Sujet Précédent Sujet Suivant

Besoin d'aide pour suprimer virus svp

Fermé
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011 - 29 juin 2011 à 12:30
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 5 juil. 2011 à 20:23
Bonjour,


Je vous demande votre aide pour m'aider à me débarrasser d'un virus sous win xp svp.
voici les symptômes:

-le pc fait plusieurs fois le cycle de démarrage avant de finalement afficher le bureau
-le lecteur de disquette s'affole
-panda cloud me détect un virus sur chaque fichier du pc et m'indique des virus non stop, 1 par seconde depuis plusieurs jours non stop.
-je ne peux plus acceder aux sites qui proposent des scan en lignes (avec ie, firefox et safari c'est la même chose)
-mes fichiers photos et video on été modifiés en fichier caché.
-en copiant ces photos sur un disk externe et les plaçant sur un autre pc je lui ai transmis le virus, alors que j'avai spassé les fichier photo a l'antivirus qui n'a rien détecté (j'ai pu enlever le virus sur ce pc en formatant, mais je ne peux pas formater l'aure pc pour ne pas perdre certaine donnés).

je vous remercie d'avance pour l'aide que vous pourrez m'apporter.
A voir également:

43 réponses

Précédent
Réponse 21 / 43
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011
30 juin 2011 à 20:55
je n'ai pas pu acceder au lien ci-dessus, j'ai trouvé gmer ailleurs, j'espère que ça ira.
voici le scan:

GMER 1.0.15.15640 - http://www.gmer.net
Rootkit quick scan 2011-06-30 20:52:33
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Scsi\m52871Port2Path0Target0Lun0 ST316081 rev.3.AA
Running: wi6o2vsl.exe; Driver: C:\DOCUME~1\Cindy\LOCALS~1\Temp\kxpcafoc.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs szkgfs.sys (STOPzilla Kernel Guard File System, x86-32 /iS3, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat szkgfs.sys (STOPzilla Kernel Guard File System, x86-32 /iS3, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
0
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011
30 juin 2011 à 21:17
ah non zut je me suis trompé, le scan est en cours, je le post des qu'il est terminé
0
Réponse 22 / 43
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011
30 juin 2011 à 21:27
GMER 1.0.15.15640 - http://www.gmer.net
Rootkit scan 2011-06-30 21:25:35
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Scsi\m52871Port2Path0Target0Lun0 ST316081 rev.3.AA
Running: wi6o2vsl.exe; Driver: C:\DOCUME~1\Cindy\LOCALS~1\Temp\kxpcafoc.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\PSINProc.sys (PSINProc Filter Driver for XP32/Panda Security, S.L.) ZwTerminateProcess [0xA3CCE416]

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20052AD5
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2004967D
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20052951
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2004F302
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!InternetReadFile 404B654B 5 Bytes JMP 200515A8
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!InternetCloseHandle 404B9088 5 Bytes JMP 20050C03
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!InternetQueryDataAvailable 404BBF7F 5 Bytes JMP 20051289
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!HttpOpenRequestA 404BD508 5 Bytes JMP 20051663
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!HttpSendRequestW 404BFABE 5 Bytes JMP 20050BA4
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!HttpOpenRequestW 404BFBFB 5 Bytes JMP 20051690
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!HttpSendRequestA 404CEE89 5 Bytes JMP 20050B6F
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!InternetOpenUrlA 404CF3A4 5 Bytes JMP 200516BD
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!InternetReadFileExW 404D3349 5 Bytes JMP 2005148D
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!InternetReadFileExA 404D3381 5 Bytes JMP 200513E6
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!InternetWriteFile 405160F6 5 Bytes JMP 20050BD6
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!InternetOpenUrlW 40516DDF 5 Bytes JMP 200516E4
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!HttpSendRequestExA 4052A70A 5 Bytes JMP 20050B29
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe[252] WININET.dll!HttpSendRequestExW 4052A763 5 Bytes JMP 20050AE3
.text C:\WINDOWS\system32\wuauclt.exe[716] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20412AD5
.text C:\WINDOWS\system32\wuauclt.exe[716] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2040967D
.text C:\WINDOWS\system32\wuauclt.exe[716] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20412951
.text C:\WINDOWS\system32\wuauclt.exe[716] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2040F302
? C:\WINDOWS\system32\services.exe[852] time/date stamp mismatch; unknown module: NTDSAPI.dllunknown module: NCObjAPI.DLLunknown module: SCESRV.dllunknown module: umpnpmgr.dll
.text C:\WINDOWS\system32\services.exe[852] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20052AD5
.text C:\WINDOWS\system32\services.exe[852] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2004967D
.text C:\WINDOWS\system32\services.exe[852] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20052951
.text C:\WINDOWS\system32\services.exe[852] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2004F302
.text C:\WINDOWS\system32\services.exe[852] WS2_32.dll!sendto 719F2C69 5 Bytes JMP 2004FEF4
.text C:\WINDOWS\system32\services.exe[852] WS2_32.dll!recvfrom 719F2D0F 5 Bytes JMP 2005021E
.text C:\WINDOWS\system32\services.exe[852] WS2_32.dll!send 719F428A 5 Bytes JMP 2004FEA6
.text C:\WINDOWS\system32\services.exe[852] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 2005037B
.text C:\WINDOWS\system32\services.exe[852] WS2_32.dll!recv 719F615A 5 Bytes JMP 200501AF
.text C:\WINDOWS\system32\services.exe[852] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 20050293
.text C:\WINDOWS\system32\services.exe[852] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 20050537
.text C:\WINDOWS\system32\services.exe[852] WS2_32.dll!WSARecvFrom 719FF652 1 Byte [E9]
.text C:\WINDOWS\system32\services.exe[852] WS2_32.dll!WSARecvFrom 719FF652 5 Bytes JMP 20050456
.text C:\WINDOWS\system32\services.exe[852] WS2_32.dll!WSASendTo 71A00A95 5 Bytes JMP 20050304
.text C:\WINDOWS\system32\lsass.exe[864] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20052AD5
.text C:\WINDOWS\system32\lsass.exe[864] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2004967D
.text C:\WINDOWS\system32\lsass.exe[864] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20052951
.text C:\WINDOWS\system32\lsass.exe[864] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2004F302
.text C:\WINDOWS\system32\lsass.exe[864] WS2_32.dll!sendto 719F2C69 5 Bytes JMP 2004FEF4
.text C:\WINDOWS\system32\lsass.exe[864] WS2_32.dll!recvfrom 719F2D0F 5 Bytes JMP 2005021E
.text C:\WINDOWS\system32\lsass.exe[864] WS2_32.dll!send 719F428A 5 Bytes JMP 2004FEA6
.text C:\WINDOWS\system32\lsass.exe[864] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 2005037B
.text C:\WINDOWS\system32\lsass.exe[864] WS2_32.dll!recv 719F615A 5 Bytes JMP 200501AF
.text C:\WINDOWS\system32\lsass.exe[864] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 20050293
.text C:\WINDOWS\system32\lsass.exe[864] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 20050537
.text C:\WINDOWS\system32\lsass.exe[864] WS2_32.dll!WSARecvFrom 719FF652 1 Byte [E9]
.text C:\WINDOWS\system32\lsass.exe[864] WS2_32.dll!WSARecvFrom 719FF652 5 Bytes JMP 20050456
.text C:\WINDOWS\system32\lsass.exe[864] WS2_32.dll!WSASendTo 71A00A95 5 Bytes JMP 20050304
? C:\WINDOWS\system32\svchost.exe[976] time/date stamp mismatch;
.text C:\WINDOWS\system32\svchost.exe[976] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20022AD5
.text C:\WINDOWS\system32\svchost.exe[976] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2001967D
.text C:\WINDOWS\system32\svchost.exe[976] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20022951
.text C:\WINDOWS\system32\svchost.exe[976] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2001F302
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!InternetReadFile 404B654B 5 Bytes JMP 200215A8
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!InternetCloseHandle 404B9088 5 Bytes JMP 20020C03
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!InternetQueryDataAvailable 404BBF7F 5 Bytes JMP 20021289
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!HttpOpenRequestA 404BD508 5 Bytes JMP 20021663
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!HttpSendRequestW 404BFABE 5 Bytes JMP 20020BA4
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!HttpOpenRequestW 404BFBFB 5 Bytes JMP 20021690
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!HttpSendRequestA 404CEE89 5 Bytes JMP 20020B6F
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!InternetOpenUrlA 404CF3A4 5 Bytes JMP 200216BD
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!InternetReadFileExW 404D3349 5 Bytes JMP 2002148D
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!InternetReadFileExA 404D3381 5 Bytes JMP 200213E6
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!InternetWriteFile 405160F6 5 Bytes JMP 20020BD6
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!InternetOpenUrlW 40516DDF 5 Bytes JMP 200216E4
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!HttpSendRequestExA 4052A70A 5 Bytes JMP 20020B29
.text C:\WINDOWS\system32\svchost.exe[976] WININET.dll!HttpSendRequestExW 4052A763 5 Bytes JMP 20020AE3
? C:\WINDOWS\system32\svchost.exe[1084] time/date stamp mismatch;
.text C:\WINDOWS\system32\svchost.exe[1084] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 203E2AD5
.text C:\WINDOWS\system32\svchost.exe[1084] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 203D967D
.text C:\WINDOWS\system32\svchost.exe[1084] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 203E2951
.text C:\WINDOWS\system32\svchost.exe[1084] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 203DF302
.text C:\WINDOWS\system32\svchost.exe[1084] WS2_32.dll!sendto 719F2C69 5 Bytes JMP 203DFEF4
.text C:\WINDOWS\system32\svchost.exe[1084] WS2_32.dll!recvfrom 719F2D0F 5 Bytes JMP 203E021E
.text C:\WINDOWS\system32\svchost.exe[1084] WS2_32.dll!send 719F428A 5 Bytes JMP 203DFEA6
.text C:\WINDOWS\system32\svchost.exe[1084] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 203E037B
.text C:\WINDOWS\system32\svchost.exe[1084] WS2_32.dll!recv 719F615A 5 Bytes JMP 203E01AF
.text C:\WINDOWS\system32\svchost.exe[1084] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 203E0293
.text C:\WINDOWS\system32\svchost.exe[1084] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 203E0537
.text C:\WINDOWS\system32\svchost.exe[1084] WS2_32.dll!WSARecvFrom 719FF652 1 Byte [E9]
.text C:\WINDOWS\system32\svchost.exe[1084] WS2_32.dll!WSARecvFrom 719FF652 5 Bytes JMP 203E0456
.text C:\WINDOWS\system32\svchost.exe[1084] WS2_32.dll!WSASendTo 71A00A95 5 Bytes JMP 203E0304
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20052AD5
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2004967D
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20052951
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2004F302
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WS2_32.dll!sendto 719F2C69 5 Bytes JMP 2004FEF4
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WS2_32.dll!recvfrom 719F2D0F 5 Bytes JMP 2005021E
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WS2_32.dll!send 719F428A 5 Bytes JMP 2004FEA6
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 2005037B
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WS2_32.dll!recv 719F615A 5 Bytes JMP 200501AF
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 20050293
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 20050537
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WS2_32.dll!WSARecvFrom 719FF652 1 Byte [E9]
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WS2_32.dll!WSARecvFrom 719FF652 5 Bytes JMP 20050456
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WS2_32.dll!WSASendTo 71A00A95 5 Bytes JMP 20050304
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!InternetReadFile 404B654B 5 Bytes JMP 200515A8
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!InternetCloseHandle 404B9088 5 Bytes JMP 20050C03
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!InternetQueryDataAvailable 404BBF7F 5 Bytes JMP 20051289
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!HttpOpenRequestA 404BD508 5 Bytes JMP 20051663
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!HttpSendRequestW 404BFABE 5 Bytes JMP 20050BA4
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!HttpOpenRequestW 404BFBFB 5 Bytes JMP 20051690
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!HttpSendRequestA 404CEE89 5 Bytes JMP 20050B6F
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!InternetOpenUrlA 404CF3A4 5 Bytes JMP 200516BD
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!InternetReadFileExW 404D3349 5 Bytes JMP 2005148D
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!InternetReadFileExA 404D3381 5 Bytes JMP 200513E6
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!InternetWriteFile 405160F6 5 Bytes JMP 20050BD6
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!InternetOpenUrlW 40516DDF 5 Bytes JMP 200516E4
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!HttpSendRequestExA 4052A70A 5 Bytes JMP 20050B29
.text C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe[1152] WININET.dll!HttpSendRequestExW 4052A763 5 Bytes JMP 20050AE3
? C:\WINDOWS\system32\svchost.exe[1192] time/date stamp mismatch;
.text C:\WINDOWS\system32\svchost.exe[1192] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 203E2AD5
.text C:\WINDOWS\system32\svchost.exe[1192] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 203D967D
.text C:\WINDOWS\system32\svchost.exe[1192] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 203E2951
.text C:\WINDOWS\system32\svchost.exe[1192] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 203DF302
.text C:\WINDOWS\system32\svchost.exe[1192] WS2_32.dll!sendto 719F2C69 5 Bytes JMP 203DFEF4
.text C:\WINDOWS\system32\svchost.exe[1192] WS2_32.dll!recvfrom 719F2D0F 5 Bytes JMP 203E021E
.text C:\WINDOWS\system32\svchost.exe[1192] WS2_32.dll!send 719F428A 5 Bytes JMP 203DFEA6
.text C:\WINDOWS\system32\svchost.exe[1192] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 203E037B
.text C:\WINDOWS\system32\svchost.exe[1192] WS2_32.dll!recv 719F615A 5 Bytes JMP 203E01AF
.text C:\WINDOWS\system32\svchost.exe[1192] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 203E0293
.text C:\WINDOWS\system32\svchost.exe[1192] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 203E0537
.text C:\WINDOWS\system32\svchost.exe[1192] WS2_32.dll!WSARecvFrom 719FF652 1 Byte [E9]
.text C:\WINDOWS\system32\svchost.exe[1192] WS2_32.dll!WSARecvFrom 719FF652 5 Bytes JMP 203E0456
.text C:\WINDOWS\system32\svchost.exe[1192] WS2_32.dll!WSASendTo 71A00A95 5 Bytes JMP 203E0304
? C:\WINDOWS\System32\svchost.exe[1288] time/date stamp mismatch;
.text C:\WINDOWS\System32\svchost.exe[1288] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 203E2AD5
.text C:\WINDOWS\System32\svchost.exe[1288] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 203D967D
.text C:\WINDOWS\System32\svchost.exe[1288] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 203E2951
.text C:\WINDOWS\System32\svchost.exe[1288] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 203DF302
.text C:\WINDOWS\System32\svchost.exe[1288] WS2_32.dll!sendto 719F2C69 5 Bytes JMP 203DFEF4
.text C:\WINDOWS\System32\svchost.exe[1288] WS2_32.dll!recvfrom 719F2D0F 5 Bytes JMP 203E021E
.text C:\WINDOWS\System32\svchost.exe[1288] WS2_32.dll!send 719F428A 5 Bytes JMP 203DFEA6
.text C:\WINDOWS\System32\svchost.exe[1288] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 203E037B
.text C:\WINDOWS\System32\svchost.exe[1288] WS2_32.dll!recv 719F615A 5 Bytes JMP 203E01AF
.text C:\WINDOWS\System32\svchost.exe[1288] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 203E0293
.text C:\WINDOWS\System32\svchost.exe[1288] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 203E0537
.text C:\WINDOWS\System32\svchost.exe[1288] WS2_32.dll!WSARecvFrom 719FF652 1 Byte [E9]
.text C:\WINDOWS\System32\svchost.exe[1288] WS2_32.dll!WSARecvFrom 719FF652 5 Bytes JMP 203E0456
.text C:\WINDOWS\System32\svchost.exe[1288] WS2_32.dll!WSASendTo 71A00A95 5 Bytes JMP 203E0304
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!InternetReadFile 404B654B 5 Bytes JMP 203E15A8
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!InternetCloseHandle 404B9088 5 Bytes JMP 203E0C03
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!InternetQueryDataAvailable 404BBF7F 5 Bytes JMP 203E1289
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!HttpOpenRequestA 404BD508 5 Bytes JMP 203E1663
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!HttpSendRequestW 404BFABE 5 Bytes JMP 203E0BA4
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!HttpOpenRequestW 404BFBFB 5 Bytes JMP 203E1690
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!HttpSendRequestA 404CEE89 5 Bytes JMP 203E0B6F
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!InternetOpenUrlA 404CF3A4 5 Bytes JMP 203E16BD
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!InternetReadFileExW 404D3349 5 Bytes JMP 203E148D
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!InternetReadFileExA 404D3381 5 Bytes JMP 203E13E6
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!InternetWriteFile 405160F6 5 Bytes JMP 203E0BD6
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!InternetOpenUrlW 40516DDF 5 Bytes JMP 203E16E4
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!HttpSendRequestExA 4052A70A 5 Bytes JMP 203E0B29
.text C:\WINDOWS\System32\svchost.exe[1288] WININET.dll!HttpSendRequestExW 4052A763 5 Bytes JMP 203E0AE3
.text C:\WINDOWS\system32\spoolsv.exe[1400] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20022AD5
.text C:\WINDOWS\system32\spoolsv.exe[1400] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2001967D
.text C:\WINDOWS\system32\spoolsv.exe[1400] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20022951
.text C:\WINDOWS\system32\spoolsv.exe[1400] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2001F302
? C:\WINDOWS\system32\svchost.exe[1424] time/date stamp mismatch;
.text C:\WINDOWS\system32\svchost.exe[1424] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20052AD5
.text C:\WINDOWS\system32\svchost.exe[1424] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2004967D
.text C:\WINDOWS\system32\svchost.exe[1424] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20052951
.text C:\WINDOWS\system32\svchost.exe[1424] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2004F302
.text C:\WINDOWS\system32\svchost.exe[1424] WS2_32.dll!sendto 719F2C69 5 Bytes JMP 2004FEF4
.text C:\WINDOWS\system32\svchost.exe[1424] WS2_32.dll!recvfrom 719F2D0F 5 Bytes JMP 2005021E
.text C:\WINDOWS\system32\svchost.exe[1424] WS2_32.dll!send 719F428A 5 Bytes JMP 2004FEA6
.text C:\WINDOWS\system32\svchost.exe[1424] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 2005037B
.text C:\WINDOWS\system32\svchost.exe[1424] WS2_32.dll!recv 719F615A 5 Bytes JMP 200501AF
.text C:\WINDOWS\system32\svchost.exe[1424] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 20050293
.text C:\WINDOWS\system32\svchost.exe[1424] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 20050537
.text C:\WINDOWS\system32\svchost.exe[1424] WS2_32.dll!WSARecvFrom 719FF652 1 Byte [E9]
.text C:\WINDOWS\system32\svchost.exe[1424] WS2_32.dll!WSARecvFrom 719FF652 5 Bytes JMP 20050456
.text C:\WINDOWS\system32\svchost.exe[1424] WS2_32.dll!WSASendTo 71A00A95 5 Bytes JMP 20050304
? C:\WINDOWS\system32\svchost.exe[1488] time/date stamp mismatch;
.text C:\WINDOWS\system32\svchost.exe[1488] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20022AD5
.text C:\WINDOWS\system32\svchost.exe[1488] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2001967D
.text C:\WINDOWS\system32\svchost.exe[1488] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20022951
.text C:\WINDOWS\system32\svchost.exe[1488] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2001F302
? C:\WINDOWS\system32\svchost.exe[1544] time/date stamp mismatch;
.text C:\WINDOWS\system32\svchost.exe[1544] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 203E2AD5
.text C:\WINDOWS\system32\svchost.exe[1544] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 203D967D
.text C:\WINDOWS\system32\svchost.exe[1544] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 203E2951
.text C:\WINDOWS\system32\svchost.exe[1544] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 203DF302
.text C:\WINDOWS\system32\svchost.exe[1544] WS2_32.dll!sendto 719F2C69 5 Bytes JMP 203DFEF4
.text C:\WINDOWS\system32\svchost.exe[1544] WS2_32.dll!recvfrom 719F2D0F 5 Bytes JMP 203E021E
.text C:\WINDOWS\system32\svchost.exe[1544] WS2_32.dll!send 719F428A 5 Bytes JMP 203DFEA6
.text C:\WINDOWS\system32\svchost.exe[1544] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 203E037B
.text C:\WINDOWS\system32\svchost.exe[1544] WS2_32.dll!recv 719F615A 5 Bytes JMP 203E01AF
.text C:\WINDOWS\system32\svchost.exe[1544] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 203E0293
.text C:\WINDOWS\system32\svchost.exe[1544] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 203E0537
.text C:\WINDOWS\system32\svchost.exe[1544] WS2_32.dll!WSARecvFrom 719FF652 1 Byte [E9]
.text C:\WINDOWS\system32\svchost.exe[1544] WS2_32.dll!WSARecvFrom 719FF652 5 Bytes JMP 203E0456
.text C:\WINDOWS\system32\svchost.exe[1544] WS2_32.dll!WSASendTo 71A00A95 5 Bytes JMP 203E0304
? C:\WINDOWS\explorer.exe[1652] time/date stamp mismatch; unknown module: WINMM.dllunknown module: SETUPAPI.dllunknown module: WINSTA.dllunknown module: OLEACC.dllunknown module: OLEAUT32.dllunknown module: BROWSEUI.dllunknown module: SHDOCVW.dllunknown module: UxTheme.dll
.text C:\WINDOWS\explorer.exe[1652] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 203E2AD5
.text C:\WINDOWS\explorer.exe[1652] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 203D967D
.text C:\WINDOWS\explorer.exe[1652] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 203E2951
.text C:\WINDOWS\explorer.exe[1652] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 203DF302
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!InternetReadFile 404B654B 5 Bytes JMP 203E15A8
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!InternetCloseHandle 404B9088 5 Bytes JMP 203E0C03
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!InternetQueryDataAvailable 404BBF7F 5 Bytes JMP 203E1289
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!HttpOpenRequestA 404BD508 5 Bytes JMP 203E1663
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!HttpSendRequestW 404BFABE 5 Bytes JMP 203E0BA4
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!HttpOpenRequestW 404BFBFB 5 Bytes JMP 203E1690
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!HttpSendRequestA 404CEE89 5 Bytes JMP 203E0B6F
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!InternetOpenUrlA 404CF3A4 5 Bytes JMP 203E16BD
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!InternetReadFileExW 404D3349 5 Bytes JMP 203E148D
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!InternetReadFileExA 404D3381 5 Bytes JMP 203E13E6
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!InternetWriteFile 405160F6 5 Bytes JMP 203E0BD6
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!InternetOpenUrlW 40516DDF 5 Bytes JMP 203E16E4
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!HttpSendRequestExA 4052A70A 5 Bytes JMP 203E0B29
.text C:\WINDOWS\explorer.exe[1652] WININET.dll!HttpSendRequestExW 4052A763 5 Bytes JMP 203E0AE3
.text C:\WINDOWS\explorer.exe[1652] WS2_32.dll!sendto 719F2C69 5 Bytes JMP 203DFEF4
.text C:\WINDOWS\explorer.exe[1652] WS2_32.dll!recvfrom 719F2D0F 5 Bytes JMP 203E021E
.text C:\WINDOWS\explorer.exe[1652] WS2_32.dll!send 719F428A 5 Bytes JMP 203DFEA6
.text C:\WINDOWS\explorer.exe[1652] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 203E037B
.text C:\WINDOWS\explorer.exe[1652] WS2_32.dll!recv 719F615A 5 Bytes JMP 203E01AF
.text C:\WINDOWS\explorer.exe[1652] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 203E0293
.text C:\WINDOWS\explorer.exe[1652] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 203E0537
.text C:\WINDOWS\explorer.exe[1652] WS2_32.dll!WSARecvFrom 719FF652 1 Byte [E9]
.text C:\WINDOWS\explorer.exe[1652] WS2_32.dll!WSARecvFrom 719FF652 5 Bytes JMP 203E0456
.text C:\WINDOWS\explorer.exe[1652] WS2_32.dll!WSASendTo 71A00A95 5 Bytes JMP 203E0304
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20022AD5
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2001967D
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20022951
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2001F302
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WS2_32.dll!sendto 719F2C69 5 Bytes JMP 2001FEF4
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WS2_32.dll!recvfrom 719F2D0F 5 Bytes JMP 2002021E
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WS2_32.dll!send 719F428A 5 Bytes JMP 2001FEA6
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 2002037B
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WS2_32.dll!recv 719F615A 5 Bytes JMP 200201AF
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 20020293
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 20020537
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WS2_32.dll!WSARecvFrom 719FF652 1 Byte [E9]
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WS2_32.dll!WSARecvFrom 719FF652 5 Bytes JMP 20020456
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WS2_32.dll!WSASendTo 71A00A95 5 Bytes JMP 20020304
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!InternetReadFile 404B654B 5 Bytes JMP 200215A8
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!InternetCloseHandle 404B9088 5 Bytes JMP 20020C03
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!InternetQueryDataAvailable 404BBF7F 5 Bytes JMP 20021289
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!HttpOpenRequestA 404BD508 5 Bytes JMP 20021663
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!HttpSendRequestW 404BFABE 5 Bytes JMP 20020BA4
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!HttpOpenRequestW 404BFBFB 5 Bytes JMP 20021690
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!HttpSendRequestA 404CEE89 5 Bytes JMP 20020B6F
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!InternetOpenUrlA 404CF3A4 5 Bytes JMP 200216BD
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!InternetReadFileExW 404D3349 5 Bytes JMP 2002148D
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!InternetReadFileExA 404D3381 5 Bytes JMP 200213E6
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!InternetWriteFile 405160F6 5 Bytes JMP 20020BD6
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!InternetOpenUrlW 40516DDF 5 Bytes JMP 200216E4
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!HttpSendRequestExA 4052A70A 5 Bytes JMP 20020B29
.text C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe[1744] WININET.dll!HttpSendRequestExW 4052A763 5 Bytes JMP 20020AE3
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20412AD5
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2040967D
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20412951
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] WS2_32.dll!sendto 719F2C69 5 Bytes JMP 2040FEF4
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] WS2_32.dll!recvfrom 719F2D0F 5 Bytes JMP 2041021E
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] WS2_32.dll!send 719F428A 5 Bytes JMP 2040FEA6
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 2041037B
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] WS2_32.dll!recv 719F615A 5 Bytes JMP 204101AF
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 20410293
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 20410537
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] WS2_32.dll!WSARecvFrom 719FF652 1 Byte [E9]
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] WS2_32.dll!WSARecvFrom 719FF652 5 Bytes JMP 20410456
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] WS2_32.dll!WSASendTo 71A00A95 5 Bytes JMP 20410304
.text C:\Program Files\Mozilla Firefox\firefox.exe[3344] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2040F302
? C:\WINDOWS\System32\svchost.exe[3436] time/date stamp mismatch;
.text C:\WINDOWS\System32\svchost.exe[3436] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20022AD5
.text C:\WINDOWS\System32\svchost.exe[3436] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2001967D
.text C:\WINDOWS\System32\svchost.exe[3436] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20022951
.text C:\WINDOWS\System32\svchost.exe[3436] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2001F302
.text C:\WINDOWS\system32\ctfmon.exe[3668] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20022AD5
.text C:\WINDOWS\system32\ctfmon.exe[3668] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2001967D
.text C:\WINDOWS\system32\ctfmon.exe[3668] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20022951
.text C:\WINDOWS\system32\ctfmon.exe[3668] USER32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2001F302
.text C:\Documents and Settings\Cindy\Bureau\wi6o2vsl.exe[3916] ntdll.dll!NtQueryDirectoryFile 7C91D76E 5 Bytes JMP 20412AD5
.text C:\Documents and Settings\Cindy\Bureau\wi6o2vsl.exe[3916] ntdll.dll!NtResumeThread 7C91DB3E 5 Bytes JMP 2040967D
.text C:\Documents and Settings\Cindy\Bureau\wi6o2vsl.exe[3916] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 20412951
.text C:\Documents and Settings\Cindy\Bureau\wi6o2vsl.exe[3916] user32.dll!TranslateMessage 77D18BF6 5 Bytes JMP 2040F302

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs szkgfs.sys (STOPzilla Kernel Guard File System, x86-32 /iS3, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat szkgfs.sys (STOPzilla Kernel Guard File System, x86-32 /iS3, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

---- Files - GMER 1.0.15 ----

File C:\Documents and Settings\Cindy\Menu Démarrer\Programmes\Démarrage\feqyvmso.exe 168635 bytes executable
File C:\Program Files\Fichiers communs\System\msadc\msadce.dll (size mismatch) 504222/331776 bytes executable
File C:\Program Files\Movie Maker\moviemk.exe (size mismatch) 3555328/3727403 bytes executable
File C:\Program Files\wxyjljmx\feqyvmso.exe 168635 bytes executable
File C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\feqyvmso.exe 168635 bytes executable

---- EOF - GMER 1.0.15 ----
0
Réponse 23 / 43
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
30 juin 2011 à 22:13
Ouvre Gmer puis selectionne ces fichiers :

File C:\Documents and Settings\Cindy\Menu Démarrer\Programmes\Démarrage\feqyvmso.exe
File C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\feqyvmso.exe
File C:\Program Files\wxyjljmx\feqyvmso.exe

Ensuite clique sur "Delete Files" .
0
Réponse 24 / 43
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011
30 juin 2011 à 22:38
impossible d'accéder a "File C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\feqyvmso.exe" depuis gmer, ça fait planter gmer a chaque fois,pour les deux autres c'est tout bon
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 43
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011
30 juin 2011 à 23:26
ouf j'ai finalement réussi...
0
Réponse 26 / 43
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011
1 juil. 2011 à 11:13
mauvaise nouvelle, les trois fichiers supprimé hier avec gmer sont revenu.

dans les options de gmer il y avait "delete" et "kill", j'ai choisi "delete" c'était bien ça?
0
Réponse 27 / 43
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
1 juil. 2011 à 20:06 
j'ai choisi "delete" c'était bien ça?


Oui ,c'est tout a fait ça -;)

Si il revienne ,c'est qu'ils sont coriaces les types ...:(

On va utiliser une autre méthode un peu plus radicale :

1. Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

2.Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau



3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.



4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse



0
Réponse 28 / 43
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011
1 juil. 2011 à 21:57
dans avenger la case "skan for rootkit" est coché

"automatically disable any rootkits found" n'est pas coché

quand je click sur exécute j'ai un message qui me dit:

it appears that the avenger has already been queed for exécution on next reboot...

je lance avenger, le système redémarre mais je n'ai pas de fichier text affiché, et je ne le trouve pas dans c:/avenger

que dois-je faire?
0
Réponse 29 / 43
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
1 juil. 2011 à 22:34
Décidement ,c'est la poisse ...


Télécharge SysProt ( de swatkat ) sur ton Bureau :


!! Déconnecte toi d'Internet, ferme toutes tes applications et désactive tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


* Double clique sur "SysProt.exe" pour lancer l'outil .

* Clique sur l'onglet "Log" :

> Coche toutes les cases présentes dans l'encadré "Write to log" .

* Puis clique sur le bouton en bas à droite [Create Log] .

* Le scan démarre , laisse travailler l'outil ( même si il semble avoir planté ...)

> Au bout d'un moment, une fenêtre va apparaitre : laisse bien "Scan all drives " coché et clique sur [Start] .

> Patiente de nouveau ... attends le message de fin indiquant la creation du rapport et clique sur "OK"


* Ferme SysProt et copie/colle le contenu du rapport "SysProtLog.txt" qui a été sauvegardé sur ton bureau dans ta prochaine réponse ...
0
Réponse 30 / 43
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011
2 juil. 2011 à 11:19
voici le rapport sysprot:

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************

Process:
Name: [System Idle Process]
PID: 0
Hidden: No
Window Visible: No

Name: System
PID: 4
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\smss.exe
PID: 736
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\csrss.exe
PID: 788
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\winlogon.exe
PID: 816
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\services.exe
PID: 860
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\lsass.exe
PID: 872
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\ati2evxx.exe
PID: 1072
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 1092
Hidden: No
Window Visible: No

Name: C:\Program Files\Fichiers communs\iS3\Anti-Spyware\SZServer.exe
PID: 1160
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 1200
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 1296
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 1380
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 1524
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\spoolsv.exe
PID: 1696
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\ati2evxx.exe
PID: 1848
Hidden: No
Window Visible: No

Name: C:\WINDOWS\explorer.exe
PID: 1948
Hidden: No
Window Visible: No

Name: C:\Program Files\Safari\Safari.exe
PID: 1968
Hidden: No
Window Visible: No

Name: C:\Program Files\Safari\Safari.exe
PID: 1988
Hidden: No
Window Visible: No

Name: C:\Program Files\Safari\Safari.exe
PID: 2000
Hidden: No
Window Visible: No

Name: C:\Program Files\Safari\Safari.exe
PID: 152
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\ctfmon.exe
PID: 1360
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 1492
Hidden: No
Window Visible: No

Name: C:\Program Files\Spyware Terminator\sp_rsser.exe
PID: 2052
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 2160
Hidden: No
Window Visible: No

Name: C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe
PID: 2316
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\alg.exe
PID: 248
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\svchost.exe
PID: 3660
Hidden: No
Window Visible: No

Name: C:\WINDOWS\system32\wuauclt.exe
PID: 4016
Hidden: No
Window Visible: No

Name: C:\Program Files\Mozilla Firefox\firefox.exe
PID: 2276
Hidden: No
Window Visible: No

Name: C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANToManager.exe
PID: 1336
Hidden: No
Window Visible: Yes

Name: C:\Program Files\Mozilla Firefox\plugin-container.exe
PID: 3556
Hidden: No
Window Visible: No

Name: C:\Documents and Settings\Cindy\Bureau\SysProt.exe
PID: 232
Hidden: No
Window Visible: Yes

******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \??\C:\Documents and Settings\Cindy\Bureau\SysProtDrv.sys
Service Name: SysProtDrv.sys
Module Base: A2D30000
Module End: A2D3B000
Hidden: No

Module Name: \WINDOWS\system32\ntkrnlpa.exe
Service Name: ---
Module Base: 804D7000
Module End: 806E2000
Hidden: No

Module Name: \WINDOWS\system32\hal.dll
Service Name: ---
Module Base: 806E2000
Module End: 80702D00
Hidden: No

Module Name: \WINDOWS\system32\KDCOM.DLL
Service Name: ---
Module Base: BA5A8000
Module End: BA5AA000
Hidden: No

Module Name: \WINDOWS\system32\BOOTVID.dll
Service Name: ---
Module Base: BA4B8000
Module End: BA4BB000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\szkg.sys
Service Name: szkg5
Module Base: BA0A8000
Module End: BA0B6000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\szkgfs.sys
Service Name: szkgfs
Module Base: BA0B8000
Module End: BA0C5000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\ACPI.sys
Service Name: ACPI
Module Base: B9F78000
Module End: B9FA7000
Hidden: No

Module Name: \WINDOWS\system32\DRIVERS\WMILIB.SYS
Service Name: ---
Module Base: BA5AA000
Module End: BA5AC000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\pci.sys
Service Name: PCI
Module Base: B9F67000
Module End: B9F78000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\isapnp.sys
Service Name: isapnp
Module Base: BA0D8000
Module End: BA0E1000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\ohci1394.sys
Service Name: ohci1394
Module Base: BA0E8000
Module End: BA0F7000
Hidden: No

Module Name: \WINDOWS\system32\DRIVERS\1394BUS.SYS
Service Name: ---
Module Base: BA0F8000
Module End: BA105000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\ravcore.sys
Service Name: ravcore
Module Base: BA108000
Module End: BA112000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\aliide.sys
Service Name: AliIde
Module Base: BA5AC000
Module End: BA5AE000
Hidden: No

Module Name: \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Service Name: ---
Module Base: BA328000
Module End: BA32F000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\MountMgr.sys
Service Name: MountMgr
Module Base: BA118000
Module End: BA123000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\ftdisk.sys
Service Name: Disk
Module Base: B9F48000
Module End: B9F67000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\PartMgr.sys
Service Name: PartMgr
Module Base: BA330000
Module End: BA335000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\VolSnap.sys
Service Name: VolSnap
Module Base: BA128000
Module End: BA136000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\atapi.sys
Service Name: atapi
Module Base: B9F30000
Module End: B9F48000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\m5287.sys
Service Name: m5287
Module Base: B9F1B000
Module End: B9F30000
Hidden: No

Module Name: \WINDOWS\system32\drivers\SCSIPORT.SYS
Service Name: ---
Module Base: B9F03000
Module End: B9F1B000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\disk.sys
Service Name: ---
Module Base: BA138000
Module End: BA141000
Hidden: No

Module Name: \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Service Name: ---
Module Base: BA148000
Module End: BA155000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\fltMgr.sys
Service Name: FltMgr
Module Base: B9EE4000
Module End: B9F03000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\sr.sys
Service Name: sr
Module Base: B9ED2000
Module End: B9EE4000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\KSecDD.sys
Service Name: KSecDD
Module Base: B9EBB000
Module End: B9ED2000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\Ntfs.sys
Service Name: Ntfs
Module Base: B9E2E000
Module End: B9EBB000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\NDIS.sys
Service Name: NDIS
Module Base: B9E01000
Module End: B9E2E000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\Mup.sys
Service Name: Mup
Module Base: B9DE6000
Module End: B9E01000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\intelppm.sys
Service Name: intelppm
Module Base: B97D6000
Module End: B97E0000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
Service Name: ati2mtag
Module Base: B90FB000
Module End: B9220000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS
Service Name: ---
Module Base: B90E7000
Module End: B90FB000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\yk51x86.sys
Service Name: yukonwxp
Module Base: B90AE000
Module End: B90E7000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\nic1394.sys
Service Name: NIC1394
Module Base: BA2C8000
Module End: BA2D8000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\usbohci.sys
Service Name: usbohci
Module Base: BA3C0000
Module End: BA3C5000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\USBPORT.SYS
Service Name: ---
Module Base: B908B000
Module End: B90AE000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\usbehci.sys
Service Name: usbehci
Module Base: BA3C8000
Module End: BA3CF000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
Service Name: HDAudBus
Module Base: B9066000
Module End: B908B000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\serial.sys
Service Name: Serial
Module Base: B9055000
Module End: B9066000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\serenum.sys
Service Name: serenum
Module Base: BA5A0000
Module End: BA5A4000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\parport.sys
Service Name: Parport
Module Base: B9041000
Module End: B9055000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\imapi.sys
Service Name: Imapi
Module Base: BA2D8000
Module End: BA2E3000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\Afc.sys
Service Name: Afc
Module Base: BA3D8000
Module End: BA3E0000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\UBHelper.SYS
Service Name: UBHelper
Module Base: BA5A4000
Module End: BA5A8000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\cdrom.sys
Service Name: Cdrom
Module Base: BA2E8000
Module End: BA2F5000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\redbook.sys
Service Name: redbook
Module Base: BA2F8000
Module End: BA307000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ks.sys
Service Name: ---
Module Base: B901E000
Module End: B9041000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\NTIDrvr.sys
Service Name: NTIDrvr
Module Base: BA5D6000
Module End: BA5D8000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\audstub.sys
Service Name: audstub
Module Base: BA734000
Module End: BA735000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
Service Name: Rasl2tp
Module Base: BA308000
Module End: BA315000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ndistapi.sys
Service Name: NdisTapi
Module Base: B9DBE000
Module End: B9DC1000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ndiswan.sys
Service Name: NdisWan
Module Base: B9007000
Module End: B901E000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\raspppoe.sys
Service Name: RasPppoe
Module Base: BA318000
Module End: BA323000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\raspptp.sys
Service Name: PptpMiniport
Module Base: BA0C8000
Module End: BA0D4000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\TDI.SYS
Service Name: ---
Module Base: BA3E0000
Module End: BA3E5000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\psched.sys
Service Name: PSched
Module Base: B8FF6000
Module End: B9007000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\msgpc.sys
Service Name: Gpc
Module Base: BA1B8000
Module End: BA1C1000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ptilink.sys
Service Name: Ptilink
Module Base: BA3E8000
Module End: BA3ED000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\raspti.sys
Service Name: Raspti
Module Base: BA3F0000
Module End: BA3F5000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\termdd.sys
Service Name: TermDD
Module Base: BA1C8000
Module End: BA1D2000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\kbdclass.sys
Service Name: Kbdclass
Module Base: BA3F8000
Module End: BA3FF000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\mouclass.sys
Service Name: Mouclass
Module Base: BA400000
Module End: BA406000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\swenum.sys
Service Name: swenum
Module Base: BA5D8000
Module End: BA5DA000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\update.sys
Service Name: Update
Module Base: B8FC2000
Module End: B8FF6000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\mssmbios.sys
Service Name: mssmbios
Module Base: B9DB2000
Module End: B9DB6000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\NDProxy.SYS
Service Name: NDProxy
Module Base: BA258000
Module End: BA262000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\usbhub.sys
Service Name: usbhub
Module Base: BA298000
Module End: BA2A7000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\USBD.SYS
Service Name: ---
Module Base: BA5E0000
Module End: BA5E2000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\RtkHDAud.sys
Service Name: IntcAzAudAddService
Module Base: A811F000
Module End: A8504000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\portcls.sys
Service Name: ---
Module Base: A80CA000
Module End: A80EC000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\drmk.sys
Service Name: ---
Module Base: B9816000
Module End: B9825000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\flpydisk.sys
Service Name: Flpydisk
Module Base: A6EE5000
Module End: A6EEA000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Fs_Rec.SYS
Service Name: Fs_Rec
Module Base: BA662000
Module End: BA664000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Null.SYS
Service Name: Null
Module Base: A6E98000
Module End: A6E99000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Beep.SYS
Service Name: Beep
Module Base: BA664000
Module End: BA666000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\HIDPARSE.SYS
Service Name: ---
Module Base: A6ED5000
Module End: A6EDC000
Hidden: No

Module Name: C:\WINDOWS\System32\drivers\vga.sys
Service Name: VgaSave
Module Base: A6ECD000
Module End: A6ED3000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\mnmdd.SYS
Service Name: mnmdd
Module Base: BA666000
Module End: BA668000
Hidden: No

Module Name: C:\WINDOWS\System32\DRIVERS\RDPCDD.sys
Service Name: RDPCDD
Module Base: BA668000
Module End: BA66A000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Msfs.SYS
Service Name: Msfs
Module Base: A6EC5000
Module End: A6ECA000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Npfs.SYS
Service Name: Npfs
Module Base: A6EBD000
Module End: A6EC5000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\rasacd.sys
Service Name: RasAcd
Module Base: A7CF9000
Module End: A7CFC000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ipsec.sys
Service Name: IPSec
Module Base: A3332000
Module End: A3345000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\tcpip.sys
Service Name: Tcpip
Module Base: A32DA000
Module End: A3332000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ipnat.sys
Service Name: IpNat
Module Base: A32B9000
Module End: A32DA000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\netbt.sys
Service Name: NetBT
Module Base: A3291000
Module End: A32B9000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\wanarp.sys
Service Name: Wanarp
Module Base: A6E34000
Module End: A6E3D000
Hidden: No

Module Name: C:\WINDOWS\System32\drivers\afd.sys
Service Name: AFD
Module Base: A326F000
Module End: A3291000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\arp1394.sys
Service Name: Arp1394
Module Base: A6E24000
Module End: A6E33000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\netbios.sys
Service Name: NetBIOS
Module Base: A6E14000
Module End: A6E1D000
Hidden: No

Module Name: \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
Service Name: sp_rsdrv2
Module Base: A324C000
Module End: A326F000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\rdbss.sys
Service Name: Rdbss
Module Base: A3221000
Module End: A324C000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\psinknc.sys
Service Name: PSINKNC
Module Base: A3202000
Module End: A3221000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
Service Name: MRxSmb
Module Base: A311B000
Module End: A318A000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Fips.SYS
Service Name: Fips
Module Base: A6E04000
Module End: A6E0D000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\usbccgp.sys
Service Name: usbccgp
Module Base: A6EB5000
Module End: A6EBD000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
Service Name: USBSTOR
Module Base: A6B14000
Module End: A6B1B000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\hidusb.sys
Service Name: hidusb
Module Base: A31EA000
Module End: A31ED000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS
Service Name: ---
Module Base: A85B4000
Module End: A85BD000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\kbdhid.sys
Service Name: kbdhid
Module Base: A319E000
Module End: A31A2000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\mouhid.sys
Service Name: mouhid
Module Base: A319A000
Module End: A319D000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Cdfs.SYS
Service Name: Cdfs
Module Base: A2D20000
Module End: A2D30000
Hidden: No

Module Name: \SystemRoot\System32\Drivers\dump_diskdump.sys
Service Name: ---
Module Base: A0B22000
Module End: A0B26000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_m5287.sys
Service Name: ---
Module Base: 9FB6A000
Module End: 9FB7F000
Hidden: Yes

Module Name: C:\WINDOWS\System32\drivers\Dxapi.sys
Service Name: ---
Module Base: A0B12000
Module End: A0B15000
Hidden: No

Module Name: C:\WINDOWS\System32\watchdog.sys
Service Name: ---
Module Base: A442B000
Module End: A4430000
Hidden: No

Module Name: C:\WINDOWS\System32\drivers\dxgthk.sys
Service Name: ---
Module Base: A0132000
Module End: A0133000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\PSINAflt.sys
Service Name: PSINAflt
Module Base: 9DAC8000
Module End: 9DAEA000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\PSINProt.sys
Service Name: PSINProt
Module Base: 9DAAE000
Module End: 9DAC8000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\PSINFile.sys
Service Name: PSINFile
Module Base: 9DA97000
Module End: 9DAAE000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\PSINProc.sys
Service Name: PSINProc
Module Base: 9DA7D000
Module End: 9DA97000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\ndisuio.sys
Service Name: Ndisuio
Module Base: 9FB8F000
Module End: 9FB93000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\wdmaud.sys
Service Name: wdmaud
Module Base: 9D9C8000
Module End: 9D9DD000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\sysaudio.sys
Service Name: sysaudio
Module Base: A5CB5000
Module End: A5CC4000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\Fastfat.SYS
Service Name: Fastfat
Module Base: 9D818000
Module End: 9D83B000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\mrxdav.sys
Service Name: MRxDAV
Module Base: 9D79B000
Module End: 9D7C8000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\srv.sys
Service Name: Srv
Module Base: 9D53C000
Module End: 9D593000
Hidden: No

Module Name: C:\WINDOWS\System32\Drivers\HTTP.sys
Service Name: HTTP
Module Base: 9D0EB000
Module End: 9D12C000
Hidden: No

Module Name: C:\WINDOWS\system32\drivers\kmixer.sys
Service Name: kmixer
Module Base: 9CC37000
Module End: 9CC61000
Hidden: No

Module Name: C:\WINDOWS\system32\DRIVERS\fdc.sys
Service Name: Fdc
Module Base: BA3D0000
Module End: BA3D7000
Hidden: No

******************************************************************************************
******************************************************************************************
SSDT:
Function Name: ZwTerminateProcess
Address: 9DA83416
Driver Base: 9DA7D000
Driver End: 9DA97000
Driver Name: \SystemRoot\system32\DRIVERS\PSINProc.sys

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
No IRP Hooks found

******************************************************************************************
******************************************************************************************
Ports:
Local Address: ACER-755E621E64:1208
Remote Address: LOCALHOST:1207
Type: TCP
Process: C:\Program Files\Mozilla Firefox\firefox.exe
State: ESTABLISHED

Local Address: ACER-755E621E64:1207
Remote Address: LOCALHOST:1208
Type: TCP
Process: C:\Program Files\Mozilla Firefox\firefox.exe
State: ESTABLISHED

Local Address: ACER-755E621E64:1206
Remote Address: LOCALHOST:1205
Type: TCP
Process: C:\Program Files\Mozilla Firefox\firefox.exe
State: ESTABLISHED

Local Address: ACER-755E621E64:1205
Remote Address: LOCALHOST:1206
Type: TCP
Process: C:\Program Files\Mozilla Firefox\firefox.exe
State: ESTABLISHED

Local Address: ACER-755E621E64:1060
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\WINDOWS\system32\alg.exe
State: LISTENING

Local Address: ACER-755E621E64:MICROSOFT-DS
Remote Address: 0.0.0.0:0
Type: TCP
Process: System
State: LISTENING

Local Address: ACER-755E621E64:EPMAP
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\WINDOWS\system32\svchost.exe
State: LISTENING

Local Address: ACER-755E621E64:FTP
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Program Files\Safari\Safari.exe
State: LISTENING

Local Address: ACER-755E621E64:1900
Remote Address: NA
Type: UDP
Process: C:\WINDOWS\system32\svchost.exe
State: NA

Local Address: ACER-755E621E64:123
Remote Address: NA
Type: UDP
Process: C:\WINDOWS\system32\svchost.exe
State: NA

Local Address: ACER-755E621E64:4500
Remote Address: NA
Type: UDP
Process: C:\WINDOWS\system32\lsass.exe
State: NA

Local Address: ACER-755E621E64:500
Remote Address: NA
Type: UDP
Process: C:\WINDOWS\system32\lsass.exe
State: NA

Local Address: ACER-755E621E64:MICROSOFT-DS
Remote Address: NA
Type: UDP
Process: System
State: NA

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: C:\Documents and Settings\Cindy\Menu Démarrer\Programmes\Démarrage\feqyvmso.exe
Status: Hidden

Object: C:\Documents and Settings\Cindy\?(?(?(?(?'?'?(?(4.tmp
Status: Hidden

Object: C:\Documents and Settings\Cindy\?=?=?=?<?;?;?;?;2.tmp
Status: Hidden

Object: C:\Documents and Settings\Cindy\?B?B?B?A?A?B?A?A5.tmp
Status: Hidden

Object: C:\Documents and Settings\Cindy\?}?|?z?x?w?v?t?s5.tmp
Status: Hidden

Object: C:\Program Files\wxyjljmx\feqyvmso.exe
Status: Hidden

Object: C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\feqyvmso.exe
Status: Hidden
0
Réponse 31 / 43
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
2 juil. 2011 à 11:54
Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


:files
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\feqyvmso.exe
C:\Program Files\wxyjljmx
C:\Documents and Settings\Cindy\Menu Démarrer\Programmes\Démarrage\feqyvmso.exe

:commands
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
0
Réponse 32 / 43
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011
2 juil. 2011 à 12:17
voici le rapport:

All processes killed
========== FILES ==========
File/Folder C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\feqyvmso.exe not found.
C:\Program Files\wxyjljmx folder moved successfully.
File/Folder C:\Documents and Settings\Cindy\Menu Démarrer\Programmes\Démarrage\feqyvmso.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Cindy
->Temp folder emptied: 2807597 bytes
->Temporary Internet Files folder emptied: 2707180 bytes
->FireFox cache emptied: 95959234 bytes
->Apple Safari cache emptied: 14336 bytes
->Flash cache emptied: 5347 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 3662701 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2785075 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 12990822 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 116,00 mb


OTM by OldTimer - Version 3.1.18.0 log created on 07022011_121316

Files moved on Reboot...

Registry entries deleted on Reboot...
0
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011
2 juil. 2011 à 12:24
j'ai été voir avec gmer, et tout est tout est encore revenu...
0
Réponse 33 / 43
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
2 juil. 2011 à 13:10
Tu peux essayer de lancer Combofix ?
0
Réponse 34 / 43
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011
2 juil. 2011 à 14:08
quand je lance combofix j'ai toujours le message d'erreur "windows ne trouve pas nircmd"

j'ai essayé stopzilla en version d'essai et il me signal ça:


-"win32.ramnit.gn3" a plusieurs emplacements
-"vundo.A7" a plusieurs emplacements
-"systeme tool 2011" a plusieurs emplacements
-"systeme policies.disableRegistryTools" a plusieurs emplacements
-"cognac" a plusieurs emplacements

il me signal comme critical et high
0
Réponse 35 / 43
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
2 juil. 2011 à 16:31
Tu peux me donner les chemins d'acces des fichiers infectés ?
0
Réponse 36 / 43
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
2 juil. 2011 à 16:35
Entre temps ,fait ceci (si tu es vraiment infecté par Ramnit ,ce ne va pas etre du gateau...)

Télécharge Dr.Web CureIt sur ton Bureau:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

* Démarre en mode sans échec.
* Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
* Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X"
* Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
* Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
* De retour à la fenêtre principale : clique pour activer "Analyse complète";
* Clique le bouton avec flèche verte sur la droite, et le scan débutera.
* Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
* Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
* Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
* Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
* Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
* Ferme Dr.Web Cureit
* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
* Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
0
Réponse 37 / 43
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011
2 juil. 2011 à 16:59
est ce que tu sais comment obtenir un rapport de stopzilla, parce qu'il y a beaucoup de chose a recopier et manuellement je risque d'y passer la journée
0
Mart70 Messages postés 28 Date d'inscription mercredi 29 juin 2011 Statut Membre Dernière intervention 2 juillet 2011
2 juil. 2011 à 17:11
rapidement:
ramnit eest présent sur plusieurs fichier.exe qui se trouve dans mes documents, et sur beaucoup de .dll
0
Réponse 38 / 43
mart70
2 juil. 2011 à 17:16
c4est vraiment la poisse, je n'arrive pas a redémarrer en mode sans échec, le pc redémarre a chaque fois que je lance la mode sans échec

c'est possible de faire tourner doc.web a partir d'un live cd?
0
Réponse 39 / 43
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
2 juil. 2011 à 17:59 
c'est possible de faire tourner doc.web a partir d'un live cd?


yes .

Dr web live CD
0
Réponse 40 / 43
mart70
3 juil. 2011 à 09:26
même le live cd, ne veux pas fonctionner, je suis découragé, je crois que je vais abandonner avant de tout passer par la fenêtre.

est ce que tu as une méthode pour sauvegarder mes fichiers photos, vidéos et musiques sur un support externe sans courir le risque de réinfecter mon pc quand je l'aurai formaté?
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Virus MSN Tinyurl
djkifkif -
matt56430 -

8 réponses