Espace libre diminue tout seul.

[vincetdsi]

Bonsoir à tous,

 

Après plus d'une semaine de recherche je me tourne vers vous pour essayer de trouver une solution à mon problème : l'espace libre de mon disque dur systeme diminue à une vitesse incroyable,

je perds plus d'un giga par heure, que se soit en mode normal ou sans échec meme sans connexion internet, et ce jusqu'à ce que le disque soit rempli. Par contre je récupere tout l'espace libre après reboot.

 

Par exemple à 19h11, 63.7go de libre alors qu'à 19h24 63.2go de libre. L'espace utilisé m'indique 25.7go alors que tout le contenu de mon disque pèse 24.1go!!!

 

J'ai changé avast pour antivir qui ma trouvé quelques chevaux de troie, même chose avec bitdefender, kapersky et eset online ainsi que spybot, spysweeper

ou Malwarebytes qui mon trouvé quelque probleme et qui les ont résolu, mais mon espace libre diminue toujours.

 

J'ai biensur désactivé la restauration systeme et nettoyé tous les fichiers temporaires.

 

Voici mon log hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:02:33, on 17/02/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Vista Drive Icon\DrvIcon.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Seagate\SystemTray\StxMenuMgr.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSI\Core Center\CoreCenter.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: Cooliris Plug-In for Internet Explorer - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Program Files\PicLensIE\cooliris.dll

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AppleSyncNotifier] "C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe"

O4 - HKLM\..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [stxTrayMenu] "C:\Program Files\Seagate\SystemTray\StxMenuMgr.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [superCopier2.exe] "C:\Program Files\SuperCopier2\SuperCopier2.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe

O9 - Extra button: Launch Cooliris - {3437D640-C91A-458f-89F5-B9095EA4C28B} - C:\Program Files\PicLensIE\cooliris.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://asia.msi.com.tw

O15 - Trusted Zone: http://global.msi.com.tw

O15 - Trusted Zone: http://www.msi.com.tw

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...AdSignerADP.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: SVC Module - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: telecable - Unknown owner - C:\WINDOWS\telecable.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Windows HWinfo Loader - Unknown owner - C:\WINDOWS\iexplre.exe (file missing)

 

--

End of file - 8153 bytes

 

 

Merci par avance pour votre aide.

[Thanos]

salut

 

J'aimerai en voir plus stp >>

 

Télécharge OTScanIt2.exe sur le Bureau, et fais un double clic dessus pour extraire les fichiers.

Un dossier nommé OTScanIt va se créer sur le Bureau.

 

Notes :

 

-Si pendant le téléchargement et/ou l’installation tu reçois une alerte de ton antivirus, ignore-là. Certains composants de OTscanIT2 peuvent être détectés comme un virus par certains antivirus. Pense aussi à désactiver tes protections résidentes durant la procédure.

 

-Tu dois avoir ouvert une session avec un compte ayant les droits Administrateur pour exécuter ce programme.

• Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme
  
• Sous "File Age" en haut, clique sur le menu déroulant et sélectionne "90 days".
  
• Sous "Additional Scans" clique sur le bouton "Extras" puis coche la case située devant les éléments suivants afin de les sélectionner :
  Reg - ColumnHandlers
  Reg - SafeBoot Minimal
  Reg - Uninstall List
  Reg - Disabled MS Config Items
  Reg - NetSvcs
  Reg - Session Manager Settings
  Reg - Shell Spawning
  Reg - Tcpip Persistent Routes
  Evnt - EventViewer Logs
  
• Sous "Rootkit search", sélectionne "Yes".
  
• Ensuite, coche la case Scan All Users puis clique sur le bouton Run Scan dans la barre d'outils.
  
• Laisse le programme tourner sans intervenir.
  
• Lorsque l'analyse est terminée le Bloc-notes va s'ouvrir pour afficher le fichier rapport.
  
• Clique sur le menu Format et vérifie que Retour automatique à la ligne n'est pas coché. S'il l'est, clique dessus afin de le décocher.
  
• Poste le rapport obtenu dans ta prochaine réponse.
  

Le rapport risque d'être long: tu peux le faire héberger ici >> http://www.cijoint.fr/

Enregistre le rapport sur le Bureau pour le retrouver, reviens sur la page internet (cijoint) et clique sur le bouton Parcourir=> une fenêtre s'ouvre qui va te permettre de naviguer sur ton disque dur : recherche le rapport sur le Bureau (il se nomme OTScanIt.Txt) puis clique sur le bouton "ouvrir" en bas de la fenêtre.

Pour expédier le fichier il faut ensuite cliquer sur le bouton Cliquez ici pour déposer le fichier

Une fois ceci fait, un lien va s'afficher en bas de page: ca ressemble à ça >>

Le dépôt du fichier OTScanIt.Txt a été réalisé avec succès !

 

Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier.

C'est ce même lien que vous devrez transmettre à vos correspondants

http://www.cijoint.fr/cjlink.php?file=cj20.../cij9ga7SZP.txt

donne ce lien dans ta prochaine réponse stp

[vincetdsi]

Salut, voila le rapport :

 

rapport OTSCANIT

 

merci

Modifié le 18 février 2009 par vincetdsi

[Thanos]

salut

 

Ok, continue comme ceci >>

 

1°) Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme (si tu es sous Windows Vista, fais un clic droit sur le programme et choisis Exécuter en tant qu'Administrateur).

 

Fais un copier/coller des informations de la zone Code ci-dessous (ne copie pas le mot CODE!) dans la zone de saisie intitulée "Paste fix here" puis clique sur le bouton Run Fix =>

[Win32 Services - Safe List]
YY -> (SVC Module) SVC Module [Win32_Own | Auto | Stopped] -> 
YY -> (telecable) telecable [Win32_Own | Auto | Stopped] -> 
YY -> (Windows HWinfo Loader) Windows HWinfo Loader [Win32_Own | Auto | Stopped] -> 
[Registry - Additional Scans - Safe List]
< Security Center Settings > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
YN -> \\"EnableFirewall" -> [0]
[Empty Temp Folders]

L'exécution devrait être très rapide.

Le Bloc-notes va s'ouvrir et afficher à ce moment-là les résultats finaux. Envoie-moi ces informations en réponse.

 

2°) Assure toi que la console Java est bien la plus récente; pour le savoir rends-toi sur cette page et clique sur Vérifier la version de Java -> http://www.java.com/fr/download/installed.jsp -> Il te sera indiqué si tu dois installer la dernière version.

Le scan doit être fait avec Internet Explorer

TUTO scan en ligne Kaspersky: http://www.vista-xp.fr/forum/topic109.html

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

Poste les deux rapports stp

Modifié le 18 février 2009 par Thanos

[vincetdsi]

Salut,

 

voila déjà le rapport OTScanIT, le pc a planté deux fois pendant le scan kapersky.

 

[Win32 Services - Safe List]

Service SVC Module stopped successfully!

Service SVC Module deleted successfully!

File not found.

Service telecable stopped successfully!

Service telecable deleted successfully!

File not found.

Service Windows HWinfo Loader stopped successfully!

Service Windows HWinfo Loader deleted successfully!

File not found.

[Registry - Additional Scans - Safe List]

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\EnableFirewall not found.

[Empty Temp Folders]

File delete failed. C:\Documents and Settings\Vince\Local Settings\Temp\etilqs_4rv8YVp3mPr1DwPJkuSf scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_284.dat scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\ZLT06b0c.TMP scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\ZLT06b0f.TMP scheduled to be deleted on reboot.

Windows Temp folder emptied.

Java cache emptied.

File delete failed. C:\Documents and Settings\Vince\Local Settings\Application Data\Mozilla\Firefox\Profiles\53e2wd5f.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Vince\Local Settings\Application Data\Mozilla\Firefox\Profiles\53e2wd5f.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Vince\Local Settings\Application Data\Mozilla\Firefox\Profiles\53e2wd5f.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Vince\Local Settings\Application Data\Mozilla\Firefox\Profiles\53e2wd5f.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Vince\Local Settings\Application Data\Mozilla\Firefox\Profiles\53e2wd5f.default\urlclassifier3.sqlite scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Vince\Local Settings\Application Data\Mozilla\Firefox\Profiles\53e2wd5f.default\XUL.mfl scheduled to be deleted on reboot.

FireFox cache emptied.

RecycleBin -> emptied.

< End of fix log >

OTScanIt2 by OldTimer - Version 1.0.7.1 fix logfile created on 02192009_114806

 

Files moved on Reboot...

File C:\Documents and Settings\Vince\Local Settings\Temp\etilqs_4rv8YVp3mPr1DwPJkuSf not found!

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.

File C:\WINDOWS\temp\Perflib_Perfdata_284.dat not found!

File C:\WINDOWS\temp\ZLT06b0c.TMP not found!

File C:\WINDOWS\temp\ZLT06b0f.TMP not found!

C:\Documents and Settings\Vince\Local Settings\Application Data\Mozilla\Firefox\Profiles\53e2wd5f.default\Cache\_CACHE_001_ moved successfully.

C:\Documents and Settings\Vince\Local Settings\Application Data\Mozilla\Firefox\Profiles\53e2wd5f.default\Cache\_CACHE_002_ moved successfully.

C:\Documents and Settings\Vince\Local Settings\Application Data\Mozilla\Firefox\Profiles\53e2wd5f.default\Cache\_CACHE_003_ moved successfully.

C:\Documents and Settings\Vince\Local Settings\Application Data\Mozilla\Firefox\Profiles\53e2wd5f.default\Cache\_CACHE_MAP_ moved successfully.

C:\Documents and Settings\Vince\Local Settings\Application Data\Mozilla\Firefox\Profiles\53e2wd5f.default\urlclassifier3.sqlite moved successfully.

C:\Documents and Settings\Vince\Local Settings\Application Data\Mozilla\Firefox\Profiles\53e2wd5f.default\XUL.mfl moved successfully.

 

Registry entries deleted on Reboot...

[Thanos]

salut

 

Ok pour le rapport d'OtScanIt

le pc a planté deux fois pendant le scan kapersky.

Planté comment ? avec redémarrage ? un message d'erreur ? Est ce que tu as pu le relancer ?

[vincetdsi]

Ecran gelé, reset obligatoire.

 

Je suis en train de faire un scan antivir en mode sans échec, je te tiens au courant.

[vincetdsi]

Salut,

 

Le scan antivir en mode sans échec est négatif, j'ai finalement réussi a faire un scan en ligne kapersky et il n'a rien trouvé non plus.

[Thanos]

salut

 

On va faire un recherche supplémentaire >>

 

Télécharge gmer : http://www.gmer.net/gmer.zip

Déconnecte toi d'internet si possible et ferme tous les programmes.

Décompresse le fichier zip et double-clique sur gmer.exe

 

clique sur l'onglet "rootkit" et clique sur Scan

Lorsque le scan est terminé, clique sur "copy"

 

Ouvre le bloc-note et clique sur le Menu Edition / Coller

Le rapport doit alors apparaître.

Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

[vincetdsi]

salut,

 

le pc plante de plus en plus souvent, (écran gelé, obligé de faire un reset), quand je le laisse sans activité ou pendant un scan. Je suis obligé de rester dessus et de faire quelque chose.

 

voila le rapport gmer :

 

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2009-02-21 12:02:14

Windows 5.1.2600 Service Pack 3

 

 

---- System - GMER 1.0.14 ----

 

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwClose [0xB9F4D028]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0x9F346040]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0x9F342930]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0x9F34DA80]

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwCreatePagingFile [0xB9F40B00]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0x9F346510]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0x9F34C870]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0x9F34CAA0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0x9F34FFD0]

SSDT 9C4A02B4 ZwCreateThread

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0x9F346600]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0x9F342F20]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0x9F34E6E0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0x9F34E440]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0x9F34C580]

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateKey [0xB9F415DC]

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwEnumerateValueKey [0xB9F4D120]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0x9F34E8B0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0x9F342D70]

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwOpenKey [0xB9F4CFA4]

SSDT 9C4A02A0 ZwOpenProcess

SSDT 9C4A02A5 ZwOpenThread

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwQueryKey [0xB9F415FC]

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwQueryValueKey [0xB9F4D076]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0x9F34F250]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0x9F34ECB0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0x9F345C00]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0x9F34F080]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0x9F346220]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0x9F343120]

SSDT a347bus.sys (Plug and Play BIOS Extension/ ) ZwSetSystemPowerState [0xB9F4C550]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0x9F34E140]

SSDT 9C4A02AF ZwTerminateProcess

SSDT 9C4A02AA ZwWriteVirtualMemory

 

---- Kernel code sections - GMER 1.0.14 ----

 

.text ntkrnlpa.exe!ZwCallbackReturn + 2418 80501C50 16 Bytes [ 00, 0B, F4, B9, 10, 65, 34, ... ]

? srescan.sys Le fichier spécifié est introuvable. !

? C:\DOCUME~1\Vince\LOCALS~1\Temp\mc21.tmp Le fichier spécifié est introuvable. !

 

---- User code sections - GMER 1.0.14 ----

 

.text C:\Program Files\MSI\Core Center\CoreCenter.exe[2724] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes [ B5, 53, 7F, E2 ]

.text C:\WINDOWS\System32\wbem\wmiapsrv.exe[2744] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes [ B5, 53, 7F, E2 ]

.text C:\WINDOWS\System32\wbem\wmiprvse.exe[2788] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes [ B5, 53, 7F, E2 ]

.text C:\Program Files\iPod\bin\iPodService.exe[2856] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes [ B5, 53, 7F, E2 ]

.text C:\WINDOWS\system32\wuauclt.exe[3012] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes [ B5, 53, 7F, E2 ]

.text ...

 

---- Kernel IAT/EAT - GMER 1.0.14 ----

 

IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [9F34ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [9F34B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [9F34B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [9F34AE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [9F34AE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [9F34ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [9F34B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [9F34B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [9F34ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [9F34AE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [9F34B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [9F34B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [9F34B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [9F34B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [9F34ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [9F34AE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [9F34ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [9F34B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [9F34B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [9F34B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [9F34B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [9F34AE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [9F34ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [9F34ACA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [9F34AE10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [9F34B320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [9F34B1C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

 

---- Devices - GMER 1.0.14 ----

 

Device \FileSystem\Ntfs \Ntfs 89DF7A18

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\prodrv06 \Device\ProDrv06 E1B88008

Device \Driver\Cdrom \Device\CdRom0 896A6948

Device \FileSystem\Rdbss \Device\FsWrap 896FF030

Device \Driver\Cdrom \Device\CdRom1 896A6948

Device \Driver\prohlp02 \Device\ProHlp02 E100E008

Device \Driver\nvatabus \Device\00000083 896A6B08

Device \Driver\USBSTOR \Device\00000090 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device \Driver\USBSTOR \Device\00000091 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device \Driver\USBSTOR \Device\00000092 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device \Driver\nvatabus \Device\00000085 896A6B08

Device \Driver\USBSTOR \Device\00000093 sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device \FileSystem\Srv \Device\LanmanServer 89D06580

Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\nvatabus \Device\NvAta0 896A6B08

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8973BCC0

Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \Driver\nvatabus \Device\NvAta1 896A6B08

Device \FileSystem\MRxSmb \Device\LanmanRedirector 8973BCC0

Device \Driver\nvatabus \Device\NvAta2 896A6B08

Device \FileSystem\Npfs \Device\NamedPipe 896B7F90

Device \FileSystem\Msfs \Device\Mailslot 8954A380

Device \Driver\a347scsi \Device\Scsi\a347scsi1 895F4AA0

Device \Driver\a347scsi \Device\Scsi\a347scsi1Port0Path0Target0Lun0 895F4AA0

Device \Driver\USBSTOR \Device\0000008d sfsync03.sys (StarForce Protection Synchronization Driver/Protection Technology)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 89144670

Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 89144670

Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 89144670

Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 89144670

Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 89144670

Device \FileSystem\Cdfs \Cdfs 891546E0

 

---- Registry - GMER 1.0.14 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40

Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg41

Reg HKLM\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg41@ujdew 0x20 0x02 0x00 0x00 ...

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}@DisplayName Alcohol 120%

Reg HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6@ProductName Alcohol 120%

 

---- EOF - GMER 1.0.14 ----