F5FD7}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{74AC67A5-CDB1-4FD2-A30B-47BD59FF28A9}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{62E2E094-F989-48C6-B947-6E79DA2294F9}]


      %SYSTEM%\reglogs.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{35a88e51-b53d-43e9-b8a7-75d4c31b4676}"=-

      [-HKEY_CLASSES_ROOT\CLSID\{35a88e51-b53d-43e9-b8a7-75d4c31b4676}]

      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{35a88e51-b53d-43e9-b8a7-75d4c31b4676}]



      Version 2.39 (May 3, 2006)


      %userprofile%\Local Settings\Application Data\SpywareSheriff\*.*
      %ProgramFiles%\SpywareSheriff\*.*
      %Desktop%\SpywareSheriff.lnk
      %AllUsersProfile%\StartMenu\Programs\SpywareSheriff\*.*
      %userprofile%\StartMenu\Programs\Démarrage\spysheriff.lnk
      %userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\SpywareSheriff.lnk

      [-HKEY_CURRENT_USER\Software\ADV]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareSheriff_is1]



      %SYSTEM%\dvdcap.dll

      [-HKEY_CLASSES_ROOT\CLSID\{1C3B31AE-FD16-D2CE-43FF-DC4CD5C1BC5E}]

      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{1C3B31AE-FD16-D2CE-43FF-DC4CD5C1BC5E}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      {1C3B31AE-FD16-D2CE-43FF-DC4CD5C1BC5E}=-



      Version 2.38 (May 3, 2006)


      Fraud Notice added


      Corrections made for Japanese OS - Thanks Gunjyou !


      Corrections on Win2K message: "cannot import cleanup.reg: Error accessing the registry":

      [HKEY_CURRENT_USER\]
      "ColorTable19"=-
      "ColorTable20"=-


      C:\Documents and Settings\user\Menu Démarrer\Programmes\PestTrap\*.*
      C:\Documents and Settings\user\Bureau\PestTrap.lnk
      C:\Program Files\PestTrap\*.*

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.key]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PestTrap]
      [-HKEY_CURRENT_USER\Software\PestTrap]
      [-HKEY_CURRENT_USER\Software\SNO2]
      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      "PestTrap"=-


      %WINDIR%\pop06ap2.exe
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "pop06ap"=-



      Version 2.37 (April 28, 2006)


      %SYSTEM%\atmclk.exe



      %DESKTOP%\MalwareWipe.lnk
      %STARTMENU%\MalwareWipe 4.1.lnk
      %STARTMENU%\Programs\MalwareWipe\*.*
      C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\MalwareWipe 4.1.lnk
      %PROGRAMFILES%\MalwareWipe\*.*

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\MalwareWipe.EXE]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A5C70510-5A01-B2A5-CF84-D6DC13859967}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0B595E3D-27BE-4DA1-A278-CA4D904B5823}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1D1E9B3D-5A4C-4C70-A9B4-5A19E0C625DC}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2A34546C-C437-460A-88AF-D4703A548EA9}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D9FD47C-E0B5-4005-9ADE-552980D3761F}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3E5B0894-FE91-4063-BB41-D885C7691581}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{479B1AEA-4414-4E43-8CBF-94BFC7C69B56}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4A2ECC12-46BA-4C52-9749-C0FAF38D507B}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4D6079CB-FD9E-46AF-A896-6E8582E52827}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{511A9BB1-917A-414A-88FD-3128E37032A1}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8CBED98F-8DDD-4AF0-A9EA-C75E10C937BC}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A44CAB15-6B7E-406B-9D9B-B1C1C6BA8CDB}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A99AC77F-4DE5-4AA2-810A-35FAB5FC114B}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B74B2B6C-9B8D-47D9-872F-E83D475AAF34}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CE5ECF63-6065-4B92-8B7E-72B5042C2F25}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D4BFBB89-4BC5-4D13-8D3A-75EDCC0CF50C}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E86D0281-FA5A-4E36-B993-84FD87DA9DF1}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{177E74D6-E1D1-4D15-9D36-85399BA00729}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MalwareWipe.exe]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MalwareWipe]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\MalwareWipe]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MalwareWipe"=-



      Version 2.36 (April 27, 2006)

      Search SharedTaskScheduler v1.1.0.2
      - IE7 SharedTaskScheduler White Listed


      %SYSTEM%\dcomcfg.exe
      %SYSTEM%\simpole.tlb
      %SYSTEM%\stdole3.tlb

      O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp****.tmp

      [-HKEY_CLASSES_ROOT\CLSID\{b0398eca-0bcd-4645-8261-5e9dc70248d0}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B0398ECA-0BCD-4645-8261-5E9DC70248D0}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{b0398eca-0bcd-4645-8261-5e9dc70248d0}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b0398eca-0bcd-4645-8261-5e9dc70248d0}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
      "dcomcfg.exe"=-



      Version 2.35 (April 26, 2006)

      Search SharedTaskScheduler v1.1 (White List Trigger added)


      %SYSTEM%\dlh9jkdq?.exe



      %SYSTEM%\netfilt4.exe
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "netfilt4"=-

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      "netfilt4"=-



      %system%\twain32.dll

      [-HKEY_CLASSES_ROOT\CLSID\{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}]
      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}"=-



      O2 - BHO: Nothing - {edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e} - C:\WINDOWS\system32\hp????.tmp
      [-HKEY_CLASSES_ROOT\CLSID\{edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e}]



      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{008E3200-28EB-463b-9B58-75C23D80911A}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0CBD1CBA-E034-4287-9B49-5F2912E1D33B}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{18575620-E41D-4204-BF6F-964069D80F45}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4B860BE9-5B96-4443-9714-6ACD89989D1E}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5796859D-53C4-46C1-AD6F-2A3C4D4306EB}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{597892CA-A878-4A04-978F-DBA8DC2BB2FB}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{673A88D4-C0E0-40D2-9B93-AE39D9A1675F}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7CC220DA-D962-4935-AD3A-21F7CA4962E3}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9DD57F95-DA3A-4EDA-9475-27CCF366A4FD}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B4D9C59B-A091-4D79-90CC-DD92F3BACF63}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B8F90F00-CF78-4431-A13F-58B979F7EE20}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CDEB1FD8-0917-40A2-B915-8FB9D7FDD75C}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF277F5A-347E-40C2-BAF0-4F09D0607041}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D5DE421A-4AA5-4FE3-AA43-7D2A87D6267F}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DD2D402A-DE41-47A6-AAC9-0D756776203E}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E2F430FD-3062-4808-B23F-4B322BFED93F}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E9B91E0C-305A-4DD2-9987-B3B0C254C6DE}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EFD28371-A165-4873-A158-421D208FFE5A}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B4E17829-DACB-4320-9ABF-DCB382221FC2}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyFalcon.PopupBlockerConnector]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyFalcon.PopupBlockerConnector.1]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\SpyFalcon]



      Version 2.34 (April 23, 2006)



      %system%\sivudro.dll

      [-HKEY_CLASSES_ROOT\CLSID\{EA26CE12-DE64-A1C5-9A4F-FC1A64E6AC2E}]
      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{EA26CE12-DE64-A1C5-9A4F-FC1A64E6AC2E}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{EA26CE12-DE64-A1C5-9A4F-FC1A64E6AC2E}"=-



      %userprofile%\Desktop\Spyware Soft Stop.lnk
      %alluserprofile%\Start Menu\Programs\Spyware Soft Stop\
      %userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Spyware Soft Stop.lnk
      %Program Files%\Spyware Soft Stop\

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Soft Stop_is1]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Software Soft Stop"=-



      %WINDIR%\xpupdate.exe

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      "Windows update loader"=-



      %userprofile%\Desktop\BraveSentry.lnk
      %userprofile%\Start Menu\Programs\BraveSentry\
      %Program Files%\BraveSentry\

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.key]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BraveSentry]
      [-HKEY_CURRENT_USER\Software\BraveSentry]

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "BraveSentry"=-



      Version 2.33 (April 19, 2006)

      Short paths (8.3) for desktop, start menu, favorites are retrieved from registry keys.



      Version 2.32 (April 18, 2006)


      %system%\xenadot.dll

      [-HKEY_CLASSES_ROOT\CLSID\{CD5E2AC9-25CE-A1C5-D1E2-DC6B28A6ED5A}]
      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{CD5E2AC9-25CE-A1C5-D1E2-DC6B28A6ED5A}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{CD5E2AC9-25CE-A1C5-D1E2-DC6B28A6ED5A}"=-



      Version 2.31 (April 15, 2006)


      %system%\suprox.dll

      [-HKEY_CLASSES_ROOT\CLSID\{AC1B4DA2-12FA-31F2-1A7D-CD2B14E6AD4E}]
      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{AC1B4DA2-12FA-31F2-1A7D-CD2B14E6AD4E}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{AC1B4DA2-12FA-31F2-1A7D-CD2B14E6AD4E}"=-


      %userprofile%\Bureau\SpywareQuake.com.lnk
      %userprofile%\Menu Démarrer\SpywareQuake.com 2.1.lnk
      %userprofile%\Menu Démarrer\Programmes\SpywareQuake.com\
      %userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\SpywareQuake.com 2.1.lnk
      %Program Files%\SpywareQuake.com\

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareQuake.com]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\SpywareQuake.com]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      SpywareQuake.com=-



      Version 2.30 (April 15, 2006)

      Correction has been made on these 2 legit files:
      %SYSTEM%\amcompat.tlb
      %SYSTEM%\interf.tlb



      O2 - BHO: Nothing - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - C:\WINDOWS\system32\hp????.tmp
      [-HKEY_CLASSES_ROOT\CLSID\{8d83b16e-0de1-452b-ac52-96ec0b34aa4b}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8d83b16e-0de1-452b-ac52-96ec0b34aa4b}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{8d83b16e-0de1-452b-ac52-96ec0b34aa4b}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8d83b16e-0de1-452b-ac52-96ec0b34aa4b}]



      [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22}]
      [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}]




      %SYSTEM%\lich.exe
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      lich=-



      %userprofile%\Start Menu\Programmes\SpyGuard
      %userprofile%\desktop\SpyGuard.lnk
      %ProgramFiles%\SpyGuard

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.key]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\The Spy Guard]

      [-HKEY_CURRENT_USER\Software\TheSpyGuard]

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      "The Spy Guard"=-

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      "The Spy Guard Monitor"=-



      Version 2.29 (April 9, 2006)

      %SYSTEM%\amcompat.tlb
      %SYSTEM%\interf.tlb
      %SYSTEM%\nscompat.tlb
      %SYSTEM%\__delete_on_reboot__stickrep.dll



      O2 - BHO: Nothing - {7a932ed2-1737-4ab8-b84d-c71779958551} - C:\WINDOWS\system32\hp????.tmp
      HKEY_CLASSES_ROOT\CLSID\{7A932ED2-1737-4AB8-B84D-C71779958551}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7A932ED2-1737-4AB8-B84D-C71779958551}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{7A932ED2-1737-4AB8-B84D-C71779958551}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7A932ED2-1737-4AB8-B84D-C71779958551}



      %SYSTEM%\taskdir.dll
      %SYSTEM%\taskdir.exe
      %SYSTEM%\taskdir~.exe

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      "taskdir"=-

      [HKEY_CURRENT_USER]
      ColorTable20=-
      ColorTable19=-


      Version 2.28 (April 4, 2006)

      Restore Enhanced Security Configuration Zone map:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains


      %HOMEDRIVE%\country.exe
      %HOMEDRIVE%\exit
      %HOMEDRIVE%\kl1.exe
      %HOMEDRIVE%\ms1.exe
      %HOMEDRIVE%\tool1.exe
      %HOMEDRIVE%\tool2.exe
      %HOMEDRIVE%\tool3.exe
      %HOMEDRIVE%\tool4.exe
      %HOMEDRIVE%\tool5.exe
      %HOMEDRIVE%\toolbar.exe
      %HOMEDRIVE%\uniq
      %SYSTEM%\parad.raw.exe
      %PROGRAMFILES%\secure32.html


      %PROGRAMFILES%\paytime.exe
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      SysTray=-


      %system32%\dcom_14.dll
      %system32%\dcom_15.dll

      [-HKEY_CLASSES_ROOT\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      {2C1CD3D7-86AC-4068-93BC-A02304BB8C34}=-

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      DCOM Server=-


      %SYSTEM%\tetriz3.exe
      %SYSTEM%\bin29a.log

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft]
      ATI_VER=-

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      tetriz3=-

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
      tetriz3=-

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      tetriz3=-


      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      nvchost=-

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      Key=-


      Version 2.27 (April 1, 2006)

      Francais/English Version

      %WINDIR%\keyboard.exe
      %WINDIR%\keyboard?.exe
      %WINDIR%\mousepad.exe
      %WINDIR%\mousepad?.exe
      %WINDIR%\newname.exe
      %WINDIR%\newname?.exe


      Version 2.26 (March 26, 2006)

      %HOMEDRIVE%\newname?.exe

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "newname"=-


      %userprofile%\Startmenü\Programme\Autostart

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}]


      %system%\stickrep.dll

      [-HKEY_CLASSES_ROOT\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}]
      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"=-


      %userprofile%\Bureau\SpywareQuake.lnk
      %userprofile%\Menu Démarrer\SpywareQuake 2.0.lnk
      %userprofile%\Menu Démarrer\Programmes\SpywareQuake\*.*
      %userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\SpywareQuake 2.0.lnk
      %Program Files%\SpywareQuake\*.*

      [-HKEY_CLASSES_ROOT\CLSID\{5B55C4E3-C179-BA0B-B4FD-F2DB862D6202}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5B55C4E3-C179-BA0B-B4FD-F2DB862D6202}]
      [-HKEY_CLASSES_ROOT\Interface\{189518DF-7EBA-4D31-A7E1-73B5BB60E8D5}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{189518DF-7EBA-4D31-A7E1-73B5BB60E8D5}]
      [-HKEY_CLASSES_ROOT\Interface\{23D627FE-3F02-44CF-9EE1-7B9E44BD9E13}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{23D627FE-3F02-44CF-9EE1-7B9E44BD9E13}]
      [-HKEY_CLASSES_ROOT\Interface\{43CFEFBE-8AE4-400E-BBE4-A2B61BB140FB}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{43CFEFBE-8AE4-400E-BBE4-A2B61BB140FB}]
      [-HKEY_CLASSES_ROOT\Interface\{5790B963-23C5-43C1-BCF5-01C9B5A3E44E}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5790B963-23C5-43C1-BCF5-01C9B5A3E44E}]
      [-HKEY_CLASSES_ROOT\Interface\{5D42DDF4-81EB-4668-9951-819A1D5BEFC8}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5D42DDF4-81EB-4668-9951-819A1D5BEFC8}]
      [-HKEY_CLASSES_ROOT\Interface\{76D06077-D5D3-40CA-B32D-6A67A7FF3F06}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{76D06077-D5D3-40CA-B32D-6A67A7FF3F06}]
      [-HKEY_CLASSES_ROOT\Interface\{86C7E6C3-EC47-44E5-AA08-EE0D0A25895F}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{86C7E6C3-EC47-44E5-AA08-EE0D0A25895F}]
      [-HKEY_CLASSES_ROOT\Interface\{9283DAC1-43F5-4580-BF86-841F22AF2335}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9283DAC1-43F5-4580-BF86-841F22AF2335}]
      [-HKEY_CLASSES_ROOT\Interface\{AE90CAFC-09D4-47F0-9E11-CE621C424F08}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AE90CAFC-09D4-47F0-9E11-CE621C424F08}]
      [-HKEY_CLASSES_ROOT\Interface\{BA397E39-F67F-423F-BC6E-65939450093A}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BA397E39-F67F-423F-BC6E-65939450093A}]
      [-HKEY_CLASSES_ROOT\Interface\{BEC8A83D-01D4-4F15-B8A9-4B4AB24253A7}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BEC8A83D-01D4-4F15-B8A9-4B4AB24253A7}]
      [-HKEY_CLASSES_ROOT\Interface\{C4EEDC19-992D-409A-B323-ED57D511AFA5}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C4EEDC19-992D-409A-B323-ED57D511AFA5}]
      [-HKEY_CLASSES_ROOT\Interface\{DD90F677-D205-4F70-9014-659614AABCB2}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DD90F677-D205-4F70-9014-659614AABCB2}]
      [-HKEY_CLASSES_ROOT\Interface\{E3DF91F3-F24F-441E-9001-D61F36024322}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3DF91F3-F24F-441E-9001-D61F36024322}]
      [-HKEY_CLASSES_ROOT\Interface\{F459EADB-5903-48D5-864C-2B7B46AB1424}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F459EADB-5903-48D5-864C-2B7B46AB1424}]
      [-HKEY_CLASSES_ROOT\Interface\{FC4EDF66-0547-4F1A-AE96-7CFCAD711C90}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FC4EDF66-0547-4F1A-AE96-7CFCAD711C90}]
      [-HKEY_CLASSES_ROOT\TypeLib\{661173EE-FA31-4769-97D4-B556B5D09BDA}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{661173EE-FA31-4769-97D4-B556B5D09BDA}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareQuake.exe]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareQuake]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\SpywareQuake]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SpywareQuake"=-


      Version 2.25

      C:\Documents and Settings\user\Bureau\AdwareSheriff.lnk
      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\AdwareSheriff\*.*
      C:\Documents and Settings\user\Local Settings\Application Data\AdwareSheriff\*.*
      C:\Documents and Settings\user\Menu Démarrer\Programmes\Démarrage\asheriff.lnk
      C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\AdwareSheriff.lnk
      C:\Program Files\AdwareSheriff\*.*

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AdwareSheriff_is1
      HKEY_CURRENT_USER\Software\ADV

      HKEY_CURRENT_USER\Software\SNO2


      Version 2.24

      Ajout de restart.exe=SuperFast Shutdown (http://www.xp-smoker.com/freeware.html) pour forcer un redemarrage rapide.

      %WINDOWS%\adsldpbj.dll
      %WINDOWS%\gimmygames.dat
      %WINDOWS%\muwq\*.*
      %WINDOWS%\teller2.chk
      %WINDOWS%\winsysban8.exe
      %HOMEDRIVE%\mousepad1.exe
      %HOMEDRIVE%\mousepad.exe
      %HOMEDRIVE%\gimmysmileys1.exe
      %HOMEDRIVE%\keyboard.exe
      %HOMEDRIVE%\keyboard1.exe
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "keyboard"=-
      "mousepad"=-

      O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Program Files\Security Toolbar\Security Toolbar.dll

      %Program Files%\Security Toolbar\Security Toolbar.dll
      %SYSTEM%\Security Toolbar.dll

      [-HKEY_CLASSES_ROOT\CLSID\{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}]

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
      {736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}=-

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      {736B5468-BDAD-41BE-92D0-22AE2DDF7BCB}=-

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Security Toolbar]

      %WINDOWS%\sysvx_.exe
      %SYSTEM%\comdlg64.dll
      %SYSTEM%\sysvx.exe
      %SYSTEM%\whitevx.lst
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "sysvx"=-


      Version 2.23

      %WINDOWS%\azesearch.bmp
      %WINDOWS%\drsmartload95a.exe
      %WINDOWS%\kl1.exe
      %WINDOWS%\loadadv728.exe
      %SYSTEM%\dfrgsrv.exe
      %SYSTEM%\dxole32.exe
      %userprofile%\Favorites\Antivirus Test Online.url

      %WINDOWS%\osaupd.exe
      %WINDOWS%\wupdmgr.exe
      [-HKEY_CLASSES_ROOT\Balloon.Application]
      [-HKEY_CLASSES_ROOT\CLSID\{1CA7DBAF-B066-4554-977E-5CEBB7FA59C8}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Balloon.Application]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1CA7DBAF-B066-4554-977E-5CEBB7FA59C8}]

      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      "mquu"=-
      "qofk"=-

      %HOMEDRIVE%\gimmysmileys.exe
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "gimmysmileys"=-


      Version 2.22

      %system%\ginuerep.dll
      [-HKEY_CLASSES_ROOT\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}]
      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}"=-


      Version 2.21

      %WINDOWS%\adw.htm
      %WINDOWS%\back.gif
      %WINDOWS%\bg.gif
      %WINDOWS%\buy-btn.gif
      %WINDOWS%\download-btn.gif
      %WINDOWS%\temp.000.exe
      %SYSTEM%\bu.exe
      %SYSTEM%\intxt.exe
      %SYSTEM%\mswinb32.dll
      %SYSTEM%\mswinb32.exe
      %SYSTEM%\mswinf32.exe
      %SYSTEM%\mswinf32.dll
      %SYSTEM%\mswinup32.dll
      %SYSTEM%\mswinxml.dll
      %SYSTEM%\shell386.exe
      %SYSTEM%\winapi32.dll
      %SYSTEM%\winlfl32.dll

      %SYSTEM%\adsmart.exe
      O4 - HKLM\..\Run: [Win32.Virus.Smart32]

      %SYSTEM%\exa32.exe
      O4 - HKLM\..\Run: [Win32.Exploit.A]

      O2 - BHO: winapi32.MyBHO - {1CBC7F79-C21A-4468-8116-38E8AD875816} - C:\WINDOWS\System32\winapi32.dll
      HKEY_CLASSES_ROOT\CLSID\{1CBC7F79-C21A-4468-8116-38E8AD875816}
      HKEY_CLASSES_ROOT\Interface\{376C5E0D-E8DD-4161-B74B-37E6323E538E}
      HKEY_CLASSES_ROOT\winapi32.MyBHO
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1CBC7F79-C21A-4468-8116-38E8AD875816}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{376C5E0D-E8DD-4161-B74B-37E6323E538E}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winapi32.MyBHO
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1CBC7F79-C21A-4468-8116-38E8AD875816}

      HKEY_CLASSES_ROOT\CLSID\{9F230924-E275-4FD2-BC99-5C30362332E3}
      HKEY_CLASSES_ROOT\Interface\{D4D2958F-EDBE-430B-AB15-793E921C3A09}
      HKEY_CLASSES_ROOT\winapi32.Intelinks
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F230924-E275-4FD2-BC99-5C30362332E3}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D4D2958F-EDBE-430B-AB15-793E921C3A09}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winapi32.Intelinks

      HKEY_CLASSES_ROOT\CLSID\{4823B0A6-EAB4-4577-9792-C59231379CEA}
      HKEY_CLASSES_ROOT\Interface\{50F91B80-0270-46CE-86B1-4C508F5CB280}
      HKEY_CLASSES_ROOT\winapi32.MyBaner
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4823B0A6-EAB4-4577-9792-C59231379CEA}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{50F91B80-0270-46CE-86B1-4C508F5CB280}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winapi32.MyBaner

      HKEY_CLASSES_ROOT\TypeLib\{7885264B-8B30-46EB-8361-ECA766800258}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7885264B-8B30-46EB-8361-ECA766800258}


      Version 2.20

      C:\Documents and Settings\user\Bureau\SpyFalcon.lnk
      C:\Documents and Settings\user\Menu Démarrer\SpyFalcon 2.0.lnk
      C:\Documents and Settings\user\Menu Démarrer\Programmes\SpyFalcon\
      C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\SpyFalcon 2.0.lnk
      C:\Program Files\SpyFalcon\

      O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h

      HKEY_CLASSES_ROOT\CLSID\{330A77C2-C15A-43B5-055C-B4E35EAED279}
      HKEY_CLASSES_ROOT\Interface\{001501E7-C970-4CB1-9740-E055BF3DDFD6}
      HKEY_CLASSES_ROOT\Interface\{0FBBBC44-296D-4A2F-AF45-BE1EE387F569}
      HKEY_CLASSES_ROOT\Interface\{163469FD-6009-48E2-AD8C-47BB2E0D88BE}
      HKEY_CLASSES_ROOT\Interface\{1694E5C6-9E1F-4C3B-B79A-828C2FC40003}
      HKEY_CLASSES_ROOT\Interface\{200BD3A6-A02B-4BAC-A364-A9D8017E3C4E}
      HKEY_CLASSES_ROOT\Interface\{20C59F9F-33CB-4B1B-AFB6-B710DB845709}
      HKEY_CLASSES_ROOT\Interface\{23D80835-4A3A-4572-9F5F-3F24A7A28AE5}
      HKEY_CLASSES_ROOT\Interface\{255CDDA3-576B-44C9-B944-46EAC18D5D6F}
      HKEY_CLASSES_ROOT\Interface\{3261F690-1CA4-4839-928B-F4F898B74EB7}
      HKEY_CLASSES_ROOT\Interface\{37B9988B-1997-41F4-A832-DAE42CC3F7C2}
      HKEY_CLASSES_ROOT\Interface\{5B861FB8-903C-4996-B1D3-E9A86ED4BBCF}
      HKEY_CLASSES_ROOT\Interface\{6876543E-DA55-4F90-9CD2-5ED380D9516C}
      HKEY_CLASSES_ROOT\Interface\{701E8C3A-7910-4CCD-A9F8-7B9A5F5B3947}
      HKEY_CLASSES_ROOT\Interface\{850300D6-D53B-4720-9372-6D31B85537E1}
      HKEY_CLASSES_ROOT\Interface\{8C803228-BD61-4744-8B79-949E3F512DDC}
      HKEY_CLASSES_ROOT\Interface\{B7C685F0-1804-4382-A8EF-17D33DF97069}
      HKEY_CLASSES_ROOT\TypeLib\{244B730E-D899-4E38-9428-03D1143242E0}

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{330A77C2-C15A-43B5-055C-B4E35EAED279}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{001501E7-C970-4CB1-9740-E055BF3DDFD6}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0FBBBC44-296D-4A2F-AF45-BE1EE387F569}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{163469FD-6009-48E2-AD8C-47BB2E0D88BE}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1694E5C6-9E1F-4C3B-B79A-828C2FC40003}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{200BD3A6-A02B-4BAC-A364-A9D8017E3C4E}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{20C59F9F-33CB-4B1B-AFB6-B710DB845709}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{23D80835-4A3A-4572-9F5F-3F24A7A28AE5}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{255CDDA3-576B-44C9-B944-46EAC18D5D6F}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3261F690-1CA4-4839-928B-F4F898B74EB7}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{37B9988B-1997-41F4-A832-DAE42CC3F7C2}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5B861FB8-903C-4996-B1D3-E9A86ED4BBCF}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6876543E-DA55-4F90-9CD2-5ED380D9516C}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{701E8C3A-7910-4CCD-A9F8-7B9A5F5B3947}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{850300D6-D53B-4720-9372-6D31B85537E1}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8C803228-BD61-4744-8B79-949E3F512DDC}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B7C685F0-1804-4382-A8EF-17D33DF97069}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{244B730E-D899-4E38-9428-03D1143242E0}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpyFalcon.exe
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyFalcon
      HKEY_LOCAL_MACHINE\SOFTWARE\Licenses
      HKEY_LOCAL_MACHINE\SOFTWARE\SpyFalcon


      Version 2.19

      Ajout de l'utilitaire swsc.exe (SteelWerx) pour supprimer des services.

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Desktop Uninstall]

      %SYSTEM%\msnscps.dll
      [-HKEY_CLASSES_ROOT\AppID\{78364D99-A640-4ddf-B91A-67EFF8373045}]
      [-HKEY_CLASSES_ROOT\CLSID\{78364D99-A640-4ddf-B91A-67EFF8373045}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{78364D99-A640-4ddf-B91A-67EFF8373045}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{78364D99-A640-4ddf-B91A-67EFF8373045}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78364D99-A640-4ddf-B91A-67EFF8373045}]
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
      "C:\Program Files\Internet Explorer\IEXPLORE.EXE"=-
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
      "C:\Program Files\Internet Explorer\IEXPLORE.EXE"=-

      O4 - HKLM\..\Run: [AlfaCleaner]
      %DESKTOP%\AlfaCleaner.lnk
      C:\Documents and Settings\LocalService\Application Data\AlfaCleaner\
      C:\Documents and Settings\user\Application Data\AlfaCleaner\
      C:\Documents and Settings\user\Application Data\Skinux\
      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\AlfaCleaner\
      C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\AlfaCleaner.lnk
      C:\Program Files\AlfaCleaner\
      %SYSTEM%\drivers\hesvc.sys

      O23 - Service: AlfaCleanerService - AlfaCleaner.com - C:\Program Files\AlfaCleaner\ACServer.exe
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AlfaCleaner.com_is1]
      [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ALFACLEANER]
      [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ALFACLEANERSERVICE]
      [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\AlfaCleanerService]
      [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\alfacleaner]
      [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AlfaCleanerService]
      [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ALFACLEANERSERVICE]
      [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\alfacleaner]
      [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AlfaCleanerService]
      [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\System\AlfaCleanerService]
      [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALFACLEANER]
      [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALFACLEANERSERVICE]
      [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\alfacleaner]
      [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AlfaCleanerService]
      [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System\AlfaCleanerService]


      Version 2.18

      Utilisation de SrchSTS.exe pour la recherche des dll SharedTaskScheduler

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff

      %SYSTEM%\intell321.exe
      O4 - HKLM\..\Run: [intell321.exe]

      %WINDOWS%\sachostx.exe
      O4 - HKLM\..\Run: [HostSrv]

      %SYSTEM%\sachostc.exe
      %SYSTEM%\sachostp.exe
      %SYSTEM%\sachosts.exe
      %SYSTEM%\maxd64.exe
      %SYSTEM%\paradise.raw.exe
      %SYSTEM%\vxgame?.exe????.exe.bak
      %SYSTEM%\vxgamet?.exe?????.exe

      %WINDOWS%\uninstDsk.exe

      %SYSTEM%\vxgame2.exe3584.exe
      O4 - HKCU\..\Run: [WinMedia]

      %WINDOWS%\inet20001\

      %SYSTEM%\IeHelperEx.dll
      HKEY_CLASSES_ROOT\CLSID\{673BA504-3DDA-4851-8B3C-37AE54E2D688}
      HKEY_CLASSES_ROOT\CLSID\{BA12780E-B91E-41A7-A51A-528CBD64284E}
      HKEY_CLASSES_ROOT\Interface\{57F88FBD-FFD2-4AF2-B138-CD644A8E62B5}
      HKEY_CLASSES_ROOT\Interface\{9EF3F6BA-1BF9-4B4E-9475-437A02DBFA8B}
      HKEY_CLASSES_ROOT\SpecSoft2.BrowserHook
      HKEY_CLASSES_ROOT\SpecSoft2.BrowserHook.1
      HKEY_CLASSES_ROOT\SpecSoft2.IExplorerHelper
      HKEY_CLASSES_ROOT\SpecSoft2.IExplorerHelper.1
      HKEY_CLASSES_ROOT\TypeLib\{B82C3D8C-F764-4B4E-8272-DC1185CE12FC}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{673BA504-3DDA-4851-8B3C-37AE54E2D688}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BA12780E-B91E-41A7-A51A-528CBD64284E}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{57F88FBD-FFD2-4AF2-B138-CD644A8E62B5}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9EF3F6BA-1BF9-4B4E-9475-437A02DBFA8B}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpecSoft2.BrowserHook
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpecSoft2.BrowserHook.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpecSoft2.IExplorerHelper
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpecSoft2.IExplorerHelper.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B82C3D8C-F764-4B4E-8272-DC1185CE12FC}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA12780E-B91E-41A7-A51A-528CBD64284E}


      Version 2.17

      %system%\dxmpp.dll
      [-HKEY_CLASSES_ROOT\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}]
      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"=-


      Version 2.16

      %WINDOWS%\inet20010\

      %WINDOWS%\winsysupd.exe
      O4 - HKLM\..\Run: [winsysupd]

      %WINDOWS%\winsysban.exe
      O4 - HKLM\..\Run: [winsysban]

      %SYSTEM%\symsvcsa.exe

      %system%\replmap.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{D81E2FC4-B0A2-11D3-21AC-07C04C21A18A}"="Replay for WindowsXP"
      [-HKEY_CLASSES_ROOT\CLSID\{D81E2FC4-B0A2-11D3-21AC-07C04C21A18A}]
      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{D81E2FC4-B0A2-11D3-21AC-07C04C21A18A}]

      O4 - HKLM\..\Run: [A.tmp] %TEMP%\A.tmp.exe
      O4 - HKLM\..\Run: [B.tmp] %TEMP%\B.tmp.exe
      O4 - HKLM\..\Run: [A.tmp.exe] %TEMP%\A.tmp.exe
      O4 - HKLM\..\Run: [B.tmp.exe] %TEMP%\B.tmp.exe

      O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp????.tmp
      [-HKEY_CLASSES_ROOT\CLSID\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}]
      [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22}]


      Version 2.15

      %HOMEDRIVE%\ntnc.exe

      O4 - HKLM\..\Run: [C.tmp] %TEMP%\C.tmp.exe
      O4 - HKLM\..\Run: [D.tmp] %TEMP%\D.tmp.exe
      O4 - HKLM\..\Run: [C.tmp.exe] %TEMP%\C.tmp.exe
      O4 - HKLM\..\Run: [D.tmp.exe] %TEMP%\D.tmp.exe

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{31EE3286-D785-4E3F-95FC-51D00FDABC01}"="Master Browseui"
      [HKEY_CLASSES_ROOT\CLSID\{31EE3286-D785-4E3F-95FC-51D00FDABC01}]
      [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{31EE3286-D785-4E3F-95FC-51D00FDABC01}]


      Version 2.14

      Remplacement de l'utilitaire du registre reg.exe [Microsoft] par wsreg.exe [SteelWerx]
      Nettoyage %TEMP%

      %WINDOWS%\sdkqq.exe
      O4 - HKLM\..\Run: [sdkqq.exe]

      %WINDOWS%\d3dn32.exe
      O4 - HKLM\..\Run: [d3dn32.exe]

      %WINDOWS%\d3pb.exe
      O4 - HKLM\..\Run: [d3pb.exe]

      %SYSTEM%\sysjv32.exe
      O4 - HKLM\..\Run: [sysjv32.exe]

      O2 - BHO: Class - {FEFEC367-0557-50DA-92D8-EFF9A710070B}
      %WINDOWS%\d3??.dll
      HKEY_CLASSES_ROOT\CLSID\{FEFEC367-0557-50DA-92D8-EFF9A710070B}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FEFEC367-0557-50DA-92D8-EFF9A710070B}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
      {FEFEC367-0557-50DA-92D8-EFF9A710070B}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FEFEC367-0557-50DA-92D8-EFF9A710070B}

      %userprofile%\Menu Démarrer\Programmes\SpywareStrike\
      %userprofile%\Menu Démarrer\SpywareStrike 2.5.lnk
      %DESKTOP%\SpywareStrike.lnk
      %userprofile%\Application Data\Microsoft\Internet Explorer\Quick Launch\SpywareStrike 2.5.lnk

      %SYSTEM%\wiatwain.dll
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
      {C1A2FDA2-2A5B-2C8A-F2A2-BA2DB3A2C31C}=WaitWain for Windows
      HKEY_CLASSES_ROOT\CLSID\{C1A2FDA2-2A5B-2C8A-F2A2-BA2DB3A2C31C}
      HKEY_CURRENT_USER\Software\Classes\CLSID\{C1A2FDA2-2A5B-2C8A-F2A2-BA2DB3A2C31C}

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre

      HKEY_LOCAL_MACHINE\SOFTWARE\SpywareStrike

      HKEY_CLASSES_ROOT\AppID\SpywareStrike.EXE
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpywareStrike.EXE

      HKEY_CLASSES_ROOT\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareStrike.exe

      HKEY_CLASSES_ROOT\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32
      InprocServer32=Fs99c'tvV9[6a*%9La^qToolbox>M5KDYSUnf(HA*L[xeX)y

      HKEY_CLASSES_ROOT\CLSID\{0F25878F-F8AE-5D5D-2BB7-31B5F803290D}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0F25878F-F8AE-5D5D-2BB7-31B5F803290D}

      HKEY_CLASSES_ROOT\Interface\{2C15CDEA-3EF4-4405-90B0-19A1389B36ED}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C15CDEA-3EF4-4405-90B0-19A1389B36ED}

      HKEY_CLASSES_ROOT\Interface\{3115A433-3FA0-483B-AB01-2A61C951FE58}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3115A433-3FA0-483B-AB01-2A61C951FE58}

      HKEY_CLASSES_ROOT\Interface\{51FEFA9C-1D5A-41C4-81FE-8C0FBE9254F0}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{51FEFA9C-1D5A-41C4-81FE-8C0FBE9254F0}

      HKEY_CLASSES_ROOT\Interface\{5CCC8D01-9F75-4F07-9ACF-DEB314176C79}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5CCC8D01-9F75-4F07-9ACF-DEB314176C79}

      HKEY_CLASSES_ROOT\Interface\{5E7BF614-960B-4A1F-9236-9EC01AC4C5E2}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5E7BF614-960B-4A1F-9236-9EC01AC4C5E2}

      HKEY_CLASSES_ROOT\Interface\{66F0AC1C-DED5-4965-9E31-39788DF1B264}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{66F0AC1C-DED5-4965-9E31-39788DF1B264}

      HKEY_CLASSES_ROOT\Interface\{849E056A-D67A-431E-9370-2275F26D39B5}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{849E056A-D67A-431E-9370-2275F26D39B5}

      HKEY_CLASSES_ROOT\Interface\{8B7AFBFD-631C-45BA-9145-F059EB58DD73}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8B7AFBFD-631C-45BA-9145-F059EB58DD73}

      HKEY_CLASSES_ROOT\Interface\{AFEB8519-0B8B-4023-8C15-FFB17D5225F9}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AFEB8519-0B8B-4023-8C15-FFB17D5225F9}

      HKEY_CLASSES_ROOT\Interface\{BA9CC151-4581-438E-94AF-4C703201B7CA}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BA9CC151-4581-438E-94AF-4C703201B7CA}

      HKEY_CLASSES_ROOT\Interface\{BC74C336-FF2C-40C9-AD4E-3772C208406B}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BC74C336-FF2C-40C9-AD4E-3772C208406B}

      HKEY_CLASSES_ROOT\Interface\{BDF00F24-A571-4392-95EC-04FDFF82A82C}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BDF00F24-A571-4392-95EC-04FDFF82A82C}

      HKEY_CLASSES_ROOT\Interface\{C4E953E6-770E-4F59-A5E3-43E9F0D682E2}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C4E953E6-770E-4F59-A5E3-43E9F0D682E2}

      HKEY_CLASSES_ROOT\Interface\{E0105E7C-D0C4-4DEA-AA21-B02F2960ECAF}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E0105E7C-D0C4-4DEA-AA21-B02F2960ECAF}

      HKEY_CLASSES_ROOT\Interface\{ED39CB7C-1BF6-429B-A275-F183B4A3EFCB}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{ED39CB7C-1BF6-429B-A275-F183B4A3EFCB}

      HKEY_CLASSES_ROOT\Interface\{F23AA637-31D5-4526-B5C6-9FF89E16202C}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F23AA637-31D5-4526-B5C6-9FF89E16202C}

      HKEY_CLASSES_ROOT\TypeLib\{C1A4C0C9-DBD0-493A-93F8-0B05EDC96224}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C1A4C0C9-DBD0-493A-93F8-0B05EDC96224}


      Version 2.13

      %HOMEDRIVE%\ntps.exe

      O4 - HKLM\..\Run: [links.exe]
      %SYSTEM%\links.exe

      O4 - HKLM\..\Run: [sysen.exe]
      %WINDOWS%\sysen.exe
      HKEY_CLASSES_ROOT\CLSID\{29D3E589-2DCC-699E-1A0F-61AF30BAA3A4}
      HKLM\SOFTWARE\Classes\CLSID\{29D3E589-2DCC-699E-1A0F-61AF30BAA3A4}

      O2 - BHO: Class - {9114249C-F5E5-36A3-4480-169B869E0556}
      %WINDOWS%\sdkcb.dll
      HKEY_CLASSES_ROOT\CLSID\{9114249C-F5E5-36A3-4480-169B869E0556}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9114249C-F5E5-36A3-4480-169B869E0556}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
      {9114249C-F5E5-36A3-4480-169B869E0556}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9114249C-F5E5-36A3-4480-169B869E0556}

      O4 - HKLM\..\Run: [ieyi.exe]
      %WINDOWS%\ieyi.exe
      HKEY_CLASSES_ROOT\CLSID\{C1212066-16A4-F478-E898-BC64A80D4908}
      HKLM\SOFTWARE\Classes\CLSID\{C1212066-16A4-F478-E898-BC64A80D4908}

      O2 - BHO: Class - {66BD9D4C-FAF3-38B9-F43F-169E15DB1A3C}
      %WINDOWS%\ieyi.dll
      HKEY_CLASSES_ROOT\CLSID\{66BD9D4C-FAF3-38B9-F43F-169E15DB1A3C}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{66BD9D4C-FAF3-38B9-F43F-169E15DB1A3C}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
      {66BD9D4C-FAF3-38B9-F43F-169E15DB1A3C}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{66BD9D4C-FAF3-38B9-F43F-169E15DB1A3C}


      Version 2.12

      Clean Manager / Nettoyage de Disque

      %windows%\System\csrss.exe
      O4 - HKLM\..\Run: [CsRss] C:\WINDOWS\System\csrss.exe

      %windows%\country.exe
      %windows%\timessquare1.dat

      %windows%\drsmartload.dat
      %windows%\drsmartloadb1.dat
      %homedrive%\drsmartloadb.exe
      HKLM\SOFTWARE\Microsoft\drsmartload
      O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe

      HKEY_LOCAL_MACHINE\SOFTWARE\muwq

      %SYSTEM%\netwrap.dll
      %PROGRAMFILES\SpywareStrike\
      O4 - HKLM\..\Run: [SpywareStrike]
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
      "{C1A2FDA2-1A5B-2A8F-F3A2-B22DA1A3C41D}"="NetWrap for Windows"
      HKEY_CLASSES_ROOT\CLSID\{C1A2FDA2-1A5B-2A8F-F3A2-B22DA1A3C41D}
      HKEY_CURRENT_USER\Software\Classes\CLSID\{C1A2FDA2-1A5B-2A8F-F3A2-B22DA1A3C41D}
      O2 - BHO: HomepageBHO - {27150f81-0877-42e9-af13-55e5a3439a26} - C:\WINDOWS\system32\hp????.tmp
      HKEY_CLASSES_ROOT\CLSID\{27150f81-0877-42e9-af13-55e5a3439a26}
      HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{27150f81-0877-42e9-af13-55e5a3439a26}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{27150f81-0877-42e9-af13-55e5a3439a26}
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27150f81-0877-42e9-af13-55e5a3439a26}

      %system%\browsela.dll
      O20 - Winlogon Notify: browsela - C:\WINDOWS\system32\browsela.dll
      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\browsela


      Version 2.11

      %ProgramFiles%\Common Files\VCClient\*.*
      O4 - HKCU\..\Run: [CU2]
      O4 - HKCU\..\Run: [CU1]

      %windows%\adtech2006a.exe
      O4 - HKLM\..\Run: [adtech2006]

      %windows%\batserv2.exe
      O4 - HKLM\..\Run: [BatSrv]

      %windows%\sysldr32.exe
      O4 - HKLM\..\Run: [SystemLoader]

      %system%\msvcp.exe
      O4 - HKLM\..\Run: [Microsoft Office]

      %userprofile%\Menu Démarrer\Programmes\SpyAxe
      %userprofile%\Menu Démarrer\SpyAxe 3.0.lnk

      %windows%\adsldpbe.dll
      O2 - BHO: C:\WINDOWS\adsldpbe.dll - {7507739F-BC2E-4DC3-B233-816783C25DC9}
      HKEY_CLASSES_ROOT\CLSID\{7507739F-BC2E-4DC3-B233-816783C25DC9}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7507739F-BC2E-4DC3-B233-816783C25DC9}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7507739F-BC2E-4DC3-B233-816783C25DC9}

      %windows%\adsldpbf.dll
      O2 - BHO: C:\WINDOWS\adsldpbf.dll - {EEE7178C-BBC3-4153-9DDE-CD0E9AB1B5B6}
      HKEY_CLASSES_ROOT\CLSID\{EEE7178C-BBC3-4153-9DDE-CD0E9AB1B5B6}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE7178C-BBC3-4153-9DDE-CD0E9AB1B5B6}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE7178C-BBC3-4153-9DDE-CD0E9AB1B5B6}

      HKEY_CLASSES_ROOT\CLSID\{957bab51-81ff-8195-f273-d7e286ea702f}
      HKEY_CLASSES_ROOT\interface\{0f68a8aa-a9a8-4711-be36-ae363efa6443}
      HKEY_CLASSES_ROOT\interface\{28420952-c82b-47d9-a042-fa2217d8a082}
      HKEY_CLASSES_ROOT\interface\{3c099c83-8587-4b35-8af0-fc3a169ce14f}
      HKEY_CLASSES_ROOT\interface\{3fe13f31-e890-4c37-8213-4b5f9a511c26}
      HKEY_CLASSES_ROOT\interface\{4cad27dc-1b60-42f4-820e-316fe0a13512}
      HKEY_CLASSES_ROOT\interface\{54874d12-c0c6-44cc-83fb-2c35202f881b}
      HKEY_CLASSES_ROOT\interface\{54a3200b-d76e-48d1-b35c-d87eaf6d90bd}
      HKEY_CLASSES_ROOT\interface\{663dfe59-032c-46fb-a09a-ffc2dc074f54}
      HKEY_CLASSES_ROOT\interface\{69ce4fbc-4861-4206-8211-dd5a9ee79ad3}
      HKEY_CLASSES_ROOT\interface\{afa9056f-aa11-4771-ae01-04ecfde18206}
      HKEY_CLASSES_ROOT\interface\{b8f2487f-aa6a-4914-9a3f-db84e6868d66}
      HKEY_CLASSES_ROOT\interface\{e4645720-e02f-4bb2-8e6d-be7653dd1bf2}
      HKEY_CLASSES_ROOT\interface\{fa46b160-c9dd-4040-b9d9-ccf5d3db5438}
      HKEY_CLASSES_ROOT\interface\{fc1f0c2c-8117-427d-816c-215b68524f74}
      HKEY_CLASSES_ROOT\interface\{fd1eee96-8dc7-478d-be3b-7d06ac67fb66}
      HKEY_CLASSES_ROOT\interface\{fd8e5ed7-0091-416f-a55b-1d072d58a24f}


      Version 2.10

      O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp????.tmp
      HKEY_CLASSES_ROOT\CLSID\{e0103cd4-d1ce-411a-b75b-4fec072867f4}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e0103cd4-d1ce-411a-b75b-4fec072867f4}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{e0103cd4-d1ce-411a-b75b-4fec072867f4}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e0103cd4-d1ce-411a-b75b-4fec072867f4}

      %system%\wbeconm.dll
      HKEY_CLASSES_ROOT\CLSID\{A2C8F6B1-7C2A-3D1C-A3C6-A1FDA113B43F}
      HKEY_CURRENT_USER\Software\Classes\CLSID\{A2C8F6B1-7C2A-3D1C-A3C6-A1FDA113B43F}
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{A2C8F6B1-7C2A-3D1C-A3C6-A1FDA113B43F}"="Security Update"


      Version 2.09

      O2 - BHO: HomepageBHO - {7288c0bd-7f2f-4229-a0c4-3c90a6e2a881} - C:\WINDOWS\system32\hp???.tmp
      HKEY_CLASSES_ROOT\CLSID\{7288C0BD-7F2F-4229-A0C4-3C90A6E2A881}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7288C0BD-7F2F-4229-A0C4-3C90A6E2A881}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{7288c0bd-7f2f-4229-a0c4-3c90a6e2a881}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7288c0bd-7f2f-4229-a0c4-3c90a6e2a881}

      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP


      Version 2.08

      %system%\windesktop.dll
      %system%\windesktop.exe
      O4 - HKLM\..\Run: [windesktop]
      O4 - HKLM\..\RunServices: [windesktop]

      O2 - BHO: HomepageBHO - {1ca480cd-c0e5-4548-874e-b85b17905b3a} - C:\WINDOWS\System32\hp????.tmp
      HKEY_CLASSES_ROOT\CLSID\{1ca480cd-c0e5-4548-874e-b85b17905b3a}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1ca480cd-c0e5-4548-874e-b85b17905b3a}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{1ca480cd-c0e5-4548-874e-b85b17905b3a}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1ca480cd-c0e5-4548-874e-b85b17905b3a}


      Version 2.07

      %windir%\System\svchost.dll
      %windir%\System\svwhost.exe
      %windir%\System\svwhost.dll
      %system%\mspostsp.exe
      %system%\kernels64.exe
      %windows%\inet20066\*.*

      %windows%\update13.js
      O4 - HKLM\..\RunOnce: [tlc]

      %system%\NTCommLib3.exe
      %system%\tcpservice2.exe
      %system%\wstart.dll
      O4 - HKLM\..\Run: [NTCommLib3]
      HKEY_CLASSES_ROOT\AppID\{F6BDB4E5-D6AA-4D1F-8B67-BCB0F2246E21}
      HKEY_CLASSES_ROOT\AppID\WStart.DLL
      HKEY_CLASSES_ROOT\CLSID\{9896231A-C487-43A5-8369-6EC9B0A96CC0}
      HKEY_CLASSES_ROOT\WStart.WHttpHelper
      HKEY_CLASSES_ROOT\WStart.WHttpHelper.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{F6BDB4E5-D6AA-4D1F-8B67-BCB0F2246E21}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\WStart.DLL
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9896231A-C487-43A5-8369-6EC9B0A96CC0}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C5991634-0185-4B0D-B4F9-6C45597962B7}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WStart.WHttpHelper
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WStart.WHttpHelper.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9896231A-C487-43A5-8369-6EC9B0A96CC0}
      HKEY_LOCAL_MACHINE\SOFTWARE\WSoft

      %system%\child.dll
      HKEY_CLASSES_ROOT\CLSID\{4F141CBA-1457-6CCA-03A7-7AA21B61EA0F}
      HKEY_CURRENT_USER\Software\Classes\CLSID\{4F141CBA-1457-6CCA-03A7-7AA21B61EA0F}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
      "{4F141CBA-1457-6CCA-03A7-7AA21B61EA0F}"="OutPost FireWall"

      %system%\chp.dll
      HKEY_CLASSES_ROOT\CLSID\{429F4BB8-7BF7-4152-8011-3C6F9EB7E892}
      HKEY_CURRENT_USER\Software\Classes\CLSID\{429F4BB8-7BF7-4152-8011-3C6F9EB7E892}
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{429F4BB8-7BF7-4152-8011-3C6F9EB7E892}
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{429F4BB8-7BF7-4152-8011-3C6F9EB7E892}"="Module"

      %system%\bre.dll
      %system%\bre32.dll
      HKEY_CLASSES_ROOT\CLSID\{203B1C4D9-BC71-8916-38AD-9DEA5D213614}
      HKEY_CURRENT_USER\Software\Classes\CLSID\{203B1C4D9-BC71-8916-38AD-9DEA5D213614}
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{203B1C4D9-BC71-8916-38AD-9DEA5D213614}"="OLE Module"

      %system%\trf32.dll
      HKEY_CLASSES_ROOT\CLSID\{0BC9BC01-54D4-4CCE-2B7D-955164314CD4}
      HKEY_CURRENT_USER\Software\Classes\CLSID\{0BC9BC01-54D4-4CCE-2B7D-955164314CD4}
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{0BC9BC01-54D4-4CCE-2B7D-955164314CD4}"="OLE Module"

      %system%ioctrl.dll
      HKEY_CLASSES_ROOT\CLSID\{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{C1A8B6A1-2C81-1C3D-A3C6-A1CCDB10B47F}"="Windows Update"


      Version 2.06

      O4 - HKLM\..\Run: [3.tmp]
      O4 - HKLM\..\Run: [4.tmp]
      O4 - HKLM\..\Run: [3.tmp.exe]
      O4 - HKLM\..\Run: [4.tmp.exe]


      Version 2.05

      O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\System32\hp????.tmp
      HKEY_CLASSES_ROOT\CLSID\{724510C3-F3C8-4FB7-879A-D99F29008A2F}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{724510C3-F3C8-4FB7-879A-D99F29008A2F}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{724510c3-f3c8-4fb7-879a-d99f29008a2f}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{724510c3-f3c8-4fb7-879a-d99f29008a2f}


      Version 2.04

      %HOMEDRIVE%\xxx.exe
      %userprofile%\desktop\asfds
      %userprofile%\desktop\cdegfr
      %userprofile%\desktop\fdsf
      %userprofile%\desktop\sdfdsf
      %userprofile%\desktop\sdfff
      %userprofile%\desktop\wdcevf
      %userprofile%\desktop\wdcsadsad
      %userprofile%\desktop\zxczxc
      %system%\cmd32.exe
      %system%\dial23.exe
      %system%\exeha2.exe
      %system%\exeha3.exe
      %system%\z11.exe
      %system%\z12.exe
      %system%\z13.exe
      %system%\z14.exe
      %system%\z15.exe
      %system%\z16.exe
      %windows%\icont.exe
      %windows%\inet20099\*.*

      F3 - REG:win.ini: run=C:\WINDOWS\inet20099\winlogon.exe
      HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
      "run"="C:\WINDOWS\inet20099\winlogon.exe"

      O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20099\3.00.11.dll
      HKEY_CLASSES_ROOT\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
      HKEY_CLASSES_ROOT\Replace.HBO
      HKEY_CLASSES_ROOT\Replace.HBO.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Replace.HBO
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Replace.HBO.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}

      O4 - HKCU\..\Run: [pro]
      O4 - HKCU\..\Run: [xp_system]
      O4 - HKLM\..\Run: [xp_system]
      O4 - HKLM\..\Run: [Microsoft standard protector]


      Version 2.03

      O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp????.tmp
      HKEY_CLASSES_ROOT\CLSID\{3E9B951E-6F72-431B-82CF-4A9FBF2F53BC}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E9B951E-6F72-431B-82CF-4A9FBF2F53BC}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{3e9b951e-6f72-431b-82cf-4a9fbf2f53bc}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3e9b951e-6f72-431b-82cf-4a9fbf2f53bc}


      Version 2.02

      C:\WINDOWS\bxproxy.exe
      C:\WINDOWS\System32\bnmsrv.exe
      C:\WINDOWS\System32\RpcxSs.dll
      O4 - HKCU\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
      O4 - HKLM\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCXSS
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcxSs
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCXSS
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcxSs


      Version 2.01

      %system%\~update.exe
      %system%\ll.exe
      %system%\bhoimpl.dll
      %system%\ztoolbar.bmp
      %system%\ztoolbar.xml

      O2 - BHO: MyBHO - {784aa380-13f2-422e-8540-f2280f1dd4f1} - C:\WINDOWS\System32\bhoimpl.dll
      HKEY_CLASSES_ROOT\AppID\{77a7d7ab-576a-4b90-b4ee-909093c3bc69}
      HKEY_CLASSES_ROOT\AppID\MyBHOImpl.DLL
      HKEY_CLASSES_ROOT\CLSID\{784aa380-13f2-422e-8540-f2280f1dd4f1}
      HKEY_CLASSES_ROOT\Interface\{71237FD0-9DF9-46B3-8F1C-6F2998543EA2}
      HKEY_CLASSES_ROOT\TDS.MyBHO
      HKEY_CLASSES_ROOT\TDS.MyBHO.1
      HKEY_CLASSES_ROOT\TypeLib\{77A7D7AB-576A-4B90-B4EE-909093C3BC69}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{77a7d7ab-576a-4b90-b4ee-909093c3bc69}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\MyBHOImpl.DLL
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{784aa380-13f2-422e-8540-f2280f1dd4f1}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{71237FD0-9DF9-46B3-8F1C-6F2998543EA2}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TDS.MyBHO
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TDS.MyBHO.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{77A7D7AB-576A-4B90-B4EE-909093C3BC69}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{784aa380-13f2-422e-8540-f2280f1dd4f1}
      HKEY_LOCAL_MACHINE\SOFTWARE\TDS

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{F33812FB-F35C-4674-90F6-FD757C419C51}"="DDE"


      Version 2.00

      %system%\ot.ico
      %system%\ts.ico
      %system%\migicons.exe
      %system%\1024\
      %ProgramFiles%\SpyAxe\

      O4 - HKLM\..\Run: [SpyAxe]

      HKEY_CLASSES_ROOT\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}
      HKEY_CLASSES_ROOT\CLSID\{E802FFFF-8E58-4d2c-A435-8BEEFB10AB77}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpyAxe.EXE
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06506B3A-857D-431f-BE0B-038B1EC386B3}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0BFF94F7-9748-43d1-BAC4-D963351B63E7}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0C580891-CA9D-4619-BDC9-85378EB65931}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53525A6C-3774-4b47-B317-BC7DFE4FC7ED}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DEB9A24-19E0-49e6-A6B2-110BC3E1062A}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E1ACE2A-8638-4775-8AA9-5C187AD40A82}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{629C4FE9-B627-4905-AF5B-AD652BB1B5C5}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{659F78EA-6FF2-40f8-8EA3-06F7418A209E}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7616A7F7-DF99-432f-870D-4AFEA0D079F4}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EB22F36-2CCD-4003-89EE-6CF40EBC4282}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A0D06AA3-499B-4156-9FFD-0BE236F0D4E5}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6610F1D-DA77-42c4-8300-721D9DA9D70B}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Backup
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Backup.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.EngineListener
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.EngineListener.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Log
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Log.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.LogRecord
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.LogRecord.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Paths
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Paths.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Quarantine
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Quarantine.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.RunAs
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.RunAs.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Scanner
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.Scanner.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.SearchItem
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.SearchItem.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.ThreatCollection
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpyAxe.ThreatCollection.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2BB3BCBF-411A-4C67-8E69-F4BB301DC333}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\spyaxe.exe
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe
      HKEY_LOCAL_MACHINE\SOFTWARE\SpyAxe

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
      {A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}
      {E802FFFF-8E58-4d2c-A435-8BEEFB10AB77}


      Version 1.99

      %HOMEDRIVE%\contextplus.exe
      %HOMEDRIVE%\drsmartload1.exe
      %windir%\notepad.com
      %windir%\psg.exe
      %windir%\rzs.exe
      %windir%\sec.exe
      %system%\msbe.dll
      %system%\notepad.com
      %system%\nvms.dll
      %system%\shdochp.dll
      %system%\shdochp.exe
      %system%\shsexl32.dll
      %system%\x.exe
      %ProgramFiles%\WinHound\
      C:\Documents and Settings\****\Desktop\access
      C:\Documents and Settings\****\Desktop\domains
      C:\Documents and Settings\****\Desktop\map.txt
      C:\Documents and Settings\All Users\Desktop\WinHound spyware remover.lnk
      %allusersprofile%\Menu Démarrer\Programmes\WinHound spyware remover
      O4 - HKLM\..\Run: [FHPage]
      O4 - HKLM\..\Run: [WinHound]
      HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinHound spyware remover
      HKEY_CLASSES_ROOT\CLSID\{0878F045-B52E-46B3-9724-D3AE69D50067}
      HKEY_CLASSES_ROOT\CLSID\{0EA04667-E53B-4E81-8E7C-DE2CA114CBD6}
      HKEY_CLASSES_ROOT\CLSID\{265C2AF8-C94C-4AFF-B2B6-340D3982562C}
      HKEY_CLASSES_ROOT\CLSID\{3946A33D-BBC6-4792-A383-D855E0F76D91}
      HKEY_CLASSES_ROOT\CLSID\{41D7BB0A-64E0-4AB2-BD0B-69EA78E462E8}
      HKEY_CLASSES_ROOT\CLSID\{4AA55E8C-2C19-4F3A-91EC-43B6DF937C4F}
      HKEY_CLASSES_ROOT\CLSID\{4F93062D-7BDA-48BE-AEB6-88AF2B1FE2D4}
      HKEY_CLASSES_ROOT\CLSID\{5206DF89-97FC-41AD-BAE3-993E87053A99}
      HKEY_CLASSES_ROOT\CLSID\{58E68548-42E2-479D-A9E0-86D9F2EAF02E}
      HKEY_CLASSES_ROOT\CLSID\{5E5A79A6-C67B-444E-BE58-BD0ACEFCDA07}
      HKEY_CLASSES_ROOT\CLSID\{67196B3E-55A0-49DE-BA11-66F07DF804DB}
      HKEY_CLASSES_ROOT\CLSID\{7198F8DA-012C-4DB4-ABD8-923A54C87900}
      HKEY_CLASSES_ROOT\CLSID\{82847700-FE61-46A3-B3EE-761A1E312ACA}
      HKEY_CLASSES_ROOT\CLSID\{8C2A05C5-780F-4A2E-AE1C-FB8181F860E4}
      HKEY_CLASSES_ROOT\CLSID\{8DCA6B3D-1FCA-4500-B210-76119BB5C69E}
      HKEY_CLASSES_ROOT\CLSID\{ACC647EE-991A-4811-B420-F063F50CDDC1}
      HKEY_CLASSES_ROOT\CLSID\{C5B70256-5B08-4056-B84E-C6CE084967F5}
      HKEY_CLASSES_ROOT\CLSID\{CBE4B748-08F9-44DB-8FB1-9AD25979DA35}
      HKEY_CLASSES_ROOT\CLSID\{CDD964C2-FB78-4A74-BB1E-1CB1FCB72018}
      HKEY_CLASSES_ROOT\CLSID\{D25F7446-4D36-4203-9EA5-5422B26FA9D0}
      HKEY_CLASSES_ROOT\CLSID\{E12AAACF-8AF2-4C31-BA94-E3787B44F90E}
      HKEY_CLASSES_ROOT\CLSID\{E479197F-49E5-4E60-9FA2-A71D4C7C2BBC}
      HKEY_CLASSES_ROOT\CLSID\{F880B4F2-75BF-44EC-B7AA-45EC37448027}
      HKEY_CLASSES_ROOT\TypeLib\{31E956BF-8CA9-4D75-B534-7EBC79770002}
      HKEY_CLASSES_ROOT\TypeLib\{6E9E448E-B195-4627-953C-5377FA9BBA36}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0878F045-B52E-46B3-9724-D3AE69D50067}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0EA04667-E53B-4E81-8E7C-DE2CA114CBD6}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{265C2AF8-C94C-4AFF-B2B6-340D3982562C}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3946A33D-BBC6-4792-A383-D855E0F76D91}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41D7BB0A-64E0-4AB2-BD0B-69EA78E462E8}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4AA55E8C-2C19-4F3A-91EC-43B6DF937C4F}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4F93062D-7BDA-48BE-AEB6-88AF2B1FE2D4}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5206DF89-97FC-41AD-BAE3-993E87053A99}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{58E68548-42E2-479D-A9E0-86D9F2EAF02E}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E5A79A6-C67B-444E-BE58-BD0ACEFCDA07}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67196B3E-55A0-49DE-BA11-66F07DF804DB}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7198F8DA-012C-4DB4-ABD8-923A54C87900}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82847700-FE61-46A3-B3EE-761A1E312ACA}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C2A05C5-780F-4A2E-AE1C-FB8181F860E4}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DCA6B3D-1FCA-4500-B210-76119BB5C69E}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ACC647EE-991A-4811-B420-F063F50CDDC1}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5B70256-5B08-4056-B84E-C6CE084967F5}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CBE4B748-08F9-44DB-8FB1-9AD25979DA35}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CDD964C2-FB78-4A74-BB1E-1CB1FCB72018}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D25F7446-4D36-4203-9EA5-5422B26FA9D0}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E12AAACF-8AF2-4C31-BA94-E3787B44F90E}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E479197F-49E5-4E60-9FA2-A71D4C7C2BBC}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F880B4F2-75BF-44EC-B7AA-45EC37448027}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{31E956BF-8CA9-4D75-B534-7EBC79770002}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6E9E448E-B195-4627-953C-5377FA9BBA36}

      O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
      HKEY_CLASSES_ROOT\CLSID\{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}
      HKEY_CLASSES_ROOT\NLS.UrlCatcher
      HKEY_CLASSES_ROOT\NLS.UrlCatcher.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NLS.UrlCatcher
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NLS.UrlCatcher.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}

      O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
      HKEY_CLASSES_ROOT\ADP.UrlCatcher
      HKEY_CLASSES_ROOT\ADP.UrlCatcher.1
      HKEY_CLASSES_ROOT\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher.1
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}

      O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hp????.tmp
      HKEY_CLASSES_ROOT\CLSID\{7caf96a2-c556-460a-988e-76fc7895d284}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7caf96a2-c556-460a-988e-76fc7895d284}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{7caf96a2-c556-460a-988e-76fc7895d284}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7caf96a2-c556-460a-988e-76fc7895d284}


      Version 1.98

      %HOMEDRIVE%\ecsiin.stub.exe
      %HOMEDRIVE%\stub_113_4_0_4_0.exe
      %windir%\adtech2005.exe
      %windir%\secure32.html
      %windir%\timessquare.exe
      %windir%\toolbar.exe
      %system%\sywsvcs.exe
      %ProgramFiles%\Fichiers communs\muwq\
      %ProgramFiles%\SpyAxe\
      O4 - HKLM\..\Run: [ecsiin]
      O4 - HKLM\..\Run: [timessquare]
      O4 - HKLM\..\Run: [adtech2005]
      O4 - HKCU\..\Run: [muwq]
      O4 - HKCU\..\Run: [qwum]
      O16 - DPF: {10003000-1000-0000-1000-000000000000}


      Version 1.97

      %ProgramFiles%\Fichiers communs\Download\mc-58-12-0000113.exe
      %ProgramFiles%\Common Files\Download\mc-58-12-0000113.exe
      %ProgramFiles%\Fichiers communs\InetGet\mc-58-12-0000113.exe
      %ProgramFiles%\Common Files\InetGet\mc-58-12-0000113.exe
      %ProgramFiles%\Fichiers communs\Windows\mc-58-12-0000113.exe
      %ProgramFiles%\Common Files\Windows\mc-58-12-0000113.exe
      %ProgramFiles%\Fichiers communs\Windows\services32.exe
      %ProgramFiles%\Common Files\Windows\services32.exe
      %allusersprofile%\Menu Démarrer\Programmes\P.S.Guard spyware remover
      %system%\msupdate32.dll
      %system%\MTC.dll
      %system%\MTC.ini
      O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443}
      O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443}
      O4 - HKCU\..\Run: [services32]
      O20 - Winlogon Notify: msupdate


      Version 1.96

      %bureau%\m00.exe
      %windir%\adsldpbc.dll
      %windir%\q*_disk.dll
      %windir%\slassac.dll
      %windir%\svchost.exe
      %system%\cnymxw32.dll
      %system%\prflbmsgp32.dll
      %system%\sysbho.exe
      %system%\sysmain.dll
      %system%\winstyle2.dll
      %system%\winstyle3.dll
      %system%\winstyle32.dll
      O4 - HKLM\..\Run: [System Redirect]
      O4 - HKCU\..\Run: [System]
      HKEY_CLASSES_ROOT\CLSID\{0976BE78-EA53-4DD6-91E6-E6175940032B}
      HKEY_CLASSES_ROOT\CLSID\{16875E09-927B-4494-82BD-158A1CD46BA0}
      HKEY_CLASSES_ROOT\CLSID\{405132A4-5DD1-4BA8-A181-95C8D435093A}
      HKEY_CLASSES_ROOT\CLSID\{7A7E6D97-B492-4884-9ABB-C31281DCC4F2}
      HKEY_CLASSES_ROOT\CLSID\{826B2228-BC09-49F2-B5F8-42CE26B1B712}
      HKEY_CLASSES_ROOT\CLSID\{8D82BB89-B58C-4F21-9C5D-377F65947806}
      HKEY_CLASSES_ROOT\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}
      HKEY_CLASSES_ROOT\CLSID\{C0E5FF11-4AE0-4699-A6A7-2FB7118F2081}
      HKEY_CLASSES_ROOT\CLSID\{C7CF1142-0785-4B12-A280-B64681E4D45E}
      HKEY_CLASSES_ROOT\CLSID\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}
      HKEY_CURRENT_USER\Software\Microsoft\style2
      HKEY_CURRENT_USER\Software\Microsoft\style3
      HKEY_CURRENT_USER\Software\Microsoft\style32
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0976BE78-EA53-4DD6-91E6-E6175940032B}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{16875E09-927B-4494-82BD-158A1CD46BA0}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{405132A4-5DD1-4BA8-A181-95C8D435093A}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6AC3806F-8B39-4746-9C38-6B01CB7331FF}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7A7E6D97-B492-4884-9ABB-C31281DCC4F2}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{826B2228-BC09-49F2-B5F8-42CE26B1B712}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8D82BB89-B58C-4F21-9C5D-377F65947806}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B212D577-05B7-4963-911E-4A8588160DFA}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0E5FF11-4AE0-4699-A6A7-2FB7118F2081}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7CF1142-0785-4B12-A280-B64681E4D45E}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{16875E09-927B-4494-82BD-158A1CD46BA0}]
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{6AC3806F-8B39-4746-9C38-6B01CB7331FF}]
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{7A7E6D97-B492-4884-9ABB-C31281DCC4F2}]
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{B212D577-05B7-4963-911E-4A8588160DFA}]
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{C7CF1142-0785-4B12-A280-B64681E4D45E}]
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler: [{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}]
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gggg
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ggggg
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style2
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\style32
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\st3i



      Version 1.95

      %system%\priva.exe
      O4 - HKLM\..\Run: [ControlPanel]
      O4 - HKLM\..\RunServices: [Explorer64]


      Version 1.94

      %HOMEDRIVE%\secure32.html
      %system%\svchosts.exe
      %system%\shdocsvc.dll
      %system%\shdocsvc.exe
      %system%\ztoolb011.dll
      O4 - HKLM\..\Run: [FHStart]


      Version 1.93

      %windir%\adsldpbd.dll
      %system%\multitran.exe
      %system%\performent217.dll
      %system%\qvxgamet?.exe
      %system%\nuclabdll.dll
      %system%\st3.dll
      %system%\svwhost.exe
      %system%\zolker011.dll
      C:\Documents and Settings\All Users\Bureau\Blowjob.url
      C:\Documents and Settings\All Users\Bureau\Cigarettes Discount.url
      C:\Documents and Settings\All Users\Bureau\Forex Trading.url
      C:\Documents and Settings\All Users\Bureau\Free Ringtones.url
      C:\Documents and Settings\All Users\Bureau\Gift Ideas.url
      C:\Documents and Settings\All Users\Bureau\Group ***.url
      C:\Documents and Settings\All Users\Bureau\Home Loan.url
      C:\Documents and Settings\All Users\Bureau\Mp3 Download.url
      C:\Documents and Settings\All Users\Bureau\Online Casino.url
      C:\Documents and Settings\All Users\Bureau\Online Dating.url
      C:\Documents and Settings\All Users\Bureau\Play Poker.url
      C:\Documents and Settings\All Users\Bureau\PopUp Blocker.url
      C:\Documents and Settings\All Users\Bureau\Porn Dvd.url
      C:\Documents and Settings\All Users\Bureau\Real Estate.url
      C:\Documents and Settings\All Users\Bureau\Sport Betting.url
      C:\Documents and Settings\All Users\Bureau\Spyware Remover.url
      C:\Documents and Settings\All Users\Bureau\Texas Holdem.url
      F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\vxgame3.exe
      O2 - BHO: C:\WINDOWS\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - C:\WINDOWS\system32\st3.dll
      O2 - BHO: C:\WINDOWS\adsldpbd.dll - {826B2228-BC09-49F2-B5F8-42CE26B1B711} - C:\WINDOWS\adsldpbd.dll
      O2 - BHO: (no name) - {9C5875B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\performent217.dll
      O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINDOWS\System32\zolker011.dll
      O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINDOWS\System32\ztoolb011.dll
      O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\System32\ztoolb011.dll
      O4 - HKLM\..\Run: [multitran]
      O4 - HKLM\..\RunServices: [multitran]
      O4 - HKLM\..\Run: [WindowsUpdateNT]
      O4 - HKCU\..\Run: [multitran]
      O4 - HKCU\..\Run: [WindowsUpdateNT]
      O20 - Winlogon Notify: gg - C:\WINDOWS\adsldpbd.dll
      O20 - Winlogon Notify: nuclabdll - C:\WINDOWS\SYSTEM32\nuclabdll.dll
      O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll


      Version 1.92

      %system%\cvxh8jkdq?.exe
      %system%\sdfdil.exe
      %system%\winldra.exe
      %windows%\blank.mht
      O4 - HKLM\...\Run: [load32]


      Version 1.91

      %system%\split.exe
      %system%\split1.exe
      %system%\split2.exe
      %system%\maxd1.exe
      %system%\efsdfgxg.exe
      %system%\birdihuy.dll
      %system%\birdihuy32.dll
      %system%\web.exe
      %system%\yaemu.exe
      %system%\svchop.exe
      %system%\shdochop.dll
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main: [Start Page]
      O4 - HKLM\...\Run: [Explorer32]
      O4 - HKLM\...\Run: [yaemu.exe]
      O4 - HKLM\...\Run: [FH]
      HKEY_CLASSES_ROOT\CLSID\{F33812FB-F35C-4674-90F6-FD757C419C51}
      HKEY_CURRENT_USER\Software\Classes\CLSID\{F33812FB-F35C-4674-90F6-FD757C419C51}


      Version 1.89

      %system%\shdocnva.dll
      HKLM\SOFTWARE\PSGuard.com

      Version 1.88

      %windir%\warnhp.html


      Version 1.87

      O4 - HKLM\..\Run: [P.S.Guard]
      O4 - HKLM\..\Run: [AdService]
      O4 - HKLM\..\Run: [FSH]
      %ProgramFiles%\P.S.Guard\
      %system%\AdService.dll
      %system%\svcnva.exe


      Version 1.86

      %homedrive%\loader.exe
      %windir%\kl.exe
      %windir%\ms1.exe
      %system%\cmdtel.exe
      %system%\combo.exe
      %system%\doser.exe
      %system%\latest.exe
      %system%\paytime.exe
      %system%\sender.exe
      %system%\socks.exe
      %system%\sysvcs.exe
      %system%\zlbw.dll
      O4 - HKLM\..\Run: [combo.exe]
      O4 - HKLM\..\Run: [PayTime]
      O4 - HKCU\..\Run: [aupd]
      O4 - HKCU\..\Run: [PayTime]


      Version 1.85

      [HKey_Classes_Root\CLSID\{17E02586-A91D-4A9D-A74E-187B05DFFE6F}]
      [HKey_Classes_Root\CLSID\{1BD98DFD-2DA9-4C54-85D7-BE03A0F9C487}]
      [HKey_Classes_Root\CLSID\{1C94EA51-3800-4F08-B5DC-A5B67823FFEA}]
      [HKey_Classes_Root\CLSID\{20D1AF34-6E19-42D8-AF9F-BDFBE45C2454}]
      [HKey_Classes_Root\CLSID\{21E132C9-1F98-4151-BDAD-7D9B49C60A8E}]
      [HKey_Classes_Root\CLSID\{23F7AD29-F51A-4BA1-BE70-143B1CB25BD1}]
      [HKey_Classes_Root\CLSID\{2C59D5EC-6B91-4896-BD6F-5F121D87A7F8}]
      [HKey_Classes_Root\CLSID\{2F34E0E0-F0BB-477F-AFB8-509262FA0AD1}]
      [HKey_Classes_Root\CLSID\{35ED274E-3F42-4A78-BBDC-3B7D73E85578}]
      [HKey_Classes_Root\CLSID\{3D74D140-F780-4AE3-8D6D-F8DC39107213}]
      [HKey_Classes_Root\CLSID\{49443D6E-CE4E-47A9-8DEB-F5774CE14984}]
      [HKey_Classes_Root\CLSID\{52034AD2-914C-4634-B375-9299631E5525}]
      [HKey_Classes_Root\CLSID\{7702C521-76AE-42C0-A181-3B5A96C2EEF7}]
      [HKey_Classes_Root\CLSID\{7ADDA344-1D36-4446-9F4B-B2351FB19EFD}]
      [HKey_Classes_Root\CLSID\{7D98221E-AF8F-4D29-8BB1-1DFABC288173}]
      [HKey_Classes_Root\CLSID\{9746B450-6064-4EC8-9480-72A289AA2237}]
      [HKey_Classes_Root\CLSID\{C5A40FCE-0A0F-40CA-985E-661C28B5B431}]
      [HKey_Classes_Root\CLSID\{C7F22879-7151-4C71-8C50-9557AFDA66C6}]
      [HKey_Classes_Root\CLSID\{CA5E7959-60B5-47B7-80AC-1606309733F3}]
      [HKey_Classes_Root\CLSID\{CEABF027-6CDC-4D47-ADF6-AC5D065826A6}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15DC7116-E58E-4395-A45A-A1C99B17C030}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17E02586-A91D-4A9D-A74E-187B05DFFE6F}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1BD98DFD-2DA9-4C54-85D7-BE03A0F9C487}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1C94EA51-3800-4F08-B5DC-A5B67823FFEA}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D1AF34-6E19-42D8-AF9F-BDFBE45C2454}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21E132C9-1F98-4151-BDAD-7D9B49C60A8E}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{23F7AD29-F51A-4BA1-BE70-143B1CB25BD1}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C59D5EC-6B91-4896-BD6F-5F121D87A7F8}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2F34E0E0-F0BB-477F-AFB8-509262FA0AD1}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35ED274E-3F42-4A78-BBDC-3B7D73E85578}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D74D140-F780-4AE3-8D6D-F8DC39107213}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49443D6E-CE4E-47A9-8DEB-F5774CE14984}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52034AD2-914C-4634-B375-9299631E5525}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7702C521-76AE-42C0-A181-3B5A96C2EEF7}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7ADDA344-1D36-4446-9F4B-B2351FB19EFD}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7D98221E-AF8F-4D29-8BB1-1DFABC288173}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9746B450-6064-4EC8-9480-72A289AA2237}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5A40FCE-0A0F-40CA-985E-661C28B5B431}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7F22879-7151-4C71-8C50-9557AFDA66C6}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CA5E7959-60B5-47B7-80AC-1606309733F3}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CEABF027-6CDC-4D47-ADF6-AC5D065826A6}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0AA0493-C410-4CBD-B1DB-1723374FA8E0}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E5D78BD8-3874-4AA0-9D45-CFB79382C484}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
      "wininet.dll"="mscornet.exe"
      "kernel32.dll"="C:\WINDOWS\System32\mssearchnet.exe"
      "nvctrl.exe"="nvctrl.exe"
      SOFTWARE\Classes\CLSID\{893FAD3A-931E-4E53-B515-B1426D63799B}
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objecta\{893fad3a-931e-4e53-b515-b1426d63799b}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Explorer\Browser Helper Objects\{893fad3a-931e-4e53-b515-b1426d63799b}]
      %system%\mscornet.exe
      %system%\mssearchnet.exe
      %system%\nvctrl.exe
      %system%\ncompat.tlb
      %system%\msvol.tlb
      %system%\ld????.tmp
      %appdata%\Shudder Global Limited\
      %appdata%\PSGuard.com\


      Version 1.84

      %system%\casino.ico
      %system%\date.ico
      %system%\games.ico
      %system%\mobile.ico
      %system%\network.ico
      %system%\pharm.ico
      %system%\pharm2.ico
      %system%\scanner.ico
      %system%\spam.ico
      %system%\spyware.ico


      Version 1.82

      C:\Windows\tool1.exe
      C:\Windows\tool3.exe
      C:\Windows\tool4.exe
      C:\Windows\tool5.exe
      C:\Windows\__delete_on_reboot__popuper.exe
      C:\WINDOWS\system32\svcnt32.exe
      C:\Windows\System32\__delete_on_reboot__intmon.exe
      C:\Windows\System32\__delete_on_reboot__intel32.exe
      C:\Windows\System32\__delete_on_reboot__intell32.exe
      C:\Windows\System32\__delete_on_reboot__OLEADM.dll
      C:\Windows\System32\Air Tickets.ico
      C:\Windows\System32\Big Tits.ico
      C:\Windows\System32\Blackjack.ico
      C:\Windows\System32\Britney Spears.ico
      C:\Windows\System32\Car Insurance.ico
      C:\Windows\System32\Cheap Cigarettes.ico
      C:\Windows\System32\Credit Card.ico
      C:\Windows\System32\Cruises.ico
      C:\Windows\System32\Currency Trading.ico
      C:\Windows\System32\Lesbian ***.ico
      C:\Windows\System32\MP3.ico
      C:\Windows\System32\Online Betting.ico
      C:\Windows\System32\Online Gambling.ico
      C:\Windows\System32\Oral ***.ico
      C:\Windows\System32\Party Poker.ico
      C:\Windows\System32\Pharmacy.ico
      C:\Windows\System32\Phentermine.ico
      C:\Windows\System32\Pornstars.ico
      C:\Windows\System32\Remove Spyware.ico
      C:\Windows\System32\viagra.ico
      C:\Documents and Settings\****\Desktop\Air Tickets.url
      C:\Documents and Settings\****\Desktop\AntivirusGold.lnk
      C:\Documents and Settings\****\Desktop\Big Tits.url
      C:\Documents and Settings\****\Desktop\Blackjack.url
      C:\Documents and Settings\****\Desktop\Britney Spears.url
      C:\Documents and Settings\****\Desktop\Car Insurance.url
      C:\Documents and Settings\****\Desktop\Cheap Cigarettes.url
      C:\Documents and Settings\****\Desktop\Credit Card.url
      C:\Documents and Settings\****\Desktop\Cruises.url
      C:\Documents and Settings\****\Desktop\Currency Trading.url
      C:\Documents and Settings\****\Desktop\Lesbian ***.url
      C:\Documents and Settings\****\Desktop\MP3.url
      C:\Documents and Settings\****\Desktop\Online Betting.url
      C:\Documents and Settings\****\Desktop\Online Gambling.url
      C:\Documents and Settings\****\Desktop\Oral ***.url
      C:\Documents and Settings\****\Desktop\Party Poker.url
      C:\Documents and Settings\****\Desktop\Pharmacy.url
      C:\Documents and Settings\****\Desktop\Phentermine.url
      C:\Documents and Settings\****\Desktop\Pornstars.url
      C:\Documents and Settings\****\Desktop\Remove Spyware.url
      C:\Documents and Settings\****\Desktop\SpySheriff.lnk
      C:\Documents and Settings\****\Desktop\viagra.url
      O4 - HKLM\..\Run: [Start Page]


      Version 1.8

      C:\Program Files\internet explorer\ieengine.exe
      O4 - HKCU\..\Run: [IEengine]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard]


      Version 1.7

      F2 - REG:system.ini: Shell=Explorer.exe sysinit32z.exe
      C:\WINDOWS\system32\sysinit32z.exe
      C:\WINDOWS\system32\taras.exe


      Version 1.6

      C:\Windows\tool2.exe


      Version 1.5

      C:\ntdetecd.exe
      C:\Windows\System32\vxh8jkdq?.exe


      Version 1.4

      C:\Program Files\Daily Weather Forecast\
      04 - HKLM\..\Run: [Daily Weather Forecast]


      Version 1.3

      C:\Windows\System32\oleext.dll
      C:\Windows\System32\oleext32.dll
      C:\Windows\System32\wppp.html
      O4 - HKCU\..\Run: [SNInstall]


      Version 1.1

      C:\Program Files\SpyKiller\
      C:\Windows\System\svchost.exe
      C:\Windows\System32\intell32.exe
      C:\Windows\System32\kernels32.exe
      C:\Windows\System32\vxgame?.exe
      C:\Windows\System32\vxgamet?.exe
      F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
      F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
      O4 - HKCU\..\Run: [SpyKiller]
      O4 - HKLM\..\Run: [intell32.exe]
      O4 - HKLM\..\Run: [System]
      O4 - HKLM\..\Run: [WindowsUpdate]
      O4 - HKLM\..\RunServices: [SystemTools]


      Version 1.0

      C:\Windows\System32\gunist.exe
      C:\Windows\System32\param32.dll
      C:\Windows\System32\pop_up.dll
      C:\Windows\System32\searchdll.dll
      C:\Windows\System32\svchosts.dll
      C:\Windows\System32\LogFiles\T54111925.so
      C:\Windows\System32\LogFiles\H53131712.so
      C:\Windows\System32\LogFiles\A54102200.so
      C:\Windows\System32\LogFiles\S53252000.so
      C:\Windows\System32\LogFiles\A04111925.so
      C:\Windows\System32\LogFiles\M54111925.so
      C:\Windows\System32\LogFiles\P54111925.so


      Version 0.x

      C:\bsw.exe
      C:\r.exe
      C:\winstall.exe
      C:\wp.bmp
      C:\wp.exe
      C:\Windows\desktop.html
      C:\Windows\popuper.exe
      C:\Windows\screen.html
      C:\Windows\sites.ini
      C:\Windows\uninstIU.exe
      C:\Windows\windows.html
      C:\Windows\zloader3.exe
      C:\Windows\System32\helper.exe
      C:\Windows\System32\hhk.dll
      C:\Windows\System32\hookdump.exe
      C:\Windows\System32\hp????.tmp
      C:\Windows\System32\intel32.exe
      C:\Windows\System32\intmon.exe
      C:\Windows\System32\intmonp.exe
      C:\Windows\System32\msmsgs.exe
      C:\Windows\System32\msole32.exe
      C:\Windows\System32\ole32vbs.exe
      C:\Windows\System32\oleadm.dll
      C:\Windows\System32\oleadm32.dll
      C:\Windows\System32\perfcii.ini
      C:\Windows\System32\runsrv32.dll
      C:\Windows\System32\runsrv32.exe
      C:\Windows\System32\shnlog.exe
      C:\Windows\System32\spoolsrv32.exe
      C:\Windows\System32\srpcsrv32.dll
      C:\Windows\System32\srpcsrv32.exe
      C:\Windows\System32\svcnt.exe
      C:\Windows\System32\txfdb32.dll
      C:\Windows\System32\w8673492.exe
      C:\Windows\System32\winnook.exe
      C:\Windows\System32\wldr.dll
      C:\Windows\System32\wp.bmp
      C:\Windows\System32\LogFiles\A5281300.so
      C:\Windows\web\desktop.html
      C:\Windows\web\wallpaper.html
      C:\Documents and Settings\****\Application Data\Install.dat
      C:\Program Files\AdwareDelete\
      C:\Program Files\AntivirusGold\
      C:\Program Files\PSGuard\
      C:\Program Files\Search Maid\
      C:\Program Files\Security IGuard\
      C:\Program Files\SpySheriff\
      C:\Program Files\Virtual Maid\
      C:\spywarevanisher-free\
      O4 - HKCU\..\Run: [Intel system tool]
      O4 - HKCU\..\Run: [SpySheriff]
      O4 - HKCU\..\Run: [Windows installer]
      O4 - HKCU\..\Run: [WindowsFY]
      O4 - HKCU\..\Run: [WindowsFZ]
      O4 - HKLM\..\Run: [Fast Start]
      O4 - HKLM\..\Run: [intel32.exe]
      O4 - HKLM\..\Run: [Intel system tool]
      O4 - HKLM\..\Run: [MSN Messenger]
      O4 - HKLM\..\Run: [PSGuard]
      O4 - HKLM\..\Run: [PSGuard spyware remover]
      O4 - HKLM\..\Run: [RegSvr32]
      O4 - HKLM\..\Run: [WindowsFZ]
      [-HKEY_CURRENT_USER\SOFTWARE\SpySheriff]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\AdwareDelete]

**S!Ri** · 16.12.2005 08:59

Hello !

Hierbei handelt es sich um die Fortsetzung des mitwachsenden Logfiles der Dateien des SmitfraudFix.
( http://siri.urz.free.fr/Fix/SmitfraudFix.php )

Diese Dateien sollen bewirken, dass ein User eines der aufgezählten Programme kauft. (SpyAxe, Spysheriff, PSGuard, SpywareStrike...)

Ein Trojan Downloader installiert sie (FakeSpyware-Programm + Infektion).

SmitFraudFix v2.81 (WinXP, Win2K)
Captures Ecrans - Tutorial Français - English Tutorial - Deutsche Anleitung

Changelog:

Code:

Version 2.81 (August 06, 2006)


      %SYSTEM%\mshtml32.tdb

      O2 - BHO: (no name) - {1da7dbe8-c51b-4ae4-bc6e-21863349b0b4} - C:\Program Files\IntCodec\isaddon.dll
      [HKEY_CLASSES_ROOT\CLSID\{1da7dbe8-c51b-4ae4-bc6e-21863349b0b4}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1da7dbe8-c51b-4ae4-bc6e-21863349b0b4}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1da7dbe8-c51b-4ae4-bc6e-21863349b0b4}]

      [-HKEY_CURRENT_USER\Software\X Password Manager]
      %desktop%\x password manager.lnk

      [-HKEY_CURRENT_USER\Software\Safety Bar]

      C:\Documents and Settings\All Users\Start Menu\Online Security Guide.url
      C:\Documents and Settings\All Users\Start Menu\Security Troubleshooting.url



      Version 2.80 (August 05, 2006)


      %WINDOWS%\bg_bg.gif
      %WINDOWS%\big_red_x.gif
      %WINDOWS%\buy_now.gif
      %WINDOWS%\click_for_free_scan.gif
      %WINDOWS%\close_ico.gif
      %WINDOWS%\download.gif
      %WINDOWS%\download_product.gif
      %WINDOWS%\free_scan_red_btn.gif
      %WINDOWS%\icon_warning_big.gif
      %WINDOWS%\infected_top_bg.gif
      %WINDOWS%\logo.gif
      %WINDOWS%\navibar_bg.gif
      %WINDOWS%\navibar_corner_left.gif
      %WINDOWS%\navibar_corner_right.gif
      %WINDOWS%\product_box.gif
      %WINDOWS%\red_warning_ico.gif
      %WINDOWS%\remove_spyware_header.gif
      %WINDOWS%\safe_and_trusted.gif
      %WINDOWS%\spyware_detected.gif
      %WINDOWS%\System32fab.exe
      %WINDOWS%\yellow_warning_ico.gif
      %SYSTEM%\officescan.exe
      %SYSTEM%\smaexp32.dll
      %SYSTEM%\smartdrv.exe
      %SYSTEM%\winblsrv.dll

      %SYSTEM%\office_pnl.dll
      O2 - BHO: office_pnl.office_panel - {B53455DB-5527-4041-AC41-F86E6947AA47} - C:\WINDOWS\System32\office_pnl.dll
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B53455DB-5527-4041-AC41-F86E6947AA47}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{900FBC20-6AEE-4E05-ABA9-AC46E309C029}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8B076501-1D1B-4B26-9492-FDB8EEE00D7F}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\office_pnl.office_panel\
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B53455DB-5527-4041-AC41-F86E6947AA47}



      Version 2.79 (August 02, 2006)


      %PROGRAMFILES%\X Password Manager\
      [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\X Password Manager]

      %PROGRAMFILES%\Safety Bar\
      [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar]

      O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\Safety Bar.dll
      [-HKEY_CLASSES_ROOT\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{052b12f7-86fa-4921-8482-26c42316b522}"=-

      %SYSTEM%\fhmfes.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "hinnible"="{59080fb1-a43e-4059-a155-18b1eac7352c}"
      [HKEY_CLASSES_ROOT\CLSID\{59080fb1-a43e-4059-a155-18b1eac7352c}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{59080fb1-a43e-4059-a155-18b1eac7352c}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "hinnible"="{59080fb1-a43e-4059-a155-18b1eac7352c}"



      Version 2.78 (August 01, 2006)


      O3 - Toolbar: Protection Bar - {a2595f37-48d0-46a1-9b51-478591a97764} - C:\Program Files\IntCodec\iesplugin.dll
      [-HKEY_CLASSES_ROOT\CLSID\{a2595f37-48d0-46a1-9b51-478591a97764}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2595f37-48d0-46a1-9b51-478591a97764}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{a2595f37-48d0-46a1-9b51-478591a97764}"=-

      O3 - Toolbar: Protection Bar - {d1ac752e-883f-4ed8-8828-b618c3a72152} - C:\Program Files\Media-Codec\iesplugin.dll
      [-HKEY_CLASSES_ROOT\CLSID\{d1ac752e-883f-4ed8-8828-b618c3a72152}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d1ac752e-883f-4ed8-8828-b618c3a72152}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{d1ac752e-883f-4ed8-8828-b618c3a72152}"=-

      %SYSTEM%\vwlummc.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "hubbsi"="{7b1eeccd-0a6d-4ad5-8ac1-4af5722b3885}"
      [HKEY_CLASSES_ROOT\CLSID\{7b1eeccd-0a6d-4ad5-8ac1-4af5722b3885}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7b1eeccd-0a6d-4ad5-8ac1-4af5722b3885}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "hubbsi"="{7b1eeccd-0a6d-4ad5-8ac1-4af5722b3885}"



      Version 2.77 (August 01, 2006)


      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EMediaCodec.Chl]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media-Codec.Chl]

      %SYSTEM%\viruxz.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "bestreak"="{874443fe-aa33-4ebf-a6ac-73208787e62d}"
      [HKEY_CLASSES_ROOT\CLSID\{874443fe-aa33-4ebf-a6ac-73208787e62d}]
      [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{874443fe-aa33-4ebf-a6ac-73208787e62d}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "bestreak"="{874443fe-aa33-4ebf-a6ac-73208787e62d}"

      %SYSTEM%\urroxtl.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"
      [HKEY_CLASSES_ROOT\CLSID\{03413bf7-e34c-445b-bfc0-a2b127255871}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03413bf7-e34c-445b-bfc0-a2b127255871}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"



      Version 2.76 (July 27, 2006)


      %SYSTEM%\components\flx???.dll

      [-HKEY_CURRENT_USER\Software\Media-Codec]

      %PROGRAMFILES%\eMedia Codec
      [-HKEY_CURRENT_USER\Software\eMedia Codec]
      [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\eMedia Codec]

      %PROGRAMFILES%\IntCodec
      [-HKEY_CURRENT_USER\Software\IntCodec]
      [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\IntCodec]

      %PROGRAMFILES%\PornMag Pass
      [-HKEY_CURRENT_USER\Software\PornMag Pass]
      [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\PornMag Pass]

      %PROGRAMFILES%\ZipCodec
      [-HKEY_CURRENT_USER\Software\ZipCodec]
      [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZipCodec]



      Version 2.75 (July 24, 2006)


      %DESKTOP%\Online Shopping.url
      %DESKTOP%\Remove Adware.url
      %DESKTOP%\*** Personals.url
      %DESKTOP%\Video Slots.url
      %WINDOWS%\ads.js
      %WINDOWS%\local.html
      %WINDOWS%\mxd.exe
      %WINDOWS%\onlineshopping.ico
      %WINDOWS%\removeadware.ico
      %WINDOWS%\sexpersonals.ico
      %WINDOWS%\tctool.exe
      %WINDOWS%\url.exe
      %WINDOWS%\videoslots.ico

      %TEMP%\_uninst35.exe
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Trust Cleaner Promo]

      %WINDOWS%\inetloader.dll
      O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\inetloader.dll
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{590FFB84-6A29-4797-9C0E-B15DF2C4CDCB}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{81CDDAE8-3B92-4F0D-86C1-8DD5DB6A8471}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{EFA1EC0F-8359-41B7-A178-7DD6805A0C79}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InetLoader.WeeklyExecuter]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InetLoader.WeeklyExecuter.1]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{590FFB84-6A29-4797-9C0E-B15DF2C4CDCB}]

      %WINDOWS%\trustinbar.exe
      %PROGRAMFILES%\TrustIn Bar\
      O2 - BHO: TrustIn Bar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\Program Files\trustin bar\trustin.dll
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{da7ff3f8-08be-4cac-bc00-94d91c6ae7f4}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{636FF82A-830A-42EA-938B-6DC78B2AC30C}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A55C3BA7-DB1E-4652-867E-055CEAFE8018}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TrustIn.activator]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TrustIn.activator.1]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{da7ff3f8-08be-4cac-bc00-94d91c6ae7f4}]

      O3 - Toolbar: TrustIn Bar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\Program Files\trustin bar\trustin.dll
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a19ef336-01d4-48e6-926a-fe7e1c747aed}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{42FC3840-020C-4E93-A34C-4DF1A6330FBB}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{636FF82A-830A-42EA-938B-6DC78B2AC30C}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\TrustIn Bar]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TrustIn.StockBar]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TrustIn.StockBar.1]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TrustIn Bar]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{a19ef336-01d4-48e6-926a-fe7e1c747aed}"=-

      %WINDOWS%\tse.exe
      %WINDOWS%\se_spoof.dll
      O2 - BHO: SpoofBHO Class - {07A78AEA-4A54-4967-9A60-4B68592D30C7} - C:\WINDOWS\se_spoof.dll
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07A78AEA-4A54-4967-9A60-4B68592D30C7}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8C88AAE2-A341-4DE8-B064-062194307E5F}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{506146FD-9499-49A8-AEDE-692C173B2AA4}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Se_spoof.SpoofBHO]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Se_spoof.SpoofBHO.1]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07A78AEA-4A54-4967-9A60-4B68592D30C7}]

      O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\.dll
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D4C7057-EAD2-44C6-AD18-9092905F28F1}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChangerBHO.ChangerBHO]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ChangerBHO.ChangerBHO.1]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{60D3A642-0B03-46AD-B8B0-8D45989A0055}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{FEBB9141-2FF9-4FC8-BA91-1CE79DDE25CF}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0D4C7057-EAD2-44C6-AD18-9092905F28F1}]

      %WINDOWS%\ticads.exe
      %PROGRAMFILES%\TrustIn Contextual\
      O2 - BHO: ContextualAds Class - {FE6C16C4-16AD-47B6-B250-26AD1829E49A} - C:\Program Files\TrustIn Contextual\trustincontext.dll
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FE6C16C4-16AD-47B6-B250-26AD1829E49A}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TrustInContext.ContextualAds]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TrustInContext.ContextualAds.1]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C28EB22A-6966-4E4B-8592-E84C28D38402}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B1C54189-72F0-4353-987B-18FA221BEF09}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FE6C16C4-16AD-47B6-B250-26AD1829E49A}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Contextual Ads]

      %WINDOWS%\tpopup.exe
      %PROGRAMFILES%\TrustIn Popups
      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      "TrustIn Popups"=-
      [-HKEY_CURRENT_USER\Software\TrustIn]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TrustIn Popups]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\TrustIn Popups]

      %SYSTEM%\977efcdb.exe
      %USERPROFILE%\Local Settings\Application Data\977efcdb.exe
      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      "977efcdb.exe"=-
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "977efcdb.exe"=-



      Version 2.74 (July 19, 2006)


      %SYSTEM%\components\flx?.dll
      %SYSTEM%\components\flx??.dll

      O2 - BHO: (no name) - {f7d40011-29bb-43eb-9c97-875ce89e9e36} - C:\WINDOWS\system32\hp100.tmp
      [HKEY_CLASSES_ROOT\CLSID\{f7d40011-29bb-43eb-9c97-875ce89e9e36}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f7d40011-29bb-43eb-9c97-875ce89e9e36}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f7d40011-29bb-43eb-9c97-875ce89e9e36}]



      Version 2.73 (July 17, 2006)


      %PROGRAMFILES%\Media-Codec\

      [HKEY_CURRENT_USER\Software\Internet Security]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media-Codec]

      O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Program Files\Media-Codec\isaddon.dll
      [HKEY_CLASSES_ROOT\CLSID\{5753791b-f607-48ca-814e-91c14d081f9e}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5753791b-f607-48ca-814e-91c14d081f9e}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5753791b-f607-48ca-814e-91c14d081f9e}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
      "homepage.monitor.exe" = "C:\Program Files\Media-Codec\isamonitor.exe"
      "pmsngr.exe" = "C:\Program Files\Media-Codec\pmsngr.exe"



      Version 2.72 (July 16, 2006)


      %PROGRAMFILES%\Malware-Wipe\
      %DESKTOP%\Malware-Wipe.lnk
      %STARTMENU%\Malware-Wipe 4.2.lnk
      %STARTMENU%\Programs\Malware-Wipe\
      %USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\Malware-Wipe 4.2.lnk

      [HKEY_LOCAL_MACHINE\SOFTWARE\Malware-Wipe]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\MalwareWipe.EXE] (same as MalwareWipe 4.1)
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}] (same as MalwareWipe 4.1)
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9DFD0A51-6176-5770-217C-A5BCD7E6F3E2}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{028800B5-3050-4A25-9D4C-1D765EF44598}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0A8CD4A5-F54F-4EB6-9507-D32E4A8328C5}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{23F5ED0F-B621-408A-A857-B0FC38CCD6F4}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C2E34BB-2F46-4B74-9EB4-F90B378E5E51}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{49B0A793-F7D0-47F1-9183-16F6CDF161CB}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4BC6606C-7DCA-487A-89AC-5A1FDE51E721}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5416CDA8-A459-491F-8BC3-32AAC8899F26}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5A3E47AB-3FD1-4B5A-9296-BD3FC395B2D2}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{70FD26ED-6C79-4D3C-8B8B-0D23E9E8135B}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7DAB1006-335A-4608-A596-218BB1893180}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AA4947D5-1DB9-4CD2-98A5-2746C3776285}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B78BA1C4-A46A-4A69-88FD-27D8F6912E84}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BB68F4C2-01ED-48A0-A94B-C78237B73387}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D8A82314-6634-4C62-9663-9B943C08DF6C}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FB122CE1-2604-4570-9113-0536B0B99373}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FB9A7A3B-2452-4A42-AE48-B197DEEBBDF8}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{FC33C950-7B73-4882-AAB2-0D4611796A27}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Malware-Wipe.exe]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malware-Wipe]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Malware-Wipe"="C:\Program Files\Malware-Wipe\Malware-Wipe.exe /h"

      O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\System32\ixt0.dll
      [HKEY_CLASSES_ROOT\CLSID\{873eb32d-ae1a-4183-89bd-45a77f761be4}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{873eb32d-ae1a-4183-89bd-45a77f761be4}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{873eb32d-ae1a-4183-89bd-45a77f761be4}]

      %SYSTEM%\onofub.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "contraposition"="{3dab4d3e-1d45-406e-9cda-25227a7a2633}"
      [HKEY_CLASSES_ROOT\CLSID\{3dab4d3e-1d45-406e-9cda-25227a7a2633}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3dab4d3e-1d45-406e-9cda-25227a7a2633}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "contraposition"="{3dab4d3e-1d45-406e-9cda-25227a7a2633}"

      %SYSTEM%\fjdcy.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "chrysenic"="{3bb84870-e757-4fb1-a195-e2f7d3d95e40}"
      [HKEY_CLASSES_ROOT\CLSID\{3bb84870-e757-4fb1-a195-e2f7d3d95e40}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3bb84870-e757-4fb1-a195-e2f7d3d95e40}]
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "chrysenic"="{3bb84870-e757-4fb1-a195-e2f7d3d95e40}"



      Version 2.71 (July 12, 2006)


      Generic Renos Fix v1.4 (new signature added)



      Version 2.70 (July 12, 2006)


      %SYSTEM%\mzoeut.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"
      [HKEY_CLASSES_ROOT\CLSID\{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}]
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "cholecyst"="{ee2975b6-e8d5-405e-8448-8fe9590f6cfb}"

      %SYSTEM%\pmnqguh.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"
      [HKEY_CLASSES_ROOT\CLSID\{93ac7c30-3878-4eaa-9420-7977285df5b1}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{93ac7c30-3878-4eaa-9420-7977285df5b1}]
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"

      %SYSTEM%\yephk.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"
      [HKEY_CLASSES_ROOT\CLSID\{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}]
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"



      Version 2.69 (July 10, 2006)


      %SYSTEM%\ipztub.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "buys"="{e51e3ade-ddc4-45d9-9a21-36cf20ea9306}"
      [HKEY_CLASSES_ROOT\CLSID\{e51e3ade-ddc4-45d9-9a21-36cf20ea9306}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e51e3ade-ddc4-45d9-9a21-36cf20ea9306}]
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "buys"="{e51e3ade-ddc4-45d9-9a21-36cf20ea9306}"

      %SYSTEM%\posem.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{aeabe83d-672b-4717-9154-45bd6283c610}"="aporocactus"
      [HKEY_CLASSES_ROOT\CLSID\{aeabe83d-672b-4717-9154-45bd6283c610}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{aeabe83d-672b-4717-9154-45bd6283c610}]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96E6B1C3-B5D0-89CC-4909-92D85A48B1A0}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0EBCA7C4-AA97-4B47-99D7-4932A73E9198}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{16640BA0-193C-4BD5-882B-F92D6EF82156}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2A041B9C-44AC-47FF-9399-CB8AEEF1CFE8}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4DFFBEAB-DB11-4602-A3E8-0454ED3F928B}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{57DD6CFE-ABDB-46C2-92EB-316A5F499167}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{690D2910-BFD6-47D3-A96C-13E6BA2935E8}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8407F578-6FA7-446A-8852-53E6A147472E}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{85A126D1-2706-443D-9979-8841A1C5B482}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B11E589E-9A82-40EF-9777-8E13553F83D4}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C2E39865-E9E9-462F-87CB-9A09CEB4795F}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E12E00DE-9BE2-486C-A9F1-19730F93807E}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EBDD9FB9-3A6C-4DA2-B0A9-D117528D4040}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{ED33F056-D246-4FF2-8D2A-D9F3938753BF}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EFC68768-18B9-4930-9643-F6DD7AA60A71}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F5EC0F1E-A3EB-49EA-BD87-989899B6E1C9}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FEB6CDEC-70F6-4D2B-BCA4-1AB3BCDCC513}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A48995B0-2BB5-4246-B0EA-55B2FFCF9129}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpyHeal.exe]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyHeal]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\SpyHeal]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SpyHeal"=-

      %ProgramFiles%\SpyHeal\
      %DESKTOP%\SpyHeal.lnk
      %STARTMENU%\SpyHeal 2.1.lnk
      %STARTMENU%\Programs\SpyHeal\
      %USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\SpyHeal 2.1.lnk



      Version 2.68 (July 06, 2006)


      Generic Renos Fix v1.3 (ShellServiceObjectDelayLoad keys scanner added)

      %SYSTEM%\zlara.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}"
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "furnariidae"="{89e4aaba-3b21-49b3-b922-8ca35193c68e}"
      [HKEY_CLASSES_ROOT\CLSID\{89e4aaba-3b21-49b3-b922-8ca35193c68e}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{89e4aaba-3b21-49b3-b922-8ca35193c68e}]

      %SYSTEM%\vpxnk.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "altmannsberger"="{210b4043-35ca-4aa0-8796-191f9663dfb3}"
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "altmannsberger"="{210b4043-35ca-4aa0-8796-191f9663dfb3}"
      [HKEY_CLASSES_ROOT\CLSID\{210b4043-35ca-4aa0-8796-191f9663dfb3}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{210b4043-35ca-4aa0-8796-191f9663dfb3}]

      %SYSTEM%\jevtxpg.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "fairydom"="{5839511e-ec1b-4f91-ace3-fb88e52f5239}"
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "fairydom"="{5839511e-ec1b-4f91-ace3-fb88e52f5239}"
      [HKEY_CLASSES_ROOT\CLSID\{5839511e-ec1b-4f91-ace3-fb88e52f5239}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839511e-ec1b-4f91-ace3-fb88e52f5239}]



      Version 2.67 (July 03, 2006)


      %DESKTOP%\SpyQuake2.com.lnk
      %STARTMENU%\SpyQuake2.com 2.3.lnk
      %STARTMENU%\Programs\SpyQuake2.com\
      %USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\SpyQuake2.com 2.3.lnk
      %PROGRAMFILES%\SpyQuake2.com\

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5B55C4E3-C179-BA0B-B4FD-F2DB862D6202}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2DD8D482-8F1C-4180-AA8E-9D5819E5F2EA}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{411F83B1-A0EC-4155-AF99-0137F5EFB270}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4E3645AF-7A81-4F83-9B8C-1E4F930D873F}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{61032A65-2371-4C89-B5BB-DF73090FB5EA}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{66189AF2-7726-46E8-8628-0F95AB854792}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7A2F6251-6C99-4DA5-9827-954EB45DCB82}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{82C6C396-DD7B-4CE5-B668-C0087D1F3A1F}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{853E0D78-F4C2-47CB-A3F5-A774DA60DFCD}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{94786C47-EB3F-4BD5-A66B-0D49E2C90541}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9989A9BC-9828-467E-AF06-E3B279E6E97B}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B2B3702A-5425-489E-A3AF-EDCCAFEBA019}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C1C56112-2B2E-4D3C-8CFC-7E10C77FACEF}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D01D4AAB-22C5-427F-A941-C4B65A3D8A23}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DDB0D689-FAE0-4165-9F7C-877602F9DD66}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E5AD5BD5-C710-45E0-ABD3-E770FE85DAE8}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EB5CA3AF-26C1-467B-9A55-2820E0451AAB}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5E05EA9F-1EA7-4D0B-A09B-D5E29EC758B9}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Spy-Quake2.exe]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyQuake2.com]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\SpyQuake2.com]

      [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SpyQuake2.com"=-



      Version 2.66 (July 01, 2006)


      %SYSTEM%\bpvcou.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{23f9d371-0bd6-41ab-a00b-a1f9342d6390}"="blasengeschwulste"
      [HKEY_CLASSES_ROOT\CLSID\{23f9d371-0bd6-41ab-a00b-a1f9342d6390}]
      [HKEY_CURRENT_USER\Software\Classes\CLSID\{23f9d371-0bd6-41ab-a00b-a1f9342d6390}]

      O2 - BHO: adobepnl.ADOBE_PANEL - {A40D9D65-5C09-421A-AFF8-2160D7ABD4E7} - C:\WINDOWS\System32\adobepnl.dll
      %SYSTEM%\ld???.tmp
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A40D9D65-5C09-421A-AFF8-2160D7ABD4E7}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A40D9D65-5C09-421A-AFF8-2160D7ABD4E7}]

      %HOMEDRIVE%\dfndr?_?.exe
      %HOMEDRIVE%\kybrd?_?.exe
      %HOMEDRIVE%\nwnm?_?.exe



      Version 2.65 (June 24, 2006)


      %HOMEDRIVE%\dfndr.exe
      %HOMEDRIVE%\dfndra.exe
      %HOMEDRIVE%\kybrd.exe
      %HOMEDRIVE%\nwnm.exe
      %HOMEDRIVE%\dfndra_?.exe
      %HOMEDRIVE%\kybrd_?.exe
      %HOMEDRIVE%\nwnm_?.exe
      %HOMEDRIVE%\drsmartload?.exe
      %HOMEDRIVE%\drsmartload??.exe
      %HOMEDRIVE%\drsmartload???.exe
      %HOMEDRIVE%\drsmartload????.exe
      %HOMEDRIVE%\MTE3NDI6ODoxNg.exe
      %WINDOWS%\drsmartload2.dat
      %WINDOWS%\keyboard1.dat
      %WINDOWS%\newname.dat

      %SYSTEM%\kkqfb.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{ccf982af-f3aa-48c4-97c4-ecdea4bd3fc3}"="husked"
      [HKEY_CLASSES_ROOT\CLSID\{ccf982af-f3aa-48c4-97c4-ecdea4bd3fc3}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{ccf982af-f3aa-48c4-97c4-ecdea4bd3fc3}]

      O2 - BHO: Nothing - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp???.tmp
      [HKEY_CLASSES_ROOT\CLSID\{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5f4c3d09-b3b9-4f88-aa82-31332fee1c08}]



      Version 2.64 (June 22, 2006)

      %SYSTEM%\ixt?.dll
      %SYSTEM%\ixt??.dll
      %SYSTEM%\ishost.exe
      %SYSTEM%\ismon.exe
      %SYSTEM%\isnotify.exe
      %SYSTEM%\issearch.exe

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
      "ishost.exe"=-
      "issearch.exe"=-

      %SYSTEM%\tnvocyn.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{0ffdaffc-d80d-47bf-b9b0-895ea240f4de}"="adelges"
      [HKEY_CLASSES_ROOT\CLSID\{0ffdaffc-d80d-47bf-b9b0-895ea240f4de}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{0ffdaffc-d80d-47bf-b9b0-895ea240f4de}]



      Version 2.63 (June 20, 2006)


      O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\System32\ixt1.dll
      %SYSTEM%\ixt0.dll
      %SYSTEM%\ixt1.dll
      HKEY_CLASSES_ROOT\CLSID\{7fcf04b6-6354-47ef-b45e-a48268e92757}
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7fcf04b6-6354-47ef-b45e-a48268e92757}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7fcf04b6-6354-47ef-b45e-a48268e92757}

      %SYSTEM%\viwpzla.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{6af69c4d-420a-4c95-b34f-e4635f84f53b}"="forevouched"
      [HKEY_CLASSES_ROOT\CLSID\{6af69c4d-420a-4c95-b34f-e4635f84f53b}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{6af69c4d-420a-4c95-b34f-e4635f84f53b}]

      %SYSTEM%\guxxa.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{af3fd9a8-1287-4159-9212-9a5b4494af70}"="ecosystems"
      [HKEY_CLASSES_ROOT\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}]

      %SYSTEM%\hvcycg.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{7916f057-223f-4612-ac84-e882cbe043d4}"="bals"
      [HKEY_CLASSES_ROOT\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}]



      Version 2.62 (June 18, 2006)


      %ALLUSERDESKTOP%\Security Troubleshooting.url

      O2 - BHO: adobepnl.ADOBE_PANEL - {0F7E55FC-6D46-491C-922B-4EBC6636B561} - C:\WINDOWS\system32\adobepnl.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0F7E55FC-6D46-491C-922B-4EBC6636B561}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F7E55FC-6D46-491C-922B-4EBC6636B561}]

      %SYSTEM%\xuefh.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{f85e05f5-667e-41b0-ab8a-147337a99e65}"="bloodthirst"
      [HKEY_CLASSES_ROOT\CLSID\{f85e05f5-667e-41b0-ab8a-147337a99e65}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{f85e05f5-667e-41b0-ab8a-147337a99e65}]

      %SYSTEM%\yvvdj.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{a2cd90b5-e5a2-4aac-a504-c964a6d499df}"="distractible"
      [HKEY_CLASSES_ROOT\CLSID\{a2cd90b5-e5a2-4aac-a504-c964a6d499df}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{a2cd90b5-e5a2-4aac-a504-c964a6d499df}]

      %SYSTEM%\oybgrql.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{ed39ecef-902e-4ed1-8434-71e8db89e5ca}"="decorin"
      [HKEY_CLASSES_ROOT\CLSID\{ed39ecef-902e-4ed1-8434-71e8db89e5ca}]
      [HKEY_CURRENT_USER\Software\Classes\CLSID\{ed39ecef-902e-4ed1-8434-71e8db89e5ca}]



      Version 2.61 (June 15, 2006)


      O2 - BHO: adobepnl.ADOBE_PANEL - {C3E7E8D3-0B97-4FF3-B1BD-DAB4B04CD697} - C:\WINDOWS\system32\adobepnl.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C3E7E8D3-0B97-4FF3-B1BD-DAB4B04CD697}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C3E7E8D3-0B97-4FF3-B1BD-DAB4B04CD697}]

      %SYSTEM%\lwpfwjb.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{feac45db-84dc-4123-8b0d-4d9408fcf9ea}"="alymphia"
      [HKEY_CLASSES_ROOT\CLSID\{feac45db-84dc-4123-8b0d-4d9408fcf9ea}\]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{feac45db-84dc-4123-8b0d-4d9408fcf9ea}]

      %SYSTEM%\rmzdzx.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{9ae613a2-a13b-4379-8d0e-86a1a78476ec}"="corindon"
      [HKEY_CLASSES_ROOT\CLSID\{9ae613a2-a13b-4379-8d0e-86a1a78476ec}]
      [HKEY_CURRENT_USER\Software\Classes\CLSID\{9ae613a2-a13b-4379-8d0e-86a1a78476ec}]



      Version 2.60 (June 13, 2006)


      Generic Renos Fix 1.2 - New Signature added

      %SYSTEM%\ekvrlfzz.exe

      %SYSTEM%\erxbx.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{315f73fc-a7b1-49e6-a3c4-cc00cf8a3fdb}"="fossilage"
      [HKEY_CLASSES_ROOT\CLSID\{315f73fc-a7b1-49e6-a3c4-cc00cf8a3fdb}]
      [HKEY_CURRENT_USER\Software\Classes\CLSID\{315f73fc-a7b1-49e6-a3c4-cc00cf8a3fdb}]

      %SYSTEM%\ofcukiz.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{05a91164-3c96-47d6-aa74-2c855791b2d0}"="incaged"
      [HKEY_CLASSES_ROOT\CLSID\{05a91164-3c96-47d6-aa74-2c855791b2d0}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{05a91164-3c96-47d6-aa74-2c855791b2d0}]

      %SYSTEM%\hzclqhc.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{8dc1f789-e073-4363-b40d-07376bc5ecc5}"="articulation"
      [HKEY_CLASSES_ROOT\CLSID\{8dc1f789-e073-4363-b40d-07376bc5ecc5}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8dc1f789-e073-4363-b40d-07376bc5ecc5}]



      Version 2.59 (June 12, 2006)


      O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77701e16-9bfe-4b63-a5b4-7bd156758a37}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77701e16-9bfe-4b63-a5b4-7bd156758a37}]

      %WINDOWS%\about_spyware_bg.gif
      %WINDOWS%\about_spyware_bottom.gif
      %WINDOWS%\as.gif
      %WINDOWS%\as_header.gif
      %WINDOWS%\box_1.gif
      %WINDOWS%\box_2.gif
      %WINDOWS%\box_3.gif
      %WINDOWS%\button_buynow.gif
      %WINDOWS%\button_freescan.gif
      %WINDOWS%\download_box.gif
      %WINDOWS%\features.gif
      %WINDOWS%\footer_back.gif
      %WINDOWS%\footer_back.jpg
      %WINDOWS%\header_1.gif
      %WINDOWS%\header_2.gif
      %WINDOWS%\header_3.gif
      %WINDOWS%\header_4.gif
      %WINDOWS%\main_back.gif
      %WINDOWS%\rf.gif
      %WINDOWS%\rf_header.gif
      %WINDOWS%\scan_btn.gif
      %WINDOWS%\security-center-bg.gif
      %WINDOWS%\security-center-logo.gif
      %WINDOWS%\security_center_caption.gif
      %WINDOWS%\sep_hor.gif
      %WINDOWS%\sep_vert.gif
      %WINDOWS%\spacer.gif
      %WINDOWS%\spacer.gif'
      %WINDOWS%\spyware-detected.gif
      %WINDOWS%\star_gray.gif
      %WINDOWS%\star_gray_small.gif
      %WINDOWS%\star_small.gif
      %WINDOWS%\ts.gif
      %WINDOWS%\ts_header.gif
      %WINDOWS%\v.gif
      %WINDOWS%\warning_icon.gif
      %WINDOWS%\win_logo.gif
      %WINDOWS%\x.gif
      %SYSTEM%\qjrkvy.exe
      %SYSTEM%\thlwin32.dll
      %SYSTEM%\winflash.dll

      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2513A321-CB50-4C5F-91C5-80342AFACFB1}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2513A321-CB50-4C5F-91C5-80342AFACFB1}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EF17C9F7-3ABD-48BA-BCD3-3ADD3C1B65E5}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B8CE2641-0F08-43A1-8F28-3AE65B395CB3}]



      Version 2.58 (June 10, 2006)


      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TitanShield Antispyware_is1]
      [HKEY_CURRENT_USER\Software\ADV] (Soon removed with SpywareSheriff)

      %USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\TitanShield Antispyware.lnk
      %USERPROFILE%\Local Settings\Application Data\TitanShield\*.*
      %STARTMENU%\Programs\TitanShield Antispyware\*.*
      %STARTMENU%\Programmes\StartUp\titanshield.lnk
      %DESKTOP%\TitanShield Antispyware.lnk
      %PROGRAMFILES%\TitanShield Antispyware\*.*



      Version 2.57 (June 10, 2006)


      %SYSTEM%\users32.exe
      %SYSTEM%\main.exe

      O2 - BHO: adobepnl.ADOBE_PANEL - {5E8FA924-DEF0-4E71-8A82-A11CA0C1413B} - C:\WINDOWS\system32\adobepnl.dll
      %SYSTEM%\adobepnl.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\adobepnl.ADOBE_PANEL]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5E8FA924-DEF0-4E71-8A82-A11CA0C1413B}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5FD68FB1-7D4C-4803-AB57-382E5CE342BC}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C13F6A43-3C5A-429A-87D5-3BBF60099CF0}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Srv32 spool service]
      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\Srv32 spool service]

      %SYSTEM%\dnefhw.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{3e4155b8-5a4a-4e95-83b2-ab032da9acbc}"="blooded"
      [HKEY_CLASSES_ROOT\CLSID\{3e4155b8-5a4a-4e95-83b2-ab032da9acbc}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{3e4155b8-5a4a-4e95-83b2-ab032da9acbc}]

      %SYSTEM%\asxbbx.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{5aaf6542-f4ba-4df4-873d-4902ecbe794c}"="antitragus"
      [HKEY_CLASSES_ROOT\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}]
      [HKEY_CURRENT_USER\Software\Classes\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}]



      Version 2.56 (June 8, 2006)


      %ALLUSERPROFILE%\Desktop\Online Security Guide.url

      O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp???.tmp
      [HKEY_CLASSES_ROOT\CLSID\{686a161d-5bd1-4999-8832-6393f41e564c}]
      [HKLM\SOFTWARE\Classes\CLSID\{686a161d-5bd1-4999-8832-6393f41e564c}]
      [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{686a161d-5bd1-4999-8832-6393f41e564c}]

      %SYSTEM%\ornzq.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{9952355f-fefb-4764-bcd7-a993d03dd7e2}"="commencement"
      [HKEY_CLASSES_ROOT\CLSID\{686a161d-5bd1-4999-8832-6393f41e564c}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{9952355f-fefb-4764-bcd7-a993d03dd7e2}]



      Version 2.55 (June 5, 2006)


      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      "Trust Cleaner"=-

      %SYSTEM%\icima.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{55059d4f-a1ac-4837-ae07-4859101f598d}"="chromatodysopia"
      [HKEY_CLASSES_ROOT\CLSID\{55059d4f-a1ac-4837-ae07-4859101f598d}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{55059d4f-a1ac-4837-ae07-4859101f598d}]

      %SYSTEM%\acvgxw.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{5aaf6542-f4ba-4df4-873d-4902ecbe794c}"="acheweed"
      [HKEY_CLASSES_ROOT\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{5aaf6542-f4ba-4df4-873d-4902ecbe794c}]

      %SYSTEM%\ucbrrt.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{c3786a8d-6426-4c29-a23f-f36e47b31e0c}"="hillman"
      [HKEY_CLASSES_ROOT\CLSID\{c3786a8d-6426-4c29-a23f-f36e47b31e0c}]
      [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{c3786a8d-6426-4c29-a23f-f36e47b31e0c}]



      Version 2.54 (June 5, 2006)


      %SYSTEM%\dcom_20.dll
      %SYSTEM%\dcom_21.dll

      %SYSTEM%\hp???.tmp
      [HKEY_CLASSES_ROOT\CLSID\{6AB7158B-4BFF-4160-AD7D-4D622DF548CF}]
      [HKLM\SOFTWARE\Classes\CLSID\{6AB7158B-4BFF-4160-AD7D-4D622DF548CF}]
      [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6AB7158B-4BFF-4160-AD7D-4D622DF548CF}]

      %SYSTEM%\vhywj.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{a0aa3e4b-31cb-4ea2-9049-22b7f5b65edb}"="fumarases"
      [HKEY_CLASSES_ROOT\CLSID\{a0aa3e4b-31cb-4ea2-9049-22b7f5b65edb}]
      [HKEY_CURRENT_USER\Software\Classes\CLSID\{a0aa3e4b-31cb-4ea2-9049-22b7f5b65edb}]

      %SYSTEM%\ywbicim.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{6c69e319-0d03-47da-997a-36586cbc53b3}"="fortread"
      [-HKEY_CLASSES_ROOT\CLSID\{6c69e319-0d03-47da-997a-36586cbc53b3}]
      [-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{6c69e319-0d03-47da-997a-36586cbc53b3}]

      %SYSTEM%\yfysupa.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{cbb430e6-5b1b-474a-9d7e-160d4fe74bea}"="feld"
      [HKEY_CLASSES_ROOT\CLSID\{cbb430e6-5b1b-474a-9d7e-160d4fe74bea}]
      [HKEY_CURRENT_USER\Software\Classes\CLSID\{cbb430e6-5b1b-474a-9d7e-160d4fe74bea}]



      Version 2.53 (May 31, 2006)


      %SYSTEM%\imfdfcj.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{e5b1e382-817e-4b74-8a96-ec78751e6acf}"="incatenate"
      [HKEY_CLASSES_ROOT\CLSID\{e5b1e382-817e-4b74-8a96-ec78751e6acf}]
      [HKEY_CURRENT_USER\Software\Classes\CLSID\{e5b1e382-817e-4b74-8a96-ec78751e6acf}]



      Version 2.52 (May 30, 2006)


      %SYSTEM%\yhbdupd.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}"="alongshore"
      [HKEY_CLASSES_ROOT\CLSID\{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}]
      [HKEY_CURRENT_USER\Software\Classes\CLSID\{aea3d2df-2b2c-4d7b-81a0-d975c6dc088e}]

      %SYSTEM%\hvnwm.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{62eb0924-19d2-4226-b4b9-8ad1f70904c1}"="bronchovascular"
      [HKEY_CLASSES_ROOT\CLSID\{62eb0924-19d2-4226-b4b9-8ad1f70904c1}]
      [HKEY_CURRENT_USER\Software\Classes\CLSID\{62eb0924-19d2-4226-b4b9-8ad1f70904c1}]



      Version 2.51 (May 30, 2006)


      %TEMP%\wschtm35.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{24E27EA9-FCF3-444F-BD80-20543BA5D946}]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{24E27EA9-FCF3-444F-BD80-20543BA5D946}"="Trustworking System Class"

      %DESKTOP%\Trust Cleaner.lnk
      %USERPROFILE%\StartMenu\Programs\Trust Cleaner\
      %PROGRAMFILES%\Trust Cleaner\
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Trust Cleaner]
      [-HKEY_CURRENT_USER\Software\Trust Cleaner]



      Version 2.50 (May 29, 2006)


      %SYSTEM%\TheMatrixHasYou.exe
      %SYSTEM%\0mcamcap.exe
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      "0mcamcap"=-
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
      "0mcamcap"=-
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "0mcamcap"=-

      %SYSTEM%\bolnyz.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{f5947202-e9cb-4a72-88e7-22f2cbd2b124}"=-
      [-HKEY_CLASSES_ROOT\CLSID\{f5947202-e9cb-4a72-88e7-22f2cbd2b124}]
      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{f5947202-e9cb-4a72-88e7-22f2cbd2b124}]



      Version 2.49b (May 27, 2006)


      Use of %OS% variable for deeper test on Windows version.



      Version 2.49 (May 27, 2006)


      use of the cscript command to run GetPaths.vbs script rather than start

      %SYSTEM%\ulztc.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{24c60b9b-26b5-4201-9f7a-fb9219356ae9}"=-
      [-HKEY_CLASSES_ROOT\CLSID\{24c60b9b-26b5-4201-9f7a-fb9219356ae9}]
      [-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{24c60b9b-26b5-4201-9f7a-fb9219356ae9}]

      %SYSTEM%\svchosts.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{A1D9D3F0-8C2A-9A1D-A376-2CACFB10AB72}"=-
      [-HKEY_CLASSES_ROOT\CLSID\{A1D9D3F0-8C2A-9A1D-A376-2CACFB10AB72}]
      [-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{A1D9D3F0-8C2A-9A1D-A376-2CACFB10AB72}]

      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}]
      [-HKEY_CURRENT_USER\Software\Classes\CLSID\{E802FFFF-8E58-4d2c-A435-8BEEFB10AB77}]



      Version 2.48 (May 25, 2006)


      %SYSTEM%\wfkduei.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{0c7416f0-dd23-420f-97f5-aae352ea2bf1}"=-
      [-HKEY_CLASSES_ROOT\CLSID\{0c7416f0-dd23-420f-97f5-aae352ea2bf1}]
      [-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{0c7416f0-dd23-420f-97f5-aae352ea2bf1}]

      %SYSTEM%\oerucu.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{336ec37f-54bf-4f13-8237-03f64fa591e7}"=-
      [-HKEY_CLASSES_ROOT\CLSID\{336ec37f-54bf-4f13-8237-03f64fa591e7}]
      [-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{336ec37f-54bf-4f13-8237-03f64fa591e7}]

      %SYSTEM%\oqipt.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{5bc82bdb-bc03-4671-9a78-3ef2b68449de}"=-
      [-HKEY_CLASSES_ROOT\CLSID\{5bc82bdb-bc03-4671-9a78-3ef2b68449de}]
      [-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{5bc82bdb-bc03-4671-9a78-3ef2b68449de}]

      %SYSTEM%\iqzv.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{70fbd528-2d3c-4a00-9b8c-bbf441e534be}"=-
      [-HKEY_CLASSES_ROOT\CLSID\{70fbd528-2d3c-4a00-9b8c-bbf441e534be}]
      [-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{70fbd528-2d3c-4a00-9b8c-bbf441e534be}]

      %SYSTEM%\sbnudh.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{89aef01d-d237-49c7-84dc-4e1904c1fd31}"=-
      [-HKEY_CLASSES_ROOT\CLSID\{89aef01d-d237-49c7-84dc-4e1904c1fd31}]
      [-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{89aef01d-d237-49c7-84dc-4e1904c1fd31}]

      %SYSTEM%\higjxe.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{a0c51615-738a-4542-801a-5af61614e182}"=-
      [-HKEY_CLASSES_ROOT\CLSID\{a0c51615-738a-4542-801a-5af61614e182}]
      [-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{a0c51615-738a-4542-801a-5af61614e182}]

      %SYSTEM%\htey.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{a566f298-05a6-4b3d-b672-da7c27316430}"=-
      [-HKEY_CLASSES_ROOT\CLSID\{a566f298-05a6-4b3d-b672-da7c27316430}]
      [-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{a566f298-05a6-4b3d-b672-da7c27316430}]

      %SYSTEM%\fyhhxw.dll
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
      "{e04408db-4812-4478-8d4d-e46edcffd3b6}"=-
      [-HKEY_CLASSES_ROOT\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}]
      [-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{e04408db-4812-4478-8d4d-e46edcffd3b6}]



      Version 2.47 (May 24, 2006)


      %SYSTEM%\dcom_18.dll
      %SYSTEM%\dcom_19.dll
      %STARTMENU%\SpyFalcon 3.1.lnk
      %USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\SpyFalcon 3.1.lnk

      020 - Winlogon Notify: s_reg - %windir%\system32\notifysb.dll
      %SYSTEM%\notifysb.dll
      %WINDIR%\sss_main.ini
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\s_reg]

      SpywareQuake.com 2.1
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{05F169E6-B9E9-4655-8718-B3390D7F603A}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1FCC2003-C5EB-4ED6-A31A-85A7028C5F06}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2557F3B3-37F3-45F5-B18A-985B0CD546F3}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{30686499-4F72-46E0-B4C7-0DF36BE1002F}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{36818356-5F51-47A0-BBCB-D2CF2578C009}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5616709E-BB23-4D9F-A9B5-2472C769F73B}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6A539D25-03B6-46E8-BDD1-889632109485}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6B781C5A-1A96-49C3-B1A0-F8400D46701A}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{985F4791-DEF6-47B0-B4BC-94E49E03BDD2}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9EDF97A9-DF39-4023-A73F-53146B61805A}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A5E6FB36-865E-431B-AE48-6ED52E4A40E7}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B7B6711F-40C0-49A8-9C46-EA5906F7264D}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B8EFA7B1-9614-4901-905D-698FC44926C9}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C7F06087-64B9-45C7-A74A-A2052B87ADF2}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E6909C99-4605-4E46-A2D3-EDE6D27D8539}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FEA247FA-3E92-4962-BD8F-454CE943D8A8}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F863FC64-E607-453D-A69B-03911B71707E}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Spyware-Quake.exe]



      Version 2.46 (May 23, 2006)

      Option 4 has been removed, Generic Renos Fix is now integrated in Option 2.
      SharedTaskScheduler is exported in the log before and after Option 2.
      Mode (Safe Mode / Normal Mode) is reported in the log.
      Bug correction with Generic Renos Fix (all keys were not removed from registry when several infections were registered) Thanks to Marckie.

**Ruby** · 17.02.2006 04:46

WEIL....
Smitfraud Infektionen
nicht nachlassen,
User mit diesem Problem überfordert sind
die allgemeine Reinigung immer die gleiche ist,
habe ich sie für die verschiedenen Betriebssysteme getrennt erstellt
fasse sie zusammen,
damit sie leichter zu finden ist.

Spyware Infection -> Win 98SE
Spyware Infection -> Win 2000
Spyware Infection -> Win ME
Spyware Infection -> Win XP

Information zu den verschiedenen Smitfraud Varianten:
Sicherheits-News

Thema: Startseite (a-z)

Themen-Optionen

AW: Startseite (a-z)

AW: Startseite (a-z)

AW: Startseite (a-z)

AW: Startseite (a-z)

AW: Startseite (a-z)

AW: Startseite (a-z)

AW: Startseite (a-z)

Re: Startseite (a-z)

Re: Startseite (a-z)

AW: Startseite (a-z)

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

IE6 Startseite nicht zu veraendern - ACH!

R0 fixen geht nicht ... Startseite: http://www.hotoffers.info/179/

Unerwünschte Startseite

Startseite searchdom

hilfe meine startseite ist weg

Forumregeln