Votre question

Blue screen (Résolu)

Tags :
  • Écran bleu
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Décembre 2010 00:05:19

Bonjour, j'ai un vrai problème depuis peu a chaque fois mon ordi affiche un bluescreen subitement et l'ordi portable redemarre et c'est fatiguant j'ai cherché partout une solution j'ai rien trouvé,une fois redemarré on me sort le message suivant: Signature du problème :
Nom d’événement de problème: BlueScreen
Version du système: 6.1.7600.2.0.0.768.11
Identificateur de paramètres régionaux: 1036

Informations supplémentaires sur le problème :
BCCode: d1
BCP1: ABEFF000
BCP2: 00000002
BCP3: 00000000
BCP4: 83539741
OS Version: 6_1_7600
Service Pack: 0_0
Product: 768_1

Fichiers aidant à décrire le problème :
C:\Windows\Minidump\121110-16941-01.dmp
C:\Users\TOSHIBA\AppData\Local\Temp\WER-52915-0.sysdata.xml

Lire notre déclaration de confidentialité en ligne :
http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0...

Si la déclaration de confidentialité en ligne n’est pas disponible, lisez la version hors connexion :
C:\Windows\system32\fr-FR\erofflps.txt


Aidez moi svp

Autres pages sur : blue screen resolu

a b 8 Sécurité
12 Décembre 2010 11:46:24

Bonjour,

  • Télécharge Bluescreenview (de Nirsoft).

  • Va dans le dossier compressé, puis double-clique sur l'application pour lancer le programme. (il n'est pas nécessaire de décompresser le dossier)

  • Patiente jusqu'à ce qu'une liste de crashes s'affichent. Pour chacun des crashes, clique dessus, va dans Options > Lower Pane Mode > Bluescreen in XP style. En bas va s'afficher le contenu de l'écran bleu, copie le texte (clic droit > Copier) et colle-le dans ta prochaine réponse sur ce forum.

    Pour t'aider : Tuto sur les écrans bleus
    m
    0
    l
    12 Décembre 2010 15:52:13

    Bonjour,c'est fait,voici le message qui sort:


    A problem has been detected and Windows has been shut down to prevent damage
    to your computer.

    The problem seems to be caused by the following file: gbeuqb.sys

    DRIVER_IRQL_NOT_LESS_OR_EQUAL

    If this is the first time you've seen this stop error screen,
    restart your computer. If this screen appears again, follow
    these steps:

    Check to make sure any new hardware or software is properly installed.
    If this is a new installation, ask your hardware or software manufacturer
    for any Windows updates you might need.

    If problems continue, disable or remove any newly installed hardware
    or software. Disable BIOS memory options such as caching or shadowing.
    If you need to use safe mode to remove or disable components, restart
    your computer, press F8 to select Advanced Startup Options, and then
    select Safe Mode.

    Technical Information:

    *** STOP: 0x000000d1 (0xb0b71000, 0x00000002, 0x00000000, 0x838b6741)

    *** gbeuqb.sys - Address 0x838b6741 base at 0x838b2000 DateStamp 0x4cdfeeec

    J’espère que vous pourrez m'aider.
    Merci d'avance.

    m
    0
    l
    Contenus similaires
    a b 8 Sécurité
    12 Décembre 2010 16:04:14

    Ton ordinateur est infecté par un virus.

    Je te renvoie dans la bonne section.

    m
    0
    l
    a b 8 Sécurité
    12 Décembre 2010 16:05:00

    == Drapal ==
    m
    0
    l
    12 Décembre 2010 17:57:15

    Bonsoir
    1

    Télécharge DDS et sauvegarde-le sur ton bureau.
  • Désactive tout script bloquant, tels qu'un antivirus, un logiciel comme ad-block, noscript etc.
  • Double-clique sur dds.scr pour lancer l'outil.
  • Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
  • Clique Oui à la prochaine invite Optional Scan.
  • Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt.

    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**

    ++

    ****
    2

    Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
    Voir le tutorial GMER, ça peut peut-être t'aider : http://www.malekal.com/tutorial_GMER.php

  • Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
  • Double-clique sur le fichier GMER téléchargé.
    IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
  • Clique sur l'onglet "rootkit"
  • A droite, coche tout.
  • Clique maintenant sur Scan.
  • Lorsque le scan est terminé, clique sur Copy.
  • Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
    Le rapport doit alors apparaître.
  • Enregistre le fichier sur ton Bureau et poste le contenu ici.


    ++++++++++++++++++++++++
    +++++++++++
    m
    0
    l
    12 Décembre 2010 19:46:17

    Bonsoir,
    Une petite question pour Sham-Rock,comment je fais pour désactiver tout les scripts bloquants?
    m
    0
    l
    12 Décembre 2010 20:03:10

    re
    désactive ton antivirus, tu cliques droit sur l'icône de ton antivirus en bas à droite de ton écran et tu fais "désactiver"

    réactive-le juste après le passage de l'outil.
    :D 
    m
    0
    l
    12 Décembre 2010 21:07:35

    Re,la 1ere étape est faite,voici ce que tu m'avais demandé :

    DDS (Ver_10-12-12.02) - NTFSx86
    Run by TOSHIBA at 20:05:08,84 on 12/12/2010
    Internet Explorer: 8.0.7600.16385
    Microsoft Windows 7 Édition Starter 6.1.7600.0.1252.33.1036.18.2048.1357 [GMT 0:00]

    AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
    SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
    SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

    ============== Running Processes ===============

    C:\Windows\system32\wininit.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe -k DcomLaunch
    C:\Windows\system32\svchost.exe -k RPCSS
    C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
    C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
    C:\Windows\system32\svchost.exe -k netsvcs
    C:\Windows\system32\svchost.exe -k LocalService
    C:\Windows\system32\svchost.exe -k NetworkService
    C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\taskhost.exe
    C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
    C:\Windows\system32\svchost.exe -k imgsvc
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
    C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
    C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
    C:\Windows\System32\igfxtray.exe
    C:\Windows\System32\igfxpers.exe
    C:\Program Files\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe
    C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    C:\Program Files\Internet Haut Débit Mobile\AutoDect.exe
    C:\Program Files\Alwil Software\Avast5\AvastUI.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Windows\system32\igfxsrvc.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Program Files\Windows Media Player\wmpnetwk.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\Program Files\Google\Chrome\Application\chrome.exe
    "C:\Windows\System32\svchost.exe"
    "C:\Windows\System32\svchost.exe"
    C:\Windows\System32\svchost.exe -k secsvcs
    C:\Windows\system32\wuauclt.exe
    C:\Windows\system32\svchost.exe -k SDRSVC
    C:\Program Files\Google\Chrome\Application\chrome.exe
    C:\Program Files\Google\Chrome\Application\chrome.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\system32\vssvc.exe
    C:\Windows\System32\svchost.exe -k swprv
    c:\program files\windows defender\MpCmdRun.exe
    C:\Windows\system32\notepad.exe
    C:\Windows\system32\SearchProtocolHost.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Windows\system32\DllHost.exe
    C:\Windows\system32\DllHost.exe
    C:\Users\TOSHIBA\Downloads\dds.scr
    C:\Windows\system32\conhost.exe

    ============== Pseudo HJT Report ===============

    uStart Page = hxxp://www.plusnetwork.com
    uURLSearchHooks: Messenger Plus Live FR package Toolbar: {9c961ae2-9075-45a8-b020-75f0c8461305} - c:\program files\messenger_plus_live_fr_package\tbMess.dll
    mURLSearchHooks: Messenger Plus Live FR package Toolbar: {9c961ae2-9075-45a8-b020-75f0c8461305} - c:\program files\messenger_plus_live_fr_package\tbMess.dll
    BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
    BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
    BHO: Messenger Plus Live FR package Toolbar: {9c961ae2-9075-45a8-b020-75f0c8461305} - c:\program files\messenger_plus_live_fr_package\tbMess.dll
    TB: Messenger Plus Live FR package Toolbar: {9c961ae2-9075-45a8-b020-75f0c8461305} - c:\program files\messenger_plus_live_fr_package\tbMess.dll
    uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun
    uRun: [msnmsgr] "c:\program files\windows live\messenger\msnmsgr.exe" /background
    uRun: [zefex] c:\users\toshiba\zefex.exe /e
    uRun: [coiub] c:\users\toshiba\coiub.exe /p
    uRun: [U36VRSFLG6] c:\users\toshiba\appdata\local\temp\Pwd.exe
    uRun: [zeami] c:\users\toshiba\zeami.exe /K
    mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
    mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
    mRun: [Persistence] c:\windows\system32\igfxpers.exe
    mRun: [TWebCamera] "%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun
    mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
    mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
    mRun: [autodetect] c:\program files\internet haut débit mobile\AutoDect.exe
    mRun: [avast5] "c:\program files\alwil software\avast5\avastUI.exe" /nogui
    dRun: [U36VRSFLG6] c:\windows\temp\Pwd.exe
    dRun: [svchost] c:\windows\temp\fmeq\setup.exe
    mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
    mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
    mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
    DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    Notify: igfxcui - igfxdev.dll

    ============= SERVICES / DRIVERS ===============

    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-11-14 165584]
    R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-13 48128]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-11-14 17744]
    R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-11-14 50768]
    R2 avast! Antivirus;avast! Antivirus;c:\program files\alwil software\avast5\AvastSvc.exe [2010-11-14 40384]
    R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-7-10 122880]
    R3 PGEffect;Pangu effect driver;c:\windows\system32\drivers\PGEffect.sys [2010-10-1 24064]
    R3 RTL8167;Pilote Realtek 8167 NT;c:\windows\system32\drivers\Rt86win7.sys [2009-6-10 139776]
    R3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\drivers\rtl8192se.sys [2010-10-1 1011232]
    S2 gupdate;Service Google Update (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-10-10 136176]
    S3 avast! Mail Scanner;avast! Mail Scanner;c:\program files\alwil software\avast5\AvastSvc.exe [2010-11-14 40384]
    S3 avast! Web Scanner;avast! Web Scanner;c:\program files\alwil software\avast5\AvastSvc.exe [2010-11-14 40384]
    S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
    S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [2010-10-12 101120]
    S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2010-11-12 9216]

    =============== Created Last 30 ================

    2010-12-12 14:45:14 -------- d-----w- c:\program files\NirSoft
    2010-12-12 14:42:16 -------- d--h--w- c:\windows\AxInstSV
    2010-12-05 17:59:29 -------- d-----w- c:\program files\Ask Search Assistant
    2010-11-14 18:06:50 1000 ----a-w- c:\users\toshiba\wjaw.exe
    2010-11-14 15:20:32 50768 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2010-11-14 15:20:20 38848 ----a-w- c:\windows\avastSS.scr
    2010-11-13 16:54:04 200704 ----a-w- c:\windows\Pqexua.exe
    2010-11-13 13:31:32 169320 ----a-w- c:\progra~2\microsoft\windows\sqm\manifest\Sqm10135.bin

    ==================== Find3M ====================

    2010-10-19 10:41:44 222080 ------w- c:\windows\system32\MpSigStub.exe
    2010-09-23 00:47:28 49016 ----a-w- c:\windows\system32\sirenacm.dll
    2010-09-21 14:03:14 208768 ----a-w- c:\windows\system32\LIVESSP.DLL

    =================== ROOTKIT ====================

    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 6.1.7600 Disk: TOSHIBA_MK3263GSXN rev.GC002M -> Harddisk0\DR0 -> \Device\Ide\IdePort1 P1T0L0-1

    device: opened successfully
    user: MBR read successfully

    Disk trace:
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x862EF446]<<
    _asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x862f5504]; MOV EAX, [0x862f5580]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
    1 ntkrnlpa!IofCallDriver[0x8304E458] -> \Device\Harddisk0\DR0[0x862CB030]
    3 CLASSPNP[0x894A659E] -> ntkrnlpa!IofCallDriver[0x8304E458] -> [0x86394F08]
    \Driver\atapi[0x862D1D28] -> IRP_MJ_CREATE -> 0x862EF446
    kernel: MBR read successfully
    _asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; PUSHA ; MOV CX, 0x137; MOV BP, 0x62a; ROR BYTE [BP+0x0], CL; INC BP; }
    detected disk devices:
    \Device\Ide\IdeDeviceP1T0L0-1 -> \??\IDE#DiskTOSHIBA_MK3263GSXN______________________GC002M__#5&27973c1f&0&1.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
    detected hooks:
    user != kernel MBR !!!
    sectors 625142446 (+255): user != kernel
    Warning: possible TDL4 rootkit infection !
    TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.

    ============= FINISH: 20:05:43,11 ===============




    m
    0
    l
    12 Décembre 2010 21:30:54

    Voici le résultat de la 2éme étape,en ésperant que le problème sera réglé :

    GMER 1.0.15.15530 - http://www.gmer.net
    Rootkit scan 2010-12-12 20:27:14
    Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdePort1 TOSHIBA_MK3263GSXN rev.GC002M
    Running: pttkh6cp.exe; Driver: C:\Users\TOSHIBA\AppData\Local\Temp\pwldrfow.sys


    ---- System - GMER 1.0.15 ----

    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0x8D5C4BAE]
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0x8D5C49D2]
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwLoadDriver [0x8D5C4B0C]
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection
    Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

    ---- Kernel code sections - GMER 1.0.15 ----

    .text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 83055599 1 Byte [06]
    .text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 83079F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
    PAGE ntkrnlpa.exe!ZwLoadDriver 831B3291 7 Bytes JMP 8D5C4B10 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
    PAGE ntkrnlpa.exe!ObMakeTemporaryObject 8321AFBF 5 Bytes JMP 8D5C05D4 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
    PAGE ntkrnlpa.exe!ObInsertObject + 27 83234CF3 5 Bytes JMP 8D5C2012 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
    PAGE ntkrnlpa.exe!NtCreateSection 83242D63 7 Bytes JMP 8D5C49D6 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
    PAGE ntkrnlpa.exe!ZwCreateProcessEx 832ECEAC 7 Bytes JMP 8D5C4BB2 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
    ? System32\Drivers\gbeuqb.sys Un périphérique attaché au système ne fonctionne pas correctement. !
    ? C:\Users\TOSHIBA\AppData\Local\Temp\mbr.sys Le fichier spécifié est introuvable. !

    ---- User code sections - GMER 1.0.15 ----

    .text C:\Windows\system32\svchost.exe[948] ntdll.dll!NtProtectVirtualMemory 774D5380 5 Bytes JMP 0014000A
    .text C:\Windows\system32\svchost.exe[948] ntdll.dll!NtWriteVirtualMemory 774D5F00 5 Bytes JMP 0019000A
    .text C:\Windows\system32\svchost.exe[948] ntdll.dll!KiUserExceptionDispatcher 774D6448 5 Bytes JMP 0013000A
    .text C:\Windows\system32\svchost.exe[948] ole32.dll!CoCreateInstance 75C2590C 5 Bytes JMP 009B000A
    .text C:\Windows\system32\svchost.exe[948] USER32.dll!GetCursorPos 75F4C198 5 Bytes JMP 00E0000A
    .text C:\Program Files\Alwil Software\Avast5\AvastSvc.exe[1336] kernel32.dll!SetUnhandledExceptionFilter 75EA3162 4 Bytes [C2, 04, 00, 90] {RET 0x4; NOP }
    .text C:\Windows\Explorer.EXE[1448] ntdll.dll!NtProtectVirtualMemory 774D5380 5 Bytes JMP 0194000A
    .text C:\Windows\Explorer.EXE[1448] ntdll.dll!NtWriteVirtualMemory 774D5F00 5 Bytes JMP 0195000A
    .text C:\Windows\Explorer.EXE[1448] ntdll.dll!KiUserExceptionDispatcher 774D6448 5 Bytes JMP 017C000A
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtCreateFile + 6 774D4A36 4 Bytes [28, 00, 07, 00]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtCreateFile + B 774D4A3B 1 Byte [E2]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtMapViewOfSection + 6 774D5096 1 Byte [28]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtMapViewOfSection + 6 774D5096 4 Bytes [28, 03, 07, 00]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtMapViewOfSection + B 774D509B 1 Byte [E2]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenFile + 6 774D5146 4 Bytes [68, 00, 07, 00]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenFile + B 774D514B 1 Byte [E2]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenProcess + 6 774D51F6 4 Bytes [A8, 01, 07, 00]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenProcess + B 774D51FB 1 Byte [E2]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenProcessToken + B 774D520B 1 Byte [E2]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenProcessTokenEx + 6 774D5216 4 Bytes [A8, 02, 07, 00]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenProcessTokenEx + B 774D521B 1 Byte [E2]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenThread + 6 774D5276 4 Bytes [68, 01, 07, 00]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenThread + B 774D527B 1 Byte [E2]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenThreadToken + 6 774D5286 4 Bytes [68, 02, 07, 00]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenThreadToken + B 774D528B 1 Byte [E2]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtOpenThreadTokenEx + B 774D529B 1 Byte [E2]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtQueryAttributesFile + 6 774D53A6 4 Bytes [A8, 00, 07, 00]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtQueryAttributesFile + B 774D53AB 1 Byte [E2]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtQueryFullAttributesFile + B 774D545B 1 Byte [E2]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtSetInformationFile + 6 774D5AA6 4 Bytes [28, 01, 07, 00]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtSetInformationFile + B 774D5AAB 1 Byte [E2]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtSetInformationThread + 6 774D5B06 4 Bytes [28, 02, 07, 00]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtSetInformationThread + B 774D5B0B 1 Byte [E2]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtUnmapViewOfSection + 6 774D5E26 1 Byte [68]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtUnmapViewOfSection + 6 774D5E26 4 Bytes [68, 03, 07, 00]
    .text C:\Program Files\Google\Chrome\Application\chrome.exe[2256] ntdll.dll!NtUnmapViewOfSection + B 774D5E2B 1 Byte [E2]
    ? C:\Windows\System32\svchost.exe[2372] image checksum mismatch; number of sections mismatch; time/date stamp mismatch;
    .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2584] USER32.dll!CreateWindowExW 75F50E51 5 Bytes JMP 2806E400 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
    .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2584] ole32.dll!CoInitializeEx 75C108CC 5 Bytes JMP 2806CC20 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
    .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2584] ole32.dll!CoCreateInstance 75C2590C 5 Bytes JMP 2806D100 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
    ? C:\Windows\System32\svchost.exe[3836] image checksum mismatch; time/date stamp mismatch;

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__wgetmainargs] 0D93F9E9
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_exit] 0249E800
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_XcptFilter] 89660000
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!exit] 6608246C
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_initterm] 68004589
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_amsg_exit] 0B8E6A2F
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__setusermatherr] 4424648D
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!memcpy] 0D2001E9
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_controlfp] 46E90E00
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_except_handler4_common] 0F000D9D
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!?terminate@@YAXXZ] 0D3F7B80
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__set_app_type] 2D663F00
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__p__fmode] C166C372
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__p__commode] 8B660BC0
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_cexit] A268FE46
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 0D3F948E
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!CloseHandle] 04C65400
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 88366124
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 04C76610
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetLastError] 53CAEE24
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 0824648D
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 0D3B3BE9
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LoadLibraryExA] 66FF8400
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!InterlockedExchange] 03E1BA0F
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!Sleep] 893FD8D2
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] 836060E8
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetModuleHandleA] 669C02ED
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] C6004589
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetTickCount] 82082444
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 4424648D
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 0D1F89E9
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!DeactivateActCtx] B30F6600
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 528504D2
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ActivateActCtx] 0F02C0C0
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 24D2D2C6
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegCloseKey] FC803814
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegOpenKeyExW] 04ED83F1
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!HeapSetInformation] 0055899C
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] 04245C89
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrlenW] 34FF549C
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 24648D24
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegQueryValueExW] 1F54E914
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ReleaseActCtx] 83F5000D
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!CreateActCtxW] 648D04ED
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 820F4024
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 000004F5
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ExitProcess] 170B5268
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetProcessAffinityUpdateMode] [00458922] C:\Windows\System32\svchost.exe (Processus hôte pour les services Windows/Microsoft Corporation)
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegDisablePredefinedCacheEx] B06A689C
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 2FE90C24
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetErrorMode] F5000D1F
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObjectEx] D80166F9
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LocalFree] 2404C766
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!HeapFree] 896641EF
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] F7662404
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] C58566A5
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] CD356660
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] CEA30FE1
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 0F66F560
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlCopySid] 6601E3BA
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] 84E9C301
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlInitializeCriticalSection] 0F000001
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSetProcessIsCritical] 648DC0B6
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 820F2024
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 000D42B5
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventWrite] 8E8DC90F
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventEnabled] BC26175F
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventRegister] 850C8B52
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlFreeHeap] [004D4000] C:\Windows\System32\svchost.exe (Processus hôte pour les services Windows/Microsoft Corporation)
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] F5549AD1
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 00012DE8
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 83F89C00
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] E9F902ED
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 000D3611
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 0D3B51E8
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 0484E900
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] E9F10000
    IAT C:\Windows\System32\svchost.exe[2372] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 000D5585
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__wgetmainargs] 51EC8B55
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_exit] 1845DB51
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_XcptFilter] F855DD56
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!exit] E8084DDC
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_initterm] 000004D2
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_amsg_exit] FF184589
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__setusermatherr] 40515C15
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!memcpy] F845DD00
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_controlfp] 8B104DDC
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_except_handler4_common] 1865DAF0
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!?terminate@@YAXXZ] 0004B9E8
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__set_app_type] 8BC88B00
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__p__fmode] F74199C6
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__p__commode] C28B5EF9
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_cexit] C9184503
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 40515C15
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!CloseHandle] 244C8B00
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 748D9908
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetProcAddress] FEF70109
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetLastError] 2BC28B5E
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 244403C1
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 15FFC308
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LoadLibraryExA] [0040515C] C:\Windows\System32\svchost.exe (Processus hôte pour les services Windows/Microsoft Corporation)
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!InterlockedExchange] 04244C8B
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!Sleep] F9F74199
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] FFC3C28B
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetModuleHandleA] 40515C15
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 646A9900
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetTickCount] 33F9F759
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 24543BC0
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] C09C0F04
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!DeactivateActCtx] EC8B55C3
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 0204EC81
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ActivateActCtx] 68560000
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 515415FF
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegCloseKey] 00FFB8F0
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegOpenKeyExW] 8D500000
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!HeapSetInformation] FFFEFC8D
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] C93351FF
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrlenW] 558D5151
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 8D5052FC
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegQueryValueExW] FFFDFC85
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ReleaseActCtx] FF5150FF
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!CreateActCtxW] 40504415
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 56216A00
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] FFFC75FF
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ExitProcess] 40515815
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetProcessAffinityUpdateMode] 0CC48300
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegDisablePredefinedCacheEx] C01BD8F7
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] EC8B55C3
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 458B5151
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObjectEx] 33565308
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LocalFree] 57C88BF6
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!HeapFree] 33FC7589
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 01518DFF
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] 802974CA
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 7420063C
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] [75FF850A] C:\Windows\system32\USER32.dll (DLL client de l’API uilisateur de Windows multi-utilisateurs/Microsoft Corporation)
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 45FF470C
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlCopySid] 8506EBFC
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] 330274FF
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlInitializeCriticalSection] 46C88BFF
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSetProcessIsCritical] 8A01518D
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] DB844119
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] CA2BF975
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventWrite] D772F13B
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventEnabled] 5FFC458B
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!EtwEventRegister] C3C95B5E
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 83EC8B55
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] FF0A7500
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 45C7F845
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 000001FC
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 0C4D8B00
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] F84D3941
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 016A3275
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 15FF5750
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] [00405150] C:\Windows\System32\svchost.exe (Processus hôte pour les services Windows/Microsoft Corporation)
    IAT C:\Windows\System32\svchost.exe[3836] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerListen] EB0CC483

    ---- Devices - GMER 1.0.15 ----

    Device \FileSystem\Ntfs \Ntfs 8661A728
    Device \Driver\ACPI_HAL \Device\00000046 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

    AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
    AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

    Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP2T0L0-2 862EF292
    Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort0 862EF292
    Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort1 862EF292
    Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort2 862EF292
    Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort3 862EF292

    AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

    Device \Device\Ide\IdeDeviceP1T0L0-1 -> \??\IDE#DiskTOSHIBA_MK3263GSXN______________________GC002M__#5&27973c1f&0&1.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found

    ---- Services - GMER 1.0.15 ----

    Service (*** hidden *** ) [BOOT] gbeuqb <-- ROOTKIT !!!

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\ControlSet001\services\gbeuqb@wxroe 1599208758
    Reg HKLM\SYSTEM\ControlSet001\services\gbeuqb@Type 1
    Reg HKLM\SYSTEM\ControlSet001\services\gbeuqb@Start 0
    Reg HKLM\SYSTEM\ControlSet001\services\gbeuqb@ErrorControl 0
    Reg HKLM\SYSTEM\ControlSet001\services\gbeuqb@Group Boot Bus Extender
    Reg HKLM\SYSTEM\CurrentControlSet\services\gbeuqb@wxroe 1599208758
    Reg HKLM\SYSTEM\CurrentControlSet\services\gbeuqb@Type 1
    Reg HKLM\SYSTEM\CurrentControlSet\services\gbeuqb@Start 0
    Reg HKLM\SYSTEM\CurrentControlSet\services\gbeuqb@ErrorControl 0
    Reg HKLM\SYSTEM\CurrentControlSet\services\gbeuqb@Group Boot Bus Extender
    Reg HKLM\SYSTEM\ControlSet003\services\gbeuqb@wxroe 1599208758
    Reg HKLM\SYSTEM\ControlSet003\services\gbeuqb@Type 1
    Reg HKLM\SYSTEM\ControlSet003\services\gbeuqb@Start 0
    Reg HKLM\SYSTEM\ControlSet003\services\gbeuqb@ErrorControl 0
    Reg HKLM\SYSTEM\ControlSet003\services\gbeuqb@Group Boot Bus Extender

    ---- Disk sectors - GMER 1.0.15 ----

    Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior; TDL4 <-- ROOTKIT !!!
    Disk \Device\Harddisk0\DR0 sectors 625142192 (+255): rootkit-like behavior;

    ---- Files - GMER 1.0.15 ----

    File C:\Users\TOSHIBA\AppData\Local\Temp\udDownload.tmp (size mismatch) 3275851/0 bytes executable
    File C:\Windows\SoftwareDistribution\DataStore\Logs\tmp.edb 0 bytes

    ---- EOF - GMER 1.0.15 ----




    Merci d'avance.
    m
    0
    l
    13 Décembre 2010 21:17:23

    re
    bien vu guigui

    look:

    Citation :

    Service (*** hidden *** ) [BOOT] gbeuqb <-- ROOTKIT !!!


    mais bien plus intéressant:

    Citation :
    ---- Disk sectors - GMER 1.0.15 ----

    Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior; TDL4 <-- ROOTKIT !!!
    Disk \Device\Harddisk0\DR0 sectors 625142192 (+255): rootkit-like behavior;




    DDs le loge aussi, et c'est nouveau ;O)

    Citation :
    =================== ROOTKIT ====================

    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 6.1.7600 Disk: TOSHIBA_MK3263GSXN rev.GC002M -> Harddisk0\DR0 -> \Device\Ide\IdePort1 P1T0L0-1

    device: opened successfully
    user: MBR read successfully

    Disk trace:
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x862EF446]<<
    _asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x862f5504]; MOV EAX, [0x862f5580]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
    1 ntkrnlpa!IofCallDriver[0x8304E458] -> \Device\Harddisk0\DR0[0x862CB030]
    3 CLASSPNP[0x894A659E] -> ntkrnlpa!IofCallDriver[0x8304E458] -> [0x86394F08]
    \Driver\atapi[0x862D1D28] -> IRP_MJ_CREATE -> 0x862EF446
    kernel: MBR read successfully
    _asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; PUSHA ; MOV CX, 0x137; MOV BP, 0x62a; ROR BYTE [BP+0x0], CL; INC BP; }
    detected disk devices:
    \Device\Ide\IdeDeviceP1T0L0-1 -> \??\IDE#DiskTOSHIBA_MK3263GSXN______________________GC002M__#5&27973c1f&0&1.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
    detected hooks:
    user != kernel MBR !!!
    sectors 625142446 (+255): user != kernel
    Warning: possible TDL4 rootkit infection !
    TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.

    ============= FINISH: 20:05:43,11 ===============




    +++++++++++++++++++++++++++++++++++

    Novice000


    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs :
    ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Copie (Ctrl+C) le texte ci-dessous :

    Killall::
    Driver::
    gbeuqb

    File::
    c:\users\toshiba\zefex.exe
    c:\users\toshiba\coiub.exe
    c:\users\toshiba\appdata\local\temp\Pwd.exe
    c:\users\toshiba\zeami.exe
    c:\windows\temp\Pwd.exe
    c:\windows\temp\fmeq\setup.exe
    c:\users\toshiba\wjaw.exe
    c:\windows\Pqexua.exe

    Folder::
    c:\program files\Ask Search Assistant



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture



  • Combofix se lance, laisse toi guider..

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer

    +++++++++++++

    Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat, assures-toi que "Malicious objects" ait le statut "Cure"
  • Pour la partie "Suspicious object" clique sur "Skip" et choisi "Quarantine"
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    m
    0
    l
    a b 8 Sécurité
    13 Décembre 2010 21:40:17

    Bonsoir à vous deux,
    Sham_Rock a dit :

    Citation :
    re
    bien vu guigui

    look:

    Citation :

    Service (*** hidden *** ) [BOOT] gbeuqb <-- ROOTKIT !!!


    Ouaip [:guigui0001:4] Le fameux gbeuqb qui provoque le BSOD... Ils sont vraiment nuls ces rootkits, même des petits softs comme Bluescreenview les voient :D  Ils ne devaient pas avoir prévu ça les programmeurs du rootkit, coiffé au poteau par... Bluescreenview :ange: 

    J'avais vu qu'il n'y avait aucun résultat google sur ce driver, je me suis donc dit [:guigui0001:7] Infection ! ;) 

    Citation :


    mais bien plus intéressant:

    Citation :
    ---- Disk sectors - GMER 1.0.15 ----

    Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior; TDL4 <-- ROOTKIT !!!
    Disk \Device\Harddisk0\DR0 sectors 625142192 (+255): rootkit-like behavior;




    DDs le loge aussi, et c'est nouveau ;O)


    Ouaip, DDS évolue visiblement, infection TDL4 d'ailleurs, c'est du gros dossier, va falloir s'accrocher... MBR virolé et rootkits à gogo, bonne chance :wahoo: 


    Bonne soirée :hello: 
    m
    0
    l
    14 Décembre 2010 15:42:41

    Bonjour, voici le compte rendu de combofix:


    ComboFix 10-12-13.07 - TOSHIBA 14/12/2010 14:16:13.1.2 - x86
    Microsoft Windows 7 Édition Starter 6.1.7600.0.1252.33.1036.18.2048.1320 [GMT 0:00]
    Lancé depuis: c:\users\TOSHIBA\Downloads\ComboFix.exe
    AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
    SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
    SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\users\TOSHIBA\wjaw.exe
    c:\windows\Pqexua.exe

    .
    \\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-11-14 au 2010-12-14 ))))))))))))))))))))))))))))))))))))
    .

    2010-12-14 14:22 . 2010-12-14 14:22 -------- d-----w- c:\users\TOSHIBA\AppData\Local\temp
    2010-12-14 14:22 . 2010-12-14 14:22 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-12-12 14:45 . 2010-12-12 14:45 -------- d-----w- c:\program files\NirSoft
    2010-12-12 14:44 . 2010-12-12 14:44 -------- d-----w- c:\windows\system32\Macromed
    2010-12-12 14:42 . 2010-12-12 14:44 -------- d--h--w- c:\windows\AxInstSV
    2010-12-05 17:59 . 2010-12-05 17:59 -------- d-----w- c:\program files\Ask Search Assistant
    2010-11-14 15:20 . 2010-09-07 14:47 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2010-11-14 15:20 . 2010-09-07 14:52 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2010-11-14 15:20 . 2010-09-07 14:47 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2010-11-14 15:20 . 2010-09-07 14:52 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2010-11-14 15:20 . 2010-09-07 14:47 50768 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2010-11-14 15:20 . 2010-09-07 15:12 38848 ----a-w- c:\windows\avastSS.scr
    2010-11-14 15:20 . 2010-09-07 15:11 167592 ----a-w- c:\windows\system32\aswBoot.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-11-13 13:31 . 2010-11-13 13:31 169320 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10135.bin
    2010-10-19 10:41 . 2010-10-10 00:50 222080 ------w- c:\windows\system32\MpSigStub.exe
    2010-10-07 23:21 . 2010-11-12 14:26 6146896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{091FE2CC-3550-4B0D-BA93-C33FDB2AD6B8}\mpengine.dll
    2010-09-23 00:47 . 2010-09-23 00:47 49016 ----a-w- c:\windows\system32\sirenacm.dll
    2010-09-21 14:03 . 2010-09-21 14:03 208768 ----a-w- c:\windows\system32\LIVESSP.DLL
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{9c961ae2-9075-45a8-b020-75f0c8461305}"= "c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll" [2010-06-13 2734688]

    [HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9c961ae2-9075-45a8-b020-75f0c8461305}]
    2010-06-13 19:10 2734688 ----a-w- c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{9c961ae2-9075-45a8-b020-75f0c8461305}"= "c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll" [2010-06-13 2734688]

    [HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{9C961AE2-9075-45A8-B020-75F0C8461305}"= "c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll" [2010-06-13 2734688]

    [HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-09-23 4240760]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TWebCamera"="%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe autorun" [X]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-02 141848]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-02 174104]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-02 151064]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
    "autodetect"="c:\program files\Internet Haut Débit Mobile\AutoDect.exe" [2010-03-02 129360]
    "avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux1"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp

    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 136176]
    R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [2009-10-12 101120]
    R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2010-03-01 9216]
    S1 aswSP;aswSP; [x]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
    S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-07-10 122880]
    S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 24064]
    S3 RTL8167;Pilote Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
    S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-04-27 1011232]


    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - gbeuqb

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
    .
    Contenu du dossier 'Tâches planifiées'

    2010-12-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 12:21]

    2010-12-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 12:21]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.plusnetwork.com
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-zefex - c:\users\TOSHIBA\zefex.exe
    HKCU-Run-coiub - c:\users\TOSHIBA\coiub.exe
    HKCU-Run-zeami - c:\users\TOSHIBA\zeami.exe
    MSConfigStartUp-Metropolis - c:\windows\system32\sshnas21.dll



    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 6.1.7600 Disk: TOSHIBA_MK3263GSXN rev.GC002M -> Harddisk0\DR0 -> \Device\Ide\IdePort1 P1T0L0-1

    device: opened successfully
    user: MBR read successfully

    Disk trace:
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x864F5446]<<
    _asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x864fb504]; MOV EAX, [0x864fb580]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; }
    1 ntkrnlpa!IofCallDriver[0x8304F458] -> \Device\Harddisk0\DR0[0x864CD9A8]
    3 CLASSPNP[0x8968359E] -> ntkrnlpa!IofCallDriver[0x8304F458] -> [0x868D0290]
    \Driver\atapi[0x864D1AD8] -> IRP_MJ_CREATE -> 0x864F5446
    kernel: MBR read successfully
    _asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; PUSHA ; MOV CX, 0x137; MOV BP, 0x62a; ROR BYTE [BP+0x0], CL; INC BP; }
    detected disk devices:
    \Device\Ide\IdeDeviceP1T0L0-1 -> \??\IDE#DiskTOSHIBA_MK3263GSXN______________________GC002M__#5&27973c1f&0&1.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
    detected hooks:
    user != kernel MBR !!!
    copy of MBR has been found in sector 9 !
    sectors 625142446 (+255): user != kernel
    Warning: possible TDL4 rootkit infection !
    TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.

    **************************************************************************

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\gbeuqb]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-1388383925-1688436457-637238278-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
    @Denied: (2) (LocalSystem)
    "Progid"="WindowsLiveMail.Email.1"

    [HKEY_USERS\S-1-5-21-1388383925-1688436457-637238278-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
    @Denied: (2) (LocalSystem)
    "Progid"="WindowsLiveMail.VCard.1"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    Heure de fin: 2010-12-14 14:25:44
    ComboFix-quarantined-files.txt 2010-12-14 14:25

    Avant-CF: 296 347 119 616 octets libres
    Après-CF: 296 729 452 544 octets libres

    - - End Of File - - 565F2944623F8105DFBC408A4D18E622


    En ce qui concerne TDSSKiller,voici le rapport de suppression:

    2010/12/14 14:31:01.0210 TDSS rootkit removing tool 2.4.11.0 Dec 8 2010 14:46:40
    2010/12/14 14:31:01.0210 ================================================================================
    2010/12/14 14:31:01.0210 SystemInfo:
    2010/12/14 14:31:01.0210
    2010/12/14 14:31:01.0210 OS Version: 6.1.7600 ServicePack: 0.0
    2010/12/14 14:31:01.0210 Product type: Workstation
    2010/12/14 14:31:01.0211 ComputerName: TOSHIBA-PC
    2010/12/14 14:31:01.0212 UserName: TOSHIBA
    2010/12/14 14:31:01.0212 Windows directory: C:\Windows
    2010/12/14 14:31:01.0212 System windows directory: C:\Windows
    2010/12/14 14:31:01.0212 Processor architecture: Intel x86
    2010/12/14 14:31:01.0212 Number of processors: 2
    2010/12/14 14:31:01.0212 Page size: 0x1000
    2010/12/14 14:31:01.0212 Boot type: Normal boot
    2010/12/14 14:31:01.0212 ================================================================================
    2010/12/14 14:31:01.0445 Initialize success
    2010/12/14 14:31:10.0636 ================================================================================
    2010/12/14 14:31:10.0636 Scan started
    2010/12/14 14:31:10.0636 Mode: Manual;
    2010/12/14 14:31:10.0636 ================================================================================
    2010/12/14 14:31:11.0157 1394ohci (6d2aca41739bfe8cb86ee8e85f29697d) C:\Windows\system32\DRIVERS\1394ohci.sys
    2010/12/14 14:31:11.0291 ACPI (f0e07d144c8685b8774bc32fc8da4df0) C:\Windows\system32\DRIVERS\ACPI.sys
    2010/12/14 14:31:11.0429 AcpiPmi (98d81ca942d19f7d9153b095162ac013) C:\Windows\system32\DRIVERS\acpipmi.sys
    2010/12/14 14:31:11.0588 adp94xx (21e785ebd7dc90a06391141aac7892fb) C:\Windows\system32\DRIVERS\adp94xx.sys
    2010/12/14 14:31:11.0717 adpahci (0c676bc278d5b59ff5abd57bbe9123f2) C:\Windows\system32\DRIVERS\adpahci.sys
    2010/12/14 14:31:11.0854 adpu320 (7c7b5ee4b7b822ec85321fe23a27db33) C:\Windows\system32\DRIVERS\adpu320.sys
    2010/12/14 14:31:12.0002 AFD (ddc040fdb01ef1712a6b13e52afb104c) C:\Windows\system32\drivers\afd.sys
    2010/12/14 14:31:12.0123 agp440 (507812c3054c21cef746b6ee3d04dd6e) C:\Windows\system32\DRIVERS\agp440.sys
    2010/12/14 14:31:12.0252 aic78xx (8b30250d573a8f6b4bd23195160d8707) C:\Windows\system32\DRIVERS\djsvs.sys
    2010/12/14 14:31:12.0376 aliide (0d40bcf52ea90fc7df2aeab6503dea44) C:\Windows\system32\DRIVERS\aliide.sys
    2010/12/14 14:31:12.0499 amdagp (3c6600a0696e90a463771c7422e23ab5) C:\Windows\system32\DRIVERS\amdagp.sys
    2010/12/14 14:31:12.0615 amdide (cd5914170297126b6266860198d1d4f0) C:\Windows\system32\DRIVERS\amdide.sys
    2010/12/14 14:31:12.0735 AmdK8 (00dda200d71bac534bf56a9db5dfd666) C:\Windows\system32\DRIVERS\amdk8.sys
    2010/12/14 14:31:12.0867 AmdPPM (3cbf30f5370fda40dd3e87df38ea53b6) C:\Windows\system32\DRIVERS\amdppm.sys
    2010/12/14 14:31:12.0984 amdsata (2101a86c25c154f8314b24ef49d7fbc2) C:\Windows\system32\DRIVERS\amdsata.sys
    2010/12/14 14:31:13.0118 amdsbs (ea43af0c423ff267355f74e7a53bdaba) C:\Windows\system32\DRIVERS\amdsbs.sys
    2010/12/14 14:31:13.0238 amdxata (b81c2b5616f6420a9941ea093a92b150) C:\Windows\system32\DRIVERS\amdxata.sys
    2010/12/14 14:31:13.0362 AppID (feb834c02ce1e84b6a38f953ca067706) C:\Windows\system32\drivers\appid.sys
    2010/12/14 14:31:13.0537 arc (2932004f49677bd84dbc72edb754ffb3) C:\Windows\system32\DRIVERS\arc.sys
    2010/12/14 14:31:13.0666 arcsas (5d6f36c46fd283ae1b57bd2e9feb0bc7) C:\Windows\system32\DRIVERS\arcsas.sys
    2010/12/14 14:31:13.0803 aswFsBlk (a0d86b8ac93ef95620420c7a24ac5344) C:\Windows\system32\drivers\aswFsBlk.sys
    2010/12/14 14:31:13.0955 aswMonFlt (bd9119468c32b7ecd1e0544d3f286a73) C:\Windows\system32\drivers\aswMonFlt.sys
    2010/12/14 14:31:14.0096 aswRdr (69823954bbd461a73d69774928c9737e) C:\Windows\system32\drivers\aswRdr.sys
    2010/12/14 14:31:14.0245 aswSP (7ecc2776638b04553f9a85bd684c3abf) C:\Windows\system32\drivers\aswSP.sys
    2010/12/14 14:31:14.0387 aswTdi (095ed820a926aa8189180b305e1bcfc9) C:\Windows\system32\drivers\aswTdi.sys
    2010/12/14 14:31:14.0526 AsyncMac (add2ade1c2b285ab8378d2daaf991481) C:\Windows\system32\DRIVERS\asyncmac.sys
    2010/12/14 14:31:14.0638 atapi (338c86357871c167a96ab976519bf59e) C:\Windows\system32\DRIVERS\atapi.sys
    2010/12/14 14:31:14.0859 b06bdrv (1a231abec60fd316ec54c66715543cec) C:\Windows\system32\DRIVERS\bxvbdx.sys
    2010/12/14 14:31:14.0994 b57nd60x (bd8869eb9cde6bbe4508d869929869ee) C:\Windows\system32\DRIVERS\b57nd60x.sys
    2010/12/14 14:31:15.0145 Beep (505506526a9d467307b3c393dedaf858) C:\Windows\system32\drivers\Beep.sys
    2010/12/14 14:31:15.0305 blbdrive (2287078ed48fcfc477b05b20cf38f36f) C:\Windows\system32\DRIVERS\blbdrive.sys
    2010/12/14 14:31:15.0442 bowser (fcafaef6798d7b51ff029f99a9898961) C:\Windows\system32\DRIVERS\bowser.sys
    2010/12/14 14:31:15.0600 BrFiltLo (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\DRIVERS\BrFiltLo.sys
    2010/12/14 14:31:15.0707 BrFiltUp (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\DRIVERS\BrFiltUp.sys
    2010/12/14 14:31:15.0827 Brserid (845b8ce732e67f3b4133164868c666ea) C:\Windows\System32\Drivers\Brserid.sys
    2010/12/14 14:31:15.0949 BrSerWdm (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\System32\Drivers\BrSerWdm.sys
    2010/12/14 14:31:16.0065 BrUsbMdm (bd456606156ba17e60a04e18016ae54b) C:\Windows\System32\Drivers\BrUsbMdm.sys
    2010/12/14 14:31:16.0182 BrUsbSer (af72ed54503f717a43268b3cc5faec2e) C:\Windows\System32\Drivers\BrUsbSer.sys
    2010/12/14 14:31:16.0296 BTHMODEM (ed3df7c56ce0084eb2034432fc56565a) C:\Windows\system32\DRIVERS\bthmodem.sys
    2010/12/14 14:31:16.0534 cdfs (77ea11b065e0a8ab902d78145ca51e10) C:\Windows\system32\DRIVERS\cdfs.sys
    2010/12/14 14:31:16.0696 cdrom (ba6e70aa0e6091bc39de29477d866a77) C:\Windows\system32\DRIVERS\cdrom.sys
    2010/12/14 14:31:16.0829 circlass (3fe3fe94a34df6fb06e6418d0f6a0060) C:\Windows\system32\DRIVERS\circlass.sys
    2010/12/14 14:31:16.0969 CLFS (635181e0e9bbf16871bf5380d71db02d) C:\Windows\system32\CLFS.sys
    2010/12/14 14:31:17.0131 CmBatt (dea805815e587dad1dd2c502220b5616) C:\Windows\system32\DRIVERS\CmBatt.sys
    2010/12/14 14:31:17.0252 cmdide (c537b1db64d495b9b4717b4d6d9edbf2) C:\Windows\system32\DRIVERS\cmdide.sys
    2010/12/14 14:31:17.0408 CNG (1b675691ed940766149c93e8f4488d68) C:\Windows\system32\Drivers\cng.sys
    2010/12/14 14:31:17.0548 Compbatt (a6023d3823c37043986713f118a89bee) C:\Windows\system32\DRIVERS\compbatt.sys
    2010/12/14 14:31:17.0678 CompositeBus (f1724ba27e97d627f808fb0ba77a28a6) C:\Windows\system32\DRIVERS\CompositeBus.sys
    2010/12/14 14:31:17.0818 crcdisk (2c4ebcfc84a9b44f209dff6c6e6c61d1) C:\Windows\system32\DRIVERS\crcdisk.sys
    2010/12/14 14:31:17.0987 DfsC (8e09e52ee2e3ceb199ef3dd99cf9e3fb) C:\Windows\system32\Drivers\dfsc.sys
    2010/12/14 14:31:18.0127 discache (1a050b0274bfb3890703d490f330c0da) C:\Windows\system32\drivers\discache.sys
    2010/12/14 14:31:18.0258 Disk (565003f326f99802e68ca78f2a68e9ff) C:\Windows\system32\DRIVERS\disk.sys
    2010/12/14 14:31:18.0418 drmkaud (b918e7c5f9bf77202f89e1a9539f2eb4) C:\Windows\system32\drivers\drmkaud.sys
    2010/12/14 14:31:18.0568 DXGKrnl (8b6c3464d7fac176500061dbfff42ad4) C:\Windows\System32\drivers\dxgkrnl.sys
    2010/12/14 14:31:18.0784 ebdrv (024e1b5cac09731e4d868e64dbfb4ab0) C:\Windows\system32\DRIVERS\evbdx.sys
    2010/12/14 14:31:18.0934 elxstor (0ed67910c8c326796faa00b2bf6d9d3c) C:\Windows\system32\DRIVERS\elxstor.sys
    2010/12/14 14:31:19.0062 ErrDev (8fc3208352dd3912c94367a206ab3f11) C:\Windows\system32\DRIVERS\errdev.sys
    2010/12/14 14:31:19.0235 exfat (2dc9108d74081149cc8b651d3a26207f) C:\Windows\system32\drivers\exfat.sys
    2010/12/14 14:31:19.0381 fastfat (7e0ab74553476622fb6ae36f73d97d35) C:\Windows\system32\drivers\fastfat.sys
    2010/12/14 14:31:19.0523 fdc (e817a017f82df2a1f8cfdbda29388b29) C:\Windows\system32\DRIVERS\fdc.sys
    2010/12/14 14:31:19.0680 FileInfo (6cf00369c97f3cf563be99be983d13d8) C:\Windows\system32\drivers\fileinfo.sys
    2010/12/14 14:31:19.0797 Filetrace (42c51dc94c91da21cb9196eb64c45db9) C:\Windows\system32\drivers\filetrace.sys
    2010/12/14 14:31:19.0922 flpydisk (87907aa70cb3c56600f1c2fb8841579b) C:\Windows\system32\DRIVERS\flpydisk.sys
    2010/12/14 14:31:20.0044 FltMgr (7520ec808e0c35e0ee6f841294316653) C:\Windows\system32\drivers\fltmgr.sys
    2010/12/14 14:31:20.0192 FsDepends (1a16b57943853e598cff37fe2b8cbf1d) C:\Windows\system32\drivers\FsDepends.sys
    2010/12/14 14:31:20.0303 Fs_Rec (a574b4360e438977038aae4bf60d79a2) C:\Windows\system32\drivers\Fs_Rec.sys
    2010/12/14 14:31:20.0454 fvevol (dafbd9fe39197495aed6d51f3b85b5d2) C:\Windows\system32\DRIVERS\fvevol.sys
    2010/12/14 14:31:20.0592 gagp30kx (65ee0c7a58b65e74ae05637418153938) C:\Windows\system32\DRIVERS\gagp30kx.sys
    2010/12/14 14:31:20.0601 Suspicious service (NoAccess): gbeuqb
    2010/12/14 14:31:20.0759 gbeuqb (9c0c714d1c4af4c7da8a1d13478ebee3) C:\Windows\system32\drivers\gbeuqb.sys
    2010/12/14 14:31:20.0759 Suspicious file (NoAccess): C:\Windows\system32\drivers\gbeuqb.sys. md5: 9c0c714d1c4af4c7da8a1d13478ebee3
    2010/12/14 14:31:20.0769 gbeuqb - detected Locked service (1)
    2010/12/14 14:31:20.0935 hcw85cir (c44e3c2bab6837db337ddee7544736db) C:\Windows\system32\drivers\hcw85cir.sys
    2010/12/14 14:31:21.0061 HdAudAddService (3530cad25deba7dc7de8bb51632cbc5f) C:\Windows\system32\drivers\HdAudio.sys
    2010/12/14 14:31:21.0199 HDAudBus (717a2207fd6f13ad3e664c7d5a43c7bf) C:\Windows\system32\DRIVERS\HDAudBus.sys
    2010/12/14 14:31:21.0363 HidBatt (1d58a7f3e11a9731d0eaaaa8405acc36) C:\Windows\system32\DRIVERS\HidBatt.sys
    2010/12/14 14:31:21.0490 HidBth (89448f40e6df260c206a193a4683ba78) C:\Windows\system32\DRIVERS\hidbth.sys
    2010/12/14 14:31:21.0611 HidIr (cf50b4cf4a4f229b9f3c08351f99ca5e) C:\Windows\system32\DRIVERS\hidir.sys
    2010/12/14 14:31:21.0764 HidUsb (25072fb35ac90b25f9e4e3bacf774102) C:\Windows\system32\DRIVERS\hidusb.sys
    2010/12/14 14:31:21.0941 HpSAMD (295fdc419039090eb8b49ffdbb374549) C:\Windows\system32\DRIVERS\HpSAMD.sys
    2010/12/14 14:31:22.0082 HTTP (c531c7fd9e8b62021112787c4e2c5a5a) C:\Windows\system32\drivers\HTTP.sys
    2010/12/14 14:31:22.0355 hwdatacard (1fc7a63148e4f2bd831dab0dc732026d) C:\Windows\system32\DRIVERS\ewusbmdm.sys
    2010/12/14 14:31:22.0470 hwpolicy (8305f33cde89ad6c7a0763ed0b5a8d42) C:\Windows\system32\drivers\hwpolicy.sys
    2010/12/14 14:31:22.0629 hwusbdev (a259d3619aa23d4562581067f85e2006) C:\Windows\system32\DRIVERS\ewusbdev.sys
    2010/12/14 14:31:22.0780 i8042prt (f151f0bdc47f4a28b1b20a0818ea36d6) C:\Windows\system32\DRIVERS\i8042prt.sys
    2010/12/14 14:31:22.0910 iaStorV (934af4d7c5f457b9f0743f4299b77b67) C:\Windows\system32\DRIVERS\iaStorV.sys
    2010/12/14 14:31:23.0182 igfx (315aaaa2bc9bc778adc0454b3ca8dcce) C:\Windows\system32\DRIVERS\igdkmd32.sys
    2010/12/14 14:31:23.0344 iirsp (4173ff5708f3236cf25195fecd742915) C:\Windows\system32\DRIVERS\iirsp.sys
    2010/12/14 14:31:23.0505 IntcHdmiAddService (264632ade8127b7baa2190cf6fad435b) C:\Windows\system32\drivers\IntcHdmi.sys
    2010/12/14 14:31:23.0643 intelide (a0f12f2c9ba6c72f3987ce780e77c130) C:\Windows\system32\DRIVERS\intelide.sys
    2010/12/14 14:31:23.0783 intelppm (3b514d27bfc4accb4037bc6685f766e0) C:\Windows\system32\DRIVERS\intelppm.sys
    2010/12/14 14:31:23.0907 IpFilterDriver (709d1761d3b19a932ff0238ea6d50200) C:\Windows\system32\DRIVERS\ipfltdrv.sys
    2010/12/14 14:31:24.0061 IPMIDRV (e4454b6c37d7ffd5649611f6496308a7) C:\Windows\system32\DRIVERS\IPMIDrv.sys
    2010/12/14 14:31:24.0195 IPNAT (a5fa468d67abcdaa36264e463a7bb0cd) C:\Windows\system32\drivers\ipnat.sys
    2010/12/14 14:31:24.0328 IRENUM (42996cff20a3084a56017b7902307e9f) C:\Windows\system32\drivers\irenum.sys
    2010/12/14 14:31:24.0444 isapnp (1f32bb6b38f62f7df1a7ab7292638a35) C:\Windows\system32\DRIVERS\isapnp.sys
    2010/12/14 14:31:24.0568 iScsiPrt (ed46c223ae46c6866ab77cdc41c404b7) C:\Windows\system32\DRIVERS\msiscsi.sys
    2010/12/14 14:31:24.0707 kbdclass (adef52ca1aeae82b50df86b56413107e) C:\Windows\system32\DRIVERS\kbdclass.sys
    2010/12/14 14:31:24.0838 kbdhid (3d9f0ebf350edcfd6498057301455964) C:\Windows\system32\DRIVERS\kbdhid.sys
    2010/12/14 14:31:24.0975 KSecDD (e36a061ec11b373826905b21be10948f) C:\Windows\system32\Drivers\ksecdd.sys
    2010/12/14 14:31:25.0114 KSecPkg (365c6154bbbc5377173f1ca7bfb6cc59) C:\Windows\system32\Drivers\ksecpkg.sys
    2010/12/14 14:31:25.0274 lltdio (f7611ec07349979da9b0ae1f18ccc7a6) C:\Windows\system32\DRIVERS\lltdio.sys
    2010/12/14 14:31:25.0433 LSI_FC (eb119a53ccf2acc000ac71b065b78fef) C:\Windows\system32\DRIVERS\lsi_fc.sys
    2010/12/14 14:31:25.0563 LSI_SAS (8ade1c877256a22e49b75d1cc9161f9c) C:\Windows\system32\DRIVERS\lsi_sas.sys
    2010/12/14 14:31:25.0701 LSI_SAS2 (dc9dc3d3daa0e276fd2ec262e38b11e9) C:\Windows\system32\DRIVERS\lsi_sas2.sys
    2010/12/14 14:31:25.0989 LSI_SCSI (0a036c7d7cab643a7f07135ac47e0524) C:\Windows\system32\DRIVERS\lsi_scsi.sys
    2010/12/14 14:31:26.0126 luafv (6703e366cc18d3b6e534f5cf7df39cee) C:\Windows\system32\drivers\luafv.sys
    2010/12/14 14:31:26.0249 massfilter (59a2783aba6019bed0c843c706e10a6a) C:\Windows\system32\drivers\massfilter.sys
    2010/12/14 14:31:26.0372 megasas (0fff5b045293002ab38eb1fd1fc2fb74) C:\Windows\system32\DRIVERS\megasas.sys
    2010/12/14 14:31:26.0503 MegaSR (dcbab2920c75f390caf1d29f675d03d6) C:\Windows\system32\DRIVERS\MegaSR.sys
    2010/12/14 14:31:26.0652 Modem (f001861e5700ee84e2d4e52c712f4964) C:\Windows\system32\drivers\modem.sys
    2010/12/14 14:31:26.0803 monitor (79d10964de86b292320e9dfe02282a23) C:\Windows\system32\DRIVERS\monitor.sys
    2010/12/14 14:31:26.0968 mouclass (fb18cc1d4c2e716b6b903b0ac0cc0609) C:\Windows\system32\DRIVERS\mouclass.sys
    2010/12/14 14:31:27.0101 mouhid (2c388d2cd01c9042596cf3c8f3c7b24d) C:\Windows\system32\DRIVERS\mouhid.sys
    2010/12/14 14:31:27.0228 mountmgr (921c18727c5920d6c0300736646931c2) C:\Windows\system32\drivers\mountmgr.sys
    2010/12/14 14:31:27.0359 mpio (2af5997438c55fb79d33d015c30e1974) C:\Windows\system32\DRIVERS\mpio.sys
    2010/12/14 14:31:27.0475 mpsdrv (ad2723a7b53dd1aacae6ad8c0bfbf4d0) C:\Windows\system32\drivers\mpsdrv.sys
    2010/12/14 14:31:27.0626 MRxDAV (b1be47008d20e43da3adc37c24cdb89d) C:\Windows\system32\drivers\mrxdav.sys
    2010/12/14 14:31:27.0768 mrxsmb (f1b6aa08497ea86ca6ef6f7a08b0bfb8) C:\Windows\system32\DRIVERS\mrxsmb.sys
    2010/12/14 14:31:27.0902 mrxsmb10 (5613358b4050f46f5a9832da8050d6e4) C:\Windows\system32\DRIVERS\mrxsmb10.sys
    2010/12/14 14:31:28.0054 mrxsmb20 (25c9792778d80feb4c8201e62281bfdf) C:\Windows\system32\DRIVERS\mrxsmb20.sys
    2010/12/14 14:31:28.0176 msahci (4326d168944123f38dd3b2d9c37a0b12) C:\Windows\system32\DRIVERS\msahci.sys
    2010/12/14 14:31:28.0311 msdsm (455029c7174a2dbb03dba8a0d8bddd9a) C:\Windows\system32\DRIVERS\msdsm.sys
    2010/12/14 14:31:28.0458 Msfs (daefb28e3af5a76abcc2c3078c07327f) C:\Windows\system32\drivers\Msfs.sys
    2010/12/14 14:31:28.0568 mshidkmdf (3e1e5767043c5af9367f0056295e9f84) C:\Windows\System32\drivers\mshidkmdf.sys
    2010/12/14 14:31:28.0682 msisadrv (0a4e5757ae09fa9622e3158cc1aef114) C:\Windows\system32\DRIVERS\msisadrv.sys
    2010/12/14 14:31:28.0820 MSKSSRV (8c0860d6366aaffb6c5bb9df9448e631) C:\Windows\system32\drivers\MSKSSRV.sys
    2010/12/14 14:31:28.0947 MSPCLOCK (3ea8b949f963562cedbb549eac0c11ce) C:\Windows\system32\drivers\MSPCLOCK.sys
    2010/12/14 14:31:29.0065 MSPQM (f456e973590d663b1073e9c463b40932) C:\Windows\system32\drivers\MSPQM.sys
    2010/12/14 14:31:29.0179 MsRPC (0e008fc4819d238c51d7c93e7b41e560) C:\Windows\system32\drivers\MsRPC.sys
    2010/12/14 14:31:29.0308 mssmbios (fc6b9ff600cc585ea38b12589bd4e246) C:\Windows\system32\DRIVERS\mssmbios.sys
    2010/12/14 14:31:29.0444 MSTEE (b42c6b921f61a6e55159b8be6cd54a36) C:\Windows\system32\drivers\MSTEE.sys
    2010/12/14 14:31:29.0577 MTConfig (33599130f44e1f34631cea241de8ac84) C:\Windows\system32\DRIVERS\MTConfig.sys
    2010/12/14 14:31:29.0689 Mup (159fad02f64e6381758c990f753bcc80) C:\Windows\system32\Drivers\mup.sys
    2010/12/14 14:31:29.0857 NativeWifiP (26384429fcd85d83746f63e798ab1480) C:\Windows\system32\DRIVERS\nwifi.sys
    2010/12/14 14:31:30.0016 NDIS (23759d175a0a9baaf04d05047bc135a8) C:\Windows\system32\drivers\ndis.sys
    2010/12/14 14:31:30.0146 NdisCap (0e1787aa6c9191d3d319e8bafe86f80c) C:\Windows\system32\DRIVERS\ndiscap.sys
    2010/12/14 14:31:30.0276 NdisTapi (e4a8aec125a2e43a9e32afeea7c9c888) C:\Windows\system32\DRIVERS\ndistapi.sys
    2010/12/14 14:31:30.0398 Ndisuio (b30ae7f2b6d7e343b0df32e6c08fce75) C:\Windows\system32\DRIVERS\ndisuio.sys
    2010/12/14 14:31:30.0519 NdisWan (267c415eadcbe53c9ca873dee39cf3a4) C:\Windows\system32\DRIVERS\ndiswan.sys
    2010/12/14 14:31:30.0649 NDProxy (af7e7c63dcef3f8772726f86039d6eb4) C:\Windows\system32\drivers\NDProxy.sys
    2010/12/14 14:31:30.0773 NetBIOS (80b275b1ce3b0e79909db7b39af74d51) C:\Windows\system32\DRIVERS\netbios.sys
    2010/12/14 14:31:30.0899 NetBT (dd52a733bf4ca5af84562a5e2f963b91) C:\Windows\system32\DRIVERS\netbt.sys
    2010/12/14 14:31:31.0071 nfrd960 (1d85c4b390b0ee09c7a46b91efb2c097) C:\Windows\system32\DRIVERS\nfrd960.sys
    2010/12/14 14:31:31.0216 Npfs (1db262a9f8c087e8153d89bef3d2235f) C:\Windows\system32\drivers\Npfs.sys
    2010/12/14 14:31:31.0345 nsiproxy (e9a0a4d07e53d8fea2bb8387a3293c58) C:\Windows\system32\drivers\nsiproxy.sys
    2010/12/14 14:31:31.0510 Ntfs (3795dcd21f740ee799fb7223234215af) C:\Windows\system32\drivers\Ntfs.sys
    2010/12/14 14:31:31.0653 Null (f9756a98d69098dca8945d62858a812c) C:\Windows\system32\drivers\Null.sys
    2010/12/14 14:31:31.0768 nvraid (3f3d04b1d08d43c16ea7963954ec768d) C:\Windows\system32\DRIVERS\nvraid.sys
    2010/12/14 14:31:31.0803 nvstor (c99f251a5de63c6f129cf71933aced0f) C:\Windows\system32\DRIVERS\nvstor.sys
    2010/12/14 14:31:31.0931 nv_agp (5a0983915f02bae73267cc2a041f717d) C:\Windows\system32\DRIVERS\nv_agp.sys
    2010/12/14 14:31:32.0051 ohci1394 (08a70a1f2cdde9bb49b885cb817a66eb) C:\Windows\system32\DRIVERS\ohci1394.sys
    2010/12/14 14:31:32.0180 Parport (2ea877ed5dd9713c5ac74e8ea7348d14) C:\Windows\system32\DRIVERS\parport.sys
    2010/12/14 14:31:32.0309 partmgr (ff4218952b51de44fe910953a3e686b9) C:\Windows\system32\drivers\partmgr.sys
    2010/12/14 14:31:32.0442 Parvdm (eb0a59f29c19b86479d36b35983daadc) C:\Windows\system32\DRIVERS\parvdm.sys
    2010/12/14 14:31:32.0582 pci (c858cb77c577780ecc456a892e7e7d0f) C:\Windows\system32\DRIVERS\pci.sys
    2010/12/14 14:31:32.0709 pciide (afe86f419014db4e5593f69ffe26ce0a) C:\Windows\system32\DRIVERS\pciide.sys
    2010/12/14 14:31:32.0820 pcmcia (f396431b31693e71e8a80687ef523506) C:\Windows\system32\DRIVERS\pcmcia.sys
    2010/12/14 14:31:32.0941 pcw (250f6b43d2b613172035c6747aeeb19f) C:\Windows\system32\drivers\pcw.sys
    2010/12/14 14:31:33.0078 PEAUTH (9e0104ba49f4e6973749a02bf41344ed) C:\Windows\system32\drivers\peauth.sys
    2010/12/14 14:31:33.0238 PGEffect (1b5011dd8d57f53aed31ff0f7d635802) C:\Windows\system32\DRIVERS\pgeffect.sys
    2010/12/14 14:31:33.0403 PptpMiniport (631e3e205ad6d86f2aed6a4a8e69f2db) C:\Windows\system32\DRIVERS\raspptp.sys
    2010/12/14 14:31:33.0512 Processor (85b1e3a0c7585bc4aae6899ec6fcf011) C:\Windows\system32\DRIVERS\processr.sys
    2010/12/14 14:31:33.0647 Psched (6270ccae2a86de6d146529fe55b3246a) C:\Windows\system32\DRIVERS\pacer.sys
    2010/12/14 14:31:33.0808 ql2300 (ab95ecf1f6659a60ddc166d8315b0751) C:\Windows\system32\DRIVERS\ql2300.sys
    2010/12/14 14:31:33.0932 ql40xx (b4dd51dd25182244b86737dc51af2270) C:\Windows\system32\DRIVERS\ql40xx.sys
    2010/12/14 14:31:34.0070 QWAVEdrv (584078ca1b95ca72df2a27c336f9719d) C:\Windows\system32\drivers\qwavedrv.sys
    2010/12/14 14:31:34.0184 RasAcd (30a81b53c766d0133bb86d234e5556ab) C:\Windows\system32\DRIVERS\rasacd.sys
    2010/12/14 14:31:34.0315 RasAgileVpn (57ec4aef73660166074d8f7f31c0d4fd) C:\Windows\system32\DRIVERS\AgileVpn.sys
    2010/12/14 14:31:34.0466 Rasl2tp (d9f91eafec2815365cbe6d167e4e332a) C:\Windows\system32\DRIVERS\rasl2tp.sys
    2010/12/14 14:31:34.0595 RasPppoe (0fe8b15916307a6ac12bfb6a63e45507) C:\Windows\system32\DRIVERS\raspppoe.sys
    2010/12/14 14:31:34.0714 RasSstp (44101f495a83ea6401d886e7fd70096b) C:\Windows\system32\DRIVERS\rassstp.sys
    2010/12/14 14:31:34.0827 rdbss (835d7e81bf517a3b72384bdcc85e1ce6) C:\Windows\system32\DRIVERS\rdbss.sys
    2010/12/14 14:31:34.0948 rdpbus (0d8f05481cb76e70e1da06ee9f0da9df) C:\Windows\system32\DRIVERS\rdpbus.sys
    2010/12/14 14:31:35.0071 RDPCDD (1e016846895b15a99f9a176a05029075) C:\Windows\system32\DRIVERS\RDPCDD.sys
    2010/12/14 14:31:35.0200 RDPENCDD (5a53ca1598dd4156d44196d200c94b8a) C:\Windows\system32\drivers\rdpencdd.sys
    2010/12/14 14:31:35.0337 RDPREFMP (44b0a53cd4f27d50ed461dae0c0b4e1f) C:\Windows\system32\drivers\rdprefmp.sys
    2010/12/14 14:31:35.0457 RDPWD (801371ba9782282892d00aadb08ee367) C:\Windows\system32\drivers\RDPWD.sys
    2010/12/14 14:31:35.0586 rdyboost (4ea225bf1cf05e158853f30a99ca29a7) C:\Windows\system32\drivers\rdyboost.sys
    2010/12/14 14:31:35.0750 rspndr (032b0d36ad92b582d869879f5af5b928) C:\Windows\system32\DRIVERS\rspndr.sys
    2010/12/14 14:31:35.0890 RTL8167 (7dfd48e24479b68b258d8770121155a0) C:\Windows\system32\DRIVERS\Rt86win7.sys
    2010/12/14 14:31:36.0054 rtl8192se (8327c64e9a4d052339c16499d08f7d6c) C:\Windows\system32\DRIVERS\rtl8192se.sys
    2010/12/14 14:31:36.0211 sbp2port (34ee0c44b724e3e4ce2eff29126de5b5) C:\Windows\system32\DRIVERS\sbp2port.sys
    2010/12/14 14:31:36.0348 scfilter (a95c54b2ac3cc9c73fcdf9e51a1d6b51) C:\Windows\system32\DRIVERS\scfilter.sys
    2010/12/14 14:31:36.0522 secdrv (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
    2010/12/14 14:31:36.0664 Serenum (9ad8b8b515e3df6acd4212ef465de2d1) C:\Windows\system32\DRIVERS\serenum.sys
    2010/12/14 14:31:36.0800 Serial (5fb7fcea0490d821f26f39cc5ea3d1e2) C:\Windows\system32\DRIVERS\serial.sys
    2010/12/14 14:31:36.0916 sermouse (79bffb520327ff916a582dfea17aa813) C:\Windows\system32\DRIVERS\sermouse.sys
    2010/12/14 14:31:37.0109 sffdisk (9f976e1eb233df46fce808d9dea3eb9c) C:\Windows\system32\DRIVERS\sffdisk.sys
    2010/12/14 14:31:37.0242 sffp_mmc (932a68ee27833cfd57c1639d375f2731) C:\Windows\system32\DRIVERS\sffp_mmc.sys
    2010/12/14 14:31:37.0347 sffp_sd (4f1e5b0fe7c8050668dbfade8999aefb) C:\Windows\system32\DRIVERS\sffp_sd.sys
    2010/12/14 14:31:37.0456 sfloppy (db96666cc8312ebc45032f30b007a547) C:\Windows\system32\DRIVERS\sfloppy.sys
    2010/12/14 14:31:37.0610 sisagp (2565cac0dc9fe0371bdce60832582b2e) C:\Windows\system32\DRIVERS\sisagp.sys
    2010/12/14 14:31:37.0723 SiSRaid2 (a9f0486851becb6dda1d89d381e71055) C:\Windows\system32\DRIVERS\SiSRaid2.sys
    2010/12/14 14:31:37.0849 SiSRaid4 (3727097b55738e2f554972c3be5bc1aa) C:\Windows\system32\DRIVERS\sisraid4.sys
    2010/12/14 14:31:37.0947 Smb (3e21c083b8a01cb70ba1f09303010fce) C:\Windows\system32\DRIVERS\smb.sys
    2010/12/14 14:31:38.0092 spldr (95cf1ae7527fb70f7816563cbc09d942) C:\Windows\system32\drivers\spldr.sys
    2010/12/14 14:31:38.0252 srv (2dbedfb1853f06110ec2aa7f3213c89f) C:\Windows\system32\DRIVERS\srv.sys
    2010/12/14 14:31:38.0392 srv2 (db37131d1027c50ea7ee21c8bb4536aa) C:\Windows\system32\DRIVERS\srv2.sys
    2010/12/14 14:31:38.0520 srvnet (f5980b74124db9233b33f86fc5ebbb4f) C:\Windows\system32\DRIVERS\srvnet.sys
    2010/12/14 14:31:38.0664 stexstor (db32d325c192b801df274bfd12a7e72b) C:\Windows\system32\DRIVERS\stexstor.sys
    2010/12/14 14:31:38.0807 swenum (e58c78a848add9610a4db6d214af5224) C:\Windows\system32\DRIVERS\swenum.sys
    2010/12/14 14:31:39.0006 Tcpip (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\drivers\tcpip.sys
    2010/12/14 14:31:39.0185 TCPIP6 (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\DRIVERS\tcpip.sys
    2010/12/14 14:31:39.0312 tcpipreg (e64444523add154f86567c469bc0b17f) C:\Windows\system32\drivers\tcpipreg.sys
    2010/12/14 14:31:39.0452 TDPIPE (1875c1490d99e70e449e3afae9fcbadf) C:\Windows\system32\drivers\tdpipe.sys
    2010/12/14 14:31:39.0572 TDTCP (7551e91ea999ee9a8e9c331d5a9c31f3) C:\Windows\system32\drivers\tdtcp.sys
    2010/12/14 14:31:39.0697 tdx (cb39e896a2a83702d1737bfd402b3542) C:\Windows\system32\DRIVERS\tdx.sys
    2010/12/14 14:31:39.0823 TermDD (c36f41ee20e6999dbf4b0425963268a5) C:\Windows\system32\DRIVERS\termdd.sys
    2010/12/14 14:31:40.0002 tssecsrv (98ae6fa07d12cb4ec5cf4a9bfa5f4242) C:\Windows\system32\DRIVERS\tssecsrv.sys
    2010/12/14 14:31:40.0140 tunnel (3e461d890a97f9d4c168f5fda36e1d00) C:\Windows\system32\DRIVERS\tunnel.sys
    2010/12/14 14:31:40.0278 TVALZ (792a8b80f8188aba4b2be271583f3e46) C:\Windows\system32\DRIVERS\TVALZ_O.SYS
    2010/12/14 14:31:40.0393 uagp35 (750fbcb269f4d7dd2e420c56b795db6d) C:\Windows\system32\DRIVERS\uagp35.sys
    2010/12/14 14:31:40.0509 udfs (09cc3e16f8e5ee7168e01cf8fcbe061a) C:\Windows\system32\DRIVERS\udfs.sys
    2010/12/14 14:31:40.0653 uliagpkx (44e8048ace47befbfdc2e9be4cbc8880) C:\Windows\system32\DRIVERS\uliagpkx.sys
    2010/12/14 14:31:40.0785 umbus (049b3a50b3d646baeeee9eec9b0668dc) C:\Windows\system32\DRIVERS\umbus.sys
    2010/12/14 14:31:40.0902 UmPass (7550ad0c6998ba1cb4843e920ee0feac) C:\Windows\system32\DRIVERS\umpass.sys
    2010/12/14 14:31:41.0043 usbccgp (8455c4ed038efd09e99327f9d2d48ffa) C:\Windows\system32\DRIVERS\usbccgp.sys
    2010/12/14 14:31:41.0167 usbcir (04ec7cec62ec3b6d9354eee93327fc82) C:\Windows\system32\DRIVERS\usbcir.sys
    2010/12/14 14:31:41.0317 usbehci (1c333bfd60f2fed2c7ad5daf533cb742) C:\Windows\system32\DRIVERS\usbehci.sys
    2010/12/14 14:31:41.0451 usbhub (ee6ef93ccfa94fae8c6ab298273d8ae2) C:\Windows\system32\DRIVERS\usbhub.sys
    2010/12/14 14:31:41.0566 usbohci (a6fb7957ea7afb1165991e54ce934b74) C:\Windows\system32\DRIVERS\usbohci.sys
    2010/12/14 14:31:41.0684 usbprint (797d862fe0875e75c7cc4c1ad7b30252) C:\Windows\system32\DRIVERS\usbprint.sys
    2010/12/14 14:31:41.0795 USBSTOR (d8889d56e0d27e57ed4591837fe71d27) C:\Windows\system32\DRIVERS\USBSTOR.SYS
    2010/12/14 14:31:41.0942 usbuhci (78780c3ebce17405b1ccd07a3a8a7d72) C:\Windows\system32\DRIVERS\usbuhci.sys
    2010/12/14 14:31:42.0071 usbvideo (b5f6a992d996282b7fae7048e50af83a) C:\Windows\system32\Drivers\usbvideo.sys
    2010/12/14 14:31:42.0226 vdrvroot (a059c4c3edb09e07d21a8e5c0aabd3cb) C:\Windows\system32\DRIVERS\vdrvroot.sys
    2010/12/14 14:31:42.0363 vga (17c408214ea61696cec9c66e388b14f3) C:\Windows\system32\DRIVERS\vgapnp.sys
    2010/12/14 14:31:42.0481 VgaSave (8e38096ad5c8570a6f1570a61e251561) C:\Windows\System32\drivers\vga.sys
    2010/12/14 14:31:42.0596 vhdmp (3be6e1f3a4f1afec8cee0d7883f93583) C:\Windows\system32\DRIVERS\vhdmp.sys
    2010/12/14 14:31:42.0718 viaagp (c829317a37b4bea8f39735d4b076e923) C:\Windows\system32\DRIVERS\viaagp.sys
    2010/12/14 14:31:42.0841 ViaC7 (e02f079a6aa107f06b16549c6e5c7b74) C:\Windows\system32\DRIVERS\viac7.sys
    2010/12/14 14:31:42.0968 viaide (e43574f6a56a0ee11809b48c09e4fd3c) C:\Windows\system32\DRIVERS\viaide.sys
    2010/12/14 14:31:43.0103 volmgr (384e5a2aa49934295171e499f86ba6f3) C:\Windows\system32\DRIVERS\volmgr.sys
    2010/12/14 14:31:43.0250 volmgrx (b5bb72067ddddbbfb04b2f89ff8c3c87) C:\Windows\system32\drivers\volmgrx.sys
    2010/12/14 14:31:43.0379 volsnap (58df9d2481a56edde167e51b334d44fd) C:\Windows\system32\DRIVERS\volsnap.sys
    2010/12/14 14:31:43.0496 vsmraid (9dfa0cc2f8855a04816729651175b631) C:\Windows\system32\DRIVERS\vsmraid.sys
    2010/12/14 14:31:43.0654 vwifibus (90567b1e658001e79d7c8bbd3dde5aa6) C:\Windows\system32\DRIVERS\vwifibus.sys
    2010/12/14 14:31:43.0758 vwififlt (7090d3436eeb4e7da3373090a23448f7) C:\Windows\system32\DRIVERS\vwififlt.sys
    2010/12/14 14:31:44.0035 WacomPen (de3721e89c653aa281428c8a69745d90) C:\Windows\system32\DRIVERS\wacompen.sys
    2010/12/14 14:31:44.0137 WANARP (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
    2010/12/14 14:31:44.0168 Wanarpv6 (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
    2010/12/14 14:31:44.0320 Wd (1112a9badacb47b7c0bb0392e3158dff) C:\Windows\system32\DRIVERS\wd.sys
    2010/12/14 14:31:44.0439 Wdf01000 (9950e3d0f08141c7e89e64456ae7dc73) C:\Windows\system32\drivers\Wdf01000.sys
    2010/12/14 14:31:44.0604 WfpLwf (8b9a943f3b53861f2bfaf6c186168f79) C:\Windows\system32\DRIVERS\wfplwf.sys
    2010/12/14 14:31:44.0729 WIMMount (5cf95b35e59e2a38023836fff31be64c) C:\Windows\system32\drivers\wimmount.sys
    2010/12/14 14:31:44.0912 WmiAcpi (0217679b8fca58714c3bf2726d2ca84e) C:\Windows\system32\DRIVERS\wmiacpi.sys
    2010/12/14 14:31:45.0062 ws2ifsl (6db3276587b853bf886b69528fdb048c) C:\Windows\system32\drivers\ws2ifsl.sys
    2010/12/14 14:31:45.0218 WudfPf (6f9b6c0c93232cff47d0f72d6db1d21e) C:\Windows\system32\drivers\WudfPf.sys
    2010/12/14 14:31:45.0352 WUDFRd (f91ff1e51fca30b3c3981db7d5924252) C:\Windows\system32\DRIVERS\WUDFRd.sys
    2010/12/14 14:31:45.0493 ZTEusbmdm6k (3862318f85be7a91957ada5e814ed58c) C:\Windows\system32\DRIVERS\ZTEusbmdm6k.sys
    2010/12/14 14:31:45.0608 ZTEusbnmea (3862318f85be7a91957ada5e814ed58c) C:\Windows\system32\DRIVERS\ZTEusbnmea.sys
    2010/12/14 14:31:45.0730 ZTEusbser6k (3862318f85be7a91957ada5e814ed58c) C:\Windows\system32\DRIVERS\ZTEusbser6k.sys
    2010/12/14 14:31:45.0774 \HardDisk0 - detected Rootkit.Win32.TDSS.tdl4 (0)
    2010/12/14 14:31:45.0780 ================================================================================
    2010/12/14 14:31:45.0780 Scan finished
    2010/12/14 14:31:45.0780 ================================================================================
    2010/12/14 14:31:45.0796 Detected object count: 2
    2010/12/14 14:32:17.0811 gbeuqb (9c0c714d1c4af4c7da8a1d13478ebee3) C:\Windows\system32\drivers\gbeuqb.sys
    2010/12/14 14:32:17.0811 Suspicious file (NoAccess): C:\Windows\system32\drivers\gbeuqb.sys. md5: 9c0c714d1c4af4c7da8a1d13478ebee3
    2010/12/14 14:32:17.0819 C:\Windows\system32\drivers\gbeuqb.sys - copied to quarantine
    2010/12/14 14:32:17.0822 Locked service(gbeuqb) - User select action: Quarantine
    2010/12/14 14:32:17.0896 \HardDisk0 - will be cured after reboot
    2010/12/14 14:32:17.0897 Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Cure
    2010/12/14 14:32:34.0508 Deinitialize success


    Voila tout,ce que tu m'as demandé de faire s'est bien passé en général.
    Merci d'avance.


    m
    0
    l
    15 Décembre 2010 14:26:13

    re
    tu n'as pas fait ce que je demandais, regarde:
    Citation :
    2010/12/14 14:31:20.0601 Suspicious service (NoAccess): gbeuqb
    2010/12/14 14:31:20.0759 gbeuqb (9c0c714d1c4af4c7da8a1d13478ebee3) C:\Windows\system32\drivers\gbeuqb.sys
    2010/12/14 14:31:20.0759 Suspicious file (NoAccess): C:\Windows\system32\drivers\gbeuqb.sys. md5: 9c0c714d1c4af4c7da8a1d13478ebee3
    2010/12/14 14:31:20.0769 gbeuqb - detected Locked service (1)


    tu n'as pas fais un copié/collé du script proposé et fait le glissé/déposé comme sur l'image...

    reprends la procédure avec combofix et CFScript stp.
    Citation :
    c:\users\TOSHIBA\Downloads\ComboFix.exe

    Déplace ComboFix et mets-le sur ton bureau !


    Désactive ton antivirus et tout autre type de protection.


    Copie (Ctrl+C) le texte ci-dessous :

    Killall::
    Driver::
    gbeuqb

    File::
    c:\users\toshiba\zefex.exe
    c:\users\toshiba\coiub.exe
    c:\users\toshiba\appdata\local\temp\Pwd.exe
    c:\users\toshiba\zeami.exe
    c:\windows\temp\Pwd.exe
    c:\windows\temp\fmeq\setup.exe
    c:\users\toshiba\wjaw.exe
    c:\windows\Pqexua.exe

    Folder::
    c:\program files\Ask Search Assistant



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture



  • Combofix se lance, laisse toi guider..

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer

    +++++++++++++
    m
    0
    l
    15 Décembre 2010 15:59:17

    Re,je ne comprends pas pourtant j'ai bien suivi tout ce que tu m'as dit..je viens de refaire c'est la meme chose regarde:


    ComboFix 10-12-14.07 - TOSHIBA 15/12/2010 14:45:24.1.2 - x86
    Microsoft Windows 7 Édition Starter 6.1.7600.0.1252.33.1036.18.2048.1395 [GMT 0:00]
    Lancé depuis: c:\users\TOSHIBA\Desktop\ComboFix.exe
    Commutateurs utilisés :: c:\users\TOSHIBA\Documents\CFScript.txt
    AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
    SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
    SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

    FILE ::
    "c:\users\toshiba\appdata\local\temp\Pwd.exe"
    "c:\users\toshiba\coiub.exe"
    "c:\users\toshiba\wjaw.exe"
    "c:\users\toshiba\zeami.exe"
    "c:\users\toshiba\zefex.exe"
    "c:\windows\Pqexua.exe"
    "c:\windows\temp\fmeq\setup.exe"
    "c:\windows\temp\Pwd.exe"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\program files\Ask Search Assistant
    c:\program files\Ask Search Assistant\ask.ico
    c:\program files\Ask Search Assistant\AskSearchAsst.ini
    c:\program files\Ask Search Assistant\Install.asa.log
    c:\program files\Ask Search Assistant\uninst.exe
    c:\users\TOSHIBA\wjaw.exe
    c:\windows\Pqexua.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_GBEUQB
    -------\Service_gbeuqb


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-11-15 au 2010-12-15 ))))))))))))))))))))))))))))))))))))
    .

    2010-12-15 14:49 . 2010-12-15 14:49 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-12-14 23:05 . 2010-12-14 23:05 -------- d-----w- c:\program files\Microsoft.NET
    2010-12-14 23:04 . 2010-12-14 23:05 -------- d-----w- C:\22c82e7d0d1101c9f71b65
    2010-12-14 14:32 . 2010-12-14 14:32 -------- d-----w- C:\TDSSKiller_Quarantine
    2010-12-12 14:45 . 2010-12-12 14:45 -------- d-----w- c:\program files\NirSoft
    2010-12-12 14:44 . 2010-12-12 14:44 -------- d-----w- c:\windows\system32\Macromed
    2010-12-12 14:42 . 2010-12-12 14:44 -------- d--h--w- c:\windows\AxInstSV

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-12-15 14:50 . 2010-11-14 14:45 764416 ----a-w- c:\windows\system32\drivers\gbeuqb.sys
    2010-11-13 13:31 . 2010-11-13 13:31 169320 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10135.bin
    2010-10-19 10:41 . 2010-10-10 00:50 222080 ------w- c:\windows\system32\MpSigStub.exe
    2010-10-07 23:21 . 2010-11-12 14:26 6146896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{091FE2CC-3550-4B0D-BA93-C33FDB2AD6B8}\mpengine.dll
    2010-09-23 00:47 . 2010-09-23 00:47 49016 ----a-w- c:\windows\system32\sirenacm.dll
    2010-09-21 14:03 . 2010-09-21 14:03 208768 ----a-w- c:\windows\system32\LIVESSP.DLL
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{9c961ae2-9075-45a8-b020-75f0c8461305}"= "c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll" [2010-06-13 2734688]

    [HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9c961ae2-9075-45a8-b020-75f0c8461305}]
    2010-06-13 19:10 2734688 ----a-w- c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{9c961ae2-9075-45a8-b020-75f0c8461305}"= "c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll" [2010-06-13 2734688]

    [HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{9C961AE2-9075-45A8-B020-75F0C8461305}"= "c:\program files\Messenger_Plus_Live_FR_package\tbMess.dll" [2010-06-13 2734688]

    [HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-09-23 4240760]
    "zefex"="c:\users\TOSHIBA\zefex.exe" [BU]
    "coiub"="c:\users\TOSHIBA\coiub.exe" [BU]
    "zeami"="c:\users\TOSHIBA\zeami.exe" [BU]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TWebCamera"="%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe autorun" [X]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-02 141848]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-02 174104]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-02 151064]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
    "autodetect"="c:\program files\Internet Haut Débit Mobile\AutoDect.exe" [2010-03-02 129360]
    "avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux1"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Metropolis]
    c:\windows\system32\sshnas21.dll [BU]

    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    S1 aswSP;aswSP; [x]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]


    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
    .
    Contenu du dossier 'Tâches planifiées'

    2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 12:21]

    2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 12:21]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.plusnetwork.com
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    AddRemove-Ask.com Search Assistant - c:\program files\Ask Search Assistant\uninst.exe


    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-1388383925-1688436457-637238278-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
    @Denied: (2) (LocalSystem)
    "Progid"="WindowsLiveMail.Email.1"

    [HKEY_USERS\S-1-5-21-1388383925-1688436457-637238278-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
    @Denied: (2) (LocalSystem)
    "Progid"="WindowsLiveMail.VCard.1"

    [HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\system\ControlSet002\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Alwil Software\Avast5\AvastSvc.exe
    c:\windows\system32\taskhost.exe
    c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
    c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
    c:\windows\system32\conhost.exe
    c:\windows\system32\igfxsrvc.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\windows\system32\sppsvc.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-12-15 14:53:44 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-12-15 14:53
    ComboFix2.txt 2010-12-14 14:25

    Avant-CF: 295 461 269 504 octets libres
    Après-CF: 295 321 874 432 octets libres

    - - End Of File - - DA675415F013373DD85F1F42E5C3FECC


    J'ai bien glisser/déposer tout s'est bien dérouler...
    m
    0
    l
    15 Décembre 2010 21:22:24

    re

    ça colle bien ton truc...

    1

    Telecharge:: http://swandog46.geekstogo.com/avenger2/download.php
    http://swandog46.geekstogo.com/avenger2/avenger.zip

    • dezippe le , Lance le , executer en tant qu'administrateur sous vista



    Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:


    Begin copying here:
    Drivers to delete:
    gbeuqb
    Files to delete:
    C:\windows\system32\drivers\gbeuqb.sys


    * Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    * The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip protégé par mot de passe ici : C:\avenger\backup.zip

    2

    Copie (Ctrl+C) le texte ci-dessous :
    File::
    c:\windows\system32\drivers\gbeuqb.sys
    c:\users\TOSHIBA\zefex.exe
    c:\users\TOSHIBA\coiub.exe
    c:\users\TOSHIBA\zeami.exe
    c:\windows\system32\sshnas21.dll
    Registry::
    [-HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "zefex"=-
    "coiub"=-
    "zeami"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Metropolis]



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Combofix se lance, laisse toi guider..

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer
    m
    0
    l
    15 Décembre 2010 21:38:15

    re
    j'ai viré ton message, recommence le script avec the avenger stp :) 
    m
    0
    l
    15 Décembre 2010 21:54:49

    re,


    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows Vista

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!


    Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\gbeuqb" not found!
    Deletion of driver "gbeuqb" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist


    Error: file "C:\windows\system32\drivers\gbeuqb.sys" not found!
    Deletion of file "C:\windows\system32\drivers\gbeuqb.sys" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist


    Completed script processing.

    *******************

    Finished! Terminate.
    m
    0
    l
    16 Décembre 2010 18:57:49

    re
    tu peux faire la suite avec combofix stp... (le script que tu devais réaliser dans la foulée de the avenger...) :whistle: 
    m
    0
    l
    16 Décembre 2010 20:37:46

    Re,
    Je l'ai déjà fait 3 fois ca donne la meme chose que ce que je t'ai envoyé...
    Puis j'ai constaté que le bluescreen n'apparait plus,je ne sais pas si c'est temporaire mais je te le dis quand meme pour que tu saches si c'est une bonne chose si c'est fini ou pas.
    m
    0
    l
    17 Décembre 2010 20:58:51

    Bonsoir
    Novice000 a dit :
    Re,
    Je l'ai déjà fait 3 fois ca donne la meme chose que ce que je t'ai envoyé...
    Puis j'ai constaté que le bluescreen n'apparait plus,je ne sais pas si c'est temporaire mais je te le dis quand meme pour que tu saches si c'est une bonne chose si c'est fini ou pas.


    Tu n'as rien fait 3 fois puisque je te demande un rapport que je n'ai toujours pas... :o 
    Même si tu n'as plus de bsod, ça ne veut pas dire que c'est terminé... Je dois tout vérifier et je te dirais quand ça sera propre... Normalement, ça devrait rouler, ce que j'ai mis dans le script n'est plus là; mais j'ai besoin d'être sûr. :D  (quand ça colle comme ça, je préfère vérifier plusieurs fois)
    donc on reprend: et cette fois-ci je veux le rapport....

    Copie (Ctrl+C) le texte ci-dessous :
    File::
    c:\windows\system32\drivers\gbeuqb.sys
    c:\users\TOSHIBA\zefex.exe
    c:\users\TOSHIBA\coiub.exe
    c:\users\TOSHIBA\zeami.exe
    c:\windows\system32\sshnas21.dll
    Registry::
    [-HKEY_CLASSES_ROOT\clsid\{9c961ae2-9075-45a8-b020-75f0c8461305}]
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "zefex"=-
    "coiub"=-
    "zeami"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Metropolis]



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Combofix se lance, laisse toi guider..

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer
    m
    0
    l
    20 Décembre 2010 18:47:12

    Re,
    LE RAPPORT de ComboFix:


    ComboFix 10-12-15.04 - TOSHIBA 20/12/2010 17:33:31.3.2 - x86
    Microsoft Windows 7 Édition Starter 6.1.7600.0.1252.33.1036.18.2048.1366 [GMT 0:00]
    Lancé depuis: c:\users\TOSHIBA\Desktop\ComboFix.exe
    Commutateurs utilisés :: c:\users\TOSHIBA\Documents\CFScript.txt
    AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
    SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
    SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

    FILE ::
    "c:\users\TOSHIBA\coiub.exe"
    "c:\users\TOSHIBA\zeami.exe"
    "c:\users\TOSHIBA\zefex.exe"
    "c:\windows\system32\drivers\gbeuqb.sys"
    "c:\windows\system32\sshnas21.dll"
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-11-20 au 2010-12-20 ))))))))))))))))))))))))))))))))))))
    .

    2010-12-20 17:37 . 2010-12-20 17:37 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-12-19 18:28 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{B161B207-F7C3-46EA-879D-FE1B078E8392}\mpengine.dll
    2010-12-15 18:16 . 2010-10-12 04:25 516096 ----a-w- c:\program files\Windows Mail\wab.exe
    2010-12-15 18:16 . 2010-10-27 04:32 2048 ----a-w- c:\windows\system32\tzres.dll
    2010-12-15 18:13 . 2010-11-02 04:41 351232 ----a-w- c:\windows\system32\wmicmiplugin.dll
    2010-12-15 18:13 . 2010-11-02 04:40 496128 ----a-w- c:\windows\system32\taskschd.dll
    2010-12-15 18:13 . 2010-11-02 04:39 749056 ----a-w- c:\windows\system32\schedsvc.dll
    2010-12-15 18:13 . 2010-11-02 04:34 192000 ----a-w- c:\windows\system32\taskeng.exe
    2010-12-15 18:13 . 2010-11-02 04:40 305152 ----a-w- c:\windows\system32\taskcomp.dll
    2010-12-15 18:13 . 2010-11-02 04:34 179712 ----a-w- c:\windows\system32\schtasks.exe
    2010-12-15 18:12 . 2010-10-20 04:54 34304 ----a-w- c:\windows\system32\atmlib.dll
    2010-12-15 18:12 . 2010-10-20 02:58 294400 ----a-w- c:\windows\system32\atmfd.dll
    2010-12-15 18:12 . 2010-10-16 04:36 314368 ----a-w- c:\windows\system32\webio.dll
    2010-12-15 18:12 . 2010-10-16 04:41 101760 ----a-w- c:\windows\system32\consent.exe
    2010-12-15 18:12 . 2010-04-07 07:10 571904 ----a-w- c:\windows\system32\oleaut32.dll
    2010-12-15 18:12 . 2010-10-19 08:10 7680 ----a-w- c:\program files\Internet Explorer\iecompat.dll
    2010-12-15 18:11 . 2010-10-20 03:00 2327552 ----a-w- c:\windows\system32\win32k.sys
    2010-12-14 23:05 . 2010-12-14 23:05 -------- d-----w- c:\program files\Microsoft.NET
    2010-12-14 23:04 . 2010-12-14 23:05 -------- d-----w- C:\22c82e7d0d1101c9f71b65
    2010-12-14 14:32 . 2010-12-14 14:32 -------- d-----w- C:\TDSSKiller_Quarantine
    2010-12-12 14:45 . 2010-12-12 14:45 -------- d-----w- c:\program files\NirSoft
    2010-12-12 14:44 . 2010-12-12 14:44 -------- d-----w- c:\windows\system32\Macromed
    2010-12-12 14:42 . 2010-12-12 14:44 -------- d--h--w- c:\windows\AxInstSV

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-11-13 13:31 . 2010-11-13 13:31 169320 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10135.bin
    2010-10-19 10:41 . 2010-10-10 00:50 222080 ------w- c:\windows\system32\MpSigStub.exe
    2010-09-23 00:47 . 2010-09-23 00:47 49016 ----a-w- c:\windows\system32\sirenacm.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-09-23 4240760]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TWebCamera"="%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe autorun" [X]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-02 141848]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-02 174104]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-02 151064]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
    "autodetect"="c:\program files\Internet Haut Débit Mobile\AutoDect.exe" [2010-03-02 129360]
    "avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux1"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp

    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 136176]
    R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [2009-10-12 101120]
    R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2010-03-01 9216]
    S1 aswSP;aswSP; [x]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
    S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-07-10 122880]
    S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 24064]
    S3 RTL8167;Pilote Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
    S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-04-27 1011232]


    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
    .
    Contenu du dossier 'Tâches planifiées'

    2010-12-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 12:21]

    2010-12-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-10-10 12:21]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.plusnetwork.com
    .
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-1388383925-1688436457-637238278-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
    @Denied: (2) (LocalSystem)
    "Progid"="WindowsLiveMail.Email.1"

    [HKEY_USERS\S-1-5-21-1388383925-1688436457-637238278-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
    @Denied: (2) (LocalSystem)
    "Progid"="WindowsLiveMail.VCard.1"

    [HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\system\ControlSet002\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    Heure de fin: 2010-12-20 17:39:29
    ComboFix-quarantined-files.txt 2010-12-20 17:39
    ComboFix2.txt 2010-12-15 20:45
    ComboFix3.txt 2010-12-15 14:53
    ComboFix4.txt 2010-12-14 14:25

    Avant-CF: 295 605 264 384 octets libres
    Après-CF: 295 541 325 824 octets libres

    - - End Of File - - 9A77D181911F8D618DAE00B37B61B450
    m
    0
    l
    21 Décembre 2010 10:12:35

    Bonjour
    comment se comporte ton pc?
    m
    0
    l
    21 Décembre 2010 15:52:01

    Bonjour,
    Et bien il est normal il ne s'éteint plus automatiquement et fonctionne bien! Il est guéri cette fois? :D 
    m
    0
    l
    21 Décembre 2010 22:43:05

    Désinstalle combofix en suivant cette procédure:

  • Menu démarrer puis exécuter
  • Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.





    Supprime tous les programmes installés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!


    ~Edite ton premier message et marque [résolu] dans le titre.
    Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.

    :hello: 
    m
    0
    l
    a b 8 Sécurité
    22 Décembre 2010 11:53:02

    Salut,

    Juste une question par rapport à cette désinfection, le MBR était infecté, pourtant tu n'as pas fait passer Bootkit Remover ; quel outil a fait le boulot de supprimer le rootkit MBR ? Merci d'avance :) 
    m
    0
    l
    22 Décembre 2010 14:47:51

    'llo
    Citation :
    .
    \\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected

    :love: 

    m
    0
    l
    a b 8 Sécurité
    22 Décembre 2010 15:29:48

    Arf, il est trop fort ce combofix :D 

    Merci bien

    @+
    m
    0
    l
    22 Janvier 2011 11:19:05

    J'ai eu le mm pb que novice0000, j'ai lancé TDSSKiller, mais après l'avoir démarré il me dit:
    System scan completed
    infection: not found

    Du coup je ne sais plus trop quoi faire et à quoi est dû le blue screen...
    m
    0
    l
    22 Janvier 2011 11:28:37

    Salut!!!

    Moi je pensai avoir le mm pb que novice000 et je ne voulais pas vous faire perdre votre temps si çà avait été le cas, mais il se trouve qu'après avoir fait toutes les étapes TDSSKiller me dit qu'après ananalyse:
    Infection: not found
    Du coup je medemande si c'est bien le mm soucis, pourtant au bout de 20min d'utilisation j'ai un bluescreen (voire mm au bout de 2min après le démarrage de windows 7)
    Tout ce que j'ai le temps de noter avant le redémarrage c'est: DRIVER_IQRL_NOT_LESS_OR_EQUAL
    Merci de me donner un coup de pouce, parce que je viens tout juste de reçevoir cet ordi (il y a seulement qlq jours), et j'ai installé l'antivirus presqu'aussitôt (spyware doctor), alors je ne comprends pas bien ce que j'ai mal fait...

    Merciiiiii
    m
    0
    l
    a b 8 Sécurité
    22 Janvier 2011 12:44:46

    Il faut créer ton propre sujet :) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS