Code : Tout sélectionner
1256474348.390 965 192.168.1.26 TCP_MISS/200 19784 GET http://freemaniya.cn/zuza/exe.php - DIRECT/91.213.126.91 application/octet-stream
1256474356.919 326 192.168.1.26 TCP_MISS/200 143703 GET http://analitikall.cn/cp/tasksz.php?load=0cd9edc60238517be569f7dabc4e5272&id=19 - DIRECT/91.213.126.91 application/x-msdownload
1256474357.538 203 192.168.1.26 TCP_MISS/200 32598 GET http://analitikall.cn/cp/tasksz.php?load=cb7232706287a228b30a4dfeffe19a54&id=18 - DIRECT/91.213.126.91 application/x-msdownload
1256474358.117 254 192.168.1.26 TCP_MISS/200 27328 GET http://analitikall.cn/cp/tasksz.php?load=e6d032c1c19571d1c08562565fb6bfdc&id=26 - DIRECT/91.213.126.91 application/x-msdownload
1256474358.660 266 192.168.1.26 TCP_MISS/200 77654 GET http://analitikall.cn/cp/tasksz.php?load=b37db960f675afc5994eac13c047342b&id=3 - DIRECT/91.213.126.91 application/x-msdownload
1256474360.115 203 192.168.1.26 TCP_MISS/200 29526 GET http://analitikall.cn/cp/tasksz.php?load=0ce5c0f17ecb27f185065dfd14bf28c4&id=20 - DIRECT/91.213.126.91 application/x-msdownload
1256474427.407 583 192.168.1.90 TCP_MISS/200 49483 GET http://tapiroten.info/lin.cgi?SyXRYSuSKWKKZKeKKYgYluSiFWKeuXXKRYYgKYjRSiKKRgKKKjKKKuKKKKKKKKKYK0 - DIRECT/216.150.79.76 application/octet-stream
Dans le pack ci-dessus, on trouve :O4 - HKLM\..\Run: [MsXSLT] C:\WINDOWS\system32\msxslt3.exe
O4 - HKLM\..\Run: [restorer64_a] C:\WINDOWS\system32\restorer64_a.exe
O4 - HKCU\..\Run: [restorer64_a] C:\Documents and Settings\Malekal_morte\restorer64_a.exe
- msxslt3.exe = Backdoor.Win32.Goolbot.xxxx / Trojan.Win32.Scar
- un rootkit est aussi présent avec le driver win32x.sys (voir Rapport GMER plus bas).
restorer64_a.exe = Backdoor.Win32.HareBot - Le fichier userinit.exe est remplacé/patché ( voir http://forum.malekal.com/infection-user ... ml#p178579 )- même problématique que sur ce topic : http://forum.malekal.com/virus-msn-win3 ... ml#p143303 - Cependant, ce n'est pas tout à fait le même fonctionnement, si avant le fichier userinit.exe était copié sous un autre nom, la version infectieuse du userinit.exe chargée cette version afin que la session puisse démarrer.La version userinit.exe infectieuse est maintenant masquée et impossible à voir depuis l'explorateur de fichiers (et certaines aussi pour certains antivirus).
Dans la capture ci-dessus, on voit bien que userinit.exe n'a même pas de description et que win32x.exe est une copie de userinit.exe qui charge les processus de l'utilisateur au démarrage de la session.
userinit.exe (infectieux) est masqué, catchme ou GMER permet de le révéler :catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http:/
/www.gmer.net
Rootkit scan 2009-10-25 23:59:23
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\win32x]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\drivers\win32x.sys"
"DisplayName"="win32x"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\win32x\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\win32x]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\drivers\win32x.sys"
"DisplayName"="win32x"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\win32x\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
scanning hidden registry entries ...
scanning hidden files ...
C:\WINDOWS\system32\drivers\win32x.sys 12544 bytes executable
C:\WINDOWS\system32\userinit.exe 78848 bytes executable
C:\WINDOWS\system32\win32x.exe 24576 bytes executable
scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 3 - Backdoor.Win32.HareBot est malware qui permet de prendre le controle du PC (notion de Botnet/PC Zombi), il permet aussi de télécharger de nouveaux malwares,
Backdoor.Win32.HareBot charge pour cela le processus svchost.exe
Il n'est pas nouveau mais depuis 2 mois il est extrement courant notamment il téléchargait et installé le rogue/Scareware Security Tools
- Le malware Daurso - ex http://forum.malekal.com/ordinateur-inf ... 21515.html et http://forum.malekal.com/pws-win32-daurso-t20096.html et http://forum.malekal.com/ordinateur-inf ... 21515.html
- Tedroo/Worm.Jolee
~~~File VT08090212080-000001 received on 2009.09.30 02:31:12 (UTC)
Current status: finished
Result: 36/41 (87.80%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.30 Trojan-Mailfinder!IK
AhnLab-V3 5.0.0.2 2009.09.29 Win-Trojan/Agent.12544.D
AntiVir 7.9.1.27 2009.09.29 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2009.09.30 Trojan/Win32.Agent.gen
Authentium 5.1.2.4 2009.09.30 W32/SYStroj.N.gen!Eldorado
Avast 4.8.1351.0 2009.09.29 Win32:Rootkit-gen
AVG 8.5.0.412 2009.09.29 Generic11.ADSJ
BitDefender 7.2 2009.09.30 Trojan.Generic.754175
CAT-QuickHeal 10.00 2009.09.29 TrojanMailfinder.Agent.th
ClamAV 0.94.1 2009.09.29 -
Comodo 2469 2009.09.29 TrojWare.Win32.Mailfinder.Agent.th
DrWeb 5.0.0.12182 2009.09.30 Trojan.NtRootKit.1601
eSafe 7.0.17.0 2009.09.29 -
eTrust-Vet 31.6.6768 2009.09.29 Win32/Clstealth.O
F-Prot 4.5.1.85 2009.09.30 W32/SYStroj.N.gen!Eldorado
F-Secure 8.0.14470.0 2009.09.30 Trojan-Mailfinder.Win32.Agent.th
Fortinet 3.120.0.0 2009.09.29 W32/Agent.ZEX!tr
GData 19 2009.09.30 Trojan.Generic.754175
Ikarus T3.1.1.72.0 2009.09.30 Trojan-Mailfinder
Jiangmin 11.0.800 2009.09.27 TrojanSpy.Agent.hri
K7AntiVirus 7.10.856 2009.09.29 Trojan-Mailfinder.Win32.Agent
Kaspersky 7.0.0.125 2009.09.30 Trojan-Mailfinder.Win32.Agent.th
McAfee 5756 2009.09.29 Generic Spy.e
McAfee+Artemis 5756 2009.09.29 Generic Spy.e
McAfee-GW-Edition 6.8.5 2009.09.30 Heuristic.BehavesLike.Win32.Trojan.L
Microsoft 1.5005 2009.09.23 Trojan:Win32/Trafog!rts
NOD32 4468 2009.09.29 Win32/SpamTool.Agent.NBP
Norman 6.01.09 2009.09.29 W32/Rootkit.ASOG
nProtect 2009.1.8.0 2009.09.29 -
Panda 10.0.2.2 2009.09.29 Rootkit/Mailfinder.N
PCTools 4.4.2.0 2009.09.29 Trojan.Mailfinder.DC
Prevx 3.0 2009.09.30 Medium Risk Malware
Rising 21.49.20.00 2009.09.30 RootKit.Win32.Nodef.di
Sophos 4.45.0 2009.09.30 Troj/Agent-IXW
Sunbelt 3.2.1858.2 2009.09.30 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.09.30 Hacktool.Rootkit
TheHacker 6.5.0.2.022 2009.09.30 -
TrendMicro 8.950.0.1094 2009.09.30 TROJ_MAILFIND.BK
VBA32 3.12.10.11 2009.09.29 Trojan-Mailfinder.Win32.Agent.th
ViRobot 2009.9.29.1963 2009.09.29 Trojan.Win32.Agent.12544.B
VirusBuster 4.6.5.0 2009.09.29 -
Additional information
File size: 12544 bytes
File restorer64_a.exe received on 2009.10.25 10:28:23 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 12/41 (29.27%)
Loading server information...
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.25 Backdoor.Win32.HareBot!IK
AhnLab-V3 5.0.0.2 2009.10.23 -
AntiVir 7.9.1.44 2009.10.23 -
Antiy-AVL 2.0.3.7 2009.10.23 -
Authentium 5.1.2.4 2009.10.24 -
Avast 4.8.1351.0 2009.10.25 -
AVG 8.5.0.423 2009.10.25 -
BitDefender 7.2 2009.10.25 -
CAT-QuickHeal 10.00 2009.10.24 -
ClamAV 0.94.1 2009.10.25 -
Comodo 2724 2009.10.25 -
DrWeb 5.0.0.12182 2009.10.25 Trojan.DownLoad.41506
eSafe 7.0.17.0 2009.10.22 -
eTrust-Vet 35.1.7082 2009.10.23 -
F-Prot 4.5.1.85 2009.10.24 -
F-Secure 9.0.15370.0 2009.10.22 -
Fortinet 3.120.0.0 2009.10.25 W32/Agent.LNY!tr
GData 19 2009.10.25 -
Ikarus T3.1.1.72.0 2009.10.25 Backdoor.Win32.HareBot
Jiangmin 11.0.800 2009.10.24 Backdoor/HareBot.ek
K7AntiVirus 7.10.879 2009.10.24 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.10.25 Backdoor.Win32.HareBot.rl
McAfee 5781 2009.10.24 -
McAfee+Artemis 5781 2009.10.24 -
McAfee-GW-Edition 6.8.5 2009.10.25 -
Microsoft 1.5202 2009.10.25 -
NOD32 4539 2009.10.24 Win32/Wigon.HT
Norman 6.03.02 2009.10.23 -
nProtect 2009.1.8.0 2009.10.25 -
Panda 10.0.2.2 2009.10.25 Suspicious file
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.25 High Risk System Back Door
Rising 21.52.62.00 2009.10.25 -
Sophos 4.46.0 2009.10.25 Troj/Agent-LNY
Sunbelt 3.2.1858.2 2009.10.24 -
Symantec 1.4.4.12 2009.10.25 -
TheHacker 6.5.0.2.053 2009.10.24 -
TrendMicro 8.950.0.1094 2009.10.25 -
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.23.2003 2009.10.23 Backdoor.Win32.HareBot.26986
VirusBuster 4.6.5.0 2009.10.24 -
Additional information
File size: 26986 bytes
MD5...: c79b6b338e451df5c60d7da6fd534a74
SHA1..: 0108576e4eb9dd9223b5941504e32db3a6e65360
MD5 : f60f2d932b43b5ff7684c2d28ae0193d
SHA1 : b0e4defcd577f611173fc570e92e431a23ddd440
~~~
Rapport GMER
Topic lié : Trojan.Win32.Scar / Email-Worm.Win32.Gibon : msxslt3.exeGMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-10-25 02:49:43
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT \??\C:\WINDOWS\system32\drivers\win32x.sys ZwClose [0xF80168A0] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\win32x.sys ZwCreateKey [0xF8016740] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\win32x.sys ZwEnumerateKey [0xF8016550] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\drivers\win32x.sys ZwOpenKey [0xF8016650] <-- ROOTKIT !!!
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\Drivers\PROCEXP100.SYS The system cannot find the file specified. !
---- User code sections - GMER 1.0.15 ----
? C:\WINDOWS\System32\svchost.exe[988] image checksum mismatch; time/date stamp mismatch;
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 64C03356
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 000030A1
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 0C408B00
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] AD1C708B
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] 5E08408B
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] CCCCCCC3
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] CCCCCCCC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] CCCCCCCC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] 53EC8B55
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 558B5756
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 8BDA8B08
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] FA033C7A
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 503F8166
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 03547545
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] FCFA03F2
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] 0C6D8B55
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] 96C203AD
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 3351FD87
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 0FC180C9
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 0C72A6F3
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] FD875996
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 8166EEC5
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 2BEEB6EE
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] EBFE2BF1
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 66C033E3
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] E0C1078B
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 1C738B02
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] F003F203
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] 5DC203AD
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 5D5B5E5F
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] CCCCCCC3
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] CCCCCCCC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] CCCCCCCC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] CCCCCCCC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 83EC8B55
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 60A134EC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] 53700062
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 45895756
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] FF4AE8FC
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 2C68FFFF
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] 50700051
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] E8E44589
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] FFFFFF5C
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 51200D8B
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 158B7000
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] A1DC4589
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] [7000511C] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] A0EC4589
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] [70005128] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 8908C483
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] 5589F04D
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] F84588F4
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 50EC458D
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 50E4458B
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 89DC55FF
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 558BCC45
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] 3C4A8B08
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] 80118C8B
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] 03000000
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 04418BCA
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 4D89C085
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 8B0B75E0
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] C0850C41
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 00A2840F
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 018B0000
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] C203103C
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] FF85F203
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] 89D44589
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 840FE475
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 00000080
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 83FFCE83
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] FF85FFCB
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] F78B0A79
IAT C:\WINDOWS\System32\svchost.exe[988] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] FFFFE681
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 81102A60
Device \FileSystem\Ntfs \Ntfs 80FD2958
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\drivers\win32x.sys (*** hidden *** ) [MANUAL] win32x <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x@Start 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x@ImagePath \??\C:\WINDOWS\system32\drivers\win32x.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x@DisplayName win32x
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x\Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\win32x\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet002\Services\win32x
Reg HKLM\SYSTEM\ControlSet002\Services\win32x@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\win32x@Start 3
Reg HKLM\SYSTEM\ControlSet002\Services\win32x@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\win32x@ImagePath \??\C:\WINDOWS\system32\drivers\win32x.sys
Reg HKLM\SYSTEM\ControlSet002\Services\win32x@DisplayName win32x
Reg HKLM\SYSTEM\ControlSet002\Services\win32x\Security
Reg HKLM\SYSTEM\ControlSet002\Services\win32x\Security@Security 0x01 0x00 0x14 0x80 ...
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\win32x.sys 12544 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\userinit.exe 77312 bytes executable
File C:\WINDOWS\system32\win32x.exe 24576 bytes executable
---- EOF - GMER 1.0.15 ----