Sujet Précédent Sujet Suivant

Virus svchost dans windows temp

Résolu/Fermé
-scap- - 11 avril 2010 à 13:35
 -scap- - 13 avril 2010 à 22:38
Bonjour,

Ca fait 2 jours que je bataille pour essayer de supprimer un virus sur mon pc.
J'ai suivi quelques procedures comme celle-ci: https://forums.commentcamarche.net/forum/affich-16632765-virus-svchost-exe-dans-windows-temp
J'ai essayer quelques antispyware comme Malwarebyte et Superantispyware, mais rien n'y fait. J'ai toujours l'antivirus(avast) qui detecte une menace toute les 5 minutes du type: C:/WINDOWS/TEMP/.../svchost.exe
En effet le dossier C:/WINDOWS/TEMP/... se rempli de nouveaux dossiers.
J'ai le rapport Hijackthis http://www.cijoint.fr/cjlink.php?file=cj201004/cijt7vDUkE.txt
Si quelqu'un pouvait m'aider ca serait super.

Merci d'avance.

A voir également:

51 réponses

Réponse 1 / 51
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 14:42
scaps,

Dis moi, as-tu demandé de l'aide hier sur un forum de désinfection ?
Je le remarque car beaucoup d'outils de désinfection ont été utilisés : ComboFix, USBFix, OTL, MBAM
1
Réponse 2 / 51
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 13:50
Bonjour,

Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Dans la partie Personnalisation, copie/colle la liste suivante. 

 netsvcs 
Drivers32
%SYSTEMDRIVE%\*.exe 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
IdeChnDr.sys 
viasraid.sys 
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
ahcix86.sys 
KR10N.sys 
nvstor32.sys 
ahcix86s.sys 
nvrd32.sys 
/md5stop 
%systemroot%\*. /mp /s 
CREATERESTOREPOINT


* Enfin, clique sur le bouton Analyse rapide.

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.

A+
0
Réponse 3 / 51
-scap-
11 avril 2010 à 14:33
Merci pour ton aide.

Voici le lien du fichier OTL.txt: http://www.cijoint.fr/cjlink.php?file=cj201004/cijlhGEdS2.txt

Par contre j'ai pas eu le extras.txt, 1 seule fenetre dans le bloc note s'est ouverte.

Dis moi s'il faut que je refasse le scan.
0
Réponse 4 / 51
-scap-
11 avril 2010 à 14:50
Non,

J'ai essayee les differents outils de desinfection conseilles sur les forum pour ce virus.
Mais sans succes c'est pour ca qu'aujourdhui je demande de l'aide sur le forum.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 51
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 15:24
scap,

On peut utiliser certains outils comme malwarebytes, voire USBfix.
par contre, ComboFix , il vaut mieux éviter.
Et OTL, je me demande bien ce que tu pouvais faire avec.

Vu que tu as passé ComboFix, tu dois avoir le rapport.
Il se trouve en C:\ComboFix.txt

Même chose pour USBFix en C:\USBFix.txt.

Poste ces deux rapports.

Je te demande cela car je ne sais pas ce que ces outils ont bien pu trouvé et avant d'aller plus loin je voudrais avoir ces infos.

A+
0
Réponse 6 / 51
-scap-
11 avril 2010 à 15:44
Ok merci pour les info sur les differents programmes. J'ai essaye de m'en sortir solo avant de poster sur le forum... Mais bon tu as raison vaut mieux pas trop bidouiller quand on connait pas.

Voici le rapport usbfix : http://www.cijoint.fr/cjlink.php?file=cj201004/cijkPM7tuz.txt

Par contre je n'ai pas de rapport combofix... Dois-je le refaire?

Merci
0
Réponse 7 / 51
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 15:52
Oui.

Avast continue à te donner des alertes ?

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d'installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+
0
Réponse 8 / 51
-scap-
11 avril 2010 à 16:13
OUi Avast contine a donner des alertes.

J'ai lancer combofix apres desactivation de la protection.
Il a scanne puis redemarre sauf qu'au redemarrage: ecran bleu impossible de redemarrer. idem en mode sans echec.

Il a fallu que je demarre windows avec "la derniere configuration qui fonctionnait"

Donc pas de rapport combofix.
0
Réponse 9 / 51
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 16:23
OK,

Je comprends mieux.

1/ Ouvre OTL et clique sur purge Outils ( ou CleanUp! ).
Ceci va enlever certains outils comme ComboFix et OTL.
Comme tu avais déjà installé OTL, il n'y avait pas eu de fichier extra.txt

2/ Retélécharge OTL .
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Dans la partie Personnalisation, copie/colle la liste suivante. 

/md5start 
svchost.exe 
/md5stop


* Enfin, clique sur le bouton Analyse rapide.

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.

A+
0
Réponse 10 / 51
-scap-
11 avril 2010 à 16:49
Voila

Otl.txt: http://www.cijoint.fr/cjlink.php?file=cj201004/cij7lo6xXu.txt
Extras.txt: http://www.cijoint.fr/cjlink.php?file=cj201004/cijwZ87Rn7.txt
0
Réponse 11 / 51
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 17:09
Scap,

1/ Relance OTL et copie/colle la liste suivante dans Personnalisation : 

:OTL

:Commands
[emptytemp]


* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log

Ceci va vider les dossiers temporaires.

2/ Les rapports ne donnent aucune indication sur ce fichier svchost.exe.
Peux-tu noter le chemin indiqué du fichier lors des alertes d'Avast ?

A+
0
Réponse 12 / 51
-scap-
11 avril 2010 à 17:33
Voila le log:
http://www.cijoint.fr/cjlink.php?file=cj201004/cij8P8N71A.txt

Je note la direction des que j'ai une nouvelle alerte de avast.
0
Réponse 13 / 51
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 17:53
Re,

Tu vas utiliser DrWebCureIt.

# Télécharge-le : https://free.drweb.com/cureit/
IMPORTANT, il faut que l'exécutable soit sur le bureau.

# Double-clique sur le fichier.
# Une analyse rapide va se lancer.

A l'issu du scan --> il faut créer un rapport à partir du menu Fichier puis Enregistrer le rapport.

C'est un fichier .csv. Poste le contenu dans ton prochain message.

A+
0
Réponse 14 / 51
-scap-
11 avril 2010 à 17:56
Voila le chemin d'une alerte:

C:\WINDOWS\TEMP\nexb.tmp\svchost.exe

C'est toujours le meme dossier

C:\WINDOWS\TEMP\........\svchost.exe

C:\WINDOWS\TEMP\ se rempli de dossiers vides

ex:
nexb.tmp
ehho.tmp
eomb.tmp
jkgl.tmp
rppy.tmp
snym.tmp
tism.tmp
yyrs.tmp
nwkh.tmp
0
Réponse 15 / 51
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 17:58
OK,

passe DrWebCureIt comme indiqué dans le message précédent et poste le rapport
0
Réponse 16 / 51
-scap-
11 avril 2010 à 18:41
Le rapport du scan:

Process in memory: C:\WINDOWS\Explorer.EXE:440;;BackDoor.Tdss.565;Eradicated.;
0
Réponse 17 / 51
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 avril 2010 à 19:48
Re, 

C:\WINDOWS\Explorer.EXE:440;;BackDoor.Tdss.565;Eradicated


C'est une infection assez délicate.

1/ Relance DrCure WebIT.
Après l'analyse rapide, sélectionne l'analyse complète et poste le rapport.

2/ Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files

Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )
- Ferme également toutes les applications actives dont ton navigateur.

# Double-clique sur l'exécutable téléchargé .
( Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur )
# Le scan va se lancer de lui-même.
# Après cette première analyse, vérifie que tous les onglets ( System, Sections, ... , Files ) sont cochés puis clique sur scan .
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )

Édite ce rapport dans ta prochaine réponse.


A+
0
Réponse 18 / 51
-scap-
12 avril 2010 à 11:22
Voila le rapport de l'analyse complete de Dr Cure:
Process in memory: C:\Archivos de programa\Mozilla Firefox\firefox.exe:996;;BackDoor.Tdss.565;Eradicated.;

Et celui de gmer:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-12 09:35:42
Windows 5.1.2600 Service Pack 3
Running: cxqbrw7i.exe; Driver: C:\DOCUME~1\BLACKC~1\CONFIG~1\Temp\pxtdipow.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB2D95C56]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB2D95B12]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB2D960C6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB2D95FF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB2D956E8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB2D95BEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB2D95628]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB2D9568C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB2D95D0C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB2D96194]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB2D95CCC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB2D95E4C]
SSDT \??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB41AD320]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB2DA24FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB2DA2322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB2DA245C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2474 80501C9C 4 Bytes CALL E302F5F7
PAGE ntkrnlpa.exe!ZwLoadDriver 80579588 7 Bytes JMP B2DA2460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805A06EC 7 Bytes JMP B2DA2326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B1C60 5 Bytes JMP B2D9E4BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 805B8AD8 5 Bytes JMP B2D9F972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C736A 7 Bytes JMP B2DA2502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
.rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xBA775994]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB86CC360, 0x37226D, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 00E5000A
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 00E6000A
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 00E4000C
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 0095000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 0096000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 0094000C
.text C:\WINDOWS\System32\svchost.exe[1560] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 008C000A
.text C:\WINDOWS\System32\svchost.exe[1560] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 008B000A

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003F0002
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003F0000

---- Devices - GMER 1.0.15 ----
0
Réponse 19 / 51
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
12 avril 2010 à 11:48
scap,

En plus de l'infection avec svchost.exe, le rapport de gmer montre une nouvelle variante de ce rootkit TDSS ( les deux infections sont peut-être liées ). 

---- Kernel code sections - GMER 1.0.15 ---- 

.rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xBA775994]


-------------------------------------------------------------------

1/ Le rapport de gmer est incomplet.
Reposte-le.

2/ Télécharge TDSSKiller sur ton Bureau ( IMPORTANT )
https://support.kaspersky.com/downloads/utils/tdsskiller.zip

# Décompresse le (clic droit et extraire ici).
Tu dois avoir le fichier TDSSKiller.exe sur ton bureau.

# Menu Démarrer --> Exécuter puis copie-colle le texte suivant 

"%userprofile%\bureau\TDSSKiller.exe" -l C:\report.txt -v


et clique sur OK

# Une fenêtre Dos noire va s'ouvrir, elle se refermera d'elle même quand le travail de l'outil sera terminé.

Poste en réponse le rapport report.txt qui sera crée en C:\

A+
0
Réponse 20 / 51
-scap-
12 avril 2010 à 11:58
Oops,


Voila le rapport gmer complet:
(Rapport TDSSkiller prochain post)

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-12 09:35:42
Windows 5.1.2600 Service Pack 3
Running: cxqbrw7i.exe; Driver: C:\DOCUME~1\BLACKC~1\CONFIG~1\Temp\pxtdipow.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB2D95C56]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB2D95B12]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB2D960C6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB2D95FF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB2D956E8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB2D95BEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB2D95628]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB2D9568C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB2D95D0C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB2D96194]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB2D95CCC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB2D95E4C]
SSDT \??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB41AD320]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB2DA24FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB2DA2322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB2DA245C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2474 80501C9C 4 Bytes CALL E302F5F7
PAGE ntkrnlpa.exe!ZwLoadDriver 80579588 7 Bytes JMP B2DA2460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805A06EC 7 Bytes JMP B2DA2326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B1C60 5 Bytes JMP B2D9E4BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 805B8AD8 5 Bytes JMP B2D9F972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C736A 7 Bytes JMP B2DA2502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
.rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xBA775994]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB86CC360, 0x37226D, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 00E5000A
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 00E6000A
.text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 00E4000C
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 0095000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 0096000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 0094000C
.text C:\WINDOWS\System32\svchost.exe[1560] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 008C000A
.text C:\WINDOWS\System32\svchost.exe[1560] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 008B000A

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003F0002
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003F0000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \FileSystem\Fastfat \Fat AABF3D20
Device \FileSystem\Fastfat \Fat AAC03428

AttachedDevice \FileSystem\Fastfat \Fat AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device -> \Driver\atapi \Device\Harddisk0\DR0 8A774AC8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Documents and Settings\BlackCrystal\x2122\Datos de programa\Microsoft\IdentityCRL\production\ppcrlconfig.dll 2

---- Files - GMER 1.0.15 ----

File C:\ADSM_PData_0150 0 bytes
File C:\ADSM_PData_0150\DB 0 bytes
File C:\ADSM_PData_0150\DB\SI.db 624 bytes
File C:\ADSM_PData_0150\DB\UL.db 16 bytes
File C:\ADSM_PData_0150\DB\VL.db 16 bytes
File C:\ADSM_PData_0150\DB\_avt 512 bytes
File C:\ADSM_PData_0150\DragWait.exe 253952 bytes executable
File C:\ADSM_PData_0150\_avt 512 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86 0 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\AsDsm.sys 29752 bytes executable
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\_avt 512 bytes
File C:\WINDOWS\system32\drivers\pci.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----
0