Sujet Précédent Sujet Suivant

Redirection Google

Résolu/Fermé
claudio34 Messages postés 64 Date d'inscription jeudi 17 avril 2008 Statut Membre Dernière intervention 7 septembre 2009 - 24 août 2009 à 12:14
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 6 sept. 2009 à 10:15
Bonjour,

J'ai, comme beaucoup d'autre chopé ce satané virus qui revoi les lien google...

Voici le rapport HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:10:28, on 24/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\Google\Google Talk\googletalk.exe
D:\Programmes\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\Program Files\WinMover\WinMover.exe
D:\Programmes\RocketDock\RocketDock\RocketDock.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Skype\Phone\Skype.exe
D:\Programmes\YahooMsg\Messenger\YahooMessenger.exe
D:\Programmes\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\F2.tmp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Programmes\HiJack This\HiJackThis\HjT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "D:\Programmes\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programmes\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [WinMover] "C:\Program Files\WinMover\WinMover.exe" /q
O4 - HKCU\..\Run: [RocketDock] "D:\Programmes\RocketDock\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programmes\ActivSync\Wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "D:\Programmes\YahooMsg\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programmes\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Monopod] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\F2.tmp.exe
O4 - HKUS\S-1-5-20\..\RunOnce: [JkDefrag] rundll32 advpack.dll,LaunchINFSection JKDEFRAG.INF,RunOnce,1,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [SweetRegistry] rundll32 advpack.dll,LaunchINFSection SweetReg.inf,PerUserStub (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [JkDefrag] rundll32 advpack.dll,LaunchINFSection JKDEFRAG.INF,RunOnce,1,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [JkDefrag] rundll32 advpack.dll,LaunchINFSection JKDEFRAG.INF,RunOnce,1,N (User 'Default user')
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programmes\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programmes\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O18 - Protocol: bubbledock - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
A voir également:

82 réponses

Précédent
Réponse 21 / 82
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
24 août 2009 à 23:05
bien ...


cette salté est encore bien encrée ... on va l'attaquer autrement ...



dans l'ordre :



1- Utilsation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> https://www.cjoint.com/?iyxfQorctm


Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !


Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse et enchaine directement avec la suite !...


( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )



==========================


2- on va retenté Combofix ... pense bien à le renommé directement au téléchargement comme indiqué !


Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide .

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici: C:\Combofix.txt

Réactive bien tes défenses


Poste le rapport Combofix pour analyse ...





0
Réponse 22 / 82
claudio34 Messages postés 64 Date d'inscription jeudi 17 avril 2008 Statut Membre Dernière intervention 7 septembre 2009 2
25 août 2009 à 07:43
Premier rapport:

ZHPFix v1.12.09 by Nicolas Coolman - Rapport de suppression du 25/08/2009 07:40:13
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
C:\WINDOWS\System32\net.net => File not found
C:\WINDOWS\System32\UACewjdqlkaie.dll => File not found
C:\WINDOWS\System32\drivers\UACoyotbvrkcd.sys => File not found
C:\WINDOWS\System32\uacsr.dat => File not found
C:\WINDOWS\System32\uacmal.db => File not found
C:\WINDOWS\System32\uacrem.dll => File not found
C:\WINDOWS\System32\UACeexmsybfnl.dll => File not found
C:\WINDOWS\msa.exe => File not found
C:\WINDOWS\msb.exe => File not found
C:\WINDOWS\PEV.exe => File not found
C:\WINDOWS\msc.exe => File not found
C:\WINDOWS\System32\tmp.reg => File not found
C:\WINDOWS\System32\tmp.txt => File not found
C:\WINDOWS\System32\CF18129.exe => File not found
C:\WINDOWS\System32\CF28180.exe => File not found
C:\WINDOWS\System32\CF1385.exe => File not found
C:\WINDOWS\System32\CF8964.exe => File not found
C:\WINDOWS\System32\uacbbr.dll => File delete on reboot
C:\WINDOWS\System32\uacbbr.dll (Trojan.Vundo) => File delete on reboot
C:\WINDOWS\System32\uacinit.dll => File not found

Logiciel :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 20
Logiciel : 0
Autre : 0



End of the scan
0
Réponse 23 / 82
claudio34 Messages postés 64 Date d'inscription jeudi 17 avril 2008 Statut Membre Dernière intervention 7 septembre 2009 2
25 août 2009 à 09:14
Bien, j'ai refait un ComboFix, ça ne bouge toujours pas. J'ai fait un AntiMalwarebyte, j'ai enlevé une quinzaine de trucs. J'ai redémarré, refait un CFix, toujours rien...

J'ai refait ZHPDiag que voici...

http://www.cijoint.fr/cjlink.php?file=cj200908/cij9zmz7er.txt
0
Réponse 24 / 82
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 août 2009 à 09:34
Salut,


J'ai fait un AntiMalwarebyte,

> poste moi le rapport du scan stp ( dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) .





une fois le rapport de Malwarebytes posté , fait ceci :



1- Télécharge SysProt ( de swatkat ) sur ton bureau :

http://homepages.slingshot.co.nz/~crutches/SysProt/SysProt.exe


!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


* double clique sur "SysProt.exe" pour lancer l'outil .

* clique sur l'onglet "log" :

> coche toutes les cases présentes dans l'encadré "Write to log" .

* Puis clique sur le bouton en bas à droite [Create Log] .

* le scan démarre , laisse travailler l'outil ( même si il semble avoir planté ...)

> Au bout d'un moment, une fenêtre va apparaitre : laisse bien "Scan all drives " coché et clique sur [Start] .

> patiente de nouveau ... attends le message de fin indiquant la creation du rapport et clique sur "OK"


* ferme SysProt et copie/colle le contenu du rapport "SysProtLog.txt" qui a été sauvegardé sur ton bureau dans ta prochaine réponse ...


==========================


2- Télécharge gmer sur le bureau :

> https://www.cjoint.com/?izjHT1Xkn7

* Double-clique sur "...gmer.exe" sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte.
* Clique sur l'onglet "rootkit", puis clique sur scan.
* A la fin du scan, clique sur le bouton copy.
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
* poste le rapport stp ...


0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 82
claudio34 Messages postés 64 Date d'inscription jeudi 17 avril 2008 Statut Membre Dernière intervention 7 septembre 2009 2
25 août 2009 à 09:50
déjà ça:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2551
Windows 5.1.2600 Service Pack 3

25/08/2009 08:52:30
mbam-log-2009-08-25 (08-52-30).txt

Type de recherche: Examen complet (C:\|D:\|H:\|)
Eléments examinés: 194795
Temps écoulé: 22 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{e24211b3-a78a-c6a9-d317-70979ace5058} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\ZHPDiag\Quarantine\net.net.VIR (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\ZHPDiag\Quarantine\uacbbr.dll.VIR (Rogue.Agent) -> Quarantined and deleted successfully.
C:\Program Files\ZHPDiag\Quarantine\UACeexmsybfnl.dll.VIR (Rogue.Agent) -> Delete on reboot.
C:\WINDOWS\Temp\UAC9c6d.tmp (Rogue.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
0
Réponse 26 / 82
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 août 2009 à 10:11
vu ...

continue ...
0
Réponse 27 / 82
claudio34 Messages postés 64 Date d'inscription jeudi 17 avril 2008 Statut Membre Dernière intervention 7 septembre 2009 2
25 août 2009 à 11:08
voici donc le rapport SysProt:

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************

Process:
Name: [System Idle Process]
PID: 0
Hidden: No
Window Visible: No

Name: System
PID: 4
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\smss.exe
PID: 620
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\csrss.exe
PID: 1272
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\winlogon.exe
PID: 1592
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\services.exe
PID: 1856
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\lsass.exe
PID: 1892
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\ati2evxx.exe
PID: 600
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 720
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 1004
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 1156
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\ati2evxx.exe
PID: 1184
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\spoolsv.exe
PID: 468
Hidden: No
Window Visible: No

Name: D:\Programmes\Nod32\ekrn.exe
PID: 1672
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\E_S00RP1.EXE
PID: 1804
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 1948
Hidden: No
Window Visible: No

Name: C:\WINDOWS\explorer.exe
PID: 1784
Hidden: No
Window Visible: Yes

Name: C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
PID: 984
Hidden: No
Window Visible: No

Name: C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
PID: 1136
Hidden: No
Window Visible: No

Name: C:\Program Files\Google\Google Talk\googletalk.exe
PID: 1532
Hidden: No
Window Visible: No

Name: D:\Programmes\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
PID: 1932
Hidden: No
Window Visible: No

Name: D:\Programmes\Nod32\egui.exe
PID: 1984
Hidden: No
Window Visible: No

Name: C:\Program Files\WinMover\WinMover.exe
PID: 700
Hidden: No
Window Visible: No

Name: D:\Programmes\RocketDock\RocketDock\RocketDock.exe
PID: 240
Hidden: No
Window Visible: No

Name: C:\Program Files\Windows Live\Messenger\msnmsgr.exe
PID: 1024
Hidden: No
Window Visible: Yes

Name: C:\Program Files\Skype\Phone\Skype.exe
PID: 1576
Hidden: No
Window Visible: Yes

Name: D:\Programmes\DAEMON Tools Lite\daemon.exe
PID: 1956
Hidden: No
Window Visible: No

Name: C:\Program Files\Windows Live\Contacts\wlcomm.exe
PID: 1928
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\wbem\wmiapsrv.exe
PID: 2780
Hidden: No
Window Visible: No

Name: C:\Program Files\Skype\Plugin Manager\skypePM.exe
PID: 2468
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\wscntfy.exe
PID: 3860
Hidden: No
Window Visible: No

Name: C:\Documents and Settings\Administrateur\Bureau\SProt.exe
PID: 2368
Hidden: No
Window Visible: Yes

******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \systemroot\system32\drivers\kbiwkmlmpyqoml.sys
Service Name: kbiwkmhrnmxjbq
Module Base: ---
Module End: ---
Hidden: Yes

Module Name: \systemroot\system32\drivers\UACoyotbvrkcd.sys
Service Name: UACd.sys
Module Base: ---
Module End: ---
Hidden: Yes

Module Name: \??\C:\Documents and Settings\Administrateur\Bureau\SysProtDrv.sys
Service Name: SysProtDrv.sys
Module Base: B2CCD000
Module End: B2CD8000
Hidden: No

Module Name: \WINDOWS\system32\ntoskrnl.exe
Service Name: ---
Module Base: 804D7000
Module End: 80710180
Hidden: No

Module Name: \WINDOWS\system32\hal.dll
Service Name: ---
Module Base: 80711000
Module End: 80724D80
Hidden: No

Module Name: \WINDOWS\system32\KDCOM.DLL
Service Name: ---
Module Base: F7987000
Module End: F7989000
Hidden: No

Module Name: \WINDOWS\system32\BOOTVID.dll
Service Name: ---
Module Base: F7897000
Module End: F789A000
Hidden: No

Module Name: spfc.sys
Service Name: ---
Module Base: F74D5000
Module End: F75D6000
Hidden: Yes

Module Name: \WINDOWS\System32\Drivers\WMILIB.SYS
Service Name: ---
Module Base: F7989000
Module End: F798B000
Hidden: No

Module Name: \WINDOWS\System32\Drivers\SCSIPORT.SYS
Service Name: ---
Module Base: F74BD000
Module End: F74D5000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\ACPI.sys
Service Name: ACPI
Module Base: F748E000
Module End: F74BD000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\pci.sys
Service Name: PCI
Module Base: F747D000
Module End: F748E000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\ohci1394.sys
Service Name: ohci1394
Module Base: F75F7000
Module End: F7607000
Hidden: No

Module Name: \WINDOWS\system32\DRIVERS\1394BUS.SYS
Service Name: ---
Module Base: F7607000
Module End: F7615000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\isapnp.sys
Service Name: isapnp
Module Base: F7617000
Module End: F7621000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\compbatt.sys
Service Name: Compbatt
Module Base: F789B000
Module End: F789E000
Hidden: No

Module Name: \WINDOWS\system32\DRIVERS\BATTC.SYS
Service Name: BattC
Module Base: F789F000
Module End: F78A3000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\pciide.sys
Service Name: PCIIde
Module Base: F7A4F000
Module End: F7A50000
Hidden: No

Module Name: \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Service Name: ---
Module Base: F7707000
Module End: F770E000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\pcmcia.sys
Service Name: Pcmcia
Module Base: F7859000
Module End: F7877000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\MountMgr.sys
Service Name: MountMgr
Module Base: F7627000
Module End: F7632000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\ftdisk.sys
Service Name: Disk
Module Base: F783A000
Module End: F7859000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\dmload.sys
Service Name: dmload
Module Base: F798B000
Module End: F798D000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\dmio.sys
Service Name: dmio
Module Base: F7961000
Module End: F7987000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\ACPIEC.sys
Service Name: ACPIEC
Module Base: F78A3000
Module End: F78A6000
Hidden: No

Module Name: \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
Service Name: ---
Module Base: F7A50000
Module End: F7A51000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\PartMgr.sys
Service Name: PartMgr
Module Base: F770F000
Module End: F7714000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\VolSnap.sys
Service Name: VolSnap
Module Base: F7637000
Module End: F7645000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\atapi.sys
Service Name: atapi
Module Base: F7A37000
Module End: F7A4F000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\disk.sys
Service Name: ---
Module Base: F7647000
Module End: F7650000
Hidden: No

Module Name: \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Service Name: ---
Module Base: F7657000
Module End: F7664000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\fltMgr.sys
Service Name: FltMgr
Module Base: BA7E0000
Module End: BA800000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\sr.sys
Service Name: sr
Module Base: BA7CE000
Module End: BA7E0000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\KSecDD.sys
Service Name: KSecDD
Module Base: BA7B7000
Module End: BA7CE000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\Ntfs.sys
Service Name: Ntfs
Module Base: BA72A000
Module End: BA7B7000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\NDIS.sys
Service Name: NDIS
Module Base: BA6FD000
Module End: BA72A000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\Mup.sys
Service Name: Mup
Module Base: BA6E3000
Module End: BA6FD000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\agp440.sys
Service Name: agp440
Module Base: F7667000
Module End: F7672000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\intelppm.sys
Service Name: intelppm
Module Base: F7687000
Module End: F7691000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\CmBatt.sys
Service Name: CmBatt
Module Base: F7933000
Module End: F7937000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
Service Name: ati2mtag
Module Base: BA163000
Module End: BA586000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS
Service Name: ---
Module Base: BA14F000
Module End: BA163000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Service Name: usbuhci
Module Base: F773F000
Module End: F7745000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\USBPORT.SYS
Service Name: ---
Module Base: BA12B000
Module End: BA14F000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Service Name: usbehci
Module Base: F774F000
Module End: F7757000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\nic1394.sys
Service Name: NIC1394
Module Base: F7697000
Module End: F76A7000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\bcm4sbxp.sys
Service Name: bcm4sbxp
Module Base: F76A7000
Module End: F76B7000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\i8042prt.sys
Service Name: i8042prt
Module Base: F76B7000
Module End: F76C5000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\kbdclass.sys
Service Name: Kbdclass
Module Base: F7777000
Module End: F777E000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\mouclass.sys
Service Name: Mouclass
Module Base: F7787000
Module End: F778D000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\imapi.sys
Service Name: Imapi
Module Base: F76C7000
Module End: F76D2000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Service Name: Cdrom
Module Base: F76D7000
Module End: F76E7000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\redbook.sys
Service Name: redbook
Module Base: F76E7000
Module End: F76F6000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ks.sys
Service Name: ---
Module Base: B9EEA000
Module End: B9F0D000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\vinyl97.sys
Service Name: VIAudio
Module Base: B9EB7000
Module End: B9EEA000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\portcls.sys
Service Name: ---
Module Base: B9E93000
Module End: B9EB7000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\drmk.sys
Service Name: ---
Module Base: F76F7000
Module End: F7706000
Hidden: No

Module Name: \SystemRoot\System32\Drivers\a0agt6se.SYS
Service Name: ---
Module Base: B9DBB000
Module End: B9DF3000
Hidden: Yes

Module Name: C:\WINDOWS\system32\DRIVERS\Epfwndis.sys
Service Name: Epfwndis
Module Base: F746D000
Module End: F7478000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\audstub.sys
Service Name: audstub
Module Base: F7A59000
Module End: F7A5A000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
Service Name: Rasl2tp
Module Base: F745D000
Module End: F746A000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ndistapi.sys
Service Name: NdisTapi
Module Base: BA60B000
Module End: BA60E000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ndiswan.sys
Service Name: NdisWan
Module Base: B9DA4000
Module End: B9DBB000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\raspppoe.sys
Service Name: RasPppoe
Module Base: F744D000
Module End: F7458000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\raspptp.sys
Service Name: PptpMiniport
Module Base: F743D000
Module End: F7449000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\TDI.SYS
Service Name: ---
Module Base: F7817000
Module End: F781C000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\psched.sys
Service Name: PSched
Module Base: B9D93000
Module End: B9DA4000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\msgpc.sys
Service Name: Gpc
Module Base: F742D000
Module End: F7436000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ptilink.sys
Service Name: Ptilink
Module Base: F7727000
Module End: F772C000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\raspti.sys
Service Name: Raspti
Module Base: F7737000
Module End: F773C000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\rdpdr.sys
Service Name: rdpdr
Module Base: B9D63000
Module End: B9D93000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\termdd.sys
Service Name: TermDD
Module Base: F741D000
Module End: F7427000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\VClone.sys
Service Name: VClone
Module Base: F740D000
Module End: F7418000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\swenum.sys
Service Name: swenum
Module Base: F799B000
Module End: F799D000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\update.sys
Service Name: Update
Module Base: B9D05000
Module End: B9D63000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\mssmbios.sys
Service Name: mssmbios
Module Base: BA5EB000
Module End: BA5EF000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\NDProxy.SYS
Service Name: NDProxy
Module Base: F7887000
Module End: F7891000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\usbhub.sys
Service Name: usbhub
Module Base: BA6C3000
Module End: BA6D2000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\USBD.SYS
Service Name: ---
Module Base: F79A1000
Module End: F79A3000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Fs_Rec.SYS
Service Name: Fs_Rec
Module Base: F79AB000
Module End: F79AD000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Null.SYS
Service Name: Null
Module Base: F7AA3000
Module End: F7AA4000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ehdrv.sys
Service Name: ehdrv
Module Base: B5B65000
Module End: B5B81000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\usbccgp.sys
Service Name: usbccgp
Module Base: F77B7000
Module End: F77BF000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\hidusb.sys
Service Name: hidusb
Module Base: F794B000
Module End: F794E000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS
Service Name: ---
Module Base: BA683000
Module End: BA68C000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\HIDPARSE.SYS
Service Name: ---
Module Base: F77CF000
Module End: F77D6000
Hidden: No

Module Name: C:\WINDOWS\System32\drivers\vga.sys
Service Name: VgaSave
Module Base: F77D7000
Module End: F77DD000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\mnmdd.SYS
Service Name: mnmdd
Module Base: F79B1000
Module End: F79B3000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\mouhid.sys
Service Name: mouhid
Module Base: BA61F000
Module End: BA622000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\RDPCDD.sys
Service Name: RDPCDD
Module Base: F79B5000
Module End: F79B7000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Msfs.SYS
Service Name: Msfs
Module Base: F77EF000
Module End: F77F4000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Npfs.SYS
Service Name: Npfs
Module Base: F77FF000
Module End: F7807000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\rasacd.sys
Service Name: RasAcd
Module Base: BA617000
Module End: BA61A000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ipsec.sys
Service Name: IPSec
Module Base: B5AC0000
Module End: B5AD3000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\tcpip.sys
Service Name: Tcpip
Module Base: B5A67000
Module End: B5AC0000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\epfwtdi.sys
Service Name: epfwtdi
Module Base: B5A54000
Module End: B5A67000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ipnat.sys
Service Name: IpNat
Module Base: B5A2E000
Module End: B5A54000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\netbt.sys
Service Name: NetBT
Module Base: B5A06000
Module End: B5A2E000
Hidden: No

Module Name: C:\WINDOWS\System32\drivers\afd.sys
Service Name: AFD
Module Base: B59E4000
Module End: B5A06000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\netbios.sys
Service Name: NetBIOS
Module Base: BA673000
Module End: BA67C000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\rdbss.sys
Service Name: Rdbss
Module Base: B59B9000
Module End: B59E4000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\PQNTDrv.SYS
Service Name: PQNTDrv
Module Base: F7A75000
Module End: F7A76000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
Service Name: MRxSmb
Module Base: B5949000
Module End: B59B9000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Fips.SYS
Service Name: Fips
Module Base: BA663000
Module End: BA66E000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
Service Name: ElbyCDIO
Module Base: F7747000
Module End: F774C000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Cdfs.SYS
Service Name: Cdfs
Module Base: B9E83000
Module End: B9E93000
Hidden: No

Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys
Service Name: ---
Module Base: B5909000
Module End: B5921000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS
Service Name: ---
Module Base: F79BD000
Module End: F79BF000
Hidden: Yes

Module Name: C:\WINDOWS\System32\drivers\Dxapi.sys
Service Name: ---
Module Base: B9CB9000
Module End: B9CBC000
Hidden: No

Module Name: C:\WINDOWS\System32\watchdog.sys
Service Name: ---
Module Base: F778F000
Module End: F7794000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\wanarp.sys
Service Name: Wanarp
Module Base: B9E53000
Module End: B9E5C000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\arp1394.sys
Service Name: Arp1394
Module Base: B9E43000
Module End: B9E52000
Hidden: No

Module Name: C:\WINDOWS\System32\drivers\dxgthk.sys
Service Name: ---
Module Base: F7AAF000
Module End: F7AB0000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\eamon.sys
Service Name: eamon
Module Base: B370D000
Module End: B37C9000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\epfw.sys
Service Name: epfw
Module Base: B3622000
Module End: B3645000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ndisuio.sys
Service Name: Ndisuio
Module Base: B36E5000
Module End: B36E9000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\rspndr.sys
Service Name: rspndr
Module Base: B3685000
Module End: B3695000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\adfs.SYS
Service Name: adfs
Module Base: B33E1000
Module End: B33F2000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\atksgt.sys
Service Name: atksgt
Module Base: B339E000
Module End: B33E1000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\lirsgt.sys
Service Name: lirsgt
Module Base: F7807000
Module End: F780C000
Hidden: No

Module Name: \??\C:\WINDOWS\system32\drivers\tmcomm.sys
Service Name: tmcomm
Module Base: B332D000
Module End: B334E000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\srv.sys
Service Name: Srv
Module Base: B32DB000
Module End: B332D000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\wdmaud.sys
Service Name: wdmaud
Module Base: B310E000
Module End: B3123000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\sysaudio.sys
Service Name: sysaudio
Module Base: B321B000
Module End: B322A000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\kmixer.sys
Service Name: kmixer
Module Base: B24F4000
Module End: B251F000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Fastfat.SYS
Service Name: Fastfat
Module Base: B249E000
Module End: B24C2000
Hidden: No

******************************************************************************************
******************************************************************************************
No SSDT Hooks found

******************************************************************************************
******************************************************************************************
Kernel Hooks:
Hooked Function: ZwSaveKeyEx
At Address: 8064EEBD
Jump To: 88DDC95A
Module Name: _unknown_

Hooked Function: ZwSaveKey
At Address: 8064EDD2
Jump To: 89657842
Module Name: _unknown_

Hooked Function: ZwFlushInstructionCache
At Address: 8056E43A
Jump To: 88E1295C
Module Name: _unknown_

Hooked Function: ZwEnumerateKey
At Address: 805735B4
Jump To: 88E1395C
Module Name: _unknown_

Hooked Function: IofCompleteRequest
At Address: 804E3BF6
Jump To: 8990664B
Module Name: _unknown_

Hooked Function: IofCallDriver
At Address: 804E37C5
Jump To: 899226A3
Module Name: _unknown_

******************************************************************************************
******************************************************************************************
IRP Hooks:
Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_CREATE
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_CREATE_NAMED_PIPE
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_CLOSE
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_READ
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_WRITE
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_QUERY_INFORMATION
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_SET_INFORMATION
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_QUERY_EA
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_SET_EA
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_FLUSH_BUFFERS
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_QUERY_VOLUME_INFORMATION
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_SET_VOLUME_INFORMATION
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_DIRECTORY_CONTROL
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_FILE_SYSTEM_CONTROL
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_DEVICE_CONTROL
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_SHUTDOWN
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_LOCK_CONTROL
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_CLEANUP
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_CREATE_MAILSLOT
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_QUERY_SECURITY
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_SET_SECURITY
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_POWER
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_SYSTEM_CONTROL
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_DEVICE_CHANGE
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_QUERY_QUOTA
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: \Driver\sptd
Hooked IRP: IRP_MJ_SET_QUOTA
Jump To: F74D6000
Hooking Module: spfc.sys

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys
Hooked IRP: IRP_MJ_CREATE
Jump To: 89C131F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys
Hooked IRP: IRP_MJ_CLOSE
Jump To: 89C131F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys
Hooked IRP: IRP_MJ_READ
Jump To: 89C131F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys
Hooked IRP: IRP_MJ_WRITE
Jump To: 89C131F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys
Hooked IRP: IRP_MJ_FLUSH_BUFFERS
Jump To: 89C131F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys
Hooked IRP: IRP_MJ_DEVICE_CONTROL
Jump To: 89C131F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys
Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL
Jump To: 89C131F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys
Hooked IRP: IRP_MJ_SHUTDOWN
Jump To: 89C131F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys
Hooked IRP: IRP_MJ_POWER
Jump To: 89C131F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys
Hooked IRP: IRP_MJ_SYSTEM_CONTROL
Jump To: 89C131F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Hooked IRP: IRP_MJ_CREATE
Jump To: 89B3E500
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Hooked IRP: IRP_MJ_CLOSE
Jump To: 89B3E500
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Hooked IRP: IRP_MJ_DEVICE_CONTROL
Jump To: 89B3E500
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL
Jump To: 89B3E500
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Hooked IRP: IRP_MJ_POWER
Jump To: 89B3E500
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Hooked IRP: IRP_MJ_SYSTEM_CONTROL
Jump To: 89B3E500
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys
Hooked IRP: IRP_MJ_CREATE
Jump To: 89BA31F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys
Hooked IRP: IRP_MJ_READ
Jump To: 89BA31F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys
Hooked IRP: IRP_MJ_WRITE
Jump To: 89BA31F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys
Hooked IRP: IRP_MJ_FLUSH_BUFFERS
Jump To: 89BA31F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys
Hooked IRP: IRP_MJ_DEVICE_CONTROL
Jump To: 89BA31F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys
Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL
Jump To: 89BA31F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys
Hooked IRP: IRP_MJ_SHUTDOWN
Jump To: 89BA31F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys
Hooked IRP: IRP_MJ_CLEANUP
Jump To: 89BA31F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys
Hooked IRP: IRP_MJ_POWER
Jump To: 89BA31F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys
Hooked IRP: IRP_MJ_SYSTEM_CONTROL
Jump To: 89BA31F8
Hooking Module: _unknown_

Hooked Module: \SystemRoot\System32\Drivers\a0agt6se.SYS
Hooked IRP: IRP_MJ_CREATE
Jump To: 899FE1F8
Hooking Module: _unknown_

Hooked Module: \SystemRoot\System32\Drivers\a0agt6se.SYS
Hooked IRP: IRP_MJ_CLOSE
Jump To: 899FE1F8
Hooking Module: _unknown_

Hooked Module: \SystemRoot\System32\Drivers\a0agt6se.SYS
Hooked IRP: IRP_MJ_DEVICE_CONTROL
Jump To: 899FE1F8
Hooking Module: _unknown_

Hooked Module: \SystemRoot\System32\Drivers\a0agt6se.SYS
Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL
Jump To: 899FE1F8
Hooking Module: _unknown_

Hooked Module: \SystemRoot\System32\Drivers\a0agt6se.SYS
Hooked IRP: IRP_MJ_POWER
Jump To: 899FE1F8
Hooking Module: _unknown_

Hooked Module: \SystemRoot\System32\Drivers\a0agt6se.SYS
Hooked IRP: IRP_MJ_SYSTEM_CONTROL
Jump To: 899FE1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\netbt.sys
Hooked IRP: IRP_MJ_CREATE
Jump To: 88D5B1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\netbt.sys
Hooked IRP: IRP_MJ_CLOSE
Jump To: 88D5B1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\netbt.sys
Hooked IRP: IRP_MJ_DEVICE_CONTROL
Jump To: 88D5B1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\netbt.sys
Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL
Jump To: 88D5B1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\netbt.sys
Hooked IRP: IRP_MJ_CLEANUP
Jump To: 88D5B1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Hooked IRP: IRP_MJ_CREATE
Jump To: 89A0E1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Hooked IRP: IRP_MJ_CLOSE
Jump To: 89A0E1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Hooked IRP: IRP_MJ_READ
Jump To: 89A0E1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Hooked IRP: IRP_MJ_WRITE
Jump To: 89A0E1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Hooked IRP: IRP_MJ_FLUSH_BUFFERS
Jump To: 89A0E1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Hooked IRP: IRP_MJ_DEVICE_CONTROL
Jump To: 89A0E1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL
Jump To: 89A0E1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Hooked IRP: IRP_MJ_SHUTDOWN
Jump To: 89A0E1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Hooked IRP: IRP_MJ_POWER
Jump To: 89A0E1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Hooked IRP: IRP_MJ_SYSTEM_CONTROL
Jump To: 89A0E1F8
Hooking Module: _unknown_

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_CREATE
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_CREATE_NAMED_PIPE
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_CLOSE
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_READ
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_WRITE
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_QUERY_INFORMATION
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_SET_INFORMATION
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_QUERY_EA
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_SET_EA
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_FLUSH_BUFFERS
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_QUERY_VOLUME_INFORMATION
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_SET_VOLUME_INFORMATION
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_DIRECTORY_CONTROL
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_FILE_SYSTEM_CONTROL
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_DEVICE_CONTROL
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_SHUTDOWN
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_LOCK_CONTROL
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_CLEANUP
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_CREATE_MAILSLOT
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_QUERY_SECURITY
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_SET_SECURITY
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_POWER
Jump To: F74DDE30
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_SYSTEM_CONTROL
Jump To: F74F2514
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_DEVICE_CHANGE
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_QUERY_QUOTA
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: \Driver\PCI_PNP2624
Hooked IRP: IRP_MJ_SET_QUOTA
Jump To: F7519AEA
Hooking Module: spfc.sys

Hooked Module: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Hooked IRP: IRP_MJ_CREATE
Jump To: 89B7F1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Hooked IRP: IRP_MJ_CLOSE
Jump To: 89B7F1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Hooked IRP: IRP_MJ_DEVICE_CONTROL
Jump To: 89B7F1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL
Jump To: 89B7F1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Hooked IRP: IRP_MJ_POWER
Jump To: 89B7F1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Hooked IRP: IRP_MJ_SYSTEM_CONTROL
Jump To: 89B7F1F8
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\VClone.sys
Hooked IRP: IRP_MJ_CREATE
Jump To: 899FF500
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\VClone.sys
Hooked IRP: IRP_MJ_CLOSE
Jump To: 899FF500
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\VClone.sys
Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL
Jump To: 899FF500
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\VClone.sys
Hooked IRP: IRP_MJ_POWER
Jump To: 899FF500
Hooking Module: _unknown_

Hooked Module: C:\WINDOWS\system32\DRIVERS\VClone.sys
Hooked IRP: IRP_MJ_SYSTEM_CONTROL
Jump To: 899FF500
Hooking Module: _unknown_

******************************************************************************************
******************************************************************************************
Ports:
Local Address: SWEET-A8F15ED72:30606
Remote Address: LOCALHOST:1871
Type: TCP
Process: [System Idle Process]
State: TIME_WAIT

Local Address: SWEET-A8F15ED72:30606
Remote Address: LOCALHOST:1870
Type: TCP
Process: [System Idle Process]
State: TIME_WAIT

Local Address: SWEET-A8F15ED72:30606
Remote Address: LOCALHOST:1868
Type: TCP
Process: [System Idle Process]
State: TIME_WAIT

Local Address: SWEET-A8F15ED72:30606
Remote Address: 0.0.0.0:0
Type: TCP
Process: D:\Programmes\Nod32\ekrn.exe
State: LISTENING

Local Address: SWEET-A8F15ED72:1362
Remote Address: LOCALHOST:30606
Type: TCP
Process: C:\WINDOWS\system32\svchost.exe
State: CLOSE_WAIT

Local Address: SWEET-A8F15ED72:34520
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Program Files\Skype\Phone\Skype.exe
State: LISTENING

Local Address: SWEET-A8F15ED72:HTTPS
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Program Files\Skype\Phone\Skype.exe
State: LISTENING

Local Address: SWEET-A8F15ED72:EPMAP
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\WINDOWS\system32\svchost.exe
State: LISTENING

Local Address: SWEET-A8F15ED72:HTTP
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Program Files\Skype\Phone\Skype.exe
State: LISTENING

Local Address: SWEET-A8F15ED72:1079
Remote Address: NA
Type: UDP
Process: C:\Program Files\Windows Live\Contacts\wlcomm.exe
State: NA

Local Address: SWEET-A8F15ED72:1047
Remote Address: NA
Type: UDP
Process: C:\Program Files\Skype\Phone\Skype.exe
State: NA

Local Address: SWEET-A8F15ED72:1041
Remote Address: NA
Type: UDP
Process: C:\Program Files\Windows Live\Messenger\msnmsgr.exe
State: NA

Local Address: SWEET-A8F15ED72:34520
Remote Address: NA
Type: UDP
Process: C:\Program Files\Skype\Phone\Skype.exe
State: NA

Local Address: SWEET-A8F15ED72:HTTPS
Remote Address: NA
Type: UDP
Process: C:\Program Files\Skype\Phone\Skype.exe
State: NA

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: H:\Le34immo.com\Le site\Images\Tux\tux mac¸on.png
Status: Hidden

Object: H:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\amd64\filterpipelineprintproc.dll
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\amd64\msxpsdrv.cat
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\amd64\msxpsdrv.inf
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\amd64\msxpsinc.gpd
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\amd64\msxpsinc.ppd
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\amd64\mxdwdrv.dll
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\amd64\xpssvcs.dll
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\i386\filterpipelineprintproc.dll
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\i386\msxpsdrv.cat
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\i386\msxpsdrv.inf
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\i386\msxpsinc.gpd
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\i386\msxpsinc.ppd
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\i386\mxdwdrv.dll
Status: Access denied

Object: D:\3e84fc7c8d2ee90e5c30d643f52f57\i386\xpssvcs.dll
Status: Access denied

Object: D:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: D:\System Volume Information\_restore{4373D925-B925-4A03-A4FA-69F15094B1C3}
Status: Access denied

Object: D:\System Volume Information\_restore{C9354857-6BFE-4586-8D23-7E13AE62144F}
Status: Access denied

Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: C:\System Volume Information\_restore{FF95C5EE-D147-4A35-83E5-D72D4CE5839B}
Status: Access denied
0
Réponse 28 / 82
claudio34 Messages postés 64 Date d'inscription jeudi 17 avril 2008 Statut Membre Dernière intervention 7 septembre 2009 2
25 août 2009 à 11:10
et le rapport Gmer:

GMER 1.0.15.15077 [izjHT1Xkn7_gmer.exe] - http://www.gmer.net
Rootkit scan 2009-08-25 10:53:07
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT 88D67A60 ZwOpenProcess
SSDT 88D67E80 ZwOpenThread
SSDT 88D68460 ZwSuspendProcess
SSDT 88D68280 ZwSuspendThread
SSDT 88D67C90 ZwTerminateProcess
SSDT 88D680B0 ZwTerminateThread

INT 0x35 ? 89B4EBF8
INT 0x3A ? 89B4EBF8
INT 0x3A ? 89B4EBF8
INT 0x3B ? 89B4EBF8
INT 0x3E ? 89BA2BF8
INT 0x3F ? 89BA2BF8

Code 88E13958 ZwEnumerateKey
Code 88E12958 ZwFlushInstructionCache
Code 8965783E ZwSaveKey
Code 88DDC956 ZwSaveKeyEx
Code 8992269E IofCallDriver
Code 89906646 IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 899226A3
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 8990664B
PAGE ntoskrnl.exe!ZwFlushInstructionCache 8056E43A 5 Bytes JMP 88E1295C
PAGE ntoskrnl.exe!ZwEnumerateKey 805735B4 5 Bytes JMP 88E1395C
PAGE ntoskrnl.exe!ZwSaveKey 8064EDD2 5 Bytes JMP 89657842
PAGE ntoskrnl.exe!ZwSaveKeyEx 8064EEBD 5 Bytes JMP 88DDC95A
? spfc.sys Le fichier spécifié est introuvable. !
.text USBPORT.SYS!DllUnload BA143934 5 Bytes JMP 89B4E1D8

---- User code sections - GMER 1.0.15 ----

.text D:\Programmes\Nod32\ekrn.exe[1672] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 4 Bytes [C2, 04, 00, 00]
.text C:\WINDOWS\Explorer.EXE[1784] ntdll.dll!LdrLoadDll 7C9263A3 5 Bytes JMP 00EA000A

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89BA52D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7507C4C] spfc.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7507CA0] spfc.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74D7042] spfc.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74D713E] spfc.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74D70C0] spfc.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74D7800] spfc.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74D76D6] spfc.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89B4E2D8
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F74E6E9C] spfc.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 89BA11F8

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

Device \FileSystem\Fastfat \FatCdrom 880EC1F8

AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

Device \Driver\usbuhci \Device\USBPDO-0 89B3E500
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89C131F8
Device \Driver\dmio \Device\DmControl\DmConfig 89C131F8
Device \Driver\dmio \Device\DmControl\DmPnP 89C131F8
Device \Driver\dmio \Device\DmControl\DmInfo 89C131F8
Device \Driver\usbuhci \Device\USBPDO-1 89B3E500
Device \Driver\usbuhci \Device\USBPDO-2 89B3E500
Device \Driver\PCI_PNP2624 \Device\00000054 spfc.sys
Device \Driver\PCI_PNP2624 \Device\00000054 spfc.sys
Device \Driver\usbehci \Device\USBPDO-3 89B7F1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{B5B30755-D1E6-4D12-BAA5-26B811709C1E} 88D5B1F8

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

Device \Driver\Ftdisk \Device\HarddiskVolume1 89BA31F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89BA31F8
Device \Driver\Cdrom \Device\CdRom0 89A0E1F8
Device \Driver\Cdrom \Device\CdRom1 89A0E1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 89BA31F8
Device \Driver\Cdrom \Device\CdRom2 89A0E1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 88D5B1F8

AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

Device \Driver\sptd \Device\18324064 spfc.sys

AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

Device \Driver\usbuhci \Device\USBFDO-0 89B3E500
Device \Driver\usbuhci \Device\USBFDO-1 89B3E500
Device \Driver\usbuhci \Device\USBFDO-2 89B3E500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 88D551F8
Device \Driver\usbehci \Device\USBFDO-3 89B7F1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 88D551F8
Device \Driver\Ftdisk \Device\FtControl 89BA31F8
Device \Driver\VClone \Device\Scsi\VClone1 899FF500
Device \Driver\a0agt6se \Device\Scsi\a0agt6se1 899FE1F8
Device \Driver\VClone \Device\Scsi\VClone1Port2Path0Target0Lun0 899FF500
Device \Driver\a0agt6se \Device\Scsi\a0agt6se1Port3Path0Target0Lun0 899FE1F8
Device \FileSystem\Fastfat \Fat 880EC1F8

AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

Device \FileSystem\Cdfs \Cdfs 8881B1F8

---- Threads - GMER 1.0.15 ----

Thread System [4:540] 88D66790

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\kbiwkmlmpyqoml.sys (*** hidden *** ) [SYSTEM] kbiwkmhrnmxjbq <-- ROOTKIT !!!
Service system32\drivers\UACoyotbvrkcd.sys (*** hidden *** ) [SYSTEM] UACd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq@imagepath \systemroot\system32\drivers\kbiwkmlmpyqoml.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\main
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\main@aid 10002
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\main@sid 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\main@cmddelay 14400
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\main\connections
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\main\delete
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\main\injector
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\main\injector@* kbiwkmwsp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\main\tasks
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\modules@kbiwkmrk.sys \systemroot\system32\drivers\kbiwkmlmpyqoml.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\modules@kbiwkmcmd.dll \systemroot\system32\kbiwkmudguwnmy.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\modules@kbiwkmlog.dat \systemroot\system32\kbiwkmllypxtow.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\modules@kbiwkmwsp.dll \systemroot\system32\kbiwkmqjkenkro.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\modules@kbiwkm.dat \systemroot\system32\kbiwkmbqtvkfto.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\Programmes\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xA0 0x57 0xB8 0xD8 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x08 0xE3 0xA8 0x29 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x4A 0xE1 0xB9 0x53 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x21 0x4F 0x82 0x8C ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACoyotbvrkcd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACoyotbvrkcd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACewjdqlkaie.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACeexmsybfnl.dll
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq@imagepath \systemroot\system32\drivers\kbiwkmlmpyqoml.sys
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\main (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\main@aid 10002
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\main@sid 1
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\main@cmddelay 14400
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\main\connections (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\main\delete (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\main\injector (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\main\injector@* kbiwkmwsp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\main\tasks (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\modules@kbiwkmrk.sys \systemroot\system32\drivers\kbiwkmlmpyqoml.sys
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\modules@kbiwkmcmd.dll \systemroot\system32\kbiwkmudguwnmy.dll
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\modules@kbiwkmlog.dat \systemroot\system32\kbiwkmllypxtow.dat
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\modules@kbiwkmwsp.dll \systemroot\system32\kbiwkmqjkenkro.dll
Reg HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\modules@kbiwkm.dat \systemroot\system32\kbiwkmbqtvkfto.dat
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\Programmes\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 1
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xA0 0x57 0xB8 0xD8 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x08 0xE3 0xA8 0x29 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x4A 0xE1 0xB9 0x53 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x21 0x4F 0x82 0x8C ...
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACoyotbvrkcd.sys
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACoyotbvrkcd.sys
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACewjdqlkaie.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACeexmsybfnl.dll
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@LoadAppInit_DLLs 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@

---- EOF - GMER 1.0.15 ----
0
Réponse 29 / 82
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 août 2009 à 11:37
bien ...


j'ai repéré la bestiole ... c'est cette dernière varainte qui fout sa m**de ... ^^



fais ce qui suit ( attention : la manipe risque au final de faire finir également l'outil Combofix qui est resté bloqué ... dans ce cas là , laisse bien faire les choses ! Si combo génère un rapport , tu me le postera aussi ... ).



Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

! Déconnecte toi et ferme toutes tes applications en cours !

Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,


:Services
kbiwkmhrnmxjbq
UACd.sys

:Reg
[-HKLM\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq]
[-HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys]
[-HKLM\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq]
[-HKLM\SYSTEM\ControlSet002\Services\UACd.sys]

:Files
C:\WINDOWS\system32\drivers\kbiwkmlmpyqoml.sys
C:\WINDOWS\system32\drivers\UACoyotbvrkcd.sys

:Commands
[purity]
[emptytemp]
[Reboot]



et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).




0
Réponse 30 / 82
claudio34 Messages postés 64 Date d'inscription jeudi 17 avril 2008 Statut Membre Dernière intervention 7 septembre 2009 2
25 août 2009 à 11:51
Voilà M'sieur!:

All processes killed
========== SERVICES/DRIVERS ==========
Service\Driver kbiwkmhrnmxjbq not found.
Service\Driver key kbiwkmhrnmxjbq deleted successfully.
Service\Driver UACd.sys not found.
Service\Driver key UACd.sys deleted successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UACd.sys\ deleted successfully.
========== FILES ==========
File/Folder C:\WINDOWS\system32\drivers\kbiwkmlmpyqoml.sys not found.
File/Folder C:\WINDOWS\system32\drivers\UACoyotbvrkcd.sys not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 976026 bytes
->Temporary Internet Files folder emptied: 922222 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 47499626 bytes
->Opera cache emptied: 6246942 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2351795 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 814358992 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 832,04 mb


OTM by OldTimer - Version 3.0.0.6 log created on 08252009_114551

Files moved on Reboot...

Registry entries deleted on Reboot...
0
Réponse 31 / 82
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 août 2009 à 12:14
Bien ...


relance Cfix maintenant ....


poste moi le rapport obtenu ...




0
Réponse 32 / 82
claudio34 Messages postés 64 Date d'inscription jeudi 17 avril 2008 Statut Membre Dernière intervention 7 septembre 2009 2
25 août 2009 à 14:32
bon, Cfix ne fonctionne toujours pas...

Ca démarre correctement, creation du restore point puis... plus rien...
0
Réponse 33 / 82
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 août 2009 à 14:47
grrrrr....


tu vas le lancer en mode sans échec .


/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...



donc une fois dans ce mode lance le ... une fois terminé et si ce dernier n'a pas fait redémarrer , fait le manuellement ! ...

de retoure en mode normal , poste moi le rapport obtenu stp ...


0
Réponse 34 / 82
claudio34 Messages postés 64 Date d'inscription jeudi 17 avril 2008 Statut Membre Dernière intervention 7 septembre 2009 2
25 août 2009 à 15:14
bon, on continue...
0
Réponse 35 / 82
claudio34 Messages postés 64 Date d'inscription jeudi 17 avril 2008 Statut Membre Dernière intervention 7 septembre 2009 2
26 août 2009 à 22:06
Bonsoir,
désolé de ne pas avoir répondu plus tôt j'ai passé deux journées chargées!

Bon j'ai tout refais comme expliqué, le mode sans échec, le combo etc...

Toujours pareil après dix min d'activité max, plus rien, le disque dur reste muet et 1h30 après, toujours rien...

Bref, ça marche pas...
0
Réponse 36 / 82
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
26 août 2009 à 22:17
Salut,


vraimment coriace cette nouvelle variante ...


faut voir ce qui peut en rester ...



tu vas refaire cette manipe > https://forums.commentcamarche.net/forum/affich-14039287-redirection-google?page=2#30



poste moi les deux rapports obtenus via "Cijoint" et attends la suite ....

0
Réponse 37 / 82
claudio34 Messages postés 64 Date d'inscription jeudi 17 avril 2008 Statut Membre Dernière intervention 7 septembre 2009 2
26 août 2009 à 22:21
Ok
0
Réponse 38 / 82
claudio34 Messages postés 64 Date d'inscription jeudi 17 avril 2008 Statut Membre Dernière intervention 7 septembre 2009 2
26 août 2009 à 22:44
Le premier

http://www.cijoint.fr/cjlink.php?file=cj200908/cijis0hb48.doc

et le deuxième

http://www.cijoint.fr/cjlink.php?file=cj200908/cijNTyLZut.doc
0
Réponse 39 / 82
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
26 août 2009 à 23:50
Bien ....


on va de nouveau utiliser OTM ( en mode normal ) :



* Double clique sur "OTM.exe" pour ouvrir le prg .

* Ensuite rends toi sur cette page > https://www.cjoint.com/?iAxWiUDkjJ

* Puis copie tout le texte qui s' y trouve et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ( navigateur compris ) !

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


0
Réponse 40 / 82
claudio34 Messages postés 64 Date d'inscription jeudi 17 avril 2008 Statut Membre Dernière intervention 7 septembre 2009 2
27 août 2009 à 00:10
Voilà

All processes killed
========== SERVICES/DRIVERS ==========
Service\Driver kbiwkmhrnmxjbq not found.
Service\Driver key kbiwkmhrnmxjbq deleted successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbiwkmhrnmxjbq\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kbiwkmhrnmxjbq\ deleted successfully.
========== FILES ==========
File/Folder C:\WINDOWS\system32\drivers\kbiwkmlmpyqoml.sys not found.
File/Folder C:\WINDOWS\system32\kbiwkmitvspqrp.dll not found.
File/Folder C:\WINDOWS\system32\kbiwkmvnfyavnx.dat not found.
File/Folder C:\WINDOWS\system32\kbiwkmvksviyqx.dll not found.
File/Folder C:\WINDOWS\system32\kbiwkmeppjwxhv.dat not found.
File/Folder C:\WINDOWS\system32\kbiwkmwsp.dll not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 4601686 bytes
->Temporary Internet Files folder emptied: 9662198 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 85844520 bytes
->Apple Safari cache emptied: 14443479 bytes
->Opera cache emptied: 2195399 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 35240 bytes
RecycleBin emptied: 40923 bytes

Total Files Cleaned = 111,41 mb


OTM by OldTimer - Version 3.0.0.6 log created on 08272009_000459

Files moved on Reboot...

Registry entries deleted on Reboot...
0

Discussions similaires

Prélèvement Google Ireland Limited
jaffa1961 -
gill34051 -

32 réponses