Virus protector bloque mon pc !
Anais
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Hier j'ai le logiciel Virus protector qui s'est mis en route, jai du le telecharger sans le savoir, il n'arreté pas de s'ouvrir, j'ai essayé de le supprimer mais sans succés, pas grave, je me suis dit que je verrais ça demain. Se matin j'allume le pc, et là, le logiciel prends toute la page !! je ne peux plus acceder à rien.
Du coup je fais une petite recherche à partir de mon autre pc, et je trouve 2 solution.
* Demarer avec l'invite de commande, puis dir.exe pour supprimer certains fichier, mais il est noté fichier introuvable
* Restaurer le system, probléme : Aucun point de restauration n'a été creer ..
Je ne sais plus quoi faire ! Mon second pc est un eeepc, c'est limité =(
Hier j'ai le logiciel Virus protector qui s'est mis en route, jai du le telecharger sans le savoir, il n'arreté pas de s'ouvrir, j'ai essayé de le supprimer mais sans succés, pas grave, je me suis dit que je verrais ça demain. Se matin j'allume le pc, et là, le logiciel prends toute la page !! je ne peux plus acceder à rien.
Du coup je fais une petite recherche à partir de mon autre pc, et je trouve 2 solution.
* Demarer avec l'invite de commande, puis dir.exe pour supprimer certains fichier, mais il est noté fichier introuvable
* Restaurer le system, probléme : Aucun point de restauration n'a été creer ..
Je ne sais plus quoi faire ! Mon second pc est un eeepc, c'est limité =(
A voir également:
- Virus protector bloque mon pc !
- Mon pc est lent - Guide
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Code puk bloqué - Guide
- Plus de son sur mon pc - Guide
34 réponses
bonjour
Télécharger Rkill de Grinler sur le bureau, fait double clic pour le lancer.
Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
tu commence par le premier Rkill EXE ,tu tente de poster HijackThis,
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
si cela ne fonctionne tu passe au second Rkill COM ,ETC...
Rkill EXE: Rkill EXE:
https://download.bleepingcomputer.com/grinler/rkill.exe https://download.bleepingcomputer.com/grinler/rkill.exe
Rkill COM: Rkill COM:
https://download.bleepingcomputer.com/grinler/rkill.com https://download.bleepingcomputer.com/grinler/rkill.com
Rkill SCR: Rkill RCS:
https://download.bleepingcomputer.com/grinler/rkill.scr https://download.bleepingcomputer.com/grinler/rkill.scr
Rkill PIF: Rkill PIF:
http://download.bleepingcomputer.com/grinler/rkill.pif http://download.bleepingcomputer.com/grinler/rkill.pif
pour Vista et Seven faire un clic-droit et Exécuter en tant qu'Administrateur)
------------------
ensuite
télécharge Malwarebyte's ici http://www.malwarebytes.org/mbam/program/mbam-setup.exe
le programme va se mettre automatiquement a jour.
S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
https://www.malekal.com/tutorial-aboutbuster/
Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".
Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des éléments on été trouvés > click sur supprimer la sélection.
si il t'es demandé de redémarrer > click sur "yes".
A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
PS : les rapport sont aussi rangé dans l onglet rapport/log
Télécharger Rkill de Grinler sur le bureau, fait double clic pour le lancer.
Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
tu commence par le premier Rkill EXE ,tu tente de poster HijackThis,
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
si cela ne fonctionne tu passe au second Rkill COM ,ETC...
Rkill EXE: Rkill EXE:
https://download.bleepingcomputer.com/grinler/rkill.exe https://download.bleepingcomputer.com/grinler/rkill.exe
Rkill COM: Rkill COM:
https://download.bleepingcomputer.com/grinler/rkill.com https://download.bleepingcomputer.com/grinler/rkill.com
Rkill SCR: Rkill RCS:
https://download.bleepingcomputer.com/grinler/rkill.scr https://download.bleepingcomputer.com/grinler/rkill.scr
Rkill PIF: Rkill PIF:
http://download.bleepingcomputer.com/grinler/rkill.pif http://download.bleepingcomputer.com/grinler/rkill.pif
pour Vista et Seven faire un clic-droit et Exécuter en tant qu'Administrateur)
------------------
ensuite
télécharge Malwarebyte's ici http://www.malwarebytes.org/mbam/program/mbam-setup.exe
le programme va se mettre automatiquement a jour.
S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
https://www.malekal.com/tutorial-aboutbuster/
Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".
Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des éléments on été trouvés > click sur supprimer la sélection.
si il t'es demandé de redémarrer > click sur "yes".
A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
PS : les rapport sont aussi rangé dans l onglet rapport/log
ok
regarde si le demarrage sans echec fontionne
Pour démarrer en mode sans échec AVEC prise en charge reseau
>>1--demarre ou redémarre l'ordinateur. L'affichage affichent la progression du BIOS,
>>2--A la fin du chargement du BIOS, tapotte sur la touche F8 de ton clavier. jusqu'à ce que le menu des options avancées de Windows apparaisse. Si tu appuie sur la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "erreur clavier". Dans ce cas redémarre l'ordinateur et essaye de nouveau.
>>3--En utilisant les flèches de ton clavier, sélectionne « Mode sans échec avec prise en charge reseau » dans le menu puis appuie sur Entrée.
si ca fonctionne telecharge Malwarebyte's et fait comme sur le message plus haut
sans utilisé rkill
regarde si le demarrage sans echec fontionne
Pour démarrer en mode sans échec AVEC prise en charge reseau
>>1--demarre ou redémarre l'ordinateur. L'affichage affichent la progression du BIOS,
>>2--A la fin du chargement du BIOS, tapotte sur la touche F8 de ton clavier. jusqu'à ce que le menu des options avancées de Windows apparaisse. Si tu appuie sur la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "erreur clavier". Dans ce cas redémarre l'ordinateur et essaye de nouveau.
>>3--En utilisant les flèches de ton clavier, sélectionne « Mode sans échec avec prise en charge reseau » dans le menu puis appuie sur Entrée.
si ca fonctionne telecharge Malwarebyte's et fait comme sur le message plus haut
sans utilisé rkill
"tu a acces a l'ivite de commande tu disait plus haut
donc tu ouvre l'invite de commande et tu tape "explorer" ou "explorer.exe"
et la tu peu mettre l'add " http://www.malwarebytes.org/mbam/program/mbam-setup.exe"
dans la case adresse "
Je n'ai pas accés à Internet, je ne sais pas pourquoi.
J'ai vu que comme ça je peux avoir accés à mes disques dur, je vais essayé de telecharger ce que tu m'as dit via l'eeepc et le transferais avec le disque dur externe sur l'autre. Je sais pas si ça va marcher.
donc tu ouvre l'invite de commande et tu tape "explorer" ou "explorer.exe"
et la tu peu mettre l'add " http://www.malwarebytes.org/mbam/program/mbam-setup.exe"
dans la case adresse "
Je n'ai pas accés à Internet, je ne sais pas pourquoi.
J'ai vu que comme ça je peux avoir accés à mes disques dur, je vais essayé de telecharger ce que tu m'as dit via l'eeepc et le transferais avec le disque dur externe sur l'autre. Je sais pas si ça va marcher.
si tu peu supprimer des fichiers par l'intermediaire de l'invite de commande
les voici
c:\Documents and Settings\Bleeping\Application Data\<random>.exe
c:\Documents and Settings\Bleeping\Application Data\<random>.dll
c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.exe
c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.dll
c:\Program Files\Internet Explorer\<random>.exe
c:\Program Files\Internet Explorer\<random>.dll
c:\WINDOWS\<random>.exe
c:\WINDOWS\<random>.dll
c:\WINDOWS\system32\<random>.exe
c:\WINDOWS\system32\<random>.dll
c:\WINDOWS\system32\drivers\<random>.exe
c:\WINDOWS\system32\drivers\<random>.dll
les voici
c:\Documents and Settings\Bleeping\Application Data\<random>.exe
c:\Documents and Settings\Bleeping\Application Data\<random>.dll
c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.exe
c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.dll
c:\Program Files\Internet Explorer\<random>.exe
c:\Program Files\Internet Explorer\<random>.dll
c:\WINDOWS\<random>.exe
c:\WINDOWS\<random>.dll
c:\WINDOWS\system32\<random>.exe
c:\WINDOWS\system32\<random>.dll
c:\WINDOWS\system32\drivers\<random>.exe
c:\WINDOWS\system32\drivers\<random>.dll
recherche encore une fois par exemple dans application Data il doit y avoir un 215489.exe
ce sont des nombres aleatoires
c:\Documents and Settings\Bleeping\Application Data\<random>.exe
c:\Documents and Settings\Bleeping\Application Data\<random>.dll
c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.exe
c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.dll
c:\Program Files\Internet Explorer\<random>.exe
c:\Program Files\Internet Explorer\<random>.dll
c:\WINDOWS\<random>.exe
c:\WINDOWS\<random>.dll
c:\WINDOWS\system32\<random>.exe
c:\WINDOWS\system32\<random>.dll
c:\WINDOWS\system32\drivers\<random>.exe
c:\WINDOWS\system32\drivers\<random>.dll
ce sont des nombres aleatoires
c:\Documents and Settings\Bleeping\Application Data\<random>.exe
c:\Documents and Settings\Bleeping\Application Data\<random>.dll
c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.exe
c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.dll
c:\Program Files\Internet Explorer\<random>.exe
c:\Program Files\Internet Explorer\<random>.dll
c:\WINDOWS\<random>.exe
c:\WINDOWS\<random>.dll
c:\WINDOWS\system32\<random>.exe
c:\WINDOWS\system32\<random>.dll
c:\WINDOWS\system32\drivers\<random>.exe
c:\WINDOWS\system32\drivers\<random>.dll
je vois
le language "dos" n'est pas ta tasse de thé
tu dois taper "cd" et le chemin a suivre
donc , pour la premiere ligne
"cd Documents and Settings"
"cd Bleeping"
"cd Application Data"
ou bien entendu tu peu le faire en entier "cd Documents and Settings\Bleeping\Application Data"
et la tu fait un "dir" tu cherche le "random".exe exemple: 321.exe
et la tu fait un "delete 321.exe" par exemple
pour revenir en arriere tu fait "cd.."autant de fois qu'il faut
on peu faire plus direct maisje ne veux pas t'embrouillé
Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit
le language "dos" n'est pas ta tasse de thé
tu dois taper "cd" et le chemin a suivre
donc , pour la premiere ligne
"cd Documents and Settings"
"cd Bleeping"
"cd Application Data"
ou bien entendu tu peu le faire en entier "cd Documents and Settings\Bleeping\Application Data"
et la tu fait un "dir" tu cherche le "random".exe exemple: 321.exe
et la tu fait un "delete 321.exe" par exemple
pour revenir en arriere tu fait "cd.."autant de fois qu'il faut
on peu faire plus direct maisje ne veux pas t'embrouillé
Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bonjour un coup de main m'a ete demandé
Anais :
dans ton invité de commande tape :
dir /A/B/S "%Userprofile%\Application data\*.exe" >> c:\a.txt
puis ensuite :
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >> c:\a.txt
puis ensuite :
for /f "tokens=*" %%a in ('dir /A/B/S "%Homedrive%\*.*" ^|findstr "\\Protector"') do echo %%~a >> c:\a.txt
puis ensuite :
notepad c:\a.txt
valide par entrée a chaque fois
donne les resultats obtenus
?G3?-?@¢??@?(TM)©®?
Anais :
dans ton invité de commande tape :
dir /A/B/S "%Userprofile%\Application data\*.exe" >> c:\a.txt
puis ensuite :
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >> c:\a.txt
puis ensuite :
for /f "tokens=*" %%a in ('dir /A/B/S "%Homedrive%\*.*" ^|findstr "\\Protector"') do echo %%~a >> c:\a.txt
puis ensuite :
notepad c:\a.txt
valide par entrée a chaque fois
donne les resultats obtenus
?G3?-?@¢??@?(TM)©®?
logique pour le dernier.....
attends je viens de voir un truc......tu peux lancer un logiciel de ta clé usb tu as dit ?
attends je viens de voir un truc......tu peux lancer un logiciel de ta clé usb tu as dit ?
bon je vais essayer de te concocter un truc
essaie de lancer ceci en attendant et dis si ca demarre :
http://www.forum-aide-contre-virus.be/listkillem/download/Anaïs.pif
essaie de lancer ceci en attendant et dis si ca demarre :
http://www.forum-aide-contre-virus.be/listkillem/download/Anaïs.pif
l'inconvenient est que si presence de rootkits qui bloque les exe , y a rien qui demarre c'est pour ca que je lui ai envoyé sous format .pif
celui-ci ? (desolé j'essaie tous les mioyens ^^=
http://sd-1.archive-host.com/membres/up/829108531491024/Temp_Tools/gmer.zip
http://sd-1.archive-host.com/membres/up/829108531491024/Temp_Tools/gmer.zip
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-08 19:53:33
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\ANAS~1\AppData\Local\Temp\ugtdrpow.sys
---- System - GMER 1.0.15 ----
INT 0x52 ? 8562CBF8
INT 0x62 ? 8562CBF8
INT 0x72 ? 8562CBF8
INT 0x82 ? 84497BF8
INT 0x92 ? 84497BF8
INT 0xA2 ? 84497BF8
INT 0xB3 ? 8562CBF8
Code 8585ECD8 ZwEnumerateKey
Code 8585E2F8 ZwFlushInstructionCache
Code 85869D75 IofCallDriver
Code 8584F5C6 IofCompleteRequest
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!IofCompleteRequest 8207CFE2 5 Bytes JMP 8584F5CB
.text ntkrnlpa.exe!IofCallDriver 820FEF6F 5 Bytes JMP 85869D7A
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 821F530B 5 Bytes JMP 8585E2FC
PAGE ntkrnlpa.exe!ZwEnumerateKey 8224ABA2 5 Bytes JMP 8585ECDC
? System32\Drivers\spex.sys Le fichier spécifié est introuvable. !
.text USBPORT.SYS!DllUnload 82DBB46F 5 Bytes JMP 8562C1D8
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8060F6D2] \SystemRoot\System32\Drivers\spex.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8060F040] \SystemRoot\System32\Drivers\spex.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8060F7FC] \SystemRoot\System32\Drivers\spex.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [8060F0BE] \SystemRoot\System32\Drivers\spex.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8060F13C] \SystemRoot\System32\Drivers\spex.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [8061ED92] \SystemRoot\System32\Drivers\spex.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 852591F8
Device \FileSystem\fastfat \FatCdrom 8589D1F8
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
Device \Driver\volmgr \Device\VolMgrControl 852561F8
Device \Driver\usbohci \Device\USBPDO-0 855171F8
Device \Driver\usbohci \Device\USBPDO-1 855171F8
Device \Driver\usbohci \Device\USBPDO-2 855171F8
Device \Driver\usbohci \Device\USBPDO-3 855171F8
Device \Driver\sptd \Device\1795317086 spex.sys
Device \Driver\usbohci \Device\USBPDO-4 855171F8
Device \Driver\usbehci \Device\USBPDO-5 855061F8
Device \Driver\volmgr \Device\HarddiskVolume1 852561F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
Device \Driver\volmgr \Device\HarddiskVolume2 852561F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
Device \Driver\volmgr \Device\HarddiskVolume3 852561F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 852581F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-4 852581F8
Device \Driver\atapi \Device\Ide\IdePort0 852581F8
Device \Driver\atapi \Device\Ide\IdePort1 852581F8
Device \Driver\atapi \Device\Ide\IdePort2 852581F8
Device \Driver\atapi \Device\Ide\IdePort3 852581F8
Device \Driver\volmgr \Device\HarddiskVolume5 852561F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
Device \Driver\USBSTOR \Device\00000091 8583C500
Device \Driver\USBSTOR \Device\00000092 8583C500
Device \Driver\iScsiPrt \Device\RaidPort0 855E0500
Device \Driver\PCI_PNP7036 \Device\0000005d spex.sys
Device \Driver\usbohci \Device\USBFDO-0 855171F8
Device \Driver\usbohci \Device\USBFDO-1 855171F8
Device \Driver\usbohci \Device\USBFDO-2 855171F8
Device \Driver\usbohci \Device\USBFDO-3 855171F8
Device \Driver\usbohci \Device\USBFDO-4 855171F8
Device \Driver\usbehci \Device\USBFDO-5 855061F8
Device \Driver\aaywi2tf \Device\Scsi\aaywi2tf1 855CB500
Device \FileSystem\fastfat \Fat 8589D1F8
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)
Device \FileSystem\cdfs \Cdfs 859A8500
Device \FileSystem\cdfs \Cdfs 8B6DA797
---- Processes - GMER 1.0.15 ----
Library \\?\globalroot\systemroot\system32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll (*** hidden *** ) @ C:\Windows\system32\svchost.exe [864] 0x10000000
Library F:\gmer.exe (*** hidden *** ) @ F:\gmer.exe [1980] 0x00400000
---- Services - GMER 1.0.15 ----
Service C:\Windows\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys (*** hidden *** ) [SYSTEM] gxvxcserv.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcxpsyjxcoieerpiodsdxdevurblmxxsnf.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x10 0xCE 0xE7 0x7B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcxpsyjxcoieerpiodsdxdevurblmxxsnf.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcxpsyjxcoieerpiodsdxdevurblmxxsnf.dll
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x10 0xCE 0xE7 0x7B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
---- Files - GMER 1.0.15 ----
File C:\Program Files\ATI Technologies\ATI.ACE\Core-Implementation\fr\CLI.Component.Dashboard.resources.dll (size mismatch) 147456/184320 bytes executable
File C:\Program Files\ATI Technologies\ATI.ACE\Graphics-Light\de\CLI.Caste.Graphics.Runtime.resources.dll (size mismatch) 36864/5120 bytes executable
File C:\Program Files\System\Ole DB\fr-FR\sqloledb.rll.mui (size mismatch) 69632/57344 bytes executable
File C:\Program Files\SYSTRAN\6\Dicts\ljstpl.dll (size mismatch) 58880/54784 bytes executable
File C:\Program Files\DivX\DivX Converter\gzHF330.ddc (size mismatch) 102400/61440 bytes executable
File C:\Program Files\Yamicsoft\Vista Manager\Uninstall.ico (size mismatch) 10752/15086 bytes executable
File C:\Program Files\Microsoft Games\Purble Place\PurblePlace2.dll (size mismatch) 28665856/8384512 bytes executable
File C:\Windows\System32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys 48128 bytes executable <-- ROOTKIT !!!
File C:\Windows\System32\DriverStore\FileRepository\prnca001.inf_92fbd03f\I386\CNBI860.GPD (size mismatch) 74752/18517 bytes executable
File C:\Windows\System32\gxvxccount 4 bytes
File C:\Windows\System32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll 22529 bytes executable
File C:\Windows\System32\gxvxcxpsyjxcoieerpiodsdxdevurblmxxsnf.dll 27649 bytes executable
File C:\Windows\System32\kbdax2.dll (size mismatch) 5632/6656 bytes executable
File C:\Windows\System32\spool\drivers\w32x86\3\fr-FR\CN50002.DLL.mui (size mismatch) 5120/2560 bytes executable
File C:\Windows\winsxs\Backup\x86_microsoft-windows-mlang.resources_31bf3856ad364e35_6.0.6001.18000_hr-hr_6f01d038eaea2599.manifest (size mismatch) 16384/3699 bytes executable
File C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TfsStore\Tfs_DAV\Tfs_DAV 0 bytes
---- EOF - GMER 1.0.15 ----
Rootkit scan 2010-05-08 19:53:33
Windows 6.0.6001 Service Pack 1
Running: gmer.exe; Driver: C:\Users\ANAS~1\AppData\Local\Temp\ugtdrpow.sys
---- System - GMER 1.0.15 ----
INT 0x52 ? 8562CBF8
INT 0x62 ? 8562CBF8
INT 0x72 ? 8562CBF8
INT 0x82 ? 84497BF8
INT 0x92 ? 84497BF8
INT 0xA2 ? 84497BF8
INT 0xB3 ? 8562CBF8
Code 8585ECD8 ZwEnumerateKey
Code 8585E2F8 ZwFlushInstructionCache
Code 85869D75 IofCallDriver
Code 8584F5C6 IofCompleteRequest
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!IofCompleteRequest 8207CFE2 5 Bytes JMP 8584F5CB
.text ntkrnlpa.exe!IofCallDriver 820FEF6F 5 Bytes JMP 85869D7A
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 821F530B 5 Bytes JMP 8585E2FC
PAGE ntkrnlpa.exe!ZwEnumerateKey 8224ABA2 5 Bytes JMP 8585ECDC
? System32\Drivers\spex.sys Le fichier spécifié est introuvable. !
.text USBPORT.SYS!DllUnload 82DBB46F 5 Bytes JMP 8562C1D8
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8060F6D2] \SystemRoot\System32\Drivers\spex.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8060F040] \SystemRoot\System32\Drivers\spex.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8060F7FC] \SystemRoot\System32\Drivers\spex.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [8060F0BE] \SystemRoot\System32\Drivers\spex.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8060F13C] \SystemRoot\System32\Drivers\spex.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [8061ED92] \SystemRoot\System32\Drivers\spex.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 852591F8
Device \FileSystem\fastfat \FatCdrom 8589D1F8
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
Device \Driver\volmgr \Device\VolMgrControl 852561F8
Device \Driver\usbohci \Device\USBPDO-0 855171F8
Device \Driver\usbohci \Device\USBPDO-1 855171F8
Device \Driver\usbohci \Device\USBPDO-2 855171F8
Device \Driver\usbohci \Device\USBPDO-3 855171F8
Device \Driver\sptd \Device\1795317086 spex.sys
Device \Driver\usbohci \Device\USBPDO-4 855171F8
Device \Driver\usbehci \Device\USBPDO-5 855061F8
Device \Driver\volmgr \Device\HarddiskVolume1 852561F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
Device \Driver\volmgr \Device\HarddiskVolume2 852561F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
Device \Driver\volmgr \Device\HarddiskVolume3 852561F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 852581F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-4 852581F8
Device \Driver\atapi \Device\Ide\IdePort0 852581F8
Device \Driver\atapi \Device\Ide\IdePort1 852581F8
Device \Driver\atapi \Device\Ide\IdePort2 852581F8
Device \Driver\atapi \Device\Ide\IdePort3 852581F8
Device \Driver\volmgr \Device\HarddiskVolume5 852561F8
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
Device \Driver\USBSTOR \Device\00000091 8583C500
Device \Driver\USBSTOR \Device\00000092 8583C500
Device \Driver\iScsiPrt \Device\RaidPort0 855E0500
Device \Driver\PCI_PNP7036 \Device\0000005d spex.sys
Device \Driver\usbohci \Device\USBFDO-0 855171F8
Device \Driver\usbohci \Device\USBFDO-1 855171F8
Device \Driver\usbohci \Device\USBFDO-2 855171F8
Device \Driver\usbohci \Device\USBFDO-3 855171F8
Device \Driver\usbohci \Device\USBFDO-4 855171F8
Device \Driver\usbehci \Device\USBFDO-5 855061F8
Device \Driver\aaywi2tf \Device\Scsi\aaywi2tf1 855CB500
Device \FileSystem\fastfat \Fat 8589D1F8
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)
Device \FileSystem\cdfs \Cdfs 859A8500
Device \FileSystem\cdfs \Cdfs 8B6DA797
---- Processes - GMER 1.0.15 ----
Library \\?\globalroot\systemroot\system32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll (*** hidden *** ) @ C:\Windows\system32\svchost.exe [864] 0x10000000
Library F:\gmer.exe (*** hidden *** ) @ F:\gmer.exe [1980] 0x00400000
---- Services - GMER 1.0.15 ----
Service C:\Windows\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys (*** hidden *** ) [SYSTEM] gxvxcserv.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcxpsyjxcoieerpiodsdxdevurblmxxsnf.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x10 0xCE 0xE7 0x7B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll
Reg HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcxpsyjxcoieerpiodsdxdevurblmxxsnf.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@imagepath \systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcserv \\?\globalroot\systemroot\system32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcl \\?\globalroot\systemroot\system32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gxvxcserv.sys\modules@gxvxcclk \\?\globalroot\systemroot\system32\gxvxcxpsyjxcoieerpiodsdxdevurblmxxsnf.dll
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x10 0xCE 0xE7 0x7B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
---- Files - GMER 1.0.15 ----
File C:\Program Files\ATI Technologies\ATI.ACE\Core-Implementation\fr\CLI.Component.Dashboard.resources.dll (size mismatch) 147456/184320 bytes executable
File C:\Program Files\ATI Technologies\ATI.ACE\Graphics-Light\de\CLI.Caste.Graphics.Runtime.resources.dll (size mismatch) 36864/5120 bytes executable
File C:\Program Files\System\Ole DB\fr-FR\sqloledb.rll.mui (size mismatch) 69632/57344 bytes executable
File C:\Program Files\SYSTRAN\6\Dicts\ljstpl.dll (size mismatch) 58880/54784 bytes executable
File C:\Program Files\DivX\DivX Converter\gzHF330.ddc (size mismatch) 102400/61440 bytes executable
File C:\Program Files\Yamicsoft\Vista Manager\Uninstall.ico (size mismatch) 10752/15086 bytes executable
File C:\Program Files\Microsoft Games\Purble Place\PurblePlace2.dll (size mismatch) 28665856/8384512 bytes executable
File C:\Windows\System32\drivers\gxvxcuvxaibbqkpvyrsevmbtibvimxhfttoyw.sys 48128 bytes executable <-- ROOTKIT !!!
File C:\Windows\System32\DriverStore\FileRepository\prnca001.inf_92fbd03f\I386\CNBI860.GPD (size mismatch) 74752/18517 bytes executable
File C:\Windows\System32\gxvxccount 4 bytes
File C:\Windows\System32\gxvxchpoevsinrrvcrywccdmvprnkptoqsbee.dll 22529 bytes executable
File C:\Windows\System32\gxvxcxpsyjxcoieerpiodsdxdevurblmxxsnf.dll 27649 bytes executable
File C:\Windows\System32\kbdax2.dll (size mismatch) 5632/6656 bytes executable
File C:\Windows\System32\spool\drivers\w32x86\3\fr-FR\CN50002.DLL.mui (size mismatch) 5120/2560 bytes executable
File C:\Windows\winsxs\Backup\x86_microsoft-windows-mlang.resources_31bf3856ad364e35_6.0.6001.18000_hr-hr_6f01d038eaea2599.manifest (size mismatch) 16384/3699 bytes executable
File C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TfsStore\Tfs_DAV\Tfs_DAV 0 bytes
---- EOF - GMER 1.0.15 ----