Infection par un cheval de troie: Trojan-Spy.Win32.Goldun.ayt

j'ai oublier de préciser le problème en entier:
Lors de chaque démarrage, un message d'erreur 'generic host process for win 32 services' apparaît, puis je clique de pas envoyer et après plus de son. Par contre, il y a toujours du son au démarrage, les bips, les erreurs et à l'arret de l'ordi. Puis, après un certain temps mon desktop se transforme magiquement en mode classic.. !

de plus, j'ai essayer de supprimer le cheval de troie mais sans succès pour l'instant.
avast et Malwarebytes ne le trouve pas

remerci d'avance pour votre aide.
david24

Bonjour,

Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

Clique sur Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit.

1/

Démarre Spybot, clique sur Mode, coche Mode avancé.

A gauche, clique sur Outils, puis sur Résident.

Décoche la case devant Résident "TeaTimer" :

Quitte Spybot.


2/

Télécharge UsbFix (de Chiquitine29 & C_XX) sur ton Bureau.

Lance l'installation avec les paramètres par défaut.

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

Double-clique sur le raccourci UsbFix sur ton Bureau.

Choisis l'option 1 (Recherche).

Laisse travailler l'outil.

Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

En voulant lancer Usbfix, celui ci me demande de mettre mon disque dur externe sous tension (alors que tu me dis de ne pas l'ouvrir) et d'en retirer la protection en écriture.
Que dois je faire?

Tu allumes ton disque dur externe tout simplement.

voici le rapport de Usbfix.txt:


############################## | UsbFix V6.012 |

User : Sandra () # SANDRA-F832D06B
Update on 29/07/09 by Chiquitine29 & C_XX
Start at: 09:26:34 | 31/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 090730-0] 4.8.1335 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces # 1,39 Mo (1,39 Mo free) # FAT
C:\ -> Disque fixe local # 189,92 Go (54,15 Go free) # NTFS
D:\ -> Disque fixe local # 201,09 Go (35,89 Go free) # NTFS
E:\ -> Disque fixe local # 264,67 Go (9,31 Go free) # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM # 5,89 Go (0 Mo free) [CCRA3Uprising] # CDFS
I:\ -> Disque CD-ROM
J:\ -> Disque CD-ROM
K:\ -> Disque CD-ROM
L:\ -> Disque amovible # 958,59 Mo (936,42 Mo free) [USBDISKPRO] # FAT32
M:\ -> Disque fixe local # 465,76 Go (35,51 Go free) [Webox500Go] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE
C:\Program Files\Philips\Philips Device Manager\Bin\DeviceManager.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Logitech\MediaLife\MediaLifeService.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Fighters\spywarefighter\SpywarefighterUser.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Logitech\SetPoint\SetPoint.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Extrafilm Designer FR\EFUploadSrv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Fighters\configservice.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Fighters\licenseservice.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Fighters\updateservice.exe
C:\Program Files\Fighters\ScannerService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
c:\program files\fighters\spywarefighter\SPYWAREfighterTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! H:\autorun.inf

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{266a0289-a8ad-11dc-9ecf-0015f24633a8}
Shell\AutoRun\command =H:\setup\rsrc\Autorun.exe
Shell\dinstall\command =H:\Directx\dxsetup.exe

HKCU\..\..\Explorer\MountPoints2\{266a028c-a8ad-11dc-9ecf-0015f24633a8}
Shell\AutoRun\command =H:\setup\rsrc\Autorun.exe
Shell\dinstall\command =H:\Directx\dxsetup.exe

HKCU\..\..\Explorer\MountPoints2\{5fafa92e-35c2-11de-91f0-0015f24633a8}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe

HKCU\..\..\Explorer\MountPoints2\{66a27f10-5d5d-11dd-90a4-0015f24633a8}
Shell\AutoRun\command =wscript.exe VirusRemoval.vbs
Shell\open\Command =wscript.exe VirusRemoval.vbs

HKCU\..\..\Explorer\MountPoints2\{bef81dec-cf8f-11dd-915a-0015f24633a8}
Shell\AutoRun\command =L:\TrueCrypt\TrueCrypt.exe /q background /e /m rm /v "Dossiers_cryptés"
Shell\dismount\command =L:\TrueCrypt\TrueCrypt.exe /q /d
Shell\start\command =L:\TrueCrypt\TrueCrypt.exe

HKCU\..\..\Explorer\MountPoints2\{ce9fe601-a8b4-11dc-9ed1-0015f24633a8}
Shell\AutoRun\command =H:\setup\rsrc\Autorun.exe
Shell\dinstall\command =H:\Directx\dxsetup.exe

HKCU\..\..\Explorer\MountPoints2\{ce9fe609-a8b4-11dc-9ed1-0015f24633a8}
Shell\AutoRun\command =H:\Autorun.exe

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.012 ! |

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

Double-clique sur le raccourci UsbFix présent sur ton Bureau pour le lancer.

Choisis l'option 2 (Suppression).

Ton Bureau disparaîtra et le PC redémarrera.

Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

voici le rapport en question:


############################## | UsbFix V6.012 |

User : Sandra (Administrateurs) # SANDRA-F832D06B
Update on 29/07/09 by Chiquitine29 & C_XX
Start at: 14:54:34 | 31/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 090730-0] 4.8.1335 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces # 1,39 Mo (1,39 Mo free) # FAT
C:\ -> Disque fixe local # 189,92 Go (54,15 Go free) # NTFS
D:\ -> Disque fixe local # 201,09 Go (35,89 Go free) # NTFS
E:\ -> Disque fixe local # 264,67 Go (9,31 Go free) # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM
J:\ -> Disque CD-ROM
K:\ -> Disque CD-ROM
L:\ -> Disque amovible # 958,59 Mo (936,42 Mo free) [USBDISKPRO] # FAT32
M:\ -> Disque fixe local # 465,76 Go (35,51 Go free) [Webox500Go] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Extrafilm Designer FR\EFUploadSrv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Fighters\configservice.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Fighters\licenseservice.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Fighters\updateservice.exe
C:\Program Files\Fighters\ScannerService.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{266a0289-a8ad-11dc-9ecf-0015f24633a8}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{266a028c-a8ad-11dc-9ecf-0015f24633a8}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{5fafa92e-35c2-11de-91f0-0015f24633a8}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{bef81dec-cf8f-11dd-915a-0015f24633a8}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ce9fe601-a8b4-11dc-9ed1-0015f24633a8}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[12/04/2006 09:04|--a------|0] -> C:\AUTOEXEC.BAT
[12/04/2006 09:33|---hs----|323] -> C:\boot.ini
[30/08/2002 14:00|-rahs----|4952] -> C:\Bootfont.bin
[12/04/2006 09:04|--a------|0] -> C:\CONFIG.SYS
[04/08/2004 12:17|--a------|1128203] -> C:\dvdshrink32setup_FR.exe
[12/04/2006 09:04|-rahs----|0] -> C:\IO.SYS
[12/04/2006 09:04|-rahs----|0] -> C:\MSDOS.SYS
[03/08/2004 22:38|-rahs----|47564] -> C:\NTDETECT.COM
[03/08/2004 22:59|-rahs----|251712] -> C:\ntldr
[?|?|?] -> C:\pagefile.sys
[23/05/2008 14:02|--a------|65762] -> C:\tv3d_debug.txt
[31/07/2009 15:01|--a------|3916] -> C:\UsbFix.txt
[14/04/2006 17:19|--a------|5702408] -> D:\mozilla firefox.exe
[14/04/2006 17:17|--a------|5564800] -> D:\winamp52_full.exe
[14/04/2006 13:17|--a------|1107787] -> D:\winrar.exe
[15/03/2005 07:48|--a------|10334208] -> E:\ACTOFWAR.EXE
[06/05/2008 14:41|--a------|82] -> E:\code64607.txt
[06/11/2007 23:33|--a------|3017216] -> E:\iw3sp.exe
[28/04/2009 11:08|--a------|1479840] -> L:\avril 2009 196.jpg
[28/04/2009 11:08|--a------|1505348] -> L:\avril 2009 180.jpg
[28/04/2009 11:08|--a------|1248718] -> L:\avril 2009 181.jpg
[28/04/2009 11:08|--a------|1381820] -> L:\avril 2009 182.jpg
[28/04/2009 11:08|--a------|1412096] -> L:\avril 2009 183.jpg
[28/04/2009 11:08|--a------|1314212] -> L:\avril 2009 184.jpg
[28/04/2009 11:08|--a------|1484388] -> L:\avril 2009 185.jpg
[28/04/2009 11:08|--a------|1426390] -> L:\avril 2009 186.jpg
[28/04/2009 11:08|--a------|1383516] -> L:\avril 2009 187.jpg
[28/04/2009 11:08|--a------|1272466] -> L:\avril 2009 188.jpg
[28/04/2009 11:08|--a------|1305592] -> L:\avril 2009 189.jpg
[28/04/2009 11:08|--a------|1559501] -> L:\avril 2009 190.jpg
[28/04/2009 11:08|--a------|1290863] -> L:\avril 2009 191.jpg
[28/04/2009 11:08|--a------|1160937] -> L:\avril 2009 192.jpg
[28/04/2009 11:08|--a------|1175942] -> L:\avril 2009 193.jpg
[28/04/2009 11:08|--a------|1207121] -> L:\avril 2009 194.jpg
[28/04/2009 11:08|--a------|1560635] -> L:\avril 2009 195.jpg

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# L:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# M:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.012 ! |

Désinstalle UsbFix.

Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.

Double-clique sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.

Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.

Sélectionne Exécuter un examen rapide.

Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

Ferme tes navigateurs.

Si des malwares ont été détectés, clique sur Afficher les résultats.

Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

voici le rapport de MBAM (avant de lancer MBAM, j'avais débrancher mon disque dur externe. j'espère que ce n'est pas une erreur):

Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2534
Windows 5.1.2600 Service Pack 2

31/07/2009 15:54:57
mbam-log-2009-07-31 (15-54-57).txt

Type de recherche: Examen rapide
Eléments examinés: 88170
Temps écoulé: 5 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Fais analyser ce fichier : C:\WINDOWS\system32\winver.exe

Sur VirusTotal et poste le lien de l'analyse.

et voici:

http://www.virustotal.com/fr/analisis/542db3e54cef52d7d...

Ok.

Fais un scan avec Kaspersky Online Scanner et poste le rapport.

voilà le rapport de kaspersky:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: rapport d'analyse
samedi 1 août 2009
Système d'exploitation : Microsoft Windows XP Professional Service Pack 2 (build 2600)
Version de Kaspersky Online Scanner : 7.0.26.13
Dernière mise à jour de la base : Saturday, August 01, 2009 07:57:53
Enregistrements dans la base : 2569378
--------------------------------------------------------------------------------

Paramètres d'analyse:
analyser avec la base suivante: étendue
Analyser les archives: oui
Analyser les bases de messagerie: oui

Zone d'analyse - Poste de travail:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Statistiques d'analyse:
Objets analysés: 108271
Menaces trouvées: 1
Objets infectés trouvés: 1
Objets suspects trouvés: 0
Durée d'analyse: 02:44:20


Nom de fichier / Menace / Compteur de menaces
C:\Documents and Settings\Sandra\Local Settings\Application Data\Microsoft\Outlook\archive.pst Infecté : Trojan-Spy.Win32.Goldun.ayt 1

La zone sélectionnée a été analysée.

C'est ce fichier-là qu'Avast t'a détecté ?

non
quand j'allume mon PC, je n'ai aucun message d'alerte de la part d'Avast
je sais juste que j'ai un virus grâce au scan de kaspersky que j'ai effectué il y a quelques jours (en plus de celui du 1er aout)

Télécharge OTM (OldTimer) sur ton Bureau.

Double-clique sur OTM.exe afin de le lancer.

Copie (Ctrl+C) le texte suivant ci-dessous :

:processes
explorer.exe

:files
C:\Documents and Settings\Sandra\Local Settings\Application Data\Microsoft\Outlook\archive.pst

:commands
[purity]
[emptytemp]
[reboot]

Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

Clique maintenant sur le bouton MoveIt! puis ferme OTM.

---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
---> Le nom du rapport correspond au moment de sa création : date_heure.log

voici le rapport de OTM

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder C:\Documents and Settings\Sandra\Local Settings\Application Data\Microsoft\Outlook\archive.pst not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Help

User: LocalService
->Temp folder emptied: 65984 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33172 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2173229 bytes

User: Sandra
->Temp folder emptied: 98184018 bytes
->Temporary Internet Files folder emptied: 44242468 bytes
->Java cache emptied: 15220079 bytes
->FireFox cache emptied: 88831045 bytes

User: Template

C:\NV18481852.TMP folder deleted successfully.
C:\NV18601864.TMP folder deleted successfully.
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2133582 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_5a4.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 38308591 bytes
RecycleBin emptied: 4290922140 bytes

Total Files Cleaned = 271,97 mb


OTM by OldTimer - Version 3.0.0.5 log created on 08042009_095956

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\Perflib_Perfdata_5a4.dat scheduled to be moved on reboot.

Registry entries deleted on Reboot...