Blue screen (Résolu)

Novice000

11 Décembre 2010 23:05:19

Bonjour, j'ai un vrai problème depuis peu a chaque fois mon ordi affiche un bluescreen subitement et l'ordi portable redemarre et c'est fatiguant j'ai cherché partout une solution j'ai rien trouvé,une fois redemarré on me sort le message suivant: Signature du problème :
Nom d’événement de problème: BlueScreen
Version du système: 6.1.7600.2.0.0.768.11
Identificateur de paramètres régionaux: 1036

Informations supplémentaires sur le problème :
BCCode: d1
BCP1: ABEFF000
BCP2: 00000002
BCP3: 00000000
BCP4: 83539741
OS Version: 6_1_7600
Service Pack: 0_0
Product: 768_1

Fichiers aidant à décrire le problème :
C:\Windows\Minidump\121110-16941-01.dmp
C:\Users\TOSHIBA\AppData\Local\Temp\WER-52915-0.sysdata.xml

Lire notre déclaration de confidentialité en ligne :
http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0...

Si la déclaration de confidentialité en ligne n’est pas disponible, lisez la version hors connexion :
C:\Windows\system32\fr-FR\erofflps.txt

Aidez moi svp

Autres pages sur : blue screen resolu

| Etre averti des réponses
| Alerter

Répondre à Novice000

guigui0001

12 Décembre 2010 10:46:24

Bonjour,

Télécharge Bluescreenview (de Nirsoft).

Va dans le dossier compressé, puis double-clique sur l'application pour lancer le programme. (il n'est pas nécessaire de décompresser le dossier)

Patiente jusqu'à ce qu'une liste de crashes s'affichent. Pour chacun des crashes, clique dessus, va dans Options > Lower Pane Mode > Bluescreen in XP style. En bas va s'afficher le contenu de l'écran bleu, copie le texte (clic droit > Copier) et colle-le dans ta prochaine réponse sur ce forum.

Pour t'aider : Tuto sur les écrans bleus

| Alerter

Répondre à guigui0001

Novice000

12 Décembre 2010 14:52:13

Bonjour,c'est fait,voici le message qui sort:

A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: gbeuqb.sys

DRIVER_IRQL_NOT_LESS_OR_EQUAL

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x000000d1 (0xb0b71000, 0x00000002, 0x00000000, 0x838b6741)

*** gbeuqb.sys - Address 0x838b6741 base at 0x838b2000 DateStamp 0x4cdfeeec

J’espère que vous pourrez m'aider.
Merci d'avance.

| Alerter

Répondre à Novice000

guigui0001

12 Décembre 2010 15:04:14

Ton ordinateur est infecté par un virus.

Je te renvoie dans la bonne section.

| Alerter

Répondre à guigui0001

guigui0001

12 Décembre 2010 15:04:31

Ce sujet a été déplacé de la catégorie Windows 7 vers la catégorie Sécurité - Virus par Guigui0001

| Alerter

Répondre à guigui0001

guigui0001

12 Décembre 2010 15:05:00

== Drapal ==

| Alerter

Répondre à guigui0001

Sham_Rock

12 Décembre 2010 16:57:15

Bonsoir
1

Télécharge

DDS et sauvegarde-le sur ton bureau.

Désactive tout script bloquant, tels qu'un antivirus, un logiciel comme ad-block, noscript etc.

Double-clique sur dds.scr pour lancer l'outil.

Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .

Clique Oui à la prochaine invite Optional Scan.

Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt.

<@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**

++

****
2

Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : http://www.malekal.com/tutorial_GMER.php

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.

Double-clique sur le fichier GMER téléchargé.
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

Clique sur l'onglet "rootkit"

A droite, coche tout.

Clique maintenant sur Scan.

Lorsque le scan est terminé, clique sur Copy.

Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
Le rapport doit alors apparaître.

Enregistre le fichier sur ton Bureau et poste le contenu ici.

++++++++++++++++++++++++
+++++++++++

| Alerter

Répondre à Sham_Rock

Novice000

12 Décembre 2010 18:46:17

Bonsoir,
Une petite question pour Sham-Rock,comment je fais pour désactiver tout les scripts bloquants?

| Alerter

Répondre à Novice000

Sham_Rock

12 Décembre 2010 19:03:10

re
désactive ton antivirus, tu cliques droit sur l'icône de ton antivirus en bas à droite de ton écran et tu fais "désactiver"

réactive-le juste après le passage de l'outil.

| Alerter

Répondre à Sham_Rock

Novice000

12 Décembre 2010 20:07:35

Re,la 1ere étape est faite,voici ce que tu m'avais demandé :

DDS (Ver_10-12-12.02) - NTFSx86
Run by TOSHIBA at 20:05:08,84 on 12/12/2010
Internet Explorer: 8.0.7600.16385
Microsoft Windows 7 Édition Starter 6.1.7600.0.1252.33.1036.18.2048.1357 [GMT 0:00]

AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

============== Running Processes ===============

C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Internet Haut Débit Mobile\AutoDect.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
"C:\Windows\System32\svchost.exe"
"C:\Windows\System32\svchost.exe"
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\svchost.exe -k SDRSVC
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe -k swprv
c:\program files\windows defender\MpCmdRun.exe
C:\Windows\system32\notepad.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Users\TOSHIBA\Downloads\dds.scr
C:\Windows\system32\conhost.exe

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.plusnetwork.com
uURLSearchHooks: Messenger Plus Live FR package Toolbar: {9c961ae2-9075-45a8-b020-75f0c8461305} - c:\program files\messenger_plus_live_fr_package\tbMess.dll
mURLSearchHooks: Messenger Plus Live FR package Toolbar: {9c961ae2-9075-45a8-b020-75f0c8461305} - c:\program files\messenger_plus_live_fr_package\tbMess.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Messenger Plus Live FR package Toolbar: {9c961ae2-9075-45a8-b020-75f0c8461305} - c:\program files\messenger_plus_live_fr_package\tbMess.dll
TB: Messenger Plus Live FR package Toolbar: {9c961ae2-9075-45a8-b020-75f0c8461305} - c:\program files\messenger_plus_live_fr_package\tbMess.dll
uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun
uRun: [msnmsgr] "c:\program files\windows live\messenger\msnmsgr.exe" /background
uRun: [zefex] c:\users\toshiba\zefex.exe /e
uRun: [coiub] c:\users\toshiba\coiub.exe /p
uRun: [U36VRSFLG6] c:\users\toshiba\appdata\local\temp\Pwd.exe
uRun: [zeami] c:\users\toshiba\zeami.exe /K
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [TWebCamera] "%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [autodetect] c:\program files\internet haut débit mobile\AutoDect.exe
mRun: [avast5] "c:\program files\alwil software\avast5\avastUI.exe" /nogui
dRun: [U36VRSFLG6] c:\windows\temp\Pwd.exe
dRun: [svchost] c:\windows\temp\fmeq\setup.exe
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
Notify: igfxcui - igfxdev.dll

============= SERVICES / DRIVERS ===============

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-11-14 165584]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-13 48128]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-11-14 17744]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-11-14 50768]
R2 avast! Antivirus;avast! Antivirus;c:\program files\alwil software\avast5\AvastSvc.exe [2010-11-14 40384]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-7-10 122880]
R3 PGEffect;Pangu effect driver;c:\windows\system32\drivers\PGEffect.sys [2010-10-1 24064]
R3 RTL8167;Pilote Realtek 8167 NT;c:\windows\system32\drivers\Rt86win7.sys [2009-6-10 139776]
R3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\drivers\rtl8192se.sys [2010-10-1 1011232]
S2 gupdate;Service Google Update (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-10-10 136176]
S3 avast! Mail Scanner;avast! Mail Scanner;c:\program files\alwil software\avast5\AvastSvc.exe [2010-11-14 40384]
S3 avast! Web Scanner;avast! Web Scanner;c:\program files\alwil software\avast5\AvastSvc.exe [2010-11-14 40384]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [2010-10-12 101120]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2010-11-12 9216]

=============== Created Last 30 ================

2010-12-12 14:45:14 -------- d-----w- c:\program files\NirSoft
2010-12-12 14:42:16 -------- d--h--w- c:\windows\AxInstSV
2010-12-05 17:59:29 -------- d-----w- c:\program files\Ask Search Assistant
2010-11-14 18:06:50 1000 ----a-w- c:\users\toshiba\wjaw.exe
2010-11-14 15:20:32 50768 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2010-11-14 15:20:20 38848 ----a-w- c:\windows\avastSS.scr
2010-11-13 16:54:04 200704 ----a-w- c:\windows\Pqexua.exe
2010-11-13 13:31:32 169320 ----a-w- c:\progra~2\microsoft\windows\sqm\manifest\Sqm10135.bin

==================== Find3M ====================

2010-10-19 10:41:44 222080 ------w- c:\windows\system32\MpSigStub.exe
2010-09-23 00:47:28 49016 ----a-w- c:\windows\system32\sirenacm.dll
2010-09-21 14:03:14 208768 ----a-w- c:\windows\system32\LIVESSP.DLL

=================== ROOTKIT ====================

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600 Disk: TOSHIBA_MK3263GSXN rev.GC002M -> Harddisk0\DR0 -> \Device\Ide\IdePort1 P1T0L0-1

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x862EF446]<<
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x862f5504]; MOV EAX, [0x862f5580]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
1 ntkrnlpa!IofCallDriver[0x8304E458] -> \Device\Harddisk0\DR0[0x862CB030]
3 CLASSPNP[0x894A659E] -> ntkrnlpa!IofCallDriver[0x8304E458] -> [0x86394F08]
\Driver\atapi[0x862D1D28] -> IRP_MJ_CREATE -> 0x862EF446
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; PUSHA ; MOV CX, 0x137; MOV BP, 0x62a; ROR BYTE [BP+0x0], CL; INC BP; }
detected disk devices:
\Device\Ide\IdeDeviceP1T0L0-1 -> \??\IDE#DiskTOSHIBA_MK3263GSXN______________________GC002M__#5&27973c1f&0&1.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user != kernel MBR !!!
sectors 625142446 (+255): user != kernel
Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.

============= FINISH: 20:05:43,11 ===============

| Alerter

Répondre à Novice000

Novice000

12 Décembre 2010 20:30:54

Voici le résultat de la 2éme étape,en ésperant que le problème sera réglé :

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2010-12-12 20:27:14
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdePort1 TOSHIBA_MK3263GSXN rev.GC002M
Running: pttkh6cp.exe; Driver: C:\Users\TOSHIBA\AppData\Local\Temp\pwldrfow.sys

---- System - GMER 1.0.15 ----

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0x8D5C4BAE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0x8D5C49D2]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwLoadDriver [0x8D5C4B0C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 83055599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 83079F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
PAGE ntkrnlpa.exe!ZwLoadDriver 831B3291 7 Bytes JMP 8D5C4B10 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 8321AFBF 5 Bytes JMP 8D5C05D4 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE ntkrnlpa.exe!ObInsertObject + 27 83234CF3 5 Bytes JMP 8D5C2012 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE ntkrnlpa.exe!NtCreateSection 83242D63 7 Bytes JMP 8D5C49D6 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 832ECEAC 7 Bytes JMP 8D5C4BB2 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
? System32\Drivers\gbeuqb.sys Un périphérique attaché au système ne fonctionne pas correctement. !
? C:\Users\TOSHIBA\AppData\Local\Temp\mbr.sys Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text C:\Windows\system32\svchost.exe[948] ntdll.dll!NtProtectVirtualMemory 774D5380 5 Bytes JMP 0014000A
.text C:\Windows\system32\svchost.exe[948] ntdll.dll!NtWriteVirtualMemory 774D5F00 5 Bytes JMP 0019000A
.text C:\Windows\system32\svchost.exe[948] ntdll.dll!KiUserExceptionDispatcher 774D6448 5 Bytes JMP 0013000A
.text C:\Windows\system32\svchost.exe[948] ole32.dll!CoCreateInstance 75C2590C 5 Bytes JMP 009B000A
.text C:\Windows\system32\svchost.exe[948] USER32.dll!GetCursorPos 75F4C198 5 Bytes JMP 00E0000A
.text C:\Program Files\Alwil Software\Avast5\AvastSvc.exe[1336] kernel32.dll!SetUnhandledExceptionFilter 75EA3162 4 Bytes [C2, 04, 00, 90] {RET 0x4; NOP }
.text C:\Windows\Explorer.EXE[1448] ntdll.dll!NtProtectVirtualMemory 774D5380 5 Bytes JMP 0194000A
.text C:\Windows\Explorer.EXE[1448] ntdll.dll!NtWriteVirtualMemory 774D5F00 5 Bytes JMP 0195000A
.text C:\Windows\Explorer.EXE[1448] ntdll.dll!KiUserExceptionDispatcher 774D6448 5 Bytes JMP 017C000A
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtCreateFile + 6 774D4A36 4 Bytes [28, 00, 07, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtCreateFile + B 774D4A3B 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtMapViewOfSection + 6 774D5096 1 Byte [28]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtMapViewOfSection + 6 774D5096 4 Bytes [28, 03, 07, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtMapViewOfSection + B 774D509B 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenFile + 6 774D5146 4 Bytes [68, 00, 07, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenFile + B 774D514B 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenProcess + 6 774D51F6 4 Bytes [A8, 01, 07, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenProcess + B 774D51FB 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenProcessToken + B 774D520B 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenProcessTokenEx + 6 774D5216 4 Bytes [A8, 02, 07, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenProcessTokenEx + B 774D521B 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenThread + 6 774D5276 4 Bytes [68, 01, 07, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenThread + B 774D527B 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenThreadToken + 6 774D5286 4 Bytes [68, 02, 07, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenThreadToken + B 774D528B 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenThreadTokenEx + B 774D529B 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtQueryAttributesFile + 6 774D53A6 4 Bytes [A8, 00, 07, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtQueryAttributesFile + B 774D53AB 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtQueryFullAttributesFile + B 774D545B 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtSetInformationFile + 6 774D5AA6 4 Bytes [28, 01, 07, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtSetInformationFile + B 774D5AAB 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtSetInformationThread + 6 774D5B06 4 Bytes [28, 02, 07, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtSetInformationThread + B 774D5B0B 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtUnmapViewOfSection + 6 774D5E26 1 Byte [68]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtUnmapViewOfSection + 6 774D5E26 4 Bytes [68, 03, 07, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtUnmapViewOfSection + B 774D5E2B 1 Byte [E2]
? C:\Windows\System32\svchost.exe[2372] image checksum mismatch; number of sections mismatch; time/date stamp mismatch;
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2584] USER32.dll!CreateWindowExW 75F50E51 5 Bytes JMP 2806E400 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2584] ole32.dll!CoInitializeEx 75C108CC 5 Bytes JMP 2806CC20 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2584] ole32.dll!CoCreateInstance 75C2590C 5 Bytes JMP 2806D100 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
? C:\Windows\System32\svchost.exe[3836] image checksum mismatch; time/date stamp mismatch;

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__wgetmainargs] 0D93F9E9
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_exit] 0249E800
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_XcptFilter] 89660000
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!exit] 6608246C
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_initterm] 68004589
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_amsg_exit] 0B8E6A2F
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__setusermatherr] 4424648D
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!memcpy] 0D2001E9
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_controlfp] 46E90E00
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_except_handler4_common] 0F000D9D
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!?terminate@@YAXXZ] 0D3F7B80
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__set_app_type] 2D663F00
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__p__fmode] C166C372
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__p__commode] 8B660BC0
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_cexit] A268FE46
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 0D3F948E
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!CloseHandle] 04C65400
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 88366124
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 04C76610
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetLastError] 53CAEE24
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 0824648D
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 0D3B3BE9
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LoadLibraryExA] 66FF8400
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!InterlockedExchange] 03E1BA0F
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!Sleep] 893FD8D2
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] 836060E8
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetModuleHandleA] 669C02ED
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] C6004589
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetTickCount] 82082444
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 4424648D
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 0D1F89E9
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!DeactivateActCtx] B30F6600
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 528504D2
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ActivateActCtx] 0F02C0C0
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 24D2D2C6
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegCloseKey] FC803814
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegOpenKeyExW] 04ED83F1
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!HeapSetInformation] 0055899C
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] 04245C89
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrlenW] 34FF549C
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 24648D24
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegQueryValueExW] 1F54E914
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ReleaseActCtx] 83F5000D
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!CreateActCtxW] 648D04ED
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 820F4024
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 000004F5
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ExitProcess] 170B5268
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetProcessAffinityUpdateMode] [00458922] C:\Windows\System32\svchost.exe (Processus hôte pour les services Windows/Microsoft Corporation)
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegDisablePredefinedCacheEx] B06A689C
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 2FE90C24
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetErrorMode] F5000D1F
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObjectEx] D80166F9
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LocalFree] 2404C766
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!HeapFree] 896641EF
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] F7662404
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] C58566A5
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] CD356660
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] CEA30FE1
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 0F66F560
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlCopySid] 6601E3BA
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] 84E9C301
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlInitializeCriticalSection] 0F000001
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSetProcessIsCritical] 648DC0B6
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 820F2024
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 000D42B5
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventWrite] 8E8DC90F
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventEnabled] BC26175F
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventRegister] 850C8B52
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlFreeHeap] [004D4000] C:\Windows\System32\svchost.exe (Processus hôte pour les services Windows/Microsoft Corporation)
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] F5549AD1
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 00012DE8
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 83F89C00
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] E9F902ED
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 000D3611
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 0D3B51E8
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 0484E900
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] E9F10000
IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 000D5585
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__wgetmainargs] 51EC8B55
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_exit] 1845DB51
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_XcptFilter] F855DD56
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!exit] E8084DDC
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_initterm] 000004D2
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_amsg_exit] FF184589
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__setusermatherr] 40515C15
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!memcpy] F845DD00
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_controlfp] 8B104DDC
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_except_handler4_common] 1865DAF0
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!?terminate@@YAXXZ] 0004B9E8
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__set_app_type] 8BC88B00
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__p__fmode] F74199C6
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__p__commode] C28B5EF9
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_cexit] C9184503
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 40515C15
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!CloseHandle] 244C8B00
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 748D9908
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetProcAddress] FEF70109
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetLastError] 2BC28B5E
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 244403C1
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 15FFC308
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LoadLibraryExA] [0040515C] C:\Windows\System32\svchost.exe (Processus hôte pour les services Windows/Microsoft Corporation)
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!InterlockedExchange] 04244C8B
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!Sleep] F9F74199
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] FFC3C28B
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetModuleHandleA] 40515C15
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 646A9900
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetTickCount] 33F9F759
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 24543BC0
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] C09C0F04
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!DeactivateActCtx] EC8B55C3
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 0204EC81
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ActivateActCtx] 68560000
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 515415FF
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegCloseKey] 00FFB8F0
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegOpenKeyExW] 8D500000
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!HeapSetInformation] FFFEFC8D
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] C93351FF
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrlenW] 558D5151
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 8D5052FC
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegQueryValueExW] FFFDFC85
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ReleaseActCtx] FF5150FF
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!CreateActCtxW] 40504415
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 56216A00
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] FFFC75FF
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ExitProcess] 40515815
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetProcessAffinityUpdateMode] 0CC48300
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegDisablePredefinedCacheEx] C01BD8F7
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] EC8B55C3
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 458B5151
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObjectEx] 33565308
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LocalFree] 57C88BF6
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!HeapFree] 33FC7589
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 01518DFF
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] 802974CA
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 7420063C
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] [75FF850A] C:\Windows\system32\USER32.dll (DLL client de l’API uilisateur de Windows multi-utilisateurs/Microsoft Corporation)
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 45FF470C
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlCopySid] 8506EBFC
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] 330274FF
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlInitializeCriticalSection] 46C88BFF
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSetProcessIsCritical] 8A01518D
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] DB844119
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] CA2BF975
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventWrite] D772F13B
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventEnabled] 5FFC458B
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventRegister] C3C95B5E
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 83EC8B55
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] FF0A7500
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 45C7F845
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 000001FC
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 0C4D8B00
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] F84D3941
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 016A3275
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 15FF5750
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] [00405150] C:\Windows\System32\svchost.exe (Processus hôte pour les services Windows/Microsoft Corporation)
IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerListen] EB0CC483

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8661A728
Device \Driver\ACPI_HAL \Device\00000046 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP2T0L0-2 862EF292
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort0 862EF292
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort1 862EF292
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort2 862EF292
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort3 862EF292

AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

Device \Device\Ide\IdeDeviceP1T0L0-1 -> \??\IDE#DiskTOSHIBA_MK3263GSXN______________________GC002M__#5&27973c1f&0&1.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [BOOT] gbeuqb <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\services\gbeuqb@wxroe 1599208758
Reg HKLM\SYSTEM\ControlSet001\services\gbeuqb@Type 1
Reg HKLM\SYSTEM\ControlSet001\services\gbeuqb@Start 0
Reg HKLM\SYSTEM\ControlSet001\services\gbeuqb@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet001\services\gbeuqb@Group Boot Bus Extender
Reg HKLM\SYSTEM\CurrentControlSet\services\gbeuqb@wxroe 1599208758
Reg HKLM\SYSTEM\CurrentControlSet\services\gbeuqb@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\services\gbeuqb@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\services\gbeuqb@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\services\gbeuqb@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet003\services\gbeuqb@wxroe 1599208758
Reg HKLM\SYSTEM\ControlSet003\services\gbeuqb@Type 1
Reg HKLM\SYSTEM\ControlSet003\services\gbeuqb@Start 0
Reg HKLM\SYSTEM\ControlSet003\services\gbeuqb@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\services\gbeuqb@Group Boot Bus Extender

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior; TDL4 <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sectors 625142192 (+255): rootkit-like behavior;

---- Files - GMER 1.0.15 ----

File C:\Users\TOSHIBA\AppData\Local\Temp\udDownload.tmp (size mismatch) 3275851/0 bytes executable
File C:\Windows\SoftwareDistribution\DataStore\Logs\tmp.edb 0 bytes

---- EOF - GMER 1.0.15 ----

Merci d'avance.

| Alerter

Répondre à Novice000

Sham_Rock

13 Décembre 2010 20:17:23

re
bien vu guigui

look:

Citation :

Service (*** hidden *** ) [BOOT] gbeuqb <-- ROOTKIT !!!

mais bien plus intéressant:

Citation :

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior; TDL4 <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sectors 625142192 (+255): rootkit-like behavior;

DDs le loge aussi, et c'est nouveau ;O)

Citation :

=================== ROOTKIT ====================

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600 Disk: TOSHIBA_MK3263GSXN rev.GC002M -> Harddisk0\DR0 -> \Device\Ide\IdePort1 P1T0L0-1

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x862EF446]<<
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x862f5504]; MOV EAX, [0x862f5580]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
1 ntkrnlpa!IofCallDriver[0x8304E458] -> \Device\Harddisk0\DR0[0x862CB030]
3 CLASSPNP[0x894A659E] -> ntkrnlpa!IofCallDriver[0x8304E458] -> [0x86394F08]
\Driver\atapi[0x862D1D28] -> IRP_MJ_CREATE -> 0x862EF446
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; PUSHA ; MOV CX, 0x137; MOV BP, 0x62a; ROR BYTE [BP+0x0], CL; INC BP; }
detected disk devices:
\Device\Ide\IdeDeviceP1T0L0-1 -> \??\IDE#DiskTOSHIBA_MK3263GSXN______________________GC002M__#5&27973c1f&0&1.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user != kernel MBR !!!
sectors 625142446 (+255): user != kernel
Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.

============= FINISH: 20:05:43,11 ===============

+++++++++++++++++++++++++++++++++++

Novice000

Désactive ton antivirus et tout autre type de protection.
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Copie (Ctrl+C) le texte ci-dessous :

Killall::
Driver::
gbeuqb

File::
c:\users\toshiba\zefex.exe
c:\users\toshiba\coiub.exe
c:\users\toshiba\appdata\local\temp\Pwd.exe
c:\users\toshiba\zeami.exe
c:\windows\temp\Pwd.exe
c:\windows\temp\fmeq\setup.exe
c:\users\toshiba\wjaw.exe
c:\windows\Pqexua.exe

Folder::
c:\program files\Ask Search Assistant

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Combofix se lance, laisse toi guider..

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer

+++++++++++++

Télécharge TDSSKiller de Kaspersky sur ton bureau.

Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)

Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

Clique alors sur le bouton "Start Scan".

Laisse le scan s'effectuer.

Dans la fenêtre de résultat, assures-toi que "Malicious objects" ait le statut "Cure"

Pour la partie "Suspicious object" clique sur "Skip" et choisi "Quarantine"

Clique enfin sur "Continue"

Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

Poste son contenu dans ta prochaine réponse.

| Alerter

Répondre à Sham_Rock

guigui0001

13 Décembre 2010 20:40:17

Bonsoir à vous deux,

Sham_Rock a dit :

Citation :

re
bien vu guigui

look:

Citation :

Service (*** hidden *** ) [BOOT] gbeuqb <-- ROOTKIT !!!

Ouaip

Le fameux gbeuqb qui provoque le BSOD... Ils sont vraiment nuls ces rootkits, même des petits softs comme Bluescreenview les voient

Ils ne devaient pas avoir prévu ça les programmeurs du rootkit, coiffé au poteau par... Bluescreenview :ange:

J'avais vu qu'il n'y avait aucun résultat google sur ce driver, je me suis donc dit [:guigui0001:7]

Infection !

Citation :

mais bien plus intéressant:

Citation :

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior; TDL4 <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sectors 625142192 (+255): rootkit-like behavior;

DDs le loge aussi, et c'est nouveau ;O)

Ouaip, DDS évolue visiblement, infection TDL4 d'ailleurs, c'est du gros dossier, va falloir s'accrocher... MBR virolé et rootkits à gogo, bonne chance :wahoo:

Bonne soirée :hello:

| Alerter

Répondre à guigui0001

Novice000

14 Décembre 2010 14:42:41

Bonjour, voici le compte rendu de combofix:

ComboFix 10-12-13.07 - TOSHIBA 14/12/2010 14:16:13.1.2 - x86
Microsoft Windows 7 Édition Starter 6.1.7600.0.1252.33.1036.18.2048.1320 [GMT 0:00]
Lancé depuis: c:\users\TOSHIBA\Downloads\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\TOSHIBA\wjaw.exe
c:\windows\Pqexua.exe

.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-11-14 au 2010-12-14 ))))))))))))))))))))))))))))))))))))
.

2010-12-14 14:22 . 2010-12-14 14:22 -------- d-----w- c:\users\TOSHIBA\AppData\Local\temp
2010-12-14 14:22 . 2010-12-14 14:22 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-12-12 14:45 . 2010-12-12 14:45 -------- d-----w- c:\program files\NirSoft
2010-12-12 14:44 . 2010-12-12 14:44 -------- d-----w- c:\windows\system32\Macromed
2010-12-12 14:42 . 2010-12-12 14:44 -------- d--h--w- c:\windows\AxInstSV
2010-12-05 17:59 . 2010-12-05 17:59 -------- d-----w- c:\program files\Ask Search Assistant
2010-11-14 15:20 . 2010-09-07 14:47 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-11-14 15:20 . 2010-09-07 14:52 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-11-14 15:20 . 2010-09-07 14:47 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-11-14 15:20 . 2010-09-07 14:52 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-11-14 15:20 . 2010-09-07 14:47 50768 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2010-11-14 15:20 . 2010-09-07 15:12 38848 ----a-w- c:\windows\avastSS.scr
2010-11-14 15:20 . 2010-09-07 15:11 167592 ----a-w- c:\windows\system32\aswBoot.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-13 13:31 . 2010-11-13 13:31 169320 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10135.bin
2010-10-19 10:41 . 2010-10-10 00:50 222080 ------w- c:\windows\system32\MpSigStub.exe
2010-10-07 23:21 . 2010-11-12 14:26 6146896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{091FE2CC-3550-4B0D-BA93-C33FDB2AD6B8}\mpengine.dll
2010-09-23 00:47 . 2010-09-23 00:47 49016 ----a-w- c:\windows\system32\sirenacm.dll
2010-09-21 14:03 . 2010-09-21 14:03 208768 ----a-w- c:\windows\system32\LIVESSP.DLL
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{9c961ae2-9075-45a8-b020-75f0c8461305}"= "c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9c961ae2-9075-45a8-b020-75f0c8461305}]
2010-06-13 19:10 2734688 ----a-w- c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{9c961ae2-9075-45a8-b020-75f0c8461305}"= "c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{9C961AE2-9075-45A8-B020-75F0C8461305}"= "c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-09-23 4240760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TWebCamera"="%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe autorun" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-02 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-02 174104]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-02 151064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"autodetect"="c:\program files\Internet Haut Débit Mobile\AutoDect.exe" [2010-03-02 129360]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp

R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 136176]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [2009-10-12 101120]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2010-03-01 9216]
S1 aswSP;aswSP; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-07-10 122880]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 24064]
S3 RTL8167;Pilote Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-04-27 1011232]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - gbeuqb

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
.
Contenu du dossier 'Tâches planifiées'

2010-12-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 12:21]

2010-12-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 12:21]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.plusnetwork.com
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-zefex - c:\users\TOSHIBA\zefex.exe
HKCU-Run-coiub - c:\users\TOSHIBA\coiub.exe
HKCU-Run-zeami - c:\users\TOSHIBA\zeami.exe
MSConfigStartUp-Metropolis - c:\windows\system32\sshnas21.dll

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600 Disk: TOSHIBA_MK3263GSXN rev.GC002M -> Harddisk0\DR0 -> \Device\Ide\IdePort1 P1T0L0-1

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x864F5446]<<
_asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x864fb504]; MOV EAX, [0x864fb580]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
1 ntkrnlpa!IofCallDriver[0x8304F458] -> \Device\Harddisk0\DR0[0x864CD9A8]
3 CLASSPNP[0x8968359E] -> ntkrnlpa!IofCallDriver[0x8304F458] -> [0x868D0290]
\Driver\atapi[0x864D1AD8] -> IRP_MJ_CREATE -> 0x864F5446
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; PUSHA ; MOV CX, 0x137; MOV BP, 0x62a; ROR BYTE [BP+0x0], CL; INC BP; }
detected disk devices:
\Device\Ide\IdeDeviceP1T0L0-1 -> \??\IDE#DiskTOSHIBA_MK3263GSXN______________________GC002M__#5&27973c1f&0&1.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user != kernel MBR !!!
copy of MBR has been found in sector 9 !
sectors 625142446 (+255): user != kernel
Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\gbeuqb]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1388383925-1688436457-637238278-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"

[HKEY_USERS\S-1-5-21-1388383925-1688436457-637238278-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2010-12-14 14:25:44
ComboFix-quarantined-files.txt 2010-12-14 14:25

Avant-CF: 296 347 119 616 octets libres
Après-CF: 296 729 452 544 octets libres

- - End Of File - - 565F2944623F8105DFBC408A4D18E622

En ce qui concerne TDSSKiller,voici le rapport de suppression:

2010/12/14 14:31:01.0210 TDSS rootkit removing tool 2.4.11.0 Dec 8 2010 14:46:40
2010/12/14 14:31:01.0210 ================================================================================
2010/12/14 14:31:01.0210 SystemInfo:
2010/12/14 14:31:01.0210
2010/12/14 14:31:01.0210 OS Version: 6.1.7600 ServicePack: 0.0
2010/12/14 14:31:01.0210 Product type: Workstation
2010/12/14 14:31:01.0211 ComputerName: TOSHIBA-PC
2010/12/14 14:31:01.0212 UserName: TOSHIBA
2010/12/14 14:31:01.0212 Windows directory: C:\Windows
2010/12/14 14:31:01.0212 System windows directory: C:\Windows
2010/12/14 14:31:01.0212 Processor architecture: Intel x86
2010/12/14 14:31:01.0212 Number of processors: 2
2010/12/14 14:31:01.0212 Page size: 0x1000
2010/12/14 14:31:01.0212 Boot type: Normal boot
2010/12/14 14:31:01.0212 ================================================================================
2010/12/14 14:31:01.0445 Initialize success
2010/12/14 14:31:10.0636 ================================================================================
2010/12/14 14:31:10.0636 Scan started
2010/12/14 14:31:10.0636 Mode: Manual;
2010/12/14 14:31:10.0636 ================================================================================
2010/12/14 14:31:11.0157 1394ohci (6d2aca41739bfe8cb86ee8e85f29697d) C:\Windows\system32\DRIVERS\1394ohci.sys
2010/12/14 14:31:11.0291 ACPI (f0e07d144c8685b8774bc32fc8da4df0) C:\Windows\system32\DRIVERS\ACPI.sys
2010/12/14 14:31:11.0429 AcpiPmi (98d81ca942d19f7d9153b095162ac013) C:\Windows\system32\DRIVERS\acpipmi.sys
2010/12/14 14:31:11.0588 adp94xx (21e785ebd7dc90a06391141aac7892fb) C:\Windows\system32\DRIVERS\adp94xx.sys
2010/12/14 14:31:11.0717 adpahci (0c676bc278d5b59ff5abd57bbe9123f2) C:\Windows\system32\DRIVERS\adpahci.sys
2010/12/14 14:31:11.0854 adpu320 (7c7b5ee4b7b822ec85321fe23a27db33) C:\Windows\system32\DRIVERS\adpu320.sys
2010/12/14 14:31:12.0002 AFD (ddc040fdb01ef1712a6b13e52afb104c) C:\Windows\system32\drivers\afd.sys
2010/12/14 14:31:12.0123 agp440 (507812c3054c21cef746b6ee3d04dd6e) C:\Windows\system32\DRIVERS\agp440.sys
2010/12/14 14:31:12.0252 aic78xx (8b30250d573a8f6b4bd23195160d8707) C:\Windows\system32\DRIVERS\djsvs.sys
2010/12/14 14:31:12.0376 aliide (0d40bcf52ea90fc7df2aeab6503dea44) C:\Windows\system32\DRIVERS\aliide.sys
2010/12/14 14:31:12.0499 amdagp (3c6600a0696e90a463771c7422e23ab5) C:\Windows\system32\DRIVERS\amdagp.sys
2010/12/14 14:31:12.0615 amdide (cd5914170297126b6266860198d1d4f0) C:\Windows\system32\DRIVERS\amdide.sys
2010/12/14 14:31:12.0735 AmdK8 (00dda200d71bac534bf56a9db5dfd666) C:\Windows\system32\DRIVERS\amdk8.sys
2010/12/14 14:31:12.0867 AmdPPM (3cbf30f5370fda40dd3e87df38ea53b6) C:\Windows\system32\DRIVERS\amdppm.sys
2010/12/14 14:31:12.0984 amdsata (2101a86c25c154f8314b24ef49d7fbc2) C:\Windows\system32\DRIVERS\amdsata.sys
2010/12/14 14:31:13.0118 amdsbs (ea43af0c423ff267355f74e7a53bdaba) C:\Windows\system32\DRIVERS\amdsbs.sys
2010/12/14 14:31:13.0238 amdxata (b81c2b5616f6420a9941ea093a92b150) C:\Windows\system32\DRIVERS\amdxata.sys
2010/12/14 14:31:13.0362 AppID (feb834c02ce1e84b6a38f953ca067706) C:\Windows\system32\drivers\appid.sys
2010/12/14 14:31:13.0537 arc (2932004f49677bd84dbc72edb754ffb3) C:\Windows\system32\DRIVERS\arc.sys
2010/12/14 14:31:13.0666 arcsas (5d6f36c46fd283ae1b57bd2e9feb0bc7) C:\Windows\system32\DRIVERS\arcsas.sys
2010/12/14 14:31:13.0803 aswFsBlk (a0d86b8ac93ef95620420c7a24ac5344) C:\Windows\system32\drivers\aswFsBlk.sys
2010/12/14 14:31:13.0955 aswMonFlt (bd9119468c32b7ecd1e0544d3f286a73) C:\Windows\system32\drivers\aswMonFlt.sys
2010/12/14 14:31:14.0096 aswRdr (69823954bbd461a73d69774928c9737e) C:\Windows\system32\drivers\aswRdr.sys
2010/12/14 14:31:14.0245 aswSP (7ecc2776638b04553f9a85bd684c3abf) C:\Windows\system32\drivers\aswSP.sys
2010/12/14 14:31:14.0387 aswTdi (095ed820a926aa8189180b305e1bcfc9) C:\Windows\system32\drivers\aswTdi.sys
2010/12/14 14:31:14.0526 AsyncMac (add2ade1c2b285ab8378d2daaf991481) C:\Windows\system32\DRIVERS\asyncmac.sys
2010/12/14 14:31:14.0638 atapi (338c86357871c167a96ab976519bf59e) C:\Windows\system32\DRIVERS\atapi.sys
2010/12/14 14:31:14.0859 b06bdrv (1a231abec60fd316ec54c66715543cec) C:\Windows\system32\DRIVERS\bxvbdx.sys
2010/12/14 14:31:14.0994 b57nd60x (bd8869eb9cde6bbe4508d869929869ee) C:\Windows\system32\DRIVERS\b57nd60x.sys
2010/12/14 14:31:15.0145 Beep (505506526a9d467307b3c393dedaf858) C:\Windows\system32\drivers\Beep.sys
2010/12/14 14:31:15.0305 blbdrive (2287078ed48fcfc477b05b20cf38f36f) C:\Windows\system32\DRIVERS\blbdrive.sys
2010/12/14 14:31:15.0442 bowser (fcafaef6798d7b51ff029f99a9898961) C:\Windows\system32\DRIVERS\bowser.sys
2010/12/14 14:31:15.0600 BrFiltLo (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\DRIVERS\BrFiltLo.sys
2010/12/14 14:31:15.0707 BrFiltUp (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\DRIVERS\BrFiltUp.sys
2010/12/14 14:31:15.0827 Brserid (845b8ce732e67f3b4133164868c666ea) C:\Windows\System32\Drivers\Brserid.sys
2010/12/14 14:31:15.0949 BrSerWdm (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\System32\Drivers\BrSerWdm.sys
2010/12/14 14:31:16.0065 BrUsbMdm (bd456606156ba17e60a04e18016ae54b) C:\Windows\System32\Drivers\BrUsbMdm.sys
2010/12/14 14:31:16.0182 BrUsbSer (af72ed54503f717a43268b3cc5faec2e) C:\Windows\System32\Drivers\BrUsbSer.sys
2010/12/14 14:31:16.0296 BTHMODEM (ed3df7c56ce0084eb2034432fc56565a) C:\Windows\system32\DRIVERS\bthmodem.sys
2010/12/14 14:31:16.0534 cdfs (77ea11b065e0a8ab902d78145ca51e10) C:\Windows\system32\DRIVERS\cdfs.sys
2010/12/14 14:31:16.0696 cdrom (ba6e70aa0e6091bc39de29477d866a77) C:\Windows\system32\DRIVERS\cdrom.sys
2010/12/14 14:31:16.0829 circlass (3fe3fe94a34df6fb06e6418d0f6a0060) C:\Windows\system32\DRIVERS\circlass.sys
2010/12/14 14:31:16.0969 CLFS (635181e0e9bbf16871bf5380d71db02d) C:\Windows\system32\CLFS.sys
2010/12/14 14:31:17.0131 CmBatt (dea805815e587dad1dd2c502220b5616) C:\Windows\system32\DRIVERS\CmBatt.sys
2010/12/14 14:31:17.0252 cmdide (c537b1db64d495b9b4717b4d6d9edbf2) C:\Windows\system32\DRIVERS\cmdide.sys
2010/12/14 14:31:17.0408 CNG (1b675691ed940766149c93e8f4488d68) C:\Windows\system32\Drivers\cng.sys
2010/12/14 14:31:17.0548 Compbatt (a6023d3823c37043986713f118a89bee) C:\Windows\system32\DRIVERS\compbatt.sys
2010/12/14 14:31:17.0678 CompositeBus (f1724ba27e97d627f808fb0ba77a28a6) C:\Windows\system32\DRIVERS\CompositeBus.sys
2010/12/14 14:31:17.0818 crcdisk (2c4ebcfc84a9b44f209dff6c6e6c61d1) C:\Windows\system32\DRIVERS\crcdisk.sys
2010/12/14 14:31:17.0987 DfsC (8e09e52ee2e3ceb199ef3dd99cf9e3fb) C:\Windows\system32\Drivers\dfsc.sys
2010/12/14 14:31:18.0127 discache (1a050b0274bfb3890703d490f330c0da) C:\Windows\system32\drivers\discache.sys
2010/12/14 14:31:18.0258 Disk (565003f326f99802e68ca78f2a68e9ff) C:\Windows\system32\DRIVERS\disk.sys
2010/12/14 14:31:18.0418 drmkaud (b918e7c5f9bf77202f89e1a9539f2eb4) C:\Windows\system32\drivers\drmkaud.sys
2010/12/14 14:31:18.0568 DXGKrnl (8b6c3464d7fac176500061dbfff42ad4) C:\Windows\System32\drivers\dxgkrnl.sys
2010/12/14 14:31:18.0784 ebdrv (024e1b5cac09731e4d868e64dbfb4ab0) C:\Windows\system32\DRIVERS\evbdx.sys
2010/12/14 14:31:18.0934 elxstor (0ed67910c8c326796faa00b2bf6d9d3c) C:\Windows\system32\DRIVERS\elxstor.sys
2010/12/14 14:31:19.0062 ErrDev (8fc3208352dd3912c94367a206ab3f11) C:\Windows\system32\DRIVERS\errdev.sys
2010/12/14 14:31:19.0235 exfat (2dc9108d74081149cc8b651d3a26207f) C:\Windows\system32\drivers\exfat.sys
2010/12/14 14:31:19.0381 fastfat (7e0ab74553476622fb6ae36f73d97d35) C:\Windows\system32\drivers\fastfat.sys
2010/12/14 14:31:19.0523 fdc (e817a017f82df2a1f8cfdbda29388b29) C:\Windows\system32\DRIVERS\fdc.sys
2010/12/14 14:31:19.0680 FileInfo (6cf00369c97f3cf563be99be983d13d8) C:\Windows\system32\drivers\fileinfo.sys
2010/12/14 14:31:19.0797 Filetrace (42c51dc94c91da21cb9196eb64c45db9) C:\Windows\system32\drivers\filetrace.sys
2010/12/14 14:31:19.0922 flpydisk (87907aa70cb3c56600f1c2fb8841579b) C:\Windows\system32\DRIVERS\flpydisk.sys
2010/12/14 14:31:20.0044 FltMgr (7520ec808e0c35e0ee6f841294316653) C:\Windows\system32\drivers\fltmgr.sys
2010/12/14 14:31:20.0192 FsDepends (1a16b57943853e598cff37fe2b8cbf1d) C:\Windows\system32\drivers\FsDepends.sys
2010/12/14 14:31:20.0303 Fs_Rec (a574b4360e438977038aae4bf60d79a2) C:\Windows\system32\drivers\Fs_Rec.sys
2010/12/14 14:31:20.0454 fvevol (dafbd9fe39197495aed6d51f3b85b5d2) C:\Windows\system32\DRIVERS\fvevol.sys
2010/12/14 14:31:20.0592 gagp30kx (65ee0c7a58b65e74ae05637418153938) C:\Windows\system32\DRIVERS\gagp30kx.sys
2010/12/14 14:31:20.0601 Suspicious service (NoAccess): gbeuqb
2010/12/14 14:31:20.0759 gbeuqb (9c0c714d1c4af4c7da8a1d13478ebee3) C:\Windows\system32\drivers\gbeuqb.sys
2010/12/14 14:31:20.0759 Suspicious file (NoAccess): C:\Windows\system32\drivers\gbeuqb.sys. md5: 9c0c714d1c4af4c7da8a1d13478ebee3
2010/12/14 14:31:20.0769 gbeuqb - detected Locked service (1)
2010/12/14 14:31:20.0935 hcw85cir (c44e3c2bab6837db337ddee7544736db) C:\Windows\system32\drivers\hcw85cir.sys
2010/12/14 14:31:21.0061 HdAudAddService (3530cad25deba7dc7de8bb51632cbc5f) C:\Windows\system32\drivers\HdAudio.sys
2010/12/14 14:31:21.0199 HDAudBus (717a2207fd6f13ad3e664c7d5a43c7bf) C:\Windows\system32\DRIVERS\HDAudBus.sys
2010/12/14 14:31:21.0363 HidBatt (1d58a7f3e11a9731d0eaaaa8405acc36) C:\Windows\system32\DRIVERS\HidBatt.sys
2010/12/14 14:31:21.0490 HidBth (89448f40e6df260c206a193a4683ba78) C:\Windows\system32\DRIVERS\hidbth.sys
2010/12/14 14:31:21.0611 HidIr (cf50b4cf4a4f229b9f3c08351f99ca5e) C:\Windows\system32\DRIVERS\hidir.sys
2010/12/14 14:31:21.0764 HidUsb (25072fb35ac90b25f9e4e3bacf774102) C:\Windows\system32\DRIVERS\hidusb.sys
2010/12/14 14:31:21.0941 HpSAMD (295fdc419039090eb8b49ffdbb374549) C:\Windows\system32\DRIVERS\HpSAMD.sys
2010/12/14 14:31:22.0082 HTTP (c531c7fd9e8b62021112787c4e2c5a5a) C:\Windows\system32\drivers\HTTP.sys
2010/12/14 14:31:22.0355 hwdatacard (1fc7a63148e4f2bd831dab0dc732026d) C:\Windows\system32\DRIVERS\ewusbmdm.sys
2010/12/14 14:31:22.0470 hwpolicy (8305f33cde89ad6c7a0763ed0b5a8d42) C:\Windows\system32\drivers\hwpolicy.sys
2010/12/14 14:31:22.0629 hwusbdev (a259d3619aa23d4562581067f85e2006) C:\Windows\system32\DRIVERS\ewusbdev.sys
2010/12/14 14:31:22.0780 i8042prt (f151f0bdc47f4a28b1b20a0818ea36d6) C:\Windows\system32\DRIVERS\i8042prt.sys
2010/12/14 14:31:22.0910 iaStorV (934af4d7c5f457b9f0743f4299b77b67) C:\Windows\system32\DRIVERS\iaStorV.sys
2010/12/14 14:31:23.0182 igfx (315aaaa2bc9bc778adc0454b3ca8dcce) C:\Windows\system32\DRIVERS\igdkmd32.sys
2010/12/14 14:31:23.0344 iirsp (4173ff5708f3236cf25195fecd742915) C:\Windows\system32\DRIVERS\iirsp.sys
2010/12/14 14:31:23.0505 IntcHdmiAddService (264632ade8127b7baa2190cf6fad435b) C:\Windows\system32\drivers\IntcHdmi.sys
2010/12/14 14:31:23.0643 intelide (a0f12f2c9ba6c72f3987ce780e77c130) C:\Windows\system32\DRIVERS\intelide.sys
2010/12/14 14:31:23.0783 intelppm (3b514d27bfc4accb4037bc6685f766e0) C:\Windows\system32\DRIVERS\intelppm.sys
2010/12/14 14:31:23.0907 IpFilterDriver (709d1761d3b19a932ff0238ea6d50200) C:\Windows\system32\DRIVERS\ipfltdrv.sys
2010/12/14 14:31:24.0061 IPMIDRV (e4454b6c37d7ffd5649611f6496308a7) C:\Windows\system32\DRIVERS\IPMIDrv.sys
2010/12/14 14:31:24.0195 IPNAT (a5fa468d67abcdaa36264e463a7bb0cd) C:\Windows\system32\drivers\ipnat.sys
2010/12/14 14:31:24.0328 IRENUM (42996cff20a3084a56017b7902307e9f) C:\Windows\system32\drivers\irenum.sys
2010/12/14 14:31:24.0444 isapnp (1f32bb6b38f62f7df1a7ab7292638a35) C:\Windows\system32\DRIVERS\isapnp.sys
2010/12/14 14:31:24.0568 iScsiPrt (ed46c223ae46c6866ab77cdc41c404b7) C:\Windows\system32\DRIVERS\msiscsi.sys
2010/12/14 14:31:24.0707 kbdclass (adef52ca1aeae82b50df86b56413107e) C:\Windows\system32\DRIVERS\kbdclass.sys
2010/12/14 14:31:24.0838 kbdhid (3d9f0ebf350edcfd6498057301455964) C:\Windows\system32\DRIVERS\kbdhid.sys
2010/12/14 14:31:24.0975 KSecDD (e36a061ec11b373826905b21be10948f) C:\Windows\system32\Drivers\ksecdd.sys
2010/12/14 14:31:25.0114 KSecPkg (365c6154bbbc5377173f1ca7bfb6cc59) C:\Windows\system32\Drivers\ksecpkg.sys
2010/12/14 14:31:25.0274 lltdio (f7611ec07349979da9b0ae1f18ccc7a6) C:\Windows\system32\DRIVERS\lltdio.sys
2010/12/14 14:31:25.0433 LSI_FC (eb119a53ccf2acc000ac71b065b78fef) C:\Windows\system32\DRIVERS\lsi_fc.sys
2010/12/14 14:31:25.0563 LSI_SAS (8ade1c877256a22e49b75d1cc9161f9c) C:\Windows\system32\DRIVERS\lsi_sas.sys
2010/12/14 14:31:25.0701 LSI_SAS2 (dc9dc3d3daa0e276fd2ec262e38b11e9) C:\Windows\system32\DRIVERS\lsi_sas2.sys
2010/12/14 14:31:25.0989 LSI_SCSI (0a036c7d7cab643a7f07135ac47e0524) C:\Windows\system32\DRIVERS\lsi_scsi.sys
2010/12/14 14:31:26.0126 luafv (6703e366cc18d3b6e534f5cf7df39cee) C:\Windows\system32\drivers\luafv.sys
2010/12/14 14:31:26.0249 massfilter (59a2783aba6019bed0c843c706e10a6a) C:\Windows\system32\drivers\massfilter.sys
2010/12/14 14:31:26.0372 megasas (0fff5b045293002ab38eb1fd1fc2fb74) C:\Windows\system32\DRIVERS\megasas.sys
2010/12/14 14:31:26.0503 MegaSR (dcbab2920c75f390caf1d29f675d03d6) C:\Windows\system32\DRIVERS\MegaSR.sys
2010/12/14 14:31:26.0652 Modem (f001861e5700ee84e2d4e52c712f4964) C:\Windows\system32\drivers\modem.sys
2010/12/14 14:31:26.0803 monitor (79d10964de86b292320e9dfe02282a23) C:\Windows\system32\DRIVERS\monitor.sys
2010/12/14 14:31:26.0968 mouclass (fb18cc1d4c2e716b6b903b0ac0cc0609) C:\Windows\system32\DRIVERS\mouclass.sys
2010/12/14 14:31:27.0101 mouhid (2c388d2cd01c9042596cf3c8f3c7b24d) C:\Windows\system32\DRIVERS\mouhid.sys
2010/12/14 14:31:27.0228 mountmgr (921c18727c5920d6c0300736646931c2) C:\Windows\system32\drivers\mountmgr.sys
2010/12/14 14:31:27.0359 mpio (2af5997438c55fb79d33d015c30e1974) C:\Windows\system32\DRIVERS\mpio.sys
2010/12/14 14:31:27.0475 mpsdrv (ad2723a7b53dd1aacae6ad8c0bfbf4d0) C:\Windows\system32\drivers\mpsdrv.sys
2010/12/14 14:31:27.0626 MRxDAV (b1be47008d20e43da3adc37c24cdb89d) C:\Windows\system32\drivers\mrxdav.sys
2010/12/14 14:31:27.0768 mrxsmb (f1b6aa08497ea86ca6ef6f7a08b0bfb8) C:\Windows\system32\DRIVERS\mrxsmb.sys
2010/12/14 14:31:27.0902 mrxsmb10 (5613358b4050f46f5a9832da8050d6e4) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2010/12/14 14:31:28.0054 mrxsmb20 (25c9792778d80feb4c8201e62281bfdf) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2010/12/14 14:31:28.0176 msahci (4326d168944123f38dd3b2d9c37a0b12) C:\Windows\system32\DRIVERS\msahci.sys
2010/12/14 14:31:28.0311 msdsm (455029c7174a2dbb03dba8a0d8bddd9a) C:\Windows\system32\DRIVERS\msdsm.sys
2010/12/14 14:31:28.0458 Msfs (daefb28e3af5a76abcc2c3078c07327f) C:\Windows\system32\drivers\Msfs.sys
2010/12/14 14:31:28.0568 mshidkmdf (3e1e5767043c5af9367f0056295e9f84) C:\Windows\System32\drivers\mshidkmdf.sys
2010/12/14 14:31:28.0682 msisadrv (0a4e5757ae09fa9622e3158cc1aef114) C:\Windows\system32\DRIVERS\msisadrv.sys
2010/12/14 14:31:28.0820 MSKSSRV (8c0860d6366aaffb6c5bb9df9448e631) C:\Windows\system32\drivers\MSKSSRV.sys
2010/12/14 14:31:28.0947 MSPCLOCK (3ea8b949f963562cedbb549eac0c11ce) C:\Windows\system32\drivers\MSPCLOCK.sys
2010/12/14 14:31:29.0065 MSPQM (f456e973590d663b1073e9c463b40932) C:\Windows\system32\drivers\MSPQM.sys
2010/12/14 14:31:29.0179 MsRPC (0e008fc4819d238c51d7c93e7b41e560) C:\Windows\system32\drivers\MsRPC.sys
2010/12/14 14:31:29.0308 mssmbios (fc6b9ff600cc585ea38b12589bd4e246) C:\Windows\system32\DRIVERS\mssmbios.sys
2010/12/14 14:31:29.0444 MSTEE (b42c6b921f61a6e55159b8be6cd54a36) C:\Windows\system32\drivers\MSTEE.sys
2010/12/14 14:31:29.0577 MTConfig (33599130f44e1f34631cea241de8ac84) C:\Windows\system32\DRIVERS\MTConfig.sys
2010/12/14 14:31:29.0689 Mup (159fad02f64e6381758c990f753bcc80) C:\Windows\system32\Drivers\mup.sys
2010/12/14 14:31:29.0857 NativeWifiP (26384429fcd85d83746f63e798ab1480) C:\Windows\system32\DRIVERS\nwifi.sys
2010/12/14 14:31:30.0016 NDIS (23759d175a0a9baaf04d05047bc135a8) C:\Windows\system32\drivers\ndis.sys
2010/12/14 14:31:30.0146 NdisCap (0e1787aa6c9191d3d319e8bafe86f80c) C:\Windows\system32\DRIVERS\ndiscap.sys
2010/12/14 14:31:30.0276 NdisTapi (e4a8aec125a2e43a9e32afeea7c9c888) C:\Windows\system32\DRIVERS\ndistapi.sys
2010/12/14 14:31:30.0398 Ndisuio (b30ae7f2b6d7e343b0df32e6c08fce75) C:\Windows\system32\DRIVERS\ndisuio.sys
2010/12/14 14:31:30.0519 NdisWan (267c415eadcbe53c9ca873dee39cf3a4) C:\Windows\system32\DRIVERS\ndiswan.sys
2010/12/14 14:31:30.0649 NDProxy (af7e7c63dcef3f8772726f86039d6eb4) C:\Windows\system32\drivers\NDProxy.sys
2010/12/14 14:31:30.0773 NetBIOS (80b275b1ce3b0e79909db7b39af74d51) C:\Windows\system32\DRIVERS\netbios.sys
2010/12/14 14:31:30.0899 NetBT (dd52a733bf4ca5af84562a5e2f963b91) C:\Windows\system32\DRIVERS\netbt.sys
2010/12/14 14:31:31.0071 nfrd960 (1d85c4b390b0ee09c7a46b91efb2c097) C:\Windows\system32\DRIVERS\nfrd960.sys
2010/12/14 14:31:31.0216 Npfs (1db262a9f8c087e8153d89bef3d2235f) C:\Windows\system32\drivers\Npfs.sys
2010/12/14 14:31:31.0345 nsiproxy (e9a0a4d07e53d8fea2bb8387a3293c58) C:\Windows\system32\drivers\nsiproxy.sys
2010/12/14 14:31:31.0510 Ntfs (3795dcd21f740ee799fb7223234215af) C:\Windows\system32\drivers\Ntfs.sys
2010/12/14 14:31:31.0653 Null (f9756a98d69098dca8945d62858a812c) C:\Windows\system32\drivers\Null.sys
2010/12/14 14:31:31.0768 nvraid (3f3d04b1d08d43c16ea7963954ec768d) C:\Windows\system32\DRIVERS\nvraid.sys
2010/12/14 14:31:31.0803 nvstor (c99f251a5de63c6f129cf71933aced0f) C:\Windows\system32\DRIVERS\nvstor.sys
2010/12/14 14:31:31.0931 nv_agp (5a0983915f02bae73267cc2a041f717d) C:\Windows\system32\DRIVERS\nv_agp.sys
2010/12/14 14:31:32.0051 ohci1394 (08a70a1f2cdde9bb49b885cb817a66eb) C:\Windows\system32\DRIVERS\ohci1394.sys
2010/12/14 14:31:32.0180 Parport (2ea877ed5dd9713c5ac74e8ea7348d14) C:\Windows\system32\DRIVERS\parport.sys
2010/12/14 14:31:32.0309 partmgr (ff4218952b51de44fe910953a3e686b9) C:\Windows\system32\drivers\partmgr.sys
2010/12/14 14:31:32.0442 Parvdm (eb0a59f29c19b86479d36b35983daadc) C:\Windows\system32\DRIVERS\parvdm.sys
2010/12/14 14:31:32.0582 pci (c858cb77c577780ecc456a892e7e7d0f) C:\Windows\system32\DRIVERS\pci.sys
2010/12/14 14:31:32.0709 pciide (afe86f419014db4e5593f69ffe26ce0a) C:\Windows\system32\DRIVERS\pciide.sys
2010/12/14 14:31:32.0820 pcmcia (f396431b31693e71e8a80687ef523506) C:\Windows\system32\DRIVERS\pcmcia.sys
2010/12/14 14:31:32.0941 pcw (250f6b43d2b613172035c6747aeeb19f) C:\Windows\system32\drivers\pcw.sys
2010/12/14 14:31:33.0078 PEAUTH (9e0104ba49f4e6973749a02bf41344ed) C:\Windows\system32\drivers\peauth.sys
2010/12/14 14:31:33.0238 PGEffect (1b5011dd8d57f53aed31ff0f7d635802) C:\Windows\system32\DRIVERS\pgeffect.sys
2010/12/14 14:31:33.0403 PptpMiniport (631e3e205ad6d86f2aed6a4a8e69f2db) C:\Windows\system32\DRIVERS\raspptp.sys
2010/12/14 14:31:33.0512 Processor (85b1e3a0c7585bc4aae6899ec6fcf011) C:\Windows\system32\DRIVERS\processr.sys
2010/12/14 14:31:33.0647 Psched (6270ccae2a86de6d146529fe55b3246a) C:\Windows\system32\DRIVERS\pacer.sys
2010/12/14 14:31:33.0808 ql2300 (ab95ecf1f6659a60ddc166d8315b0751) C:\Windows\system32\DRIVERS\ql2300.sys
2010/12/14 14:31:33.0932 ql40xx (b4dd51dd25182244b86737dc51af2270) C:\Windows\system32\DRIVERS\ql40xx.sys
2010/12/14 14:31:34.0070 QWAVEdrv (584078ca1b95ca72df2a27c336f9719d) C:\Windows\system32\drivers\qwavedrv.sys
2010/12/14 14:31:34.0184 RasAcd (30a81b53c766d0133bb86d234e5556ab) C:\Windows\system32\DRIVERS\rasacd.sys
2010/12/14 14:31:34.0315 RasAgileVpn (57ec4aef73660166074d8f7f31c0d4fd) C:\Windows\system32\DRIVERS\AgileVpn.sys
2010/12/14 14:31:34.0466 Rasl2tp (d9f91eafec2815365cbe6d167e4e332a) C:\Windows\system32\DRIVERS\rasl2tp.sys
2010/12/14 14:31:34.0595 RasPppoe (0fe8b15916307a6ac12bfb6a63e45507) C:\Windows\system32\DRIVERS\raspppoe.sys
2010/12/14 14:31:34.0714 RasSstp (44101f495a83ea6401d886e7fd70096b) C:\Windows\system32\DRIVERS\rassstp.sys
2010/12/14 14:31:34.0827 rdbss (835d7e81bf517a3b72384bdcc85e1ce6) C:\Windows\system32\DRIVERS\rdbss.sys
2010/12/14 14:31:34.0948 rdpbus (0d8f05481cb76e70e1da06ee9f0da9df) C:\Windows\system32\DRIVERS\rdpbus.sys
2010/12/14 14:31:35.0071 RDPCDD (1e016846895b15a99f9a176a05029075) C:\Windows\system32\DRIVERS\RDPCDD.sys
2010/12/14 14:31:35.0200 RDPENCDD (5a53ca1598dd4156d44196d200c94b8a) C:\Windows\system32\drivers\rdpencdd.sys
2010/12/14 14:31:35.0337 RDPREFMP (44b0a53cd4f27d50ed461dae0c0b4e1f) C:\Windows\system32\drivers\rdprefmp.sys
2010/12/14 14:31:35.0457 RDPWD (801371ba9782282892d00aadb08ee367) C:\Windows\system32\drivers\RDPWD.sys
2010/12/14 14:31:35.0586 rdyboost (4ea225bf1cf05e158853f30a99ca29a7) C:\Windows\system32\drivers\rdyboost.sys
2010/12/14 14:31:35.0750 rspndr (032b0d36ad92b582d869879f5af5b928) C:\Windows\system32\DRIVERS\rspndr.sys
2010/12/14 14:31:35.0890 RTL8167 (7dfd48e24479b68b258d8770121155a0) C:\Windows\system32\DRIVERS\Rt86win7.sys
2010/12/14 14:31:36.0054 rtl8192se (8327c64e9a4d052339c16499d08f7d6c) C:\Windows\system32\DRIVERS\rtl8192se.sys
2010/12/14 14:31:36.0211 sbp2port (34ee0c44b724e3e4ce2eff29126de5b5) C:\Windows\system32\DRIVERS\sbp2port.sys
2010/12/14 14:31:36.0348 scfilter (a95c54b2ac3cc9c73fcdf9e51a1d6b51) C:\Windows\system32\DRIVERS\scfilter.sys
2010/12/14 14:31:36.0522 secdrv (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
2010/12/14 14:31:36.0664 Serenum (9ad8b8b515e3df6acd4212ef465de2d1) C:\Windows\system32\DRIVERS\serenum.sys
2010/12/14 14:31:36.0800 Serial (5fb7fcea0490d821f26f39cc5ea3d1e2) C:\Windows\system32\DRIVERS\serial.sys
2010/12/14 14:31:36.0916 sermouse (79bffb520327ff916a582dfea17aa813) C:\Windows\system32\DRIVERS\sermouse.sys
2010/12/14 14:31:37.0109 sffdisk (9f976e1eb233df46fce808d9dea3eb9c) C:\Windows\system32\DRIVERS\sffdisk.sys
2010/12/14 14:31:37.0242 sffp_mmc (932a68ee27833cfd57c1639d375f2731) C:\Windows\system32\DRIVERS\sffp_mmc.sys
2010/12/14 14:31:37.0347 sffp_sd (4f1e5b0fe7c8050668dbfade8999aefb) C:\Windows\system32\DRIVERS\sffp_sd.sys
2010/12/14 14:31:37.0456 sfloppy (db96666cc8312ebc45032f30b007a547) C:\Windows\system32\DRIVERS\sfloppy.sys
2010/12/14 14:31:37.0610 sisagp (2565cac0dc9fe0371bdce60832582b2e) C:\Windows\system32\DRIVERS\sisagp.sys
2010/12/14 14:31:37.0723 SiSRaid2 (a9f0486851becb6dda1d89d381e71055) C:\Windows\system32\DRIVERS\SiSRaid2.sys
2010/12/14 14:31:37.0849 SiSRaid4 (3727097b55738e2f554972c3be5bc1aa) C:\Windows\system32\DRIVERS\sisraid4.sys
2010/12/14 14:31:37.0947 Smb (3e21c083b8a01cb70ba1f09303010fce) C:\Windows\system32\DRIVERS\smb.sys
2010/12/14 14:31:38.0092 spldr (95cf1ae7527fb70f7816563cbc09d942) C:\Windows\system32\drivers\spldr.sys
2010/12/14 14:31:38.0252 srv (2dbedfb1853f06110ec2aa7f3213c89f) C:\Windows\system32\DRIVERS\srv.sys
2010/12/14 14:31:38.0392 srv2 (db37131d1027c50ea7ee21c8bb4536aa) C:\Windows\system32\DRIVERS\srv2.sys
2010/12/14 14:31:38.0520 srvnet (f5980b74124db9233b33f86fc5ebbb4f) C:\Windows\system32\DRIVERS\srvnet.sys
2010/12/14 14:31:38.0664 stexstor (db32d325c192b801df274bfd12a7e72b) C:\Windows\system32\DRIVERS\stexstor.sys
2010/12/14 14:31:38.0807 swenum (e58c78a848add9610a4db6d214af5224) C:\Windows\system32\DRIVERS\swenum.sys
2010/12/14 14:31:39.0006 Tcpip (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\drivers\tcpip.sys
2010/12/14 14:31:39.0185 TCPIP6 (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\DRIVERS\tcpip.sys
2010/12/14 14:31:39.0312 tcpipreg (e64444523add154f86567c469bc0b17f) C:\Windows\system32\drivers\tcpipreg.sys
2010/12/14 14:31:39.0452 TDPIPE (1875c1490d99e70e449e3afae9fcbadf) C:\Windows\system32\drivers\tdpipe.sys
2010/12/14 14:31:39.0572 TDTCP (7551e91ea999ee9a8e9c331d5a9c31f3) C:\Windows\system32\drivers\tdtcp.sys
2010/12/14 14:31:39.0697 tdx (cb39e896a2a83702d1737bfd402b3542) C:\Windows\system32\DRIVERS\tdx.sys
2010/12/14 14:31:39.0823 TermDD (c36f41ee20e6999dbf4b0425963268a5) C:\Windows\system32\DRIVERS\termdd.sys
2010/12/14 14:31:40.0002 tssecsrv (98ae6fa07d12cb4ec5cf4a9bfa5f4242) C:\Windows\system32\DRIVERS\tssecsrv.sys
2010/12/14 14:31:40.0140 tunnel (3e461d890a97f9d4c168f5fda36e1d00) C:\Windows\system32\DRIVERS\tunnel.sys
2010/12/14 14:31:40.0278 TVALZ (792a8b80f8188aba4b2be271583f3e46) C:\Windows\system32\DRIVERS\TVALZ_O.SYS
2010/12/14 14:31:40.0393 uagp35 (750fbcb269f4d7dd2e420c56b795db6d) C:\Windows\system32\DRIVERS\uagp35.sys
2010/12/14 14:31:40.0509 udfs (09cc3e16f8e5ee7168e01cf8fcbe061a) C:\Windows\system32\DRIVERS\udfs.sys
2010/12/14 14:31:40.0653 uliagpkx (44e8048ace47befbfdc2e9be4cbc8880) C:\Windows\system32\DRIVERS\uliagpkx.sys
2010/12/14 14:31:40.0785 umbus (049b3a50b3d646baeeee9eec9b0668dc) C:\Windows\system32\DRIVERS\umbus.sys
2010/12/14 14:31:40.0902 UmPass (7550ad0c6998ba1cb4843e920ee0feac) C:\Windows\system32\DRIVERS\umpass.sys
2010/12/14 14:31:41.0043 usbccgp (8455c4ed038efd09e99327f9d2d48ffa) C:\Windows\system32\DRIVERS\usbccgp.sys
2010/12/14 14:31:41.0167 usbcir (04ec7cec62ec3b6d9354eee93327fc82) C:\Windows\system32\DRIVERS\usbcir.sys
2010/12/14 14:31:41.0317 usbehci (1c333bfd60f2fed2c7ad5daf533cb742) C:\Windows\system32\DRIVERS\usbehci.sys
2010/12/14 14:31:41.0451 usbhub (ee6ef93ccfa94fae8c6ab298273d8ae2) C:\Windows\system32\DRIVERS\usbhub.sys
2010/12/14 14:31:41.0566 usbohci (a6fb7957ea7afb1165991e54ce934b74) C:\Windows\system32\DRIVERS\usbohci.sys
2010/12/14 14:31:41.0684 usbprint (797d862fe0875e75c7cc4c1ad7b30252) C:\Windows\system32\DRIVERS\usbprint.sys
2010/12/14 14:31:41.0795 USBSTOR (d8889d56e0d27e57ed4591837fe71d27) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2010/12/14 14:31:41.0942 usbuhci (78780c3ebce17405b1ccd07a3a8a7d72) C:\Windows\system32\DRIVERS\usbuhci.sys
2010/12/14 14:31:42.0071 usbvideo (b5f6a992d996282b7fae7048e50af83a) C:\Windows\system32\Drivers\usbvideo.sys
2010/12/14 14:31:42.0226 vdrvroot (a059c4c3edb09e07d21a8e5c0aabd3cb) C:\Windows\system32\DRIVERS\vdrvroot.sys
2010/12/14 14:31:42.0363 vga (17c408214ea61696cec9c66e388b14f3) C:\Windows\system32\DRIVERS\vgapnp.sys
2010/12/14 14:31:42.0481 VgaSave (8e38096ad5c8570a6f1570a61e251561) C:\Windows\System32\drivers\vga.sys
2010/12/14 14:31:42.0596 vhdmp (3be6e1f3a4f1afec8cee0d7883f93583) C:\Windows\system32\DRIVERS\vhdmp.sys
2010/12/14 14:31:42.0718 viaagp (c829317a37b4bea8f39735d4b076e923) C:\Windows\system32\DRIVERS\viaagp.sys
2010/12/14 14:31:42.0841 ViaC7 (e02f079a6aa107f06b16549c6e5c7b74) C:\Windows\system32\DRIVERS\viac7.sys
2010/12/14 14:31:42.0968 viaide (e43574f6a56a0ee11809b48c09e4fd3c) C:\Windows\system32\DRIVERS\viaide.sys
2010/12/14 14:31:43.0103 volmgr (384e5a2aa49934295171e499f86ba6f3) C:\Windows\system32\DRIVERS\volmgr.sys
2010/12/14 14:31:43.0250 volmgrx (b5bb72067ddddbbfb04b2f89ff8c3c87) C:\Windows\system32\drivers\volmgrx.sys
2010/12/14 14:31:43.0379 volsnap (58df9d2481a56edde167e51b334d44fd) C:\Windows\system32\DRIVERS\volsnap.sys
2010/12/14 14:31:43.0496 vsmraid (9dfa0cc2f8855a04816729651175b631) C:\Windows\system32\DRIVERS\vsmraid.sys
2010/12/14 14:31:43.0654 vwifibus (90567b1e658001e79d7c8bbd3dde5aa6) C:\Windows\system32\DRIVERS\vwifibus.sys
2010/12/14 14:31:43.0758 vwififlt (7090d3436eeb4e7da3373090a23448f7) C:\Windows\system32\DRIVERS\vwififlt.sys
2010/12/14 14:31:44.0035 WacomPen (de3721e89c653aa281428c8a69745d90) C:\Windows\system32\DRIVERS\wacompen.sys
2010/12/14 14:31:44.0137 WANARP (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
2010/12/14 14:31:44.0168 Wanarpv6 (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
2010/12/14 14:31:44.0320 Wd (1112a9badacb47b7c0bb0392e3158dff) C:\Windows\system32\DRIVERS\wd.sys
2010/12/14 14:31:44.0439 Wdf01000 (9950e3d0f08141c7e89e64456ae7dc73) C:\Windows\system32\drivers\Wdf01000.sys
2010/12/14 14:31:44.0604 WfpLwf (8b9a943f3b53861f2bfaf6c186168f79) C:\Windows\system32\DRIVERS\wfplwf.sys
2010/12/14 14:31:44.0729 WIMMount (5cf95b35e59e2a38023836fff31be64c) C:\Windows\system32\drivers\wimmount.sys
2010/12/14 14:31:44.0912 WmiAcpi (0217679b8fca58714c3bf2726d2ca84e) C:\Windows\system32\DRIVERS\wmiacpi.sys
2010/12/14 14:31:45.0062 ws2ifsl (6db3276587b853bf886b69528fdb048c) C:\Windows\system32\drivers\ws2ifsl.sys
2010/12/14 14:31:45.0218 WudfPf (6f9b6c0c93232cff47d0f72d6db1d21e) C:\Windows\system32\drivers\WudfPf.sys
2010/12/14 14:31:45.0352 WUDFRd (f91ff1e51fca30b3c3981db7d5924252) C:\Windows\system32\DRIVERS\WUDFRd.sys
2010/12/14 14:31:45.0493 ZTEusbmdm6k (3862318f85be7a91957ada5e814ed58c) C:\Windows\system32\DRIVERS\ZTEusbmdm6k.sys
2010/12/14 14:31:45.0608 ZTEusbnmea (3862318f85be7a91957ada5e814ed58c) C:\Windows\system32\DRIVERS\ZTEusbnmea.sys
2010/12/14 14:31:45.0730 ZTEusbser6k (3862318f85be7a91957ada5e814ed58c) C:\Windows\system32\DRIVERS\ZTEusbser6k.sys
2010/12/14 14:31:45.0774 \HardDisk0 - detected Rootkit.Win32.TDSS.tdl4 (0)
2010/12/14 14:31:45.0780 ================================================================================
2010/12/14 14:31:45.0780 Scan finished
2010/12/14 14:31:45.0780 ================================================================================
2010/12/14 14:31:45.0796 Detected object count: 2
2010/12/14 14:32:17.0811 gbeuqb (9c0c714d1c4af4c7da8a1d13478ebee3) C:\Windows\system32\drivers\gbeuqb.sys
2010/12/14 14:32:17.0811 Suspicious file (NoAccess): C:\Windows\system32\drivers\gbeuqb.sys. md5: 9c0c714d1c4af4c7da8a1d13478ebee3
2010/12/14 14:32:17.0819 C:\Windows\system32\drivers\gbeuqb.sys - copied to quarantine
2010/12/14 14:32:17.0822 Locked service(gbeuqb) - User select action: Quarantine
2010/12/14 14:32:17.0896 \HardDisk0 - will be cured after reboot
2010/12/14 14:32:17.0897 Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Cure
2010/12/14 14:32:34.0508 Deinitialize success

Voila tout,ce que tu m'as demandé de faire s'est bien passé en général.
Merci d'avance.

| Alerter

Répondre à Novice000

Sham_Rock

15 Décembre 2010 13:26:13

re
tu n'as pas fait ce que je demandais, regarde:

Citation :

2010/12/14 14:31:20.0601 Suspicious service (NoAccess): gbeuqb
2010/12/14 14:31:20.0759 gbeuqb (9c0c714d1c4af4c7da8a1d13478ebee3) C:\Windows\system32\drivers\gbeuqb.sys
2010/12/14 14:31:20.0759 Suspicious file (NoAccess): C:\Windows\system32\drivers\gbeuqb.sys. md5: 9c0c714d1c4af4c7da8a1d13478ebee3
2010/12/14 14:31:20.0769 gbeuqb - detected Locked service (1)

tu n'as pas fais un copié/collé du script proposé et fait le glissé/déposé comme sur l'image...

reprends la procédure avec combofix et CFScript stp.

Citation :

c:\users\TOSHIBA\Downloads\ComboFix.exe

Déplace ComboFix et mets-le sur ton bureau !

Désactive ton antivirus et tout autre type de protection.

Copie (Ctrl+C) le texte ci-dessous :

Killall::
Driver::
gbeuqb

File::
c:\users\toshiba\zefex.exe
c:\users\toshiba\coiub.exe
c:\users\toshiba\appdata\local\temp\Pwd.exe
c:\users\toshiba\zeami.exe
c:\windows\temp\Pwd.exe
c:\windows\temp\fmeq\setup.exe
c:\users\toshiba\wjaw.exe
c:\windows\Pqexua.exe

Folder::
c:\program files\Ask Search Assistant

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Combofix se lance, laisse toi guider..

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer

+++++++++++++

| Alerter

Répondre à Sham_Rock

Novice000

15 Décembre 2010 14:59:17

Re,je ne comprends pas pourtant j'ai bien suivi tout ce que tu m'as dit..je viens de refaire c'est la meme chose regarde:

ComboFix 10-12-14.07 - TOSHIBA 15/12/2010 14:45:24.1.2 - x86
Microsoft Windows 7 Édition Starter 6.1.7600.0.1252.33.1036.18.2048.1395 [GMT 0:00]
Lancé depuis: c:\users\TOSHIBA\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\TOSHIBA\Documents\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

FILE ::
"c:\users\toshiba\appdata\local\temp\Pwd.exe"
"c:\users\toshiba\coiub.exe"
"c:\users\toshiba\wjaw.exe"
"c:\users\toshiba\zeami.exe"
"c:\users\toshiba\zefex.exe"
"c:\windows\Pqexua.exe"
"c:\windows\temp\fmeq\setup.exe"
"c:\windows\temp\Pwd.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Ask Search Assistant
c:\program files\Ask Search Assistant\ask.ico
c:\program files\Ask Search Assistant\AskSearchAsst.ini
c:\program files\Ask Search Assistant\Install.asa.log
c:\program files\Ask Search Assistant\uninst.exe
c:\users\TOSHIBA\wjaw.exe
c:\windows\Pqexua.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GBEUQB
-------\Service_gbeuqb

((((((((((((((((((((((((((((( Fichiers créés du 2010-11-15 au 2010-12-15 ))))))))))))))))))))))))))))))))))))
.

2010-12-15 14:49 . 2010-12-15 14:49 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-12-14 23:05 . 2010-12-14 23:05 -------- d-----w- c:\program files\Microsoft.NET
2010-12-14 23:04 . 2010-12-14 23:05 -------- d-----w- C:\22c82e7d0d1101c9f71b65
2010-12-14 14:32 . 2010-12-14 14:32 -------- d-----w- C:\TDSSKiller_Quarantine
2010-12-12 14:45 . 2010-12-12 14:45 -------- d-----w- c:\program files\NirSoft
2010-12-12 14:44 . 2010-12-12 14:44 -------- d-----w- c:\windows\system32\Macromed
2010-12-12 14:42 . 2010-12-12 14:44 -------- d--h--w- c:\windows\AxInstSV

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-15 14:50 . 2010-11-14 14:45 764416 ----a-w- c:\windows\system32\drivers\gbeuqb.sys
2010-11-13 13:31 . 2010-11-13 13:31 169320 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10135.bin
2010-10-19 10:41 . 2010-10-10 00:50 222080 ------w- c:\windows\system32\MpSigStub.exe
2010-10-07 23:21 . 2010-11-12 14:26 6146896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{091FE2CC-3550-4B0D-BA93-C33FDB2AD6B8}\mpengine.dll
2010-09-23 00:47 . 2010-09-23 00:47 49016 ----a-w- c:\windows\system32\sirenacm.dll
2010-09-21 14:03 . 2010-09-21 14:03 208768 ----a-w- c:\windows\system32\LIVESSP.DLL
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{9c961ae2-9075-45a8-b020-75f0c8461305}"= "c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9c961ae2-9075-45a8-b020-75f0c8461305}]
2010-06-13 19:10 2734688 ----a-w- c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{9c961ae2-9075-45a8-b020-75f0c8461305}"= "c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{9C961AE2-9075-45A8-B020-75F0C8461305}"= "c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll" [2010-06-13 2734688]

[HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-09-23 4240760]
"zefex"="c:\users\TOSHIBA\zefex.exe" [BU]
"coiub"="c:\users\TOSHIBA\coiub.exe" [BU]
"zeami"="c:\users\TOSHIBA\zeami.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TWebCamera"="%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe autorun" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-02 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-02 174104]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-02 151064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"autodetect"="c:\program files\Internet Haut Débit Mobile\AutoDect.exe" [2010-03-02 129360]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Metropolis]
c:\windows\system32\sshnas21.dll [BU]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
.
Contenu du dossier 'Tâches planifiées'

2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 12:21]

2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 12:21]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.plusnetwork.com
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-Ask.com Search Assistant - c:\program files\Ask Search Assistant\uninst.exe

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1388383925-1688436457-637238278-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"

[HKEY_USERS\S-1-5-21-1388383925-1688436457-637238278-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\taskhost.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\conhost.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Heure de fin: 2010-12-15 14:53:44 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-12-15 14:53
ComboFix2.txt 2010-12-14 14:25

Avant-CF: 295 461 269 504 octets libres
Après-CF: 295 321 874 432 octets libres

- - End Of File - - DA675415F013373DD85F1F42E5C3FECC

J'ai bien glisser/déposer tout s'est bien dérouler...

| Alerter

Répondre à Novice000

Sham_Rock

15 Décembre 2010 20:22:24

re

ça colle bien ton truc...

1

Telecharge:: http://swandog46.geekstogo.com/avenger2/download.php
http://swandog46.geekstogo.com/avenger2/avenger.zip

• dezippe le , Lance le , executer en tant qu'administrateur sous vista

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

Begin copying here:
Drivers to delete:
gbeuqb
Files to delete:
C:\windows\system32\drivers\gbeuqb.sys

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip protégé par mot de passe ici : C:\avenger\backup.zip

2

Copie (Ctrl+C) le texte ci-dessous :

File::
c:\windows\system32\drivers\gbeuqb.sys
c:\users\TOSHIBA\zefex.exe
c:\users\TOSHIBA\coiub.exe
c:\users\TOSHIBA\zeami.exe
c:\windows\system32\sshnas21.dll
Registry::
[-HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zefex"=-
"coiub"=-
"zeami"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Metropolis]

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Combofix se lance, laisse toi guider..

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer

| Alerter

Répondre à Sham_Rock

Sham_Rock

15 Décembre 2010 20:38:15

re
j'ai viré ton message, recommence le script avec the avenger stp

| Alerter

Répondre à Sham_Rock

Novice000

15 Décembre 2010 20:54:49

re,

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gbeuqb" not found!
Deletion of driver "gbeuqb" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\windows\system32\drivers\gbeuqb.sys" not found!
Deletion of file "C:\windows\system32\drivers\gbeuqb.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

| Alerter

Répondre à Novice000

Sham_Rock

16 Décembre 2010 17:57:49

re
tu peux faire la suite avec combofix stp... (le script que tu devais réaliser dans la foulée de the avenger...) :whistle:

| Alerter

Répondre à Sham_Rock

Novice000

16 Décembre 2010 19:37:46

Re,
Je l'ai déjà fait 3 fois ca donne la meme chose que ce que je t'ai envoyé...
Puis j'ai constaté que le bluescreen n'apparait plus,je ne sais pas si c'est temporaire mais je te le dis quand meme pour que tu saches si c'est une bonne chose si c'est fini ou pas.

| Alerter

Répondre à Novice000

Sham_Rock

17 Décembre 2010 19:58:51

Bonsoir

Novice000 a dit :

Re,
Je l'ai déjà fait 3 fois ca donne la meme chose que ce que je t'ai envoyé...
Puis j'ai constaté que le bluescreen n'apparait plus,je ne sais pas si c'est temporaire mais je te le dis quand meme pour que tu saches si c'est une bonne chose si c'est fini ou pas.

Tu n'as rien fait 3 fois puisque je te demande un rapport que je n'ai toujours pas...

Même si tu n'as plus de bsod, ça ne veut pas dire que c'est terminé... Je dois tout vérifier et je te dirais quand ça sera propre... Normalement, ça devrait rouler, ce que j'ai mis dans le script n'est plus là; mais j'ai besoin d'être sûr.

(quand ça colle comme ça, je préfère vérifier plusieurs fois)
donc on reprend: et cette fois-ci je veux le rapport....

Copie (Ctrl+C) le texte ci-dessous :

File::
c:\windows\system32\drivers\gbeuqb.sys
c:\users\TOSHIBA\zefex.exe
c:\users\TOSHIBA\coiub.exe
c:\users\TOSHIBA\zeami.exe
c:\windows\system32\sshnas21.dll
Registry::
[-HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zefex"=-
"coiub"=-
"zeami"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Metropolis]

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Combofix se lance, laisse toi guider..

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer

| Alerter

Répondre à Sham_Rock

Novice000

20 Décembre 2010 17:47:12

Re,
LE RAPPORT de ComboFix:

ComboFix 10-12-15.04 - TOSHIBA 20/12/2010 17:33:31.3.2 - x86
Microsoft Windows 7 Édition Starter 6.1.7600.0.1252.33.1036.18.2048.1366 [GMT 0:00]
Lancé depuis: c:\users\TOSHIBA\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\TOSHIBA\Documents\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

FILE ::
"c:\users\TOSHIBA\coiub.exe"
"c:\users\TOSHIBA\zeami.exe"
"c:\users\TOSHIBA\zefex.exe"
"c:\windows\system32\drivers\gbeuqb.sys"
"c:\windows\system32\sshnas21.dll"
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-11-20 au 2010-12-20 ))))))))))))))))))))))))))))))))))))
.

2010-12-20 17:37 . 2010-12-20 17:37 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-12-19 18:28 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{B161B207-F7C3-46EA-879D-FE1B078E8392}\mpengine.dll
2010-12-15 18:16 . 2010-10-12 04:25 516096 ----a-w- c:\program files\Windows Mail\wab.exe
2010-12-15 18:16 . 2010-10-27 04:32 2048 ----a-w- c:\windows\system32\tzres.dll
2010-12-15 18:13 . 2010-11-02 04:41 351232 ----a-w- c:\windows\system32\wmicmiplugin.dll
2010-12-15 18:13 . 2010-11-02 04:40 496128 ----a-w- c:\windows\system32\taskschd.dll
2010-12-15 18:13 . 2010-11-02 04:39 749056 ----a-w- c:\windows\system32\schedsvc.dll
2010-12-15 18:13 . 2010-11-02 04:34 192000 ----a-w- c:\windows\system32\taskeng.exe
2010-12-15 18:13 . 2010-11-02 04:40 305152 ----a-w- c:\windows\system32\taskcomp.dll
2010-12-15 18:13 . 2010-11-02 04:34 179712 ----a-w- c:\windows\system32\schtasks.exe
2010-12-15 18:12 . 2010-10-20 04:54 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-12-15 18:12 . 2010-10-20 02:58 294400 ----a-w- c:\windows\system32\atmfd.dll
2010-12-15 18:12 . 2010-10-16 04:36 314368 ----a-w- c:\windows\system32\webio.dll
2010-12-15 18:12 . 2010-10-16 04:41 101760 ----a-w- c:\windows\system32\consent.exe
2010-12-15 18:12 . 2010-04-07 07:10 571904 ----a-w- c:\windows\system32\oleaut32.dll
2010-12-15 18:12 . 2010-10-19 08:10 7680 ----a-w- c:\program files\Internet Explorer\iecompat.dll
2010-12-15 18:11 . 2010-10-20 03:00 2327552 ----a-w- c:\windows\system32\win32k.sys
2010-12-14 23:05 . 2010-12-14 23:05 -------- d-----w- c:\program files\Microsoft.NET
2010-12-14 23:04 . 2010-12-14 23:05 -------- d-----w- C:\22c82e7d0d1101c9f71b65
2010-12-14 14:32 . 2010-12-14 14:32 -------- d-----w- C:\TDSSKiller_Quarantine
2010-12-12 14:45 . 2010-12-12 14:45 -------- d-----w- c:\program files\NirSoft
2010-12-12 14:44 . 2010-12-12 14:44 -------- d-----w- c:\windows\system32\Macromed
2010-12-12 14:42 . 2010-12-12 14:44 -------- d--h--w- c:\windows\AxInstSV

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-13 13:31 . 2010-11-13 13:31 169320 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10135.bin
2010-10-19 10:41 . 2010-10-10 00:50 222080 ------w- c:\windows\system32\MpSigStub.exe
2010-09-23 00:47 . 2010-09-23 00:47 49016 ----a-w- c:\windows\system32\sirenacm.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-09-23 4240760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TWebCamera"="%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe autorun" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-02 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-02 174104]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-02 151064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"autodetect"="c:\program files\Internet Haut Débit Mobile\AutoDect.exe" [2010-03-02 129360]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 136176]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [2009-10-12 101120]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2010-03-01 9216]
S1 aswSP;aswSP; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-07-10 122880]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 24064]
S3 RTL8167;Pilote Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-04-27 1011232]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
.
Contenu du dossier 'Tâches planifiées'

2010-12-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 12:21]

2010-12-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 12:21]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.plusnetwork.com
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1388383925-1688436457-637238278-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"

[HKEY_USERS\S-1-5-21-1388383925-1688436457-637238278-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2010-12-20 17:39:29
ComboFix-quarantined-files.txt 2010-12-20 17:39
ComboFix2.txt 2010-12-15 20:45
ComboFix3.txt 2010-12-15 14:53
ComboFix4.txt 2010-12-14 14:25

Avant-CF: 295 605 264 384 octets libres
Après-CF: 295 541 325 824 octets libres

- - End Of File - - 9A77D181911F8D618DAE00B37B61B450

| Alerter

Répondre à Novice000

Sham_Rock

21 Décembre 2010 09:12:35

Bonjour
comment se comporte ton pc?

| Alerter

Répondre à Sham_Rock

Novice000

21 Décembre 2010 14:52:01

Bonjour,
Et bien il est normal il ne s'éteint plus automatiquement et fonctionne bien! Il est guéri cette fois?

| Alerter

Répondre à Novice000

Sham_Rock

21 Décembre 2010 21:43:05

Désinstalle combofix en suivant cette procédure:

Menu démarrer puis exécuter

Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.

Supprime tous les programmes installés pour la désinfection.

Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.

Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

Lire aussi:

Antispyware gratuit : ça sert à rien!

~Edite ton premier message et marque [résolu] dans le titre.
Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.

:hello:

| Alerter

Répondre à Sham_Rock

guigui0001

22 Décembre 2010 10:53:02

Salut,

Juste une question par rapport à cette désinfection, le MBR était infecté, pourtant tu n'as pas fait passer Bootkit Remover ; quel outil a fait le boulot de supprimer le rootkit MBR ? Merci d'avance

| Alerter

Répondre à guigui0001

Sham_Rock

22 Décembre 2010 13:47:51

'llo

Citation :

.
\\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected

| Alerter

Répondre à Sham_Rock

guigui0001

22 Décembre 2010 14:29:48

Arf, il est trop fort ce combofix

Merci bien

@+

| Alerter

Répondre à guigui0001

lu600l

22 Janvier 2011 10:19:05

J'ai eu le mm pb que novice0000, j'ai lancé TDSSKiller, mais après l'avoir démarré il me dit:
System scan completed
infection: not found

Du coup je ne sais plus trop quoi faire et à quoi est dû le blue screen...

| Alerter

Répondre à lu600l

lu600l

22 Janvier 2011 10:28:37

Salut!!!

Moi je pensai avoir le mm pb que novice000 et je ne voulais pas vous faire perdre votre temps si çà avait été le cas, mais il se trouve qu'après avoir fait toutes les étapes TDSSKiller me dit qu'après ananalyse:
Infection: not found
Du coup je medemande si c'est bien le mm soucis, pourtant au bout de 20min d'utilisation j'ai un bluescreen (voire mm au bout de 2min après le démarrage de windows 7)
Tout ce que j'ai le temps de noter avant le redémarrage c'est: DRIVER_IQRL_NOT_LESS_OR_EQUAL
Merci de me donner un coup de pouce, parce que je viens tout juste de reçevoir cet ordi (il y a seulement qlq jours), et j'ai installé l'antivirus presqu'aussitôt (spyware doctor), alors je ne comprends pas bien ce que j'ai mal fait...

Merciiiiii

| Alerter

Répondre à lu600l

guigui0001

22 Janvier 2011 11:44:46

Il faut créer ton propre sujet

| Alerter

Répondre à guigui0001

Tom's guide dans le monde