Virus svchost dans windows temp
Résolu/Fermé
A voir également:
- Virus svchost dans windows temp
- Clé windows 10 gratuit - Guide
- Windows 10 gratuit - Guide
- Windows 12 - Guide
- Windows ne démarre pas - Guide
- Windows 10 iso - Guide
51 réponses
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
11 avril 2010 à 14:42
11 avril 2010 à 14:42
scaps,
Dis moi, as-tu demandé de l'aide hier sur un forum de désinfection ?
Je le remarque car beaucoup d'outils de désinfection ont été utilisés : ComboFix, USBFix, OTL, MBAM
Dis moi, as-tu demandé de l'aide hier sur un forum de désinfection ?
Je le remarque car beaucoup d'outils de désinfection ont été utilisés : ComboFix, USBFix, OTL, MBAM
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
11 avril 2010 à 13:50
11 avril 2010 à 13:50
Bonjour,
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Dans la partie Personnalisation, copie/colle la liste suivante.
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Dans la partie Personnalisation, copie/colle la liste suivante.
netsvcs Drivers32 %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys /md5stop %systemroot%\*. /mp /s CREATERESTOREPOINT
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
Merci pour ton aide.
Voici le lien du fichier OTL.txt: http://www.cijoint.fr/cjlink.php?file=cj201004/cijlhGEdS2.txt
Par contre j'ai pas eu le extras.txt, 1 seule fenetre dans le bloc note s'est ouverte.
Dis moi s'il faut que je refasse le scan.
Voici le lien du fichier OTL.txt: http://www.cijoint.fr/cjlink.php?file=cj201004/cijlhGEdS2.txt
Par contre j'ai pas eu le extras.txt, 1 seule fenetre dans le bloc note s'est ouverte.
Dis moi s'il faut que je refasse le scan.
Non,
J'ai essayee les differents outils de desinfection conseilles sur les forum pour ce virus.
Mais sans succes c'est pour ca qu'aujourdhui je demande de l'aide sur le forum.
J'ai essayee les differents outils de desinfection conseilles sur les forum pour ce virus.
Mais sans succes c'est pour ca qu'aujourdhui je demande de l'aide sur le forum.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
11 avril 2010 à 15:24
11 avril 2010 à 15:24
scap,
On peut utiliser certains outils comme malwarebytes, voire USBfix.
par contre, ComboFix , il vaut mieux éviter.
Et OTL, je me demande bien ce que tu pouvais faire avec.
Vu que tu as passé ComboFix, tu dois avoir le rapport.
Il se trouve en C:\ComboFix.txt
Même chose pour USBFix en C:\USBFix.txt.
Poste ces deux rapports.
Je te demande cela car je ne sais pas ce que ces outils ont bien pu trouvé et avant d'aller plus loin je voudrais avoir ces infos.
A+
On peut utiliser certains outils comme malwarebytes, voire USBfix.
par contre, ComboFix , il vaut mieux éviter.
Et OTL, je me demande bien ce que tu pouvais faire avec.
Vu que tu as passé ComboFix, tu dois avoir le rapport.
Il se trouve en C:\ComboFix.txt
Même chose pour USBFix en C:\USBFix.txt.
Poste ces deux rapports.
Je te demande cela car je ne sais pas ce que ces outils ont bien pu trouvé et avant d'aller plus loin je voudrais avoir ces infos.
A+
Ok merci pour les info sur les differents programmes. J'ai essaye de m'en sortir solo avant de poster sur le forum... Mais bon tu as raison vaut mieux pas trop bidouiller quand on connait pas.
Voici le rapport usbfix : http://www.cijoint.fr/cjlink.php?file=cj201004/cijkPM7tuz.txt
Par contre je n'ai pas de rapport combofix... Dois-je le refaire?
Merci
Voici le rapport usbfix : http://www.cijoint.fr/cjlink.php?file=cj201004/cijkPM7tuz.txt
Par contre je n'ai pas de rapport combofix... Dois-je le refaire?
Merci
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
11 avril 2010 à 15:52
11 avril 2010 à 15:52
Oui.
Avast continue à te donner des alertes ?
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
# Il te sera demandé d'installer la console de récupération.
Important. Fais le absolument.
Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
Avast continue à te donner des alertes ?
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
# Il te sera demandé d'installer la console de récupération.
Important. Fais le absolument.
Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
OUi Avast contine a donner des alertes.
J'ai lancer combofix apres desactivation de la protection.
Il a scanne puis redemarre sauf qu'au redemarrage: ecran bleu impossible de redemarrer. idem en mode sans echec.
Il a fallu que je demarre windows avec "la derniere configuration qui fonctionnait"
Donc pas de rapport combofix.
J'ai lancer combofix apres desactivation de la protection.
Il a scanne puis redemarre sauf qu'au redemarrage: ecran bleu impossible de redemarrer. idem en mode sans echec.
Il a fallu que je demarre windows avec "la derniere configuration qui fonctionnait"
Donc pas de rapport combofix.
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
11 avril 2010 à 16:23
11 avril 2010 à 16:23
OK,
Je comprends mieux.
1/ Ouvre OTL et clique sur purge Outils ( ou CleanUp! ).
Ceci va enlever certains outils comme ComboFix et OTL.
Comme tu avais déjà installé OTL, il n'y avait pas eu de fichier extra.txt
2/ Retélécharge OTL .
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Dans la partie Personnalisation, copie/colle la liste suivante.
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
Je comprends mieux.
1/ Ouvre OTL et clique sur purge Outils ( ou CleanUp! ).
Ceci va enlever certains outils comme ComboFix et OTL.
Comme tu avais déjà installé OTL, il n'y avait pas eu de fichier extra.txt
2/ Retélécharge OTL .
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Dans la partie Personnalisation, copie/colle la liste suivante.
/md5start svchost.exe /md5stop
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
Voila
Otl.txt: http://www.cijoint.fr/cjlink.php?file=cj201004/cij7lo6xXu.txt
Extras.txt: http://www.cijoint.fr/cjlink.php?file=cj201004/cijwZ87Rn7.txt
Otl.txt: http://www.cijoint.fr/cjlink.php?file=cj201004/cij7lo6xXu.txt
Extras.txt: http://www.cijoint.fr/cjlink.php?file=cj201004/cijwZ87Rn7.txt
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
11 avril 2010 à 17:09
11 avril 2010 à 17:09
Scap,
1/ Relance OTL et copie/colle la liste suivante dans Personnalisation :
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
Ceci va vider les dossiers temporaires.
2/ Les rapports ne donnent aucune indication sur ce fichier svchost.exe.
Peux-tu noter le chemin indiqué du fichier lors des alertes d'Avast ?
A+
1/ Relance OTL et copie/colle la liste suivante dans Personnalisation :
:OTL :Commands [emptytemp]
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
Ceci va vider les dossiers temporaires.
2/ Les rapports ne donnent aucune indication sur ce fichier svchost.exe.
Peux-tu noter le chemin indiqué du fichier lors des alertes d'Avast ?
A+
Voila le log:
http://www.cijoint.fr/cjlink.php?file=cj201004/cij8P8N71A.txt
Je note la direction des que j'ai une nouvelle alerte de avast.
http://www.cijoint.fr/cjlink.php?file=cj201004/cij8P8N71A.txt
Je note la direction des que j'ai une nouvelle alerte de avast.
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
11 avril 2010 à 17:53
11 avril 2010 à 17:53
Re,
Tu vas utiliser DrWebCureIt.
# Télécharge-le : https://free.drweb.com/cureit/
IMPORTANT, il faut que l'exécutable soit sur le bureau.
# Double-clique sur le fichier.
# Une analyse rapide va se lancer.
A l'issu du scan --> il faut créer un rapport à partir du menu Fichier puis Enregistrer le rapport.
C'est un fichier .csv. Poste le contenu dans ton prochain message.
A+
Tu vas utiliser DrWebCureIt.
# Télécharge-le : https://free.drweb.com/cureit/
IMPORTANT, il faut que l'exécutable soit sur le bureau.
# Double-clique sur le fichier.
# Une analyse rapide va se lancer.
A l'issu du scan --> il faut créer un rapport à partir du menu Fichier puis Enregistrer le rapport.
C'est un fichier .csv. Poste le contenu dans ton prochain message.
A+
Voila le chemin d'une alerte:
C:\WINDOWS\TEMP\nexb.tmp\svchost.exe
C'est toujours le meme dossier
C:\WINDOWS\TEMP\........\svchost.exe
C:\WINDOWS\TEMP\ se rempli de dossiers vides
ex:
nexb.tmp
ehho.tmp
eomb.tmp
jkgl.tmp
rppy.tmp
snym.tmp
tism.tmp
yyrs.tmp
nwkh.tmp
C:\WINDOWS\TEMP\nexb.tmp\svchost.exe
C'est toujours le meme dossier
C:\WINDOWS\TEMP\........\svchost.exe
C:\WINDOWS\TEMP\ se rempli de dossiers vides
ex:
nexb.tmp
ehho.tmp
eomb.tmp
jkgl.tmp
rppy.tmp
snym.tmp
tism.tmp
yyrs.tmp
nwkh.tmp
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
11 avril 2010 à 17:58
11 avril 2010 à 17:58
OK,
passe DrWebCureIt comme indiqué dans le message précédent et poste le rapport
passe DrWebCureIt comme indiqué dans le message précédent et poste le rapport
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
11 avril 2010 à 19:48
11 avril 2010 à 19:48
Re,
C'est une infection assez délicate.
1/ Relance DrCure WebIT.
Après l'analyse rapide, sélectionne l'analyse complète et poste le rapport.
2/ Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files
Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )
- Ferme également toutes les applications actives dont ton navigateur.
# Double-clique sur l'exécutable téléchargé .
( Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur )
# Le scan va se lancer de lui-même.
# Après cette première analyse, vérifie que tous les onglets ( System, Sections, ... , Files ) sont cochés puis clique sur scan .
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
A+
C:\WINDOWS\Explorer.EXE:440;;BackDoor.Tdss.565;Eradicated
C'est une infection assez délicate.
1/ Relance DrCure WebIT.
Après l'analyse rapide, sélectionne l'analyse complète et poste le rapport.
2/ Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files
Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )
- Ferme également toutes les applications actives dont ton navigateur.
# Double-clique sur l'exécutable téléchargé .
( Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur )
# Le scan va se lancer de lui-même.
# Après cette première analyse, vérifie que tous les onglets ( System, Sections, ... , Files ) sont cochés puis clique sur scan .
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
A+
Voila le rapport de l'analyse complete de Dr Cure:
Process in memory: C:\Archivos de programa\Mozilla Firefox\firefox.exe:996;;BackDoor.Tdss.565;Eradicated.;
Et celui de gmer:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-12 09:35:42
Windows 5.1.2600 Service Pack 3
Running: cxqbrw7i.exe; Driver: C:\DOCUME~1\BLACKC~1\CONFIG~1\Temp\pxtdipow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB2D95C56]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB2D95B12]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB2D960C6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB2D95FF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB2D956E8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB2D95BEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB2D95628]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB2D9568C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB2D95D0C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB2D96194]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB2D95CCC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB2D95E4C]
SSDT \??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB41AD320]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB2DA24FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB2DA2322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB2DA245C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2474 80501C9C 4 Bytes CALL E302F5F7
PAGE ntkrnlpa.exe!ZwLoadDriver 80579588 7 Bytes JMP B2DA2460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805A06EC 7 Bytes JMP B2DA2326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B1C60 5 Bytes JMP B2D9E4BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 805B8AD8 5 Bytes JMP B2D9F972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C736A 7 Bytes JMP B2DA2502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
.rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xBA775994]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB86CC360, 0x37226D, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 00E5000A
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 00E6000A
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 00E4000C
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 0095000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 0096000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 0094000C
.text C:\WINDOWS\System32\svchost.exe[1560] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 008C000A
.text C:\WINDOWS\System32\svchost.exe[1560] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 008B000A
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003F0002
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003F0000
---- Devices - GMER 1.0.15 ----
Process in memory: C:\Archivos de programa\Mozilla Firefox\firefox.exe:996;;BackDoor.Tdss.565;Eradicated.;
Et celui de gmer:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-12 09:35:42
Windows 5.1.2600 Service Pack 3
Running: cxqbrw7i.exe; Driver: C:\DOCUME~1\BLACKC~1\CONFIG~1\Temp\pxtdipow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB2D95C56]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB2D95B12]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB2D960C6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB2D95FF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB2D956E8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB2D95BEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB2D95628]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB2D9568C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB2D95D0C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB2D96194]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB2D95CCC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB2D95E4C]
SSDT \??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB41AD320]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB2DA24FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB2DA2322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB2DA245C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2474 80501C9C 4 Bytes CALL E302F5F7
PAGE ntkrnlpa.exe!ZwLoadDriver 80579588 7 Bytes JMP B2DA2460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805A06EC 7 Bytes JMP B2DA2326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B1C60 5 Bytes JMP B2D9E4BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 805B8AD8 5 Bytes JMP B2D9F972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C736A 7 Bytes JMP B2DA2502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
.rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xBA775994]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB86CC360, 0x37226D, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 00E5000A
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 00E6000A
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 00E4000C
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 0095000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 0096000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 0094000C
.text C:\WINDOWS\System32\svchost.exe[1560] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 008C000A
.text C:\WINDOWS\System32\svchost.exe[1560] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 008B000A
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003F0002
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003F0000
---- Devices - GMER 1.0.15 ----
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
12 avril 2010 à 11:48
12 avril 2010 à 11:48
scap,
En plus de l'infection avec svchost.exe, le rapport de gmer montre une nouvelle variante de ce rootkit TDSS ( les deux infections sont peut-être liées ).
-------------------------------------------------------------------
1/ Le rapport de gmer est incomplet.
Reposte-le.
2/ Télécharge TDSSKiller sur ton Bureau ( IMPORTANT )
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
# Décompresse le (clic droit et extraire ici).
Tu dois avoir le fichier TDSSKiller.exe sur ton bureau.
# Menu Démarrer --> Exécuter puis copie-colle le texte suivant
et clique sur OK
# Une fenêtre Dos noire va s'ouvrir, elle se refermera d'elle même quand le travail de l'outil sera terminé.
Poste en réponse le rapport report.txt qui sera crée en C:\
A+
En plus de l'infection avec svchost.exe, le rapport de gmer montre une nouvelle variante de ce rootkit TDSS ( les deux infections sont peut-être liées ).
---- Kernel code sections - GMER 1.0.15 ---- .rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xBA775994]
-------------------------------------------------------------------
1/ Le rapport de gmer est incomplet.
Reposte-le.
2/ Télécharge TDSSKiller sur ton Bureau ( IMPORTANT )
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
# Décompresse le (clic droit et extraire ici).
Tu dois avoir le fichier TDSSKiller.exe sur ton bureau.
# Menu Démarrer --> Exécuter puis copie-colle le texte suivant
"%userprofile%\bureau\TDSSKiller.exe" -l C:\report.txt -v
et clique sur OK
# Une fenêtre Dos noire va s'ouvrir, elle se refermera d'elle même quand le travail de l'outil sera terminé.
Poste en réponse le rapport report.txt qui sera crée en C:\
A+
Oops,
Voila le rapport gmer complet:
(Rapport TDSSkiller prochain post)
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-12 09:35:42
Windows 5.1.2600 Service Pack 3
Running: cxqbrw7i.exe; Driver: C:\DOCUME~1\BLACKC~1\CONFIG~1\Temp\pxtdipow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB2D95C56]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB2D95B12]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB2D960C6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB2D95FF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB2D956E8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB2D95BEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB2D95628]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB2D9568C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB2D95D0C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB2D96194]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB2D95CCC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB2D95E4C]
SSDT \??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB41AD320]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB2DA24FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB2DA2322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB2DA245C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2474 80501C9C 4 Bytes CALL E302F5F7
PAGE ntkrnlpa.exe!ZwLoadDriver 80579588 7 Bytes JMP B2DA2460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805A06EC 7 Bytes JMP B2DA2326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B1C60 5 Bytes JMP B2D9E4BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 805B8AD8 5 Bytes JMP B2D9F972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C736A 7 Bytes JMP B2DA2502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
.rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xBA775994]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB86CC360, 0x37226D, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 00E5000A
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 00E6000A
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 00E4000C
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 0095000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 0096000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 0094000C
.text C:\WINDOWS\System32\svchost.exe[1560] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 008C000A
.text C:\WINDOWS\System32\svchost.exe[1560] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 008B000A
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003F0002
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003F0000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)
AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \FileSystem\Fastfat \Fat AABF3D20
Device \FileSystem\Fastfat \Fat AAC03428
AttachedDevice \FileSystem\Fastfat \Fat AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
Device -> \Driver\atapi \Device\Harddisk0\DR0 8A774AC8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Documents and Settings\BlackCrystal\x2122\Datos de programa\Microsoft\IdentityCRL\production\ppcrlconfig.dll 2
---- Files - GMER 1.0.15 ----
File C:\ADSM_PData_0150 0 bytes
File C:\ADSM_PData_0150\DB 0 bytes
File C:\ADSM_PData_0150\DB\SI.db 624 bytes
File C:\ADSM_PData_0150\DB\UL.db 16 bytes
File C:\ADSM_PData_0150\DB\VL.db 16 bytes
File C:\ADSM_PData_0150\DB\_avt 512 bytes
File C:\ADSM_PData_0150\DragWait.exe 253952 bytes executable
File C:\ADSM_PData_0150\_avt 512 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86 0 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\AsDsm.sys 29752 bytes executable
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\_avt 512 bytes
File C:\WINDOWS\system32\drivers\pci.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
Voila le rapport gmer complet:
(Rapport TDSSkiller prochain post)
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-12 09:35:42
Windows 5.1.2600 Service Pack 3
Running: cxqbrw7i.exe; Driver: C:\DOCUME~1\BLACKC~1\CONFIG~1\Temp\pxtdipow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB2D95C56]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB2D95B12]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB2D960C6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB2D95FF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB2D956E8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB2D95BEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB2D95628]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB2D9568C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB2D95D0C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB2D96194]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB2D95CCC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB2D95E4C]
SSDT \??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB41AD320]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB2DA24FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB2DA2322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB2DA245C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2474 80501C9C 4 Bytes CALL E302F5F7
PAGE ntkrnlpa.exe!ZwLoadDriver 80579588 7 Bytes JMP B2DA2460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805A06EC 7 Bytes JMP B2DA2326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B1C60 5 Bytes JMP B2D9E4BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 805B8AD8 5 Bytes JMP B2D9F972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C736A 7 Bytes JMP B2DA2502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
.rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xBA775994]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB86CC360, 0x37226D, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 00E5000A
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 00E6000A
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 00E4000C
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 0095000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 0096000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 0094000C
.text C:\WINDOWS\System32\svchost.exe[1560] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 008C000A
.text C:\WINDOWS\System32\svchost.exe[1560] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 008B000A
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003F0002
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003F0000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)
AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \FileSystem\Fastfat \Fat AABF3D20
Device \FileSystem\Fastfat \Fat AAC03428
AttachedDevice \FileSystem\Fastfat \Fat AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
Device -> \Driver\atapi \Device\Harddisk0\DR0 8A774AC8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Documents and Settings\BlackCrystal\x2122\Datos de programa\Microsoft\IdentityCRL\production\ppcrlconfig.dll 2
---- Files - GMER 1.0.15 ----
File C:\ADSM_PData_0150 0 bytes
File C:\ADSM_PData_0150\DB 0 bytes
File C:\ADSM_PData_0150\DB\SI.db 624 bytes
File C:\ADSM_PData_0150\DB\UL.db 16 bytes
File C:\ADSM_PData_0150\DB\VL.db 16 bytes
File C:\ADSM_PData_0150\DB\_avt 512 bytes
File C:\ADSM_PData_0150\DragWait.exe 253952 bytes executable
File C:\ADSM_PData_0150\_avt 512 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86 0 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\AsDsm.sys 29752 bytes executable
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\_avt 512 bytes
File C:\WINDOWS\system32\drivers\pci.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----