Virus svchost dans windows temp
Résolu
-scap-
-
-scap- -
-scap- -
Bonjour,
Ca fait 2 jours que je bataille pour essayer de supprimer un virus sur mon pc.
J'ai suivi quelques procedures comme celle-ci: https://forums.commentcamarche.net/forum/affich-16632765-virus-svchost-exe-dans-windows-temp
J'ai essayer quelques antispyware comme Malwarebyte et Superantispyware, mais rien n'y fait. J'ai toujours l'antivirus(avast) qui detecte une menace toute les 5 minutes du type: C:/WINDOWS/TEMP/.../svchost.exe
En effet le dossier C:/WINDOWS/TEMP/... se rempli de nouveaux dossiers.
J'ai le rapport Hijackthis http://www.cijoint.fr/cjlink.php?file=cj201004/cijt7vDUkE.txt
Si quelqu'un pouvait m'aider ca serait super.
Merci d'avance.
Ca fait 2 jours que je bataille pour essayer de supprimer un virus sur mon pc.
J'ai suivi quelques procedures comme celle-ci: https://forums.commentcamarche.net/forum/affich-16632765-virus-svchost-exe-dans-windows-temp
J'ai essayer quelques antispyware comme Malwarebyte et Superantispyware, mais rien n'y fait. J'ai toujours l'antivirus(avast) qui detecte une menace toute les 5 minutes du type: C:/WINDOWS/TEMP/.../svchost.exe
En effet le dossier C:/WINDOWS/TEMP/... se rempli de nouveaux dossiers.
J'ai le rapport Hijackthis http://www.cijoint.fr/cjlink.php?file=cj201004/cijt7vDUkE.txt
Si quelqu'un pouvait m'aider ca serait super.
Merci d'avance.
A voir également:
- Virus svchost dans windows temp
- Clé d'activation windows 10 - Guide
- Montage video windows - Guide
- Windows ne démarre pas - Guide
- Windows movie maker - Télécharger - Montage & Édition
- Virus mcafee - Accueil - Piratage
51 réponses
scap,
TDSSKiller a l'air d'avoir fonctionné sur un des deux drivers.
C'est déjà cela.
Relance gmer et poste le rapport.
A+
TDSSKiller a l'air d'avoir fonctionné sur un des deux drivers.
C'est déjà cela.
Relance gmer et poste le rapport.
A+
Voila le nouveau rapport Gmer:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-12 16:13:48
Windows 5.1.2600 Service Pack 3
Running: cxqbrw7i.exe; Driver: C:\DOCUME~1\BLACKC~1\CONFIG~1\Temp\pxtdipow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB39BDC56]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB39BDB12]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB39BE0C6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB39BDFF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB39BD6E8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB39BDBEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB39BD628]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB39BD68C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB39BDD0C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB39BE194]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB39BDCCC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB39BDE4C]
SSDT \??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB3C32320]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB39CA4FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB39CA322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB39CA45C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2474 80501C9C 4 Bytes CALL E303B877
PAGE ntkrnlpa.exe!ZwLoadDriver 80579588 7 Bytes JMP B39CA460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805A06EC 7 Bytes JMP B39CA326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObReferenceObjectByHandle + 4BF 805B0F75 7 Bytes JMP 8A8A5A00
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B1C60 5 Bytes JMP B39C64BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 805B8AD8 5 Bytes JMP B39C7972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C736A 7 Bytes JMP B39CA502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
? klmdb.sys El sistema no puede hallar el archivo especificado. !
.rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xBA775994]
? tsk3D9.tmp El sistema no puede hallar el archivo especificado. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB86CC360, 0x37226D, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[244] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 00E5000A
.text C:\WINDOWS\Explorer.EXE[244] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 00E6000A
.text C:\WINDOWS\Explorer.EXE[244] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 00E4000C
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 0095000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 0096000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 0094000C
.text C:\WINDOWS\System32\svchost.exe[1560] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 03A0000A
.text C:\WINDOWS\System32\svchost.exe[1560] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 039F000A
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003F0002
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003F0000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)
AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\atapi \Device\Ide\IdePort0 tsk3D9.tmp
Device \Driver\atapi \Device\Ide\IdePort1 tsk3D9.tmp
Device \Driver\atapi \Device\Ide\IdePort2 tsk3D9.tmp
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-10 tsk3D9.tmp
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \FileSystem\Fastfat \Fat AB963D20
AttachedDevice \FileSystem\Fastfat \Fat AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
Device -> \Driver\atapi \Device\Harddisk0\DR0 8A77FAC8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Documents and Settings\BlackCrystal\x2122\Datos de programa\Microsoft\IdentityCRL\production\ppcrlconfig.dll 2
---- Files - GMER 1.0.15 ----
File C:\ADSM_PData_0150 0 bytes
File C:\ADSM_PData_0150\DB 0 bytes
File C:\ADSM_PData_0150\DB\SI.db 624 bytes
File C:\ADSM_PData_0150\DB\UL.db 16 bytes
File C:\ADSM_PData_0150\DB\VL.db 16 bytes
File C:\ADSM_PData_0150\DB\_avt 512 bytes
File C:\ADSM_PData_0150\DragWait.exe 253952 bytes executable
File C:\ADSM_PData_0150\_avt 512 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86 0 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\AsDsm.sys 29752 bytes executable
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\_avt 512 bytes
File C:\WINDOWS\system32\drivers\pci.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-12 16:13:48
Windows 5.1.2600 Service Pack 3
Running: cxqbrw7i.exe; Driver: C:\DOCUME~1\BLACKC~1\CONFIG~1\Temp\pxtdipow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB39BDC56]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB39BDB12]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB39BE0C6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB39BDFF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB39BD6E8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB39BDBEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB39BD628]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB39BD68C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB39BDD0C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB39BE194]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB39BDCCC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB39BDE4C]
SSDT \??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB3C32320]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB39CA4FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB39CA322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB39CA45C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2474 80501C9C 4 Bytes CALL E303B877
PAGE ntkrnlpa.exe!ZwLoadDriver 80579588 7 Bytes JMP B39CA460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805A06EC 7 Bytes JMP B39CA326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObReferenceObjectByHandle + 4BF 805B0F75 7 Bytes JMP 8A8A5A00
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B1C60 5 Bytes JMP B39C64BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 805B8AD8 5 Bytes JMP B39C7972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C736A 7 Bytes JMP B39CA502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
? klmdb.sys El sistema no puede hallar el archivo especificado. !
.rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xBA775994]
? tsk3D9.tmp El sistema no puede hallar el archivo especificado. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB86CC360, 0x37226D, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[244] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 00E5000A
.text C:\WINDOWS\Explorer.EXE[244] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 00E6000A
.text C:\WINDOWS\Explorer.EXE[244] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 00E4000C
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtProtectVirtualMemory 7C91D6D0 5 Bytes JMP 0095000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!NtWriteVirtualMemory 7C91DF90 5 Bytes JMP 0096000A
.text C:\WINDOWS\System32\svchost.exe[1560] ntdll.dll!KiUserExceptionDispatcher 7C91E45C 5 Bytes JMP 0094000C
.text C:\WINDOWS\System32\svchost.exe[1560] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 03A0000A
.text C:\WINDOWS\System32\svchost.exe[1560] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 039F000A
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003F0002
IAT C:\WINDOWS\system32\services.exe[1108] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003F0000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)
AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \Driver\atapi \Device\Ide\IdePort0 tsk3D9.tmp
Device \Driver\atapi \Device\Ide\IdePort1 tsk3D9.tmp
Device \Driver\atapi \Device\Ide\IdePort2 tsk3D9.tmp
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-10 tsk3D9.tmp
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \FileSystem\Fastfat \Fat AB963D20
AttachedDevice \FileSystem\Fastfat \Fat AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
Device -> \Driver\atapi \Device\Harddisk0\DR0 8A77FAC8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Documents and Settings\BlackCrystal\x2122\Datos de programa\Microsoft\IdentityCRL\production\ppcrlconfig.dll 2
---- Files - GMER 1.0.15 ----
File C:\ADSM_PData_0150 0 bytes
File C:\ADSM_PData_0150\DB 0 bytes
File C:\ADSM_PData_0150\DB\SI.db 624 bytes
File C:\ADSM_PData_0150\DB\UL.db 16 bytes
File C:\ADSM_PData_0150\DB\VL.db 16 bytes
File C:\ADSM_PData_0150\DB\_avt 512 bytes
File C:\ADSM_PData_0150\DragWait.exe 253952 bytes executable
File C:\ADSM_PData_0150\_avt 512 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86 0 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\AsDsm.sys 29752 bytes executable
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\_avt 512 bytes
File C:\WINDOWS\system32\drivers\pci.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
scap,
TDSSKIller n'a pas réussi à réparer atapi.sys.
C'est bien la dernière variante de ce rootkit.
Comme toute nouvelle infection, les outils ne sont pas encore au point.
Mais, il existe des solutions. :-)
La réparation se fera avec la console de récupération.
Peux-tu me confirmer qu'au démarrage du PC tu as le choix entre démarrer avec la console de récupération et démarrer windows ?
Celle-ci a du être installée avec ComboFix.
A+
TDSSKIller n'a pas réussi à réparer atapi.sys.
C'est bien la dernière variante de ce rootkit.
Comme toute nouvelle infection, les outils ne sont pas encore au point.
Mais, il existe des solutions. :-)
La réparation se fera avec la console de récupération.
Peux-tu me confirmer qu'au démarrage du PC tu as le choix entre démarrer avec la console de récupération et démarrer windows ?
Celle-ci a du être installée avec ComboFix.
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
OK,
Il faut rechercher une copie saine de pci.sys ( pour atapi.sys, j'ai l'info ).
Relance OTL et copie/colle le texte suivant sous Personnalisation :
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, un rapport va s'ouvrir.
Utilise le site comme http://www.cijoint.fr pour le poster.
A+
Il faut rechercher une copie saine de pci.sys ( pour atapi.sys, j'ai l'info ).
Relance OTL et copie/colle le texte suivant sous Personnalisation :
/md5start pci.sys /md5stop
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, un rapport va s'ouvrir.
Utilise le site comme http://www.cijoint.fr pour le poster.
A+
Voila le rapport OTL:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijkNWFfMj.txt
Desole c'est un peu long mais le pc a du mal: tout se fige, oblige de reboot avec le bouton power... Par contre il n'y aplus d'alerte de avast.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijkNWFfMj.txt
Desole c'est un peu long mais le pc a du mal: tout se fige, oblige de reboot avec le bouton power... Par contre il n'y aplus d'alerte de avast.
Re,
Oui. Fais attention à ne pas laisser le PC continuellement connecter au net.
J'attends des infos pour la désinfection des drivers.
L'infection se révèle et montre des fichiers infectieux.
Relance OTL et copie/colle la liste suivante dans Personnalisation :
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
A+
Allez jusqu'au bout de la procédure de désinfection.
Desolé c'est un peu long mais le pc a du mal: tout se fige, oblige de reboot avec le bouton power...
Oui. Fais attention à ne pas laisser le PC continuellement connecter au net.
J'attends des infos pour la désinfection des drivers.
L'infection se révèle et montre des fichiers infectieux.
Relance OTL et copie/colle la liste suivante dans Personnalisation :
:OTL
SRV - [2001/08/24 12:00:00 | 000,112,128 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\iyhbchb.dll -- (xkgvuusd)
O2 - BHO: (no name) - {03985078-DD6A-49EF-8521-52A3F4128D7a} - C:\WINDOWS\System32\hrqjjhda.dll ()
O2 - BHO: () - {641D649F-FE56-4C68-AF5C-BA9D3150276F} - C:\WINDOWS\system32\iyhbchb.dll (Microsoft Corporation)
[2001/08/24 12:00:00 | 000,136,192 | ---- | C] () -- C:\WINDOWS\System32\hrqjjhda.dll
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
A+
Allez jusqu'au bout de la procédure de désinfection.
J'ai suivi la procédure indiquée ci dessus. Au redémarrage OTL veut s'executer:
- si je mets executer, le message d'erreur suivant apparait:
"Access violation at address 005ABB6E in module 'OTL.scr' read of adress 0000000". Je clique sur OK et je tombe sur le bureau vide avec OTL ouvert et à l'arret (pas de scan ou activité en cours) si je ferme le bureau reste vide, meme en fermant et ouvrant explorer.exe avec le gestionnaire des taches, rien ne se passe
- Si je mets annuler je tombe sur le bureau reste vide, meme en fermant et ouvrant explorer.exe avec le gestionnaire des taches, rien ne se passe
La je suis sur un autre PC.
- si je mets executer, le message d'erreur suivant apparait:
"Access violation at address 005ABB6E in module 'OTL.scr' read of adress 0000000". Je clique sur OK et je tombe sur le bureau vide avec OTL ouvert et à l'arret (pas de scan ou activité en cours) si je ferme le bureau reste vide, meme en fermant et ouvrant explorer.exe avec le gestionnaire des taches, rien ne se passe
- Si je mets annuler je tombe sur le bureau reste vide, meme en fermant et ouvrant explorer.exe avec le gestionnaire des taches, rien ne se passe
La je suis sur un autre PC.
scap,
Désolé pour le problème actuel.
C'est OTL qui n'a pas pu finir le nettoyage.
On va essayer de réparer cela.
Quand tu redémarres le PC, tapote sur la touche F5 ( ou F8 ).
A l'invite suivante, choisis le mode sans échec.
Suis les invites et choisis ton compte.
En mode sans échec, il faut ouvrir la base de registre.
Démarrer --> exécuter --> tape regedit
Va jusqu'à la clé :
Dans la partie droite de la fenêtre, tu verras une valeur OTL.
Click droit sur cette valeur et choisis supprimer.
redémarre le PC et dis moi si tu arrives sous windows.
A+
Désolé pour le problème actuel.
C'est OTL qui n'a pas pu finir le nettoyage.
On va essayer de réparer cela.
Quand tu redémarres le PC, tapote sur la touche F5 ( ou F8 ).
A l'invite suivante, choisis le mode sans échec.
Suis les invites et choisis ton compte.
En mode sans échec, il faut ouvrir la base de registre.
Démarrer --> exécuter --> tape regedit
Va jusqu'à la clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Dans la partie droite de la fenêtre, tu verras une valeur OTL.
Click droit sur cette valeur et choisis supprimer.
redémarre le PC et dis moi si tu arrives sous windows.
A+
Sous la clé
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Dans la partie droite il y a une seule valeur:
AB (predetermine) REG_SZ (valeur non etablie)
C'est bien ca qu'il faut que je supprime?
Il n'y a pas de valeur nommée OTL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Dans la partie droite il y a une seule valeur:
AB (predetermine) REG_SZ (valeur non etablie)
C'est bien ca qu'il faut que je supprime?
Il n'y a pas de valeur nommée OTL
c'est bon il a redemarré sous windows normalement. Je récupère le nouveau rapport OTL et je le poste dans 2 min.
Voila le rapport de l'échec du scan OTL
========== OTL ==========
Error: Unable to stop service xkgvuusd!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xkgvuusd deleted successfully.
File move failed. C:\WINDOWS\system32\iyhbchb.dll scheduled to be moved on reboot.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{03985078-DD6A-49EF-8521-52A3F4128D7a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03985078-DD6A-49EF-8521-52A3F4128D7a}\ deleted successfully.
File C:\WINDOWS\System32\hrqjjhda.dll not found.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{641D649F-FE56-4C68-AF5C-BA9D3150276F}\ scheduled to be deleted on reboot.
Unable to delete registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{641D649F-FE56-4C68-AF5C-BA9D3150276F}\ .
File move failed. C:\WINDOWS\system32\iyhbchb.dll scheduled to be moved on reboot.
C:\WINDOWS\system32\lcppn21.dll moved successfully.
File C:\WINDOWS\System32\hrqjjhda.dll not found.
OTL by OldTimer - Version 3.2.1.1 log created on 04122010_222751
========== OTL ==========
Error: Unable to stop service xkgvuusd!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xkgvuusd deleted successfully.
File move failed. C:\WINDOWS\system32\iyhbchb.dll scheduled to be moved on reboot.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{03985078-DD6A-49EF-8521-52A3F4128D7a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03985078-DD6A-49EF-8521-52A3F4128D7a}\ deleted successfully.
File C:\WINDOWS\System32\hrqjjhda.dll not found.
Registry delete failed. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{641D649F-FE56-4C68-AF5C-BA9D3150276F}\ scheduled to be deleted on reboot.
Unable to delete registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{641D649F-FE56-4C68-AF5C-BA9D3150276F}\ .
File move failed. C:\WINDOWS\system32\iyhbchb.dll scheduled to be moved on reboot.
C:\WINDOWS\system32\lcppn21.dll moved successfully.
File C:\WINDOWS\System32\hrqjjhda.dll not found.
OTL by OldTimer - Version 3.2.1.1 log created on 04122010_222751
Re,
Relance OTL puis sélectionne les options suivantes ( tous les utilisateurs , 30 jours pour l'âge du fichier )
Clique sur analyse rapide et poste le rapport.
----------------------------------------------------------------------
Bon, on va commencer par nettoyer un des deux drivers.
1/ Démarrer --> tous les programmes --> Accessoires --> Invite de commandes Ms-Dos
Copie/Colle le texte suivant dans la fenêtre ouverte.
Pour coller ce texte dans la fenêtre MSDos, click droit et choisis Coller
Vérifie ( sans l'ouvrir ) qu'un fichier fix.bat a été crée en C:\Windows.
2/ Redémarre le PC et choisis le démarrage avec la console de récupération.
- choisis le repertoire de windows que tu as installé
par exemple : 1 --> c:\windows
- tape ensuite ceci : batch fix.bat
3/ Le PC va redémarrer.
Relance Gmer et poste le rapport.
A+
Relance OTL puis sélectionne les options suivantes ( tous les utilisateurs , 30 jours pour l'âge du fichier )
Clique sur analyse rapide et poste le rapport.
----------------------------------------------------------------------
Bon, on va commencer par nettoyer un des deux drivers.
1/ Démarrer --> tous les programmes --> Accessoires --> Invite de commandes Ms-Dos
Copie/Colle le texte suivant dans la fenêtre ouverte.
copy %systemroot%\system32\drivers\pci.sys %systemroot% echo copy pci.sys system32\drivers>%systemroot%\fix.bat echo del pci.sys>>%systemroot%\fix.bat exit cls
Pour coller ce texte dans la fenêtre MSDos, click droit et choisis Coller
Vérifie ( sans l'ouvrir ) qu'un fichier fix.bat a été crée en C:\Windows.
2/ Redémarre le PC et choisis le démarrage avec la console de récupération.
- choisis le repertoire de windows que tu as installé
par exemple : 1 --> c:\windows
- tape ensuite ceci : batch fix.bat
3/ Le PC va redémarrer.
Relance Gmer et poste le rapport.
A+
Re,
Il est impossible de terminer le Scan avec OTL. Windows est trop instable. Tout se fige quelques minutes apres avoir demarre.
Il est impossible de terminer le Scan avec OTL. Windows est trop instable. Tout se fige quelques minutes apres avoir demarre.
Re,
passe à l'étape suivante, alors.
On verra après le redémarrage si c'est toujours aussi instable.
A+
passe à l'étape suivante, alors.
On verra après le redémarrage si c'est toujours aussi instable.
A+
Voila le rapport OTL:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijWxeW3ne.txt
Et le Gmer:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-13 16:08:07
Windows 5.1.2600 Service Pack 3
Running: cxqbrw7i.exe; Driver: C:\DOCUME~1\BLACKC~1\CONFIG~1\Temp\pxtdipow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB839AC56]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB839AB12]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB839B0C6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB839AFF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB839A6E8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB839ABEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB839A628]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB839A68C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB839AD0C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB839B194]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB839ACCC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB839AE4C]
SSDT \??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB8486320]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB83A74FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB83A7322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB83A745C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2474 80501C9C 4 Bytes CALL E3085647
PAGE ntkrnlpa.exe!ZwLoadDriver 80579588 7 Bytes JMP B83A7460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805A06EC 7 Bytes JMP B83A7326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObReferenceObjectByHandle + 4BF 805B0F75 7 Bytes JMP 8A8DF400
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B1C60 5 Bytes JMP B83A34BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 805B8AD8 5 Bytes JMP B83A4972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C736A 7 Bytes JMP B83A7502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9F12360, 0x37226D, 0xE8000020]
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[1104] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003D0002
IAT C:\WINDOWS\system32\services.exe[1104] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003D0000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)
AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \FileSystem\Fastfat \Fat B5F48D20
AttachedDevice \FileSystem\Fastfat \Fat AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Documents and Settings\BlackCrystal\x2122\Datos de programa\Microsoft\IdentityCRL\production\ppcrlconfig.dll 2
---- Files - GMER 1.0.15 ----
File C:\ADSM_PData_0150 0 bytes
File C:\ADSM_PData_0150\DB 0 bytes
File C:\ADSM_PData_0150\DB\SI.db 624 bytes
File C:\ADSM_PData_0150\DB\UL.db 16 bytes
File C:\ADSM_PData_0150\DB\VL.db 16 bytes
File C:\ADSM_PData_0150\DB\_avt 512 bytes
File C:\ADSM_PData_0150\DragWait.exe 253952 bytes executable
File C:\ADSM_PData_0150\_avt 512 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86 0 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\AsDsm.sys 29752 bytes executable
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\_avt 512 bytes
---- EOF - GMER 1.0.15 ----
http://www.cijoint.fr/cjlink.php?file=cj201004/cijWxeW3ne.txt
Et le Gmer:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-13 16:08:07
Windows 5.1.2600 Service Pack 3
Running: cxqbrw7i.exe; Driver: C:\DOCUME~1\BLACKC~1\CONFIG~1\Temp\pxtdipow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB839AC56]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xB839AB12]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xB839B0C6]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB839AFF0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB839A6E8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB839ABEC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xB839A628]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xB839A68C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB839AD0C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xB839B194]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB839ACCC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xB839AE4C]
SSDT \??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xB8486320]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xB83A74FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB83A7322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB83A745C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2474 80501C9C 4 Bytes CALL E3085647
PAGE ntkrnlpa.exe!ZwLoadDriver 80579588 7 Bytes JMP B83A7460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 805A06EC 7 Bytes JMP B83A7326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObReferenceObjectByHandle + 4BF 805B0F75 7 Bytes JMP 8A8DF400
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B1C60 5 Bytes JMP B83A34BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 805B8AD8 5 Bytes JMP B83A4972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C736A 7 Bytes JMP B83A7502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9F12360, 0x37226D, 0xE8000020]
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[1104] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003D0002
IAT C:\WINDOWS\system32\services.exe[1104] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003D0000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)
AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device \FileSystem\Fastfat \Fat B5F48D20
AttachedDevice \FileSystem\Fastfat \Fat AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Documents and Settings\BlackCrystal\x2122\Datos de programa\Microsoft\IdentityCRL\production\ppcrlconfig.dll 2
---- Files - GMER 1.0.15 ----
File C:\ADSM_PData_0150 0 bytes
File C:\ADSM_PData_0150\DB 0 bytes
File C:\ADSM_PData_0150\DB\SI.db 624 bytes
File C:\ADSM_PData_0150\DB\UL.db 16 bytes
File C:\ADSM_PData_0150\DB\VL.db 16 bytes
File C:\ADSM_PData_0150\DB\_avt 512 bytes
File C:\ADSM_PData_0150\DragWait.exe 253952 bytes executable
File C:\ADSM_PData_0150\_avt 512 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86 0 bytes
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\AsDsm.sys 29752 bytes executable
File C:\Archivos de programa\ASUS\ASUS Data Security Manager\driver\x86\_avt 512 bytes
---- EOF - GMER 1.0.15 ----
