Infection probable. Analyse rapport Hijack

Résolu
CAt -  
 CAt -
Bonjour,
suite à l'infection d'un ordi, je vérifie toutes les machines de la maison. Je pense que celle-ci est vérolée aussi (ralentissement, saut de lignes à l'écriture), mais j'aurais besoin d'aide pour interpréter le rapport ZHP déposé ici :
http://www.cijoint.fr/cjlink.php?file=cj201104/cijGByNCK5.txt

J'ai dû décocher l'option MBR Check O80, faute de quoi ZHP gelait à 80% de l'analyse.

Pour la machine à partir de laquelle l'infection a peut-être été propagée, voir :
http://www.commentcamarche.net/forum/
affich-21411279-attaque-par-rogue-bouillon-de-culture

Merci de votre aide :-)

34 réponses

  • 1
  • 2
Résumé de la discussion

Une infection supposée d'un ordinateur conduit à vérifier l'ensemble des machines, avec une attention particulière au rapport ZHP déposé et aux indices de ralentissement et d'écriture décalée.
Plusieurs recommandations recommandent des outils de nettoyage comme ComboFix, avec instructions précises et avertissements, et suggèrent de redémarrer en mode sans échec, puis de publier les rapports sur des sites d’hébergement pour vérification.
D'autres échanges évoquent des conflits éventuels avec Avast lors de l'utilisation de Combofix et préconisent des diag complémentaires par OTL et OTM pour produire des rapports d'examen détaillés.
Des éléments comme MBR Check et les variantes de rapports (OTL Extras) ont été partagés, et l'approche insiste sur l'envoi des liens de rapports pour vérification ultérieure afin d'éviter les risques.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Pour
    suite à l'infection d'un ordi, je vérifie toutes les machines de la maison. Je pense que celle-ci est vérolée aussi (ralentissement, saut de lignes à l'écriture), mais j'aurais besoin d'aide pour interpréter le rapport ZHP déposé ici :
    http://www.cijoint.fr/cjlink.php?file=cj201104/cijGByNCK5.txt

    Fais ce qui suit.

    /!\ A l'attention de ceux qui passent sur ce sujet /!\
    Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

    /!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\

    * Télécharge combofix(de sUBs) sur ton Bureau.
    * Double-clique sur ComboFix.exe afin de le lancer.
    * Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
    /!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
    * Lorsque la recherche sera terminée, un rapport apparaîtra.
    * Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    #Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
    Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix

    Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
    0
    1. CAt
       
      Hello nanard4700.
      Merci de ta réponse.
      Chat échaudé craint l'eau froide, et je me suis gentiment fait taper les doigts la première fois que j'ai posté ici, car je n'avais pas attendu l'avis d'une personne étiquetée "contributeur sécurité".
      Alors, sans offense, j'hésite à suivre tes conseils.

      PS : ton lien vers le site officiel de combofix est mort...
      0
  2. Utilisateur anonyme
     
    hello CAt

    Clic sur mon pseudo et tu auras accès a mon profil ;)

    Je viens de tester le lien et il n'est pas brisé.Chez moi il fonctionne.
    Je te colle un autre lien mais cette fois ci renommé "titine"
    http://sd-1.archive-host.com/membres/up/93804828040693895/titine.exe
    0
  3. CAt
     
    Ok, merci.
    Je ne parlais cependant pas du lien de téléchargement, mais du lien sur le "Tutoriel officiel de Combofix" : j'arrive sur un vieux "404 ERROR: Page Not Found!".

    Combofix a l'air d'une médecine violente, et je précise que je suis totalement newbie. :-)
    Trois questions :
    1) Une fois combofix installé et l'antivirus désactivé, dois-je me déconnecter avant la suite de la procédure ?
    2) comment être sûr que tous les antivir/antispywares sont désactivés (pas d'antispyware sur cette machine à ma connaissance) ?

    Merci :)
    0
    1. CAt
       
      Ça fait 2 questions, et c'est tout.
      0
  4. Utilisateur anonyme
     
    Je ne parlais cependant pas du lien de téléchargement, mais du lien sur le "Tutoriel officiel de Combofix" : j'arrive sur un vieux "404 ERROR: Page Not Found!".

    Merci pour l'info.je vais y remédier dans l'am.

    2) comment être sûr que tous les antivir/antispywares sont désactivés (pas d'antispyware sur cette machine à ma connaissance) ?

    Pour desactiver avast.
    Clique droit sur la boule, Gestion des agents et choisis le temps que tu désires
    Si avast n'est pas desactivé combo te feras un signe ;)

    1) Une fois combofix installé et l'antivirus désactivé, dois-je me déconnecter avant la suite de la procédure ?

    Tu dois resté connecté mais ne touches pas a ton pc et ta souris.

    Combofix a l'air d'une médecine violente
    Dans ce mode combo est un outil comme les autre.Avec un script c'est différent.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. CAt
     
    Bien lu.
    J'ai lancé combo fix. Le programme m'a indiqué que la console de récupération avait été installée avec succès, puis a lancé la recherche de fichiers infectés. Depuis 12h33, l'horloge du pc est figée (n'ai plus touché au pc scanné depuis, ni pad, ni souris)...
    0
    1. Utilisateur anonyme
       
      Bien

      le scan combo dure environ entre 10 et 20 mn.Si plus alors stop le programme et fais ce qui suit.

      * Télécharge et installe : Malwarebyte's Anti-Malware
      * (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
      * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
      * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
      * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
      * Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
      * A la fin du scan, clique sur Afficher les résultats
      * Coche tous les éléments détectés puis clique sur Supprimer la sélection
      * Enregistre le rapport
      * S'il t'est demandé de redémarrer, clique sur Yes
      * Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
      * Si tu as besoin d'aide regarde ce tutorial
      https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
      0
  7. CAt
     
    L'analyse fut looongue...
    1) J'ai stoppé Combofix.
    2) installé MBAM et lancé un scan complet, demandé à supprimer les éléments infectieux trouvés (Malware.Packer.Gen), redémarré, et je poste le rapport ci-dessous :

    Comment l'enlever ?
    Note : j'ai aussi une alerte concernant un fichier nommé Program sous C:/

    Merci de ton aide ;

    ------------------------------------------------------

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6266

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    04/04/2011 17:15:07
    mbam-log-2011-04-04 (17-14-58).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 250787
    Temps écoulé: 2 heure(s), 54 minute(s), 31 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099559.dll (Malware.Packer.Gen) -> No action taken.
    c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099560.dll (Malware.Packer.Gen) -> No action taken.
    0
  8. Utilisateur anonyme
     
    1/
    Note : j'ai aussi une alerte concernant un fichier nommé Program sous C:/

    On va le supprimer.

    1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
    2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

    ----------------------------------------------------------
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(...) - LEGACY_SSHNAS
    O4 - Global Startup: C:\Documents And Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\PNotes.lnk . (...) -- E:\PortableApps\PNotesPortable\App\PNotes\PNotes.exe (.not file.)
    O47 - AAKE:Key Export SP - "G:\Apps\DrupalPortable\ZMWS\ZazouMiniWebServer.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- G:\Apps\DrupalPortable\ZMWS\ZazouMiniWebServer.exe (.not file.)
    O47 - AAKE:Key Export SP - "G:\Apps\DrupalPortable\ZMWS\mysql\bin\mysqld.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- G:\Apps\DrupalPortable\ZMWS\mysql\bin\mysqld.exe (.not file.)
    O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 29/03/2011 - 15:31:48 ---A- . (...) -- C:\Program [0]
    EmptyTemp


    --------------------------------------------------------

    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    ========================================================
    2/

    * Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau
    ou
    * http://www.itxassociates.com/OT-Tools/OTM.exe
    * Double-clique sur OTM.exe pour le lancer.
    * Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.

    -----------------------------
    :processes
    explorer.exe

    :files
    c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099559.dll
    c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099560.dll

    :commands
    [start explorer]
    [reboot]


    -----------------------------

    * clique sur MoveIt! puis ferme OTM.
    * Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    * Accepte en cliquant sur YES.
    * Poste le rapport situé dans C:\_OTM\MovedFiles.
    * Le nom du rapport correspond au moment de sa création : date_heure.log
    0
  9. CAt
     
    Voici déjà pour le 1) :
    le O64 n'est pas supprimé

    Rapport de ZHPFix 1.12.3273 par Nicolas Coolman, Update du 03/04/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-04-04-2011-17-42-49.txt
    Run by Administrateur at 04/04/2011 17:42:49
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(...) - LEGACY_SSHNAS => Clé non supprimée

    ========== Valeur(s) du Registre ==========
    O47 - AAKE:Key Export SP - "G:\Apps\DrupalPortable\ZMWS\ZazouMiniWebServer.exe" [Enabled] .(.) -- G:\Apps\DrupalPortable\ZMWS\ZazouMiniWebServer.exe (.not file.) => Valeur supprimée avec succès
    O47 - AAKE:Key Export SP - "G:\Apps\DrupalPortable\ZMWS\mysql\bin\mysqld.exe" [Enabled] .(.) -- G:\Apps\DrupalPortable\ZMWS\mysql\bin\mysqld.exe (.not file.) => Valeur supprimée avec succès

    ========== Elément(s) de donnée du Registre ==========
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès

    ========== Dossier(s) ==========
    Dossiers temporaires Windows supprimés: 194

    ========== Fichier(s) ==========
    Fichiers temporaires Windows supprimés : 1257

    ========== Récapitulatif ==========
    1 : Clé(s) du Registre
    2 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    1 : Dossier(s)
    1 : Fichier(s)

    End of the scan
    0
  10. CAt
     
    Et voilà pour le 2) :

    ========== PROCESSES ==========
    Process explorer.exe killed successfully!
    ========== FILES ==========
    File/Folder c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099559.dll not found.
    File/Folder c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099560.dll not found.
    ========== COMMANDS ==========

    OTM by OldTimer - Version 3.1.17.2 log created on 04042011_175413

    La machine est très lente au démarrage, scanne les dossiers, etc.
    0
  11. Utilisateur anonyme
     
    Fichier(s) infecté(s):
    c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099559.dll (Malware.Packer.Gen) -> No action taken.
    c:\system volume information\_restore{e54ac90b-2242-4928-b855-ee66b924b5c8}\RP178\A0099560.dll (Malware.Packer.Gen) -> No action taken.

    Tu n'as pas fais supprimé a la fin du scan Malwarebytes.Relances le et cette fois supprimes la totalité des fichiers trouvés.
    0
    1. CAt
       
      Ok, je le refais. Suis quasi-certaine d'avoir demandé la suppression avant de rebooter, pourtant.
      0
    2. Utilisateur anonyme
       
      La preuve ici
      No action taken. ====>traduction ===>aucune action entreprise :)
      0
    3. CAt
       
      Yep, j'avais vu :).
      Ai dû m'endormir en sursaut pendant l'analyse de MBAM...
      Sérieusement, je l'ai relancé façon scan rapide, mais rien n'a été détecté. C'est parti pour un long scan, donc (~3h la dernière fois, quand même).
      0
  12. CAt
     
    Bonsoir,
    le scan MBAM vient de terminer. Rien n'a été trouvé. Il y avait des éléments dans la quarantaine, que j'ai supprimés aussi (je n'ai pas gardé les noms ; je pensais en trouver trace dans le log).

    Voici le rapport :

    ------------------------------------
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6267

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    04/04/2011 21:28:58
    mbam-log-2011-04-04 (21-28-58).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 250313
    Temps écoulé: 3 heure(s), 3 minute(s), 44 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  13. Utilisateur anonyme
     
    conclusion tu avais bien vidé la quarantaine ;)

    * Redémarrer le PC.
    * Au démarrage du PC, après la première image (celle du BIOS), tapoter la touche F8 jusqu'à l'apparition du menu des options avancées.
    * Ensuite à l'aide des flèches du clavier, sélectionner "Mode sans échec" et valider par Entrer
    * Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.

    relances combofix et laisse le programme scanner ton pc .
    Post le rapport
    Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

    0
  14. CAt
     
    Salut bonjour,
    je coince.

    En mode normal, j'ai arrêté avast (choix possibles : 10mn, 1h, jusqu'au redémarrage, définitivement). Je choisis la dernière option. Puis, ouverture en mode sans échec. Je vérifie qu'Avast est bien signalé arrêté et je lance combofix... qui me prévient qu'avast n'est pas arrêté.

    La première fois que j'ai lancé combix, l'ordi a figé (post du 04/04, 13h14). Est-ce que avast a pu tenter de se remettre en route automatiquement et entrer en conflit avec combofix ?
    0
    1. CAt
       
      À présent, l'antivirus a un comportement nominal (pour moi) en mode normal, mais signalé comme instable ou désactivé en mode sans échec. Je ne peux pas dire si c'était aussi le cas lors du post du 04/04, 13h14. Je n'ai plus tenté de lancer combofix.

      Par ailleurs, je ne parviens pas à voir ces messages comme étant pris en compte sur le forum de ccm.
      0
    2. Utilisateur anonyme
       
      Normalement les antivirus sont désactivé d'office en mode sans échec.
      Conclusion impossible pour avast d'entrer en conflit avec combo.
      0
    3. Cat
       
      Ok, merci, mais :-) cela ne me débloque pas, car je ne sais/comprends pas où cela bloque (càd pourquoi combofix gèle. Juré, je ne touche à rien après le double-clic sur combofix).
      Disons -ce qui est très proche de la réalité-, que je ne sais rien.
      Supposons que je retente combofix en mode sans échec : avec, ou sans prise en charge réseau ?
      EDIT : dois-je lui donner un autre nom ? Lequel, par exemple ? - fin edit.

      Pour info si utile, j'ai fait une maj windows sur cet ordi (ordi mis au placard quelques mois puis utilisé en dépannage suite à l'infection de l'ordi de mon cop'.)

      Merci de ton aide.
      0
    4. CAt
       
      Désolée pour cette question si elle fait noob (et ignore-la, stp, si elle est à même d'entraver tes interventions sur ce forum), mais quels sont tes horaires de dispo, que je puisse m'y accorder dans la mesure du possible ?
      Merci :-)
      0
  15. Utilisateur anonyme
     
    Désolée pour cette question si elle fait noob (et ignore-la, stp, si elle est à même d'entraver tes interventions sur ce forum), mais quels sont tes horaires de dispo, que je puisse m'y accorder dans la mesure du possible ?

    je vais te répondre directement et avec beaucoup de simplicité.
    Le temps accordé sur ccm dépend de mon travail personnel et professionnel et évidemment du temps consacré a ma clientèle.

    Dans l'immédiat oublions combofix et passons a la suite.

    * Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

    http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

    * Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
    * L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
    * Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
    * Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
    * A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)

    0
  16. CAt
     
    Eh bien doublement merci pour le temps que tu consacres à ce post et à l'aide en général.
    Voici pour la suite (navrée du délai, je n'avais plus l'ordi en main).
    Load_tdsskiller (de Loup Blanc) n'a pas détecté d'éléments. Voici le rapport :

    ------------------------------------------------------

    2011/04/06 00:30:25.0921 3796 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
    2011/04/06 00:30:26.0203 3796 ================================================================================
    2011/04/06 00:30:26.0218 3796 SystemInfo:
    2011/04/06 00:30:26.0218 3796
    2011/04/06 00:30:26.0218 3796 OS Version: 5.1.2600 ServicePack: 3.0
    2011/04/06 00:30:26.0218 3796 Product type: Workstation
    2011/04/06 00:30:26.0218 3796 ComputerName: titi
    2011/04/06 00:30:26.0218 3796 UserName: Administrateur
    2011/04/06 00:30:26.0218 3796 Windows directory: C:\WINDOWS
    2011/04/06 00:30:26.0218 3796 System windows directory: C:\WINDOWS
    2011/04/06 00:30:26.0218 3796 Processor architecture: Intel x86
    2011/04/06 00:30:26.0218 3796 Number of processors: 1
    2011/04/06 00:30:26.0218 3796 Page size: 0x1000
    2011/04/06 00:30:26.0218 3796 Boot type: Normal boot
    2011/04/06 00:30:26.0218 3796 ================================================================================
    2011/04/06 00:30:26.0906 3796 Initialize success
    2011/04/06 00:30:29.0500 3068 ================================================================================
    2011/04/06 00:30:29.0500 3068 Scan started
    2011/04/06 00:30:29.0500 3068 Mode: Manual;
    2011/04/06 00:30:29.0500 3068 ================================================================================
    2011/04/06 00:30:30.0484 3068 Aavmker4 (83631291adf2887cffc786d034d3fa15) C:\WINDOWS\system32\drivers\Aavmker4.sys
    2011/04/06 00:30:30.0875 3068 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
    2011/04/06 00:30:31.0031 3068 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
    2011/04/06 00:30:31.0546 3068 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
    2011/04/06 00:30:31.0687 3068 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
    2011/04/06 00:30:32.0484 3068 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
    2011/04/06 00:30:33.0062 3068 aswFsBlk (1c2e6bb4fe8621b1b863855b02bc33eb) C:\WINDOWS\system32\drivers\aswFsBlk.sys
    2011/04/06 00:30:33.0390 3068 aswMon2 (452d0ecd14fa02f9b061f42c8a30dd49) C:\WINDOWS\system32\drivers\aswMon2.sys
    2011/04/06 00:30:33.0734 3068 aswRdr (b6a9373619d851be80fb5f1b5eed0d4e) C:\WINDOWS\system32\drivers\aswRdr.sys
    2011/04/06 00:30:34.0140 3068 aswSnx (9be41c1ae8bc481eb662d85c98d979c2) C:\WINDOWS\system32\drivers\aswSnx.sys
    2011/04/06 00:30:34.0546 3068 aswSP (4b1a54ba2bc5873a774df6b70ab8b0b3) C:\WINDOWS\system32\drivers\aswSP.sys
    2011/04/06 00:30:34.0921 3068 aswTdi (c7f1cea32766184911293f4e1ee653f5) C:\WINDOWS\system32\drivers\aswTdi.sys
    2011/04/06 00:30:35.0265 3068 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
    2011/04/06 00:30:35.0640 3068 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
    2011/04/06 00:30:36.0250 3068 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
    2011/04/06 00:30:36.0781 3068 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
    2011/04/06 00:30:37.0437 3068 b57w2k (c0acd392ece55784884cc208aafa06ce) C:\WINDOWS\system32\DRIVERS\b57xp32.sys
    2011/04/06 00:30:37.0828 3068 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
    2011/04/06 00:30:38.0250 3068 BthEnum (b279426e3c0c344893ed78a613a73bde) C:\WINDOWS\system32\DRIVERS\BthEnum.sys
    2011/04/06 00:30:38.0453 3068 BthPan (80602b8746d3738f5886ce3d67ef06b6) C:\WINDOWS\system32\DRIVERS\bthpan.sys
    2011/04/06 00:30:38.0640 3068 BTHPORT (ef26202fee56f7607c6b794059df347a) C:\WINDOWS\system32\Drivers\BTHport.sys
    2011/04/06 00:30:38.0828 3068 BTHUSB (61364cd71ef63b0f038b7e9df00f1efa) C:\WINDOWS\system32\Drivers\BTHUSB.sys
    2011/04/06 00:30:38.0984 3068 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
    2011/04/06 00:30:39.0296 3068 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
    2011/04/06 00:30:39.0468 3068 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
    2011/04/06 00:30:39.0640 3068 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
    2011/04/06 00:30:40.0078 3068 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
    2011/04/06 00:30:40.0375 3068 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
    2011/04/06 00:30:40.0968 3068 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
    2011/04/06 00:30:41.0203 3068 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
    2011/04/06 00:30:41.0468 3068 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
    2011/04/06 00:30:41.0640 3068 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
    2011/04/06 00:30:41.0812 3068 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
    2011/04/06 00:30:42.0093 3068 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
    2011/04/06 00:30:42.0296 3068 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
    2011/04/06 00:30:42.0484 3068 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
    2011/04/06 00:30:42.0656 3068 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
    2011/04/06 00:30:42.0828 3068 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
    2011/04/06 00:30:42.0984 3068 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
    2011/04/06 00:30:43.0140 3068 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
    2011/04/06 00:30:43.0328 3068 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
    2011/04/06 00:30:43.0500 3068 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
    2011/04/06 00:30:43.0671 3068 guardian2 (c0bdab85f3e8b2138c513255e2bcc4d8) C:\WINDOWS\system32\Drivers\oz776.sys
    2011/04/06 00:30:43.0828 3068 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
    2011/04/06 00:30:44.0031 3068 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
    2011/04/06 00:30:44.0390 3068 HSF_DPV (e8ec1767ea315a39a0dd8989952ca0e9) C:\WINDOWS\system32\DRIVERS\HSX_DPV.sys
    2011/04/06 00:30:44.0578 3068 HSXHWAZL (61478fa42ee04562e7f11f4dca87e9c8) C:\WINDOWS\system32\DRIVERS\HSXHWAZL.sys
    2011/04/06 00:30:44.0765 3068 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
    2011/04/06 00:30:45.0218 3068 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
    2011/04/06 00:30:45.0750 3068 ialm (e8c7cc369c2fb657e0792af70df529e6) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
    2011/04/06 00:30:46.0281 3068 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
    2011/04/06 00:30:46.0703 3068 intelppm (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
    2011/04/06 00:30:46.0875 3068 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
    2011/04/06 00:30:47.0046 3068 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
    2011/04/06 00:30:47.0234 3068 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
    2011/04/06 00:30:47.0453 3068 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
    2011/04/06 00:30:47.0640 3068 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
    2011/04/06 00:30:47.0796 3068 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
    2011/04/06 00:30:48.0000 3068 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
    2011/04/06 00:30:48.0171 3068 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
    2011/04/06 00:30:48.0343 3068 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
    2011/04/06 00:30:48.0515 3068 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
    2011/04/06 00:30:48.0843 3068 mdmxsdk (e246a32c445056996074a397da56e815) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
    2011/04/06 00:30:49.0015 3068 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
    2011/04/06 00:30:49.0203 3068 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
    2011/04/06 00:30:49.0390 3068 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
    2011/04/06 00:30:49.0546 3068 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
    2011/04/06 00:30:49.0718 3068 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
    2011/04/06 00:30:50.0015 3068 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
    2011/04/06 00:30:50.0234 3068 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
    2011/04/06 00:30:50.0421 3068 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
    2011/04/06 00:30:50.0578 3068 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
    2011/04/06 00:30:50.0750 3068 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
    2011/04/06 00:30:50.0890 3068 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
    2011/04/06 00:30:51.0078 3068 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
    2011/04/06 00:30:51.0265 3068 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
    2011/04/06 00:30:51.0484 3068 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
    2011/04/06 00:30:51.0640 3068 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
    2011/04/06 00:30:51.0796 3068 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
    2011/04/06 00:30:51.0968 3068 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
    2011/04/06 00:30:52.0140 3068 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
    2011/04/06 00:30:52.0296 3068 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
    2011/04/06 00:30:52.0468 3068 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
    2011/04/06 00:30:52.0890 3068 NETw5x32 (aa88346ab7849a1cb34bd3424febfece) C:\WINDOWS\system32\DRIVERS\NETw5x32.sys
    2011/04/06 00:30:53.0265 3068 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
    2011/04/06 00:30:53.0437 3068 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
    2011/04/06 00:30:53.0640 3068 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
    2011/04/06 00:30:53.0828 3068 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
    2011/04/06 00:30:54.0015 3068 NWADI (9edf6fd48a9eb4afdf225eb9c5111df6) C:\WINDOWS\system32\DRIVERS\NWADIenum.sys
    2011/04/06 00:30:54.0156 3068 NWDellModem (1a859f70728cad712f90f9953667ad7f) C:\WINDOWS\system32\DRIVERS\nwdelmdm.sys
    2011/04/06 00:30:54.0312 3068 NWDellPort (1a859f70728cad712f90f9953667ad7f) C:\WINDOWS\system32\DRIVERS\nwdelser.sys
    2011/04/06 00:30:54.0484 3068 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
    2011/04/06 00:30:54.0640 3068 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
    2011/04/06 00:30:54.0781 3068 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
    2011/04/06 00:30:54.0953 3068 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\drivers\Parport.sys
    2011/04/06 00:30:55.0109 3068 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
    2011/04/06 00:30:55.0265 3068 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
    2011/04/06 00:30:55.0421 3068 PBADRV (6ef25fb20cd269e3e51d8ca54935fff2) C:\WINDOWS\system32\drivers\pbadrv.sys
    2011/04/06 00:30:55.0593 3068 PCASp50 (1961590aa191b6b7dcf18a6a693af7b8) C:\WINDOWS\system32\Drivers\PCASp50.sys
    2011/04/06 00:30:55.0765 3068 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
    2011/04/06 00:30:56.0046 3068 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
    2011/04/06 00:30:56.0234 3068 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
    2011/04/06 00:30:57.0171 3068 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
    2011/04/06 00:30:57.0343 3068 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
    2011/04/06 00:30:57.0500 3068 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
    2011/04/06 00:30:58.0265 3068 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
    2011/04/06 00:30:58.0421 3068 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
    2011/04/06 00:30:58.0593 3068 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
    2011/04/06 00:30:58.0750 3068 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
    2011/04/06 00:30:58.0937 3068 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
    2011/04/06 00:30:59.0093 3068 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
    2011/04/06 00:30:59.0281 3068 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
    2011/04/06 00:30:59.0468 3068 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
    2011/04/06 00:30:59.0640 3068 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
    2011/04/06 00:30:59.0859 3068 RFCOMM (851c30df2807fcfa21e4c681a7d6440e) C:\WINDOWS\system32\DRIVERS\rfcomm.sys
    2011/04/06 00:31:00.0031 3068 s24trans (87940243ea2ad3ebe274f5409c5e9072) C:\WINDOWS\system32\DRIVERS\s24trans.sys
    2011/04/06 00:31:00.0218 3068 sdbus (8d04819a3ce51b9eb47e5689b44d43c4) C:\WINDOWS\system32\DRIVERS\sdbus.sys
    2011/04/06 00:31:00.0609 3068 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
    2011/04/06 00:31:00.0828 3068 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\drivers\Serial.sys
    2011/04/06 00:31:00.0984 3068 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
    2011/04/06 00:31:01.0406 3068 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
    2011/04/06 00:31:01.0578 3068 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
    2011/04/06 00:31:01.0781 3068 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
    2011/04/06 00:31:02.0031 3068 STHDA (951801dfb54d86f611f0af47825476f9) C:\WINDOWS\system32\drivers\sthda.sys
    2011/04/06 00:31:02.0218 3068 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
    2011/04/06 00:31:02.0375 3068 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
    2011/04/06 00:31:03.0046 3068 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
    2011/04/06 00:31:03.0250 3068 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
    2011/04/06 00:31:03.0437 3068 TcUsb (5ca437a08509fb7ecf843480fc1232e2) C:\WINDOWS\system32\Drivers\tcusb.sys
    2011/04/06 00:31:03.0578 3068 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
    2011/04/06 00:31:03.0718 3068 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
    2011/04/06 00:31:03.0953 3068 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
    2011/04/06 00:31:04.0265 3068 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
    2011/04/06 00:31:04.0718 3068 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
    2011/04/06 00:31:04.0937 3068 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
    2011/04/06 00:31:05.0125 3068 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
    2011/04/06 00:31:05.0296 3068 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
    2011/04/06 00:31:05.0437 3068 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
    2011/04/06 00:31:05.0609 3068 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
    2011/04/06 00:31:05.0765 3068 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
    2011/04/06 00:31:05.0953 3068 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
    2011/04/06 00:31:06.0218 3068 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
    2011/04/06 00:31:06.0406 3068 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
    2011/04/06 00:31:06.0593 3068 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
    2011/04/06 00:31:06.0781 3068 winachsf (ba6b6fb242a6ba4068c8b763063beb63) C:\WINDOWS\system32\DRIVERS\HSX_CNXT.sys
    2011/04/06 00:31:07.0000 3068 WmiAcpi (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
    2011/04/06 00:31:07.0359 3068 ================================================================================
    2011/04/06 00:31:07.0359 3068 Scan finished
    2011/04/06 00:31:07.0359 3068 ================================================================================
    0
  17. Utilisateur anonyme
     
    * Clic sur Démarrer -> Exécuter -> tapez regedit puis cliquez sur [OK]
    * Dans la fenêtre de l'éditeur du Registre ouvrez l'arborescence des ruches
    « HKEY_LOCAL_MACHINE » « SYSTEM », « ControlSet00x », « Enum », « Root ».
    puis sélectionnez la clé à supprimer sans vous tromper.Pour toi ce sera:
    Legacy _SSHNAS
    Faites alors un « clic droit » et, dans la fenêtre qui s'ouvre, choisissez [Autorisations].
    * Dans la fenêtre qui s'ouvre, sélectionnez [Tout le monde], cochez la case Autoriser [X] Contrôle total et confirmez [OK]
    * Il ne reste plus qu'à faire un nouveau « clic droit » sur la clé « Legacy » et sélectionner [Supprimer].

    ====================================================

    Post un nouveau rapport zhpdiag.
    Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
    0
  18. CAt
     
    Bonjour,
    je ne parviens pas à le faire (notification d'accès refusé lorsque je fais la première étape de modification des autorisations).
    - Est-ce que je dois me mettre dans un mode particulier ?
    - Il y a deux dossiers ControlSet00x. Je suppose que je dois faire la manip' pour les deux ?

    Merci.
    0
    1. Utilisateur anonyme
       
      Fais le en mode sans échec et supprimes les deux clés
      0
    2. CAt
       
      En mode sans échec, j'ai tenté la manip pour chacun des deux dossiers. Le droit m'est toujours refusé. Elle correspond à quoi, cette clef, au fait ?

      Par ailleurs, en mode normal, une fenêtre indiquant "ETS Secure Update : ce programme ne répond pas" et une autre indiquant "nSAppShell: Event window" se sont ouvertes.
      Énfin, l'antivirus m'a signalé que combofix tentait de se lancer (je n'y avais pas touché) et m'a proposé d'accepter ou non le lancement. J'ai refusé par peur d'un conflit et ai désactivé l'antivirus pour le moment. Qu'est-ce que je fais à ce sujet ?

      Merci
      0
  19. Utilisateur anonyme
     
    Elle correspond à quoi, cette clef, au fait ?

    Il appartient à une famille de chevaux de Troie (Trojan).
    Grâce à l'ouverture d'un port internet, il peut accéder et contrôler à distance un ordinateur à l'insu de son utilisateur.

    PS: Tu peux reactiver ton antivirus.

    1. Télécharge http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ par Swandog46 sur ton Bureau.

    * Décompresse le fichier
    * avenger.exe sur le bureau

    2. Copie le contenu en gras ci-dessous (CTRL+C),

    Registry keys to delete:
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_SSHNAS


    Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
    si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

    3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur.

    * Faites un clic droit sur la fenêtre sous "Input Script There":, Et choisissez Coller.A présent du dois avoir le script dans la fenétre blanche d' Avenger.
    * Clique sur Exécuter
    * Réponds "Yes" quand demandé.

    4. The Avenger va automatiquement faire ce qui suit:

    * Il va Redémarrer le système.
    * Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
    * Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse.

    Tuto :
    http://www.oxygenepc.com/forum/the-avenger-t594.html

    0
  20. CAt
     
    Merci. Il s'accroche.
    Voilà le rapport. La clef n'a pas été supprimée ; mais je remarque un espace dans le chemin Registry keys to delete:
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_SSHNAS

    C'est voulu ?

    ----------------------------------------------
    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows XP

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!

    Error: registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_SSHNAS" not found!
    Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_SSHNAS" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Completed script processing.

    *******************

    Finished! Terminate.

    ------------------------------------------------------

    J'ai réactivé l'antivirus comme demandé ; au redémarrage, il m'a de nouveau signalé que combofix tentait de se mettre en route et proposé d'annuler son lancement, ce que j'ai fait.
    0
  21. Utilisateur anonyme
     
    je remarque un espace dans le chemin Registry keys to delete:
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\ LEGACY_SSHNAS


    C'est voulu ?

    oui

    Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)

    http://www.teamxscript.org/usbfixTelechargement.html

    \ !/Désactive provisoirement la protection en temps réel de ton Antivirus et de tes Antispywares.\ !/
    * Double-clique sur l'icône Usbfix située sur ton Bureau.
    * Clique sur le bouton.
    * Recherche / Suppression /Vacciner / Désinstaller
    * Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
    * Cliques sur OK
    * Laisses Usbfix scanner ton système
    * Postes le rapport qui se trouve ici ===========?C:\ UsbFix.txt

    \ !/Apres l'option suppression il est recommander de redémarrer votre pc .Pensez a réactiver vos protections . (Antivirus et Antispywares.)\ !/

    Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
    0
  • 1
  • 2