Rootkit Win32 + Pc redémarre au lieu de s'éte
achab
-
verni29 Messages postés 6805 Statut Contributeur sécurité -
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,
alors voilà j'ai un double problème : depuis 2 jours mon avast flippe dès que j'allume mon pc et me détecte des rootkit partout. commej'ai vu qq part que ca pouvait être des "faux positifs" j'ai telech Malwarebytes' Anti-Malware et fait plusieurs scans (rapports après). j'ai dû supprimer une 10aine de fichiers infectés avec ca. mais dès que je rallume mon pc, avast me détecte d'autres rootkit, donc j'ai pas dû m'en débarasser vraiment
j'en arrive au 2ème problème : quand je clique sur éteindre, mon pc redémarre. je suis obligé d'appuyer 8s sur le bouton pour l'éteindre.
j'ai depuis peu un disc externe lacie qui doit tout chambouler (mon pc aime pas trop les disques durs externes, au démarrage il met tout le temps "no hdd detected" donc je pense qu'il repère pas le dur)
et depuis que j'ai connecté le lacie à un autre pc, c'est la merde sur le mien.
bref, je suis novice, merci de votre aide pour ce double pb....
----------------------
rapport 1 :
----------------------
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3796
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
26/02/2010 21:44:34
mbam-log-2010-02-26 (21-44-34).txt
Type de recherche: Examen rapide
Eléments examinés: 123025
Temps écoulé: 10 minute(s), 23 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\PCIDump.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\PDCOMP.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\PDRELI.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\PDRFRAME.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\WDICA.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\Temp\~TM16.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\_ex-08.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\_ex-68.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Balachnikov\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
----------------------
rapport 2 :
----------------------
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3796
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
28/02/2010 19:31:07
mbam-log-2010-02-28 (19-31-07).txt
Type de recherche: Examen rapide
Eléments examinés: 122884
Temps écoulé: 11 minute(s), 37 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\PCIDump.sys (Rootkit.Agent) -> Delete on reboot.
alors voilà j'ai un double problème : depuis 2 jours mon avast flippe dès que j'allume mon pc et me détecte des rootkit partout. commej'ai vu qq part que ca pouvait être des "faux positifs" j'ai telech Malwarebytes' Anti-Malware et fait plusieurs scans (rapports après). j'ai dû supprimer une 10aine de fichiers infectés avec ca. mais dès que je rallume mon pc, avast me détecte d'autres rootkit, donc j'ai pas dû m'en débarasser vraiment
j'en arrive au 2ème problème : quand je clique sur éteindre, mon pc redémarre. je suis obligé d'appuyer 8s sur le bouton pour l'éteindre.
j'ai depuis peu un disc externe lacie qui doit tout chambouler (mon pc aime pas trop les disques durs externes, au démarrage il met tout le temps "no hdd detected" donc je pense qu'il repère pas le dur)
et depuis que j'ai connecté le lacie à un autre pc, c'est la merde sur le mien.
bref, je suis novice, merci de votre aide pour ce double pb....
----------------------
rapport 1 :
----------------------
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3796
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
26/02/2010 21:44:34
mbam-log-2010-02-26 (21-44-34).txt
Type de recherche: Examen rapide
Eléments examinés: 123025
Temps écoulé: 10 minute(s), 23 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\PCIDump.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\PDCOMP.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\PDRELI.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\PDRFRAME.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\WDICA.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\Temp\~TM16.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\_ex-08.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\_ex-68.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Balachnikov\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
----------------------
rapport 2 :
----------------------
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3796
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
28/02/2010 19:31:07
mbam-log-2010-02-28 (19-31-07).txt
Type de recherche: Examen rapide
Eléments examinés: 122884
Temps écoulé: 11 minute(s), 37 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\PCIDump.sys (Rootkit.Agent) -> Delete on reboot.
A voir également:
- Rootkit Win32 + Pc redémarre au lieu de s'éte
- Pc lent au démarrage - Guide
- Reinitialiser pc au demarrage - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Double ecran pc - Guide
- Forcer demarrage pc - Guide
5 réponses
Bonsoir,
Commence par ceci pour plus d'informations.
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
# Double-clique sur " RSIT.exe " pour le lancer .
( Si sous Vista : Click droit sur le fichier et choisir exécuter en tant qu'administrateur )
# dans la fenêtre qui va s’ouvrir choisis 1 month pour l'option "List files/folders created ...".
# clique ensuite sur " Continue " pour lancer l'analyse ...
Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.
Attends jusqu’à la fin de l’analyse. deux rapports vont être crées.
# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).
Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.
A+
Commence par ceci pour plus d'informations.
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
# Double-clique sur " RSIT.exe " pour le lancer .
( Si sous Vista : Click droit sur le fichier et choisir exécuter en tant qu'administrateur )
# dans la fenêtre qui va s’ouvrir choisis 1 month pour l'option "List files/folders created ...".
# clique ensuite sur " Continue " pour lancer l'analyse ...
Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.
Attends jusqu’à la fin de l’analyse. deux rapports vont être crées.
# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).
Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.
A+
achad,
Effectivement, il semble toujours présent.
Pourtant Malwarebytes traite bien cette infection.
L'as-tu mis à jour avant de le lancer ?
Ne le lance pas pour l'instant. On verra plus tard.
Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files
Précautions d’usage :
- Commence par désactiver ou arrêter des logiciels comme Alcolhol Soft ou Daemon tools car ils biaisent le rapport de gmer.
- Durant l’utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )
- Ferme également toutes les applications actives dont ton navigateur.
# Double-clique sur l’exécutable téléchargé .
( Si sous Vista , click droit sur l’exécutable et choisir exécuter en tant qu’administrateur )
# Le scan va se lancer de lui-même.
# Après cette première analyse, vérifie que tous les onglets ( System, Sections, … , Files ) sont cochés puis clique sur scan .
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
A+
Effectivement, il semble toujours présent.
Pourtant Malwarebytes traite bien cette infection.
L'as-tu mis à jour avant de le lancer ?
Ne le lance pas pour l'instant. On verra plus tard.
Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files
Précautions d’usage :
- Commence par désactiver ou arrêter des logiciels comme Alcolhol Soft ou Daemon tools car ils biaisent le rapport de gmer.
- Durant l’utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )
- Ferme également toutes les applications actives dont ton navigateur.
# Double-clique sur l’exécutable téléchargé .
( Si sous Vista , click droit sur l’exécutable et choisir exécuter en tant qu’administrateur )
# Le scan va se lancer de lui-même.
# Après cette première analyse, vérifie que tous les onglets ( System, Sections, … , Files ) sont cochés puis clique sur scan .
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
A+
bon le scan est hyper long j ai arreté...trop de fichiers.
voici un bilan intermédiaire:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-28 21:03:18
Windows 5.1.2600 Service Pack 2
Running: o47hdve5.exe; Driver: C:\DOCUME~1\BALACH~1\LOCALS~1\Temp\uwtdqpog.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB6F746B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB6F74A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB6F7414C]
SSDT spuz.sys ZwEnumerateKey [0xF74FCDA4]
SSDT spuz.sys ZwEnumerateValueKey [0xF74FD132]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB6F7464E]
SSDT spuz.sys ZwQueryKey [0xF74FD20A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB6F7476E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB6F7472E]
INT 0x62 ? 89C11BF8
INT 0x63 ? 89C11BF8
INT 0x73 ? 8991BBF8
INT 0x82 ? 89C11BF8
INT 0x94 ? 8991BBF8
INT 0xA4 ? 8991BBF8
INT 0xB4 ? 8991BBF8
---- Kernel code sections - GMER 1.0.15 ----
? spuz.sys Le fichier spécifié est introuvable. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9B37380, 0x21F24D, 0xE8000020]
.text USBPORT.SYS!DllUnload B9ADE62C 5 Bytes JMP 8991B1D8
.text acy434r2.SYS B9A45386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text acy434r2.SYS B9A453AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text acy434r2.SYS B9A453C4 3 Bytes [00, 80, 02]
.text acy434r2.SYS B9A453C9 1 Byte [30]
.text acy434r2.SYS B9A453C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
init C:\WINDOWS\system32\drivers\Senfilt.sys entry point in "init" section [0xB7326A80]
INIT PCIDump.SYS B707E000 40 Bytes [0C, 7A, 30, 7B, FD, 52, 56, ...]
INIT PCIDump.SYS B707E03C 2 Bytes [1A, 77]
INIT PCIDump.SYS B707E040 6 Bytes [2D, 9C, C8, BF, 90, 71]
INIT PCIDump.SYS B707E048 2 Bytes [9E, 71]
INIT PCIDump.SYS B707E04C 2 Bytes [B0, 71] {MOV AL, 0x71}
INIT ...
.pak2 C:\WINDOWS\System32\Drivers\PCIDump.SYS entry point in ".pak2" section [0xB714D3B6]
? C:\WINDOWS\System32\Drivers\PCIDump.SYS Un périphérique attaché au système ne fonctionne pas correctement.
init C:\WINDOWS\System32\atkosdmini.dll entry point in "init" section [0xBFA0E480]
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89BA32D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F750FDDC] spuz.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F750FE30] spuz.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74E5042] spuz.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74E513E] spuz.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74E50C0] spuz.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74E5800] spuz.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74E56D6] spuz.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8991B2D8
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F74F4B90] spuz.sys
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlInitUnicodeString] 00021483
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!swprintf] 01B05E00
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeSetEvent] 5DE58B5B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoCreateSymbolicLink] 7E8366C3
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoGetConfigurationInformation] 0F740028
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoDeleteSymbolicLink] 89320C8D
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmFreeMappingAddress] 00022C8B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoFreeErrorLogEntry] 46B70F00
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoDisconnectInterrupt] 66D00328
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmUnmapIoSpace] 002A7E83
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ObReferenceObjectByPointer] 0C8D1574
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IofCompleteRequest] 288B8932
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlCompareUnicodeString] 0F000002
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IofCallDriver] 832A46B7
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmAllocateMappingAddress] E08303C0
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry] 66D003FC
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoConnectInterrupt] 002C7E83
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoDetachDevice] 0C8D1E74
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeWaitForSingleObject] 248B8932
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInitializeEvent] 8A000002
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString] 83880846
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlInitAnsiString] 000001C4
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest] 2C4EB70F
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoQueueWorkItem] 8303C183
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmMapIoSpace] D103FCE1
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations] 2E7E8366
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoReportDetectedDevice] 8D1C7400
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoReportResourceForDetection] 83893204
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize] 0000021C
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!NlsMbCodePageTag] 2E4EB70F
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoRequestPowerIrp] 02208B89
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue] [B70F0000] \SystemRoot\System32\Drivers\PCIDump.SYS
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection] E0C12E46
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!sprintf] 03D00304
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache] 10B389F2
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ObfDereferenceObject] 80000002
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference] 0975013E
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoInvalidateDeviceState] 1BD2E853
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwClose] C4830000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ObReferenceObjectByHandle] B05E5F04
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwCreateDirectoryObject] E58B5B01
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest] CCCCC35D
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoStartNextPowerIrp] CCCCCCCC
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoCallDriver] 53EC8B55
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoCreateDevice] 08758B56
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension] 0218BE83
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlQueryRegistryValues] 57000000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwOpenKey] 45C60674
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlFreeUnicodeString] 1EEB010B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoStartTimer] 0210868B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInitializeTimer] C0850000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoInitializeTimer] 808A1074
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInitializeDpc] 00000804
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInitializeSpinLock] A03CF024
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoInitializeIrp] 0B45950F
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwCreateKey] 45C604EB
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString] 458A000B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString] 88C0840B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwSetValueKey] 840F0946
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInsertQueueDpc] 000000C1
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel] 14B30E8B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoStartPacket] 1C8A86C6
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel] 88010000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest] 001C8D9E
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoFreeMdl] A99E8800
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmUnlockPages] C600001C
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoWriteErrorLogEntry] 001C8E86
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue] 86C60100
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping] 00001CAA
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmUnmapReservedMapping] 70518B01
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeSynchronizeExecution] 8D52006A
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoStartNextPacket] 001C9086
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeBugCheckEx] E5E85000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeRemoveDeviceQueue] 8B000023
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeSetTimer] 70518B0E
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeCancelTimer] 8D52016A
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!_allmul] 001CAC86
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmProbeAndLockPages] D1E85000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!_except_handler3] 8B000023
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoSetPowerState] 18C4830E
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey] 1C959E88
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlWriteRegistryValue] 9E880000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!_aulldiv] 00001CB1
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!strstr] 0E798366
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!_strupr] 74AAB000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeQuerySystemTime] 8986C636
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoWMIRegistrationControl] 1A00001C
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeTickCount] 1C8B86C6
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack] C6020000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoDeleteDevice] 001C9686
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ExAllocatePoolWithTag] 86C60200
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateWorkItem] 00001CB2
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateIrp] 9D9E8802
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateMdl] 8800001C
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool] 001CB99E
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmLockPagableDataSection] 9E868800
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoGetDriverObjectExtension] 8800001C
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmUnlockPagableImageSection] 001CBA86
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ExFreePoolWithTag] C61AEB00
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoFreeIrp] 001C8986
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoFreeWorkItem] 86C61200
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!InitSafeBootMode] 00001C8B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlCompareMemory] 96868801
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlCopyUnicodeString] 8800001C
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!memmove] 001CB286
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmHighestUserAddress] 88968B00
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KfAcquireSpinLock] 0C8D1C46
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!READ_PORT_UCHAR] B48B8932
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KeGetCurrentIrql] 89000001
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KfRaiseIrql] 0001C083
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KfLowerIrql] 24468B00
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!HalGetInterruptVector] 89820C8D
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!HalTranslateBusAddress] D18BF84D
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KeStallExecutionProcessor] 860F1639
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KfReleaseSpinLock] 000000BD
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 020CB389
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!READ_PORT_USHORT] 83660000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 7400067E
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!WRITE_PORT_UCHAR] 89D60320
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[WMILIB.SYS!WmiSystemControl] 8D168B00
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[WMILIB.SYS!WmiCompleteRequest] F0003284
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[736] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002
IAT C:\WINDOWS\system32\services.exe[736] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 899830D8
Device \FileSystem\Ntfs \Ntfs 89C101F8
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\usbuhci \Device\USBPDO-0 899CA1F8
Device \Driver\usbuhci \Device\USBPDO-1 899CA1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89BA11F8
Device \Driver\dmio \Device\DmControl\DmConfig 89BA11F8
Device \Driver\dmio \Device\DmControl\DmPnP 89BA11F8
Device \Driver\dmio \Device\DmControl\DmInfo 89BA11F8
Device \Driver\usbuhci \Device\USBPDO-2 899CA1F8
Device \Driver\usbuhci \Device\USBPDO-3 899CA1F8
Device \Driver\usbehci \Device\USBPDO-4 899CB500
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\Ftdisk \Device\HarddiskVolume1 89C121F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89C121F8
Device \Driver\Cdrom \Device\CdRom0 899D81F8
Device \Driver\Cdrom \Device\CdRom1 899D81F8
Device \Driver\atapi \Device\Ide\IdePort0 89C111F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 89C111F8
Device \Driver\atapi \Device\Ide\IdePort1 89C111F8
Device \Driver\atapi \Device\Ide\IdePort2 89C111F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 89C111F8
Device \Driver\atapi \Device\Ide\IdePort3 89C111F8
Device \Driver\USBSTOR \Device\00000077 88A311F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 89633408
Device \Driver\PCI_PNP0974 \Device\0000004a spuz.sys
Device \Driver\PCI_PNP0974 \Device\0000004a spuz.sys
Device \Driver\USBSTOR \Device\00000078 88A311F8
Device \Driver\NetBT \Device\NetbiosSmb 89633408
Device \Driver\NetBT \Device\NetBT_Tcpip_{DA97E452-15BD-4760-91F9-0910391D6407} 89633408
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\usbuhci \Device\USBFDO-0 899CA1F8
Device \Driver\usbuhci \Device\USBFDO-1 899CA1F8
Device \Driver\sptd \Device\1946434724 spuz.sys
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89676500
Device \Driver\usbuhci \Device\USBFDO-2 899CA1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89676500
Device \Driver\usbuhci \Device\USBFDO-3 899CA1F8
Device \Driver\usbehci \Device\USBFDO-4 899CB500
Device \Driver\Ftdisk \Device\FtControl 89C121F8
Device \Driver\acy434r2 \Device\Scsi\acy434r21Port4Path0Target0Lun0 898E91F8
Device \Driver\acy434r2 \Device\Scsi\acy434r21 898E91F8
Device \FileSystem\Cdfs \Cdfs 8988D500
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [SYSTEM] PCIDump <-- ROOTKIT !!!
voici un bilan intermédiaire:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-28 21:03:18
Windows 5.1.2600 Service Pack 2
Running: o47hdve5.exe; Driver: C:\DOCUME~1\BALACH~1\LOCALS~1\Temp\uwtdqpog.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB6F746B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB6F74A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB6F7414C]
SSDT spuz.sys ZwEnumerateKey [0xF74FCDA4]
SSDT spuz.sys ZwEnumerateValueKey [0xF74FD132]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB6F7464E]
SSDT spuz.sys ZwQueryKey [0xF74FD20A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB6F7476E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB6F7472E]
INT 0x62 ? 89C11BF8
INT 0x63 ? 89C11BF8
INT 0x73 ? 8991BBF8
INT 0x82 ? 89C11BF8
INT 0x94 ? 8991BBF8
INT 0xA4 ? 8991BBF8
INT 0xB4 ? 8991BBF8
---- Kernel code sections - GMER 1.0.15 ----
? spuz.sys Le fichier spécifié est introuvable. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9B37380, 0x21F24D, 0xE8000020]
.text USBPORT.SYS!DllUnload B9ADE62C 5 Bytes JMP 8991B1D8
.text acy434r2.SYS B9A45386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text acy434r2.SYS B9A453AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text acy434r2.SYS B9A453C4 3 Bytes [00, 80, 02]
.text acy434r2.SYS B9A453C9 1 Byte [30]
.text acy434r2.SYS B9A453C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
init C:\WINDOWS\system32\drivers\Senfilt.sys entry point in "init" section [0xB7326A80]
INIT PCIDump.SYS B707E000 40 Bytes [0C, 7A, 30, 7B, FD, 52, 56, ...]
INIT PCIDump.SYS B707E03C 2 Bytes [1A, 77]
INIT PCIDump.SYS B707E040 6 Bytes [2D, 9C, C8, BF, 90, 71]
INIT PCIDump.SYS B707E048 2 Bytes [9E, 71]
INIT PCIDump.SYS B707E04C 2 Bytes [B0, 71] {MOV AL, 0x71}
INIT ...
.pak2 C:\WINDOWS\System32\Drivers\PCIDump.SYS entry point in ".pak2" section [0xB714D3B6]
? C:\WINDOWS\System32\Drivers\PCIDump.SYS Un périphérique attaché au système ne fonctionne pas correctement.
init C:\WINDOWS\System32\atkosdmini.dll entry point in "init" section [0xBFA0E480]
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89BA32D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F750FDDC] spuz.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F750FE30] spuz.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74E5042] spuz.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74E513E] spuz.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74E50C0] spuz.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74E5800] spuz.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74E56D6] spuz.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8991B2D8
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F74F4B90] spuz.sys
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlInitUnicodeString] 00021483
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!swprintf] 01B05E00
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeSetEvent] 5DE58B5B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoCreateSymbolicLink] 7E8366C3
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoGetConfigurationInformation] 0F740028
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoDeleteSymbolicLink] 89320C8D
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmFreeMappingAddress] 00022C8B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoFreeErrorLogEntry] 46B70F00
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoDisconnectInterrupt] 66D00328
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmUnmapIoSpace] 002A7E83
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ObReferenceObjectByPointer] 0C8D1574
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IofCompleteRequest] 288B8932
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlCompareUnicodeString] 0F000002
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IofCallDriver] 832A46B7
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmAllocateMappingAddress] E08303C0
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry] 66D003FC
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoConnectInterrupt] 002C7E83
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoDetachDevice] 0C8D1E74
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeWaitForSingleObject] 248B8932
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInitializeEvent] 8A000002
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString] 83880846
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlInitAnsiString] 000001C4
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest] 2C4EB70F
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoQueueWorkItem] 8303C183
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmMapIoSpace] D103FCE1
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations] 2E7E8366
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoReportDetectedDevice] 8D1C7400
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoReportResourceForDetection] 83893204
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize] 0000021C
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!NlsMbCodePageTag] 2E4EB70F
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoRequestPowerIrp] 02208B89
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue] [B70F0000] \SystemRoot\System32\Drivers\PCIDump.SYS
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection] E0C12E46
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!sprintf] 03D00304
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache] 10B389F2
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ObfDereferenceObject] 80000002
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference] 0975013E
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoInvalidateDeviceState] 1BD2E853
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwClose] C4830000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ObReferenceObjectByHandle] B05E5F04
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwCreateDirectoryObject] E58B5B01
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest] CCCCC35D
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoStartNextPowerIrp] CCCCCCCC
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoCallDriver] 53EC8B55
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoCreateDevice] 08758B56
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension] 0218BE83
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlQueryRegistryValues] 57000000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwOpenKey] 45C60674
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlFreeUnicodeString] 1EEB010B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoStartTimer] 0210868B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInitializeTimer] C0850000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoInitializeTimer] 808A1074
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInitializeDpc] 00000804
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInitializeSpinLock] A03CF024
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoInitializeIrp] 0B45950F
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwCreateKey] 45C604EB
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString] 458A000B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString] 88C0840B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwSetValueKey] 840F0946
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInsertQueueDpc] 000000C1
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel] 14B30E8B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoStartPacket] 1C8A86C6
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel] 88010000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest] 001C8D9E
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoFreeMdl] A99E8800
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmUnlockPages] C600001C
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoWriteErrorLogEntry] 001C8E86
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue] 86C60100
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping] 00001CAA
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmUnmapReservedMapping] 70518B01
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeSynchronizeExecution] 8D52006A
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoStartNextPacket] 001C9086
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeBugCheckEx] E5E85000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeRemoveDeviceQueue] 8B000023
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeSetTimer] 70518B0E
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeCancelTimer] 8D52016A
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!_allmul] 001CAC86
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmProbeAndLockPages] D1E85000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!_except_handler3] 8B000023
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoSetPowerState] 18C4830E
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey] 1C959E88
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlWriteRegistryValue] 9E880000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!_aulldiv] 00001CB1
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!strstr] 0E798366
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!_strupr] 74AAB000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeQuerySystemTime] 8986C636
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoWMIRegistrationControl] 1A00001C
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeTickCount] 1C8B86C6
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack] C6020000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoDeleteDevice] 001C9686
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ExAllocatePoolWithTag] 86C60200
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateWorkItem] 00001CB2
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateIrp] 9D9E8802
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateMdl] 8800001C
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool] 001CB99E
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmLockPagableDataSection] 9E868800
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoGetDriverObjectExtension] 8800001C
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmUnlockPagableImageSection] 001CBA86
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ExFreePoolWithTag] C61AEB00
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoFreeIrp] 001C8986
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoFreeWorkItem] 86C61200
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!InitSafeBootMode] 00001C8B
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlCompareMemory] 96868801
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlCopyUnicodeString] 8800001C
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!memmove] 001CB286
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmHighestUserAddress] 88968B00
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KfAcquireSpinLock] 0C8D1C46
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!READ_PORT_UCHAR] B48B8932
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KeGetCurrentIrql] 89000001
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KfRaiseIrql] 0001C083
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KfLowerIrql] 24468B00
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!HalGetInterruptVector] 89820C8D
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!HalTranslateBusAddress] D18BF84D
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KeStallExecutionProcessor] 860F1639
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KfReleaseSpinLock] 000000BD
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 020CB389
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!READ_PORT_USHORT] 83660000
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 7400067E
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!WRITE_PORT_UCHAR] 89D60320
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[WMILIB.SYS!WmiSystemControl] 8D168B00
IAT \SystemRoot\System32\Drivers\acy434r2.SYS[WMILIB.SYS!WmiCompleteRequest] F0003284
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[736] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002
IAT C:\WINDOWS\system32\services.exe[736] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 899830D8
Device \FileSystem\Ntfs \Ntfs 89C101F8
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\usbuhci \Device\USBPDO-0 899CA1F8
Device \Driver\usbuhci \Device\USBPDO-1 899CA1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89BA11F8
Device \Driver\dmio \Device\DmControl\DmConfig 89BA11F8
Device \Driver\dmio \Device\DmControl\DmPnP 89BA11F8
Device \Driver\dmio \Device\DmControl\DmInfo 89BA11F8
Device \Driver\usbuhci \Device\USBPDO-2 899CA1F8
Device \Driver\usbuhci \Device\USBPDO-3 899CA1F8
Device \Driver\usbehci \Device\USBPDO-4 899CB500
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\Ftdisk \Device\HarddiskVolume1 89C121F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89C121F8
Device \Driver\Cdrom \Device\CdRom0 899D81F8
Device \Driver\Cdrom \Device\CdRom1 899D81F8
Device \Driver\atapi \Device\Ide\IdePort0 89C111F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 89C111F8
Device \Driver\atapi \Device\Ide\IdePort1 89C111F8
Device \Driver\atapi \Device\Ide\IdePort2 89C111F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 89C111F8
Device \Driver\atapi \Device\Ide\IdePort3 89C111F8
Device \Driver\USBSTOR \Device\00000077 88A311F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 89633408
Device \Driver\PCI_PNP0974 \Device\0000004a spuz.sys
Device \Driver\PCI_PNP0974 \Device\0000004a spuz.sys
Device \Driver\USBSTOR \Device\00000078 88A311F8
Device \Driver\NetBT \Device\NetbiosSmb 89633408
Device \Driver\NetBT \Device\NetBT_Tcpip_{DA97E452-15BD-4760-91F9-0910391D6407} 89633408
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\usbuhci \Device\USBFDO-0 899CA1F8
Device \Driver\usbuhci \Device\USBFDO-1 899CA1F8
Device \Driver\sptd \Device\1946434724 spuz.sys
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89676500
Device \Driver\usbuhci \Device\USBFDO-2 899CA1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89676500
Device \Driver\usbuhci \Device\USBFDO-3 899CA1F8
Device \Driver\usbehci \Device\USBFDO-4 899CB500
Device \Driver\Ftdisk \Device\FtControl 89C121F8
Device \Driver\acy434r2 \Device\Scsi\acy434r21Port4Path0Target0Lun0 898E91F8
Device \Driver\acy434r2 \Device\Scsi\acy434r21 898E91F8
Device \FileSystem\Cdfs \Cdfs 8988D500
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [SYSTEM] PCIDump <-- ROOTKIT !!!
Re,
Pour utiliser Gmer, il faut comme je te le disais désactiver certaines applications et protections.
Le scan s'en trouve ralongé.
Vu que le PC est infecté par un rootkit, lorsque tu vas lancer Gmer, tu vas tomber sur ce type de fenêtre.
http://img502.imageshack.us/img502/1598/pbrootkit.png
Clique sur NON pour ne pas effectuer un scan complet.
Dans la liste des options ( à droite ), sélectionne uniquement Services, Registry et Files.
Puis clique sur scan pour l'analyse.
Clique sur save pour enregistrer le rapport.
et poste le dans ton prochain rapport.
A+
Pour utiliser Gmer, il faut comme je te le disais désactiver certaines applications et protections.
Le scan s'en trouve ralongé.
Vu que le PC est infecté par un rootkit, lorsque tu vas lancer Gmer, tu vas tomber sur ce type de fenêtre.
http://img502.imageshack.us/img502/1598/pbrootkit.png
Clique sur NON pour ne pas effectuer un scan complet.
Dans la liste des options ( à droite ), sélectionne uniquement Services, Registry et Files.
Puis clique sur scan pour l'analyse.
Clique sur save pour enregistrer le rapport.
et poste le dans ton prochain rapport.
A+
Ok merci pour ces conseils
je vais relancer
une question d'ici là : comme le Gmer prend un nom aléatoire, pour le lancer une seconde fois, ne faut il pas le re-télécharger pour avoir un nouveau nom aléatoire, afin de re-tromper le rootkit ?
merci
et sinon, pour le pc qui redémarre au lieu der s'éteindre, tu penses que c'est lié au rootkit ? ou ca peut etre un conflit tout bête de périphériques ?
@ tte
je vais relancer
une question d'ici là : comme le Gmer prend un nom aléatoire, pour le lancer une seconde fois, ne faut il pas le re-télécharger pour avoir un nouveau nom aléatoire, afin de re-tromper le rootkit ?
merci
et sinon, pour le pc qui redémarre au lieu der s'éteindre, tu penses que c'est lié au rootkit ? ou ca peut etre un conflit tout bête de périphériques ?
@ tte
achab,
non inutile de retélécharger gmer.
Pour le reboot, cela peut être lié à l'infection qui peut bloquer le PC.
On verra bien quand le PC sera nettoyé.
A+
non inutile de retélécharger gmer.
Pour le reboot, cela peut être lié à l'infection qui peut bloquer le PC.
On verra bien quand le PC sera nettoyé.
A+
Hello,
voici le rapport de Gmer.
le truc c'est que avant cette analyse complète, je n'ai pas eu le message d'erreur "warning system modification" comme j'avais eu la 1ère fois que j'avais lancé le gmer (j'avais interrompu car trop long).
cette fois j'ai lancé le scan manuellement (sur Services, Registry et Files), et voici le résultat :
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-02 00:02:39
Windows 5.1.2600 Service Pack 2
Running: 1f12re0u.exe; Driver: C:\DOCUME~1\BALACH~1\LOCALS~1\Temp\uwtdqpog.sys
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x31 0x06 0x0D 0xB4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC1 0xF2 0x72 0x14 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x99 0xD2 0x4A 0x17 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x31 0x06 0x0D 0xB4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC1 0xF2 0x72 0x14 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x99 0xD2 0x4A 0x17 ...
---- EOF - GMER 1.0.15 ----
voici le rapport de Gmer.
le truc c'est que avant cette analyse complète, je n'ai pas eu le message d'erreur "warning system modification" comme j'avais eu la 1ère fois que j'avais lancé le gmer (j'avais interrompu car trop long).
cette fois j'ai lancé le scan manuellement (sur Services, Registry et Files), et voici le résultat :
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-02 00:02:39
Windows 5.1.2600 Service Pack 2
Running: 1f12re0u.exe; Driver: C:\DOCUME~1\BALACH~1\LOCALS~1\Temp\uwtdqpog.sys
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x31 0x06 0x0D 0xB4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC1 0xF2 0x72 0x14 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x99 0xD2 0x4A 0x17 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x31 0x06 0x0D 0xB4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC1 0xF2 0x72 0x14 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x99 0xD2 0x4A 0x17 ...
---- EOF - GMER 1.0.15 ----
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
Surprenant. Il aurait du toujours te détecter le rootkit.
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.
Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
Surprenant. Il aurait du toujours te détecter le rootkit.
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.
Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
Run by Balachnikov at 2010-02-28 20:40:34
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 8 GB (3%) free of 305 GB
Total RAM: 2047 MB (67% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:56, on 28/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\avast\aswUpdSv.exe
C:\Program Files\avast\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\avast\ashDisp.exe
C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\MMDiag.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Lexmark 3600-4600 Series\lxdxMsdMon.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\WINDOWS\system32\WiFiCfg.exe
C:\Documents and Settings\Balachnikov\Application Data\Dropbox\bin\Dropbox.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lxdxcoms.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\avast\ashMaiSv.exe
C:\Program Files\avast\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Balachnikov\Mes documents\Téléchargements\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\Balachnikov.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MimBoot] C:\Program Files\Musicmatch\Musicmatch Jukebox\mimboot.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\avast\ashDisp.exe
O4 - HKLM\..\Run: [lxdxmon.exe] "C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe"
O4 - HKLM\..\Run: [lxdxamon] "C:\Program Files\Lexmark 3600-4600 Series\lxdxamon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: 802.11g USB 2.0 adapter Setting.lnk = C:\WINDOWS\system32\WiFiCfg.exe
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Balachnikov\Application Data\Dropbox\bin\Dropbox.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: winesm32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\avast\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\avast\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lxdxCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdxserv.exe
O23 - Service: lxdx_device - - C:\WINDOWS\system32\lxdxcoms.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
j'ai posté les 2 messages mais je vois pas info.txt dans le forum. tu le vois ?
Tiens, utilise le site http://www.cijoint.fr pour le déposer.
Indique moi le lien qui sera crée.
Le rapport info.txt se trouve en C:\RSIT
http://www.cijoint.fr/cjlink.php?file=cj201002/cijZenxjJF.txt