Virus svchost dans windows temp

Résolu
-scap- -  
 -scap- -
Bonjour,

Ca fait 2 jours que je bataille pour essayer de supprimer un virus sur mon pc.
J'ai suivi quelques procedures comme celle-ci: https://forums.commentcamarche.net/forum/affich-16632765-virus-svchost-exe-dans-windows-temp
J'ai essayer quelques antispyware comme Malwarebyte et Superantispyware, mais rien n'y fait. J'ai toujours l'antivirus(avast) qui detecte une menace toute les 5 minutes du type: C:/WINDOWS/TEMP/.../svchost.exe
En effet le dossier C:/WINDOWS/TEMP/... se rempli de nouveaux dossiers.
J'ai le rapport Hijackthis http://www.cijoint.fr/cjlink.php?file=cj201004/cijt7vDUkE.txt
Si quelqu'un pouvait m'aider ca serait super.

Merci d'avance.

51 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection virale est détectée fréquemment, Avast signalant des menaces liées à C:\WINDOWS\TEMP\... svchost.exe et le dossier se remplissant de nouveaux éléments, malgré l’utilisation d’antivirus et d’antispyware.
Plusieurs outils ont été employés sans résultat probant, et la meilleure approche est d’aller jusqu’au bout de la procédure de désinfection en utilisant Combofix et les rapports qui suivent.
Il faut désactiver temporairement les protections résidentes, déconnecter les supports amovibles, puis lancer Combofix avec la console de récupération et suivre les invites jusqu’au redémarrage.
Le rapport généré, notamment C:\ComboFix.txt, peut être consulté pour la suite des actions et permettra de vérifier l’avancement une fois la procédure terminée.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    scaps,

    Dis moi, as-tu demandé de l'aide hier sur un forum de désinfection ?
    Je le remarque car beaucoup d'outils de désinfection ont été utilisés : ComboFix, USBFix, OTL, MBAM
    1
  2. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour,

    Télécharge OTL (de OldTimer) sur ton Bureau.
    http://oldtimer.geekstogo.com/OTL.scr

    Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

    * Double-clique sur OTL.scr pour le lancer.
    Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
    * Dans la partie Personnalisation, copie/colle la liste suivante.

     netsvcs 
    Drivers32
    %SYSTEMDRIVE%\*.exe 
    /md5start 
    eventlog.dll 
    scecli.dll 
    netlogon.dll 
    cngaudit.dll 
    sceclt.dll 
    ntelogon.dll 
    logevent.dll 
    iaStor.sys 
    nvstor.sys 
    atapi.sys 
    IdeChnDr.sys 
    viasraid.sys 
    AGP440.sys 
    vaxscsi.sys 
    nvatabus.sys 
    viamraid.sys 
    nvata.sys 
    nvgts.sys 
    iastorv.sys 
    ViPrt.sys 
    eNetHook.dll 
    ahcix86.sys 
    KR10N.sys 
    nvstor32.sys 
    ahcix86s.sys 
    nvrd32.sys 
    /md5stop 
    %systemroot%\*. /mp /s 
    CREATERESTOREPOINT 


    * Enfin, clique sur le bouton Analyse rapide.

    * Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

    Utilise un site comme http://cijoint.fr pour les déposer.
    indique ensuite les deux liens crées.

    A+
    0
  3. -scap-
     
    Merci pour ton aide.

    Voici le lien du fichier OTL.txt: http://www.cijoint.fr/cjlink.php?file=cj201004/cijlhGEdS2.txt

    Par contre j'ai pas eu le extras.txt, 1 seule fenetre dans le bloc note s'est ouverte.

    Dis moi s'il faut que je refasse le scan.
    0
  4. -scap-
     
    Non,

    J'ai essayee les differents outils de desinfection conseilles sur les forum pour ce virus.
    Mais sans succes c'est pour ca qu'aujourdhui je demande de l'aide sur le forum.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    scap,

    On peut utiliser certains outils comme malwarebytes, voire USBfix.
    par contre, ComboFix , il vaut mieux éviter.
    Et OTL, je me demande bien ce que tu pouvais faire avec.

    Vu que tu as passé ComboFix, tu dois avoir le rapport.
    Il se trouve en C:\ComboFix.txt

    Même chose pour USBFix en C:\USBFix.txt.

    Poste ces deux rapports.

    Je te demande cela car je ne sais pas ce que ces outils ont bien pu trouvé et avant d'aller plus loin je voudrais avoir ces infos.


    A+
    0
  7. -scap-
     
    Ok merci pour les info sur les differents programmes. J'ai essaye de m'en sortir solo avant de poster sur le forum... Mais bon tu as raison vaut mieux pas trop bidouiller quand on connait pas.

    Voici le rapport usbfix : http://www.cijoint.fr/cjlink.php?file=cj201004/cijkPM7tuz.txt

    Par contre je n'ai pas de rapport combofix... Dois-je le refaire?

    Merci
    0
  8. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Oui.

    Avast continue à te donner des alertes ?

    # Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
    # Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

    # Lance Combofix.exe et suis les invites.
    # Il te sera demandé d'installer la console de récupération.
    Important. Fais le absolument.

    Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.

    # Une fois le scan fini, un rapport va apparaitre.

    Copie/colle ce rapport dans ta prochaine réponse.

    Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

    A+
    0
  9. -scap-
     
    OUi Avast contine a donner des alertes.

    J'ai lancer combofix apres desactivation de la protection.
    Il a scanne puis redemarre sauf qu'au redemarrage: ecran bleu impossible de redemarrer. idem en mode sans echec.

    Il a fallu que je demarre windows avec "la derniere configuration qui fonctionnait"

    Donc pas de rapport combofix.
    0
  10. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    OK,

    Je comprends mieux.

    1/ Ouvre OTL et clique sur purge Outils ( ou CleanUp! ).
    Ceci va enlever certains outils comme ComboFix et OTL.
    Comme tu avais déjà installé OTL, il n'y avait pas eu de fichier extra.txt

    2/ Retélécharge OTL .
    http://oldtimer.geekstogo.com/OTL.scr

    Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

    * Double-clique sur OTL.scr pour le lancer.
    Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
    * Dans la partie Personnalisation, copie/colle la liste suivante.

    /md5start 
    svchost.exe 
    /md5stop 


    * Enfin, clique sur le bouton Analyse rapide.

    * Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

    Utilise un site comme http://cijoint.fr pour les déposer.
    indique ensuite les deux liens crées.

    A+
    0
  11. -scap-
     
    Voila

    Otl.txt: http://www.cijoint.fr/cjlink.php?file=cj201004/cij7lo6xXu.txt
    Extras.txt: http://www.cijoint.fr/cjlink.php?file=cj201004/cijwZ87Rn7.txt
    0
  12. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Scap,

    1/ Relance OTL et copie/colle la liste suivante dans Personnalisation :

    :OTL
    
    :Commands
    [emptytemp]


    * Puis clique sur le bouton Correction en haut de la fenêtre.
    * Laisse le programme travailler, le PC va redémarrer.

    Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
    sauvegarde-le sur ton Bureau et poste-le après redémarrage.

    Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
    Regarde suivant la date : mmjjaaaa_xxxxxxxx.log


    Ceci va vider les dossiers temporaires.

    2/ Les rapports ne donnent aucune indication sur ce fichier svchost.exe.
    Peux-tu noter le chemin indiqué du fichier lors des alertes d'Avast ?

    A+
    0
  13. -scap-
     
    Voila le log:
    http://www.cijoint.fr/cjlink.php?file=cj201004/cij8P8N71A.txt

    Je note la direction des que j'ai une nouvelle alerte de avast.
    0
  14. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    Tu vas utiliser DrWebCureIt.

    # Télécharge-le : https://free.drweb.com/cureit/
    IMPORTANT, il faut que l'exécutable soit sur le bureau.

    # Double-clique sur le fichier.
    # Une analyse rapide va se lancer.

    A l'issu du scan --> il faut créer un rapport à partir du menu Fichier puis Enregistrer le rapport.

    C'est un fichier .csv. Poste le contenu dans ton prochain message.

    A+
    0
  15. -scap-
     
    Voila le chemin d'une alerte:

    C:\WINDOWS\TEMP\nexb.tmp\svchost.exe

    C'est toujours le meme dossier

    C:\WINDOWS\TEMP\........\svchost.exe

    C:\WINDOWS\TEMP\ se rempli de dossiers vides

    ex:
    nexb.tmp
    ehho.tmp
    eomb.tmp
    jkgl.tmp
    rppy.tmp
    snym.tmp
    tism.tmp
    yyrs.tmp
    nwkh.tmp
    0
  16. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    OK,

    passe DrWebCureIt comme indiqué dans le message précédent et poste le rapport
    0
  17. -scap-
     
    Le rapport du scan:

    Process in memory: C:\WINDOWS\Explorer.EXE:440;;BackDoor.Tdss.565;Eradicated.;
    0
  18. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    C:\WINDOWS\Explorer.EXE:440;;BackDoor.Tdss.565;Eradicated


    C'est une infection assez délicate.

    1/ Relance DrCure WebIT.
    Après l'analyse rapide, sélectionne l'analyse complète et poste le rapport.

    2/ Télécharge gmer sur ton bureau ( IMPORTANT )
    http://www.gmer.net/#files

    Précautions d'usage :
    - Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )
    - Ferme également toutes les applications actives dont ton navigateur.

    # Double-clique sur l'exécutable téléchargé .
    ( Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur )
    # Le scan va se lancer de lui-même.
    # Après cette première analyse, vérifie que tous les onglets ( System, Sections, ... , Files ) sont cochés puis clique sur scan .
    # A la fin de l'analyse, clique sur save pour enregistrer le rapport
    # Enregistre-le sur le bureau ( fichier .log )

    Édite ce rapport dans ta prochaine réponse.

    A+
    0
  19. -scap-
     
    Voila le rapport de l'analyse complete de Dr Cure:
    Process in memory: C:\Archivos de programa\Mozilla Firefox\firefox.exe:996;;BackDoor.Tdss.565;Eradicated.;

    Et celui de gmer:

    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-04-12 09:35:42
    Windows 5.1.2600 Service Pack 3
    Running: cxqbrw7i.exe; Driver: C:\DOCUME~1\BLACKC~1\CONFIG~1\Temp\pxtdipow.sys

    ---- System - GMER 1.0.15 ----

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB2D95C56]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB2D95B12]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB2D960C6]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB2D95FF0]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB2D956E8]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB2D95BEC]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB2D95628]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB2D9568C]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB2D95D0C]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB2D96194]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB2D95CCC]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB2D95E4C]
    SSDT \??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB41AD320]

    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB2DA24FE]
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB2DA2322]
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB2DA245C]
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject

    ---- Kernel code sections - GMER 1.0.15 ----

    .text ntkrnlpa.exe!ZwCallbackReturn + 2474 80501C9C 4 Bytes CALL E302F5F7
    PAGE ntkrnlpa.exe!ZwLoadDriver 80579588 7 Bytes JMP B2DA2460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    PAGE ntkrnlpa.exe!NtCreateSection 805A06EC 7 Bytes JMP B2DA2326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B1C60 5 Bytes JMP B2D9E4BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    PAGE ntkrnlpa.exe!ObInsertObject 805B8AD8 5 Bytes JMP B2D9F972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C736A 7 Bytes JMP B2DA2502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    .rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xBA775994]
    .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB86CC360, 0x37226D, 0xE8000020]

    ---- User code sections - GMER 1.0.15 ----

    .text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 00E5000A
    .text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 00E6000A
    .text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 00E4000C
    .text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 0095000A
    .text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 0096000A
    .text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 0094000C
    .text C:\WINDOWS\System32\svchost.exe[1560] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 008C000A
    .text C:\WINDOWS\System32\svchost.exe[1560] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 008B000A

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003F0002
    IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003F0000

    ---- Devices - GMER 1.0.15 ----
    0
  20. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    scap,

    En plus de l'infection avec svchost.exe, le rapport de gmer montre une nouvelle variante de ce rootkit TDSS ( les deux infections sont peut-être liées ).

    ---- Kernel code sections - GMER 1.0.15 ---- 
    
    .rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xBA775994] 


    -------------------------------------------------------------------

    1/ Le rapport de gmer est incomplet.
    Reposte-le.

    2/ Télécharge TDSSKiller sur ton Bureau ( IMPORTANT )
    https://support.kaspersky.com/downloads/utils/tdsskiller.zip

    # Décompresse le (clic droit et extraire ici).
    Tu dois avoir le fichier TDSSKiller.exe sur ton bureau.

    # Menu Démarrer --> Exécuter puis copie-colle le texte suivant

    "%userprofile%\bureau\TDSSKiller.exe" -l C:\report.txt -v


    et clique sur OK

    # Une fenêtre Dos noire va s'ouvrir, elle se refermera d'elle même quand le travail de l'outil sera terminé.

    Poste en réponse le rapport report.txt qui sera crée en C:\

    A+
    0
  21. -scap-
     
    Oops,

    Voila le rapport gmer complet:
    (Rapport TDSSkiller prochain post)

    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-04-12 09:35:42
    Windows 5.1.2600 Service Pack 3
    Running: cxqbrw7i.exe; Driver: C:\DOCUME~1\BLACKC~1\CONFIG~1\Temp\pxtdipow.sys

    ---- System - GMER 1.0.15 ----

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB2D95C56]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB2D95B12]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB2D960C6]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB2D95FF0]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB2D956E8]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB2D95BEC]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB2D95628]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB2D9568C]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB2D95D0C]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB2D96194]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB2D95CCC]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB2D95E4C]
    SSDT \??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB41AD320]

    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB2DA24FE]
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB2DA2322]
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB2DA245C]
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject

    ---- Kernel code sections - GMER 1.0.15 ----

    .text ntkrnlpa.exe!ZwCallbackReturn + 2474 80501C9C 4 Bytes CALL E302F5F7
    PAGE ntkrnlpa.exe!ZwLoadDriver 80579588 7 Bytes JMP B2DA2460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    PAGE ntkrnlpa.exe!NtCreateSection 805A06EC 7 Bytes JMP B2DA2326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B1C60 5 Bytes JMP B2D9E4BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    PAGE ntkrnlpa.exe!ObInsertObject 805B8AD8 5 Bytes JMP B2D9F972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C736A 7 Bytes JMP B2DA2502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
    .rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xBA775994]
    .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB86CC360, 0x37226D, 0xE8000020]

    ---- User code sections - GMER 1.0.15 ----

    .text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 00E5000A
    .text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 00E6000A
    .text C:\WINDOWS\Explorer.EXE[440] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 00E4000C
    .text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 0095000A
    .text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 0096000A
    .text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 0094000C
    .text C:\WINDOWS\System32\svchost.exe[1560] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 008C000A
    .text C:\WINDOWS\System32\svchost.exe[1560] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 008B000A

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003F0002
    IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003F0000

    ---- Devices - GMER 1.0.15 ----

    Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)

    AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
    AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
    AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
    AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
    AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
    AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

    Device \FileSystem\Fastfat \Fat AABF3D20
    Device \FileSystem\Fastfat \Fat AAC03428

    AttachedDevice \FileSystem\Fastfat \Fat AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
    AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
    AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

    Device -> \Driver\atapi \Device\Harddisk0\DR0 8A774AC8

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Documents and Settings\BlackCrystal\x2122\Datos de programa\Microsoft\IdentityCRL\production\ppcrlconfig.dll 2

    ---- Files - GMER 1.0.15 ----

    File C:\ADSM_PData_0150 0 bytes
    File C:\ADSM_PData_0150\DB 0 bytes
    File C:\ADSM_PData_0150\DB\SI.db 624 bytes
    File C:\ADSM_PData_0150\DB\UL.db 16 bytes
    File C:\ADSM_PData_0150\DB\VL.db 16 bytes
    File C:\ADSM_PData_0150\DB\_avt 512 bytes
    File C:\ADSM_PData_0150\DragWait.exe 253952 bytes executable
    File C:\ADSM_PData_0150\_avt 512 bytes
    File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86 0 bytes
    File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\AsDsm.sys 29752 bytes executable
    File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\_avt 512 bytes
    File C:\WINDOWS\system32\drivers\pci.sys suspicious modification
    File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

    ---- EOF - GMER 1.0.15 ----
    0
  • 1
  • 2
  • 3