Votre question

Pc bloqué, "System Progressive Protection".

Tags :
  • Protéger son ordinateur
  • Google Chrome
  • Virus
  • Antivirus
  • Sécurité
Dernière réponse : dans Sécurité et virus
7 Octobre 2012 15:22:44

Bonjour,
J'ai un problème avec mon PC . Depuis hier, dès que je le démarre j'ai une fenêtre qui s'ouvre, sous le nom de "System Progressive Protection" et qui dit détecter plusieurs fichiers infectés, mais quand je vais aux emplacements indiqués, je ne trouve même pas ces fichiers. Et en plus ça indique que je dois absolument acheter ce système pour me débarrasser de ces virus ( + 100 $ ) . Et le pire c'est que ça bloque tous les paramètres de sécurité de mon PC. Et ça me bloque l'accès aux navigateurs: google chrome, Internet explorer..... .J'arrive à y accéder en mode sans échecs, et là j'utilise le pc de mon amie.
Mon OS c'est Windows seven.
Je ne sais vraiment quoi pas faire, mon amie m'a conseillée votre forum, et j'espère que vous pourrez m'aider.


Cordialement
Mimi_na

Autres pages sur : bloque system progressive protection

a c 614 8 Sécurité
7 Octobre 2012 17:05:39

Bonjour,

C'est un rogue, un faux utilitaire de sécurité. Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.
On va donc travailler en mode sans échec pour commencer.

Note : si tu peux lancer le mode sans échec avec prise en charge réseau et que le pc est connecté via un cable ethernet, tu peux télécharger et suivre ce sujet sur le pc en question.
Sinon, télécharge les outils sur un pc connecté, puis transfère via clé usb, je te conseille de copier le script pour l'outil dans un fichier texte et le transférer de la même manière. Tu feras inversement pour les rapports à me transmettre.


1) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Poste-les dans ta prochaine réponse.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    2) Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)

    :jap: 
    Contenus similaires
    a c 614 8 Sécurité
    7 Octobre 2012 18:55:00

    Re,

    Tu es bien infecté, avec en plus le rootkit zeroaccess, ce qui ne va pas faciliter la tâche ...
    De plus pour compléter le tableau, tu as plusieurs adwares (logiciels publicitaires)
    Tu devras être beaucoup plus vigilant avec ce pc à l'avenir !

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - bProtector for Windows (adware)
    - SweetPacks Toolbar for Internet Explorer 4.4 (idem)
    - SweetIM for Messenger 3.6 (idem)
    - DealPly (idem)

    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    SRV - [2012/04/27 21:22:27 | 001,181,176 | ---- | M] (bProtector) [Auto | Stopped] -- C:\ProgramData\bProtectorForWindows\2.1.415.37\bProtect.exe -- (bProtector)
    IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
    IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=394&systemid=406&sr=0&q={searchTerms}
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://allssearch.com/
    IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
    IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=394&systemid=406&sr=0&q={searchTerms}
    IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&st=1&barid={EFEABA87-8370-11E1-92DE-EC9A745EF691}&q={searchTerms}&barid={EFEABA87-8370-11E1-92DE-EC9A745EF691}
    IE - HKU\.DEFAULT\..\SearchScopes\{86F14831-D88C-4BC8-B871-C8FB24D95D9B}: "URL" = http://www.questbasic.com/?prt=QUESTBASIC117&keywords={searchTerms}
    IE - HKU\S-1-5-18\..\SearchScopes\{86F14831-D88C-4BC8-B871-C8FB24D95D9B}: "URL" = http://www.questbasic.com/?prt=QUESTBASIC117&keywords={searchTerms}
    IE - HKU\S-1-5-21-3343872555-3673369988-535170037-1000\..\URLSearchHook: {8e5025c2-8ea3-430d-80b8-a14151068a6d} - No CLSID value found
    IE - HKU\S-1-5-21-3343872555-3673369988-535170037-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    IE - HKU\S-1-5-21-3343872555-3673369988-535170037-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=111020&tt=3612_4&babsrc=SP_ss&mntrId=b0b9aba3000000000000e4d53d5c9139
    IE - HKU\S-1-5-21-3343872555-3673369988-535170037-1000\..\SearchScopes\{86F14831-D88C-4BC8-B871-C8FB24D95D9B}: "URL" = http://www.questbasic.com/?prt=QstbscWD4&keywords={searchTerms}
    IE - HKU\S-1-5-21-3343872555-3673369988-535170037-1000\..\SearchScopes\{F0924896-18AC-4720-A161-DB06B1CF4E09}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3128284
    64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox
    FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\ProgramData\bProtectorForWindows\2.1.415.37\FirefoxExtension [2012/04/27 21:22:28 | 000,000,000 | ---D | M]
    [2012/07/16 12:39:41 | 000,000,000 | ---D | M] (01NET.com) -- C:\Users\Sanae\AppData\Roaming\mozilla\Firefox\extensions\{8e5025c2-8ea3-430d-80b8-a14151068a6d}
    CHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Users\Sanae\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehdmaehkiiampolokajdcelladmnopgp\2.3.15.503_0\plugins/ConduitChromeApiPlugin.dll
    CHR - Extension: Surf Canyon = C:\Users\Sanae\AppData\Local\Google\Chrome\User Data\Default\Extensions\bcjagnifjocnddgeknajocbkkhlgibem\3.4.7_0\
    CHR - Extension: 01NET.com = C:\Users\Sanae\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehdmaehkiiampolokajdcelladmnopgp\2.3.17.1_0\
    CHR - Extension: SweetIM for Facebook = C:\Users\Sanae\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
    CHR - Extension: SweetIM for Facebook = C:\Users\Sanae\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
    CHR - Extension: Surf Canyon = C:\Users\Sanae\AppData\Local\Google\Chrome\User Data\Default\Extensions\bcjagnifjocnddgeknajocbkkhlgibem\3.4.7_0\
    CHR - Extension: 01NET.com = C:\Users\Sanae\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehdmaehkiiampolokajdcelladmnopgp\2.3.17.1_0\
    CHR - Extension: SweetIM for Facebook = C:\Users\Sanae\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\Copy of
    CHR - Extension: SweetIM for Facebook = C:\Users\Sanae\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.0.0.0_0\
    CHR - Extension: New tab for Chrome\u2122 = C:\Users\Sanae\AppData\Local\Google\Chrome\User Data\Default\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg\1.0.0_0\
    CHR - Extension: New tab for Chrome\u2122 = C:\Users\Sanae\AppData\Local\Google\Chrome\User Data\Default\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg\1.0.0_0\
    O2 - BHO: (blekko search bar) - {a0442ee1-d2e7-44c0-b4a5-8c4e6b035787} - C:\Program Files (x86)\blekkotb_020\blekkotb_019X.dll ()
    O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
    O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
    O3:64bit: - HKLM\..\Toolbar: (no name) - !{95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
    O3:64bit: - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - !{95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (blekko search bar) - {a0442ee1-d2e7-44c0-b4a5-8c4e6b035787} - C:\Program Files (x86)\blekkotb_020\blekkotb_019X.dll ()
    O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKU\S-1-5-21-3343872555-3673369988-535170037-1000\..\Toolbar\WebBrowser: (no name) - {8E5025C2-8EA3-430D-80B8-A14151068A6D} - No CLSID value found.
    O3 - HKU\S-1-5-21-3343872555-3673369988-535170037-1000\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
    O4 - HKLM..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
    O4 - HKLM..\Run: [Tutorials] File not found
    O4 - HKU\S-1-5-21-3343872555-3673369988-535170037-1000..\Run: [MSSMARTMON] "C:\Users\Sanae\AppData\Roaming\FA66.exe" File not found
    O4 - HKU\S-1-5-21-3343872555-3673369988-535170037-1000..\Run: [Tqdudn] C:\Users\Sanae\AppData\Roaming\Tqdudn.exe File not found
    O4 - HKU\S-1-5-21-3343872555-3673369988-535170037-1000..\RunOnce: [6A6760D0B3A2ABA300B16A66B0165746] C:\ProgramData\6A6760D0B3A2ABA300B16A66B0165746\6A6760D0B3A2ABA300B16A66B0165746.exe ()
    O8:64bit: - Extra context menu item: Rechercher sur le Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()
    O20 - AppInit_DLLs: (c:\progra~3\bprote~1\21415~1.37\protec~1.dll) - c:\ProgramData\bProtectorForWindows\2.1.415.37\protector.dll ()
    [2012/10/07 00:54:04 | 000,000,000 | ---D | C] -- C:\ProgramData\6A6760D0B3A2ABA300B16A66B0165746
    [2012/08/14 03:48:04 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\6FFA.exe
    [2012/08/14 03:34:24 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\ED2C.exe.gonewiththewings
    [2012/08/13 15:09:10 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\64A4.exe.gonewiththewings
    [2012/08/13 12:34:55 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\2E91.exe.gonewiththewings
    [2012/08/13 09:44:50 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\31CC.exe.gonewiththewings
    [2012/08/12 22:59:03 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\6A79.exe.gonewiththewings
    [2012/08/11 20:32:20 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\2A23.exe.gonewiththewings
    [2012/08/11 00:56:45 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\5765.exe.gonewiththewings
    [2012/08/10 20:54:10 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\3F66.exe.gonewiththewings
    [2012/08/10 12:34:00 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\55BD.exe.gonewiththewings
    [2012/08/10 08:37:22 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\B179.exe.gonewiththewings
    [2012/08/10 07:55:20 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\34F4.exe.gonewiththewings
    [2012/08/09 20:21:20 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\D448.exe.gonewiththewings
    [2012/08/09 17:09:52 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\893E.exe.gonewiththewings
    [2012/08/09 16:13:37 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\A94.exe.gonewiththewings
    [2012/08/09 12:49:42 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\566C.exe.gonewiththewings
    [2012/08/09 03:30:30 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\A599.exe.gonewiththewings
    [2012/08/09 01:27:18 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\D951.exe.gonewiththewings
    [2012/08/08 22:50:37 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\456B.exe.gonewiththewings
    [2012/08/07 22:15:05 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\1D09.exe.gonewiththewings
    [2012/08/07 20:49:02 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\52B2.exe.gonewiththewings
    [2012/08/07 04:10:21 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\9830.exe.gonewiththewings
    [2012/08/07 03:57:06 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\77E0.exe.gonewiththewings
    [2012/08/06 14:53:18 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\AE20.exe.gonewiththewings
    [2012/08/06 13:58:53 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\DAA7.exe.gonewiththewings
    [2012/08/06 12:58:04 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\3F93.exe.gonewiththewings
    [2012/08/06 10:28:04 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\EBAD.exe.gonewiththewings
    [2012/08/06 06:49:20 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\EAFC.exe.gonewiththewings
    [2012/08/04 18:09:36 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\AEC4.exe.gonewiththewings
    [2012/08/04 17:30:17 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\B228.exe.gonewiththewings
    [2012/08/04 17:05:56 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\64EB.exe.gonewiththewings
    [2012/08/02 08:05:58 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\C969.exe.gonewiththewings
    [2012/07/31 01:43:01 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\14BD.exe.gonewiththewings
    [2012/07/30 20:33:03 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\4E19.exe.gonewiththewings
    [2012/07/30 16:46:53 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\3C16.exe.gonewiththewings
    [2012/07/30 04:38:34 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\10B3.exe.gonewiththewings
    [2012/07/30 04:18:19 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\FCE5.exe.gonewiththewings
    [2012/07/30 03:12:15 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\4BF1.exe.gonewiththewings
    [2012/07/30 00:16:00 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\F0FF.exe.gonewiththewings
    [2012/07/29 23:42:40 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\6DF6.exe.gonewiththewings
    [2012/07/29 22:51:41 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\BDA4.exe.gonewiththewings
    [2012/07/29 21:40:14 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\C228.exe.gonewiththewings
    [2012/07/29 21:18:48 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\2099.exe.gonewiththewings
    [2012/07/29 20:10:38 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\B88C.exe.gonewiththewings
    [2012/07/29 17:36:30 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\911A.exe.gonewiththewings
    [2012/07/28 02:50:27 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\8620.exe.gonewiththewings
    [2012/07/27 16:54:07 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\CFC6.exe.gonewiththewings
    [2012/07/27 16:41:46 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\823F.exe.gonewiththewings
    [2012/07/27 16:39:33 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\79A3.exe.gonewiththewings
    [2012/07/27 09:08:01 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\E4A6.exe.gonewiththewings
    [2012/07/27 01:25:35 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\4607.exe.gonewiththewings
    [2012/07/26 22:13:45 | 000,062,976 | ---- | C] (McAfee, Inc.) -- C:\Users\Sanae\AppData\Roaming\CAD2.exe.gonewiththewings
    [247 C:\Users\Sanae\AppData\Roaming\*.tmp files -> C:\Users\Sanae\AppData\Roaming\*.tmp -> ]
    [1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
    [2012/10/06 23:22:23 | 000,002,037 | ---- | M] () -- C:\Users\Sanae\AppData\Roaming\jauiat.dll
    [2012/10/06 23:21:23 | 000,002,037 | ---- | M] () -- C:\Users\Sanae\AppData\Roaming\nsaus.dll
    [2012/10/06 23:20:22 | 000,002,037 | ---- | M] () -- C:\Users\Sanae\AppData\Roaming\sbadp.dll
    [2012/10/06 23:19:21 | 000,002,037 | ---- | M] () -- C:\Users\Sanae\AppData\Roaming\plcsvc.dll
    [2012/10/06 23:18:20 | 000,002,037 | ---- | M] () -- C:\Users\Sanae\AppData\Roaming\nctmi.dll
    [2012/08/14 03:47:36 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\47B.exe
    [2012/08/14 03:47:30 | 000,036,352 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E98A.exe.gonewiththewings
    [2012/08/14 03:47:26 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\DB85.exe.gonewiththewings
    [2012/08/14 03:47:21 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\C6CC.exe.gonewiththewings
    [2012/08/14 03:34:34 | 000,036,352 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\128A.exe.gonewiththewings
    [2012/08/14 03:34:31 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\714.exe.gonewiththewings
    [2012/08/14 03:34:27 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\FA66.exe.gonewiththewings
    [2012/08/14 03:34:20 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\DE2D.exe.gonewiththewings
    [2012/08/13 15:09:20 | 000,036,352 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\8E75.exe.gonewiththewings
    [2012/08/13 15:09:17 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\8041.exe.gonewiththewings
    [2012/08/13 15:09:13 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\724C.exe.gonewiththewings
    [2012/08/13 15:09:06 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\5815.exe.gonewiththewings
    [2012/08/13 12:34:59 | 000,036,352 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3C58.exe.gonewiththewings
    [2012/08/13 12:34:51 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1EC8.exe.gonewiththewings
    [2012/08/13 12:34:48 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\13AF.exe.gonewiththewings
    [2012/08/13 12:34:45 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\80B.exe.gonewiththewings
    [2012/08/13 09:44:53 | 000,036,352 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3D42.exe.gonewiththewings
    [2012/08/13 09:44:46 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1FE0.exe.gonewiththewings
    [2012/08/13 09:44:43 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1361.exe.gonewiththewings
    [2012/08/13 09:44:37 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\FF92.exe.gonewiththewings
    [2012/08/12 22:58:57 | 000,036,352 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\51D8.exe.gonewiththewings
    [2012/08/12 22:58:54 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\4672.exe.gonewiththewings
    [2012/08/12 22:58:51 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3AED.exe.gonewiththewings
    [2012/08/11 20:32:33 | 000,036,352 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\5C6C.exe.gonewiththewings
    [2012/08/11 20:32:27 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\4468.exe.gonewiththewings
    [2012/08/11 20:32:23 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3809.exe.gonewiththewings
    [2012/08/11 20:32:16 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1C0E.exe.gonewiththewings
    [2012/08/11 12:07:23 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\4A39.exe.gonewiththewings
    [2012/08/11 12:07:19 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\39A5.exe.gonewiththewings
    [2012/08/11 00:57:25 | 000,036,352 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\F201.exe.gonewiththewings
    [2012/08/11 00:57:13 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\C2E5.exe.gonewiththewings
    [2012/08/11 00:56:33 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2685.exe.gonewiththewings
    [2012/08/11 00:56:27 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\EC0.exe.gonewiththewings
    [2012/08/10 21:36:41 | 000,036,352 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2B5F.exe.gonewiththewings
    [2012/08/10 21:36:38 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1F4D.exe.gonewiththewings
    [2012/08/10 21:36:34 | 000,000,193 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1030.exe.gonewiththewings
    [2012/08/10 21:36:32 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\90D.exe.gonewiththewings
    [2012/08/10 21:36:28 | 000,000,193 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\F9D0.exe.gonewiththewings
    [2012/08/10 20:54:04 | 000,036,352 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2993.exe.gonewiththewings
    [2012/08/10 20:54:01 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1E0E.exe.gonewiththewings
    [2012/08/10 20:53:59 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1298.exe.gonewiththewings
    [2012/08/10 16:42:25 | 000,000,193 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\C406.exe.gonewiththewings
    [2012/08/10 16:42:20 | 000,036,352 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\AF6B.exe.gonewiththewings
    [2012/08/10 16:42:16 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\A202.exe.gonewiththewings
    [2012/08/10 16:42:14 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\98BE.exe.gonewiththewings
    [2012/08/10 12:34:09 | 000,036,352 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\7946.exe.gonewiththewings
    [2012/08/10 12:34:06 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\6E3E.exe.gonewiththewings
    [2012/08/10 12:34:04 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\62C8.exe.gonewiththewings
    [2012/08/10 12:33:57 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\496C.exe.gonewiththewings
    [2012/08/10 08:37:55 | 000,080,896 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2FEE.exe.gonewiththewings
    [2012/08/10 08:37:41 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\FA0F.exe.gonewiththewings
    [2012/08/10 08:37:35 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E298.exe.gonewiththewings
    [2012/08/10 08:37:15 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\964A.exe.gonewiththewings
    [2012/08/10 07:55:42 | 000,080,896 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\8A19.exe.gonewiththewings
    [2012/08/10 07:55:36 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\7198.exe.gonewiththewings
    [2012/08/10 07:55:33 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\65A6.exe.gonewiththewings
    [2012/08/10 07:55:14 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1D5E.exe.gonewiththewings
    [2012/08/10 03:48:46 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\7576.exe.gonewiththewings
    [2012/08/10 03:48:02 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\CAA6.exe.gonewiththewings
    [2012/08/10 03:47:47 | 000,080,896 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\8F3B.exe.gonewiththewings
    [2012/08/10 03:47:14 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1173.exe.gonewiththewings
    [2012/08/10 03:47:09 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\FBD0.exe.gonewiththewings
    [2012/08/09 20:21:36 | 000,080,896 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\110C.exe.gonewiththewings
    [2012/08/09 20:21:23 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\DF70.exe.gonewiththewings
    [2012/08/09 20:21:17 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\C99E.exe.gonewiththewings
    [2012/08/09 20:21:14 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\BD4D.exe.gonewiththewings
    [2012/08/09 17:09:33 | 000,080,896 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3E29.exe.gonewiththewings
    [2012/08/09 17:09:29 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2F97.exe.gonewiththewings
    [2012/08/09 17:09:23 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1784.exe.gonewiththewings
    [2012/08/09 16:13:49 | 000,080,896 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\39F0.exe.gonewiththewings
    [2012/08/09 16:13:44 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2325.exe.gonewiththewings
    [2012/08/09 16:13:41 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\17CE.exe.gonewiththewings
    [2012/08/09 16:13:34 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\FEA1.exe.gonewiththewings
    [2012/08/09 12:49:38 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\48F4.exe.gonewiththewings
    [2012/08/09 12:49:35 | 000,080,896 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3B9A.exe.gonewiththewings
    [2012/08/09 12:49:31 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2F0C.exe.gonewiththewings
    [2012/08/09 12:49:28 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\222F.exe.gonewiththewings
    [2012/08/09 03:30:42 | 000,080,896 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\D15D.exe.gonewiththewings
    [2012/08/09 03:30:37 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\C0C9.exe.gonewiththewings
    [2012/08/09 03:30:34 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\B312.exe.gonewiththewings
    [2012/08/09 03:30:28 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\9AEE.exe.gonewiththewings
    [2012/08/09 01:26:41 | 000,080,896 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\4683.exe.gonewiththewings
    [2012/08/09 01:26:36 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3488.exe.gonewiththewings
    [2012/08/09 01:26:32 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2606.exe.gonewiththewings
    [2012/08/08 22:50:34 | 000,080,896 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3795.exe.gonewiththewings
    [2012/08/08 22:50:07 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\CCF0.exe.gonewiththewings
    [2012/08/08 22:50:03 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\C0CE.exe.gonewiththewings
    [2012/08/08 22:50:00 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\B25C.exe.gonewiththewings
    [2012/08/07 22:15:49 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\C75C.exe.gonewiththewings
    [2012/08/07 22:14:52 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\EB7D.exe.gonewiththewings
    [2012/08/07 22:14:09 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\4001.exe.gonewiththewings
    [2012/08/07 20:49:08 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\6D65.exe.gonewiththewings
    [2012/08/07 20:49:06 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\62AA.exe.gonewiththewings
    [2012/08/07 04:09:41 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\FE60.exe.gonewiththewings
    [2012/08/07 04:08:58 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\5322.exe.gonewiththewings
    [2012/08/07 03:56:58 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\5705.exe.gonewiththewings
    [2012/08/07 03:56:42 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1AC0.exe.gonewiththewings
    [2012/08/07 03:41:22 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\FE7.exe.gonewiththewings
    [2012/08/07 02:09:08 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\F2AB.exe.gonewiththewings
    [2012/08/07 02:08:12 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1517.exe.gonewiththewings
    [2012/08/07 02:07:28 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\6A28.exe.gonewiththewings
    [2012/08/07 02:06:44 | 000,110,376 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\BF87.exe.gonewiththewings
    [2012/08/06 14:52:45 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2BA7.exe.gonewiththewings
    [2012/08/06 14:52:33 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\FC9B.exe.gonewiththewings
    [2012/08/06 13:58:29 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\7C8F.exe.gonewiththewings
    [2012/08/06 13:57:49 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E197.exe.gonewiththewings
    [2012/08/06 12:58:51 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\F6C3.exe.gonewiththewings
    [2012/08/06 12:58:01 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3382.exe.gonewiththewings
    [2012/08/06 12:57:53 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1602.exe.gonewiththewings
    [2012/08/06 12:33:58 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2F1C.exe.gonewiththewings
    [2012/08/06 12:33:14 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\844C.exe.gonewiththewings
    [2012/08/06 12:32:30 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\D9F9.exe.gonewiththewings
    [2012/08/06 12:31:46 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2E2F.exe.gonewiththewings
    [2012/08/06 12:31:03 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\83DC.exe.gonewiththewings
    [2012/08/06 10:28:50 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\A186.exe.gonewiththewings
    [2012/08/06 10:28:01 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E085.exe.gonewiththewings
    [2012/08/06 10:27:37 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\829C.exe.gonewiththewings
    [2012/08/06 09:41:44 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\7FDD.exe.gonewiththewings
    [2012/08/06 09:41:00 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\D461.exe.gonewiththewings
    [2012/08/06 09:40:16 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\29CF.exe.gonewiththewings
    [2012/08/06 09:39:32 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\7EC1.exe.gonewiththewings
    [2012/08/06 09:35:58 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\8B22.exe.gonewiththewings
    [2012/08/06 09:35:13 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\DEEB.exe.gonewiththewings
    [2012/08/06 09:34:30 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3478.exe.gonewiththewings
    [2012/08/06 09:34:25 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\21F1.exe.gonewiththewings
    [2012/08/06 06:50:47 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\4202.exe.gonewiththewings
    [2012/08/06 06:50:03 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\96B6.exe.gonewiththewings
    [2012/08/06 06:49:13 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\D2D9.exe.gonewiththewings
    [2012/08/06 06:49:00 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\9D95.exe.gonewiththewings
    [2012/08/06 04:44:54 | 000,169,597 | ---- | C] () -- C:\Users\Sanae\AppData\Local\recently-used.xbel
    [2012/08/04 18:09:32 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\A11D.exe.gonewiththewings
    [2012/08/04 18:09:26 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\886E.exe.gonewiththewings
    [2012/08/04 18:09:20 | 000,112,640 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\701C.exe.gonewiththewings
    [2012/08/04 18:09:14 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\5828.exe.gonewiththewings
    [2012/08/04 17:30:04 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\7C77.exe.gonewiththewings
    [2012/08/04 17:29:50 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\48D9.exe.gonewiththewings
    [2012/08/04 17:29:46 | 000,112,640 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3806.exe.gonewiththewings
    [2012/08/04 17:29:41 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\258F.exe.gonewiththewings
    [2012/08/04 17:06:53 | 000,112,640 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\44EF.exe.gonewiththewings
    [2012/08/04 17:06:11 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\A1BD.exe.gonewiththewings
    [2012/08/04 17:05:41 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2961.exe.gonewiththewings
    [2012/08/04 17:04:30 | 000,113,792 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\146A.exe.gonewiththewings
    [2012/08/02 08:59:15 | 000,149,522 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\9330.exe.gonewiththewings
    [2012/08/02 08:44:55 | 000,149,522 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\73BD.exe.gonewiththewings
    [2012/08/02 08:05:55 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\BC8C.exe.gonewiththewings
    [2012/08/02 08:05:48 | 000,112,640 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\A360.exe.gonewiththewings
    [2012/08/02 08:05:40 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\7DF5.exe.gonewiththewings
    [2012/07/31 05:59:57 | 000,149,522 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\503D.exe.gonewiththewings
    [2012/07/31 02:23:12 | 000,149,522 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E140.exe.gonewiththewings
    [2012/07/31 01:42:58 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\976.exe.gonewiththewings
    [2012/07/31 01:42:55 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\FEAC.exe.gonewiththewings
    [2012/07/31 01:42:52 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\F25B.exe.gonewiththewings
    [2012/07/30 20:33:07 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\5B44.exe.gonewiththewings
    [2012/07/30 20:33:00 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\42F2.exe.gonewiththewings
    [2012/07/30 20:32:58 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\379B.exe.gonewiththewings
    [2012/07/30 16:46:59 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\53FB.exe.gonewiththewings
    [2012/07/30 16:46:56 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\47DA.exe.gonewiththewings
    [2012/07/30 16:46:49 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2ECC.exe.gonewiththewings
    [2012/07/30 04:38:44 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3767.exe.gonewiththewings
    [2012/07/30 04:38:37 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1D42.exe.gonewiththewings
    [2012/07/30 04:38:30 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\434.exe.gonewiththewings
    [2012/07/30 04:18:28 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\205E.exe.gonewiththewings
    [2012/07/30 04:18:23 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\C03.exe.gonewiththewings
    [2012/07/30 04:18:12 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E2EE.exe.gonewiththewings
    [2012/07/30 03:12:18 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\5803.exe.gonewiththewings
    [2012/07/30 03:12:12 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3FDF.exe.gonewiththewings
    [2012/07/30 03:12:08 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3276.exe.gonewiththewings
    [2012/07/30 00:15:57 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E4DE.exe.gonewiththewings
    [2012/07/30 00:15:54 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\D8DC.exe.gonewiththewings
    [2012/07/30 00:15:51 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\CD08.exe.gonewiththewings
    [2012/07/29 23:42:37 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\5E8B.exe.gonewiththewings
    [2012/07/29 23:42:30 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\457E.exe.gonewiththewings
    [2012/07/29 23:42:24 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2CB0.exe.gonewiththewings
    [2012/07/29 22:51:50 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E0DF.exe.gonewiththewings
    [2012/07/29 22:51:45 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\CF13.exe.gonewiththewings
    [2012/07/29 22:51:34 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\A524.exe.gonewiththewings
    [2012/07/29 21:40:18 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\CEB7.exe.gonewiththewings
    [2012/07/29 21:40:11 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\B50D.exe.gonewiththewings
    [2012/07/29 21:40:08 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\A89E.exe.gonewiththewings
    [2012/07/29 21:18:44 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1265.exe.gonewiththewings
    [2012/07/29 21:18:41 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\51B.exe.gonewiththewings
    [2012/07/29 21:18:37 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\F487.exe.gonewiththewings
    [2012/07/29 20:10:50 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E691.exe.gonewiththewings
    [2012/07/29 20:10:42 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\C9FB.exe.gonewiththewings
    [2012/07/29 20:10:33 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\A605.exe.gonewiththewings
    [2012/07/29 17:36:26 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\82F6.exe.gonewiththewings
    [2012/07/29 17:36:23 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\74A3.exe.gonewiththewings
    [2012/07/29 17:36:17 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\5FBB.exe.gonewiththewings
    [2012/07/28 16:39:52 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\4D73.exe.gonewiththewings
    [2012/07/28 16:23:23 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\46FE.exe.gonewiththewings
    [2012/07/28 02:50:34 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\A298.exe.gonewiththewings
    [2012/07/28 02:50:30 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\931C.exe.gonewiththewings
    [2012/07/28 02:50:21 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\70FA.exe.gonewiththewings
    [2012/07/28 01:10:32 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\4A70.exe.gonewiththewings
    [2012/07/28 01:10:29 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3E01.exe.gonewiththewings
    [2012/07/28 01:10:24 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2B79.exe.gonewiththewings
    [2012/07/28 01:10:19 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\16A1.exe.gonewiththewings
    [2012/07/27 16:54:15 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\F0BF.exe.gonewiththewings
    [2012/07/27 16:54:11 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E125.exe.gonewiththewings
    [2012/07/27 16:54:01 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\B90A.exe.gonewiththewings
    [2012/07/27 16:41:51 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\9321.exe.gonewiththewings
    [2012/07/27 16:41:43 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\766C.exe.gonewiththewings
    [2012/07/27 16:41:40 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\6AA8.exe.gonewiththewings
    [2012/07/27 16:39:41 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\96F4.exe.gonewiththewings
    [2012/07/27 16:39:36 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\83B2.exe.gonewiththewings
    [2012/07/27 16:39:29 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\6AC3.exe.gonewiththewings
    [2012/07/27 09:07:58 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\D98E.exe.gonewiththewings
    [2012/07/27 09:07:55 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\CE95.exe.gonewiththewings
    [2012/07/27 09:07:51 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\BE3F.exe.gonewiththewings
    [2012/07/27 02:26:21 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\EA58.exe.gonewiththewings
    [2012/07/27 02:26:16 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\D725.exe.gonewiththewings
    [2012/07/27 02:26:11 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\C337.exe.gonewiththewings
    [2012/07/27 02:26:07 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\B2C2.exe.gonewiththewings
    [2012/07/27 01:25:46 | 000,047,616 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\718C.exe.gonewiththewings
    [2012/07/27 01:25:41 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\608B.exe.gonewiththewings
    [2012/07/27 01:25:31 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3738.exe.gonewiththewings
    [2012/07/26 22:13:51 | 000,051,200 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E40F.exe.gonewiththewings
    [2012/07/26 22:13:48 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\D6C5.exe.gonewiththewings
    [2012/07/26 22:13:41 | 000,045,056 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\BA8C.exe.gonewiththewings
    [2012/07/25 15:23:05 | 000,051,200 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\42D9.exe.gonewiththewings
    [2012/07/25 03:07:02 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E44A.exe.gonewiththewings
    [2012/07/25 03:06:54 | 000,051,200 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\C296.exe.gonewiththewings
    [2012/07/25 03:06:47 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\A96A.exe.gonewiththewings
    [2012/07/25 03:06:04 | 000,051,200 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1.exe.gonewiththewings
    [2012/07/25 00:44:11 | 000,051,200 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\42DD.exe.gonewiththewings
    [2012/07/25 00:43:51 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\F4CC.exe.gonewiththewings
    [2012/07/24 23:24:15 | 000,051,200 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\14C8.exe.gonewiththewings
    [2012/07/24 23:24:12 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\694.exe.gonewiththewings
    [2012/07/24 22:34:25 | 000,051,200 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\7423.exe.gonewiththewings
    [2012/07/24 22:34:22 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\66CA.exe.gonewiththewings
    [2012/07/24 22:10:25 | 000,051,200 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\798D.exe.gonewiththewings
    [2012/07/24 22:10:20 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\6689.exe.gonewiththewings
    [2012/07/24 15:04:58 | 000,038,400 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\F8D0.exe.gonewiththewings
    [2012/07/24 15:04:55 | 000,000,106 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\ECFC.exe.gonewiththewings
    [2012/07/22 04:41:53 | 000,038,400 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\6131.exe.gonewiththewings
    [2012/07/22 04:41:50 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\553E.exe.gonewiththewings
    [2012/07/22 04:08:10 | 000,038,400 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\832F.exe.gonewiththewings
    [2012/07/22 04:07:55 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\47E3.exe.gonewiththewings
    [2012/07/21 22:46:48 | 000,038,400 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\54AA.exe.gonewiththewings
    [2012/07/21 22:46:44 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\47DD.exe.gonewiththewings
    [2012/07/21 22:28:21 | 000,038,400 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\7236.exe.gonewiththewings
    [2012/07/21 22:28:18 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\6672.exe.gonewiththewings
    [2012/07/21 21:39:59 | 000,038,400 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\299F.exe.gonewiththewings
    [2012/07/21 21:39:56 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1D8E.exe.gonewiththewings
    [2012/07/21 14:19:03 | 000,038,400 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2F6B.exe.gonewiththewings
    [2012/07/21 14:19:00 | 000,049,152 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\228E.exe.gonewiththewings
    [2012/07/21 13:32:30 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\92AC.exe.gonewiththewings
    [2012/07/21 13:32:27 | 000,048,640 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\8775.exe.gonewiththewings
    [2012/07/21 01:12:16 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\DD04.exe.gonewiththewings
    [2012/07/21 01:12:10 | 000,048,640 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\C6E5.exe.gonewiththewings
    [2012/07/20 22:53:09 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\810B.exe.gonewiththewings
    [2012/07/20 22:53:06 | 000,044,032 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\74DA.exe.gonewiththewings
    [2012/07/20 22:53:03 | 000,048,640 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\68F7.exe.gonewiththewings
    [2012/07/20 21:19:15 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\89BD.exe.gonewiththewings
    [2012/07/20 21:19:13 | 000,048,640 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\7E28.exe.gonewiththewings
    [2012/07/20 21:19:09 | 000,044,032 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\7217.exe.gonewiththewings
    [2012/07/20 20:38:27 | 000,044,032 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2B55.exe.gonewiththewings
    [2012/07/20 20:38:23 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1F63.exe.gonewiththewings
    [2012/07/20 20:38:20 | 000,048,640 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\13BE.exe.gonewiththewings
    [2012/07/20 13:09:00 | 000,044,032 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\F558.exe.gonewiththewings
    [2012/07/20 13:08:57 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E8E8.exe.gonewiththewings
    [2012/07/20 13:08:54 | 000,048,640 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\DD53.exe.gonewiththewings
    [2012/07/19 21:37:32 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\AEE0.exe.gonewiththewings
    [2012/07/19 21:37:05 | 000,048,640 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\45FF.exe.gonewiththewings
    [2012/07/19 21:20:22 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\F936.exe.gonewiththewings
    [2012/07/19 16:47:27 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1CB7.exe.gonewiththewings
    [2012/07/19 15:13:17 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\E502.exe.gonewiththewings
    [2012/07/19 15:13:14 | 000,048,640 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\D99B.exe.gonewiththewings
    [2012/07/19 08:10:21 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2A6D.exe.gonewiththewings
    [2012/07/19 07:22:07 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\9D.exe.gonewiththewings
    [2012/07/19 06:51:39 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1D21.exe.gonewiththewings
    [2012/07/18 10:53:18 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\5CDF.exe.gonewiththewings
    [2012/07/18 10:43:09 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\958B.exe.gonewiththewings
    [2012/07/18 10:43:01 | 000,052,744 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\779F.exe.gonewiththewings
    [2012/07/18 07:04:47 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\AE87.exe.gonewiththewings
    [2012/07/17 22:42:08 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\46E3.exe.gonewiththewings
    [2012/07/17 22:38:47 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3B1D.exe.gonewiththewings
    [2012/07/16 22:42:46 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\7D0C.exe.gonewiththewings
    [2012/07/16 14:30:34 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\19F6.exe.gonewiththewings
    [2012/07/16 14:30:29 | 000,052,744 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\472.exe.gonewiththewings
    [2012/07/16 14:23:07 | 000,015,880 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1259.exe.gonewiththewings
    [2012/07/16 14:23:05 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\BA4.exe.gonewiththewings
    [2012/07/16 14:23:03 | 000,052,744 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\F.exe.gonewiththewings
    [2012/07/16 14:20:17 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\251D.exe.gonewiththewings
    [2012/07/16 14:20:14 | 000,052,744 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1A34.exe.gonewiththewings
    [2012/07/16 13:46:37 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\AAB.exe.gonewiththewings
    [2012/07/16 09:27:26 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3835.exe.gonewiththewings
    [2012/07/16 08:53:05 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\C42C.exe.gonewiththewings
    [2012/07/15 20:24:37 | 000,015,880 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\8A85.exe.gonewiththewings
    [2012/07/15 20:24:35 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\81EC.exe.gonewiththewings
    [2012/07/15 20:12:34 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\78D8.exe.gonewiththewings
    [2012/07/15 20:12:30 | 000,052,744 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\6CC6.exe.gonewiththewings
    [2012/07/15 18:23:03 | 000,015,880 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\3752.exe.gonewiththewings
    [2012/07/15 18:23:01 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\2FC3.exe.gonewiththewings
    [2012/07/15 18:16:24 | 000,015,880 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\20B3.exe.gonewiththewings
    [2012/07/15 18:16:20 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\1203.exe.gonewiththewings
    [2012/07/15 16:38:34 | 000,227,328 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\nd.bin
    [2012/07/15 16:38:30 | 000,015,880 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\800D.exe.gonewiththewings
    [2012/07/15 16:38:29 | 000,037,888 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\78EB.exe.gonewiththewings
    [2012/06/29 16:03:08 | 000,079,929 | ---- | C] () -- C:\Users\Sanae\AppData\Roaming\Tqdudn.exe.gonewiththewings
    [2012/10/07 12:59:42 | 000,005,120 | -HS- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini
    [2012/10/07 12:59:42 | 000,006,144 | -HS- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini
    [2012/06/16 02:33:03 | 000,000,000 | ---D | M] -- C:\Users\Sanae\AppData\Roaming\OfferBox
    @Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:2A8CD561
    @Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:FAFEC4B9
    @Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:A02025CE

    :Files
    C:\ProgramData\bProtectorForWindows
    C:\Program Files (x86)\blekkotb_020
    C:\Program Files (x86)\DealPly
    C:\Program Files (x86)\SweetIM
    C:\$Recycle.Bin\S-1-5-21-3343872555-3673369988-535170037-1000\$93687728e651f51727dc84561356ffa2
    C:\$Recycle.Bin\S-1-5-18\$93687728e651f51727dc84561356ffa2

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Tu devrais pouvoir redémarrer le pc normalement dès cette étape, continu la suite en mode normal (sinon dis-le moi)


    3) Relance RogueKiller :
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Suppression en haut à droite.
    (Note : si le bouton est grisé, lance d'abord un scan pour qu'il devienne actif)
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)
    a c 614 8 Sécurité
    7 Octobre 2012 18:56:48

    Re,

    Tu es bien infecté, avec en plus le rootkit zeroaccess, ce qui ne va pas faciliter la tâche ...
    De plus pour compléter le tableau, tu as plusieurs adwares (logiciels publicitaires)
    Tu devras être beaucoup plus vigilant avec ce pc à l'avenir !

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - bProtector for Windows (adware)
    - SweetPacks Toolbar for Internet Explorer 4.4 (idem)
    - SweetIM for Messenger 3.6 (idem)
    - DealPly (idem)

    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte dans le lien ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.

    http://security-x.fr/up/file.php?h=R2472f83f7dd5e8a3d84...

  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Tu devrais pouvoir redémarrer le pc normalement dès cette étape, continu la suite en mode normal (sinon dis-le moi)


    3) Relance RogueKiller :
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Suppression en haut à droite.
    (Note : si le bouton est grisé, lance d'abord un scan pour qu'il devienne actif)
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)
    a c 614 8 Sécurité
    7 Octobre 2012 19:35:47

    Re,

    Il me faudrait le rapport de correction d'OTL aussi.

    S'il n'est pas apparu, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
    7 Octobre 2012 19:39:56

    re,


    je ne trouve pas le rapport dont vous me parlez !!!
    a c 614 8 Sécurité
    7 Octobre 2012 19:42:33

    Re,

    Le dossier _OTL existe-t-il à la base de ton disque ?
    "Ordinateur" -> OS C: -> _OTL

    Si oui, dedans, il y a soit les rapports, soit un autre dossier "movedfiles" avec dedans les rapports, sous la forme 20121007_1930.log ou approchant ...
    a c 614 8 Sécurité
    7 Octobre 2012 22:14:40

    Re,

    Très bien ;) 

    On continu pour vérifier que l'infection et les adwares sont bien tous parties, puis on devra vérifier les services Windows car cette infection à tendance à parfois les endommager.

    Donc à faire ne mode normal maintenant ;) 

    1) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.


    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"


    3) Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )

    :jap: 
    a c 614 8 Sécurité
    8 Octobre 2012 09:53:24

    Re,

    Ok, il me manque le rapport de Malwarebyte's avant de continuer avec la réparation des services Windows.

    :jap: 
    a c 614 8 Sécurité
    8 Octobre 2012 11:18:32

    Re,

    Je te laisse admirer d'où sont venu une partie de tes infections sur ce pc :
    Citation :
    C:\Users\Sanae\Downloads\finaltorrent_731.exe (PUP.BundleOffers.IIQ) -> Aucune action effectuée.
    C:\Users\Sanae\Downloads\FreeVideoPerformer.exe (PUP.BundleInstaller.IB) -> Aucune action effectuée.
    C:\Users\Sanae\Downloads\VideoConverterSetup.exe (PUP.Adware.Installcore) -> Aucune action effectuée.
    C:\Users\Sanae\Downloads\WinRAR_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Aucune action effectuée.
    C:\ProgramData\GBox\GBox.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\OptimizerPro\OptimizerPro.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Sanae\Desktop\cours polytech\Nouveau dossier\RECYCLER\2bc58ef0.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Sanae\Desktop\cours polytech\Nouveau dossier\RECYCLER\40109cb.exe (Trojan.Agent.SZ) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Sanae\Downloads\god-of-war-iii.exe (Adware.Relevant) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Sanae\Downloads\rurouni-kenshin.exe (Adware.Relevant) -> Mis en quarantaine et supprimé avec succès.


    Soyez plus vigilant quand vous télécharger des logiciels, et ne le fait que sur des sites de confiance. 01Net n'est plus un site de confiance, il repacke des logiciels avec des sponsors publicitaire.
    Attention aussi au échange de clé usb et de fichier comme pour tes cours !

    On va travailler sur les services endommagés à présent.


    1) Télécharge Windows Repair (de Tweaking.com) sur ton bureau.

  • Double-Clic dessus pour l'installer puis lance-le.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Va directement à l'onglet "step 3"

  • Clique sur le bouton Do It, et laisse le scan s'effectuer.

  • Ferme le programme et redémarre le PC

  • Relance l'outil et va cette fois-ci sur l'onglet Start Repairs (à la fin)
  • Clique sur le bouton"Start"
  • Dans la fenêtre suivante, coche exactement ces options :


  • Clique enfin sur "Start" en bas à droite.
  • Redémarre le pc s'il ne le fait pas automatiquement.


    2) Relance FSS :

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    a c 614 8 Sécurité
    24 Octobre 2012 19:28:23

    Bonsoir,

    @ checheu : Tu souhaites une prise en charge ? Merci de créer ton propre sujet !
    (comme demandé dans les règles de cette section, ceci car chaque pc est différent, et on ne squatte pas le sujet d'un autre utilisateur)
    24 Octobre 2012 19:35:29

    excuse!
    18 Novembre 2012 15:44:48

    bonjours,

    je vous demande de m'excuser pour le retard!! je suis très désolée

    juste pour se que vous m'aviez demandé de faire, je voulais vous dire que je n'arrive pas à télécharger Windows repaire

    merci beaucoup
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS