PC infecté, internet lentFermé

Question

Bonjour à tous,

J'ai un sérieux soucis avec mon PC et j'ai besoin de votre aide. Il y a quelques jours, mon PC a été infecté par je ne sais quel spyware ou virus et a crashé. En rallumant et en me connectant au net, le surf est très lent et des pop up surgissent et se ferment aussi tôt. Je décide de tenter une restauration à un point de sauvegarde précédent mais impossible, il semble y avoir des erreurs sur le disque dur.

Je lance une procédure de "réparation de disque dur" qui corrige les erreurs et je retente une restauration. Sauf qu'entre-temps, il n'y a plus aucun point de restauration... Je lance un scan complet via Malwarebytes mis à jour qui détecte une dizaine de fichiers infectés dont un nommé ex-68.exe qui semble être un spyware connu. Je met tout en quarantaine, je supprime l'ensemble et je redemarre. Tout semble aller mieux mais le lendemain rebelotte, sans que je sois allé sur aucun site à risque ou que je ne connaise pas...

J'en conclus que mon PC est toujours infecté donc. Quelqu'un pourrait-il m'aider ? Merci d'avance !



Configuration: Windows Vista / Internet Explorer 9.0

Malekal_morte- · Answer

Salut,

ex-68.exe = Bredolab.


Fais ça pour voir :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

* Lance OTL    
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    
netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s   
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop   
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s   
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    
* Clique sur le bouton Analyse.    
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

Darko · Answer

Bon, il y a du nouveau depuis quelques mins, je surfais quand le navigateur a crashé et sont apparues une dizaine de fenetres nommées "Windows - Delayed Write Failed" avec le message "Failed to save all the componentsfor the file XXX. This file is corrupted or unreadable. This error may be caused by a PC hardware problem." Au passage, la moitié des icones de mon bureau sont supprimées ainsi sur la barre de taches dans laquelle apparaissent réguliérement des messages du genre "critical error", "disk failure", etc...

Une autre plus fenetre, plus grosse, apparait avec le message "Windows detected a hard disk problem" et propose de "Scan and fix" ou "Delay scan".

Bref, c'est la merde :) Ca t'en dit un peu plus sur le probléme ? Ou est-ce que je reste sur la manip que tu m'as recommandé plus haut ? Merci !

Malekal_morte- · Answer

Bha bien sûr, pis comme ça là d'un coup, ton Windows il a décidé de te causer en anglais. 

Arnaque : https://forum.malekal.com/viewtopic.php?t=589&start=15#p239634 


Ton bredo est allé chercher des potes pour se faire des brousoufs.

~~

Fais ça : 

Télécharge RogueKiller : https://www.luanagames.com/index.fr.html   
Lances en option 2 (Suppression).   
Poste le rapport ici.   

Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon 
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/ 
Renomme RogueKiller.exe en RogueKiller.com 

SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!

Darko · Answer

J'ai essayé de fermer la grande fenetre "Windows detected a hard disk problem" et le PC a carrément reboot. Tout mon bureau est effacé, idem pour les programmes. Pour accéder à IE, je passe via la recherche dans Démarrer.

Voici en tout cas le rapport de RogueKiller :

RogueKiller V6.1.8 [14/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Darko [Droits d'admin]
Mode: Suppression -- Date : 15/11/2011 18:54:42

¤¤¤ Processus malicieux: 5 ¤¤¤
[SUSP PATH] setup.exe -- C:\Windows\TEMP\krxvje\setup.exe -> KILLED [TermProc]
[SUSP PATH] l9gfqw6lai.exe -- C:\ProgramData\l9gfqw6lai.exe -> KILLED [TermProc]
[SUSP PATH] _ex-68.exe -- C:\Windows\Temp\_ex-68.exe -> KILLED [TermProc]
[SUSP PATH] cbfhjlWLYk.exe -- C:\ProgramData\cbfhjlWLYk.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 64 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : l9gfqw6lai (C:\Users\Darko\l9gfqw6lai.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Run : {CC286A7D-3863-2846-453D-C1BC62022743} (C:\Users\Darko\AppData\Roaming\Suuty\akrat.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Run : l9gfqw6lai (C:\ProgramData\l9gfqw6lai.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Run : MozillaAgent (C:\Windows\Temp\_ex-68.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Run : cbfhjlWLYk.exe (C:\ProgramData\cbfhjlWLYk.exe) -> DELETED
[SUSP PATH] At18.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At17.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At16.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At15.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At14.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At13.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At12.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At11.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At10.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At1.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At27.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At26.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At25.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At24.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At23.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At22.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At21.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At20.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At2.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At19.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At36.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At35.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At34.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At33.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At32.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At31.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At30.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At3.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At29.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At28.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At45.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At44.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At43.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At42.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At41.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At40.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At4.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At39.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At38.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At37.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At9.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At8.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At7.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At6.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At5.job : C:\ProgramData\H63w23dE.exe -> DELETED
[SUSP PATH] At48.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At47.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At46.job : C:\ProgramData\H63w23dE.exe_ -> DELETED
[SUSP PATH] At1.job : C:\ProgramData\H63w23dE.exe -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

Termine : << RKreport[1].txt >>
RKreport[1].txt

Malekal_morte- · Answer

bon t'as TDSS.. 


Relance RogueKiller avec l'option 6
et poste le rapport ici


Ensuite :

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi. 
Poste le rapport ici. 



pis OTL comme demandé là : https://forums.commentcamarche.net/forum/affich-23662231-pc-infecte-internet-lent#1 

SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!

Darko · Answer

J'ai DL TDSSKiller et j'ai dezippé le fichier sur mon bureau mais impossible de le lancer... Y'a un autre moyen ? Merci de ton aide en tout cas !

Darko · Answer

Voici le rapport de RogueKiller en option 6 :

RogueKiller V6.1.8 [14/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Darko [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 15/11/2011 19:16:26

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 6817 / Fail 0
Lancement rapide: Success 8 / Fail 0
Programmes: Success 84996 / Fail 0
Menu demarrer: Success 423 / Fail 0
Dossier utilisateur: Success 10828 / Fail 0
Mes documents: Success 18215 / Fail 0
Mes favoris: Success 300 / Fail 0
Mes images: Success 45 / Fail 0
Ma musique: Success 2 / Fail 0
Mes videos: Success 19 / Fail 0
Disques locaux: Success 20840 / Fail 0
Sauvegarde: [FOUND] Success 346 / Fail 0

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
[E:] \Device\HarddiskVolume4 -- 0x2 --> Restored
[F:] \Device\HarddiskVolume5 -- 0x2 --> Restored
[G:] \Device\HarddiskVolume6 -- 0x2 --> Restored
[H:] \Device\HarddiskVolume7 -- 0x2 --> Restored
[I:] \Device\CdRom1 -- 0x5 --> Skipped

¤¤¤ Infection : Fake HDD ¤¤¤

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Il m'a restauré tout mon bureau et la barre des taches, il n'y a que Démarrer qui reste vide. J'ai renommé TDSSKiller en winlogon et j'ai plusieurs rapports dans C: qui sont apparus mais rien ne se lance, c'est normal ?. Je te poste le rapport le plus récent :

2010/09/07 02:40:20.0648 TDSS rootkit removing tool 2.4.2.0 Sep 3 2010 10:26:06
2010/09/07 02:40:20.0664 ================================================================================
2010/09/07 02:40:20.0664 SystemInfo:
2010/09/07 02:40:20.0664
2010/09/07 02:40:20.0664 OS Version: 6.0.6002 ServicePack: 2.0
2010/09/07 02:40:20.0664 Product type: Workstation
2010/09/07 02:40:20.0664 ComputerName: PC-DE-DARKO
2010/09/07 02:40:20.0664 UserName: Darko
2010/09/07 02:40:20.0664 Windows directory: C:\Windows
2010/09/07 02:40:20.0664 System windows directory: C:\Windows
2010/09/07 02:40:20.0664 Processor architecture: Intel x86
2010/09/07 02:40:20.0664 Number of processors: 4
2010/09/07 02:40:20.0664 Page size: 0x1000
2010/09/07 02:40:20.0664 Boot type: Safe boot
2010/09/07 02:40:20.0664 ================================================================================
2010/09/07 02:40:20.0867 Initialize success
2010/09/07 02:40:23.0441 ================================================================================
2010/09/07 02:40:23.0441 Scan started
2010/09/07 02:40:23.0441 Mode: Manual;
2010/09/07 02:40:23.0441 ================================================================================
2010/09/07 02:40:23.0800 ACPI (82b296ae1892fe3dbee00c9cf92f8ac7) C:\Windows\system32\drivers\acpi.sys
2010/09/07 02:40:23.0878 adp94xx (04f0fcac69c7c71a3ac4eb97fafc8303) C:\Windows\system32\drivers\adp94xx.sys
2010/09/07 02:40:23.0940 adpahci (60505e0041f7751bdbb80f88bf45c2ce) C:\Windows\system32\drivers\adpahci.sys
2010/09/07 02:40:23.0956 adpu160m (8a42779b02aec986eab64ecfc98f8bd7) C:\Windows\system32\drivers\adpu160m.sys
2010/09/07 02:40:23.0987 adpu320 (241c9e37f8ce45ef51c3de27515ca4e5) C:\Windows\system32\drivers\adpu320.sys
2010/09/07 02:40:24.0065 AFD (a201207363aa900abf1a388468688570) C:\Windows\system32\drivers\afd.sys
2010/09/07 02:40:24.0096 agp440 (13f9e33747e6b41a3ff305c37db0d360) C:\Windows\system32\drivers\agp440.sys
2010/09/07 02:40:24.0127 aic78xx (ae1fdf7bf7bb6c6a70f67699d880592a) C:\Windows\system32\drivers\djsvs.sys
2010/09/07 02:40:24.0174 alcan5wn (0940030d5a5869067ccc03e3b0b8dec7) C:\Windows\system32\DRIVERS\alcan5wn.sys
2010/09/07 02:40:24.0221 alcaudsl (4c9577888c53243e2991456f510488a1) C:\Windows\system32\DRIVERS\alcaudsl.sys
2010/09/07 02:40:24.0252 aliide (9eaef5fc9b8e351afa7e78a6fae91f91) C:\Windows\system32\drivers\aliide.sys
2010/09/07 02:40:24.0283 amdagp (c47344bc706e5f0b9dce369516661578) C:\Windows\system32\drivers\amdagp.sys
2010/09/07 02:40:24.0299 amdide (9b78a39a4c173fdbc1321e0dd659b34c) C:\Windows\system32\drivers\amdide.sys
2010/09/07 02:40:24.0330 AmdK7 (18f29b49ad23ecee3d2a826c725c8d48) C:\Windows\system32\drivers\amdk7.sys
2010/09/07 02:40:24.0346 AmdK8 (93ae7f7dd54ab986a6f1a1b37be7442d) C:\Windows\system32\drivers\amdk8.sys
2010/09/07 02:40:24.0392 arc (5d2888182fb46632511acee92fdad522) C:\Windows\system32\drivers\arc.sys
2010/09/07 02:40:24.0424 arcsas (5e2a321bd7c8b3624e41fdec3e244945) C:\Windows\system32\drivers\arcsas.sys
2010/09/07 02:40:24.0470 AsyncMac (53b202abee6455406254444303e87be1) C:\Windows\system32\DRIVERS\asyncmac.sys
2010/09/07 02:40:24.0502 atapi (1f05b78ab91c9075565a9d8a4b880bc4) C:\Windows\system32\drivers\atapi.sys
2010/09/07 02:40:24.0548 Beep (67e506b75bd5326a3ec7b70bd014dfb6) C:\Windows\system32\drivers\Beep.sys
2010/09/07 02:40:24.0611 BHDrvx86 (55b34eb2e36552d93915fb71a5f26310) C:\Windows\system32\drivers\NIS\1000000.07D\BHDrvx86.sys
2010/09/07 02:40:24.0642 blbdrive (d4df28447741fd3d953526e33a617397) C:\Windows\system32\drivers\blbdrive.sys
2010/09/07 02:40:24.0689 bowser (74b442b2be1260b7588c136177ceac66) C:\Windows\system32\DRIVERS\bowser.sys
2010/09/07 02:40:24.0704 BrFiltLo (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\drivers\brfiltlo.sys
2010/09/07 02:40:24.0720 BrFiltUp (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\drivers\brfiltup.sys
2010/09/07 02:40:24.0751 Brserid (b304e75cff293029eddf094246747113) C:\Windows\system32\drivers\brserid.sys
2010/09/07 02:40:24.0782 BrSerWdm (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\system32\drivers\brserwdm.sys
2010/09/07 02:40:24.0814 BrUsbMdm (bd456606156ba17e60a04e18016ae54b) C:\Windows\system32\drivers\brusbmdm.sys
2010/09/07 02:40:24.0829 BrUsbSer (af72ed54503f717a43268b3cc5faec2e) C:\Windows\system32\drivers\brusbser.sys
2010/09/07 02:40:24.0860 BTHMODEM (ad07c1ec6665b8b35741ab91200c6b68) C:\Windows\system32\drivers\bthmodem.sys
2010/09/07 02:40:24.0938 ccHP (c8754a6d7f9ecae6b0f666d44e704942) C:\Windows\system32\drivers\NIS\1000000.07D\ccHPx86.sys
2010/09/07 02:40:24.0970 cdfs (7add03e75beb9e6dd102c3081d29840a) C:\Windows\system32\DRIVERS\cdfs.sys
2010/09/07 02:40:25.0001 cdrom (6b4bffb9becd728097024276430db314) C:\Windows\system32\DRIVERS\cdrom.sys
2010/09/07 02:40:25.0032 circlass (e5d4133f37219dbcfe102bc61072589d) C:\Windows\system32\drivers\circlass.sys
2010/09/07 02:40:25.0063 CLFS (d7659d3b5b92c31e84e53c1431f35132) C:\Windows\system32\CLFS.sys
2010/09/07 02:40:25.0126 cmdide (0ca25e686a4928484e9fdabd168ab629) C:\Windows\system32\drivers\cmdide.sys
2010/09/07 02:40:25.0157 Compbatt (6afef0b60fa25de07c0968983ee4f60a) C:\Windows\system32\drivers\compbatt.sys
2010/09/07 02:40:25.0172 crcdisk (741e9dff4f42d2d8477d0fc1dc0df871) C:\Windows\system32\drivers\crcdisk.sys
2010/09/07 02:40:25.0204 Crusoe (1f07becdca750766a96cda811ba86410) C:\Windows\system32\drivers\crusoe.sys
2010/09/07 02:40:25.0266 DfsC (218d8ae46c88e82014f5d73d0236d9b2) C:\Windows\system32\Drivers\dfsc.sys
2010/09/07 02:40:25.0344 disk (5d4aefc3386920236a548271f8f1af6a) C:\Windows\system32\drivers\disk.sys
2010/09/07 02:40:25.0422 drmkaud (97fef831ab90bee128c9af390e243f80) C:\Windows\system32\drivers\drmkaud.sys
2010/09/07 02:40:25.0484 DXGKrnl (5c7e2097b91d689ded7a6ff90f0f3a25) C:\Windows\System32\drivers\dxgkrnl.sys
2010/09/07 02:40:25.0531 E1G60 (5425f74ac0c1dbd96a1e04f17d63f94c) C:\Windows\system32\DRIVERS\E1G60I32.sys
2010/09/07 02:40:25.0625 Ecache (7f64ea048dcfac7acf8b4d7b4e6fe371) C:\Windows\system32\drivers\ecache.sys
2010/09/07 02:40:25.0718 eeCtrl (47ce4e650d91dc095a2fddb15631a78a) C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys
2010/09/07 02:40:25.0796 elxstor (23b62471681a124889978f6295b3f4c6) C:\Windows\system32\drivers\elxstor.sys
2010/09/07 02:40:25.0828 EraserUtilRebootDrv (ce3ef5c79cb0bfa036e844f74c52d759) C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
2010/09/07 02:40:25.0859 ErrDev (3db974f3935483555d7148663f726c61) C:\Windows\system32\drivers\errdev.sys
2010/09/07 02:40:25.0952 exfat (22b408651f9123527bcee54b4f6c5cae) C:\Windows\system32\drivers\exfat.sys
2010/09/07 02:40:25.0999 fastfat (1e9b9a70d332103c52995e957dc09ef8) C:\Windows\system32\drivers\fastfat.sys
2010/09/07 02:40:26.0015 fdc (afe1e8b9782a0dd7fb46bbd88e43f89a) C:\Windows\system32\DRIVERS\fdc.sys
2010/09/07 02:40:26.0062 FileInfo (a8c0139a884861e3aae9cfe73b208a9f) C:\Windows\system32\drivers\fileinfo.sys
2010/09/07 02:40:26.0077 Filetrace (0ae429a696aecbc5970e3cf2c62635ae) C:\Windows\system32\drivers\filetrace.sys
2010/09/07 02:40:26.0124 flpydisk (85b7cf99d532820495d68d747fda9ebd) C:\Windows\system32\DRIVERS\flpydisk.sys
2010/09/07 02:40:26.0186 FltMgr (01334f9ea68e6877c4ef05d3ea8abb05) C:\Windows\system32\drivers\fltmgr.sys
2010/09/07 02:40:26.0233 Fs_Rec (65ea8b77b5851854f0c55c43fa51a198) C:\Windows\system32\drivers\Fs_Rec.sys
2010/09/07 02:40:26.0264 gagp30kx (34582a6e6573d54a07ece5fe24a126b5) C:\Windows\system32\drivers\gagp30kx.sys
2010/09/07 02:40:26.0311 HdAudAddService (cb04c744be0a61b1d648faed182c3b59) C:\Windows\system32\drivers\HdAudio.sys
2010/09/07 02:40:26.0358 HDAudBus (062452b7ffd68c8c042a6261fe8dff4a) C:\Windows\system32\DRIVERS\HDAudBus.sys
2010/09/07 02:40:26.0389 HidBth (1338520e78d90154ed6be8f84de5fceb) C:\Windows\system32\drivers\hidbth.sys
2010/09/07 02:40:26.0420 HidIr (ff3160c3a2445128c5a6d9b076da519e) C:\Windows\system32\drivers\hidir.sys
2010/09/07 02:40:26.0467 HidUsb (854ca287ab7faf949617a788306d967e) C:\Windows\system32\DRIVERS\hidusb.sys
2010/09/07 02:40:26.0483 HpCISSs (16ee7b23a009e00d835cdb79574a91a6) C:\Windows\system32\drivers\hpcisss.sys
2010/09/07 02:40:26.0530 HTTP (f870aa3e254628ebeafe754108d664de) C:\Windows\system32\drivers\HTTP.sys
2010/09/07 02:40:26.0561 i2omp (c6b032d69650985468160fc9937cf5b4) C:\Windows\system32\drivers\i2omp.sys
2010/09/07 02:40:26.0592 i8042prt (22d56c8184586b7a1f6fa60be5f5a2bd) C:\Windows\system32\DRIVERS\i8042prt.sys
2010/09/07 02:40:26.0623 iaStorV (54155ea1b0df185878e0fc9ec3ac3a14) C:\Windows\system32\drivers\iastorv.sys
2010/09/07 02:40:26.0701 IDSVix86 (9dcfa69523bbca57b2c7df5e381671a6) C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20080826.006\IDSVix86.sys
2010/09/07 02:40:26.0732 iirsp (2d077bf86e843f901d8db709c95b49a5) C:\Windows\system32\drivers\iirsp.sys
2010/09/07 02:40:26.0764 int15 (c6e5276c00ebdeb096bb5ef4b797d1b6) C:\Windows\system32\drivers\int15.sys
2010/09/07 02:40:26.0842 IntcAzAudAddService (2deb2538c9372568bb67b5fdf2359790) C:\Windows\system32\drivers\RTKVHDA.sys
2010/09/07 02:40:26.0888 intelide (83aa759f3189e6370c30de5dc5590718) C:\Windows\system32\drivers\intelide.sys
2010/09/07 02:40:26.0920 intelppm (224191001e78c89dfa78924c3ea595ff) C:\Windows\system32\DRIVERS\intelppm.sys
2010/09/07 02:40:26.0951 IpFilterDriver (62c265c38769b864cb25b4bcf62df6c3) C:\Windows\system32\DRIVERS\ipfltdrv.sys
2010/09/07 02:40:27.0029 IPMIDRV (b25aaf203552b7b3491139d582b39ad1) C:\Windows\system32\drivers\ipmidrv.sys
2010/09/07 02:40:27.0060 IPNAT (8793643a67b42cec66490b2a0cf92d68) C:\Windows\system32\DRIVERS\ipnat.sys
2010/09/07 02:40:27.0091 IRENUM (109c0dfb82c3632fbd11949b73aeeac9) C:\Windows\system32\drivers\irenum.sys
2010/09/07 02:40:27.0107 isapnp (6c70698a3e5c4376c6ab5c7c17fb0614) C:\Windows\system32\drivers\isapnp.sys
2010/09/07 02:40:27.0138 iScsiPrt (232fa340531d940aac623b121a595034) C:\Windows\system32\DRIVERS\msiscsi.sys
2010/09/07 02:40:27.0185 iteatapi (bced60d16156e428f8df8cf27b0df150) C:\Windows\system32\drivers\iteatapi.sys
2010/09/07 02:40:27.0200 iteraid (06fa654504a498c30adca8bec4e87e7e) C:\Windows\system32\drivers\iteraid.sys
2010/09/07 02:40:27.0216 kbdclass (37605e0a8cf00cbba538e753e4344c6e) C:\Windows\system32\DRIVERS\kbdclass.sys
2010/09/07 02:40:27.0247 kbdhid (18247836959ba67e3511b62846b9c2e0) C:\Windows\system32\DRIVERS\kbdhid.sys
2010/09/07 02:40:27.0310 KSecDD (86165728af9bf72d6442a894fdfb4f8b) C:\Windows\system32\Drivers\ksecdd.sys
2010/09/07 02:40:27.0341 lltdio (d1c5883087a0c3f1344d9d55a44901f6) C:\Windows\system32\DRIVERS\lltdio.sys
2010/09/07 02:40:27.0388 LSI_FC (c7e15e82879bf3235b559563d4185365) C:\Windows\system32\drivers\lsi_fc.sys
2010/09/07 02:40:27.0403 LSI_SAS (ee01ebae8c9bf0fa072e0ff68718920a) C:\Windows\system32\drivers\lsi_sas.sys
2010/09/07 02:40:27.0434 LSI_SCSI (912a04696e9ca30146a62afa1463dd5c) C:\Windows\system32\drivers\lsi_scsi.sys
2010/09/07 02:40:27.0450 luafv (8f5c7426567798e62a3b3614965d62cc) C:\Windows\system32\drivers\luafv.sys
2010/09/07 02:40:27.0466 megasas (0001ce609d66632fa17b84705f658879) C:\Windows\system32\drivers\megasas.sys
2010/09/07 02:40:27.0512 MegaSR (c252f32cd9a49dbfc25ecf26ebd51a99) C:\Windows\system32\drivers\megasr.sys
2010/09/07 02:40:27.0528 Modem (e13b5ea0f51ba5b1512ec671393d09ba) C:\Windows\system32\drivers\modem.sys
2010/09/07 02:40:27.0559 monitor (0a9bb33b56e294f686abb7c1e4e2d8a8) C:\Windows\system32\DRIVERS\monitor.sys
2010/09/07 02:40:27.0575 mouclass (5bf6a1326a335c5298477754a506d263) C:\Windows\system32\DRIVERS\mouclass.sys
2010/09/07 02:40:27.0606 mouhid (93b8d4869e12cfbe663915502900876f) C:\Windows\system32\DRIVERS\mouhid.sys
2010/09/07 02:40:27.0606 MountMgr (bdafc88aa6b92f7842416ea6a48e1600) C:\Windows\system32\drivers\mountmgr.sys
2010/09/07 02:40:27.0653 mpio (511d011289755dd9f9a7579fb0b064e6) C:\Windows\system32\drivers\mpio.sys
2010/09/07 02:40:27.0668 mpsdrv (22241feba9b2defa669c8cb0a8dd7d2e) C:\Windows\system32\drivers\mpsdrv.sys
2010/09/07 02:40:27.0700 Mraid35x (4fbbb70d30fd20ec51f80061703b001e) C:\Windows\system32\drivers\mraid35x.sys
2010/09/07 02:40:27.0731 MRxDAV (82cea0395524aacfeb58ba1448e8325c) C:\Windows\system32\drivers\mrxdav.sys
2010/09/07 02:40:27.0778 mrxsmb (454341e652bdf5e01b0f2140232b073e) C:\Windows\system32\DRIVERS\mrxsmb.sys
2010/09/07 02:40:27.0793 mrxsmb10 (2a4901aff069944fa945ed5bbf4dcde3) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2010/09/07 02:40:27.0809 mrxsmb20 (28b3f1ab44bdd4432c041581412f17d9) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2010/09/07 02:40:27.0840 msahci (28023e86f17001f7cd9b15a5bc9ae07d) C:\Windows\system32\drivers\msahci.sys
2010/09/07 02:40:27.0871 msdsm (4468b0f385a86ecddaf8d3ca662ec0e7) C:\Windows\system32\drivers\msdsm.sys
2010/09/07 02:40:27.0902 Msfs (a9927f4a46b816c92f461acb90cf8515) C:\Windows\system32\drivers\Msfs.sys
2010/09/07 02:40:27.0934 msisadrv (0f400e306f385c56317357d6dea56f62) C:\Windows\system32\drivers\msisadrv.sys
2010/09/07 02:40:27.0965 MSKSSRV (d8c63d34d9c9e56c059e24ec7185cc07) C:\Windows\system32\drivers\MSKSSRV.sys
2010/09/07 02:40:28.0012 MSPCLOCK (1d373c90d62ddb641d50e55b9e78d65e) C:\Windows\system32\drivers\MSPCLOCK.sys
2010/09/07 02:40:28.0058 MSPQM (b572da05bf4e098d4bba3a4734fb505b) C:\Windows\system32\drivers\MSPQM.sys
2010/09/07 02:40:28.0090 MsRPC (b49456d70555de905c311bcda6ec6adb) C:\Windows\system32\drivers\MsRPC.sys
2010/09/07 02:40:28.0105 mssmbios (e384487cb84be41d09711c30ca79646c) C:\Windows\system32\DRIVERS\mssmbios.sys
2010/09/07 02:40:28.0136 MSTEE (7199c1eec1e4993caf96b8c0a26bd58a) C:\Windows\system32\drivers\MSTEE.sys
2010/09/07 02:40:28.0152 Mup (6a57b5733d4cb702c8ea4542e836b96c) C:\Windows\system32\Drivers\mup.sys
2010/09/07 02:40:28.0199 NativeWifiP (85c44fdff9cf7e72a40dcb7ec06a4416) C:\Windows\system32\DRIVERS\nwifi.sys
2010/09/07 02:40:28.0261 NAVENG (d8f9e712479f2f8dc8c3524a62365f95) C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS
2010/09/07 02:40:28.0308 NAVEX15 (0b127bbe41300dede016e86e47329cdd) C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS
2010/09/07 02:40:28.0402 NDIS (1357274d1883f68300aeadd15d7bbb42) C:\Windows\system32\drivers\ndis.sys
2010/09/07 02:40:28.0417 NdisTapi (0e186e90404980569fb449ba7519ae61) C:\Windows\system32\DRIVERS\ndistapi.sys
2010/09/07 02:40:28.0448 Ndisuio (d6973aa34c4d5d76c0430b181c3cd389) C:\Windows\system32\DRIVERS\ndisuio.sys
2010/09/07 02:40:28.0495 NdisWan (818f648618ae34f729fdb47ec68345c3) C:\Windows\system32\DRIVERS\ndiswan.sys
2010/09/07 02:40:28.0511 NDProxy (71dab552b41936358f3b541ae5997fb3) C:\Windows\system32\drivers\NDProxy.sys
2010/09/07 02:40:28.0542 NetBIOS (bcd093a5a6777cf626434568dc7dba78) C:\Windows\system32\DRIVERS\netbios.sys
2010/09/07 02:40:28.0589 netbt (ecd64230a59cbd93c85f1cd1cab9f3f6) C:\Windows\system32\DRIVERS\netbt.sys
2010/09/07 02:40:28.0636 nfrd960 (2e7fb731d4790a1bc6270accefacb36e) C:\Windows\system32\drivers\nfrd960.sys
2010/09/07 02:40:28.0667 Npfs (d36f239d7cce1931598e8fb90a0dbc26) C:\Windows\system32\drivers\Npfs.sys
2010/09/07 02:40:28.0714 nsiproxy (609773e344a97410ce4ebf74a8914fcf) C:\Windows\system32\drivers\nsiproxy.sys
2010/09/07 02:40:28.0776 Ntfs (6a4a98cee84cf9e99564510dda4baa47) C:\Windows\system32\drivers\Ntfs.sys
2010/09/07 02:40:28.0807 ntrigdigi (e875c093aec0c978a90f30c9e0dfbb72) C:\Windows\system32\drivers\ntrigdigi.sys
2010/09/07 02:40:28.0823 Null (c5dbbcda07d780bda9b685df333bb41e) C:\Windows\system32\drivers\Null.sys
2010/09/07 02:40:28.0885 NVENETFD (b896fb556b4dc1e1d2943559ea79c5c5) C:\Windows\system32\DRIVERS\nvmfdx32.sys
2010/09/07 02:40:29.0010 nvlddmkm (b0184a830a1a0b951ca842d396c33d0d) C:\Windows\system32\DRIVERS\nvlddmkm.sys
2010/09/07 02:40:29.0072 nvraid (2edf9e7751554b42cbb60116de727101) C:\Windows\system32\drivers\nvraid.sys
2010/09/07 02:40:29.0104 nvstor (abed0c09758d1d97db0042dbb2688177) C:\Windows\system32\drivers\nvstor.sys
2010/09/07 02:40:29.0135 nvstor32 (8ffb327669b980549bd318d939a34f9b) C:\Windows\system32\DRIVERS\nvstor32.sys
2010/09/07 02:40:29.0182 nv_agp (18bbdf913916b71bd54575bdb6eeac0b) C:\Windows\system32\drivers\nv_agp.sys
2010/09/07 02:40:29.0275 ohci1394 (6f310e890d46e246e0e261a63d9b36b4) C:\Windows\system32\DRIVERS\ohci1394.sys
2010/09/07 02:40:29.0338 Parport (0fa9b5055484649d63c303fe404e5f4d) C:\Windows\system32\drivers\parport.sys
2010/09/07 02:40:29.0384 partmgr (57389fa59a36d96b3eb09d0cb91e9cdc) C:\Windows\system32\drivers\partmgr.sys
2010/09/07 02:40:29.0400 Parvdm (4f9a6a8a31413180d0fcb279ad5d8112) C:\Windows\system32\drivers\parvdm.sys
2010/09/07 02:40:29.0447 pci (941dc1d19e7e8620f40bbc206981efdb) C:\Windows\system32\drivers\pci.sys
2010/09/07 02:40:29.0478 pciide (1636d43f10416aeb483bc6001097b26c) C:\Windows\system32\drivers\pciide.sys
2010/09/07 02:40:29.0509 pcmcia (e6f3fb1b86aa519e7698ad05e58b04e5) C:\Windows\system32\drivers\pcmcia.sys
2010/09/07 02:40:29.0540 PEAUTH (6349f6ed9c623b44b52ea3c63c831a92) C:\Windows\system32\drivers\peauth.sys
2010/09/07 02:40:29.0618 PptpMiniport (ecfffaec0c1ecd8dbc77f39070ea1db1) C:\Windows\system32\DRIVERS\raspptp.sys
2010/09/07 02:40:29.0650 Processor (2027293619dd0f047c584cf2e7df4ffd) C:\Windows\system32\drivers\processr.sys
2010/09/07 02:40:29.0728 PSched (99514faa8df93d34b5589187db3aa0ba) C:\Windows\system32\DRIVERS\pacer.sys
2010/09/07 02:40:29.0743 PxHelp20 (d86b4a68565e444d76457f14172c875a) C:\Windows\system32\Drivers\PxHelp20.sys
2010/09/07 02:40:29.0790 ql2300 (0a6db55afb7820c99aa1f3a1d270f4f6) C:\Windows\system32\drivers\ql2300.sys
2010/09/07 02:40:29.0821 ql40xx (81a7e5c076e59995d54bc1ed3a16e60b) C:\Windows\system32\drivers\ql40xx.sys
2010/09/07 02:40:29.0852 QWAVEdrv (9f5e0e1926014d17486901c88eca2db7) C:\Windows\system32\drivers\qwavedrv.sys
2010/09/07 02:40:29.0868 RasAcd (147d7f9c556d259924351feb0de606c3) C:\Windows\system32\DRIVERS\rasacd.sys
2010/09/07 02:40:29.0884 Rasl2tp (a214adbaf4cb47dd2728859ef31f26b0) C:\Windows\system32\DRIVERS\rasl2tp.sys
2010/09/07 02:40:29.0946 RasPppoe (509a98dd18af4375e1fc40bc175f1def) C:\Windows\system32\DRIVERS\raspppoe.sys
2010/09/07 02:40:29.0962 RasSstp (2005f4a1e05fa09389ac85840f0a9e4d) C:\Windows\system32\DRIVERS\rassstp.sys
2010/09/07 02:40:30.0008 rdbss (b14c9d5b9add2f84f70570bbbfaa7935) C:\Windows\system32\DRIVERS\rdbss.sys
2010/09/07 02:40:30.0024 RDPCDD (89e59be9a564262a3fb6c4f4f1cd9899) C:\Windows\system32\DRIVERS\RDPCDD.sys
2010/09/07 02:40:30.0071 rdpdr (fbc0bacd9c3d7f6956853f64a66e252d) C:\Windows\system32\drivers\rdpdr.sys
2010/09/07 02:40:30.0086 RDPENCDD (9d91fe5286f748862ecffa05f8a0710c) C:\Windows\system32\drivers\rdpencdd.sys
2010/09/07 02:40:30.0118 RDPWD (30bfbdfb7f95559ede971f9ddb9a00ba) C:\Windows\system32\drivers\RDPWD.sys
2010/09/07 02:40:30.0164 rspndr (9c508f4074a39e8b4b31d27198146fad) C:\Windows\system32\DRIVERS\rspndr.sys
2010/09/07 02:40:30.0211 s1018bus (12a851f30853a5a8e7b50341fa4b0ffb) C:\Windows\system32\DRIVERS\s1018bus.sys
2010/09/07 02:40:30.0258 s1018mdfl (a0141d5dc689a892b3f30446cbe52575) C:\Windows\system32\DRIVERS\s1018mdfl.sys
2010/09/07 02:40:30.0305 s1018mdm (07d430e4b2bfde6b07f31f1da6e7cab0) C:\Windows\system32\DRIVERS\s1018mdm.sys
2010/09/07 02:40:30.0336 s1018mgmt (d73c20d3f0f825c8fd23f841cdcb14c0) C:\Windows\system32\DRIVERS\s1018mgmt.sys
2010/09/07 02:40:30.0383 s1018nd5 (895a1a2812dbd5afdd5ca4686a89a33c) C:\Windows\system32\DRIVERS\s1018nd5.sys
2010/09/07 02:40:30.0414 s1018obex (a986e9683c74fa06456fd2ad34ba1490) C:\Windows\system32\DRIVERS\s1018obex.sys
2010/09/07 02:40:30.0430 s1018unic (da83525924c23f30f37ac1d1f11d6f15) C:\Windows\system32\DRIVERS\s1018unic.sys
2010/09/07 02:40:30.0461 sbp2port (3ce8f073a557e172b330109436984e30) C:\Windows\system32\drivers\sbp2port.sys
2010/09/07 02:40:30.0508 secdrv (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
2010/09/07 02:40:30.0539 Serenum (68e44e331d46f0fb38f0863a84cd1a31) C:\Windows\system32\drivers\serenum.sys
2010/09/07 02:40:30.0570 Serial (c70d69a918b178d3c3b06339b40c2e1b) C:\Windows\system32\drivers\serial.sys
2010/09/07 02:40:30.0601 sermouse (8af3d28a879bf75db53a0ee7a4289624) C:\Windows\system32\drivers\sermouse.sys
2010/09/07 02:40:30.0632 sffdisk (3efa810bdca87f6ecc24f9832243fe86) C:\Windows\system32\drivers\sffdisk.sys
2010/09/07 02:40:30.0679 sffp_mmc (e95d451f7ea3e583aec75f3b3ee42dc5) C:\Windows\system32\drivers\sffp_mmc.sys
2010/09/07 02:40:30.0695 sffp_sd (3d0ea348784b7ac9ea9bd9f317980979) C:\Windows\system32\drivers\sffp_sd.sys
2010/09/07 02:40:30.0726 sfloppy (46ed8e91793b2e6f848015445a0ac188) C:\Windows\system32\drivers\sfloppy.sys
2010/09/07 02:40:30.0742 sisagp (1d76624a09a054f682d746b924e2dbc3) C:\Windows\system32\drivers\sisagp.sys
2010/09/07 02:40:30.0773 SiSRaid2 (43cb7aa756c7db280d01da9b676cfde2) C:\Windows\system32\drivers\sisraid2.sys
2010/09/07 02:40:30.0788 SiSRaid4 (a99c6c8b0baa970d8aa59ddc50b57f94) C:\Windows\system32\drivers\sisraid4.sys
2010/09/07 02:40:30.0835 Smb (7b75299a4d201d6a6533603d6914ab04) C:\Windows\system32\DRIVERS\smb.sys
2010/09/07 02:40:30.0866 spldr (7aebdeef071fe28b0eef2cdd69102bff) C:\Windows\system32\drivers\spldr.sys
2010/09/07 02:40:30.0929 SRTSP (2ec8453564e62320b574622e6cc8fdd0) C:\Windows\system32\drivers\NIS\1000000.07D\SRTSP.SYS
2010/09/07 02:40:30.0960 SRTSPX (54d3efe2674a1140ae8b7a6bc59c6661) C:\Windows\system32\drivers\NIS\1000000.07D\SRTSPX.SYS
2010/09/07 02:40:30.0976 srv (96a5e2c642af8f591a7366429809506b) C:\Windows\system32\DRIVERS\srv.sys
2010/09/07 02:40:31.0007 srv2 (71da2d64880c97e5ffc3c81761632751) C:\Windows\system32\DRIVERS\srv2.sys
2010/09/07 02:40:31.0054 srvnet (0c5ab1892ae0fa504218db094bf6d041) C:\Windows\system32\DRIVERS\srvnet.sys
2010/09/07 02:40:31.0085 ST330 (c9fa6a70c051fc59d22c2e4cd211ad9b) C:\Windows\system32\drivers\st330.sys
2010/09/07 02:40:31.0100 STBUS (0017202eb0224f82706f04ed35ab23c2) C:\Windows\system32\drivers\stbus.sys
2010/09/07 02:40:31.0132 stppp (1ae6397f7695bd95c25cb30d83d5e185) C:\Windows\system32\DRIVERS\stppp.sys
2010/09/07 02:40:31.0163 swenum (7ba58ecf0c0a9a69d44b3dca62becf56) C:\Windows\system32\DRIVERS\swenum.sys
2010/09/07 02:40:31.0194 Symc8xx (192aa3ac01df071b541094f251deed10) C:\Windows\system32\drivers\symc8xx.sys
2010/09/07 02:40:31.0210 SYMDNS (9e46c40328fa8e0d1b6ab690d90245fb) C:\Windows\system32\drivers\NIS\1000000.07D\SYMDNS.SYS
2010/09/07 02:40:31.0256 SymEFA (832cc9713c869ce00119321fb7df66d7) C:\Windows\system32\drivers\NIS\1000000.07D\SYMEFA.SYS
2010/09/07 02:40:31.0303 SymEvent (06b95820df51502099a8a15c93e87986) C:\Windows\system32\Drivers\SYMEVENT.SYS
2010/09/07 02:40:31.0334 SYMFW (827302b3458e6637d81bae0bf5ace743) C:\Windows\system32\drivers\NIS\1000000.07D\SYMFW.SYS
2010/09/07 02:40:31.0350 SymIM (c796c6159a72825f31161aede9c3b45f) C:\Windows\system32\DRIVERS\SymIMv.sys
2010/09/07 02:40:31.0366 SYMNDISV (1f79820cf83a5836c2d915dbf08543ce) C:\Windows\system32\drivers\NIS\1000000.07D\SYMNDISV.SYS
2010/09/07 02:40:31.0397 SYMREDRV (13c101e4c3b69aee59a9a3dcdcda9ae3) C:\Windows\system32\drivers\NIS\1000000.07D\SYMREDRV.SYS
2010/09/07 02:40:31.0428 SYMTDI (c942a67ffc1238d6d96d9c9a44610340) C:\Windows\system32\drivers\NIS\1000000.07D\SYMTDI.SYS
2010/09/07 02:40:31.0459 Sym_hi (8c8eb8c76736ebaf3b13b633b2e64125) C:\Windows\system32\drivers\sym_hi.sys
2010/09/07 02:40:31.0490 Sym_u3 (8072af52b5fd103bbba387a1e49f62cb) C:\Windows\system32\drivers\sym_u3.sys
2010/09/07 02:40:31.0537 Tcpip (a474879afa4a596b3a531f3e69730dbf) C:\Windows\system32\drivers\tcpip.sys
2010/09/07 02:40:31.0584 Tcpip6 (a474879afa4a596b3a531f3e69730dbf) C:\Windows\system32\DRIVERS\tcpip.sys
2010/09/07 02:40:31.0615 tcpipreg (608c345a255d82a6289c2d468eb41fd7) C:\Windows\system32\drivers\tcpipreg.sys
2010/09/07 02:40:31.0646 TDPIPE (5dcf5e267be67a1ae926f2df77fbcc56) C:\Windows\system32\drivers\tdpipe.sys
2010/09/07 02:40:31.0662 TDTCP (389c63e32b3cefed425b61ed92d3f021) C:\Windows\system32\drivers\tdtcp.sys
2010/09/07 02:40:31.0709 tdx (76b06eb8a01fc8624d699e7045303e54) C:\Windows\system32\DRIVERS\tdx.sys
2010/09/07 02:40:31.0740 TermDD (3cad38910468eab9a6479e2f01db43c7) C:\Windows\system32\DRIVERS\termdd.sys
2010/09/07 02:40:31.0802 tssecsrv (dcf0f056a2e4f52287264f5ab29cf206) C:\Windows\system32\DRIVERS\tssecsrv.sys
2010/09/07 02:40:31.0865 tunmp (caecc0120ac49e3d2f758b9169872d38) C:\Windows\system32\DRIVERS\tunmp.sys
2010/09/07 02:40:31.0896 tunnel (300db877ac094feab0be7688c3454a9c) C:\Windows\system32\DRIVERS\tunnel.sys
2010/09/07 02:40:31.0927 uagp35 (7d33c4db2ce363c8518d2dfcf533941f) C:\Windows\system32\drivers\uagp35.sys
2010/09/07 02:40:31.0958 udfs (d9728af68c4c7693cb100b8441cbdec6) C:\Windows\system32\DRIVERS\udfs.sys
2010/09/07 02:40:32.0005 uliagpkx (b0acfdc9e4af279e9116c03e014b2b27) C:\Windows\system32\drivers\uliagpkx.sys
2010/09/07 02:40:32.0021 uliahci (9224bb254f591de4ca8d572a5f0d635c) C:\Windows\system32\drivers\uliahci.sys
2010/09/07 02:40:32.0052 UlSata (8514d0e5cd0534467c5fc61be94a569f) C:\Windows\system32\drivers\ulsata.sys
2010/09/07 02:40:32.0068 ulsata2 (38c3c6e62b157a6bc46594fada45c62b) C:\Windows\system32\drivers\ulsata2.sys
2010/09/07 02:40:32.0099 umbus (32cff9f809ae9aed85464492bf3e32d2) C:\Windows\system32\DRIVERS\umbus.sys
2010/09/07 02:40:32.0130 usbccgp (caf811ae4c147ffcd5b51750c7f09142) C:\Windows\system32\DRIVERS\usbccgp.sys
2010/09/07 02:40:32.0146 usbcir (e9476e6c486e76bc4898074768fb7131) C:\Windows\system32\drivers\usbcir.sys
2010/09/07 02:40:32.0208 usbehci (79e96c23a97ce7b8f14d310da2db0c9b) C:\Windows\system32\DRIVERS\usbehci.sys
2010/09/07 02:40:32.0224 usbhub (4673bbcb006af60e7abddbe7a130ba42) C:\Windows\system32\DRIVERS\usbhub.sys
2010/09/07 02:40:32.0239 usbohci (ce697fee0d479290d89bec80dfe793b7) C:\Windows\system32\DRIVERS\usbohci.sys
2010/09/07 02:40:32.0270 usbprint (b51e52acf758be00ef3a58ea452fe360) C:\Windows\system32\drivers\usbprint.sys
2010/09/07 02:40:32.0286 USBSTOR (be3da31c191bc222d9ad503c5224f2ad) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2010/09/07 02:40:32.0333 usbuhci (814d653efc4d48be3b04a307eceff56f) C:\Windows\system32\DRIVERS\usbuhci.sys
2010/09/07 02:40:32.0364 vga (87b06e1f30b749a114f74622d013f8d4) C:\Windows\system32\DRIVERS\vgapnp.sys
2010/09/07 02:40:32.0395 VgaSave (2e93ac0a1d8c79d019db6c51f036636c) C:\Windows\System32\drivers\vga.sys
2010/09/07 02:40:32.0426 viaagp (5d7159def58a800d5781ba3a879627bc) C:\Windows\system32\drivers\viaagp.sys
2010/09/07 02:40:32.0442 ViaC7 (c4f3a691b5bad343e6249bd8c2d45dee) C:\Windows\system32\drivers\viac7.sys
2010/09/07 02:40:32.0473 viaide (aadf5587a4063f52c2c3fed7887426fc) C:\Windows\system32\drivers\viaide.sys
2010/09/07 02:40:32.0489 volmgr (69503668ac66c77c6cd7af86fbdf8c43) C:\Windows\system32\drivers\volmgr.sys
2010/09/07 02:40:32.0536 volmgrx (23e41b834759917bfd6b9a0d625d0c28) C:\Windows\system32\drivers\volmgrx.sys
2010/09/07 02:40:32.0551 volsnap (147281c01fcb1df9252de2a10d5e7093) C:\Windows\system32\drivers\volsnap.sys
2010/09/07 02:40:32.0582 vsmraid (587253e09325e6bf226b299774b728a9) C:\Windows\system32\drivers\vsmraid.sys
2010/09/07 02:40:32.0629 WacomPen (48dfee8f1af7c8235d4e626f0c4fe031) C:\Windows\system32\drivers\wacompen.sys
2010/09/07 02:40:32.0645 Wanarp (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2010/09/07 02:40:32.0660 Wanarpv6 (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2010/09/07 02:40:32.0692 Wd (78fe9542363f297b18c027b2d7e7c07f) C:\Windows\system32\drivers\wd.sys
2010/09/07 02:40:32.0723 Wdf01000 (b6f0a7ad6d4bd325fbcd8bac96cd8d96) C:\Windows\system32\drivers\Wdf01000.sys
2010/09/07 02:40:32.0801 WmiAcpi (2e7255d172df0b8283cdfb7b433b864e) C:\Windows\system32\DRIVERS\wmiacpi.sys
2010/09/07 02:40:32.0879 WpdUsb (de9d36f91a4df3d911626643debf11ea) C:\Windows\system32\DRIVERS\wpdusb.sys
2010/09/07 02:40:32.0910 ws2ifsl (e3a3cb253c0ec2494d4a61f5e43a389c) C:\Windows\system32\drivers\ws2ifsl.sys
2010/09/07 02:40:32.0972 WUDFRd (ac13cb789d93412106b0fb6c7eb2bcb6) C:\Windows\system32\DRIVERS\WUDFRd.sys
2010/09/07 02:40:33.0019 ================================================================================
2010/09/07 02:40:33.0019 Scan finished
2010/09/07 02:40:33.0019 ================================================================================
2010/09/07 02:40:37.0184 Deinitialize success

Malekal_morte- · Answer

vas y pour OTL.

Darko · Answer

C'est pas grave si TDSSKiller n'est pas passé ?

Voici les deux rapports d'OTL :

http://pjjoint.malekal.com/files.php?id=OTL_b12z11i10h8j13x7b6f7n138z15t6k7s12d11z5h87m11v15

et

http://pjjoint.malekal.com/files.php?id=OTL_Extras_d10b15m7i8y13h10i15p11z6y10l7x8c8c9l12x5e5c10m8k6

Malekal_morte- · Answer

C'est une poubelle ton PC :/ 


Relance OTL.  
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début). 
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:   

SRV - [2011/11/14 21:15:31 | 000,039,424 | -H-- | M] () [Auto | Stopped] -- C:\Windows\TEMP\krxvje\setup.exe -- (AMService)  [Rules 39] 
O4 - HKCU..\Run: [{CC286A7D-3863-2846-453D-C1BC62022743}] C:\Users\Darko\AppData\Roaming\Suuty\akrat.exe () 
[2011/11/14 21:20:00 | 000,000,001 | ---- | M] () -- C:\ProgramData\H63w23dE.exe_.b 
[2011/11/14 21:20:00 | 000,000,001 | ---- | M] () -- C:\ProgramData\H63w23dE.exe.b 
[2011/11/14 21:19:54 | 000,143,360 | ---- | M] () -- C:\ProgramData\H63w23dE.exe 
[2011/11/14 21:15:27 | 000,032,256 | ---- | M] () -- C:\Users\Darko\l9gfqw6lai.exe 
[2011/11/14 21:15:27 | 000,032,256 | ---- | M] () -- C:\ProgramData\l9gfqw6lai.exe 
[2011/11/15 18:18:30 | 000,421,120 | --S- | M] () -- C:\ProgramData\cbfhjlWLYk.exe 
[2011/11/15 18:42:38 | 000,000,408 | ---- | M] () -- C:\ProgramData	4QGX1GTD173bD 
[2011/11/15 18:42:22 | 000,000,627 | ---- | M] () -- C:\Users\Darko\Application Data\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk  
[2011/11/15 18:42:16 | 000,335,616 | ---- | M] () -- C:\ProgramData	4QGX1GTD173bD.exe 
[2010/03/11 15:35:54 | 000,008,426 | --S- | C] () -- C:\Users\Darko\AppData\Local\Tl8XLsI3 
[2010/02/24 22:00:18 | 000,008,588 | --S- | C] () -- C:\Users\Darko\AppData\Local\Xi7h20PI0 
[2011/11/15 17:41:45 | 000,000,000 | ---D | M] -- C:\Users\Darko\AppData\Roaming\Ullu 
:files
C:\Windows\Temp\*.exe
C:\Users\Darko\AppData\Roaming\Suuty\  

* redemarre le pc sous windows et poste le rapport ici  


Essayer de relance TDSSKiller pour voir. 
Mais je pense que t'as dû nettoyer TDSS à un moment. 


Vois pour faire un Malwarebyte aussi en le mettant à jour avant.

SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!

Darko · Answer

Voici le nouveau rapport d'OTL :

Error: Unable to interpret <SRV - [2011/11/14 21:15:31 | 000,039,424 | -H-- | M] () [Auto | Stopped] -- C:\Windows\TEMP\krxvje\setup.exe -- (AMService) [Rules 39]> in the current context!
Error: Unable to interpret < O4 - HKCU..\Run: [{CC286A7D-3863-2846-453D-C1BC62022743}] C:\Users\Darko\AppData\Roaming\Suuty\akrat.exe ()> in the current context!
Error: Unable to interpret < [2011/11/14 21:20:00 | 000,000,001 | ---- | M] () -- C:\ProgramData\H63w23dE.exe_.b> in the current context!
Error: Unable to interpret < [2011/11/14 21:20:00 | 000,000,001 | ---- | M] () -- C:\ProgramData\H63w23dE.exe.b> in the current context!
Error: Unable to interpret < [2011/11/14 21:19:54 | 000,143,360 | ---- | M] () -- C:\ProgramData\H63w23dE.exe> in the current context!
Error: Unable to interpret < [2011/11/14 21:15:27 | 000,032,256 | ---- | M] () -- C:\Users\Darko\l9gfqw6lai.exe> in the current context!
Error: Unable to interpret < [2011/11/14 21:15:27 | 000,032,256 | ---- | M] () -- C:\ProgramData\l9gfqw6lai.exe> in the current context!
Error: Unable to interpret < [2011/11/15 18:18:30 | 000,421,120 | --S- | M] () -- C:\ProgramData\cbfhjlWLYk.exe> in the current context!
Error: Unable to interpret < [2011/11/15 18:42:38 | 000,000,408 | ---- | M] () -- C:\ProgramData\t4QGX1GTD173bD> in the current context!
Error: Unable to interpret < [2011/11/15 18:42:22 | 000,000,627 | ---- | M] () -- C:\Users\Darko\Application Data\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk> in the current context!
Error: Unable to interpret < [2011/11/15 18:42:16 | 000,335,616 | ---- | M] () -- C:\ProgramData\t4QGX1GTD173bD.exe> in the current context!
Error: Unable to interpret < [2010/03/11 15:35:54 | 000,008,426 | --S- | C] () -- C:\Users\Darko\AppData\Local\Tl8XLsI3> in the current context!
Error: Unable to interpret < [2010/02/24 22:00:18 | 000,008,588 | --S- | C] () -- C:\Users\Darko\AppData\Local\Xi7h20PI0> in the current context!
Error: Unable to interpret < [2011/11/15 17:41:45 | 000,000,000 | ---D | M] -- C:\Users\Darko\AppData\Roaming\Ullu> in the current context!
========== FILES ==========
C:\Windows\Temp\hki4510.exe moved successfully.
C:\Windows\Temp\hki4868.exe moved successfully.
C:\Windows\Temp\_ex-68.exe moved successfully.
C:\Users\Darko\AppData\Roaming\Suuty folder moved successfully.

OTL by OldTimer - Version 3.2.31.0 log created on 11152011_222159

J'ai redemarré et tenté de relancer TDSSKiller (renommé winlogon) mais toujours rien.

J'ai lancé un scan rapide via Malwarebytes et il a trouvé et mis 6 éléments en quarantaine dont justement Winlogon. Je supprime toute la quarantaine, y compris ce dernier ou pas ? Je te pose le rapport de Malwarebytes :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8166

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

15/11/2011 22:39:07
mbam-log-2011-11-15 (22-39-04).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 195394
Temps écoulé: 4 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Backdoor.Agent) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{CC286A7D-3863-2846-453D-C1BC62022743} (Trojan.ZbotR.Gen) -> Value: {CC286A7D-3863-2846-453D-C1BC62022743} -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata\cbfhjlwlyk.exe (Rogue.FakeAlert) -> No action taken.
c:\programdata\t4qgx1gtd173bd.exe (Rogue.FakeAlert) -> No action taken.
c:\Users\updatususer\AppData\Roaming\microsoft\Windows\start menu\Programs\StartUp\agfyih.exe (Trojan.Agent.BGen2) -> No action taken.
c:\Users\Darko\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Malekal_morte- · Answer

Pas bon pour OTL.
T'as pas dû mettre le :OTL en début.

Darko · Answer

Exact, ca devrait être bon maintenant :

========== OTL ==========
Service AMService stopped successfully!
Service AMService deleted successfully!
File C:\Windows\TEMP\krxvje\setup.exe not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{CC286A7D-3863-2846-453D-C1BC62022743} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC286A7D-3863-2846-453D-C1BC62022743}\ not found.
File C:\Users\Darko\AppData\Roaming\Suuty\akrat.exe not found.
C:\ProgramData\H63w23dE.exe_.b moved successfully.
C:\ProgramData\H63w23dE.exe.b moved successfully.
C:\ProgramData\H63w23dE.exe moved successfully.
C:\Users\Darko\l9gfqw6lai.exe moved successfully.
C:\ProgramData\l9gfqw6lai.exe moved successfully.
File C:\ProgramData\cbfhjlWLYk.exe not found.
C:\ProgramData	4QGX1GTD173bD moved successfully.
File C:\Users\Darko\Application Data\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk not found.
File C:\ProgramData	4QGX1GTD173bD.exe not found.
C:\Users\Darko\AppData\Local\Tl8XLsI3 moved successfully.
C:\Users\Darko\AppData\Local\Xi7h20PI0 moved successfully.
C:\Users\Darko\AppData\Roaming\Ullu folder moved successfully.
 
OTL by OldTimer - Version 3.2.31.0 log created on 11162011_202521

Ca semble s'être un peu arrangé mais j'ai toujours des pop up qui sortent, ma connexion ralentie de temps à autre et Démarrer qui reste vide... En tout cas plus de signe du rogue qui faisait tout sauter et simulait une erreur du disque dur.

Malekal_morte- · Answer

c:\Users\updatususer\AppData\Roaming\microsoft\Windows\start menu\Programs\StartUp\agfyih.exe (Trojan.Agent.BGen2) -> No action taken.

humm...

No action taken...
Faudrait mettre en quarantaine ce qui a été détecté par Malwarebyte sinon ça sert à rien de scanner si c'est pour rien supprimer.

Tu peux faire un scan Dr. Web CureIT : https://free.drweb.com/cureit/
voir s'il détecte des trucs, notamment, Ramnit ?

Darko · Answer

Pour le coup, j'avais supprimé tout ce qu'avait trouvé Malwarebytes... Peut-être que j'aurais dû lancer un scan complet et non un scan rapide ?

Bref, j'ai fait un scan Dr. Web CureIt qui a trouvé plusieurs fichiers infectés que j'ai supprimé, les voici :

C:\Windows\System32\wininit.exe:600; ;BackDoor.Tdss.565; Eradiqué.;
C:\Windows\system32\config\systemprofile\AppData\Local\9f981ed3; BackDoor.Maxplus.232; Supprimé.;
GameExplorerUtilities.dll; C:\Users\Darko\AppData\Local\Temp\172555.tmp; Trojan.MulDrop1.59377; Supprimé.;
GameExplorerUtilities.dll; C:\Users\Darko\AppData\Local\Temp\306334.tmp; Trojan.MulDrop1.59377; Supprimé.;
GameExplorerUtilities.dll; C:\Users\Darko\AppData\Local\Temp\793995.tmp; Trojan.MulDrop1.59377; Supprimé.;
setup.exe; C:\Windows	emp
qljpc; BackDoor.Bulknet.524; Supprimé.;
royz.exe; c:\users\default\appdataoaming\microsoft\windows\start menu\programs\startup; Trojan.PWS.Panda.655; Supprimé.;

Darko · Answer

Je me permet de up mon sujet, si quelqu'un pouvait prendre le relais pour m'aider à nettoyer mon PC, ce serait top :) Merci bien !

Malekal_morte- · Answer

Refais un scan de Dr.Web pour voir. 
Poste le rapport.

SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!

Darko · Answer

C'est fait, il ne trouve plus que ces 2 "fichiers" douteux :

[Test de la mémoire] Processus en mémoire: C:\Windows\System32\wininit.exe:604 infecté par BackDoor.Tdss.565 - éradiqué

C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E5J18KU9\d=1[2].js probablement infecté par SCRIPT.Virus

Le premier était déjà présent lors du premier scan. Par contre, impossible d'entreprendre une action contre ces deux fichiers, ni quarantaine ni suppression. Voici les stats de la session :

Statistiques totales de la session
=============================================================================
Objets scannés: 87966
Objets infectés: 1
Objets ayant été modifiés: 0
Objets suspects: 1
Adwares détectés: 0
Dialers détectés: 0
Canulars détectés: 0
Riskwares détectés: 0
Hacktools détectés: 0
Désinfecté: 0
Supprimé: 0
Renommé: 0
Déplacé en quarantaine: 0
Ignoré: 0
Vitesse du scan: 156 Kb/s
Durée d'analyse: 1:25:09
=============================================================================

En tout cas, j'ai toujours les mêmes symptomes sur le PC : affichage web lent, des pop up qui sortent parfois...

PC infecté, internet lent

18 réponses

Newsletters