[Résolu] Vista Antispyware 2012, rootkit ZAccess

[Eri]

Bonjour,

 

J'ai récemment eu la malchance d'accepter une notification récurrente que me demandait l'exécution d'un programme (honte à moi). Directement après apparut un scan "Vista Antispyware 2012", me détectant d'innombrables soi-disant virus que je devais faire enlever. Mais le problème principal, c'est que peu après mon PC s'est mis à tourner d'une façon étrange : le ventilateur faisait des à-coups et puis soudain il se mit à tourner à fond. J'ai donc immédiatement éteint l'ordinateur.

 

Après quelques recherches à partir de mon Netbook (qui n'est pas infecté), j'ai cru comprendre que c'était probablement un rootkit du nom de "zaccess" qui avait pris le contrôle de certains processus. J'ai lancé un scan avec MBAM (que j'ai réussi à installer malgré le fait que le virus m'empêchait de lancer des fichiers exécutables), qui m'a détecté plusieurs menaces que j'ai supprimées.

 

A partir de là, les fenêtres intempestives de scans ont disparu, mais le problème du ventilateur persiste. En effet, environ 10 minutes après le boot, l'UC approche les 100% et le ventilateur se met instantanément à tourner comme jamais, j'éteins donc le PC. Je suppose que mon PC peut être la cible d'un virus, utilisant ses capacités de calcul ou je ne sais quoi.

 

Je vous demande donc de l'aide pour m'aider à me débarrasser de ce problème.

A savoir que je tourne sur Vista 64 bits.

 

P.S.: Faudrait-il tenter une restauration du système à une date antérieure ?

 

 

EDIT: Pour ceux qui aurait le même problème (infection zeroacess sur 64 bits), je leur conseillerais de lire directement ce post.

[pear]

Bonjour,

 

1)Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

 

Cliquer surStart scan pour lancer l'analyse

Lorsque l'outil a terminé son travail d'inspection

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

 

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

 

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

2)

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[Eri]

Je viens de lancer le scan TDSSKiller mais il n'a trouvé que des objets suspects. J'ai fait le scan en mode sans échec, cela pose-t-il un problème?

 

Voici le log de TDSSKiller:

 

15:47:53.0035 1184 TDSS rootkit removing tool 2.7.8.0 Jan 30 2012 16:39:36

15:47:53.0082 1184 ============================================================

15:47:53.0082 1184 Current date / time: 2012/01/31 15:47:53.0082

15:47:53.0082 1184 SystemInfo:

15:47:53.0082 1184

15:47:53.0082 1184 OS Version: 6.0.6002 ServicePack: 2.0

15:47:53.0082 1184 Product type: Workstation

15:47:53.0082 1184 ComputerName: PC-DE-PAVEL

15:47:53.0082 1184 UserName: Pavel

15:47:53.0082 1184 Windows directory: C:\Windows

15:47:53.0082 1184 System windows directory: C:\Windows

15:47:53.0082 1184 Running under WOW64

15:47:53.0082 1184 Processor architecture: Intel x64

15:47:53.0082 1184 Number of processors: 4

15:47:53.0082 1184 Page size: 0x1000

15:47:53.0082 1184 Boot type: Safe boot with network

15:47:53.0082 1184 ============================================================

15:47:53.0800 1184 Drive \Device\Harddisk0\DR0 - Size: 0xE8E0DB6000 (931.51 Gb), SectorSize: 0x200, Cylinders: 0x1DB01, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040

15:47:53.0815 1184 Drive \Device\Harddisk1\DR1 - Size: 0x78800000 (1.88 Gb), SectorSize: 0x200, Cylinders: 0xF5, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'

15:47:53.0831 1184 \Device\Harddisk0\DR0:

15:47:53.0831 1184 MBR used

15:47:53.0831 1184 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x727A5182

15:47:53.0831 1184 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x727A51C1, BlocksNum 0x1F60800

15:47:53.0831 1184 \Device\Harddisk1\DR1:

15:47:53.0831 1184 MBR used

15:47:53.0924 1184 Initialize success

15:47:53.0924 1184 ============================================================

15:48:09.0384 1996 ============================================================

15:48:09.0384 1996 Scan started

15:48:09.0384 1996 Mode: Manual;

15:48:09.0384 1996 ============================================================

15:48:09.0790 1996 ACPI (1965aaffab07e3fb03c77f81beba3547) C:\Windows\system32\drivers\acpi.sys

15:48:09.0790 1996 ACPI - ok

15:48:09.0852 1996 adp94xx (f14215e37cf124104575073f782111d2) C:\Windows\system32\drivers\adp94xx.sys

15:48:09.0852 1996 adp94xx - ok

15:48:09.0930 1996 adpahci (7d05a75e3066861a6610f7ee04ff085c) C:\Windows\system32\drivers\adpahci.sys

15:48:09.0930 1996 adpahci - ok

15:48:09.0946 1996 adpu160m (820a201fe08a0c345b3bedbc30e1a77c) C:\Windows\system32\drivers\adpu160m.sys

15:48:09.0946 1996 adpu160m - ok

15:48:09.0946 1996 adpu320 (9b4ab6854559dc168fbb4c24fc52e794) C:\Windows\system32\drivers\adpu320.sys

15:48:09.0961 1996 adpu320 - ok

15:48:10.0055 1996 AFD (0cc146c4addea45791b18b1e2659f4a9) C:\Windows\system32\drivers\afd.sys

15:48:10.0055 1996 AFD - ok

15:48:10.0117 1996 agp440 (f6f6793b7f17b550ecfdbd3b229173f7) C:\Windows\system32\drivers\agp440.sys

15:48:10.0117 1996 agp440 - ok

15:48:10.0133 1996 aic78xx (222cb641b4b8a1d1126f8033f9fd6a00) C:\Windows\system32\drivers\djsvs.sys

15:48:10.0148 1996 aic78xx - ok

15:48:10.0164 1996 aliide (157d0898d4b73f075ce9fa26b482df98) C:\Windows\system32\drivers\aliide.sys

15:48:10.0180 1996 aliide - ok

15:48:10.0180 1996 amdide (970fa5059e61e30d25307b99903e991e) C:\Windows\system32\drivers\amdide.sys

15:48:10.0180 1996 amdide - ok

15:48:10.0226 1996 AmdK8 (cdc3632a3a5ea4dbb83e46076a3165a1) C:\Windows\system32\drivers\amdk8.sys

15:48:10.0226 1996 AmdK8 - ok

15:48:10.0289 1996 arc (ba8417d4765f3988ff921f30f630e303) C:\Windows\system32\drivers\arc.sys

15:48:10.0289 1996 arc - ok

15:48:10.0304 1996 arcsas (9d41c435619733b34cc16a511e644b11) C:\Windows\system32\drivers\arcsas.sys

15:48:10.0304 1996 arcsas - ok

15:48:10.0398 1996 aswFsBlk (ce6d8bcc4787704ea4feeb92b0d0caf8) C:\Windows\system32\drivers\aswFsBlk.sys

15:48:10.0398 1996 aswFsBlk - ok

15:48:10.0476 1996 aswMonFlt (0debeb2e3fbd0bf5343125cce617f105) C:\Windows\system32\drivers\aswMonFlt.sys

15:48:10.0476 1996 aswMonFlt - ok

15:48:10.0538 1996 aswRdr (952edc2e81f85d1781958d4128bf59f8) C:\Windows\system32\drivers\aswRdr.sys

15:48:10.0538 1996 aswRdr - ok

15:48:10.0632 1996 aswSnx (dd383e2ac941c545a85ab72503da6c12) C:\Windows\system32\drivers\aswSnx.sys

15:48:10.0648 1996 aswSnx - ok

15:48:10.0663 1996 aswSP (ef5403fb8b2dcb791ec365fdf6040a4a) C:\Windows\system32\drivers\aswSP.sys

15:48:10.0663 1996 aswSP - ok

15:48:10.0741 1996 aswTdi (34165da5c6b30c0f9d61246bf8a28040) C:\Windows\system32\drivers\aswTdi.sys

15:48:10.0741 1996 aswTdi - ok

15:48:10.0788 1996 AsyncMac (22d13ff3dafec2a80634752b1eaa2de6) C:\Windows\system32\DRIVERS\asyncmac.sys

15:48:10.0788 1996 AsyncMac - ok

15:48:10.0850 1996 atapi (1898fae8e07d97f2f6c2d5326c633fac) C:\Windows\system32\drivers\atapi.sys

15:48:10.0850 1996 atapi - ok

15:48:10.0960 1996 atksgt (fc0e8778c000291caf60eb88c011e931) C:\Windows\system32\DRIVERS\atksgt.sys

15:48:10.0960 1996 atksgt - ok

15:48:11.0053 1996 AVER_H193 (338ee4a51dd18d76b82508acd1fb3f1a) C:\Windows\system32\drivers\AVer888RC_64.sys

15:48:11.0053 1996 AVER_H193 - ok

15:48:11.0131 1996 blbdrive (79feeb40056683f8f61398d81dda65d2) C:\Windows\system32\drivers\blbdrive.sys

15:48:11.0131 1996 blbdrive - ok

15:48:11.0194 1996 bowser (2348447a80920b2493a9b582a23e81e1) C:\Windows\system32\DRIVERS\bowser.sys

15:48:11.0194 1996 bowser - ok

15:48:11.0225 1996 BrFiltLo (f09eee9edc320b5e1501f749fde686c8) C:\Windows\system32\drivers\brfiltlo.sys

15:48:11.0225 1996 BrFiltLo - ok

15:48:11.0256 1996 BrFiltUp (b114d3098e9bdb8bea8b053685831be6) C:\Windows\system32\drivers\brfiltup.sys

15:48:11.0256 1996 BrFiltUp - ok

15:48:11.0334 1996 Brserid (f0f0ba4d815be446aa6a4583ca3bca9b) C:\Windows\system32\drivers\brserid.sys

15:48:11.0334 1996 Brserid - ok

15:48:11.0350 1996 BrSerWdm (a6eca2151b08a09caceca35c07f05b42) C:\Windows\system32\drivers\brserwdm.sys

15:48:11.0350 1996 BrSerWdm - ok

15:48:11.0381 1996 BrUsbMdm (b79968002c277e869cf38bd22cd61524) C:\Windows\system32\drivers\brusbmdm.sys

15:48:11.0381 1996 BrUsbMdm - ok

15:48:11.0412 1996 BrUsbSer (a87528880231c54e75ea7a44943b38bf) C:\Windows\system32\drivers\brusbser.sys

15:48:11.0412 1996 BrUsbSer - ok

15:48:11.0443 1996 BTHMODEM (e0777b34e05f8a82a21856efc900c29f) C:\Windows\system32\drivers\bthmodem.sys

15:48:11.0443 1996 BTHMODEM - ok

15:48:11.0506 1996 cdfs (b4d787db8d30793a4d4df9feed18f136) C:\Windows\system32\DRIVERS\cdfs.sys

15:48:11.0506 1996 cdfs - ok

15:48:11.0568 1996 cdrom (c025aa69be3d0d25c7a2e746ef6f94fc) C:\Windows\system32\DRIVERS\cdrom.sys

15:48:11.0568 1996 cdrom - ok

15:48:11.0630 1996 circlass (02ea568d498bbdd4ba55bf3fce34d456) C:\Windows\system32\DRIVERS\circlass.sys

15:48:11.0630 1996 circlass - ok

15:48:11.0693 1996 CLFS (3dca9a18b204939cfb24bea53e31eb48) C:\Windows\system32\CLFS.sys

15:48:11.0708 1996 CLFS - ok

15:48:11.0755 1996 cmdide (e5d5499a1c50a54b5161296b6afe6192) C:\Windows\system32\drivers\cmdide.sys

15:48:11.0755 1996 cmdide - ok

15:48:11.0786 1996 Compbatt (7fb8ad01db0eabe60c8a861531a8f431) C:\Windows\system32\drivers\compbatt.sys

15:48:11.0786 1996 Compbatt - ok

15:48:11.0818 1996 crcdisk (a8585b6412253803ce8efcbd6d6dc15c) C:\Windows\system32\drivers\crcdisk.sys

15:48:11.0818 1996 crcdisk - ok

15:48:11.0911 1996 CXCIR (6cab60dbfca60fbd2f2718006a1008d0) C:\Windows\system32\DRIVERS\AVer888RCIR_64.sys

15:48:11.0911 1996 CXCIR - ok

15:48:11.0989 1996 DfsC (8b722ba35205c71e7951cdc4cdbade19) C:\Windows\system32\Drivers\dfsc.sys

15:48:11.0989 1996 DfsC - ok

15:48:12.0067 1996 disk (b0107e40ecdb5fa692ebf832f295d905) C:\Windows\system32\drivers\disk.sys

15:48:12.0067 1996 disk - ok

15:48:12.0145 1996 drmkaud (f1a78a98cfc2ee02144c6bec945447e6) C:\Windows\system32\drivers\drmkaud.sys

15:48:12.0145 1996 drmkaud - ok

15:48:12.0332 1996 dump_wmimmc - ok

15:48:12.0379 1996 DXGKrnl (b8e554e502d5123bc111f99d6a2181b4) C:\Windows\System32\drivers\dxgkrnl.sys

15:48:12.0379 1996 DXGKrnl - ok

15:48:12.0457 1996 E1G60 (264cee7b031a9d6c827f3d0cb031f2fe) C:\Windows\system32\DRIVERS\E1G6032E.sys

15:48:12.0457 1996 E1G60 - ok

15:48:12.0520 1996 Ecache (5f94962be5a62db6e447ff6470c4f48a) C:\Windows\system32\drivers\ecache.sys

15:48:12.0535 1996 Ecache - ok

15:48:12.0566 1996 elxstor (c4636d6e10469404ab5308d9fd45ed07) C:\Windows\system32\drivers\elxstor.sys

15:48:12.0566 1996 elxstor - ok

15:48:12.0613 1996 ErrDev (bc3a58e938bb277e46bf4b3003b01abd) C:\Windows\system32\drivers\errdev.sys

15:48:12.0613 1996 ErrDev - ok

15:48:12.0676 1996 exfat (486844f47b6636044a42454614ed4523) C:\Windows\system32\drivers\exfat.sys

15:48:12.0676 1996 exfat - ok

15:48:12.0707 1996 fastfat (1a4bee34277784619ddaf0422c0c6e23) C:\Windows\system32\drivers\fastfat.sys

15:48:12.0707 1996 fastfat - ok

15:48:12.0769 1996 fdc (81b79b6df71fa1d2c6d688d830616e39) C:\Windows\system32\DRIVERS\fdc.sys

15:48:12.0769 1996 fdc - ok

15:48:12.0800 1996 FileInfo (457b7d1d533e4bd62a99aed9c7bb4c59) C:\Windows\system32\drivers\fileinfo.sys

15:48:12.0800 1996 FileInfo - ok

15:48:12.0832 1996 Filetrace (d421327fd6efccaf884a54c58e1b0d7f) C:\Windows\system32\drivers\filetrace.sys

15:48:12.0832 1996 Filetrace - ok

15:48:12.0894 1996 flpydisk (230923ea2b80f79b0f88d90f87b87ebd) C:\Windows\system32\DRIVERS\flpydisk.sys

15:48:12.0894 1996 flpydisk - ok

15:48:12.0894 1996 FltMgr (e3041bc26d6930d61f42aedb79c91720) C:\Windows\system32\drivers\fltmgr.sys

15:48:12.0894 1996 FltMgr - ok

15:48:12.0956 1996 Fs_Rec (29d99e860a1ca0a03c6a733fdd0da703) C:\Windows\system32\drivers\Fs_Rec.sys

15:48:12.0956 1996 Fs_Rec - ok

15:48:12.0988 1996 gagp30kx (c8e416668d3dc2be3d4fe4c79224997f) C:\Windows\system32\drivers\gagp30kx.sys

15:48:13.0003 1996 gagp30kx - ok

15:48:13.0050 1996 GEARAspiWDM (e403aacf8c7bb11375122d2464560311) C:\Windows\system32\DRIVERS\GEARAspiWDM.sys

15:48:13.0050 1996 GEARAspiWDM - ok

15:48:13.0144 1996 HDAudBus (f942c5820205f2fb453243edfec82a3d) C:\Windows\system32\DRIVERS\HDAudBus.sys

15:48:13.0159 1996 HDAudBus - ok

15:48:13.0284 1996 HH9Help.sys (0457348421b377d172e893573d5cfe28) C:\Windows\system32\drivers\HH9Help.sys

15:48:13.0284 1996 HH9Help.sys - ok

15:48:13.0315 1996 HidBth (b4881c84a180e75b8c25dc1d726c375f) C:\Windows\system32\drivers\hidbth.sys

15:48:13.0315 1996 HidBth - ok

15:48:13.0346 1996 HidIr (5f47839455d01ff6403b008d481a6f5b) C:\Windows\system32\DRIVERS\hidir.sys

15:48:13.0346 1996 HidIr - ok

15:48:13.0424 1996 HidUsb (443bdd2d30bb4f00795c797e2cf99edf) C:\Windows\system32\DRIVERS\hidusb.sys

15:48:13.0424 1996 HidUsb - ok

15:48:13.0612 1996 HpCISSs (d7109a1e6bd2dfdbcba72a6bc626a13b) C:\Windows\system32\drivers\hpcisss.sys

15:48:13.0612 1996 HpCISSs - ok

15:48:13.0705 1996 HTTP (098f1e4e5c9cb5b0063a959063631610) C:\Windows\system32\drivers\HTTP.sys

15:48:13.0705 1996 HTTP - ok

15:48:13.0736 1996 i2omp (da94c854cea5fac549d4e1f6e88349e8) C:\Windows\system32\drivers\i2omp.sys

15:48:13.0736 1996 i2omp - ok

15:48:13.0814 1996 i8042prt (cbb597659a2713ce0c9cc20c88c7591f) C:\Windows\system32\DRIVERS\i8042prt.sys

15:48:13.0814 1996 i8042prt - ok

15:48:13.0970 1996 iaStor (e411b4d01de654cf1a4f8bca28fa5076) C:\Windows\system32\drivers\iastor.sys

15:48:13.0970 1996 iaStor - ok

15:48:14.0002 1996 iaStorV (3e3bf3627d886736d0b4e90054f929f6) C:\Windows\system32\drivers\iastorv.sys

15:48:14.0002 1996 iaStorV - ok

15:48:14.0126 1996 iirsp (8c3951ad2fe886ef76c7b5027c3125d3) C:\Windows\system32\drivers\iirsp.sys

15:48:14.0126 1996 iirsp - ok

15:48:14.0314 1996 IntcAzAudAddService (5f885046a7f420989c8366324fd2ef60) C:\Windows\system32\drivers\RTKVHD64.sys

15:48:14.0329 1996 IntcAzAudAddService - ok

15:48:14.0345 1996 intelide (df797a12176f11b2d301c5b234bb200e) C:\Windows\system32\drivers\intelide.sys

15:48:14.0345 1996 intelide - ok

15:48:14.0376 1996 intelppm (bfd84af32fa1bad6231c4585cb469630) C:\Windows\system32\DRIVERS\intelppm.sys

15:48:14.0376 1996 intelppm - ok

15:48:14.0485 1996 IpFilterDriver (d8aabc341311e4780d6fce8c73c0ad81) C:\Windows\system32\DRIVERS\ipfltdrv.sys

15:48:14.0501 1996 IpFilterDriver - ok

15:48:14.0501 1996 IpInIp - ok

15:48:14.0532 1996 IPMIDRV (9c2ee2e6e5a7203bfae15c299475ec67) C:\Windows\system32\drivers\ipmidrv.sys

15:48:14.0532 1996 IPMIDRV - ok

15:48:14.0579 1996 IPNAT (b7e6212f581ea5f6ab0c3a6ceeeb89be) C:\Windows\system32\DRIVERS\ipnat.sys

15:48:14.0579 1996 IPNAT - ok

15:48:14.0860 1996 IRENUM (8c42ca155343a2f11d29feca67faa88d) C:\Windows\system32\drivers\irenum.sys

15:48:14.0860 1996 IRENUM - ok

15:48:14.0953 1996 isapnp (0672bfcedc6fc468a2b0500d81437f4f) C:\Windows\system32\drivers\isapnp.sys

15:48:14.0953 1996 isapnp - ok

15:48:15.0094 1996 iScsiPrt (e4fdf99599f27ec25d2cf6d754243520) C:\Windows\system32\DRIVERS\msiscsi.sys

15:48:15.0094 1996 iScsiPrt - ok

15:48:15.0140 1996 iteatapi (63c766cdc609ff8206cb447a65abba4a) C:\Windows\system32\drivers\iteatapi.sys

15:48:15.0140 1996 iteatapi - ok

15:48:15.0218 1996 iteraid (1281fe73b17664631d12f643cbea3f59) C:\Windows\system32\drivers\iteraid.sys

15:48:15.0218 1996 iteraid - ok

15:48:15.0234 1996 kbdclass (423696f3ba6472dd17699209b933bc26) C:\Windows\system32\DRIVERS\kbdclass.sys

15:48:15.0234 1996 kbdclass - ok

15:48:15.0296 1996 kbdhid (dbdf75d51464fbc47d0104ec3d572c05) C:\Windows\system32\DRIVERS\kbdhid.sys

15:48:15.0296 1996 kbdhid - ok

15:48:15.0359 1996 KSecDD (476e2c1dcea45895994bef11c2a98715) C:\Windows\system32\Drivers\ksecdd.sys

15:48:15.0359 1996 KSecDD - ok

15:48:15.0437 1996 ksthunk (1d419cf43db29396ecd7113d129d94eb) C:\Windows\system32\drivers\ksthunk.sys

15:48:15.0437 1996 ksthunk - ok

15:48:15.0530 1996 lirsgt (156ab2e56dc3ca0b582e3362e07cded7) C:\Windows\system32\DRIVERS\lirsgt.sys

15:48:15.0530 1996 lirsgt - ok

15:48:15.0546 1996 lltdio (96ece2659b6654c10a0c310ae3a6d02c) C:\Windows\system32\DRIVERS\lltdio.sys

15:48:15.0546 1996 lltdio - ok

15:48:15.0577 1996 LSI_FC (acbe1af32d3123e330a07bfbc5ec4a9b) C:\Windows\system32\drivers\lsi_fc.sys

15:48:15.0577 1996 LSI_FC - ok

15:48:15.0608 1996 LSI_SAS (799ffb2fc4729fa46d2157c0065b3525) C:\Windows\system32\drivers\lsi_sas.sys

15:48:15.0608 1996 LSI_SAS - ok

15:48:15.0640 1996 LSI_SCSI (f445ff1daad8a226366bfaf42551226b) C:\Windows\system32\drivers\lsi_scsi.sys

15:48:15.0640 1996 LSI_SCSI - ok

15:48:15.0718 1996 luafv (52f87b9cc8932c2a7375c3b2a9be5e3e) C:\Windows\system32\drivers\luafv.sys

15:48:15.0718 1996 luafv - ok

15:48:15.0780 1996 megasas (5c5cd6aaced32fb26c3fb34b3dcf972f) C:\Windows\system32\drivers\megasas.sys

15:48:15.0780 1996 megasas - ok

15:48:15.0811 1996 MegaSR (859bc2436b076c77c159ed694acfe8f8) C:\Windows\system32\drivers\megasr.sys

15:48:15.0811 1996 MegaSR - ok

15:48:15.0842 1996 Modem (59848d5cc74606f0ee7557983bb73c2e) C:\Windows\system32\drivers\modem.sys

15:48:15.0842 1996 Modem - ok

15:48:15.0920 1996 monitor (c247cc2a57e0a0c8c6dccf7807b3e9e5) C:\Windows\system32\DRIVERS\monitor.sys

15:48:15.0920 1996 monitor - ok

15:48:15.0936 1996 mouclass (9367304e5e412b120cf5f4ea14e4e4f1) C:\Windows\system32\DRIVERS\mouclass.sys

15:48:15.0936 1996 mouclass - ok

15:48:15.0998 1996 mouhid (c2c2bd5c5ce5aaf786ddd74b75d2ac69) C:\Windows\system32\DRIVERS\mouhid.sys

15:48:15.0998 1996 mouhid - ok

15:48:16.0014 1996 MountMgr (11bc9b1e8801b01f7f6adb9ead30019b) C:\Windows\system32\drivers\mountmgr.sys

15:48:16.0014 1996 MountMgr - ok

15:48:16.0045 1996 mpio (f8276eb8698142884498a528dfea8478) C:\Windows\system32\drivers\mpio.sys

15:48:16.0045 1996 mpio - ok

15:48:16.0061 1996 mpsdrv (c92b9abdb65a5991e00c28f13491dba2) C:\Windows\system32\drivers\mpsdrv.sys

15:48:16.0061 1996 mpsdrv - ok

15:48:16.0076 1996 Mraid35x (3c200630a89ef2c0864d515b7a75802e) C:\Windows\system32\drivers\mraid35x.sys

15:48:16.0076 1996 Mraid35x - ok

15:48:16.0139 1996 MRxDAV (7c1de4aa96dc0c071611f9e7de02a68d) C:\Windows\system32\drivers\mrxdav.sys

15:48:16.0139 1996 MRxDAV - ok

15:48:16.0170 1996 mrxsmb (1485811b320ff8c7edad1caebb1c6c2b) C:\Windows\system32\DRIVERS\mrxsmb.sys

15:48:16.0170 1996 mrxsmb - ok

15:48:16.0248 1996 mrxsmb10 (3b929a60c833fc615fd97fba82bc7632) C:\Windows\system32\DRIVERS\mrxsmb10.sys

15:48:16.0248 1996 mrxsmb10 - ok

15:48:16.0248 1996 mrxsmb20 (c64ab3e1f53b4f5b5bb6d796b2d7bec3) C:\Windows\system32\DRIVERS\mrxsmb20.sys

15:48:16.0248 1996 mrxsmb20 - ok

15:48:16.0264 1996 msahci (1ac860612b85d8e85ee257d372e39f4d) C:\Windows\system32\drivers\msahci.sys

15:48:16.0279 1996 msahci - ok

15:48:16.0295 1996 msdsm (264bbb4aaf312a485f0e44b65a6b7202) C:\Windows\system32\drivers\msdsm.sys

15:48:16.0295 1996 msdsm - ok

15:48:16.0326 1996 Msfs (704f59bfc4512d2bb0146aec31b10a7c) C:\Windows\system32\drivers\Msfs.sys

15:48:16.0326 1996 Msfs - ok

15:48:16.0388 1996 msisadrv (00ebc952961664780d43dca157e79b27) C:\Windows\system32\drivers\msisadrv.sys

15:48:16.0388 1996 msisadrv - ok

15:48:16.0466 1996 MSKSSRV (0ea73e498f53b96d83dbfca074ad4cf8) C:\Windows\system32\drivers\MSKSSRV.sys

15:48:16.0466 1996 MSKSSRV - ok

15:48:16.0482 1996 MSPCLOCK (52e59b7e992a58e740aa63f57edbae8b) C:\Windows\system32\drivers\MSPCLOCK.sys

15:48:16.0482 1996 MSPCLOCK - ok

15:48:16.0498 1996 MSPQM (49084a75bae043ae02d5b44d02991bb2) C:\Windows\system32\drivers\MSPQM.sys

15:48:16.0498 1996 MSPQM - ok

15:48:16.0560 1996 MsRPC (dc6ccf440cdede4293db41c37a5060a5) C:\Windows\system32\drivers\MsRPC.sys

15:48:16.0560 1996 MsRPC - ok

15:48:16.0576 1996 mssmbios (855796e59df77ea93af46f20155bf55b) C:\Windows\system32\DRIVERS\mssmbios.sys

15:48:16.0576 1996 mssmbios - ok

15:48:16.0622 1996 MSTEE (86d632d75d05d5b7c7c043fa3564ae86) C:\Windows\system32\drivers\MSTEE.sys

15:48:16.0638 1996 MSTEE - ok

15:48:16.0654 1996 Mup (0cc49f78d8aca0877d885f149084e543) C:\Windows\system32\Drivers\mup.sys

15:48:16.0654 1996 Mup - ok

15:48:16.0732 1996 NativeWifiP (2007b826c4acd94ae32232b41f0842b9) C:\Windows\system32\DRIVERS\nwifi.sys

15:48:16.0747 1996 NativeWifiP - ok

15:48:16.0810 1996 NDIS (65950e07329fcee8e6516b17c8d0abb6) C:\Windows\system32\drivers\ndis.sys

15:48:16.0825 1996 NDIS - ok

15:48:16.0872 1996 NdisTapi (64df698a425478e321981431ac171334) C:\Windows\system32\DRIVERS\ndistapi.sys

15:48:16.0872 1996 NdisTapi - ok

15:48:16.0888 1996 Ndisuio (8baa43196d7b5bb972c9a6b2bbf61a19) C:\Windows\system32\DRIVERS\ndisuio.sys

15:48:16.0888 1996 Ndisuio - ok

15:48:16.0903 1996 NdisWan (f8158771905260982ce724076419ef19) C:\Windows\system32\DRIVERS\ndiswan.sys

15:48:16.0903 1996 NdisWan - ok

15:48:16.0919 1996 NDProxy (9cb77ed7cb72850253e973a2d6afdf49) C:\Windows\system32\drivers\NDProxy.sys

15:48:16.0919 1996 NDProxy - ok

15:48:16.0934 1996 NetBIOS (a499294f5029a7862adc115bda7371ce) C:\Windows\system32\DRIVERS\netbios.sys

15:48:16.0934 1996 NetBIOS - ok

15:48:16.0950 1996 netbt (fc2c792ebddc8e28df939d6a92c83d61) C:\Windows\system32\DRIVERS\netbt.sys

15:48:16.0950 1996 netbt - ok

15:48:17.0059 1996 netr28x (69993bf4a23bd6096d8de5d2cf3011db) C:\Windows\system32\DRIVERS\netr28x.sys

15:48:17.0075 1996 netr28x - ok

15:48:17.0090 1996 nfrd960 (4ac08bd6af2df42e0c3196d826c8aea7) C:\Windows\system32\drivers\nfrd960.sys

15:48:17.0090 1996 nfrd960 - ok

15:48:17.0200 1996 nmwcd (907b5e1e4a592e5edc5e4ccbde4863c2) C:\Windows\system32\drivers\ccdcmbx64.sys

15:48:17.0200 1996 nmwcd - ok

15:48:17.0215 1996 nmwcdc (41c1ac1f3613435eb32d67bcb80a5fa5) C:\Windows\system32\drivers\ccdcmbox64.sys

15:48:17.0215 1996 nmwcdc - ok

15:48:17.0293 1996 NPF (351533acc2a069b94e80bbfc177e8fdf) C:\Windows\system32\drivers\npf.sys

15:48:17.0293 1996 NPF - ok

15:48:17.0356 1996 Npfs (b298874f8e0ea93f06ec40aa8d146478) C:\Windows\system32\drivers\Npfs.sys

15:48:17.0356 1996 Npfs - ok

15:48:17.0418 1996 NPPTNT2 - ok

15:48:17.0480 1996 nsiproxy (1523af19ee8b030ba682f7a53537eaeb) C:\Windows\system32\drivers\nsiproxy.sys

15:48:17.0480 1996 nsiproxy - ok

15:48:17.0558 1996 Ntfs (bac869dfb98e499ba4d9bb1fb43270e1) C:\Windows\system32\drivers\Ntfs.sys

15:48:17.0574 1996 Ntfs - ok

15:48:17.0590 1996 Null (dd5d684975352b85b52e3fd5347c20cb) C:\Windows\system32\drivers\Null.sys

15:48:17.0590 1996 Null - ok

15:48:17.0824 1996 nvlddmkm (e280aa1750074dade61c93bb60e7f6b6) C:\Windows\system32\DRIVERS\nvlddmkm.sys

15:48:17.0980 1996 nvlddmkm - ok

15:48:17.0995 1996 nvraid (2c040b7ada5b06f6facadac8514aa034) C:\Windows\system32\drivers\nvraid.sys

15:48:18.0011 1996 nvraid - ok

15:48:18.0026 1996 nvstor (f7ea0fe82842d05eda3efdd376dbfdba) C:\Windows\system32\drivers\nvstor.sys

15:48:18.0026 1996 nvstor - ok

15:48:18.0042 1996 nv_agp (19067ca93075ef4823e3938a686f532f) C:\Windows\system32\drivers\nv_agp.sys

15:48:18.0058 1996 nv_agp - ok

15:48:18.0058 1996 NwlnkFlt - ok

15:48:18.0058 1996 NwlnkFwd - ok

15:48:18.0151 1996 ohci1394 (b5b1ce65ac15bbd11c0619e3ef7cfc28) C:\Windows\system32\DRIVERS\ohci1394.sys

15:48:18.0151 1996 ohci1394 - ok

15:48:18.0260 1996 Parport (aecd57f94c887f58919f307c35498ea0) C:\Windows\system32\drivers\parport.sys

15:48:18.0260 1996 Parport - ok

15:48:18.0323 1996 partmgr (f9b5eda4c17a2be7663f064dbf0fe254) C:\Windows\system32\drivers\partmgr.sys

15:48:18.0323 1996 partmgr - ok

15:48:18.0416 1996 pccsmcfd (bc0018c2d29f655188a0ed3fa94fdb24) C:\Windows\system32\DRIVERS\pccsmcfdx64.sys

15:48:18.0416 1996 pccsmcfd - ok

15:48:18.0463 1996 pci (47ab1e0fc9d0e12bb53ba246e3a0906d) C:\Windows\system32\drivers\pci.sys

15:48:18.0463 1996 pci - ok

15:48:18.0510 1996 pciide (8d618c829034479985a9ed56106cc732) C:\Windows\system32\drivers\pciide.sys

15:48:18.0510 1996 pciide - ok

15:48:18.0541 1996 pcmcia (037661f3d7c507c9993b7010ceee6288) C:\Windows\system32\drivers\pcmcia.sys

15:48:18.0541 1996 pcmcia - ok

15:48:18.0572 1996 PEAUTH (58865916f53592a61549b04941bfd80d) C:\Windows\system32\drivers\peauth.sys

15:48:18.0588 1996 PEAUTH - ok

15:48:18.0666 1996 PptpMiniport (23386e9952025f5f21c368971e2e7301) C:\Windows\system32\DRIVERS\raspptp.sys

15:48:18.0666 1996 PptpMiniport - ok

15:48:18.0682 1996 Processor (5080e59ecee0bc923f14018803aa7a01) C:\Windows\system32\drivers\processr.sys

15:48:18.0682 1996 Processor - ok

15:48:18.0775 1996 PSched (c5ab7f0809392d0da027f4a2a81bfa31) C:\Windows\system32\DRIVERS\pacer.sys

15:48:18.0775 1996 PSched - ok

15:48:18.0822 1996 ql2300 (0b83f4e681062f3839be2ec1d98fd94a) C:\Windows\system32\drivers\ql2300.sys

15:48:18.0822 1996 ql2300 - ok

15:48:18.0853 1996 ql40xx (e1c80f8d4d1e39ef9595809c1369bf2a) C:\Windows\system32\drivers\ql40xx.sys

15:48:18.0853 1996 ql40xx - ok

15:48:18.0869 1996 QWAVEdrv (e8d76edab77ec9c634c27b8eac33adc5) C:\Windows\system32\drivers\qwavedrv.sys

15:48:18.0869 1996 QWAVEdrv - ok

15:48:18.0884 1996 RasAcd (1013b3b663a56d3ddd784f581c1bd005) C:\Windows\system32\DRIVERS\rasacd.sys

15:48:18.0884 1996 RasAcd - ok

15:48:18.0900 1996 Rasl2tp (ac7bc4d42a7e558718dfdec599bbfc2c) C:\Windows\system32\DRIVERS\rasl2tp.sys

15:48:18.0916 1996 Rasl2tp - ok

15:48:18.0931 1996 RasPppoe (4517fbf8b42524afe4ede1de102aae3e) C:\Windows\system32\DRIVERS\raspppoe.sys

15:48:18.0931 1996 RasPppoe - ok

15:48:18.0994 1996 RasSstp (c6a593b51f34c33e5474539544072527) C:\Windows\system32\DRIVERS\rassstp.sys

15:48:18.0994 1996 RasSstp - ok

15:48:19.0009 1996 rdbss (322db5c6b55e8d8ee8d6f358b2aaabb1) C:\Windows\system32\DRIVERS\rdbss.sys

15:48:19.0009 1996 rdbss - ok

15:48:19.0025 1996 RDPCDD (603900cc05f6be65ccbf373800af3716) C:\Windows\system32\DRIVERS\RDPCDD.sys

15:48:19.0025 1996 RDPCDD - ok

15:48:19.0040 1996 rdpdr (c045d1fb111c28df0d1be8d4bda22c06) C:\Windows\system32\drivers\rdpdr.sys

15:48:19.0056 1996 rdpdr - ok

15:48:19.0056 1996 RDPENCDD (cab9421daf3d97b33d0d055858e2c3ab) C:\Windows\system32\drivers\rdpencdd.sys

15:48:19.0056 1996 RDPENCDD - ok

15:48:19.0118 1996 RDPWD (b1d741c87cea8d7282146366cc9c3f81) C:\Windows\system32\drivers\RDPWD.sys

15:48:19.0118 1996 RDPWD - ok

15:48:19.0196 1996 rspndr (22a9cb08b1a6707c1550c6bf099aae73) C:\Windows\system32\DRIVERS\rspndr.sys

15:48:19.0196 1996 rspndr - ok

15:48:19.0259 1996 RTL8169 (8b91737da75add21cb1554b38089196a) C:\Windows\system32\DRIVERS\Rtlh64.sys

15:48:19.0259 1996 RTL8169 - ok

15:48:19.0290 1996 sbp2port (cd9c693589c60ad59bbbcfb0e524e01b) C:\Windows\system32\drivers\sbp2port.sys

15:48:19.0290 1996 sbp2port - ok

15:48:19.0321 1996 Serenum (f71bfe7ac6c52273b7c82cbf1bb2a222) C:\Windows\system32\drivers\serenum.sys

15:48:19.0321 1996 Serenum - ok

15:48:19.0352 1996 Serial (e62fac91ee288db29a9696a9d279929c) C:\Windows\system32\drivers\serial.sys

15:48:19.0368 1996 Serial - ok

15:48:19.0384 1996 sermouse (a842f04833684bceea7336211be478df) C:\Windows\system32\drivers\sermouse.sys

15:48:19.0384 1996 sermouse - ok

15:48:19.0477 1996 sffdisk (14d4b4465193a87c127933978e8c4106) C:\Windows\system32\drivers\sffdisk.sys

15:48:19.0477 1996 sffdisk - ok

15:48:19.0508 1996 sffp_mmc (7073aee3f82f3d598e3825962aa98ab2) C:\Windows\system32\drivers\sffp_mmc.sys

15:48:19.0508 1996 sffp_mmc - ok

15:48:19.0524 1996 sffp_sd (35e59ebe4a01a0532ed67975161c7b82) C:\Windows\system32\drivers\sffp_sd.sys

15:48:19.0524 1996 sffp_sd - ok

15:48:19.0540 1996 sfloppy (6b7838c94135768bd455cbdc23e39e5f) C:\Windows\system32\drivers\sfloppy.sys

15:48:19.0540 1996 sfloppy - ok

15:48:19.0555 1996 SiSRaid2 (7a5de502aeb719d4594c6471060a78b3) C:\Windows\system32\drivers\sisraid2.sys

15:48:19.0555 1996 SiSRaid2 - ok

15:48:19.0571 1996 SiSRaid4 (3a2f769fab9582bc720e11ea1dfb184d) C:\Windows\system32\drivers\sisraid4.sys

15:48:19.0571 1996 SiSRaid4 - ok

15:48:19.0633 1996 Smb (290b6f6a0ec4fcdfc90f5cb6d7020473) C:\Windows\system32\DRIVERS\smb.sys

15:48:19.0633 1996 Smb - ok

15:48:19.0696 1996 spldr (386c3c63f00a7040c7ec5e384217e89d) C:\Windows\system32\drivers\spldr.sys

15:48:19.0696 1996 spldr - ok

15:48:19.0789 1996 sptd (88e5162e58c8919cc873f5d8946197cf) C:\Windows\system32\Drivers\sptd.sys

15:48:19.0789 1996 Suspicious file (NoAccess): C:\Windows\system32\Drivers\sptd.sys. md5: 88e5162e58c8919cc873f5d8946197cf

15:48:19.0805 1996 sptd ( LockedFile.Multi.Generic ) - warning

15:48:19.0805 1996 sptd - detected LockedFile.Multi.Generic (1)

15:48:19.0836 1996 srv (880a57fccb571ebd063d4dd50e93e46d) C:\Windows\system32\DRIVERS\srv.sys

15:48:19.0836 1996 srv - ok

15:48:19.0867 1996 srv2 (a1ad14a6d7a37891fffeca35ebbb0730) C:\Windows\system32\DRIVERS\srv2.sys

15:48:19.0867 1996 srv2 - ok

15:48:19.0898 1996 srvnet (4bed62f4fa4d8300973f1151f4c4d8a7) C:\Windows\system32\DRIVERS\srvnet.sys

15:48:19.0898 1996 srvnet - ok

15:48:19.0976 1996 swenum (8a851ca908b8b974f89c50d2e18d4f0c) C:\Windows\system32\DRIVERS\swenum.sys

15:48:19.0976 1996 swenum - ok

15:48:20.0008 1996 Symc8xx (2f26a2c6fc96b29beff5d8ed74e6625b) C:\Windows\system32\drivers\symc8xx.sys

15:48:20.0008 1996 Symc8xx - ok

15:48:20.0039 1996 Sym_hi (a909667976d3bccd1df813fed517d837) C:\Windows\system32\drivers\sym_hi.sys

15:48:20.0054 1996 Sym_hi - ok

15:48:20.0070 1996 Sym_u3 (36887b56ec2d98b9c362f6ae4de5b7b0) C:\Windows\system32\drivers\sym_u3.sys

15:48:20.0070 1996 Sym_u3 - ok

15:48:20.0148 1996 Tcpip (2cc45d932bd193cd4117321d469ad6b2) C:\Windows\system32\drivers\tcpip.sys

15:48:20.0164 1996 Tcpip - ok

15:48:20.0210 1996 Tcpip6 (2cc45d932bd193cd4117321d469ad6b2) C:\Windows\system32\DRIVERS\tcpip.sys

15:48:20.0210 1996 Tcpip6 - ok

15:48:20.0273 1996 tcpipreg (c7e72a4071ee0200e3c075dacfb2b334) C:\Windows\system32\drivers\tcpipreg.sys

15:48:20.0273 1996 tcpipreg - ok

15:48:20.0304 1996 TDPIPE (1d8bf4aaa5fb7a2761475781dc1195bc) C:\Windows\system32\drivers\tdpipe.sys

15:48:20.0304 1996 TDPIPE - ok

15:48:20.0320 1996 TDTCP (7f7e00cdf609df657f4cda02dd1c9bb1) C:\Windows\system32\drivers\tdtcp.sys

15:48:20.0320 1996 TDTCP - ok

15:48:20.0382 1996 tdx (458919c8c42e398dc4802178d5ffee27) C:\Windows\system32\DRIVERS\tdx.sys

15:48:20.0382 1996 tdx - ok

15:48:20.0429 1996 TermDD (8c19678d22649ec002ef2282eae92f98) C:\Windows\system32\DRIVERS\termdd.sys

15:48:20.0429 1996 TermDD - ok

15:48:20.0476 1996 tssecsrv (9e5409cd17c8bef193aad498f3bc2cb8) C:\Windows\system32\DRIVERS\tssecsrv.sys

15:48:20.0476 1996 tssecsrv - ok

15:48:20.0507 1996 tunmp (89ec74a9e602d16a75a4170511029b3c) C:\Windows\system32\DRIVERS\tunmp.sys

15:48:20.0507 1996 tunmp - ok

15:48:20.0554 1996 tunnel (30a9b3f45ad081bffc3bcaa9c812b609) C:\Windows\system32\DRIVERS\tunnel.sys

15:48:20.0554 1996 tunnel - ok

15:48:20.0585 1996 uagp35 (fec266ef401966311744bd0f359f7f56) C:\Windows\system32\drivers\uagp35.sys

15:48:20.0585 1996 uagp35 - ok

15:48:20.0632 1996 udfs (faf2640a2a76ed03d449e443194c4c34) C:\Windows\system32\DRIVERS\udfs.sys

15:48:20.0632 1996 udfs - ok

15:48:20.0663 1996 uliagpkx (4ec9447ac3ab462647f60e547208ca00) C:\Windows\system32\drivers\uliagpkx.sys

15:48:20.0663 1996 uliagpkx - ok

15:48:20.0694 1996 uliahci (697f0446134cdc8f99e69306184fbbb4) C:\Windows\system32\drivers\uliahci.sys

15:48:20.0694 1996 uliahci - ok

15:48:20.0741 1996 UlSata (31707f09846056651ea2c37858f5ddb0) C:\Windows\system32\drivers\ulsata.sys

15:48:20.0741 1996 UlSata - ok

15:48:20.0741 1996 ulsata2 (85e5e43ed5b48c8376281bab519271b7) C:\Windows\system32\drivers\ulsata2.sys

15:48:20.0741 1996 ulsata2 - ok

15:48:20.0772 1996 umbus (46e9a994c4fed537dd951f60b86ad3f4) C:\Windows\system32\DRIVERS\umbus.sys

15:48:20.0788 1996 umbus - ok

15:48:20.0866 1996 upperdev (4e93c8496359e97830c75ac36393654d) C:\Windows\system32\DRIVERS\usbser_lowerfltx64.sys

15:48:20.0866 1996 upperdev - ok

15:48:20.0959 1996 USBAAPL64 (5cf1ead086176dd3348e920a40bed03d) C:\Windows\system32\Drivers\usbaapl64.sys

15:48:20.0959 1996 USBAAPL64 - ok

15:48:21.0006 1996 usbaudio (c6ba890de6e41857fbe84175519cae7d) C:\Windows\system32\drivers\usbaudio.sys

15:48:21.0006 1996 usbaudio - ok

15:48:21.0068 1996 usbccgp (07e3498fc60834219d2356293da0fecc) C:\Windows\system32\DRIVERS\usbccgp.sys

15:48:21.0068 1996 usbccgp - ok

15:48:21.0100 1996 usbcir (9247f7e0b65852c1f6631480984d6ed2) C:\Windows\system32\drivers\usbcir.sys

15:48:21.0100 1996 usbcir - ok

15:48:21.0146 1996 usbehci (827e44de934a736ea31e91d353eb126f) C:\Windows\system32\DRIVERS\usbehci.sys

15:48:21.0146 1996 usbehci - ok

15:48:21.0162 1996 usbhub (bb35cd80a2ececfadc73569b3d70c7d1) C:\Windows\system32\DRIVERS\usbhub.sys

15:48:21.0162 1996 usbhub - ok

15:48:21.0193 1996 usbohci (eba14ef0c07cec233f1529c698d0d154) C:\Windows\system32\drivers\usbohci.sys

15:48:21.0193 1996 usbohci - ok

15:48:21.0209 1996 usbprint (acfee697af477021bb3ec78c5431fed2) C:\Windows\system32\drivers\usbprint.sys

15:48:21.0209 1996 usbprint - ok

15:48:21.0271 1996 usbser (f7386007fb19e7685fc7b298560aa81f) C:\Windows\system32\DRIVERS\usbser.sys

15:48:21.0271 1996 usbser - ok

15:48:21.0334 1996 UsbserFilt (8844cb19a37b65e27049d4a7786726a9) C:\Windows\system32\DRIVERS\usbser_lowerfltjx64.sys

15:48:21.0334 1996 UsbserFilt - ok

15:48:21.0349 1996 USBSTOR (b854c1558fca0c269a38663e8b59b581) C:\Windows\system32\DRIVERS\USBSTOR.SYS

15:48:21.0349 1996 USBSTOR - ok

15:48:21.0365 1996 usbuhci (b2872cbf9f47316abd0e0c74a1aba507) C:\Windows\system32\DRIVERS\usbuhci.sys

15:48:21.0365 1996 usbuhci - ok

15:48:21.0474 1996 vcd10bus (f0faf3fb9b138f8cafb65ecffe9f4ab6) C:\Windows\system32\DRIVERS\vcd10bus.sys

15:48:21.0474 1996 vcd10bus - ok

15:48:21.0505 1996 vcd9bus (53606539de7e6225211f576a6ebfba39) C:\Windows\system32\DRIVERS\vcd9bus.sys

15:48:21.0521 1996 vcd9bus - ok

15:48:21.0521 1996 Suspicious service (NoAccess): vdrv9000

15:48:21.0521 1996 vdrv9000 (d19c241f7111bd3ac085f64155d2b9fb) C:\Windows\system32\DRIVERS\vdrv9000.sys

15:48:21.0521 1996 vdrv9000 ( LockedService.Multi.Generic ) - warning

15:48:21.0521 1996 vdrv9000 - detected LockedService.Multi.Generic (1)

15:48:21.0568 1996 vga (916b94bcf1e09873fff2d5fb11767bbc) C:\Windows\system32\DRIVERS\vgapnp.sys

15:48:21.0568 1996 vga - ok

15:48:21.0614 1996 VgaSave (b83ab16b51feda65dd81b8c59d114d63) C:\Windows\System32\drivers\vga.sys

15:48:21.0614 1996 VgaSave - ok

15:48:21.0630 1996 viaide (8294b6c3fdb6c33f24e150de647ecdaa) C:\Windows\system32\drivers\viaide.sys

15:48:21.0630 1996 viaide - ok

15:48:21.0677 1996 volmgr (2b7e885ed951519a12c450d24535dfca) C:\Windows\system32\drivers\volmgr.sys

15:48:21.0692 1996 volmgr - ok

15:48:21.0755 1996 volmgrx (cec5ac15277d75d9e5dec2e1c6eaf877) C:\Windows\system32\drivers\volmgrx.sys

15:48:21.0755 1996 volmgrx - ok

15:48:21.0786 1996 volsnap (5280aada24ab36b01a84a6424c475c8d) C:\Windows\system32\drivers\volsnap.sys

15:48:21.0786 1996 volsnap - ok

15:48:21.0833 1996 vsmraid (a68f455ed2673835209318dd61bfbb0e) C:\Windows\system32\drivers\vsmraid.sys

15:48:21.0833 1996 vsmraid - ok

15:48:21.0864 1996 WacomPen (fef8fe5923fead2cee4dfabfce3393a7) C:\Windows\system32\drivers\wacompen.sys

15:48:21.0864 1996 WacomPen - ok

15:48:21.0911 1996 Wanarp (b8e7049622300d20ba6d8be0c47c0cfd) C:\Windows\system32\DRIVERS\wanarp.sys

15:48:21.0911 1996 Wanarp - ok

15:48:21.0942 1996 Wanarpv6 (b8e7049622300d20ba6d8be0c47c0cfd) C:\Windows\system32\DRIVERS\wanarp.sys

15:48:21.0958 1996 Wanarpv6 - ok

15:48:21.0958 1996 Wd (0c17a0816f65b89e362e682ad5e7266e) C:\Windows\system32\drivers\wd.sys

15:48:21.0958 1996 Wd - ok

15:48:22.0036 1996 Wdf01000 (441bd2d7b4f98134c3a4f9fa570fd250) C:\Windows\system32\drivers\Wdf01000.sys

15:48:22.0067 1996 Wdf01000 - ok

15:48:22.0098 1996 WmiAcpi (e18aebaaa5a773fe11aa2c70f65320f5) C:\Windows\system32\drivers\wmiacpi.sys

15:48:22.0098 1996 WmiAcpi - ok

15:48:22.0160 1996 WpdUsb (5e2401b3fc1089c90e081291357371a9) C:\Windows\system32\DRIVERS\wpdusb.sys

15:48:22.0160 1996 WpdUsb - ok

15:48:22.0176 1996 ws2ifsl (8a900348370e359b6bff6a550e4649e1) C:\Windows\system32\drivers\ws2ifsl.sys

15:48:22.0176 1996 ws2ifsl - ok

15:48:22.0254 1996 WUDFRd (501a65252617b495c0f1832f908d54d8) C:\Windows\system32\DRIVERS\WUDFRd.sys

15:48:22.0254 1996 WUDFRd - ok

15:48:22.0332 1996 ZCinema_TSHD_x64 (7bb341f8b7cabbb37638e6d351b489c4) C:\Windows\system32\drivers\ZCinema_SRS_amd64.sys

15:48:22.0332 1996 ZCinema_TSHD_x64 - ok

15:48:22.0394 1996 {55662437-DA8C-40c0-AADA-2C816A897A49} (15cc7077d2dc28776cd430ecabbffd66) c:\Program Files (x86)\Hewlett-Packard\Media\DVD\000.fcl

15:48:22.0394 1996 {55662437-DA8C-40c0-AADA-2C816A897A49} - ok

15:48:22.0410 1996 MBR (0x1B8) (03ba8f890b47c0be359a4d5a636d214d) \Device\Harddisk0\DR0

15:48:22.0644 1996 \Device\Harddisk0\DR0 - ok

15:48:22.0644 1996 MBR (0x1B8) (aa44d60ed03a228e58eb2fa9ae60009b) \Device\Harddisk1\DR1

15:48:22.0675 1996 \Device\Harddisk1\DR1 - ok

15:48:22.0675 1996 Boot (0x1200) (36460826b68499b4730d769f46cef18f) \Device\Harddisk0\DR0\Partition0

15:48:22.0675 1996 \Device\Harddisk0\DR0\Partition0 - ok

15:48:22.0675 1996 Boot (0x1200) (135a40a68b7cc93c002b54996e9a8fa5) \Device\Harddisk0\DR0\Partition1

15:48:22.0675 1996 \Device\Harddisk0\DR0\Partition1 - ok

15:48:22.0675 1996 ============================================================

15:48:22.0675 1996 Scan finished

15:48:22.0675 1996 ============================================================

15:48:22.0691 1508 Detected object count: 2

15:48:22.0691 1508 Actual detected object count: 2

15:52:28.0172 1508 sptd ( LockedFile.Multi.Generic ) - skipped by user

15:52:28.0172 1508 sptd ( LockedFile.Multi.Generic ) - User select action: Skip

15:52:28.0172 1508 vdrv9000 ( LockedService.Multi.Generic ) - skipped by user

15:52:28.0172 1508 vdrv9000 ( LockedService.Multi.Generic ) - User select action: Skip

Modifié le 31 janvier 2012 par Eri

[Eri]

Voici le rapport de combofix, effectué en mode sans échec aussi.

 

 

 

ComboFix 12-01-30.02 - Pavel 31.01.2012 16:25:29.1.4 - x64 NETWORK

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.41.1036.18.4094.3221 [GMT 1:00]

Lancé depuis: c:\users\Pavel\Desktop\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\programdata\0E5ED27D-596D-9FCD-AC53-6AE579AD67EB.avi

c:\programdata\0E5ED27D-596D-9FCD-AC53-6AE579AD67EB.ico

c:\programdata\Microsoft\Windows\Start Menu\Programs\Security Defender

c:\programdata\Microsoft\Windows\Start Menu\Programs\Security Defender\Security Defender.lnk

c:\users\Pavel\jaudioMp3Win.tar

c:\users\Pavel\mp3buf.tmp

c:\windows\System32\config\systemprofile\AppData\Local\App\dwhbyj.dll

c:\windows\System64

c:\windows\SysWow64\0E5ED27D-596D-9FCD-AC53-6AE579AD67EB.avi

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-12-28 au 2012-01-31 ))))))))))))))))))))))))))))))))))))

.

.

2074-05-18 16:44 . 2008-03-21 13:46 607296 ----a-w- c:\program files (x86)\Microsoft Games\Age of Empires III\deformerdllyD.dll

2012-01-31 15:41 . 2012-01-31 15:41 -------- d-----we c:\windows\system64

2012-01-14 13:40 . 2012-01-14 13:40 -------- d-----w- c:\users\Pavel\AppData\Roaming\Malwarebytes

2012-01-14 13:40 . 2012-01-14 13:40 -------- d-----w- c:\programdata\Malwarebytes

2012-01-14 13:40 . 2012-01-14 13:40 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware

2012-01-14 13:40 . 2011-12-10 14:24 23152 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-01-14 13:06 . 2012-01-14 13:32 -------- d-----w- c:\program files (x86)\GridinSoft Trojan Killer

2012-01-14 11:52 . 2012-01-14 11:52 -------- d-----w- c:\users\Pavel\AppData\Local\SanctionedMedia

2012-01-08 12:52 . 2012-01-08 12:52 -------- d-----w- c:\users\Pavel\AppData\Local\DOSBox

2012-01-08 12:51 . 2012-01-08 12:51 -------- d-----w- c:\program files (x86)\DOSBox-0.74

2012-01-02 17:43 . 2012-01-02 17:43 -------- d-----w- c:\program files (x86)\GanttProject

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-12-11 17:55 . 2011-12-11 17:55 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2011-11-28 18:01 . 2011-02-12 17:22 41184 ----a-w- c:\windows\avastSS.scr

2011-11-28 18:01 . 2010-04-17 19:02 199816 ----a-w- c:\windows\SysWow64\aswBoot.exe

2011-11-28 18:01 . 2011-02-12 17:22 256960 ----a-w- c:\windows\system32\aswBoot.exe

2011-11-28 17:54 . 2011-12-08 14:17 591192 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2011-11-28 17:53 . 2010-04-17 19:03 304472 ----a-w- c:\windows\system32\drivers\aswSP.sys

2011-11-28 17:52 . 2010-04-17 19:03 42328 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2011-11-28 17:52 . 2010-04-17 19:03 58712 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2011-11-28 17:52 . 2010-04-17 19:03 66904 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys

2011-11-28 17:51 . 2010-04-17 19:03 24408 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2011-11-23 13:57 . 2011-12-15 06:57 2764800 ----a-w- c:\windows\system32\win32k.sys

2011-11-08 14:58 . 2011-12-15 06:57 2048 ----a-w- c:\windows\system32\tzres.dll

2011-11-08 14:42 . 2011-12-15 06:57 2048 ----a-w- c:\windows\SysWow64\tzres.dll

2011-11-04 15:20 . 2011-12-15 06:56 1383424 ----a-w- c:\windows\system32\mshtml.tlb

2011-11-04 14:54 . 2011-12-15 06:56 1383424 ----a-w- c:\windows\SysWow64\mshtml.tlb

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1555968]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 138240]

"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

"Steam"="c:\games\Steam\Steam.exe" [2011-08-10 1242448]

"Gadwin PrintScreen"="c:\program files (x86)\Gadwin Systems\PrintScreen\PrintScreen.exe" [2008-12-09 495616]

"NokiaSuite.exe"="c:\program files (x86)\Nokia\Nokia Suite\NokiaSuite.exe" [2011-11-01 1053056]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]

"KBD"="c:\program files (x86)\Hewlett-Packard\KBD\KbdStub.EXE" [2008-07-21 12288]

"OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD64.exe" [2007-02-15 119296]

"HP Health Check Scheduler"="c:\program files (x86)\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-10-09 75008]

"UpdateP2GoShortCut"="c:\program files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]

"UpdatePDIRShortCut"="c:\program files (x86)\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]

"UpdatePSTShortCut"="c:\program files (x86)\CyberLink\CyberLink DVD Suite Deluxe\MUITransfer\MUIStartMenu.exe" [2008-09-11 210216]

"TSMAgent"="c:\program files (x86)\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-10-17 1152296]

"CLMLServer for HP TouchSmart"="c:\program files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-10-17 189736]

"DVDAgent"="c:\program files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-09-26 1148200]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"TkBellExe"="c:\program files (x86)\Common Files\Real\Update_OB\realsched.exe" [2009-10-16 198160]

"VC9Player"="c:\program files (x86)\Virtual CD v9\System\VC9Play.exe" [2008-11-06 202056]

"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-03-17 421888]

"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2010-04-28 142120]

"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2010-06-03 1144104]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"dwhbyj"="c:\windows\System32\config\systemprofile\AppData\Local\App\dwhbyj.dll" [2012-01-14 32768]

"0E5ED27D-596D-9FCD-AC53-6AE579AD67EB"="c:\windows\system32\rundll32.exe" [2006-11-02 44544]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

0E5ED27D-596D-9FCD-AC53-6AE579AD67EB.lnk - c:\windows\System32\rundll32.exe [2006-11-2 46592]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rugoima]

2012-01-14 13:41 11264 ----a-w- c:\windows\System32\config\systemprofile\AppData\Local\rugoima.dll

.

--- Autres Services/Pilotes en mémoire ---

.

*NewlyCreated* - WS2IFSL

.

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

ezSharedSvc

.

Contenu du dossier 'Tâches planifiées'

.

2012-01-14 c:\windows\Tasks\Google Software Updater.job

- c:\program files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-14 19:31]

.

2012-01-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-06-14 19:11]

.

2012-01-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-06-14 19:11]

.

2012-01-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2346148380-1023578807-2652094455-1000Core.job

- c:\users\Pavel\AppData\Local\Google\Update\GoogleUpdate.exe [2011-04-07 08:17]

.

2012-01-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2346148380-1023578807-2652094455-1000UA.job

- c:\users\Pavel\AppData\Local\Google\Update\GoogleUpdate.exe [2011-04-07 08:17]

.

2011-06-21 c:\windows\Tasks\PCDRScheduledMaintenance-Delay.job

- c:\program files\PC-Doctor for Windows\pcdr5cuiw32.exe [2008-09-10 16:43]

.

2011-06-20 c:\windows\Tasks\PCDRScheduledMaintenance.job

- c:\program files\PC-Doctor for Windows\pcdr5cuiw32.exe [2008-09-10 16:43]

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2011-11-28 18:01 134384 ----a-w- c:\program files\Alwil Software\Avast5\ashShA64.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-15 15853088]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-15 82464]

"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-10-06 182808]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.APEHA.ru

uLocal Page = c:\windows\system32\blank.htm

mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ch&c=91&bd=Pavilion&pf=cndt

mLocal Page = %SystemRoot%\system32\blank.htm

uInternet Settings,ProxyServer = http=88.191.69.109:80

uInternet Settings,ProxyOverride = *.local

IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar\resources\fr-CH\local\search.html

IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~2\Office10\EXCEL.EXE/3000

IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000

LSP: mswsock.dll

TCP: DhcpNameServer = 192.168.1.1

CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll

FF - ProfilePath - c:\users\Pavel\AppData\Roaming\Mozilla\Firefox\Profiles\zp6jxo78.default\

FF - prefs.js: browser.startup.homepage - hxxps://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl&bsv=1eic6yu9oa4y3&scc=1&ltmpl=default&ltmplcache=2

.

- - - - ORPHELINS SUPPRIMES - - - -

.

HKLM-Run-OsdMaestro - c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe

HKLM-Run-SmartMenu - c:\program files (x86)\Hewlett-Packard\HP MediaSmart\SmartMenu.exe

AddRemove-3D SexVilla - c:\progra~2\3D SexVilla\UNWISE.EXE

AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe

AddRemove-DAEMON Tools Toolbar - c:\program files (x86)\DAEMON Tools Toolbar\uninst.exe

AddRemove-English Study Pro 1.0 - c:\program files (x86)\EngStdPro\unsetup.exe

AddRemove-RadLight MPC DirectShow Filter - c:\windows\system32\RadLightMPCUninstall.exe

AddRemove-sp44626 - c:\hp\Softpaq\sp44626\sp44626.exe

AddRemove-{8ADFC4160D694100B5B8A22DE9DCABD9} - c:\program files (x86)\DivX\DivXPlayerUninstall.exe

AddRemove-{B99384E7-9BA0-036E-3468-10F33E3DFBE7} - c:\windows\system32\u_hkpwmieygqeuizb.dll.exe

AddRemove-Family Farm - c:\program files (x86)\Family Farm\Uninstall.exe

.

.

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]

"ImagePath"="\??\c:\program files (x86)\Hewlett-Packard\Media\DVD\000.fcl"

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\vdrv9000]

"ImagePath"="system32\DRIVERS\vdrv9000.sys"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}]

@Denied: (A 2) (Everyone)

@SACL=

@="IFlashBroker"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}\ProxyStubClsid]

@Denied: (A 2) (Everyone)

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}\TypeLib]

@="{6EF568F4-D437-4466-AA63-A3645136D93E}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]

@Denied: (A 2) (Everyone)

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]

@="Shockwave Flash"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]

@Denied: (A 2) (Everyone)

@=""

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]

@="FlashBroker"

.

[HKEY_LOCAL_MACHINE\software\Wow6432Node\Classes]

"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,

00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

------------------------ Autres processus actifs ------------------------

.

c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files (x86)\Bonjour\mDNSResponder.exe

c:\program files (x86)\Hewlett-Packard\HP Easy Backup\HPBtnSrv.exe

c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe

c:\windows\SysWOW64\PnkBstrA.exe

c:\program files (x86)\Virtual CD v9\System\VC9SecS.exe

c:\program files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe

c:\program files (x86)\Virtual CD v9\System\VC9Tray.exe

c:\program files (x86)\PC Connectivity Solution\ServiceLayer.exe

c:\program files (x86)\Common Files\Steam\SteamService.exe

c:\program files (x86)\PC Connectivity Solution\Transports\NclMSBTSrvEx.exe

c:\windows\SysWOW64\ping.exe

c:\progra~2\CYBERL~1\SHARED~1\RICHVI~1.EXE

.

**************************************************************************

.

Heure de fin: 2012-01-31 16:56:34 - La machine a redémarré

ComboFix-quarantined-files.txt 2012-01-31 15:56

.

Avant-CF: Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.

Après-CF: 389'379'846'144 octets libres

.

- - End Of File - - F8E672CDE0B418A23AA95F22A06A2E17

[pear]

Comment va la machine ?

[Eri]

Rien à signaler d'anormal pendant les scans (mis à part une hausse de la rotation du ventilateur durant combofix et une extinction de l'écran pendant toute la durée du scan, mais cela parait légitime). Sinon, j'ai éteint le PC directement après les scans.

Je ferai tourner la machine plus longtemps demain, notamment en accédant à Internet et simuler une utilisation normale et je vous tiens au courant.

 

Est-ce que les scans laisser penser à une infection quelconque? Reste-il un danger potentiel (pour que j'évite toute interaction avec d'autres machines, comme par exemple envoyer des fichiers)?

 

Merci du temps que vous me consacrez

[pear]

Est-ce que les scans laisser penser à une infection quelconque?

 

Non, ça semble propre, mais attendons un peu pour le confirmer.

[Eri]

Le problème ne semble pas être résolu. J'ai allumé mon PC et au début cela semble aller bien, mais l'UC a un comportement bizarre: parfois cela tourne vers les 90-100 % sans raison apparente.

J'ai refais un scan TDSS Killer (cette fois en mode normal) et rien de plus que la dernière fois.

J'ai aussi fait un scan rapide avec MBAM et il a trouvé quatre menaces (d'ailleurs le ventilateur s'est mis à tourner plus pendant le scan, cela parait normal).

 

Quelques minutes après la fin du scan, le PC a commencer à tourner plus fort et le ventilateur s'est beaucoup accéléré et toujours par à-coup. J'ai alors éteint l'ordi puis rallumé en mode sans échec.

 

En mode sans échec, il a de nouveau eu un comportement anormal, mais qui s'est calmé lorsque j'ai coupé la connexion à internet.

 

Je vous poste donc les log de Mbam, le premier correspond au tout premier scan que j'avais fait, dès l'infection initiale. Le deuxième est celui que je viens de réaliser aujourd'hui.

 

1ère Log MBAM du 14 janvier:

 

Malwarebytes Anti-Malware 1.60.0.1800

www.malwarebytes.org

 

Version de la base de données: v2012.01.14.02

 

Windows Vista Service Pack 2 x64 NTFS

Internet Explorer 7.0.6002.18005

Pavel :: PC-DE-PAVEL [administrateur]

 

14.01.2012 14:41:09

mbam-log-2012-01-14 (14-41-09).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 194640

Temps écoulé: 10 minute(s), 36 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 22

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smad (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

HKCR\AppID\{38061EDC-40BB-4618-A8DA-E56353347E6D} (Adware.EZlife) -> Mis en quarantaine et supprimé avec succès.

HKCR\AppID\{A9722A0D-365F-47D2-B70B-37D046316D99} (Adware.EZlife) -> Mis en quarantaine et supprimé avec succès.

HKCR\CLSID\{E0EC6FBA-F009-3535-95D6-B6390DB27DA1} (Adware.EZlife) -> Mis en quarantaine et supprimé avec succès.

HKCR\CscrptXt.CscrptXt.1.0 (Adware.EZlife) -> Mis en quarantaine et supprimé avec succès.

HKCR\CscrptXt.CscrptXt (Adware.EZlife) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\7b6e7577-4509-a3a5-b5ba-654a3c96ccf8 (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\jbhzkglyuwehrj (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès.

HKCR\adproClient.adHlpr (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès.

HKCR\adproClient.adHlpr.1 (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès.

HKCR\adshot.adShotHlpr (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès.

HKCR\adshot.adShotHlpr.1 (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\ezLife (Adware.EZlife) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\NordBull (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\PopRock (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\XML (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\ezLife (Adware.EzLife) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Smart-Ads-Solutions (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ezLife (Adware.EzLife) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart-Ads-Solutions (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès.

HKLM\System\CurrentControlSet\Services\.norton2009Reset (Trojan.Hacktool) -> Mis en quarantaine et supprimé avec succès.

 

Valeur(s) du Registre détectée(s): 4

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Smad (Trojan.Agent) -> Données: "C:\Users\Pavel\AppData\Local\SanctionedMedia\Smad\Smad.exe" -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|PopRock (Trojan.Downloader) -> Données: C:\Users\Pavel\AppData\Local\Temp\d.exe -> Mis en quarantaine et supprimé avec succès.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSSMSGS (Backdoor.Bot) -> Données: rundll32.exe winnig32.rom,jefEkORi -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|0E5ED27D-596D-9FCD-AC53-6AE579AD67EB (Trojan.FakeAlert) -> Données: "C:\Windows\system32\rundll32.exe" "C:\Windows\system32\0E5ED27D-596D-9FCD-AC53-6AE579AD67EB.avi", start minimized -> Mis en quarantaine et supprimé avec succès.

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 8

C:\Windows\System32\config\systemprofile\AppData\Roaming\SECURITY DEFENDER (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\SECURITY DEFENDER (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ezLife (Adware.EzLife) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ezLife\ezLife (Adware.EzLife) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ezLife\ezLife\1.1.2.0 (Adware.EzLife) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\Smart-Ads-Solutions (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\Smart-Ads-Solutions\SmartAds (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\Smart-Ads-Solutions\SmartAds\1.1.2.0 (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès.

 

Fichier(s) détecté(s): 27

C:\Users\Pavel\AppData\Local\SANCTIONEDMEDIA\Smad\Smad.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\System32\7b6e7577-4509-a3a5-b5ba-654a3c96ccf8.exe (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\System32\hkpwmieygqeuizb.dll-uninst.exe (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\System32\jbhzkglyuwehrj.exe (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\SysWOW64\7b6e7577-4509-a3a5-b5ba-654a3c96ccf8.exe (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\SysWOW64\hkpwmieygqeuizb.dll-uninst.exe (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\SysWOW64\jbhzkglyuwehrj.exe (Adware.AdRotator) -> Mis en quarantaine et supprimé avec succès.

C:\Users\Pavel\AppData\Local\Temp\roceamwxsn.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.

C:\Users\Pavel\AppData\Local\Temp\ICReinstall\cnet2_Arena106_exe.exe (PUP.CNET.Adware.Bundle) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\Temp\52F0.tmp (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\Temp\_ex-68.exe (Spyware.Passwords.XGen) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\Temp\_ex-89.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.

C:\Users\Pavel\Downloads\cnet2_Arena106_exe.exe (PUP.CNET.Adware.Bundle) -> Mis en quarantaine et supprimé avec succès.

C:\Users\Pavel\Local Settings\utb.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.

C:\Users\Pavel\Local Settings\Application Data\utb.exe (Trojan.ExeShell.Gen) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\System32\config\systemprofile\AppData\Roaming\SECURITY DEFENDER\{200D54EE-FAE0-4EC1-559B-87793F833522}.PST (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\System32\config\systemprofile\AppData\Roaming\SECURITY DEFENDER\{E6F7D995-5850-4EF4-F3A5-AF6D3E9D47BA}.pst (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\System32\config\systemprofile\Desktop\SECURITY DEFENDER.LNK (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\INTERNET EXPLORER\QUICK LAUNCH\SECURITY DEFENDER.LNK (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès.

C:\Users\Pavel\Local Settings\Application Data\SANCTIONEDMEDIA\Smad\Smad.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\SECURITY DEFENDER\SECURITY DEFENDER.ICO (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\SECURITY DEFENDER\Security Defender.dll (Rogue.SecurityDefender) -> Mis en quarantaine et supprimé avec succès.

C:\ProgramData\Norton\Norton2009Reset.exe (Trojan.Hacktool) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\ezLife\ezLife\1.1.2.0\uninstall.exe (Adware.EzLife) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files (x86)\Smart-Ads-Solutions\SmartAds\1.1.2.0\uninstall.exe (Adware.SmartAds) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

Voici le log MBAM d'aujourd'hui:

 

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.02.01.03

 

Windows Vista Service Pack 2 x64 NTFS

Internet Explorer 7.0.6002.18005

Pavel :: PC-DE-PAVEL [administrateur]

 

01.02.2012 14:45:16

mbam-log-2012-02-01 (14-45-16).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 187636

Temps écoulé: 3 minute(s), 36 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 1

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dwhbyj (Trojan.CryptPro.Gen) -> Données: rundll32.exe "C:\Windows\System32\config\systemprofile\AppData\Local\App\dwhbyj.dll",wmain -> Mis en quarantaine et supprimé avec succès.

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 3

C:\Windows\System32\config\systemprofile\AppData\Local\App\dwhbyj.dll (Trojan.CryptPro.Gen) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\System32\config\systemprofile\AppData\Roaming\0E5ED27D-596D-9FCD-AC53-6AE579AD67EB.avi (Trojan.CryptPro.Gen) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\temp\axqrkg\setup.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

[pear]

Avant d'aller plus loin, faites cette vérification, svp:

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

C:\Windows\system32\DRIVERS\vdrv9000.sys

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

 

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

Modifié le 1 février 2012 par pear

[Eri]

J'ai coché "afficher les les dossier cachés", les deux autres étaient déjà décochés.

 

Le scan sur virustotal donne cela: (J'ai trouvé le fichier dans system64, il n'était pas dans system32)

 

SHA256: 2ea6362d7c1fb6aa00bb6849dbd006fb50b632e310cefa7ae49b35b1220af76d

SHA1: 862732fbd4618eb9d0f636723e314a49b9aacfdd

MD5: d19c241f7111bd3ac085f64155d2b9fb

File size: 125.5 KB ( 128528 bytes )

File name: vdrv9000.sys

File type: unknown

Detection ratio: 0 / 42

Analysis date: 2012-02-01 19:03:01 UTC ( 0 minute ago )

0

0

Antivirus Result Update

AhnLab-V3 - 20120201

AntiVir - 20120201

Antiy-AVL - 20120131

Avast - 20120201

AVG - 20120201

BitDefender - 20120201

ByteHero - 20120126

CAT-QuickHeal - 20120131

ClamAV - 20120201

Commtouch - 20120201

Comodo - 20120201

DrWeb - 20120201

Emsisoft - 20120201

eSafe - 20120130

eTrust-Vet - 20120201

F-Prot - 20120201

F-Secure - 20120201

Fortinet - 20120201

GData - 20120201

Ikarus - 20120201

Jiangmin - 20120201

K7AntiVirus - 20120201

Kaspersky - 20120201

McAfee - 20120201

McAfee-GW-Edition - 20120201

Microsoft - 20120201

NOD32 - 20120201

Norman - 20120201

nProtect - 20120201

Panda - 20120201

PCTools - 20120201

Rising - 20120118

Sophos - 20120201

SUPERAntiSpyware - 20120201

Symantec - 20120201

TheHacker - 20120131

TrendMicro - 20120201

TrendMicro-HouseCall - 20120201

VBA32 - 20120131

VIPRE - 20120201

ViRobot - 20120201

VirusBuster - 20120201

 

 

Le scan de RogueKiller donne cela:

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : Root.MBR|ZeroAccess ¤¤¤

[ZeroAccess] sys32\consrv.dll present!

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

::1 localhost

93.115.241.28 www.google-analytics.com.

93.115.241.28 ad-emea.doubleclick.net.

93.115.241.28 www.statcounter.com.

69.72.252.254 www.google-analytics.com.

69.72.252.254 ad-emea.doubleclick.net.

69.72.252.254 www.statcounter.com.

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD10EADS-65L5B1 +++++

--- User ---

[MBR] d15648c32ad1d0e68c993ebcbc67f1be

[bSP] 309fdfd200901d3359dd1e035123a213 : HP tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 937802 Mo

3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1920618945 | Size: 16065 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: Ut165 USB2FlashStorage USB Device +++++

--- User ---

[MBR] 2607e7df016ae8bfdd9b7bf5a80e90f7

[bSP] e2256a6458f4b04ca5c97ccecad8e80e : MaxSS MBR Code!

Partition table:

0 - [XXXXXX] QNX (0x4f) [VISIBLE] Offset (sectors): 1936269394 | Size: 896492 Mo

1 - [XXXXXX] UNKNOWN (0x73) [VISIBLE] Offset (sectors): 1917848077 | Size: 265838 Mo

2 - [XXXXXX] SYLSTOR (0x2b) [VISIBLE] Offset (sectors): 1818575915 | Size: 265710 Mo

3 - [XXXXXX] UNKNOWN (0x61) [VISIBLE] Offset (sectors): 2844524554 | Size: 26 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt