A voir également:
- Nod32 detecte c:\windows\system32\dialer.exe
- Clé usb non detecté - Guide
- Un hyperviseur a été détecté. les fonctionnalités nécessaires à hyper-v ne seront pas affichées. - Windows 11
- Un changement de réseau a été détecté - Forum Réseau
- Mon pc charge mon téléphone mais ne le détecte pas ✓ - Forum Téléphones & tablettes Android
- Pourquoi mon téléphone ne détecte pas mon casque bluetooth ✓ - Forum Casque et écouteurs
18 réponses
analyse ce ficheir sur virus total et colle le rapport: https://www.virustotal.com/gui/
c:\windows\system32\dialer.exe
______
scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
c:\windows\system32\dialer.exe
______
scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
détectés par les moteurs antivirus. Plus d'informations...
Fichier dialer.exe reçu le 2008.04.08 11:56:34 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 45 et 65 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.8.0 2008.04.08 -
AntiVir 7.6.0.81 2008.04.08 -
Authentium 4.93.8 2008.04.08 -
Avast 4.8.1169.0 2008.04.08 -
AVG 7.5.0.516 2008.04.08 -
BitDefender 7.2 2008.04.08 -
CAT-QuickHeal 9.50 2008.04.05 -
ClamAV 0.92.1 2008.04.08 -
DrWeb 4.44.0.09170 2008.04.08 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5681 2008.04.08 -
Ewido 4.0 2008.04.07 -
F-Prot 4.4.2.54 2008.04.07 -
F-Secure 6.70.13260.0 2008.04.08 -
FileAdvisor 1 2008.04.08 -
Fortinet 3.14.0.0 2008.04.07 -
Ikarus T3.1.1.26 2008.04.08 -
Kaspersky 7.0.0.125 2008.04.08 -
McAfee 5268 2008.04.07 -
Microsoft 1.3408 2008.04.06 -
NOD32v2 3009 2008.04.08 -
Norman 5.80.02 2008.04.07 -
Panda 9.0.0.4 2008.04.07 -
Prevx1 V2 2008.04.08 -
Rising 20.39.02.00 2008.04.08 -
Sophos 4.28.0 2008.04.08 -
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.08 -
TheHacker 6.2.92.267 2008.04.07 -
VBA32 3.12.6.4 2008.04.06 -
VirusBuster 4.3.26:9 2008.04.07 -
Webwasher-Gateway 6.6.2 2008.04.08 -
Information additionnelle
File size: 31232 bytes
MD5...: 75e4773cc6bc8e62144ebbeecb92e7e0
SHA1..: 7b9bf4e6ed5bc2656c39d3c8a392187ffff6f822
SHA256: e085c6b0707f775c830c60d8751bbd7198dfa5f52ac1a5a6238b74c86e9a2374
SHA512: fbf0e60da3e838359a096f39d0c42e1b51ddfe847d3f66a26219989f8898a45e
5b390983acfa6b0ee4331722aae1ae8025fd9b8c5f7f4bc85818b08f74ffc122
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x100588e
timedatestamp.....: 0x4549b75b (Thu Nov 02 09:16:11 2006)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x59f4 0x5a00 6.23 44b66fb0a5abe8fca68e5fed5144c970
.data 0x7000 0xf5c 0x200 0.91 d8141bf293e8d4256d5f3277a2d7c79a
.rsrc 0x8000 0x1198 0x1200 4.20 20301081046c968b7047f0f78ed383bd
.reloc 0xa000 0x76e 0x800 5.87 4878237cf071c64d705ad280ca7dbc35
( 7 imports )
> ADVAPI32.dll: RegSetValueExW, RegCreateKeyExW, RegQueryValueExW, RegOpenKeyExW, RegDeleteValueW, RegCloseKey
> KERNEL32.dll: lstrcmpW, GetTickCount, CloseHandle, GetLastError, CreateMutexW, HeapSetInformation, GetModuleHandleW, FormatMessageW, LocalFree, LocalAlloc, lstrlenW, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedCompareExchange, Sleep, InterlockedExchange, UnhandledExceptionFilter
> GDI32.dll: SetBkColor, GetStockObject, SelectObject, GetTextExtentPoint32W, LPtoDP
> USER32.dll: PostQuitMessage, EndPaint, FillRect, GetSysColorBrush, DrawIcon, BeginPaint, LoadIconW, TranslateAcceleratorW, IsDialogMessageW, GetMessageW, LoadAcceleratorsW, GetDlgItemTextW, ShowWindow, CreateDialogParamW, RegisterClassW, GetActiveWindow, DefDlgProcW, FindWindowW, EnableWindow, GetDlgItem, SendMessageW, SetDlgItemTextW, LoadStringW, EndDialog, MessageBoxW, DestroyWindow, WinHelpW, SendDlgItemMessageW, GetWindowRect, UpdateWindow, IsIconic, GetSysColor, GetFocus, GetParent, EnableMenuItem, IsClipboardFormatAvailable, GetClipboardData, SetForegroundWindow, TranslateMessage, DispatchMessageW, PeekMessageW, GetWindowTextLengthW, PostMessageW, SetFocus, CheckDlgButton, GetSystemMetrics, SetWindowPos, GetClientRect, GetDC, ReleaseDC, LoadCursorW, DialogBoxParamW
> msvcrt.dll: _controlfp, _except_handler4_common, _terminate@@YAXXZ, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _acmdln, exit, _XcptFilter, _exit, _cexit, __getmainargs, _wtoi, _itow, memset, wcscspn, wcsspn, memmove, _vsnwprintf, _ismbblead
> SHELL32.dll: ShellAboutW
> TAPI32.dll: lineShutdown, lineRegisterRequestRecipient, lineGetDevCapsW, lineNegotiateAPIVersion, lineGetAddressCapsW, lineDeallocateCall, lineDrop, lineGetTranslateCapsW, lineTranslateAddressW, lineTranslateDialogW, lineGetAppPriorityW, lineSetAppPriorityW, lineConfigDialogW, lineInitializeExW, lineMakeCallW, lineOpenW, lineGetRequestW, lineClose
( 0 exports )
ATTENTION: VirusTotal iest un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.
voila ,l'analyse.
Fichier dialer.exe reçu le 2008.04.08 11:56:34 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 45 et 65 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.8.0 2008.04.08 -
AntiVir 7.6.0.81 2008.04.08 -
Authentium 4.93.8 2008.04.08 -
Avast 4.8.1169.0 2008.04.08 -
AVG 7.5.0.516 2008.04.08 -
BitDefender 7.2 2008.04.08 -
CAT-QuickHeal 9.50 2008.04.05 -
ClamAV 0.92.1 2008.04.08 -
DrWeb 4.44.0.09170 2008.04.08 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5681 2008.04.08 -
Ewido 4.0 2008.04.07 -
F-Prot 4.4.2.54 2008.04.07 -
F-Secure 6.70.13260.0 2008.04.08 -
FileAdvisor 1 2008.04.08 -
Fortinet 3.14.0.0 2008.04.07 -
Ikarus T3.1.1.26 2008.04.08 -
Kaspersky 7.0.0.125 2008.04.08 -
McAfee 5268 2008.04.07 -
Microsoft 1.3408 2008.04.06 -
NOD32v2 3009 2008.04.08 -
Norman 5.80.02 2008.04.07 -
Panda 9.0.0.4 2008.04.07 -
Prevx1 V2 2008.04.08 -
Rising 20.39.02.00 2008.04.08 -
Sophos 4.28.0 2008.04.08 -
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.08 -
TheHacker 6.2.92.267 2008.04.07 -
VBA32 3.12.6.4 2008.04.06 -
VirusBuster 4.3.26:9 2008.04.07 -
Webwasher-Gateway 6.6.2 2008.04.08 -
Information additionnelle
File size: 31232 bytes
MD5...: 75e4773cc6bc8e62144ebbeecb92e7e0
SHA1..: 7b9bf4e6ed5bc2656c39d3c8a392187ffff6f822
SHA256: e085c6b0707f775c830c60d8751bbd7198dfa5f52ac1a5a6238b74c86e9a2374
SHA512: fbf0e60da3e838359a096f39d0c42e1b51ddfe847d3f66a26219989f8898a45e
5b390983acfa6b0ee4331722aae1ae8025fd9b8c5f7f4bc85818b08f74ffc122
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x100588e
timedatestamp.....: 0x4549b75b (Thu Nov 02 09:16:11 2006)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x59f4 0x5a00 6.23 44b66fb0a5abe8fca68e5fed5144c970
.data 0x7000 0xf5c 0x200 0.91 d8141bf293e8d4256d5f3277a2d7c79a
.rsrc 0x8000 0x1198 0x1200 4.20 20301081046c968b7047f0f78ed383bd
.reloc 0xa000 0x76e 0x800 5.87 4878237cf071c64d705ad280ca7dbc35
( 7 imports )
> ADVAPI32.dll: RegSetValueExW, RegCreateKeyExW, RegQueryValueExW, RegOpenKeyExW, RegDeleteValueW, RegCloseKey
> KERNEL32.dll: lstrcmpW, GetTickCount, CloseHandle, GetLastError, CreateMutexW, HeapSetInformation, GetModuleHandleW, FormatMessageW, LocalFree, LocalAlloc, lstrlenW, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedCompareExchange, Sleep, InterlockedExchange, UnhandledExceptionFilter
> GDI32.dll: SetBkColor, GetStockObject, SelectObject, GetTextExtentPoint32W, LPtoDP
> USER32.dll: PostQuitMessage, EndPaint, FillRect, GetSysColorBrush, DrawIcon, BeginPaint, LoadIconW, TranslateAcceleratorW, IsDialogMessageW, GetMessageW, LoadAcceleratorsW, GetDlgItemTextW, ShowWindow, CreateDialogParamW, RegisterClassW, GetActiveWindow, DefDlgProcW, FindWindowW, EnableWindow, GetDlgItem, SendMessageW, SetDlgItemTextW, LoadStringW, EndDialog, MessageBoxW, DestroyWindow, WinHelpW, SendDlgItemMessageW, GetWindowRect, UpdateWindow, IsIconic, GetSysColor, GetFocus, GetParent, EnableMenuItem, IsClipboardFormatAvailable, GetClipboardData, SetForegroundWindow, TranslateMessage, DispatchMessageW, PeekMessageW, GetWindowTextLengthW, PostMessageW, SetFocus, CheckDlgButton, GetSystemMetrics, SetWindowPos, GetClientRect, GetDC, ReleaseDC, LoadCursorW, DialogBoxParamW
> msvcrt.dll: _controlfp, _except_handler4_common, _terminate@@YAXXZ, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _acmdln, exit, _XcptFilter, _exit, _cexit, __getmainargs, _wtoi, _itow, memset, wcscspn, wcsspn, memmove, _vsnwprintf, _ismbblead
> SHELL32.dll: ShellAboutW
> TAPI32.dll: lineShutdown, lineRegisterRequestRecipient, lineGetDevCapsW, lineNegotiateAPIVersion, lineGetAddressCapsW, lineDeallocateCall, lineDrop, lineGetTranslateCapsW, lineTranslateAddressW, lineTranslateDialogW, lineGetAppPriorityW, lineSetAppPriorityW, lineConfigDialogW, lineInitializeExW, lineMakeCallW, lineOpenW, lineGetRequestW, lineClose
( 0 exports )
ATTENTION: VirusTotal iest un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.
voila ,l'analyse.
scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
_______________
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
_______________
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
Malwarebytes' Anti-Malware 1.11
Version de la base de données: 599
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 110067
Temps écoulé: 21 minute(s), 18 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\System32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
Version de la base de données: 599
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 110067
Temps écoulé: 21 minute(s), 18 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\System32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.11
Version de la base de données: 599
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 110067
Temps écoulé: 21 minute(s), 18 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\System32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
voila pour malwarebytes
Version de la base de données: 599
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 110067
Temps écoulé: 21 minute(s), 18 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\System32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
voila pour malwarebytes
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok
je comprends mieux!
_____
colle un hijackthis
et
Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
je comprends mieux!
_____
colle un hijackthis
et
Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:07:40, on 08/04/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal
Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\hp\support\hpsysdrv.exe
C:\hp\KBD\kbd.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\WINDOWS\RtHDVCpl.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\vVX1000.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Users\christophe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WOH4XY7S\HiJackThis[1].exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\Windows\vVX1000.exe
O4 - HKLM\..\Run: [SDTray] C:\Program Files\Spyware Doctor\SDTrayApp.exe
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ysdxcch] c:\users\christophe\appdata\local\ysdxcch.exe ysdxcch
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O13 - Gopher Prefix:
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
Scan saved at 13:07:40, on 08/04/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal
Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\hp\support\hpsysdrv.exe
C:\hp\KBD\kbd.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\WINDOWS\RtHDVCpl.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\vVX1000.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Users\christophe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WOH4XY7S\HiJackThis[1].exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\Windows\vVX1000.exe
O4 - HKLM\..\Run: [SDTray] C:\Program Files\Spyware Doctor\SDTrayApp.exe
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ysdxcch] c:\users\christophe\appdata\local\ysdxcch.exe ysdxcch
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O13 - Gopher Prefix:
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.
Télécharge maintenant Navilog1 depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter
en tant qu'administrateur".
Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.
Télécharge maintenant Navilog1 depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter
en tant qu'administrateur".
Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
essaye de telecharger a nouveau navilog:
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.
Télécharge maintenant Navilog1 depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter
en tant qu'administrateur".
Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
_________________________
sinon:
Télécharger Catchme de Gmer sur le bureau : http://www2.gmer.net/catchme.php
* Double cliquer sur le fichier catchme.exe pour lancer l'utilitaire.
* Cliquer sur Scan, Une fenêtre DOS s'ouvrira pour commencer l'analyse.
* Attendre jusqu'au message « scan completed successfully », puis fermer la fenêtre.
* Un fichier catchme.log est alors créé sur le bureau contenant le résultat de l'analyse.
et me coller le rapport
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.
Télécharge maintenant Navilog1 depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter
en tant qu'administrateur".
Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
_________________________
sinon:
Télécharger Catchme de Gmer sur le bureau : http://www2.gmer.net/catchme.php
* Double cliquer sur le fichier catchme.exe pour lancer l'utilitaire.
* Cliquer sur Scan, Une fenêtre DOS s'ouvrira pour commencer l'analyse.
* Attendre jusqu'au message « scan completed successfully », puis fermer la fenêtre.
* Un fichier catchme.log est alors créé sur le bureau contenant le résultat de l'analyse.
et me coller le rapport
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
detected NTDLL code modification:
ZwClose
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
http://www.gmer.net
detected NTDLL code modification:
ZwClose
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
* Un fichier catchme.log est alors créé sur le bureau contenant le résultat de l'analyse.
et me coller le rapport
et me coller le rapport
sinon
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
ok , j ai reussi a trouver le log dans c:\windows je la colle tout de suie et est-ce il y a encore beaucoup a faire de manip. merci :GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-04-08 16:25:46
Windows 6.0.6000
---- Kernel code sections - GMER 1.0.14 ----
? C:\Windows\system32\Drivers\mchInjDrv.sys Le fichier spécifié est introuvable. !
? C:\Users\CHRIST~1\AppData\Local\Temp\catchme.sys Le fichier spécifié est introuvable. !
---- User code sections - GMER 1.0.14 ----
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\WINDOWS\RtHDVCpl.exe[12] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\WINDOWS\RtHDVCpl.exe[12] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\WINDOWS\RtHDVCpl.exe[12] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\WINDOWS\RtHDVCpl.exe[12] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\WINDOWS\RtHDVCpl.exe[12] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\WINDOWS\RtHDVCpl.exe[12] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\WINDOWS\vVX1000.exe[360] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\WINDOWS\vVX1000.exe[360] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\WINDOWS\vVX1000.exe[360] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\WINDOWS\vVX1000.exe[360] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\WINDOWS\vVX1000.exe[360] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\WINDOWS\vVX1000.exe[360] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\hp\support\hpsysdrv.exe[368] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\hp\support\hpsysdrv.exe[368] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\hp\support\hpsysdrv.exe[368] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\hp\support\hpsysdrv.exe[368] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\hp\support\hpsysdrv.exe[368] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\hp\support\hpsysdrv.exe[368] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\hp\KBD\kbd.exe[384] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\hp\KBD\kbd.exe[384] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\hp\KBD\kbd.exe[384] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\hp\KBD\kbd.exe[384] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\hp\KBD\kbd.exe[384] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\hp\KBD\kbd.exe[384] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\hp\KBD\kbd.exe[384] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\Windows\system32\csrss.exe[444] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\Windows\system32\csrss.exe[444] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\Windows\system32\csrss.exe[444] KERNEL32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\Windows\system32\csrss.exe[444] KERNEL32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\Windows\system32\csrss.exe[444] KERNEL32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\Windows\system32\csrss.exe[444] KERNEL32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\Windows\system32\csrss.exe[444] KERNEL32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\Windows\system32\wininit.exe[488] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\Windows\system32\wininit.exe[488] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\Windows\system32\wininit.exe[488] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\Windows\system32\wininit.exe[488] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\Windows\system32\wininit.exe[488] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\Windows\system32\wininit.exe[488] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\Windows\system32\wininit.exe[488] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system
Rootkit scan 2008-04-08 16:25:46
Windows 6.0.6000
---- Kernel code sections - GMER 1.0.14 ----
? C:\Windows\system32\Drivers\mchInjDrv.sys Le fichier spécifié est introuvable. !
? C:\Users\CHRIST~1\AppData\Local\Temp\catchme.sys Le fichier spécifié est introuvable. !
---- User code sections - GMER 1.0.14 ----
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\RtHDVCpl.exe[12] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\WINDOWS\RtHDVCpl.exe[12] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\WINDOWS\RtHDVCpl.exe[12] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\WINDOWS\RtHDVCpl.exe[12] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\WINDOWS\RtHDVCpl.exe[12] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\WINDOWS\RtHDVCpl.exe[12] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\WINDOWS\RtHDVCpl.exe[12] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\WINDOWS\RtHDVCpl.exe[12] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\Program Files\Windows Defender\MSASCui.exe[316] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\Program Files\Windows Defender\MSASCui.exe[316] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\vVX1000.exe[360] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\WINDOWS\vVX1000.exe[360] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\WINDOWS\vVX1000.exe[360] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\WINDOWS\vVX1000.exe[360] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\WINDOWS\vVX1000.exe[360] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\WINDOWS\vVX1000.exe[360] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\WINDOWS\vVX1000.exe[360] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\WINDOWS\vVX1000.exe[360] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\support\hpsysdrv.exe[368] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\hp\support\hpsysdrv.exe[368] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\hp\support\hpsysdrv.exe[368] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\hp\support\hpsysdrv.exe[368] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\hp\support\hpsysdrv.exe[368] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\hp\support\hpsysdrv.exe[368] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\hp\support\hpsysdrv.exe[368] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\hp\support\hpsysdrv.exe[368] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\hp\KBD\kbd.exe[384] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\hp\KBD\kbd.exe[384] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\hp\KBD\kbd.exe[384] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\hp\KBD\kbd.exe[384] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\hp\KBD\kbd.exe[384] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\hp\KBD\kbd.exe[384] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\hp\KBD\kbd.exe[384] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\hp\KBD\kbd.exe[384] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\hkcmd.exe[416] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\WINDOWS\System32\hkcmd.exe[416] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\WINDOWS\System32\hkcmd.exe[416] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\WINDOWS\System32\igfxpers.exe[420] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\WINDOWS\System32\igfxpers.exe[420] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\WINDOWS\System32\igfxpers.exe[420] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\Program Files\HP\HP Software Update\hpwuSchd2.exe[432] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[444] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\Windows\system32\csrss.exe[444] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\Windows\system32\csrss.exe[444] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\Windows\system32\csrss.exe[444] KERNEL32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\Windows\system32\csrss.exe[444] KERNEL32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\Windows\system32\csrss.exe[444] KERNEL32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\Windows\system32\csrss.exe[444] KERNEL32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\Windows\system32\csrss.exe[444] KERNEL32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateSection + 4 7704F508 2 Bytes [ 27, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtDeleteKey 7704F804 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtDeleteKey + 4 7704F808 2 Bytes [ 0C, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtDeleteValueKey 7704F834 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtDeleteValueKey + 4 7704F838 2 Bytes [ 12, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtSetInformationFile 77050364 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtSetInformationFile + 4 77050368 2 Bytes [ 18, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtSetValueKey 770504D4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtSetValueKey + 4 770504D8 2 Bytes [ 0F, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtTerminateProcess 77050574 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtTerminateProcess + 4 77050578 2 Bytes [ 33, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtWriteFile 770506C4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtWriteFile + 4 770506C8 2 Bytes [ 15, 5F ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateUserProcess 770508A4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\wininit.exe[488] ntdll.dll!NtCreateUserProcess + 4 770508A8 2 Bytes [ 2A, 5F ]
.text C:\Windows\system32\wininit.exe[488] kernel32.dll!WriteProcessMemory 766E1C25 6 Bytes JMP 5F350F5A
.text C:\Windows\system32\wininit.exe[488] kernel32.dll!CreateDirectoryA 766E42A1 6 Bytes JMP 5F1A0F5A
.text C:\Windows\system32\wininit.exe[488] kernel32.dll!CreateDirectoryW 766FCE94 6 Bytes JMP 5F1D0F5A
.text C:\Windows\system32\wininit.exe[488] kernel32.dll!CreateDirectoryExW 767690F7 6 Bytes JMP 5F230F5A
.text C:\Windows\system32\wininit.exe[488] kernel32.dll!CreateDirectoryExA 76769FF1 6 Bytes JMP 5F200F5A
.text C:\Windows\system32\wininit.exe[488] USER32.dll!SetWindowsHookExA 76DC891A 6 Bytes JMP 5F3B0F5A
.text C:\Windows\system32\wininit.exe[488] USER32.dll!SetWindowsHookExW 76DC913D 6 Bytes JMP 5F3F0F5A
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtClose 7704F354 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtClose + 4 7704F358 2 Bytes [ 39, 5F ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateKey 7704F454 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateKey + 4 7704F458 2 Bytes [ 05, 5F ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateProcess 7704F4D4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateProcess + 4 7704F4D8 2 Bytes [ 2D, 5F ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateProcessEx 7704F4E4 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateProcessEx + 4 7704F4E8 2 Bytes [ 30, 5F ]
.text C:\Windows\system32\csrss.exe[496] ntdll.dll!NtCreateSection 7704F504 3 Bytes [ FF, 25, 1E ]
.text C:\Windows\system
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Fichier dialer.exe reçu le 2008.04.08 11:56:34 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 45 et 65 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.8.0 2008.04.08 -
AntiVir 7.6.0.81 2008.04.08 -
Authentium 4.93.8 2008.04.08 -
Avast 4.8.1169.0 2008.04.08 -
AVG 7.5.0.516 2008.04.08 -
BitDefender 7.2 2008.04.08 -
CAT-QuickHeal 9.50 2008.04.05 -
ClamAV 0.92.1 2008.04.08 -
DrWeb 4.44.0.09170 2008.04.08 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5681 2008.04.08 -
Ewido 4.0 2008.04.07 -
F-Prot 4.4.2.54 2008.04.07 -
F-Secure 6.70.13260.0 2008.04.08 -
FileAdvisor 1 2008.04.08 -
Fortinet 3.14.0.0 2008.04.07 -
Ikarus T3.1.1.26 2008.04.08 -
Kaspersky 7.0.0.125 2008.04.08 -
McAfee 5268 2008.04.07 -
Microsoft 1.3408 2008.04.06 -
NOD32v2 3009 2008.04.08 -
Norman 5.80.02 2008.04.07 -
Panda 9.0.0.4 2008.04.07 -
Prevx1 V2 2008.04.08 -
Rising 20.39.02.00 2008.04.08 -
Sophos 4.28.0 2008.04.08 -
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.08 -
TheHacker 6.2.92.267 2008.04.07 -
VBA32 3.12.6.4 2008.04.06 -
VirusBuster 4.3.26:9 2008.04.07 -
Webwasher-Gateway 6.6.2 2008.04.08 -
Information additionnelle
File size: 31232 bytes
MD5...: 75e4773cc6bc8e62144ebbeecb92e7e0
SHA1..: 7b9bf4e6ed5bc2656c39d3c8a392187ffff6f822
SHA256: e085c6b0707f775c830c60d8751bbd7198dfa5f52ac1a5a6238b74c86e9a2374
SHA512: fbf0e60da3e838359a096f39d0c42e1b51ddfe847d3f66a26219989f8898a45e
5b390983acfa6b0ee4331722aae1ae8025fd9b8c5f7f4bc85818b08f74ffc122
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x100588e
timedatestamp.....: 0x4549b75b (Thu Nov 02 09:16:11 2006)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x59f4 0x5a00 6.23 44b66fb0a5abe8fca68e5fed5144c970
.data 0x7000 0xf5c 0x200 0.91 d8141bf293e8d4256d5f3277a2d7c79a
.rsrc 0x8000 0x1198 0x1200 4.20 20301081046c968b7047f0f78ed383bd
.reloc 0xa000 0x76e 0x800 5.87 4878237cf071c64d705ad280ca7dbc35
( 7 imports )
> ADVAPI32.dll: RegSetValueExW, RegCreateKeyExW, RegQueryValueExW, RegOpenKeyExW, RegDeleteValueW, RegCloseKey
> KERNEL32.dll: lstrcmpW, GetTickCount, CloseHandle, GetLastError, CreateMutexW, HeapSetInformation, GetModuleHandleW, FormatMessageW, LocalFree, LocalAlloc, lstrlenW, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedCompareExchange, Sleep, InterlockedExchange, UnhandledExceptionFilter
> GDI32.dll: SetBkColor, GetStockObject, SelectObject, GetTextExtentPoint32W, LPtoDP
> USER32.dll: PostQuitMessage, EndPaint, FillRect, GetSysColorBrush, DrawIcon, BeginPaint, LoadIconW, TranslateAcceleratorW, IsDialogMessageW, GetMessageW, LoadAcceleratorsW, GetDlgItemTextW, ShowWindow, CreateDialogParamW, RegisterClassW, GetActiveWindow, DefDlgProcW, FindWindowW, EnableWindow, GetDlgItem, SendMessageW, SetDlgItemTextW, LoadStringW, EndDialog, MessageBoxW, DestroyWindow, WinHelpW, SendDlgItemMessageW, GetWindowRect, UpdateWindow, IsIconic, GetSysColor, GetFocus, GetParent, EnableMenuItem, IsClipboardFormatAvailable, GetClipboardData, SetForegroundWindow, TranslateMessage, DispatchMessageW, PeekMessageW, GetWindowTextLengthW, PostMessageW, SetFocus, CheckDlgButton, GetSystemMetrics, SetWindowPos, GetClientRect, GetDC, ReleaseDC, LoadCursorW, DialogBoxParamW
> msvcrt.dll: _controlfp, _except_handler4_common, _terminate@@YAXXZ, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _acmdln, exit, _XcptFilter, _exit, _cexit, __getmainargs, _wtoi, _itow, memset, wcscspn, wcsspn, memmove, _vsnwprintf, _ismbblead
> SHELL32.dll: ShellAboutW
> TAPI32.dll: lineShutdown, lineRegisterRequestRecipient, lineGetDevCapsW, lineNegotiateAPIVersion, lineGetAddressCapsW, lineDeallocateCall, lineDrop, lineGetTranslateCapsW, lineTranslateAddressW, lineTranslateDialogW, lineGetAppPriorityW, lineSetAppPriorityW, lineConfigDialogW, lineInitializeExW, lineMakeCallW, lineOpenW, lineGetRequestW, lineClose
( 0 exports )
ATTENTION: VirusTotal iest un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.