walzouk

Pear bonjour, Le 22 j'ai un peu paniqué, le PC fonctionnant de moins en moins bien. J'ai un très mauvais souvenir d'infection qui m'a coûté cher. J'ai utilisé Combofix deux fois, JRT Roguekiller et Tdsskiller (puisque Malware trouvait rien). Certaines fonctions sont revenues notamment copier coller. Puis j'ai réinstallé XP avec /unattend. Depuis hier (j'étais absent pour vous répondre) le PC semble fonctionner correctement, le DD ne gratte pas qd je n'utilise pas de softs. Il reste quelques bugs, affichage sautillant, la fonction rechercher de l'explorateur plante, accessoires n'est pas dans le menu démarrer, ... j'ai effectué un diag ZHP que je joins au message : http://cjoint.com/?DHBpGREQyfC Si vous pouvez me donner votre avis, en m'excusant de de pas vous avoir répondu plus tôt. j'ai oublié : merci pour votre dernier message très attentionné à mon problème

en passant par le dos j'ai reussi à copier dwprot.sys, ci joint le rapport virus total http://cjoint.com/?DHwvVQTCpng merci

j'ai le sentiment que la situation s'aggrave de plus en plus, la fonction copier coller ne marche plus de l'ordinateur sur lui même ou de l'ordinateur vers une clé

mauvaises nouvelles : je n'arrive pas à copier dwprot.sys sur une clé, à part la première commande cmd les autres m'indiquent avertissement : impossible d'obtenir des renseignements sur l’hôte à partir de l'ordinateur gl certaines commandes peuvent ne pas être disponibles cet interface n'est pas pris en charge.

3è Malware un peu long mais RAS, Malwarebytes Anti-Malware www.malwarebytes.org Date de l'examen: 22/08/2014 Heure de l'examen: 16:38:56 Fichier journal: malware_140822.txt Administrateur: Oui Version: 2.00.2.1012 Base de données Malveillants: v2014.08.19.08 Base de données Rootkits: v2014.08.16.01 Licence: Gratuite Protection contre les malveillants: Désactivé(e) Protection contre les sites Web malveillants: Désactivé(e) Self-protection: Désactivé(e) Système d'exploitation: Windows XP Service Pack 3 Processeur: x86 Système de fichiers: NTFS Utilisateur: GL Type d'examen: Examen "Personnalisé" Résultat: Terminé Objets analysés: 505140 Temps écoulé: 1 h, 29 min, 29 sec Mémoire: Activé(e) Démarrage: Activé(e) Système de fichiers: Activé(e) Archives: Activé(e) Rootkits: Activé(e) Heuristics: Activé(e) PUP: Activé(e) PUM: Activé(e) Processus: 0 (No malicious items detected) Modules: 0 (No malicious items detected) Clés du Registre: 0 (No malicious items detected) Valeurs du Registre: 0 (No malicious items detected) Données du Registre: 0 (No malicious items detected) Dossiers: 0 (No malicious items detected) Fichiers: 0 (No malicious items detected) Secteurs physiques: 0 (No malicious items detected) (end) dans l'attente de vos nouvelles

2eme JRT je joins le rapport en direct (ça ne doit pas être ce que vous attendiez !!): ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Junkware Removal Tool (JRT) by Thisisu Version: 6.1.4 (04.06.2014:1) OS: Microsoft Windows XP x86 Ran by on 22/08/2014 at 16:34:29,00 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~ Services ~~~ Registry Values ~~~ Registry Keys ~~~ Files ~~~ Folders ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan was completed on 22/08/2014 at 16:37:49,76 End of JRT log ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1er adwcleaner : le scan s'arrête à l'analyse des navigateurs et indique "line 4974 (file\c:\d&settings\adwcleaner.exe) error varaible must be of type "object"

je vais suivre la procédure mais l'ordinateur ne peut pas se connecter à internet donc pas de mise à jour des logiciels. dois je continuer ?

Pear, ci joint le rapport. Pour info, j'ai eu un message d'erreur au lancement de zhp "erreur de socket n°11001 hôte non trouvé". http://cjoint.com/?DHwpTDMBb5x par avance merci

bjr, je passe du forum software à celui car mon problème semble être une infection sévère. http://forum.zebulon.fr/connexions-reseaux-et-ss-fil-disparues-t208544.html problèmes : les connexions réseaux ont disparu, les propriétés des périphériques ne s'affichent, glisser un fichier de disque en disque dans l'explorateur ne fonctionne pas ... je vous remercie par avance pour votre aide, pour info le poste qui ne fonctionne pas n'a pas internet, je transfère donc les fichiers par clé d'un autre poste. dans l'attente, cdt,

wullfk, quand j’exécute services.msc j'ai une fenêtre qui s'ouvre "erreur est survenue dans le script de cette page ur: c:\w\s32\mmcndmgr.dll\views.htm" j'ai continué en tapant oui, le service s'ouvre, mais je n'ai pas accès aux propriétés par service, même problème que dans le gestionnaire des périphériques. Sinon les connexions réseaux semblent démarrées. je pense de + en + à une infection,

bonjour, mes connexions réseaux ont disparu. j'ai essayé en supprimant PCI dans le registre mais elles ne sont pas revenues au redémarrage, pas de réseau ethernet, pas de réseau sans fil d'où pas d'internet. . Autre problème curieux : les propriétés des périphériques dans le gestionnaire ne s'affichent pas. Pour info je suis sur xp. Je ne sais pas si c'est un problème matériel ou un virus, sachant l'ordinateur semble fonctionner correctement j'ai posté ce message sur ce forum. Je vous remercie par avance de votre aide. cdt,

bonsoir, merci de me répondre. Ci joint les rapports : Rapport de ZHPFix 2013.11.19.7 par Nicolas Coolman, Update du 19/11/2013 Fichier d'export Registre : Run by GL at 28/11/2013 19:34:34 High Elevated Privileges : OK Windows XP Professional Service Pack 3 (Build 2600) Corbeille vidée (00mn 03s) Réparation des raccourcis navigateur ========== Processus mémoire ========== SUPPRIMÉ Redémarrage: Memory Process: C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe ========== Modules mémoire ========== SUPPRIMÉ: Memory Module: C:\WINDOWS\Downloaded Program Files\EPUWALcontrol.dll ========== Clés du Registre ========== SUPPRIMÉ: [HKLM\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11d4-9B18-009027A5CD4F}] SUPPRIMÉ: CLSID DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} SUPPRIMÉ: [HKLM\SOFTWARE\Classes\CLSID\{C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB}] ========== Valeurs du Registre ========== SUPPRIMÉ: Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F} SUPPRIMÉ RunValue: swg SUPPRIMÉ RunValue: Akamai NetSession Interface SUPPRIMÉ: FirewallRaz (SP) : %windir%\system32\sessmgr.exe SUPPRIMÉ: FirewallRaz (SP) : %windir%\Network Diagnostic\xpnetdiag.exe SUPPRIMÉ: FirewallRaz (DP) : %windir%\system32\sessmgr.exe SUPPRIMÉ: FirewallRaz (DP) : %windir%\Network Diagnostic\xpnetdiag.exe Aucune valeur présente dans la clé d'exception du registre (FirewallRaz) ========== Dossiers ========== SUPPRIMÉS Temporaires Windows (20) ========== Fichiers ========== ERREUR c:\program files\google\googletoolbarnotifier\googletoolbarnotifier.exe () SUPPRIMÉ: c:\documents and settings\gl\local settings\application data\google\chrome\user data\default\local storage\https_signin.ebay.fr_0.localstorage-journal SUPPRIMÉ: c:\documents and settings\all users\menu démarrer\programmes\dell resourcecd.lnk SUPPRIMÉS Temporaires Windows (35) (338 251 octets) ========== Restauration Système ========== Point de restauration du système créé avec succès ========== Récapitulatif ========== 1 : Processus mémoire 1 : Modules mémoire 3 : Clés du Registre 8 : Valeurs du Registre 1 : Dossiers 4 : Fichiers 1 : Restauration Système End of clean in 00mn 19s ========== Chemin de fichier rapport ========== C:\Documents and Settings\GL\Application Data\ZHP\ZHPFix[R1].txt - 28/11/2013 19:34:37 [2200] SUITE Rapport de SFTGC (Pierre13) du Jeudi 28 Novembre 2013 à 19:36:39 version : 2.0.0.55 Mis à jour le 12/09/2013 Outil lancé en Mode normal et En tant qu'administrateur Microsoft Windows XP Service Pack 3 32 bits Tool start in C:\Documents and Settings\GL\Bureau\nettoyage_nov_2013 Rien à supprimer... (12 s) Corbeille vidée. Fin du rapport.

--- 26 novembre 2013 à 8h46 --- bonjour, hier mon pc avait une connexion internet très lente, après des recherches j'ai découvert un processus inactif system dans le gestionnaire des tâches. J'ai lancé un nettoyage avec malwarebytes, adwcleaner tdsskiller et jrt. Rien n'a été découvert. Ce matin la connexion est correcte (pour l'instant), le processus inactif system est toujours actif par contre le dossier temp ne fonctionne plus ce qui empêche le fonctionnement des logiciels. J'ai voulu installer zhpdiag et j'ai eu comme message d'erreur : l'assistant d'installation n'a pu créer le dossier C:\doc...\gl\local~1\temp\is-6t2cn.tmp. erreur 5 accès refusé. je sais j'aurais du faire ce mail hier mais ... dans l'attente de votre aide, merci d'avance --- 26 novembre 2013 à 9h19 --- suite, j'ai créé un dossier temporaire sur un disque externe, j'ai pu installer zhpdiag, ci joint le rapport : http://cjoint.com/?3KAjgGqcNt7 dans l'attente de votre aide, crdtl, --- 26 novembre 2013 à 16h27 --- y a t il quelqu'un pour m'aider ? -édit- Dans cette section, il ne faut pas multiplier les messages dans ton sujet avant d'avoir été pris en charge : au vu de la présence d'une « réponse », les helpers ne s'y intéresseront pas, croyant le problème pris en mains par l'un des leurs. Utilise plutôt la touche « Modifier » située en bas à droite de ton premier message… -Dylav-

bonjour, je mets en place un réseau entre 5 ordinateurs, un ordinateur centralise des répertoires partagés sur un dd externe. Chaque pc a accès qu'à certains répertoires par mot de passe. Un des ordinateurs (A) ne peut pas accéder aux répertoires qui lui sont partagés sur l'ordinateur (B) malgré le même nom et le même mot de passe sur A et B et un ping qui fonctionne entre A et B et inversement. Pouvez vous m'aider à résoudre ce problème ? je commence à craquer. Merci.

Cher Pear, bonjour, Ce message pour vous informer que le PC fonctionne parfaitement bien. Je vous remercie pour votre aide car lorsque l'on est néophyte les problèmes informatiques énervent. Juste une remarque, il est peut nécessaire dans certains cas de desinstaller avira avant le scan de combofix car lors du reboot provoqué par combofix, avira démarre en cache sans qu'on puisse le désactiver. Merci encore.

bonsoir Pear, je vous joins le rapport combofix, pour info j'ai desinstallé avira pour le scan combo car au 1er essai il ne se désactivait pas. L'ordi semble aller beaucoup mieux, que faut il encore vérifier ? ComboFix 10-05-04.06 - Administrateur 05/05/2010 18:33:58.7.1 - x86 Lancé depuis: c:\documents and settings\Administrateur\Bureau\2774-CF.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\msxsltsso.dll Une copie infectée de c:\windows\system32\drivers\ndis.sys a été trouvée et désinfectée Copie restaurée à partir de - c:\system volume information\_restore{59B9A9D5-7EF3-4759-81F3-A00A6868E4C5}\RP3\A0002187.sys . ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-05 au 2010-05-05 )))))))))))))))))))))))))))))))))))) . 2010-05-05 14:11 . 2010-05-05 14:19 -------- d-----w- c:\program files\SEAF 2010-05-04 10:47 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-05-04 10:47 . 2010-05-04 17:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-05-04 10:47 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-05-03 16:31 . 2010-05-03 16:31 -------- d-----w- C:\rsit 2010-05-03 16:31 . 2010-05-03 16:31 -------- d-----w- c:\program files\trend micro 2010-05-01 08:06 . 2010-05-01 08:06 -------- d-----w- C:\_OTM 2010-04-28 20:48 . 2004-02-25 15:43 163840 ----a-w- c:\windows\system32\igfxres.dll 2010-04-28 19:38 . 2004-08-05 10:00 76288 -c--a-w- c:\windows\system32\dllcache\uniime.dll 2010-04-28 19:37 . 2004-08-05 10:00 7680 -c--a-w- c:\windows\system32\dllcache\pwsdata.dll 2010-04-28 19:36 . 2004-08-05 10:00 7680 -c--a-w- c:\windows\system32\dllcache\migregdb.exe 2010-04-28 19:35 . 2004-08-05 10:00 32256 -c--a-w- c:\windows\system32\dllcache\gzip.dll 2010-04-28 19:34 . 2004-08-05 10:00 45568 -c--a-w- c:\windows\system32\dllcache\browscap.dll 2010-04-28 19:33 . 2004-08-05 10:00 7168 -c--a-w- c:\windows\system32\dllcache\wamregps.dll 2010-04-28 18:30 . 2010-04-28 18:30 -------- d-----w- c:\windows\dell 2010-04-28 16:48 . 2004-08-03 22:54 154112 ----a-w- c:\windows\system32\irftp.exe 2010-04-28 16:48 . 2004-08-03 22:54 8192 ----a-w- c:\windows\system32\wshirda.dll 2010-04-28 16:48 . 2004-08-03 22:54 28160 ----a-w- c:\windows\system32\irmon.dll 2010-04-28 16:42 . 2004-08-05 10:00 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll 2010-04-28 16:42 . 2004-08-05 10:00 24661 ----a-w- c:\windows\system32\spxcoins.dll 2010-04-28 16:42 . 2004-08-05 10:00 13312 -c--a-w- c:\windows\system32\dllcache\irclass.dll 2010-04-28 16:42 . 2004-08-05 10:00 13312 ----a-w- c:\windows\system32\irclass.dll 2010-04-28 16:17 . 2010-04-28 16:17 -------- d-----w- c:\windows\system32\vmm32 2010-04-28 16:17 . 2010-04-28 16:17 -------- d-----w- c:\program files\Dell 2010-04-28 16:11 . 1999-01-20 03:01 210032 ----a-w- c:\windows\system32\DBCLIENT.DLL 2010-04-28 16:11 . 2010-04-28 16:11 -------- d-----w- c:\program files\Fichiers communs\Borland Shared 2010-04-27 16:27 . 2010-04-27 16:27 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Conduit 2010-04-27 16:26 . 2010-04-27 17:03 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Softonic_France 2010-04-27 10:20 . 2010-04-27 10:20 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData 2010-04-27 07:11 . 2010-04-28 04:09 -------- d-----w- C:\VundoFix Backups 2010-04-27 06:54 . 2010-04-27 06:15 119808 ----a-w- C:\VundoFix.exe 2010-04-27 06:07 . 2010-04-27 05:54 256832 ----a-w- C:\SoftonicDownloader78354.exe 2010-04-27 06:00 . 2010-04-27 06:00 -------- d-s---w- c:\documents and settings\NetworkService\UserData 2010-04-27 05:26 . 2010-04-27 07:09 -------- d-----w- C:\SmitfraudFix 2010-04-27 05:15 . 2010-04-27 04:42 1872472 ----a-w- C:\SmitfraudFix.exe 2010-04-26 11:00 . 2010-04-26 11:01 -------- d-----r- c:\documents and settings\NetworkService\Favoris 2010-04-23 22:58 . 2010-04-23 22:58 4736 ----a-w- c:\windows\system32\o.sys 2010-04-23 18:53 . 2010-04-23 18:53 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\Search Settings 2010-04-23 18:53 . 2010-04-23 18:55 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\pdfforge . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-05-05 10:08 . 2009-02-11 21:09 -------- d-----w- c:\program files\Mozilla Thunderbird 2010-04-29 11:46 . 2009-02-11 14:30 87263 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat 2010-04-28 21:47 . 2009-02-11 20:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2010-04-27 15:50 . 2010-04-23 18:51 112 ----a-w- c:\documents and settings\All Users\Application Data\6nB4CAKa.dat 2010-04-27 07:00 . 2009-02-11 20:52 -------- d-----w- c:\program files\Spybot - Search & Destroy 2010-04-19 07:11 . 2009-05-18 13:56 -------- d-----w- c:\program files\Google 2010-04-13 08:47 . 2002-09-17 21:04 368314 ----a-w- c:\windows\system32\perfh00C.dat 2010-04-13 08:47 . 2002-09-17 21:04 49054 ----a-w- c:\windows\system32\perfc00C.dat . <pre> c:\program files\Adobe\Reader 9.0\Reader\Reader_sl .exe c:\program files\Java\j2re1.4.2_06\bin\jusched .exe c:\program files\Spybot - Search & Destroy\TeaTimer .exe c:\windows\inf\WG511v2\snetcfg .exe </pre> ((((((((((((((((((((((((((((( SnapShot@2010-04-28_21.11.22 ))))))))))))))))))))))))))))))))))))))))) . + 2010-05-05 16:42 . 2010-05-05 16:42 16384 c:\windows\temp\Perflib_Perfdata_354.dat + 2010-05-05 16:33 . 2010-05-05 16:33 16384 c:\windows\temp\Perflib_Perfdata_2d8.dat + 2010-05-04 12:45 . 2010-05-05 14:53 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2010-05-05 14:13 . 2010-05-05 14:55 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012010050520100506\index.dat + 2009-02-11 14:35 . 2010-05-05 14:53 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat - 2009-02-11 14:35 . 2010-04-28 19:41 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2009-02-11 14:30 . 2010-04-29 11:46 4448 c:\windows\PCHealth\HelpCtr\PackageStore\SkuStore.bin + 2009-02-11 14:31 . 2010-04-29 06:30 9696 c:\windows\PCHealth\HelpCtr\Config\Cntstore.bin + 2004-08-05 10:00 . 2004-08-05 10:00 182912 c:\windows\system32\drivers\ndis.sys + 2004-08-05 10:00 . 2004-08-05 10:00 182912 c:\windows\system32\dllcache\ndis.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\System32\igfxtray.exe" [2004-02-25 155648] "HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2004-02-25 118784] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 110592] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-05 15360] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ NETGEAR WG511v2 Smart Wizard.lnk - c:\program files\NETGEAR\WG511v2\WG511v2.exe [2007-6-26 1499136] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= R1 zslidbecv1;zslidbecv1.sys;c:\windows\system32\drivers\zslidbecv1.sys [x] R2 gupdate1c9d7c06e1333f0;Service Google Update (gupdate1c9d7c06e1333f0);c:\program files\Google\Update\GoogleUpdate.exe [2009-05-18 133104] S2 k;k;c:\windows\system32\o.sys [2010-04-23 4736] . Contenu du dossier 'Tâches planifiées' 2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-05-18 13:56] 2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-05-18 13:56] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab . - - - - ORPHELINS SUPPRIMES - - - - SSODL-GootkitSSO-{43263C7A-F1E1-4BBE-8569-173FC441EF64} - c:\windows\System32\msxsltsso.dll ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-05-05 18:42 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\windows\System32\snmp.exe c:\windows\system32\rundll32.exe . ************************************************************************** . Heure de fin: 2010-05-05 18:46:59 - La machine a redémarré ComboFix-quarantined-files.txt 2010-05-05 16:46 ComboFix2.txt 2010-05-05 16:06 ComboFix3.txt 2010-05-01 15:20 ComboFix4.txt 2010-04-30 09:39 ComboFix5.txt 2010-05-05 16:29 Avant-CF: 6 443 659 264 octets libres Après-CF: 6 417 219 584 octets libres - - End Of File - - A8F406876B4AE151B7103A6098F59898

autre remarque l'activité de ma connection internet est permanente m^me sans navigateur ouvert

autre message avira qui est revenu après redémarrage du pc : Dans le fichier 'C:\WINDOWS\System32\msxsltsso.dll' un virus ou un programme indésirable 'TR/Agent.42496.BD' [trojan] a été détecté. Action exécutée : Refuser l'accès

ci joint les rapports : 1/ mbam 2/ message après reboot 3/ seaf Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Version de la base de données: 4068 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 05/05/2010 15:45:15 mbam-log-2010-05-05 (15-45-15).txt Type d'examen: Examen complet (C:\|D:\|) Elément(s) analysé(s): 135072 Temps écoulé: 40 minute(s), 6 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 1 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 2 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> Delete on reboot. C:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> Delete on reboot. Message d'erreur après reboot : c:windows/temp/bn2.tmp contient le cheval de troie TR/Gendal.64512.B 1. ========================= SEAF 1.0.0.7 - C_XX 2. 3. Commencé à: 16:18:42 le 05/05/2010 4. 5. Valeur(s) recherchée(s): 6. 7. ndis.sys 8. 9. (!) --- Calcul du Hash "MD5" 10. (!) --- Informations supplémentaires 11. (!) --- Recherche registre 12. 13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ====== 14. 15. "c:\WINDOWS\system32\drivers\ndis.sys" [ ----A---- | 211072 ] 16. TC: 05/08/2004,12:00:00 | TM: 28/04/2010,22:48:57 | DA: 05/05/2010,12:44:11 17. MD5: DENIED 18. 19. 20. 21. ========================= 22. 23. "c:\WINDOWS\system32\dllcache\ndis.sys" [ ----AC---- | 211072 ] 24. TC: 05/08/2004,12:00:00 | TM: 28/04/2010,22:48:32 | DA: 02/05/2010,17:20:52 25. MD5: DENIED 26. 27. 28. 29. ========================= 30. 31. "c:\WINDOWS\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\ndis.sys" [ ----A---- | 182656 ] 32. TC: 18/02/2009,10:58:10 | TM: 13/04/2008,21:20:37 | DA: 02/05/2010,17:20:58 33. MD5: DENIED 34. 35. 36. 37. ========================= 38. 39. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ====== 40. 41. Aucun dossier trouvé 42. 43. 44. ====== Entrée(s) du registre ====== 45. 46. Aucune entrée du registre trouvée 47. 48. ========================= 49. 50. Fin à: 16:19:13 le 05/05/2010 ( E.O.F )

Je vous joins le message avira qui revient tt le temps : c:windows\system32\drivers\ndis.sys contient le modèle de détection du rootkit RKIT/ PROTECTOR.BC Pour malewareb. je lance le scan.

Bonjour Pear, Ci joint rapport GMER : GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-05-05 11:48:27 Windows 5.1.2600 Service Pack 2 Running: 06kxgydh.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\pxtdipow.sys ---- System - GMER 1.0.15 ---- SSDT F98BC5CC ZwCreateThread SSDT F98BC5B8 ZwOpenProcess SSDT F98BC5BD ZwOpenThread SSDT F98BC5C7 ZwTerminateProcess SSDT F98BC5C2 ZwWriteVirtualMemory Code 812B80E0 pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- ? xmhy.sys Le fichier spécifié est introuvable. ! .reloc C:\WINDOWS\system32\drivers\NDIS.sys section is executable [0x81272200, 0x3262A, 0xE0000060] ---- User code sections - GMER 1.0.15 ---- ? C:\WINDOWS\System32\svchost.exe[1276] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; ? C:\WINDOWS\System32\svchost.exe[1320] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; ? C:\WINDOWS\System32\svchost.exe[1324] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; ? C:\WINDOWS\System32\svchost.exe[1344] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; ? C:\WINDOWS\System32\svchost.exe[3292] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: gdiplus.dllunknown module: OLEAUT32.dllunknown module: urlmon.dll .text C:\WINDOWS\System32\svchost.exe[3292] USER32.dll!SetForegroundWindow 77D266A7 8 Bytes [b8, 01, 00, 00, 00, C2, 04, ...] {MOV EAX, 0x1; RET 0x4} ? C:\WINDOWS\System32\svchost.exe[3300] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: gdiplus.dllunknown module: OLEAUT32.dllunknown module: urlmon.dll .text C:\WINDOWS\System32\svchost.exe[3300] USER32.dll!SetForegroundWindow 77D266A7 8 Bytes [b8, 01, 00, 00, 00, C2, 04, ...] {MOV EAX, 0x1; RET 0x4} ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] FB8401C7 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] DCE90043 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 560001B9 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 06C7F18B IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [0043FB84] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 01B9CEE8 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 2444F600 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 07740108 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] BA72E856 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 8B590001 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 04C25EC6 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] EC8B5500 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] FF1475FF IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 75FF1075 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 5D10C483 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] EC8B55C3 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] FF1475FF IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 75FF1075 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 0875FF0C IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 01BAC3E8 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 08458B00 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 0206B2E8 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 89F18B00 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] 8EE8F075 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 830001B8 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] FF00FC65 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 4E8D0875 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 9006C70C IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] E80043FB IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 00001F05 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 64E8C68B IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] C2000207 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 8B560004 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 6A006AF1 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 0C4E8D01 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] FB9006C7 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] 71E80043 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 8B000023 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] 30E95ECE IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 560001B9 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] DBE8F18B IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] F6FFFFFF IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 01082444 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] E8560774 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 0001B9CC IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] 560004C2 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 082474FF IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] 86E8F18B IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] C7FFFFFF IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 43FB9C06 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] 5EC68B00 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] C70004C2 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 43FB9C01 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] FFA4E900 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 8B56FFFF IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 9C06C7F1 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] E80043FB IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] FFFFFF96 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] 082444F6 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 56077401 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 01B987E8 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] C68B5900 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] 0004C25E IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] EFB8046A IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] E8004399 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 7589F18B IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 087D8BF0 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] B858E857 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 65830001 IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] C78300FC IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 4E8D570C IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 9006C70C IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] E80043FB IAT C:\WINDOWS\System32\svchost.exe[1276] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 00001E4D IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] FB8401C7 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] DCE90043 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 560001B9 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 06C7F18B IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [0043FB84] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 01B9CEE8 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 2444F600 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 07740108 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] BA72E856 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 8B590001 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 04C25EC6 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] EC8B5500 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] FF1475FF IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 75FF1075 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 5D10C483 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] EC8B55C3 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] FF1475FF IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 75FF1075 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 0875FF0C IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 01BAC3E8 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 08458B00 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 0206B2E8 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 89F18B00 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] 8EE8F075 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 830001B8 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] FF00FC65 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 4E8D0875 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 9006C70C IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] E80043FB IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 00001F05 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 64E8C68B IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] C2000207 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 8B560004 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 6A006AF1 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 0C4E8D01 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] FB9006C7 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] 71E80043 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 8B000023 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] 30E95ECE IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 560001B9 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] DBE8F18B IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] F6FFFFFF IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 01082444 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] E8560774 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 0001B9CC IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] 560004C2 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 082474FF IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] 86E8F18B IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] C7FFFFFF IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 43FB9C06 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] 5EC68B00 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] C70004C2 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 43FB9C01 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] FFA4E900 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 8B56FFFF IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 9C06C7F1 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] E80043FB IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] FFFFFF96 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] 082444F6 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 56077401 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 01B987E8 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] C68B5900 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] 0004C25E IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] EFB8046A IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] E8004399 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 7589F18B IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 087D8BF0 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] B858E857 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 65830001 IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] C78300FC IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 4E8D570C IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 9006C70C IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] E80043FB IAT C:\WINDOWS\System32\svchost.exe[1320] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 00001E4D IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] FB8401C7 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] DCE90043 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 560001B9 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 06C7F18B IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [0043FB84] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 01B9CEE8 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 2444F600 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 07740108 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] BA72E856 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 8B590001 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 04C25EC6 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] EC8B5500 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] FF1475FF IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 75FF1075 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 5D10C483 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] EC8B55C3 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] FF1475FF IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 75FF1075 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 0875FF0C IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 01BAC3E8 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 08458B00 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 0206B2E8 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 89F18B00 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] 8EE8F075 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 830001B8 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] FF00FC65 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 4E8D0875 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 9006C70C IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] E80043FB IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 00001F05 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 64E8C68B IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] C2000207 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 8B560004 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 6A006AF1 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 0C4E8D01 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] FB9006C7 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] 71E80043 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 8B000023 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] 30E95ECE IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 560001B9 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] DBE8F18B IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] F6FFFFFF IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 01082444 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] E8560774 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 0001B9CC IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] 560004C2 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 082474FF IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] 86E8F18B IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] C7FFFFFF IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 43FB9C06 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] 5EC68B00 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] C70004C2 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 43FB9C01 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] FFA4E900 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 8B56FFFF IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 9C06C7F1 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] E80043FB IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] FFFFFF96 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] 082444F6 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 56077401 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 01B987E8 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] C68B5900 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] 0004C25E IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] EFB8046A IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] E8004399 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 7589F18B IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 087D8BF0 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] B858E857 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 65830001 IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] C78300FC IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 4E8D570C IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 9006C70C IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] E80043FB IAT C:\WINDOWS\System32\svchost.exe[1324] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 00001E4D IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] FB8401C7 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] DCE90043 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 560001B9 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 06C7F18B IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [0043FB84] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 01B9CEE8 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 2444F600 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 07740108 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] BA72E856 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 8B590001 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 04C25EC6 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] EC8B5500 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] FF1475FF IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 75FF1075 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 5D10C483 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] EC8B55C3 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] FF1475FF IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 75FF1075 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 0875FF0C IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 01BAC3E8 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 08458B00 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 0206B2E8 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 89F18B00 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] 8EE8F075 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 830001B8 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] FF00FC65 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 4E8D0875 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 9006C70C IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] E80043FB IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 00001F05 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 64E8C68B IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] C2000207 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 8B560004 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 6A006AF1 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 0C4E8D01 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] FB9006C7 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] 71E80043 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 8B000023 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] 30E95ECE IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 560001B9 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] DBE8F18B IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] F6FFFFFF IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 01082444 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] E8560774 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 0001B9CC IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] 560004C2 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 082474FF IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] 86E8F18B IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] C7FFFFFF IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 43FB9C06 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] 5EC68B00 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] C70004C2 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 43FB9C01 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] FFA4E900 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 8B56FFFF IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 9C06C7F1 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] E80043FB IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] FFFFFF96 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] 082444F6 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 56077401 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 01B987E8 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] C68B5900 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] 0004C25E IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] EFB8046A IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] E8004399 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 7589F18B IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 087D8BF0 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] B858E857 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 65830001 IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] C78300FC IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 4E8D570C IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 9006C70C IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] E80043FB IAT C:\WINDOWS\System32\svchost.exe[1344] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 00001E4D IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 83EC8B55 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 75001C7D IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 0C7D831E IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 6A1E7501 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] 03E86800 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 016A0000 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] FF0471FF IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 43A2BC15 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] 18458B00 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 33002083 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 18C25DC0 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 0C7D8100 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 00000113 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 498BF175 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 20831845 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] 40C03300 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] 006ADBEB IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 436FD1B8 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] [7494E800] C:\WINDOWS\system32\msxml3.dll (MSXML 3.0 SP 5/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 758B0002 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 2406C708 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 088B0A74 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 0851FF50 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] 00246683 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] FFFC4D83 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] 8514768B IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 560674F6 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 022576E8 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] 74FFE800 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 04C20002 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] F18B5600 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] FFB4E856 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 44F6FFFF IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 74010824 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 33E85607 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 59000229 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] C25EC68B IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 408B0004 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] 74C08514 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 44E85006 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] C3000225 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 0824448B IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 33002083 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 0008C2C0 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 0024C280 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] 04C2C033 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 24448B00 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 00208310 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] [004001B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] 0010C280 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 0824448B IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] B8002083 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 80004002 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 330008C2 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] 14C240C0 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] 24448B00 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] 0440C708 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 08888888 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 08C2C033 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 40C03300 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] 330008C2 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 10C240C0 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 24448B00 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] [004001B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 000CC280 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] 51EC8B55 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 00FC6583 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] FC458D56 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 118BE850 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 758B0000 IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 74F685FC IAT C:\WINDOWS\System32\svchost.exe[3292] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 56068B06 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 83EC8B55 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 75001C7D IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 0C7D831E IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 6A1E7501 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] 03E86800 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] [016A0000] C:\WINDOWS\System32\xpsp2res.dll (Messages Service Pack 2/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] FF0471FF IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 43A2BC15 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] 18458B00 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 33002083 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 18C25DC0 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 0C7D8100 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 00000113 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 498BF175 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 20831845 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] 40C03300 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] 006ADBEB IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 436FD1B8 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] [7494E800] C:\WINDOWS\system32\msxml3.dll (MSXML 3.0 SP 5/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 758B0002 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 2406C708 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 088B0A74 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 0851FF50 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] 00246683 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] FFFC4D83 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] 8514768B IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 560674F6 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 022576E8 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] 74FFE800 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 04C20002 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] F18B5600 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] FFB4E856 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 44F6FFFF IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 74010824 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 33E85607 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 59000229 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] C25EC68B IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 408B0004 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] 74C08514 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 44E85006 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] C3000225 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 0824448B IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 33002083 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 0008C2C0 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 0024C280 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] 04C2C033 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 24448B00 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 00208310 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] [004001B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] 0010C280 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 0824448B IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] B8002083 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 80004002 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 330008C2 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] 14C240C0 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] 24448B00 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] 0440C708 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 08888888 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 08C2C033 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 40C03300 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] 330008C2 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 10C240C0 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 24448B00 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] [004001B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 000CC280 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] 51EC8B55 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 00FC6583 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] FC458D56 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 118BE850 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 758B0000 IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 74F685FC IAT C:\WINDOWS\System32\svchost.exe[3300] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 56068B06 ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH) Device \Driver\NDIS \Device\Ndis [81279982] NDIS.sys[.reloc] ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c61afe32 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0010c61afe32@0021d2576566 0x0B 0x1A 0xA4 0xE5 ... Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0010c61afe32 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0010c61afe32@0021d2576566 0x0B 0x1A 0xA4 0xE5 ... ---- EOF - GMER 1.0.15 ----

j'ai refait un scan malewareb. et avira, ci joint les 2 rapports : Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Version de la base de données: 4066 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 04/05/2010 21:42:21 mbam-log-2010-05-04 (21-42-21).txt Type d'examen: Examen complet (C:\|D:\|) Elément(s) analysé(s): 134513 Temps écoulé: 41 minute(s), 47 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 2 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> Delete on reboot. C:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> Delete on reboot. Avira AntiVir Personal Date de création du fichier de rapport : mardi 4 mai 2010 22:10 La recherche porte sur 2062283 souches de virus. Détenteur de la licence :Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows XP Version de Windows :(Service Pack 2) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur :H1 Informations de version : BUILD.DAT : 8.2.0.62 17752 Bytes 23/10/2009 13:16:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 11/02/2009 21:07:08 AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27 LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16 LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27 ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 11:11:21 ANTIVIR1.VDF : 7.10.6.89 9601392 Bytes 15/04/2010 11:51:53 ANTIVIR2.VDF : 7.10.7.13 773024 Bytes 30/04/2010 07:19:52 ANTIVIR3.VDF : 7.10.7.16 43520 Bytes 30/04/2010 07:19:53 Version du moteur: 8.2.1.224 AEVDF.DLL : 8.1.2.0 106868 Bytes 01/05/2010 07:19:57 AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 01/05/2010 07:19:56 AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 09:35:06 AESBX.DLL : 8.1.3.1 254324 Bytes 01/05/2010 07:19:54 AERDL.DLL : 8.1.4.6 541043 Bytes 16/04/2010 11:52:10 AEPACK.DLL : 8.2.1.1 426358 Bytes 20/03/2010 14:10:14 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 18/03/2010 12:06:58 AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16/04/2010 11:52:06 AEHELP.DLL : 8.1.11.3 242039 Bytes 02/04/2010 11:35:45 AEGEN.DLL : 8.1.3.7 373106 Bytes 16/04/2010 11:51:58 AEEMU.DLL : 8.1.2.0 393588 Bytes 01/05/2010 07:19:54 AECORE.DLL : 8.1.13.1 188790 Bytes 02/04/2010 11:35:43 AEBB.DLL : 8.1.1.0 53618 Bytes 01/05/2010 07:19:53 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58 AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 07:15:16 AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16 RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43 Configuration pour la recherche actuelle : Nom de la tâche..................: Contrôle intégral du système Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp Documentation....................: bas Action principale................: interactif Action secondaire................: ignorer Recherche sur les secteurs d'amorçage maître: marche Recherche sur les secteurs d'amorçage: marche Secteurs d'amorçage..............: C:, Recherche dans les programmes actifs: marche Recherche en cours sur l'enregistrement: marche Recherche de Rootkits............: arrêt Fichier mode de recherche........: Sélection de fichiers intelligente Recherche sur les archives.......: marche Limiter la profondeur de récursivité: 20 Archive Smart Extensions.........: marche Heuristique de macrovirus........: marche Heuristique fichier..............: moyen Début de la recherche : mardi 4 mai 2010 22:10 La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'update.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'WG511v2.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés Processus de recherche 'snmp.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '30' processus ont été contrôlés avec '30' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [iNFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [iNFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence. Le registre a été contrôlé ( '49' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\GTE305UZ\bootstrap[1].txt [RESULTAT] Contient le modèle de détection du virus de script Java JS/Agent.1670 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c4f8260.qua' ! C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OKMUZOBC\bootstrap[1].txt [RESULTAT] Contient le modèle de détection du virus de script Java JS/Agent.1670 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c4f83e5.qua' ! C:\WINDOWS\SoftwareDistribution\Download\51f93922a72f4cba24d116598e161b49\ndis.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\WINDOWS\system32\dllcache\ndis.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\WINDOWS\system32\drivers\ndis.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Fin de la recherche : mardi 4 mai 2010 22:47 Temps nécessaire: 38:12 Minute(s) La recherche a été effectuée intégralement 2248 Les répertoires ont été contrôlés 73332 Des fichiers ont été contrôlés 2 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 2 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 4 Impossible de contrôler des fichiers 73326 Fichiers non infectésa. 592 Les archives ont été contrôlées 4 Avertissements 2 Consignes Pour info le fichier ndis.sys est désigné comme infecté à chaque scan Dans l'attente de vos conseils,

cher Pear, Je ne trouve pas les 2 fichiers pour virus total. Pour malwareb. je ne trouve pas non plus le doc demandé à part celui que je vous ai mis ds le précédent message. Dois je recommencer un scan ?

bonsoir Pear et encore merci pour votre aide, ci joint rapport Malwearb. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Version de la base de données: 4064 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 04/05/2010 17:43:12 mbam-log-2010-05-04 (17-43-12).txt Type d'examen: Examen complet (C:\|D:\|) Elément(s) analysé(s): 133684 Temps écoulé: 58 minute(s), 36 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 1 Clé(s) du Registre infectée(s): 13 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 4 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): C:\WINDOWS\system32\msxsltsso.dll (Trojan.GootKit) -> No action taken. Clé(s) du Registre infectée(s): HKEY_CLASSES_ROOT\CLSID\{054d86d3-538c-4622-8690-b2c2c26c01ae} (Trojan.GootKit) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{1059e094-0327-4a5b-8c7d-a9cb10c2ead9} (Trojan.GootKit) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{18e9d5d6-ad2d-47af-b77f-0815ed07533a} (Trojan.GootKit) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{5a36f7ca-269e-4ddf-a624-e11dc3822e22} (Trojan.GootKit) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{627f1086-d32c-4b36-b2aa-9fecd7d4b883} (Trojan.GootKit) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{762676cb-8484-4869-b37c-a49ce6b7e186} (Trojan.GootKit) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{8038fba0-d2fe-44c5-96c0-cf432ac003a5} (Trojan.GootKit) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{86600889-a83f-401b-aa0f-8b4ecbb1c237} (Trojan.GootKit) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{8d809bb3-c58d-4121-a38a-9669579a9c82} (Trojan.GootKit) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{b096ff93-7032-46ab-9176-d868aa266cfd} (Trojan.GootKit) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{c08767c1-6968-4f58-88b7-674998d8c291} (Trojan.GootKit) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{f0ec532d-fce3-4042-b081-4b8518160bd0} (Trojan.GootKit) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken. Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\gootkitsso (Trojan.GootKit) -> No action taken. Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\system32\msxsltsso.dll (Trojan.GootKit) -> No action taken. C:\System Volume Information\_restore{59B9A9D5-7EF3-4759-81F3-A00A6868E4C5}\RP7\A0004997.dll (Trojan.GootKit) -> No action taken. C:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> No action taken. C:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> No action taken.