TR/Vundo.Gen et TR/PCK.Tdss.Z.230
Résolu
garywald
Messages postés
49
Date d'inscription
Statut
Membre
Dernière intervention
-
fix200 Messages postés 3243 Date d'inscription Statut Contributeur sécurité Dernière intervention -
fix200 Messages postés 3243 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Presque tout est dans le titre, mon antivirus Aviraantivir n'arrête pas de me détecter ces deux virus :
Dans le fichier 'C:\Windows\System32\tdlclk.dll'
un virus ou un programme indésirable 'TR/PCK.Tdss.Z.230' [trojan] a été détecté.
Dans le fichier 'C:\Windows\System32\tdlcmd.dll'
un virus ou un programme indésirable 'TR/Vundo.Gen' [trojan] a été détecté.
J'ai eu beau essayer de les mettre en quarantaine ou de les supprimer, rien n'y fait, j'ai (presque tout essayer : spybot, malwarebytes,.... et autres logiciels.
merci de m'aider à résoudre ce problème, les détections avira sont assez énervante venant à tout bout de champs.
Presque tout est dans le titre, mon antivirus Aviraantivir n'arrête pas de me détecter ces deux virus :
Dans le fichier 'C:\Windows\System32\tdlclk.dll'
un virus ou un programme indésirable 'TR/PCK.Tdss.Z.230' [trojan] a été détecté.
Dans le fichier 'C:\Windows\System32\tdlcmd.dll'
un virus ou un programme indésirable 'TR/Vundo.Gen' [trojan] a été détecté.
J'ai eu beau essayer de les mettre en quarantaine ou de les supprimer, rien n'y fait, j'ai (presque tout essayer : spybot, malwarebytes,.... et autres logiciels.
merci de m'aider à résoudre ce problème, les détections avira sont assez énervante venant à tout bout de champs.
A voir également:
- TR/Vundo.Gen et TR/PCK.Tdss.Z.230
- Sennheiser tr 4200 problème - Forum Casque et écouteurs
- &Quot;Bip-bip" intempestif dans mon casque Sennheiser RR 4200" - Forum TV & Vidéo
- Sennheiser tr 120 mode d'emploi - Forum TV & Vidéo
- 230 volt en watt - Forum Matériel & Système
- Tr signification ✓ - Forum Loisirs / Divertissements
117 réponses
ça sent très mauvais ... :(
Fais ça en mode sans échec:
https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=3#49
Fais ça en mode sans échec:
https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=3#49
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Supprime tous les combofix renommés.
ENSUITE:
Télécharge Toolscleaner sur ton Bureau
▶ Sous XP : Double-clique sur ToolsCleaner2.exe
▶ Sous Vista : Fais un clic droit sur ToolsCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur"
▶ Clique sur Recherche et laisse le scan se terminer.
▶ Clique sur Suppression pour finaliser.
▶ Tu peux, si tu le souhaites, te servir des Options facultatives.
▶ Clique sur Quitter (et pas sur la croix rouge !) , pour que le rapport puisse se créer.
▶ Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse
ENSUITE:
Essaye de lancer combo:
http://ww38.toofiles.com/fr/oip/documents/exe/reader_sl.html
ENSUITE:
Télécharge Toolscleaner sur ton Bureau
▶ Sous XP : Double-clique sur ToolsCleaner2.exe
▶ Sous Vista : Fais un clic droit sur ToolsCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur"
▶ Clique sur Recherche et laisse le scan se terminer.
▶ Clique sur Suppression pour finaliser.
▶ Tu peux, si tu le souhaites, te servir des Options facultatives.
▶ Clique sur Quitter (et pas sur la croix rouge !) , pour que le rapport puisse se créer.
▶ Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse
ENSUITE:
Essaye de lancer combo:
http://ww38.toofiles.com/fr/oip/documents/exe/reader_sl.html
Merci les gars ;)
Supprime tous les combofix renommés.
ENSUITE:
Télécharge Toolscleaner sur ton Bureau
▶ Sous XP : Double-clique sur ToolsCleaner2.exe
▶ Sous Vista : Fais un clic droit sur ToolsCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur"
▶ Clique sur Recherche et laisse le scan se terminer.
▶ Clique sur Suppression pour finaliser.
▶ Tu peux, si tu le souhaites, te servir des Options facultatives.
▶ Clique sur Quitter (et pas sur la croix rouge !) , pour que le rapport puisse se créer.
▶ Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse
ENSUITE:
Essaye de lancer combo:
http://ww38.toofiles.com/fr/oip/documents/exe/reader_sl.html
Supprime tous les combofix renommés.
ENSUITE:
Télécharge Toolscleaner sur ton Bureau
▶ Sous XP : Double-clique sur ToolsCleaner2.exe
▶ Sous Vista : Fais un clic droit sur ToolsCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur"
▶ Clique sur Recherche et laisse le scan se terminer.
▶ Clique sur Suppression pour finaliser.
▶ Tu peux, si tu le souhaites, te servir des Options facultatives.
▶ Clique sur Quitter (et pas sur la croix rouge !) , pour que le rapport puisse se créer.
▶ Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse
ENSUITE:
Essaye de lancer combo:
http://ww38.toofiles.com/fr/oip/documents/exe/reader_sl.html
c'est normal que dès le début, il se mette en ne répond pas ....XD chuis dsl je le fait pas exprès !!
Si ça ne marche pas avec Tools Cleaner, essaye les commandes suivantes
Désinstallation de Combofix
Clique sur => Démarrer => Exécuter
Tapes ComboFix /Uninstall
ATTENTION a bien laisser un espace entre le X et le /
Clique sur OK
Recommence avec les versions renommées ( en mettant le nom que tu as utilisé pour les renommer )
Désinstallation de Combofix
Clique sur => Démarrer => Exécuter
Tapes ComboFix /Uninstall
ATTENTION a bien laisser un espace entre le X et le /
Clique sur OK
Recommence avec les versions renommées ( en mettant le nom que tu as utilisé pour les renommer )
Le T cleaner que j'avais laisser marché, s'est déboquer et m'a laisser ceci, je te le passe... par contre, l fichier combofix se fait renommer meme apres le tcleaner
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\fixnavi.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Ad-Remover\BACKUP\Ad-R.exe: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\Géraud\AppData\Local\VirtualStore\Program Files\ZHPDiag: trouvé !
C:\Users\Géraud\Desktop\Navilog1.exe: trouvé !
C:\Users\Géraud\Desktop\Ad-R.exe: trouvé !
C:\Users\Géraud\Documents\Downloads\vundoFix.exe: trouvé !
C:\Windows\mbr.exe: trouvé !
---------------------------------
--> Suppression:
C:\Program Files\Ad-Remover\BACKUP\Ad-R.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Users\Géraud\Desktop\Navilog1.exe: supprimé !
C:\Users\Géraud\Desktop\Ad-R.exe: supprimé !
C:\Users\Géraud\Documents\Downloads\vundoFix.exe: supprimé !
C:\Windows\mbr.exe: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Users\Géraud\AppData\Local\VirtualStore\Program Files\ZHPDiag: supprimé !
--> Recherche:
C:\fixnavi.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Ad-Remover\BACKUP\Ad-R.exe: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\Géraud\AppData\Local\VirtualStore\Program Files\ZHPDiag: trouvé !
C:\Users\Géraud\Desktop\Navilog1.exe: trouvé !
C:\Users\Géraud\Desktop\Ad-R.exe: trouvé !
C:\Users\Géraud\Documents\Downloads\vundoFix.exe: trouvé !
C:\Windows\mbr.exe: trouvé !
---------------------------------
--> Suppression:
C:\Program Files\Ad-Remover\BACKUP\Ad-R.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Users\Géraud\Desktop\Navilog1.exe: supprimé !
C:\Users\Géraud\Desktop\Ad-R.exe: supprimé !
C:\Users\Géraud\Documents\Downloads\vundoFix.exe: supprimé !
C:\Windows\mbr.exe: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Users\Géraud\AppData\Local\VirtualStore\Program Files\ZHPDiag: supprimé !
Re,
Le fichier Reader_sl se renomme automatiquement en 'Combofix.exe' ?
Essaye ça:
https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=3#40
Le fichier Reader_sl se renomme automatiquement en 'Combofix.exe' ?
Essaye ça:
https://forums.commentcamarche.net/forum/affich-15522864-tr-vundo-gen-et-tr-pck-tdss-z-230?page=3#40
GMER 1.0.15.15273 - http://www.gmer.net
Rootkit scan 2009-12-10 15:30:38
Windows 6.0.6002 Service Pack 2
Running: g2bx4t4k.exe; Driver: C:\Users\GRAUD~1\AppData\Local\Temp\ugtyikod.sys
---- System - GMER 1.0.15 ----
SSDT A47CEEDC ZwCreateThread
SSDT A47CEEC8 ZwOpenProcess
SSDT A47CEECD ZwOpenThread
SSDT A47CEED7 ZwTerminateProcess
INT 0x81 ? 92109CD0
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!KeSetEvent + 221 82ABC964 4 Bytes [DC, EE, 7C, A4] {FSUB ST(6), ST; JL 0xffffffffffffffa8}
.text ntkrnlpa.exe!KeSetEvent + 3F1 82ABCB34 4 Bytes [C8, EE, 7C, A4] {ENTER 0x7cee, 0xa4}
.text ntkrnlpa.exe!KeSetEvent + 40D 82ABCB50 4 Bytes [CD, EE, 7C, A4] {INT 0xee; JL 0xffffffffffffffa8}
.text ntkrnlpa.exe!KeSetEvent + 621 82ABCD64 4 Bytes [D7, EE, 7C, A4] {XLATB ; OUT DX, AL ; JL 0xffffffffffffffa8}
.rsrc C:\Windows\system32\DRIVERS\iaStor.sys entry point in ".rsrc" section [0x896D8000]
.text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x8E00D320, 0x3F5D77, 0xE8000020]
PAGE spsys.sys!?SPVersion@@3PADA + 1ABF A167103F 110 Bytes [8B, FF, 55, 8B, EC, 8B, 45, ...]
PAGE spsys.sys!?SPVersion@@3PADA + 1B2F A16710AF 1 Byte [16]
PAGE spsys.sys!?SPVersion@@3PADA + 1B2F A16710AF 128 Bytes [16, 3B, C8, 75, E2, B0, 01, ...]
PAGE spsys.sys!?SPVersion@@3PADA + 1BB0 A1671130 6 Bytes [0E, 83, 78, 14, 01, 75]
PAGE spsys.sys!?SPVersion@@3PADA + 1BB7 A1671137 2298 Bytes [83, 78, 18, 37, 75, 02, B3, ...]
PAGE ...
---- User code sections - GMER 1.0.15 ----
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtCreateFile + 6 778543DA 4 Bytes [28, 00, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtCreateFile + B 778543DF 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtMapViewOfSection + 6 77854B2A 1 Byte [28]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtMapViewOfSection + 6 77854B2A 4 Bytes [28, 03, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtMapViewOfSection + B 77854B2F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenFile + 6 77854BBA 4 Bytes [68, 00, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenFile + B 77854BBF 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcess + 6 77854C3A 4 Bytes [A8, 01, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcess + B 77854C3F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcessToken + B 77854C4F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcessTokenEx + 6 77854C5A 4 Bytes [A8, 02, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcessTokenEx + B 77854C5F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThread + 6 77854CAA 4 Bytes [68, 01, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThread + B 77854CAF 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThreadToken + 6 77854CBA 4 Bytes [68, 02, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThreadToken + B 77854CBF 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThreadTokenEx + B 77854CCF 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtQueryAttributesFile + 6 77854D5A 4 Bytes [A8, 00, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtQueryAttributesFile + B 77854D5F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtQueryFullAttributesFile + B 77854E0F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtSetInformationFile + 6 778552EA 4 Bytes [28, 01, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtSetInformationFile + B 778552EF 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtSetInformationThread + 6 7785533A 4 Bytes [28, 02, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtSetInformationThread + B 7785533F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtUnmapViewOfSection + 6 778555DA 1 Byte [68]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtUnmapViewOfSection + 6 778555DA 4 Bytes [68, 03, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtUnmapViewOfSection + B 778555DF 1 Byte [E2]
.text C:\Program Files\RocketDock\RocketDock.exe[2056] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 02BA1040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\RocketDock\RocketDock.exe[2056] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 02BA1120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\RocketDock\RocketDock.exe[2056] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 02BA11E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Windows Sidebar\sidebar.exe[2372] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 03131040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Windows Sidebar\sidebar.exe[2372] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 03131120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Windows Sidebar\sidebar.exe[2372] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 031311E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Windows Sidebar\sidebar.exe[2432] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 02F51040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Windows Sidebar\sidebar.exe[2432] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 02F51120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Windows Sidebar\sidebar.exe[2432] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 02F511E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[3016] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 026D1040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[3016] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 026D1120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[3016] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 026D11E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Windows\Explorer.EXE[3344] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 03E01040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Windows\Explorer.EXE[3344] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 03E01120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Windows\Explorer.EXE[3344] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 03E011E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Windows\system32\Dwm.exe[3560] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 00241040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Windows\system32\Dwm.exe[3560] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 00241120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Windows\system32\Dwm.exe[3560] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 002411E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE[4164] kernel32.dll!SetUnhandledExceptionFilter 7600A84F 4 Bytes JMP 62205436 C:\Program Files\Common Files\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)
.text C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE[4164] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 02FC1040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE[4164] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 02FC1120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE[4164] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 02FC11E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[4616] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 021F1040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[4616] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 021F1120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[4616] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 021F11E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs tvtumon.sys (Windows Update Monitor Driver/Lenovo)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
Device \Driver\iaStor \Device\Ide\iaStor0 [8964B716] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 [8964B716] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-1 [8964B716] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7F 0x50 0xD5 0x90 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x1D 0x5E 0x74 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x79 0xEB 0xB8 0x23 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7F 0x50 0xD5 0x90 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x1D 0x5E 0x74 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x79 0xEB 0xB8 0x23 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3DA0B77C-E463-2457-C94E-1BD1176A5BB4}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3DA0B77C-E463-2457-C94E-1BD1176A5BB4}@pafnboefbgmdfhchjcdijkbcagpnnjjj 0x6A 0x61 0x6C 0x67 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}@hakjpbipdkfkmmep 0x6E 0x62 0x70 0x63 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}@jakjpbipdkfkmmepgbbb 0x66 0x61 0x70 0x63 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}@pacjoeoneleefdgameklohmhbjhkhibm 0x62 0x61 0x6F 0x63 ...
---- Files - GMER 1.0.15 ----
File C:\Windows\system32\DRIVERS\iaStor.sys suspicious modification
---- EOF - GMER 1.0.15 ----
Rootkit scan 2009-12-10 15:30:38
Windows 6.0.6002 Service Pack 2
Running: g2bx4t4k.exe; Driver: C:\Users\GRAUD~1\AppData\Local\Temp\ugtyikod.sys
---- System - GMER 1.0.15 ----
SSDT A47CEEDC ZwCreateThread
SSDT A47CEEC8 ZwOpenProcess
SSDT A47CEECD ZwOpenThread
SSDT A47CEED7 ZwTerminateProcess
INT 0x81 ? 92109CD0
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!KeSetEvent + 221 82ABC964 4 Bytes [DC, EE, 7C, A4] {FSUB ST(6), ST; JL 0xffffffffffffffa8}
.text ntkrnlpa.exe!KeSetEvent + 3F1 82ABCB34 4 Bytes [C8, EE, 7C, A4] {ENTER 0x7cee, 0xa4}
.text ntkrnlpa.exe!KeSetEvent + 40D 82ABCB50 4 Bytes [CD, EE, 7C, A4] {INT 0xee; JL 0xffffffffffffffa8}
.text ntkrnlpa.exe!KeSetEvent + 621 82ABCD64 4 Bytes [D7, EE, 7C, A4] {XLATB ; OUT DX, AL ; JL 0xffffffffffffffa8}
.rsrc C:\Windows\system32\DRIVERS\iaStor.sys entry point in ".rsrc" section [0x896D8000]
.text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x8E00D320, 0x3F5D77, 0xE8000020]
PAGE spsys.sys!?SPVersion@@3PADA + 1ABF A167103F 110 Bytes [8B, FF, 55, 8B, EC, 8B, 45, ...]
PAGE spsys.sys!?SPVersion@@3PADA + 1B2F A16710AF 1 Byte [16]
PAGE spsys.sys!?SPVersion@@3PADA + 1B2F A16710AF 128 Bytes [16, 3B, C8, 75, E2, B0, 01, ...]
PAGE spsys.sys!?SPVersion@@3PADA + 1BB0 A1671130 6 Bytes [0E, 83, 78, 14, 01, 75]
PAGE spsys.sys!?SPVersion@@3PADA + 1BB7 A1671137 2298 Bytes [83, 78, 18, 37, 75, 02, B3, ...]
PAGE ...
---- User code sections - GMER 1.0.15 ----
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtCreateFile + 6 778543DA 4 Bytes [28, 00, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtCreateFile + B 778543DF 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtMapViewOfSection + 6 77854B2A 1 Byte [28]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtMapViewOfSection + 6 77854B2A 4 Bytes [28, 03, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtMapViewOfSection + B 77854B2F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenFile + 6 77854BBA 4 Bytes [68, 00, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenFile + B 77854BBF 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcess + 6 77854C3A 4 Bytes [A8, 01, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcess + B 77854C3F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcessToken + B 77854C4F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcessTokenEx + 6 77854C5A 4 Bytes [A8, 02, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenProcessTokenEx + B 77854C5F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThread + 6 77854CAA 4 Bytes [68, 01, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThread + B 77854CAF 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThreadToken + 6 77854CBA 4 Bytes [68, 02, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThreadToken + B 77854CBF 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtOpenThreadTokenEx + B 77854CCF 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtQueryAttributesFile + 6 77854D5A 4 Bytes [A8, 00, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtQueryAttributesFile + B 77854D5F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtQueryFullAttributesFile + B 77854E0F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtSetInformationFile + 6 778552EA 4 Bytes [28, 01, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtSetInformationFile + B 778552EF 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtSetInformationThread + 6 7785533A 4 Bytes [28, 02, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtSetInformationThread + B 7785533F 1 Byte [E2]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtUnmapViewOfSection + 6 778555DA 1 Byte [68]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtUnmapViewOfSection + 6 778555DA 4 Bytes [68, 03, 06, 00]
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[1260] ntdll.dll!NtUnmapViewOfSection + B 778555DF 1 Byte [E2]
.text C:\Program Files\RocketDock\RocketDock.exe[2056] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 02BA1040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\RocketDock\RocketDock.exe[2056] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 02BA1120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\RocketDock\RocketDock.exe[2056] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 02BA11E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Windows Sidebar\sidebar.exe[2372] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 03131040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Windows Sidebar\sidebar.exe[2372] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 03131120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Windows Sidebar\sidebar.exe[2372] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 031311E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Windows Sidebar\sidebar.exe[2432] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 02F51040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Windows Sidebar\sidebar.exe[2432] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 02F51120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Windows Sidebar\sidebar.exe[2432] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 02F511E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[3016] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 026D1040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[3016] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 026D1120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[3016] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 026D11E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Windows\Explorer.EXE[3344] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 03E01040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Windows\Explorer.EXE[3344] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 03E01120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Windows\Explorer.EXE[3344] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 03E011E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Windows\system32\Dwm.exe[3560] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 00241040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Windows\system32\Dwm.exe[3560] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 00241120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Windows\system32\Dwm.exe[3560] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 002411E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE[4164] kernel32.dll!SetUnhandledExceptionFilter 7600A84F 4 Bytes JMP 62205436 C:\Program Files\Common Files\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)
.text C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE[4164] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 02FC1040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE[4164] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 02FC1120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE[4164] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 02FC11E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[4616] USER32.dll!SetWindowPos 762F35E3 5 Bytes JMP 021F1040 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[4616] USER32.dll!GetIconInfo 762F4435 5 Bytes JMP 021F1120 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
.text C:\Users\Géraud\AppData\Local\Google\Chrome\Application\chrome.exe[4616] USER32.dll!DrawIconEx 762F448E 5 Bytes JMP 021F11E0 C:\Program Files\Stardock\CursorFX\CurXP0.dll (CursorFX support DLL/ )
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs tvtumon.sys (Windows Update Monitor Driver/Lenovo)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
Device \Driver\iaStor \Device\Ide\iaStor0 [8964B716] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 [8964B716] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-1 [8964B716] \SystemRoot\system32\DRIVERS\iaStor.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7F 0x50 0xD5 0x90 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x1D 0x5E 0x74 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x79 0xEB 0xB8 0x23 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7F 0x50 0xD5 0x90 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x1D 0x5E 0x74 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x79 0xEB 0xB8 0x23 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3DA0B77C-E463-2457-C94E-1BD1176A5BB4}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3DA0B77C-E463-2457-C94E-1BD1176A5BB4}@pafnboefbgmdfhchjcdijkbcagpnnjjj 0x6A 0x61 0x6C 0x67 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}@hakjpbipdkfkmmep 0x6E 0x62 0x70 0x63 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}@jakjpbipdkfkmmepgbbb 0x66 0x61 0x70 0x63 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F2823F73-64A9-64FF-7548-41D10005F42A}@pacjoeoneleefdgameklohmhbjhkhibm 0x62 0x61 0x6F 0x63 ...
---- Files - GMER 1.0.15 ----
File C:\Windows\system32\DRIVERS\iaStor.sys suspicious modification
---- EOF - GMER 1.0.15 ----