[OPGELOST] Help, virus!!!!!

Aniek · 15 december 2008

ik kreeg dit bericht tijdens het defragmenteren: Een verdacht bestand werd gedetecteerd (dmv een heuristische methode). dit kan malware infectie betekenen. gelieve het bestand op te sturen naar ons virus lab voor analyse.

bestandsnaam: C:WINDOWS\SYSTEM32\ils.dll

type: rootkit: verborgen proces

bestand: ik kan het bestand niet met windows openen...

ik heb toen een virusscan gedaan tijdens het opstarten:

dit is het report van de virusscan... één besmet bestand kreeg ik er niet van af.

12/15/2008 15:24

Doorzoeken van alle lokale stations

Bestand C:\Documents and Settings\Vandeweyer\Local Settings\Temporary Internet Files\Content.IE5\DSHHZAPQ\1[1].pdf is besmet door JS:Agent-BQ [Expl], Verwijderd

Bestand C:\Documents and Settings\Vandeweyer\Local Settings\Temporary Internet Files\Content.IE5\NSLWP1VY\directx_9c_redist_downloader[1].exe is besmet door Win32:Trojan-gen {Other}, Verwijderd

Bestand C:\hiberfil.sys is besmet door Win32:Small-XK [Trj], Vewijderen: Fout 0xC0000022 {Toegang geweigerd}, Vewijderen: Fout 0xC0000022 {Toegang geweigerd}, Verplaatsen naar kluis: Fout 0xC0000022 {Toegang geweigerd}, Herstellen: Fout 42060 {Het bestand werd niet gerepareerd.}, Verplaatsen: Fout 0xC0000022 {Toegang geweigerd}, Verplaatsen naar kluis: Fout 0xC0000022 {Toegang geweigerd}, Verplaatsen naar kluis: Fout 0xC0000022 {Toegang geweigerd}, Verplaatsen naar kluis: Fout 0xC0000022 {Toegang geweigerd}, Vewijderen: Fout 0xC0000022 {Toegang geweigerd}

Aantal doorzochte mappen: 7188

Aantal gecontroleerde bestanden: 113343

Aantal besmette bestanden: 3

----------------------------------------

12/15/2008 17:33

Doorzoeken van alle lokale stations

Doorzoeken onderbroken

Aantal doorzochte mappen: 88

Aantal gecontroleerde bestanden: 6630

Aantal besmette bestanden: 0

nadien heb ik nog een gewone virusscan gedaan als de pc opgestart is:

dan krijg ik nog een hele lijst van bestanden die ontdekt is door de heuristische methode...

maar ik krijg die niet gecopieerd!

HELP MIJ, IK WIL NIET DAT MIJN PC CRASHED!!!

(vorige keer kwam alle hulp te laat, binnen 2 dagen lag alles plat en moest ik de pc binnen doen)

THX

filkill · 15 december 2008

Download HiJackThis

Dubbelklik op HJTInstall.exe

Hijackthis wordt nu op je PC geïnstalleerd, een snel koppeling wordt op je bureaublad geplaatst. Klik op "Do a systemscan and save a logfile". en hang dit logje aan je volgende bericht.

NB. Ben je een gebruiker van Windows Vista dan moet je eerst rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

kape · 15 december 2008

Heb je AVAST als virusscanner ? Dan is dit een fout na een update van deze virusscanner en hoef je je voorlopig om deze rootkit geen zorgen te maken. Bij een volgende update zou (normaal) deze fout rechtgezet moeten worden :s

filkill · 15 december 2008

Heb je AVAST als virusscanner ? Dan is dit een fout na een update van deze virusscanner en hoef je je voorlopig om deze rootkit geen zorgen te maken. Bij een volgende update zou (normaal) deze fout rechtgezet moeten worden :s

Gelukkig niet zo erg als AVG

Aniek · 16 december 2008

ja, ik heb avast...

maar ik krijg tegelijkertijd ook dit bericht:

avast heeft een virus ondekt in het besturingsgeheugen. aangezien het gevaarlijk is om met de pc te werken terwijl het virus actief is. is het ten sterkste aangeraken dat u uw pc herstart en avast alle data laat controleren tijdens de opstart-fase. wil u scan plannen...

als ik dan ja klik krijg ik weer het zelfde als bij de opstartfase in mijn vorige bericht...

zeker dat het onschadelijk is? of zal ik toch HiJackThis downloaden?

thx

kape · 16 december 2008

zeker dat het onschadelijk is? of zal ik toch HiJackThis downloaden?

Zo goed als zeker, maar gezien de speciale vermelding toch maar even HiJackThis laten runnen en een logje plaatsen.

kape · 23 december 2008

Ondertussen is wel overduidelijk dat ils.dll een "valse positieve" was van AVAST. Dit onderwerp lijkt ons dan ook een "slotje" te verdienen.

Aniek · 23 december 2008

ik weet jullie hebben het afgesloten...

maar ik had het programma eigenlijk nog niet gedownload (HiJackThis)

ik heb het nu even gedaan, moet wel zeggen dat het onverwacht snel ging:

het resultaat was:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:44:03, on 23/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Acer\Empowering Technology\admtray.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Acer\OrbiCam\CameraAssistant.exe

C:\WINDOWS\system32\ElkCtrl.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Belgacom\bin\sprtcmd.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Acer\Empowering Technology\admServ.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\DOCUME~1\VANDEW~1\LOCALS~1\Temp\RtkBtMnt.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Belgacom\bin\sprtsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Skynet.be - LE portail belge – DE Belgische portaalsite!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Jeux concours internet gratuits Belge en ligne, games, Online wedstrijd , cadeau's, geschenken, winnen, contest list, games spel

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Adparatus - {8B2C7C9D-716D-4e9e-9358-B9C80A81B7ED} - C:\Program Files\Adparatus\Adparatus.dll (file missing)

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe

O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect

O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] c:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: SupportSoft Sprocket Service (belgacom) (sprtsvc_belgacom) - SupportSoft, Inc. - C:\Program Files\Belgacom\bin\sprtsvc.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program Files\Common Files\Supportsoft\bin\ssrc.exe

--

End of file - 11507 bytes

kape · 23 december 2008

Heb je onderwerp even terug geopend en het HJT-log er aan toegevoegd ;-)

In dit log is er geen enkel probleem : deze lijn mag je fixen met HiJackTHis :

O2 - BHO: Adparatus - {8B2C7C9D-716D-4e9e-9358-B9C80A81B7ED} - C:\Program Files\Adparatus\Adparatus.dll (file missing)

Geeft AVAST ondertussen nog steeds dezelfde foutmelding bij het scannen ? Of is deze "valse positieve" verdwenen ?

Aniek · 29 december 2008

nee, het is hetzelfde, dit krijg ik met avast + de waarschuwing om tijdens de opstartfase een scan te doen.....etc.

het is allemaal ontdekt met de heuristische methode, en er wodt me aangeraden om het naar het viruslab te sturen...

=> gebeurt dat automatisch of moet ik daar iets voor doen, er staat geen knop bij??

dit heb ik uit het de datamap van avast gahaald (logbestand)

29/12/2008 15:29:37 1230560977 Vandeweyer 3220 Sign of "b" has been found in C:\WINDOWS\system32\setup.bmp\ehOCGen.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\setup.bmp\plusoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\setupdll.dll\ehOCGen.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\setupdll.dll\plusoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\setupapi.dll\ehOCGen.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\setupapi.dll\plusoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\autorun\Drivers\CCD\autorun.inf\demo32.exe||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\autorun\acer.ico\TOOLS\LaunchRS.ocx||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\autorun\acer.ico\TOOLS\RegActvX.exe||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\autorun\acer.ico\TOOLS\SHELEXEC.EXE||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\CONFIG.TMP\systemprofile\LocalSettings\Temp\RtkBtMnt.exe||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\CONFIG.NT\systemprofile\LocalSettings\Temp\RtkBtMnt.exe||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\spoolsv.exe\drivers\w32x86\3\hpaiofax.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\spoolsv.exe\drivers\w32x86\3\hpzuifax.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\spoolsv.exe\drivers\w32x86\3\HPZIPM12.EXE||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\spoolss.dll\drivers\w32x86\3\hpaiofax.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\spoolss.dll\drivers\w32x86\3\hpzuifax.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\spoolss.dll\drivers\w32x86\3\HPZIPM12.EXE||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\setup.exe\ehOCGen.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\setup.exe\plusoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\setupn.exe\ehOCGen.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\system32\setupn.exe\plusoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\LAN4401\AGRSM.sys||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\LAN4401\agrsmdel.exe||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\LAN4401\AGRSMhom.exe||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\LAN4401\AGRSMMsg.exe||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\LAN4401\agsetup1.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\LAN4401\agsetup2.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\LAN4401\setup.exe||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\LAN5789\AGRSM.sys||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\LAN5789\agrsmdel.exe||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\LAN5789\AGRSMhom.exe||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\LAN5789\AGRSMMsg.exe||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\LAN5789\agsetup1.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\LAN5789\agsetup2.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\LAN5789\setup.exe||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Vsa.Vb.CodeDOMProcessor\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.Vsa.Vb.CodeDOMProcessor.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\Microsoft_VsaVb\7.0.5000.0__b03f5f7f11d50a3a\Microsoft_VsaVb.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Vsa\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.Vsa.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic.Vsa\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Vsa.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\cscompmgd\7.0.5000.0__b03f5f7f11d50a3a\cscompmgd.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\Microsoft.JScript\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.JScript.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualC\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.VisualC.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\Regcode\1.0.5000.0__b03f5f7f11d50a3a\RegCode.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System.EnterpriseServices\1.0.5000.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System.EnterpriseServices\1.0.5000.0__b03f5f7f11d50a3a\System.EnterpriseServices.Thunk.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System.Security\1.0.5000.0__b03f5f7f11d50a3a\System.Security.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\CustomMarshalers\1.0.5000.0__b03f5f7f11d50a3a\CustomMarshalers.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\Accessibility\1.0.5000.0__b03f5f7f11d50a3a\Accessibility.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System.Configuration.Install\1.0.5000.0__b03f5f7f11d50a3a\System.Configuration.Install.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System.DirectoryServices\1.0.5000.0__b03f5f7f11d50a3a\System.DirectoryServices.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System.Drawing.Design\1.0.5000.0__b03f5f7f11d50a3a\System.Drawing.Design.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System.ServiceProcess\1.0.5000.0__b03f5f7f11d50a3a\System.ServiceProcess.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System.Web\1.0.5000.0__b03f5f7f11d50a3a\System.Web.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System.Windows.Forms\1.0.5000.0__b77a5c561934e089\System.Windows.Forms.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System.Xml\1.0.5000.0__b77a5c561934e089\System.XML.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System.Data\1.0.5000.0__b77a5c561934e089\System.Data.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System.Design\1.0.5000.0__b03f5f7f11d50a3a\System.Design.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System.Drawing\1.0.5000.0__b03f5f7f11d50a3a\System.Drawing.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\System\1.0.5000.0__b77a5c561934e089\System.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\1.0.5000.0__b03f5f7f11d50a3a\IEExecRemote.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\IEHost\1.0.5000.0__b03f5f7f11d50a3a\IEHost.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\IIEHost\1.0.5000.0__b03f5f7f11d50a3a\IIEHost.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\ISymWrapper\1.0.5000.0__b03f5f7f11d50a3a\ISymWrapper.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||

C:\WINDOWS\assembly\GAC_MSIL\mscorcfg\1.0.5000.0__b03f5f7f11d50a3a\mscorcfg.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||