Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Situazione complicata..presunto rootkit nel MBR

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Situazione complicata..presunto rootkit nel MBR

Messaggioda read82 » ven mag 13, 2011 8:55 pm

Salve a tutti!

Con il portatile sono arrivato ad un punto di non ritorno.
Sono infettato da chissà cosa e non so come uscirne.
ma veniamo al dunque, riporto i problemi.

A) tutto è iniziato quando si è installato un falso antivirus che ho provveduto a rimuovere con malwarebytes...dopo qualche giorno si è ripresentato il problema ed in più ogni tanto, all'avvio il monitor era tutto nero per cui dovevo riavviare.
Ho installato pure combofix ed ha tolto altri malware.

B) Una settimana fa il pc si è riavviato ed è andato in crash con relativa schermata Blu, fatto sta che posso solo entrare in modalità provvisoria.

Ho tentato tanti antivirus, ho anche utilizzato versioni live rescue che hanno depennato un sacco di virus ma il risultato è che all'avvio si ripresentano nuovamente.


Mbr stealth rootkit mi da questo risutato
h MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: Hitachi_HTS543216L9A300 rev.FB2OC40C -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 9 !


Gmer mi indica invece
C:\Windows\System32\drivers\pxkbf.sys (*** hidden *** ) [DISABLED] pxkbf <-- ROOTKIT !!!
Service C:\Windows\System32\drivers\pxrts.sys (*** hidden *** ) [DISABLED] pxrts <-- ROOTKIT !!!
Service C:\Windows\System32\drivers\pxscan.sys (*** hidden *** ) [DISABLED] pxscan <-- ROOTKIT !!!
Service System32\drivers\pxsec.sys (*** hidden *** ) [DISABLED] pxsec

che sono processi di prevx, ma occorre evidenziare che:
Quando avvio prevx appare in contemporanea un avviso che mi dice che devo aggiornare CLEANUP....ovviamente la scansione termina....CLEANUP.EXE è un trojan(fatto analizzare da virustotal)...quindi rpesumo che prevx sia stato infettato.

Non so più cosa provare....

Grazie
Avatar utente
read82
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: ven mag 13, 2011 4:48 pm

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda ste_95 » ven mag 13, 2011 9:28 pm

[ciao]
read82 ha scritto:Gmer mi indica invece
C:\Windows\System32\drivers\pxkbf.sys (*** hidden *** ) [DISABLED] pxkbf <-- ROOTKIT !!!
Service C:\Windows\System32\drivers\pxrts.sys (*** hidden *** ) [DISABLED] pxrts <-- ROOTKIT !!!
Service C:\Windows\System32\drivers\pxscan.sys (*** hidden *** ) [DISABLED] pxscan <-- ROOTKIT !!!
Service System32\drivers\pxsec.sys (*** hidden *** ) [DISABLED] pxsec

Non hai la possibilità di terminarli?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda read82 » ven mag 13, 2011 9:50 pm

Li ho disabilitati tutti, ho pure eliminati manualmente da registro di sistema i i file riconducibili a prevx ma al successivo riavvio In modalità provvisroia me li ritrovo
Avatar utente
read82
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: ven mag 13, 2011 4:48 pm


Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda Uomo_Senza_Sonno » ven mag 13, 2011 10:43 pm

Ciao Read e benvenuto su MegaLab.it [^]

Da quanto hai scritto ci troviamo davanti ad un mbr rootkit, sicuramente ben radicato nel tuo disco e pronto a ripresentarsi ad ogni riavvio. Per prima cosa verifica se hai disabilitato i punti di ripristino, poi procedi con un rescue disk il quale provvederà a rimuovere eventuali minacce rimaste.

Poi, per pulire definitivamente l'infezione dai una lettura a quest'articolo e posta il settore 0 del disco infetto (mi raccomando quando posti le immagini con il tag IMG assicurati che si veda tutta la finestra del programma, è importante).

In poco tempo sarà solo un brutto ricordo, e niente di più. Se ci sono problemi, siamo qui
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda Uomo_Senza_Sonno » ven mag 13, 2011 10:59 pm

Per il controllo con il recue disk utilizza quello di Gdata, dopo che masterizzi l'iso esegui il boot da cd e una volta aggiornate le definizioni (devi collegarti con il cavo e non utilizzando la wireless) fai una scansione di tutti i files/cartelle.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda read82 » sab mag 14, 2011 12:58 pm

Salve, dunque intanto vogliate accettare il mio sentito grazie, per l'intervento repentino, detto questo passiamo all'oggetto del discorso.

Per quanto riguarda Gdata, probabilmente è stato già eseguito nel sistema( a tal proposito ho eseguito tutti i live rescue, come indicato nella guida da MegaLab...)
In ogni caso provvedo subito a rimasterizzarlo e lo aziono subito.

DIscorso HxD, ne avevo già appreso la funzionalità seguendo l'intervento apportato al pc di un altro utente di MegaLab che aveva richiesto aiuto, ma se devo essere sincero non ho prestato parecchia attenzione [:-H]
Leggerò la guida, intanto se non ho capito male, posto lo screen del settore ZERO.

Immagine

Uploaded with ImageShack.us



spero abbia eseguito correttamente quando da voi dettomi [^]
Avatar utente
read82
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: ven mag 13, 2011 4:48 pm

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda read82 » sab mag 14, 2011 2:56 pm

accidenti non riesco ad aggiornare Gdata...mi dice che la scheda non è configurata [devil]

Ho dato un comando e mi dice questo

#The llopback interace
# automatically added when upfrading
auto lo
iface lo inet loopback

ho tentato ad inserire dei parametri per il dhcp automatico e non, ma non funziona nulla. [devil]
Avatar utente
read82
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: ven mag 13, 2011 4:48 pm

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda Uomo_Senza_Sonno » sab mag 14, 2011 10:26 pm

Buonasera read e veniamo al tuo problema: il rescue disk servirà per eliminare senza troppe preoccupazioni eventuali files che veicolano l'infezione e la propagano ad ogni riavvio, mentre con il metodo descritto nell'articolo rimuoviamo definitivamente il codice rootkit.

Prima di procedere, è necessario che mi posti, oltre al settore 0, i seguenti, di modo che ti possa dire quali sono gli offset che dovrai inserire quando andrai ad azzerare i settori: 9, 2047, 312578047, 312578048 e 312581808

Poi procederemo alla pulizia ed al ripristino del mbr sano al suo posto

PS: per cortesia, posta degli screenshot con una risoluzione più elevata, in questo caso è di estrema importanza non sbagliare nemmeno un numero [;)]
[grazie]
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda hashcat » dom mag 15, 2011 6:41 pm

Per provare a risolvere il problema utilizza lo strumento TDSSKiller (rinominato per sicurezza). Segui questa procedura:

  1. Scarica TDSSKiller da qui
  2. Esegui TDSSKiller e clicca su "Start Scan"
  3. Al termine della scansione verrà mostrata una schermata con i rilevamenti
  4. Seleziona l'opzione "Cure" per i rilevamenti "malicious" e l'opzione "Skip" per quelli "Suspicious"
  5. Clicca su Next/Continue per applicare le azioni
  6. Per portare a termine la disinfezione TDSSKiller potrebbe richiedere un riavvio del computer
  7. Al termine della procedura posta il log di TDSSKiller che si trova in C:\TDSSKillerxxxx

Per rimuovere completamente Prevx serviti di questo removal tool.

Per fare un po' di pulizia utilizza Vipre Rescue:
  • Se è possibile, Scarica il programma di salvataggio per il computer infetto, altrimenti scarica il programma VIPRE Rescue su un drive USB o un altro supporto rimovibile.
  • Inserire il supporto nel computer infetto.
  • Passare alla directory che contiene il programma VIPRE Rescue.
  • Fare doppio clic su VIPRERescue9285.exe
  • Alla richiesta, "Vuoi estrarre il salvataggio di VIPRE scanner sul computer?" fare clic su Sì.
  • Ti verrà richiesto di indicare una cartella di destinazione per scompattarlo . Mantenere l'impostazione predefinita (C: \ VIPRERESCUE) o entrare in una nuova cartella, quindi fare clic su Unzip. Assicurarsi che la casella "Una volta fatto unzipping apri:. \ deep_scan.bat"sia selezionata.
  • Il programma Rescue VIPRE salverà il file nella cartella di destinazione. Fare clic su OK al prompt.
  • Il programma Rescue VIPRE aprirà una finestra della riga di comando ed eseguirà una scansione completa.
  • Al termine delle scansione copiare il log e postarlo su MegaLab (il log si trova in C:\VIPRERESCUE\ è un file xml)

[B)] Traduzione un po' penosa ma ero di fretta [fischio]

N.B.: Se non puoi scaricare TDSSKiller dal computer infetto scaricalo da un altro e trasferiscilo sul computer infetto con una penna usb
N.B.2: Se non riesci ad aggiornare le definizioni di Gdata prova con altri boot cd come Avira e Kaspersky
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda read82 » lun mag 16, 2011 9:43 am

Buongiorno
dunque
questo è il log di TDSSKILLER

2011/05/16 09:17:58.0959 1716 TDSS rootkit removing tool 2.5.1.0 May 13 2011 13:20:29
2011/05/16 09:17:59.0349 1716 ================================================================================
2011/05/16 09:17:59.0349 1716 SystemInfo:
2011/05/16 09:17:59.0349 1716
2011/05/16 09:17:59.0349 1716 OS Version: 6.0.6002 ServicePack: 2.0
2011/05/16 09:17:59.0349 1716 Product type: Workstation
2011/05/16 09:17:59.0349 1716 ComputerName: PC-STEFANIA
2011/05/16 09:17:59.0349 1716 UserName: Stefania
2011/05/16 09:17:59.0349 1716 Windows directory: C:\Windows
2011/05/16 09:17:59.0349 1716 System windows directory: C:\Windows
2011/05/16 09:17:59.0349 1716 Processor architecture: Intel x86
2011/05/16 09:17:59.0349 1716 Number of processors: 2
2011/05/16 09:17:59.0349 1716 Page size: 0x1000
2011/05/16 09:17:59.0349 1716 Boot type: Safe boot with network
2011/05/16 09:17:59.0349 1716 ================================================================================
2011/05/16 09:17:59.0692 1716 Initialize success
2011/05/16 09:18:02.0719 1164 ================================================================================
2011/05/16 09:18:02.0719 1164 Scan started
2011/05/16 09:18:02.0719 1164 Mode: Manual;
2011/05/16 09:18:02.0719 1164 ================================================================================
2011/05/16 09:18:03.0171 1164 ACPI (82b296ae1892fe3dbee00c9cf92f8ac7) C:\Windows\system32\drivers\acpi.sys
2011/05/16 09:18:03.0280 1164 adp94xx (04f0fcac69c7c71a3ac4eb97fafc8303) C:\Windows\system32\drivers\adp94xx.sys
2011/05/16 09:18:03.0374 1164 adpahci (60505e0041f7751bdbb80f88bf45c2ce) C:\Windows\system32\drivers\adpahci.sys
2011/05/16 09:18:03.0468 1164 adpu160m (8a42779b02aec986eab64ecfc98f8bd7) C:\Windows\system32\drivers\adpu160m.sys
2011/05/16 09:18:03.0546 1164 adpu320 (241c9e37f8ce45ef51c3de27515ca4e5) C:\Windows\system32\drivers\adpu320.sys
2011/05/16 09:18:03.0717 1164 AFD (a201207363aa900abf1a388468688570) C:\Windows\system32\drivers\afd.sys
2011/05/16 09:18:03.0858 1164 agp440 (13f9e33747e6b41a3ff305c37db0d360) C:\Windows\system32\drivers\agp440.sys
2011/05/16 09:18:03.0904 1164 aic78xx (ae1fdf7bf7bb6c6a70f67699d880592a) C:\Windows\system32\drivers\djsvs.sys
2011/05/16 09:18:03.0936 1164 aliide (9eaef5fc9b8e351afa7e78a6fae91f91) C:\Windows\system32\drivers\aliide.sys
2011/05/16 09:18:04.0060 1164 amdagp (c47344bc706e5f0b9dce369516661578) C:\Windows\system32\drivers\amdagp.sys
2011/05/16 09:18:04.0107 1164 amdide (9b78a39a4c173fdbc1321e0dd659b34c) C:\Windows\system32\drivers\amdide.sys
2011/05/16 09:18:04.0216 1164 AmdK7 (18f29b49ad23ecee3d2a826c725c8d48) C:\Windows\system32\drivers\amdk7.sys
2011/05/16 09:18:04.0263 1164 AmdK8 (93ae7f7dd54ab986a6f1a1b37be7442d) C:\Windows\system32\drivers\amdk8.sys
2011/05/16 09:18:04.0497 1164 arc (5d2888182fb46632511acee92fdad522) C:\Windows\system32\drivers\arc.sys
2011/05/16 09:18:04.0575 1164 arcsas (5e2a321bd7c8b3624e41fdec3e244945) C:\Windows\system32\drivers\arcsas.sys
2011/05/16 09:18:04.0700 1164 AsyncMac (53b202abee6455406254444303e87be1) C:\Windows\system32\DRIVERS\asyncmac.sys
2011/05/16 09:18:04.0794 1164 atapi (1f05b78ab91c9075565a9d8a4b880bc4) C:\Windows\system32\drivers\atapi.sys
2011/05/16 09:18:05.0012 1164 Beep (67e506b75bd5326a3ec7b70bd014dfb6) C:\Windows\system32\drivers\Beep.sys
2011/05/16 09:18:05.0121 1164 blbdrive (d4df28447741fd3d953526e33a617397) C:\Windows\system32\drivers\blbdrive.sys
2011/05/16 09:18:05.0199 1164 bowser (74b442b2be1260b7588c136177ceac66) C:\Windows\system32\DRIVERS\bowser.sys
2011/05/16 09:18:05.0324 1164 BrFiltLo (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\drivers\brfiltlo.sys
2011/05/16 09:18:05.0386 1164 BrFiltUp (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\drivers\brfiltup.sys
2011/05/16 09:18:05.0433 1164 Brserid (b304e75cff293029eddf094246747113) C:\Windows\system32\drivers\brserid.sys
2011/05/16 09:18:05.0558 1164 BrSerWdm (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\system32\drivers\brserwdm.sys
2011/05/16 09:18:05.0636 1164 BrUsbMdm (bd456606156ba17e60a04e18016ae54b) C:\Windows\system32\drivers\brusbmdm.sys
2011/05/16 09:18:05.0667 1164 BrUsbSer (af72ed54503f717a43268b3cc5faec2e) C:\Windows\system32\drivers\brusbser.sys
2011/05/16 09:18:05.0792 1164 BTHMODEM (ad07c1ec6665b8b35741ab91200c6b68) C:\Windows\system32\drivers\bthmodem.sys
2011/05/16 09:18:06.0010 1164 cdfs (7add03e75beb9e6dd102c3081d29840a) C:\Windows\system32\DRIVERS\cdfs.sys
2011/05/16 09:18:06.0088 1164 cdrom (6b4bffb9becd728097024276430db314) C:\Windows\system32\DRIVERS\cdrom.sys
2011/05/16 09:18:06.0213 1164 circlass (e5d4133f37219dbcfe102bc61072589d) C:\Windows\system32\drivers\circlass.sys
2011/05/16 09:18:06.0322 1164 CLFS (d7659d3b5b92c31e84e53c1431f35132) C:\Windows\system32\CLFS.sys
2011/05/16 09:18:06.0447 1164 CmBatt (99afc3795b58cc478fbbbcdc658fcb56) C:\Windows\system32\DRIVERS\CmBatt.sys
2011/05/16 09:18:06.0525 1164 cmdide (0ca25e686a4928484e9fdabd168ab629) C:\Windows\system32\drivers\cmdide.sys
2011/05/16 09:18:06.0556 1164 Compbatt (6afef0b60fa25de07c0968983ee4f60a) C:\Windows\system32\DRIVERS\compbatt.sys
2011/05/16 09:18:06.0619 1164 crcdisk (741e9dff4f42d2d8477d0fc1dc0df871) C:\Windows\system32\drivers\crcdisk.sys
2011/05/16 09:18:06.0697 1164 Crusoe (1f07becdca750766a96cda811ba86410) C:\Windows\system32\drivers\crusoe.sys
2011/05/16 09:18:06.0775 1164 DfsC (218d8ae46c88e82014f5d73d0236d9b2) C:\Windows\system32\Drivers\dfsc.sys
2011/05/16 09:18:06.0931 1164 disk (5d4aefc3386920236a548271f8f1af6a) C:\Windows\system32\drivers\disk.sys
2011/05/16 09:18:07.0024 1164 drmkaud (97fef831ab90bee128c9af390e243f80) C:\Windows\system32\drivers\drmkaud.sys
2011/05/16 09:18:07.0165 1164 DXGKrnl (c68ac676b0ef30cfbb1080adce49eb1f) C:\Windows\System32\drivers\dxgkrnl.sys
2011/05/16 09:18:07.0305 1164 E1G60 (5425f74ac0c1dbd96a1e04f17d63f94c) C:\Windows\system32\DRIVERS\E1G60I32.sys
2011/05/16 09:18:07.0399 1164 Ecache (7f64ea048dcfac7acf8b4d7b4e6fe371) C:\Windows\system32\drivers\ecache.sys
2011/05/16 09:18:07.0539 1164 elxstor (23b62471681a124889978f6295b3f4c6) C:\Windows\system32\drivers\elxstor.sys
2011/05/16 09:18:07.0695 1164 ErrDev (3db974f3935483555d7148663f726c61) C:\Windows\system32\drivers\errdev.sys
2011/05/16 09:18:07.0789 1164 exfat (22b408651f9123527bcee54b4f6c5cae) C:\Windows\system32\drivers\exfat.sys
2011/05/16 09:18:07.0929 1164 fastfat (1e9b9a70d332103c52995e957dc09ef8) C:\Windows\system32\drivers\fastfat.sys
2011/05/16 09:18:08.0070 1164 fdc (afe1e8b9782a0dd7fb46bbd88e43f89a) C:\Windows\system32\DRIVERS\fdc.sys
2011/05/16 09:18:08.0116 1164 FileInfo (a8c0139a884861e3aae9cfe73b208a9f) C:\Windows\system32\drivers\fileinfo.sys
2011/05/16 09:18:08.0148 1164 Filetrace (0ae429a696aecbc5970e3cf2c62635ae) C:\Windows\system32\drivers\filetrace.sys
2011/05/16 09:18:08.0304 1164 flpydisk (85b7cf99d532820495d68d747fda9ebd) C:\Windows\system32\DRIVERS\flpydisk.sys
2011/05/16 09:18:08.0366 1164 FltMgr (01334f9ea68e6877c4ef05d3ea8abb05) C:\Windows\system32\drivers\fltmgr.sys
2011/05/16 09:18:08.0522 1164 Fs_Rec (65ea8b77b5851854f0c55c43fa51a198) C:\Windows\system32\drivers\Fs_Rec.sys
2011/05/16 09:18:08.0584 1164 gagp30kx (34582a6e6573d54a07ece5fe24a126b5) C:\Windows\system32\drivers\gagp30kx.sys
2011/05/16 09:18:08.0725 1164 HdAudAddService (cb04c744be0a61b1d648faed182c3b59) C:\Windows\system32\drivers\HdAudio.sys
2011/05/16 09:18:08.0803 1164 HDAudBus (062452b7ffd68c8c042a6261fe8dff4a) C:\Windows\system32\DRIVERS\HDAudBus.sys
2011/05/16 09:18:08.0928 1164 HidBth (1338520e78d90154ed6be8f84de5fceb) C:\Windows\system32\drivers\hidbth.sys
2011/05/16 09:18:08.0974 1164 HidIr (ff3160c3a2445128c5a6d9b076da519e) C:\Windows\system32\drivers\hidir.sys
2011/05/16 09:18:09.0115 1164 HidUsb (cca4b519b17e23a00b826c55716809cc) C:\Windows\system32\DRIVERS\hidusb.sys
2011/05/16 09:18:09.0177 1164 HpCISSs (16ee7b23a009e00d835cdb79574a91a6) C:\Windows\system32\drivers\hpcisss.sys
2011/05/16 09:18:09.0318 1164 HTTP (0eeeca26c8d4bde2a4664db058a81937) C:\Windows\system32\drivers\HTTP.sys
2011/05/16 09:18:09.0411 1164 i2omp (c6b032d69650985468160fc9937cf5b4) C:\Windows\system32\drivers\i2omp.sys
2011/05/16 09:18:09.0489 1164 i8042prt (22d56c8184586b7a1f6fa60be5f5a2bd) C:\Windows\system32\DRIVERS\i8042prt.sys
2011/05/16 09:18:09.0567 1164 iaStorV (54155ea1b0df185878e0fc9ec3ac3a14) C:\Windows\system32\drivers\iastorv.sys
2011/05/16 09:18:09.0692 1164 igfx (0627fc0c422cd6e0f23e1b0d1d9f0899) C:\Windows\system32\DRIVERS\igdkmd32.sys
2011/05/16 09:18:09.0895 1164 iirsp (2d077bf86e843f901d8db709c95b49a5) C:\Windows\system32\drivers\iirsp.sys
2011/05/16 09:18:10.0020 1164 IntcAzAudAddService (9b89f2e3d705651dec1f01033b9d6b24) C:\Windows\system32\drivers\RTKVHDA.sys
2011/05/16 09:18:10.0254 1164 intelide (83aa759f3189e6370c30de5dc5590718) C:\Windows\system32\drivers\intelide.sys
2011/05/16 09:18:10.0285 1164 intelppm (224191001e78c89dfa78924c3ea595ff) C:\Windows\system32\DRIVERS\intelppm.sys
2011/05/16 09:18:10.0472 1164 IPMIDRV (b25aaf203552b7b3491139d582b39ad1) C:\Windows\system32\drivers\ipmidrv.sys
2011/05/16 09:18:10.0503 1164 IPNAT (8793643a67b42cec66490b2a0cf92d68) C:\Windows\system32\DRIVERS\ipnat.sys
2011/05/16 09:18:10.0612 1164 IRENUM (109c0dfb82c3632fbd11949b73aeeac9) C:\Windows\system32\drivers\irenum.sys
2011/05/16 09:18:10.0675 1164 isapnp (6c70698a3e5c4376c6ab5c7c17fb0614) C:\Windows\system32\drivers\isapnp.sys
2011/05/16 09:18:10.0737 1164 iScsiPrt (232fa340531d940aac623b121a595034) C:\Windows\system32\DRIVERS\msiscsi.sys
2011/05/16 09:18:10.0831 1164 iteatapi (bced60d16156e428f8df8cf27b0df150) C:\Windows\system32\drivers\iteatapi.sys
2011/05/16 09:18:10.0893 1164 iteraid (06fa654504a498c30adca8bec4e87e7e) C:\Windows\system32\drivers\iteraid.sys
2011/05/16 09:18:10.0924 1164 kbdclass (37605e0a8cf00cbba538e753e4344c6e) C:\Windows\system32\DRIVERS\kbdclass.sys
2011/05/16 09:18:11.0049 1164 kbdhid (ede59ec70e25c24581add1fbec7325f7) C:\Windows\system32\DRIVERS\kbdhid.sys
2011/05/16 09:18:11.0158 1164 KSecDD (86165728af9bf72d6442a894fdfb4f8b) C:\Windows\system32\Drivers\ksecdd.sys
2011/05/16 09:18:11.0299 1164 lltdio (d1c5883087a0c3f1344d9d55a44901f6) C:\Windows\system32\DRIVERS\lltdio.sys
2011/05/16 09:18:11.0455 1164 LSI_FC (c7e15e82879bf3235b559563d4185365) C:\Windows\system32\drivers\lsi_fc.sys
2011/05/16 09:18:11.0502 1164 LSI_SAS (ee01ebae8c9bf0fa072e0ff68718920a) C:\Windows\system32\drivers\lsi_sas.sys
2011/05/16 09:18:11.0642 1164 LSI_SCSI (912a04696e9ca30146a62afa1463dd5c) C:\Windows\system32\drivers\lsi_scsi.sys
2011/05/16 09:18:11.0689 1164 luafv (8f5c7426567798e62a3b3614965d62cc) C:\Windows\system32\drivers\luafv.sys
2011/05/16 09:18:11.0814 1164 megasas (0001ce609d66632fa17b84705f658879) C:\Windows\system32\drivers\megasas.sys
2011/05/16 09:18:11.0860 1164 MegaSR (c252f32cd9a49dbfc25ecf26ebd51a99) C:\Windows\system32\drivers\megasr.sys
2011/05/16 09:18:12.0188 1164 Modem (e13b5ea0f51ba5b1512ec671393d09ba) C:\Windows\system32\drivers\modem.sys
2011/05/16 09:18:12.0282 1164 monitor (0a9bb33b56e294f686abb7c1e4e2d8a8) C:\Windows\system32\DRIVERS\monitor.sys
2011/05/16 09:18:12.0328 1164 mouclass (5bf6a1326a335c5298477754a506d263) C:\Windows\system32\DRIVERS\mouclass.sys
2011/05/16 09:18:12.0344 1164 mouhid (93b8d4869e12cfbe663915502900876f) C:\Windows\system32\DRIVERS\mouhid.sys
2011/05/16 09:18:12.0391 1164 MountMgr (bdafc88aa6b92f7842416ea6a48e1600) C:\Windows\system32\drivers\mountmgr.sys
2011/05/16 09:18:12.0500 1164 mpio (511d011289755dd9f9a7579fb0b064e6) C:\Windows\system32\drivers\mpio.sys
2011/05/16 09:18:12.0562 1164 mpsdrv (22241feba9b2defa669c8cb0a8dd7d2e) C:\Windows\system32\drivers\mpsdrv.sys
2011/05/16 09:18:12.0625 1164 Mraid35x (4fbbb70d30fd20ec51f80061703b001e) C:\Windows\system32\drivers\mraid35x.sys
2011/05/16 09:18:12.0718 1164 MRxDAV (82cea0395524aacfeb58ba1448e8325c) C:\Windows\system32\drivers\mrxdav.sys
2011/05/16 09:18:12.0796 1164 mrxsmb (454341e652bdf5e01b0f2140232b073e) C:\Windows\system32\DRIVERS\mrxsmb.sys
2011/05/16 09:18:12.0906 1164 mrxsmb10 (2a4901aff069944fa945ed5bbf4dcde3) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2011/05/16 09:18:13.0046 1164 mrxsmb20 (28b3f1ab44bdd4432c041581412f17d9) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2011/05/16 09:18:13.0108 1164 msahci (28023e86f17001f7cd9b15a5bc9ae07d) C:\Windows\system32\drivers\msahci.sys
2011/05/16 09:18:13.0155 1164 msdsm (4468b0f385a86ecddaf8d3ca662ec0e7) C:\Windows\system32\drivers\msdsm.sys
2011/05/16 09:18:13.0202 1164 Msfs (a9927f4a46b816c92f461acb90cf8515) C:\Windows\system32\drivers\Msfs.sys
2011/05/16 09:18:13.0296 1164 msisadrv (0f400e306f385c56317357d6dea56f62) C:\Windows\system32\drivers\msisadrv.sys
2011/05/16 09:18:13.0358 1164 MSKSSRV (d8c63d34d9c9e56c059e24ec7185cc07) C:\Windows\system32\drivers\MSKSSRV.sys
2011/05/16 09:18:13.0389 1164 MSPCLOCK (1d373c90d62ddb641d50e55b9e78d65e) C:\Windows\system32\drivers\MSPCLOCK.sys
2011/05/16 09:18:13.0483 1164 MSPQM (b572da05bf4e098d4bba3a4734fb505b) C:\Windows\system32\drivers\MSPQM.sys
2011/05/16 09:18:13.0561 1164 MsRPC (b49456d70555de905c311bcda6ec6adb) C:\Windows\system32\drivers\MsRPC.sys
2011/05/16 09:18:13.0576 1164 mssmbios (e384487cb84be41d09711c30ca79646c) C:\Windows\system32\DRIVERS\mssmbios.sys
2011/05/16 09:18:13.0654 1164 MSTEE (7199c1eec1e4993caf96b8c0a26bd58a) C:\Windows\system32\drivers\MSTEE.sys
2011/05/16 09:18:13.0732 1164 Mup (6a57b5733d4cb702c8ea4542e836b96c) C:\Windows\system32\Drivers\mup.sys
2011/05/16 09:18:13.0826 1164 NativeWifiP (85c44fdff9cf7e72a40dcb7ec06a4416) C:\Windows\system32\DRIVERS\nwifi.sys
2011/05/16 09:18:13.0935 1164 NDIS (1357274d1883f68300aeadd15d7bbb42) C:\Windows\system32\drivers\ndis.sys
2011/05/16 09:18:14.0044 1164 NdisTapi (0e186e90404980569fb449ba7519ae61) C:\Windows\system32\DRIVERS\ndistapi.sys
2011/05/16 09:18:14.0091 1164 Ndisuio (d6973aa34c4d5d76c0430b181c3cd389) C:\Windows\system32\DRIVERS\ndisuio.sys
2011/05/16 09:18:14.0138 1164 NdisWan (818f648618ae34f729fdb47ec68345c3) C:\Windows\system32\DRIVERS\ndiswan.sys
2011/05/16 09:18:14.0232 1164 NDProxy (71dab552b41936358f3b541ae5997fb3) C:\Windows\system32\drivers\NDProxy.sys
2011/05/16 09:18:14.0294 1164 NetBIOS (bcd093a5a6777cf626434568dc7dba78) C:\Windows\system32\DRIVERS\netbios.sys
2011/05/16 09:18:14.0403 1164 netbt (ecd64230a59cbd93c85f1cd1cab9f3f6) C:\Windows\system32\DRIVERS\netbt.sys
2011/05/16 09:18:14.0466 1164 netr28 (ebbd48d3f4361773b812ca67a9cfc69b) C:\Windows\system32\DRIVERS\netr28.sys
2011/05/16 09:18:14.0590 1164 nfrd960 (2e7fb731d4790a1bc6270accefacb36e) C:\Windows\system32\drivers\nfrd960.sys
2011/05/16 09:18:14.0668 1164 Npfs (d36f239d7cce1931598e8fb90a0dbc26) C:\Windows\system32\drivers\Npfs.sys
2011/05/16 09:18:14.0778 1164 nsiproxy (609773e344a97410ce4ebf74a8914fcf) C:\Windows\system32\drivers\nsiproxy.sys
2011/05/16 09:18:14.0980 1164 Ntfs (6a4a98cee84cf9e99564510dda4baa47) C:\Windows\system32\drivers\Ntfs.sys
2011/05/16 09:18:15.0230 1164 ntrigdigi (e875c093aec0c978a90f30c9e0dfbb72) C:\Windows\system32\drivers\ntrigdigi.sys
2011/05/16 09:18:15.0433 1164 Null (c5dbbcda07d780bda9b685df333bb41e) C:\Windows\system32\drivers\Null.sys
2011/05/16 09:18:15.0636 1164 nvraid (2edf9e7751554b42cbb60116de727101) C:\Windows\system32\drivers\nvraid.sys
2011/05/16 09:18:15.0838 1164 nvstor (abed0c09758d1d97db0042dbb2688177) C:\Windows\system32\drivers\nvstor.sys
2011/05/16 09:18:16.0088 1164 nv_agp (18bbdf913916b71bd54575bdb6eeac0b) C:\Windows\system32\drivers\nv_agp.sys
2011/05/16 09:18:16.0587 1164 ohci1394 (be32da025a0be1878f0ee8d6d9386cd5) C:\Windows\system32\drivers\ohci1394.sys
2011/05/16 09:18:16.0868 1164 ONDAusbmdm6k (68d6547cd02e1580add755320c03ab55) C:\Windows\system32\DRIVERS\ONDAusbmdm6k.sys
2011/05/16 09:18:17.0040 1164 ONDAusbnmea (68d6547cd02e1580add755320c03ab55) C:\Windows\system32\DRIVERS\ONDAusbnmea.sys
2011/05/16 09:18:17.0133 1164 ONDAusbser6k (68d6547cd02e1580add755320c03ab55) C:\Windows\system32\DRIVERS\ONDAusbser6k.sys
2011/05/16 09:18:17.0258 1164 ONDA_MW823UP_cdc_acm (9144d56218dabd1fed42d2e1804a99f0) C:\Windows\system32\DRIVERS\ONDA_MW823UP_cdc_acm.sys
2011/05/16 09:18:17.0336 1164 ONDA_MW823UP_cdc_ecm (8fec988f3e2ab0168e843f21a49bfd2b) C:\Windows\system32\DRIVERS\ONDA_MW823UP_cdc_ecm.sys
2011/05/16 09:18:17.0461 1164 ONDA_MW823UP_cpo (e8631963b0857deede6fb48798ada5dc) C:\Windows\system32\DRIVERS\ONDA_MW823UP_cpo.sys
2011/05/16 09:18:17.0554 1164 ONDA_MW823UP_dc_enum (c34a5c57af3fabe6dfb0e0d9f6c58c3f) C:\Windows\system32\DRIVERS\ONDA_MW823UP_dc_enum.sys
2011/05/16 09:18:17.0679 1164 Parport (0fa9b5055484649d63c303fe404e5f4d) C:\Windows\system32\drivers\parport.sys
2011/05/16 09:18:17.0788 1164 partmgr (57389fa59a36d96b3eb09d0cb91e9cdc) C:\Windows\system32\drivers\partmgr.sys
2011/05/16 09:18:17.0882 1164 Parvdm (4f9a6a8a31413180d0fcb279ad5d8112) C:\Windows\system32\drivers\parvdm.sys
2011/05/16 09:18:17.0960 1164 pci (941dc1d19e7e8620f40bbc206981efdb) C:\Windows\system32\drivers\pci.sys
2011/05/16 09:18:18.0085 1164 pciide (1636d43f10416aeb483bc6001097b26c) C:\Windows\system32\drivers\pciide.sys
2011/05/16 09:18:18.0147 1164 pcmcia (e6f3fb1b86aa519e7698ad05e58b04e5) C:\Windows\system32\drivers\pcmcia.sys
2011/05/16 09:18:18.0272 1164 PEAUTH (6349f6ed9c623b44b52ea3c63c831a92) C:\Windows\system32\drivers\peauth.sys
2011/05/16 09:18:18.0444 1164 PptpMiniport (ecfffaec0c1ecd8dbc77f39070ea1db1) C:\Windows\system32\DRIVERS\raspptp.sys
2011/05/16 09:18:18.0490 1164 Processor (2027293619dd0f047c584cf2e7df4ffd) C:\Windows\system32\drivers\processr.sys
2011/05/16 09:18:18.0584 1164 PSched (99514faa8df93d34b5589187db3aa0ba) C:\Windows\system32\DRIVERS\pacer.sys
2011/05/16 09:18:18.0724 1164 PxHelp20 (d86b4a68565e444d76457f14172c875a) C:\Windows\system32\Drivers\PxHelp20.sys
2011/05/16 09:18:18.0724 1164 Suspicious service (Hidden): pxkbf
2011/05/16 09:18:18.0756 1164 pxkbf - detected HiddenService.Multi.Generic (1)
2011/05/16 09:18:18.0756 1164 Suspicious service (Hidden): pxrts
2011/05/16 09:18:18.0771 1164 pxrts - detected HiddenService.Multi.Generic (1)
2011/05/16 09:18:18.0787 1164 Suspicious service (Hidden): pxscan
2011/05/16 09:18:18.0802 1164 pxscan (a5b3922b9f821fc8ff2821423e40026c) C:\Windows\system32\drivers\pxscan.sys
2011/05/16 09:18:18.0818 1164 pxscan - detected HiddenService.Multi.Generic (1)
2011/05/16 09:18:18.0927 1164 pxsec (6613bbed3b306aee00d8a7b8d4cad5cd) C:\Windows\system32\drivers\pxsec.sys
2011/05/16 09:18:19.0052 1164 ql2300 (0a6db55afb7820c99aa1f3a1d270f4f6) C:\Windows\system32\drivers\ql2300.sys
2011/05/16 09:18:19.0192 1164 ql40xx (81a7e5c076e59995d54bc1ed3a16e60b) C:\Windows\system32\drivers\ql40xx.sys
2011/05/16 09:18:19.0270 1164 QWAVEdrv (9f5e0e1926014d17486901c88eca2db7) C:\Windows\system32\drivers\qwavedrv.sys
2011/05/16 09:18:19.0286 1164 RasAcd (147d7f9c556d259924351feb0de606c3) C:\Windows\system32\DRIVERS\rasacd.sys
2011/05/16 09:18:19.0380 1164 Rasl2tp (a214adbaf4cb47dd2728859ef31f26b0) C:\Windows\system32\DRIVERS\rasl2tp.sys
2011/05/16 09:18:19.0473 1164 RasPppoe (509a98dd18af4375e1fc40bc175f1def) C:\Windows\system32\DRIVERS\raspppoe.sys
2011/05/16 09:18:19.0567 1164 RasSstp (2005f4a1e05fa09389ac85840f0a9e4d) C:\Windows\system32\DRIVERS\rassstp.sys
2011/05/16 09:18:19.0645 1164 rdbss (b14c9d5b9add2f84f70570bbbfaa7935) C:\Windows\system32\DRIVERS\rdbss.sys
2011/05/16 09:18:19.0707 1164 RDPCDD (89e59be9a564262a3fb6c4f4f1cd9899) C:\Windows\system32\DRIVERS\RDPCDD.sys
2011/05/16 09:18:19.0770 1164 rdpdr (fbc0bacd9c3d7f6956853f64a66e252d) C:\Windows\system32\drivers\rdpdr.sys
2011/05/16 09:18:19.0848 1164 RDPENCDD (9d91fe5286f748862ecffa05f8a0710c) C:\Windows\system32\drivers\rdpencdd.sys
2011/05/16 09:18:19.0910 1164 RDPWD (30bfbdfb7f95559ede971f9ddb9a00ba) C:\Windows\system32\drivers\RDPWD.sys
2011/05/16 09:18:20.0035 1164 rspndr (9c508f4074a39e8b4b31d27198146fad) C:\Windows\system32\DRIVERS\rspndr.sys
2011/05/16 09:18:20.0128 1164 RTL8169 (174b9514cd1a0c33ce4bbc02a3c81a62) C:\Windows\system32\DRIVERS\Rtlh86.sys
2011/05/16 09:18:20.0160 1164 RTL8187B (406046dd9c70bec52881ccec7e11d83c) C:\Windows\system32\DRIVERS\RTL8187B.sys
2011/05/16 09:18:20.0269 1164 RTSTOR (01c64783db1f40e1e3df67dd36199b35) C:\Windows\system32\drivers\RTSTOR.SYS
2011/05/16 09:18:20.0347 1164 sbp2port (3ce8f073a557e172b330109436984e30) C:\Windows\system32\drivers\sbp2port.sys
2011/05/16 09:18:20.0394 1164 secdrv (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
2011/05/16 09:18:20.0487 1164 Serenum (68e44e331d46f0fb38f0863a84cd1a31) C:\Windows\system32\drivers\serenum.sys
2011/05/16 09:18:20.0534 1164 Serial (c70d69a918b178d3c3b06339b40c2e1b) C:\Windows\system32\drivers\serial.sys
2011/05/16 09:18:20.0565 1164 sermouse (8af3d28a879bf75db53a0ee7a4289624) C:\Windows\system32\drivers\sermouse.sys
2011/05/16 09:18:20.0690 1164 sffdisk (3efa810bdca87f6ecc24f9832243fe86) C:\Windows\system32\drivers\sffdisk.sys
2011/05/16 09:18:20.0737 1164 sffp_mmc (e95d451f7ea3e583aec75f3b3ee42dc5) C:\Windows\system32\drivers\sffp_mmc.sys
2011/05/16 09:18:20.0768 1164 sffp_sd (3d0ea348784b7ac9ea9bd9f317980979) C:\Windows\system32\drivers\sffp_sd.sys
2011/05/16 09:18:20.0862 1164 sfloppy (46ed8e91793b2e6f848015445a0ac188) C:\Windows\system32\drivers\sfloppy.sys
2011/05/16 09:18:20.0908 1164 sisagp (1d76624a09a054f682d746b924e2dbc3) C:\Windows\system32\drivers\sisagp.sys
2011/05/16 09:18:20.0940 1164 SiSRaid2 (43cb7aa756c7db280d01da9b676cfde2) C:\Windows\system32\drivers\sisraid2.sys
2011/05/16 09:18:21.0049 1164 SiSRaid4 (a99c6c8b0baa970d8aa59ddc50b57f94) C:\Windows\system32\drivers\sisraid4.sys
2011/05/16 09:18:21.0127 1164 Smb (7b75299a4d201d6a6533603d6914ab04) C:\Windows\system32\DRIVERS\smb.sys
2011/05/16 09:18:21.0205 1164 spldr (7aebdeef071fe28b0eef2cdd69102bff) C:\Windows\system32\drivers\spldr.sys
2011/05/16 09:18:21.0298 1164 srv (ff3cbc13db84d81f56931bc922cc37c4) C:\Windows\system32\DRIVERS\srv.sys
2011/05/16 09:18:21.0392 1164 srv2 (d15959d9f69f0d39a0153e9c244f20dd) C:\Windows\system32\DRIVERS\srv2.sys
2011/05/16 09:18:21.0470 1164 srvnet (faa0d553a49e85008c6bb3781987c574) C:\Windows\system32\DRIVERS\srvnet.sys
2011/05/16 09:18:21.0579 1164 swenum (7ba58ecf0c0a9a69d44b3dca62becf56) C:\Windows\system32\DRIVERS\swenum.sys
2011/05/16 09:18:21.0642 1164 Symc8xx (192aa3ac01df071b541094f251deed10) C:\Windows\system32\drivers\symc8xx.sys
2011/05/16 09:18:21.0735 1164 Sym_hi (8c8eb8c76736ebaf3b13b633b2e64125) C:\Windows\system32\drivers\sym_hi.sys
2011/05/16 09:18:21.0751 1164 Sym_u3 (8072af52b5fd103bbba387a1e49f62cb) C:\Windows\system32\drivers\sym_u3.sys
2011/05/16 09:18:21.0844 1164 SynTP (d2aa5d5fdb821eb5f9366c5e3bc2d9ea) C:\Windows\system32\DRIVERS\SynTP.sys
2011/05/16 09:18:21.0985 1164 Tcpip (a474879afa4a596b3a531f3e69730dbf) C:\Windows\system32\drivers\tcpip.sys
2011/05/16 09:18:22.0141 1164 Tcpip6 (a474879afa4a596b3a531f3e69730dbf) C:\Windows\system32\DRIVERS\tcpip.sys
2011/05/16 09:18:22.0266 1164 tcpipreg (608c345a255d82a6289c2d468eb41fd7) C:\Windows\system32\drivers\tcpipreg.sys
2011/05/16 09:18:22.0328 1164 TDPIPE (5dcf5e267be67a1ae926f2df77fbcc56) C:\Windows\system32\drivers\tdpipe.sys
2011/05/16 09:18:22.0437 1164 TDTCP (389c63e32b3cefed425b61ed92d3f021) C:\Windows\system32\drivers\tdtcp.sys
2011/05/16 09:18:22.0500 1164 tdx (76b06eb8a01fc8624d699e7045303e54) C:\Windows\system32\DRIVERS\tdx.sys
2011/05/16 09:18:22.0593 1164 TermDD (3cad38910468eab9a6479e2f01db43c7) C:\Windows\system32\DRIVERS\termdd.sys
2011/05/16 09:18:22.0671 1164 tssecsrv (dcf0f056a2e4f52287264f5ab29cf206) C:\Windows\system32\DRIVERS\tssecsrv.sys
2011/05/16 09:18:22.0780 1164 tunmp (caecc0120ac49e3d2f758b9169872d38) C:\Windows\system32\DRIVERS\tunmp.sys
2011/05/16 09:18:22.0827 1164 tunnel (119b8184e106baedc83fce5ddf3950da) C:\Windows\system32\DRIVERS\tunnel.sys
2011/05/16 09:18:22.0858 1164 uagp35 (7d33c4db2ce363c8518d2dfcf533941f) C:\Windows\system32\drivers\uagp35.sys
2011/05/16 09:18:22.0968 1164 udfs (d9728af68c4c7693cb100b8441cbdec6) C:\Windows\system32\DRIVERS\udfs.sys
2011/05/16 09:18:23.0046 1164 uliagpkx (b0acfdc9e4af279e9116c03e014b2b27) C:\Windows\system32\drivers\uliagpkx.sys
2011/05/16 09:18:23.0155 1164 uliahci (9224bb254f591de4ca8d572a5f0d635c) C:\Windows\system32\drivers\uliahci.sys
2011/05/16 09:18:23.0217 1164 UlSata (8514d0e5cd0534467c5fc61be94a569f) C:\Windows\system32\drivers\ulsata.sys
2011/05/16 09:18:23.0326 1164 ulsata2 (38c3c6e62b157a6bc46594fada45c62b) C:\Windows\system32\drivers\ulsata2.sys
2011/05/16 09:18:23.0373 1164 umbus (32cff9f809ae9aed85464492bf3e32d2) C:\Windows\system32\DRIVERS\umbus.sys
2011/05/16 09:18:23.0420 1164 usbccgp (caf811ae4c147ffcd5b51750c7f09142) C:\Windows\system32\DRIVERS\usbccgp.sys
2011/05/16 09:18:23.0529 1164 usbcir (e9476e6c486e76bc4898074768fb7131) C:\Windows\system32\drivers\usbcir.sys
2011/05/16 09:18:23.0592 1164 usbehci (79e96c23a97ce7b8f14d310da2db0c9b) C:\Windows\system32\DRIVERS\usbehci.sys
2011/05/16 09:18:23.0638 1164 usbhub (4673bbcb006af60e7abddbe7a130ba42) C:\Windows\system32\DRIVERS\usbhub.sys
2011/05/16 09:18:23.0748 1164 usbohci (38dbc7dd6cc5a72011f187425384388b) C:\Windows\system32\drivers\usbohci.sys
2011/05/16 09:18:23.0826 1164 usbprint (e75c4b5269091d15a2e7dc0b6d35f2f5) C:\Windows\system32\DRIVERS\usbprint.sys
2011/05/16 09:18:23.0935 1164 usbscan (a508c9bd8724980512136b039bba65e9) C:\Windows\system32\DRIVERS\usbscan.sys
2011/05/16 09:18:24.0028 1164 USBSTOR (be3da31c191bc222d9ad503c5224f2ad) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2011/05/16 09:18:24.0122 1164 usbuhci (814d653efc4d48be3b04a307eceff56f) C:\Windows\system32\DRIVERS\usbuhci.sys
2011/05/16 09:18:24.0200 1164 usbvideo (e67998e8f14cb0627a769f6530bcb352) C:\Windows\system32\Drivers\usbvideo.sys
2011/05/16 09:18:24.0325 1164 vga (87b06e1f30b749a114f74622d013f8d4) C:\Windows\system32\DRIVERS\vgapnp.sys
2011/05/16 09:18:24.0387 1164 VgaSave (2e93ac0a1d8c79d019db6c51f036636c) C:\Windows\System32\drivers\vga.sys
2011/05/16 09:18:24.0403 1164 viaagp (5d7159def58a800d5781ba3a879627bc) C:\Windows\system32\drivers\viaagp.sys
2011/05/16 09:18:24.0512 1164 ViaC7 (c4f3a691b5bad343e6249bd8c2d45dee) C:\Windows\system32\drivers\viac7.sys
2011/05/16 09:18:24.0590 1164 viaide (aadf5587a4063f52c2c3fed7887426fc) C:\Windows\system32\drivers\viaide.sys
2011/05/16 09:18:24.0621 1164 volmgr (69503668ac66c77c6cd7af86fbdf8c43) C:\Windows\system32\drivers\volmgr.sys
2011/05/16 09:18:24.0730 1164 volmgrx (23e41b834759917bfd6b9a0d625d0c28) C:\Windows\system32\drivers\volmgrx.sys
2011/05/16 09:18:24.0840 1164 volsnap (147281c01fcb1df9252de2a10d5e7093) C:\Windows\system32\drivers\volsnap.sys
2011/05/16 09:18:24.0918 1164 vsmraid (587253e09325e6bf226b299774b728a9) C:\Windows\system32\drivers\vsmraid.sys
2011/05/16 09:18:25.0011 1164 WacomPen (48dfee8f1af7c8235d4e626f0c4fe031) C:\Windows\system32\drivers\wacompen.sys
2011/05/16 09:18:25.0042 1164 Wanarp (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2011/05/16 09:18:25.0058 1164 Wanarpv6 (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2011/05/16 09:18:25.0120 1164 Wd (78fe9542363f297b18c027b2d7e7c07f) C:\Windows\system32\drivers\wd.sys
2011/05/16 09:18:25.0245 1164 Wdf01000 (9950e3d0f08141c7e89e64456ae7dc73) C:\Windows\system32\drivers\Wdf01000.sys
2011/05/16 09:18:25.0417 1164 WmiAcpi (2e7255d172df0b8283cdfb7b433b864e) C:\Windows\system32\drivers\wmiacpi.sys
2011/05/16 09:18:25.0573 1164 WpdUsb (de9d36f91a4df3d911626643debf11ea) C:\Windows\system32\DRIVERS\wpdusb.sys
2011/05/16 09:18:25.0651 1164 ws2ifsl (e3a3cb253c0ec2494d4a61f5e43a389c) C:\Windows\system32\drivers\ws2ifsl.sys
2011/05/16 09:18:25.0744 1164 WUDFRd (ac13cb789d93412106b0fb6c7eb2bcb6) C:\Windows\system32\DRIVERS\WUDFRd.sys
2011/05/16 09:18:25.0854 1164 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (5867ce254625645345c833510d24f124) C:\Program Files\CyberLink\PlayMovie\000.fcl
2011/05/16 09:18:25.0900 1164 ================================================================================
2011/05/16 09:18:25.0900 1164 Scan finished
2011/05/16 09:18:25.0900 1164 ================================================================================
2011/05/16 09:18:25.0916 0820 Detected object count: 3
2011/05/16 09:18:49.0129 0820 HiddenService.Multi.Generic(pxkbf) - User select action: Skip
2011/05/16 09:18:49.0129 0820 HiddenService.Multi.Generic(pxrts) - User select action: Skip
2011/05/16 09:18:49.0129 0820 HiddenService.Multi.Generic(pxscan) - User select action: Skip
2011/05/16 09:18:55.0338 1012 Deinitialize success


Qui i settori

Immagine


Immagine


Immagine


Immagine


Immagine



quando finisco con vipre metto qui il log
<ho tentato tanti live rescue, tra cui anche kaspersky, ho eliminato virus ma ricompaiono nuovamente.
Anche spybot me ne rileva un sacco ma poi riappaiono al successivo riavvio.
Avatar utente
read82
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: ven mag 13, 2011 4:48 pm

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda read82 » lun mag 16, 2011 11:28 am

Viprer non ha trovato nulla [boh] [boh]
Avatar utente
read82
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: ven mag 13, 2011 4:48 pm

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda hashcat » lun mag 16, 2011 12:15 pm

read82 ha scritto:Viprer non ha trovato nulla [boh] [boh]

Hai eseguito TDSSKiller prima o dopo l'utilizzo dello strumento per rimuovere prevx?

Se l'hai eseguito prima fai pulizia con il tool sopra indicato e riposta un log aggiornato di TDSSKiller.
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda hashcat » lun mag 16, 2011 12:58 pm

Scarica ATF Cleaner ed esegui la pulizia con tutte le caselle selezionate.

Poi scarica NoVirusThanks Anti-Rootkit Free, avvialo, riavvia il computer, esegui una scansione, salva il log e postalo qui (tutte le caselle selezionate).

Visto che la modalità provvisoria con rete funziona potresti fare una scansione con Hitman Pro (richiede connessione mentre scansiona):
Se vengono rilevate delle minacce attiva la licenza di prova e rimuovile. Posta uno screenshot se durante la scansione appare una rilevazione simile:
Immagine
Al termine della scansione salva il log:
Immagine
e postalo nel prossimo messaggio.

Come ultime operazioni scarica TDSS Remover e Bootkit Remover


Ecco la procedura di TDSS Remover:

*** UTILIZZO
  • chiudi tutti i programmi in esecuzione e salva tutti i dati non salvati;
  • estrai e avvia lo strumento;
  • riavvia se necessario;
  • lascia che lo strumento controlli il computer alla ricerca di oggetti nascosti;
  • seleziona gli ogetti infetti che vuoi rimuovere (suggerimento: se non sei sicuro che un ogetto sia infetto o meno, utilizza l'opzione del menu contestuale 'Scan at VirusTotal.com');
  • clicca sul pulsante 'Delete selected';
  • consenti di riavviare subito;

Presta ATTENZIONE:

*** IMPORTANT: FALSI POSITIVI

Alcune applicazioni impediscono la lettura dei propri driver. Un comportamento di questo tipo può anche essere segno della presenza di un rootkit. Infatti, TDSS remover rileva i file bloccati come 'No Access', anche se questi potrebbero essere sicuri.

Attualmente siamo a conoscenza dei seguenti falsi positivi:

- Daemon Tools and Alcohol 120%: sptd.sys.
- Kaspersky Antivirus: fidbox*.*.
- Avast! antivirus: aswBoot.exe, AvastSS.scr, aswFsBlk.sys, aswMonFlt.sys,
aswRdr.sys, aswTdi.sys, aswSP.sys, aavmker4.sys, aswmon.sys, aswmon2.sys.


Per quanto riguarda Bootkit Remover ecco la procedura d'uso:

*** UTILIZZO

Lo strumento deve essere avviato tramite il prompt dei comandi:

remover.exe

La scansione dovrebbe terminare in meno di un secondo. Ecco i possibili risultati:

OK (DOS/Win32 Boot code found)
- MBR boot code is clean.

Unknown boot code
- MBR boot code is modified. This practically corresponds to either
an active bootkit infection, or a custom boot manager installed (such
as GRUB).

Controlled by rootkit!
- a bootkit with self-hiding capabilities is detected.


Al termine della scansione di Bootkit Remover esegui uno screenshot del risultato (esempio):
Immagine
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda hashcat » lun mag 16, 2011 1:55 pm

Puoi provare anche in questo modo che sembra abbia funzionato in un caso simile al tuo:
http://forum.avast.com/index.php?topic=77208.0

Procedura Scansione:

  1. Scarica lo strumento aswMBR.
  2. Avvia lo strumento mediante doppio click.
  3. Clicca sul pulsante "Scan" per avviare la scansione:

    Immagine
  4. Al termine della scansione clicca sul pulsante "Save log", salva il log e inseriscilo nel prossimo messaggio:

    Immagine

Procedura di rimozione:

  1. Avvia nuovamente lo strumento mediante doppio click
  2. Clicca sul pulsante "Scan" per avviare la scansione
  3. Al termine della scansione:
  • Clicca sul pulsante "Fix" per rimuovere un infezione di tipo TDL4 (MBRoot):

    Immagine
  • Clicca sul pulsante "FixMBR" per rimuovere un infezione di tipo Whistler:

    Immagine
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda read82 » lun mag 16, 2011 2:07 pm

ecco i vari log

premetto che
<no virus tanks, tdss remover non funzionano e mi danno codice d'errore
uninstaller di prevx non va in quanto al successivo riavvio mi ritrovo prevx

per quanto riguarda i log eccoli

tdsskiller(fatto dopo avere passato l'uninstaller di prevx, come suggeritomi da voi)

2011/05/16 14:26:43.0975 1700 TDSS rootkit removing tool 2.5.1.0 May 13 2011 13:20:29
2011/05/16 14:26:44.0427 1700 ================================================================================
2011/05/16 14:26:44.0427 1700 SystemInfo:
2011/05/16 14:26:44.0427 1700
2011/05/16 14:26:44.0427 1700 OS Version: 6.0.6002 ServicePack: 2.0
2011/05/16 14:26:44.0427 1700 Product type: Workstation
2011/05/16 14:26:44.0427 1700 ComputerName: PC-STEFANIA
2011/05/16 14:26:44.0427 1700 UserName: Stefania
2011/05/16 14:26:44.0427 1700 Windows directory: C:\Windows
2011/05/16 14:26:44.0427 1700 System windows directory: C:\Windows
2011/05/16 14:26:44.0427 1700 Processor architecture: Intel x86
2011/05/16 14:26:44.0427 1700 Number of processors: 2
2011/05/16 14:26:44.0427 1700 Page size: 0x1000
2011/05/16 14:26:44.0427 1700 Boot type: Safe boot with network
2011/05/16 14:26:44.0427 1700 ================================================================================
2011/05/16 14:26:44.0739 1700 Initialize success
2011/05/16 14:26:45.0987 1592 ================================================================================
2011/05/16 14:26:45.0987 1592 Scan started
2011/05/16 14:26:45.0987 1592 Mode: Manual;
2011/05/16 14:26:45.0987 1592 ================================================================================
2011/05/16 14:26:47.0126 1592 ACPI (82b296ae1892fe3dbee00c9cf92f8ac7) C:\Windows\system32\drivers\acpi.sys
2011/05/16 14:26:47.0532 1592 adp94xx (04f0fcac69c7c71a3ac4eb97fafc8303) C:\Windows\system32\drivers\adp94xx.sys
2011/05/16 14:26:47.0953 1592 adpahci (60505e0041f7751bdbb80f88bf45c2ce) C:\Windows\system32\drivers\adpahci.sys
2011/05/16 14:26:48.0343 1592 adpu160m (8a42779b02aec986eab64ecfc98f8bd7) C:\Windows\system32\drivers\adpu160m.sys
2011/05/16 14:26:48.0702 1592 adpu320 (241c9e37f8ce45ef51c3de27515ca4e5) C:\Windows\system32\drivers\adpu320.sys
2011/05/16 14:26:49.0248 1592 AFD (a201207363aa900abf1a388468688570) C:\Windows\system32\drivers\afd.sys
2011/05/16 14:26:49.0638 1592 agp440 (13f9e33747e6b41a3ff305c37db0d360) C:\Windows\system32\drivers\agp440.sys
2011/05/16 14:26:50.0090 1592 aic78xx (ae1fdf7bf7bb6c6a70f67699d880592a) C:\Windows\system32\drivers\djsvs.sys
2011/05/16 14:26:50.0464 1592 aliide (9eaef5fc9b8e351afa7e78a6fae91f91) C:\Windows\system32\drivers\aliide.sys
2011/05/16 14:26:50.0808 1592 amdagp (c47344bc706e5f0b9dce369516661578) C:\Windows\system32\drivers\amdagp.sys
2011/05/16 14:26:51.0151 1592 amdide (9b78a39a4c173fdbc1321e0dd659b34c) C:\Windows\system32\drivers\amdide.sys
2011/05/16 14:26:51.0322 1592 AmdK7 (18f29b49ad23ecee3d2a826c725c8d48) C:\Windows\system32\drivers\amdk7.sys
2011/05/16 14:26:51.0790 1592 AmdK8 (93ae7f7dd54ab986a6f1a1b37be7442d) C:\Windows\system32\drivers\amdk8.sys
2011/05/16 14:26:52.0134 1592 arc (5d2888182fb46632511acee92fdad522) C:\Windows\system32\drivers\arc.sys
2011/05/16 14:26:52.0524 1592 arcsas (5e2a321bd7c8b3624e41fdec3e244945) C:\Windows\system32\drivers\arcsas.sys
2011/05/16 14:26:52.0773 1592 AsyncMac (53b202abee6455406254444303e87be1) C:\Windows\system32\DRIVERS\asyncmac.sys
2011/05/16 14:26:53.0085 1592 atapi (1f05b78ab91c9075565a9d8a4b880bc4) C:\Windows\system32\drivers\atapi.sys
2011/05/16 14:26:54.0146 1592 Beep (67e506b75bd5326a3ec7b70bd014dfb6) C:\Windows\system32\drivers\Beep.sys
2011/05/16 14:26:54.0474 1592 blbdrive (d4df28447741fd3d953526e33a617397) C:\Windows\system32\drivers\blbdrive.sys
2011/05/16 14:26:54.0832 1592 bowser (74b442b2be1260b7588c136177ceac66) C:\Windows\system32\DRIVERS\bowser.sys
2011/05/16 14:26:55.0144 1592 BrFiltLo (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\drivers\brfiltlo.sys
2011/05/16 14:26:55.0441 1592 BrFiltUp (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\drivers\brfiltup.sys
2011/05/16 14:26:55.0940 1592 Brserid (b304e75cff293029eddf094246747113) C:\Windows\system32\drivers\brserid.sys
2011/05/16 14:26:56.0361 1592 BrSerWdm (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\system32\drivers\brserwdm.sys
2011/05/16 14:26:56.0720 1592 BrUsbMdm (bd456606156ba17e60a04e18016ae54b) C:\Windows\system32\drivers\brusbmdm.sys
2011/05/16 14:26:57.0172 1592 BrUsbSer (af72ed54503f717a43268b3cc5faec2e) C:\Windows\system32\drivers\brusbser.sys
2011/05/16 14:26:57.0609 1592 BTHMODEM (ad07c1ec6665b8b35741ab91200c6b68) C:\Windows\system32\drivers\bthmodem.sys
2011/05/16 14:26:57.0625 1592 Suspicious service (Hidden): catchme
2011/05/16 14:26:57.0781 1592 catchme - detected HiddenService.Multi.Generic (1)
2011/05/16 14:26:58.0077 1592 cdfs (7add03e75beb9e6dd102c3081d29840a) C:\Windows\system32\DRIVERS\cdfs.sys
2011/05/16 14:26:58.0483 1592 cdrom (6b4bffb9becd728097024276430db314) C:\Windows\system32\DRIVERS\cdrom.sys
2011/05/16 14:26:58.0842 1592 circlass (e5d4133f37219dbcfe102bc61072589d) C:\Windows\system32\drivers\circlass.sys
2011/05/16 14:26:59.0216 1592 CLFS (d7659d3b5b92c31e84e53c1431f35132) C:\Windows\system32\CLFS.sys
2011/05/16 14:26:59.0590 1592 CmBatt (99afc3795b58cc478fbbbcdc658fcb56) C:\Windows\system32\DRIVERS\CmBatt.sys
2011/05/16 14:26:59.0996 1592 cmdide (0ca25e686a4928484e9fdabd168ab629) C:\Windows\system32\drivers\cmdide.sys
2011/05/16 14:27:00.0464 1592 Compbatt (6afef0b60fa25de07c0968983ee4f60a) C:\Windows\system32\DRIVERS\compbatt.sys
2011/05/16 14:27:00.0885 1592 crcdisk (741e9dff4f42d2d8477d0fc1dc0df871) C:\Windows\system32\drivers\crcdisk.sys
2011/05/16 14:27:01.0260 1592 Crusoe (1f07becdca750766a96cda811ba86410) C:\Windows\system32\drivers\crusoe.sys
2011/05/16 14:27:01.0556 1592 DfsC (218d8ae46c88e82014f5d73d0236d9b2) C:\Windows\system32\Drivers\dfsc.sys
2011/05/16 14:27:01.0852 1592 disk (5d4aefc3386920236a548271f8f1af6a) C:\Windows\system32\drivers\disk.sys
2011/05/16 14:27:02.0071 1592 drmkaud (97fef831ab90bee128c9af390e243f80) C:\Windows\system32\drivers\drmkaud.sys
2011/05/16 14:27:02.0227 1592 DXGKrnl (c68ac676b0ef30cfbb1080adce49eb1f) C:\Windows\System32\drivers\dxgkrnl.sys
2011/05/16 14:27:02.0430 1592 E1G60 (5425f74ac0c1dbd96a1e04f17d63f94c) C:\Windows\system32\DRIVERS\E1G60I32.sys
2011/05/16 14:27:02.0539 1592 Ecache (7f64ea048dcfac7acf8b4d7b4e6fe371) C:\Windows\system32\drivers\ecache.sys
2011/05/16 14:27:02.0804 1592 elxstor (23b62471681a124889978f6295b3f4c6) C:\Windows\system32\drivers\elxstor.sys
2011/05/16 14:27:03.0022 1592 ErrDev (3db974f3935483555d7148663f726c61) C:\Windows\system32\drivers\errdev.sys
2011/05/16 14:27:03.0256 1592 exfat (22b408651f9123527bcee54b4f6c5cae) C:\Windows\system32\drivers\exfat.sys
2011/05/16 14:27:03.0444 1592 fastfat (1e9b9a70d332103c52995e957dc09ef8) C:\Windows\system32\drivers\fastfat.sys
2011/05/16 14:27:03.0600 1592 fdc (afe1e8b9782a0dd7fb46bbd88e43f89a) C:\Windows\system32\DRIVERS\fdc.sys
2011/05/16 14:27:03.0849 1592 FileInfo (a8c0139a884861e3aae9cfe73b208a9f) C:\Windows\system32\drivers\fileinfo.sys
2011/05/16 14:27:04.0239 1592 Filetrace (0ae429a696aecbc5970e3cf2c62635ae) C:\Windows\system32\drivers\filetrace.sys
2011/05/16 14:27:04.0645 1592 flpydisk (85b7cf99d532820495d68d747fda9ebd) C:\Windows\system32\DRIVERS\flpydisk.sys
2011/05/16 14:27:05.0035 1592 FltMgr (01334f9ea68e6877c4ef05d3ea8abb05) C:\Windows\system32\drivers\fltmgr.sys
2011/05/16 14:27:05.0472 1592 Fs_Rec (65ea8b77b5851854f0c55c43fa51a198) C:\Windows\system32\drivers\Fs_Rec.sys
2011/05/16 14:27:05.0893 1592 gagp30kx (34582a6e6573d54a07ece5fe24a126b5) C:\Windows\system32\drivers\gagp30kx.sys
2011/05/16 14:27:06.0486 1592 HdAudAddService (cb04c744be0a61b1d648faed182c3b59) C:\Windows\system32\drivers\HdAudio.sys
2011/05/16 14:27:07.0032 1592 HDAudBus (062452b7ffd68c8c042a6261fe8dff4a) C:\Windows\system32\DRIVERS\HDAudBus.sys
2011/05/16 14:27:07.0344 1592 HidBth (1338520e78d90154ed6be8f84de5fceb) C:\Windows\system32\drivers\hidbth.sys
2011/05/16 14:27:07.0702 1592 HidIr (ff3160c3a2445128c5a6d9b076da519e) C:\Windows\system32\drivers\hidir.sys
2011/05/16 14:27:08.0170 1592 HidUsb (cca4b519b17e23a00b826c55716809cc) C:\Windows\system32\DRIVERS\hidusb.sys
2011/05/16 14:27:08.0529 1592 HpCISSs (16ee7b23a009e00d835cdb79574a91a6) C:\Windows\system32\drivers\hpcisss.sys
2011/05/16 14:27:08.0841 1592 HTTP (0eeeca26c8d4bde2a4664db058a81937) C:\Windows\system32\drivers\HTTP.sys
2011/05/16 14:27:09.0325 1592 i2omp (c6b032d69650985468160fc9937cf5b4) C:\Windows\system32\drivers\i2omp.sys
2011/05/16 14:27:09.0730 1592 i8042prt (22d56c8184586b7a1f6fa60be5f5a2bd) C:\Windows\system32\DRIVERS\i8042prt.sys
2011/05/16 14:27:10.0198 1592 iaStorV (54155ea1b0df185878e0fc9ec3ac3a14) C:\Windows\system32\drivers\iastorv.sys
2011/05/16 14:27:11.0134 1592 igfx (0627fc0c422cd6e0f23e1b0d1d9f0899) C:\Windows\system32\DRIVERS\igdkmd32.sys
2011/05/16 14:27:11.0462 1592 iirsp (2d077bf86e843f901d8db709c95b49a5) C:\Windows\system32\drivers\iirsp.sys
2011/05/16 14:27:12.0164 1592 IntcAzAudAddService (9b89f2e3d705651dec1f01033b9d6b24) C:\Windows\system32\drivers\RTKVHDA.sys
2011/05/16 14:27:12.0741 1592 intelide (83aa759f3189e6370c30de5dc5590718) C:\Windows\system32\drivers\intelide.sys
2011/05/16 14:27:13.0225 1592 intelppm (224191001e78c89dfa78924c3ea595ff) C:\Windows\system32\DRIVERS\intelppm.sys
2011/05/16 14:27:13.0989 1592 IPMIDRV (b25aaf203552b7b3491139d582b39ad1) C:\Windows\system32\drivers\ipmidrv.sys
2011/05/16 14:27:14.0301 1592 IPNAT (8793643a67b42cec66490b2a0cf92d68) C:\Windows\system32\DRIVERS\ipnat.sys
2011/05/16 14:27:14.0644 1592 IRENUM (109c0dfb82c3632fbd11949b73aeeac9) C:\Windows\system32\drivers\irenum.sys
2011/05/16 14:27:15.0034 1592 isapnp (6c70698a3e5c4376c6ab5c7c17fb0614) C:\Windows\system32\drivers\isapnp.sys
2011/05/16 14:27:15.0471 1592 iScsiPrt (232fa340531d940aac623b121a595034) C:\Windows\system32\DRIVERS\msiscsi.sys
2011/05/16 14:27:15.0970 1592 iteatapi (bced60d16156e428f8df8cf27b0df150) C:\Windows\system32\drivers\iteatapi.sys
2011/05/16 14:27:16.0251 1592 iteraid (06fa654504a498c30adca8bec4e87e7e) C:\Windows\system32\drivers\iteraid.sys
2011/05/16 14:27:16.0782 1592 kbdclass (37605e0a8cf00cbba538e753e4344c6e) C:\Windows\system32\DRIVERS\kbdclass.sys
2011/05/16 14:27:17.0031 1592 kbdhid (ede59ec70e25c24581add1fbec7325f7) C:\Windows\system32\DRIVERS\kbdhid.sys
2011/05/16 14:27:17.0780 1592 KSecDD (86165728af9bf72d6442a894fdfb4f8b) C:\Windows\system32\Drivers\ksecdd.sys
2011/05/16 14:27:18.0186 1592 lltdio (d1c5883087a0c3f1344d9d55a44901f6) C:\Windows\system32\DRIVERS\lltdio.sys
2011/05/16 14:27:18.0529 1592 LSI_FC (c7e15e82879bf3235b559563d4185365) C:\Windows\system32\drivers\lsi_fc.sys
2011/05/16 14:27:18.0888 1592 LSI_SAS (ee01ebae8c9bf0fa072e0ff68718920a) C:\Windows\system32\drivers\lsi_sas.sys
2011/05/16 14:27:19.0184 1592 LSI_SCSI (912a04696e9ca30146a62afa1463dd5c) C:\Windows\system32\drivers\lsi_scsi.sys
2011/05/16 14:27:19.0309 1592 luafv (8f5c7426567798e62a3b3614965d62cc) C:\Windows\system32\drivers\luafv.sys
2011/05/16 14:27:19.0699 1592 megasas (0001ce609d66632fa17b84705f658879) C:\Windows\system32\drivers\megasas.sys
2011/05/16 14:27:20.0136 1592 MegaSR (c252f32cd9a49dbfc25ecf26ebd51a99) C:\Windows\system32\drivers\megasr.sys
2011/05/16 14:27:20.0900 1592 Modem (e13b5ea0f51ba5b1512ec671393d09ba) C:\Windows\system32\drivers\modem.sys
2011/05/16 14:27:21.0228 1592 monitor (0a9bb33b56e294f686abb7c1e4e2d8a8) C:\Windows\system32\DRIVERS\monitor.sys
2011/05/16 14:27:21.0633 1592 mouclass (5bf6a1326a335c5298477754a506d263) C:\Windows\system32\DRIVERS\mouclass.sys
2011/05/16 14:27:22.0039 1592 mouhid (93b8d4869e12cfbe663915502900876f) C:\Windows\system32\DRIVERS\mouhid.sys
2011/05/16 14:27:22.0413 1592 MountMgr (bdafc88aa6b92f7842416ea6a48e1600) C:\Windows\system32\drivers\mountmgr.sys
2011/05/16 14:27:22.0772 1592 mpio (511d011289755dd9f9a7579fb0b064e6) C:\Windows\system32\drivers\mpio.sys
2011/05/16 14:27:23.0162 1592 mpsdrv (22241feba9b2defa669c8cb0a8dd7d2e) C:\Windows\system32\drivers\mpsdrv.sys
2011/05/16 14:27:23.0614 1592 Mraid35x (4fbbb70d30fd20ec51f80061703b001e) C:\Windows\system32\drivers\mraid35x.sys
2011/05/16 14:27:24.0051 1592 MRxDAV (82cea0395524aacfeb58ba1448e8325c) C:\Windows\system32\drivers\mrxdav.sys
2011/05/16 14:27:24.0472 1592 mrxsmb (454341e652bdf5e01b0f2140232b073e) C:\Windows\system32\DRIVERS\mrxsmb.sys
2011/05/16 14:27:24.0972 1592 mrxsmb10 (2a4901aff069944fa945ed5bbf4dcde3) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2011/05/16 14:27:25.0330 1592 mrxsmb20 (28b3f1ab44bdd4432c041581412f17d9) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2011/05/16 14:27:25.0767 1592 msahci (28023e86f17001f7cd9b15a5bc9ae07d) C:\Windows\system32\drivers\msahci.sys
2011/05/16 14:27:26.0235 1592 msdsm (4468b0f385a86ecddaf8d3ca662ec0e7) C:\Windows\system32\drivers\msdsm.sys
2011/05/16 14:27:26.0828 1592 Msfs (a9927f4a46b816c92f461acb90cf8515) C:\Windows\system32\drivers\Msfs.sys
2011/05/16 14:27:27.0358 1592 msisadrv (0f400e306f385c56317357d6dea56f62) C:\Windows\system32\drivers\msisadrv.sys
2011/05/16 14:27:27.0577 1592 MSKSSRV (d8c63d34d9c9e56c059e24ec7185cc07) C:\Windows\system32\drivers\MSKSSRV.sys
2011/05/16 14:27:27.0733 1592 MSPCLOCK (1d373c90d62ddb641d50e55b9e78d65e) C:\Windows\system32\drivers\MSPCLOCK.sys
2011/05/16 14:27:28.0201 1592 MSPQM (b572da05bf4e098d4bba3a4734fb505b) C:\Windows\system32\drivers\MSPQM.sys
2011/05/16 14:27:28.0669 1592 MsRPC (b49456d70555de905c311bcda6ec6adb) C:\Windows\system32\drivers\MsRPC.sys
2011/05/16 14:27:29.0230 1592 mssmbios (e384487cb84be41d09711c30ca79646c) C:\Windows\system32\DRIVERS\mssmbios.sys
2011/05/16 14:27:29.0667 1592 MSTEE (7199c1eec1e4993caf96b8c0a26bd58a) C:\Windows\system32\drivers\MSTEE.sys
2011/05/16 14:27:30.0057 1592 Mup (6a57b5733d4cb702c8ea4542e836b96c) C:\Windows\system32\Drivers\mup.sys
2011/05/16 14:27:30.0510 1592 NativeWifiP (85c44fdff9cf7e72a40dcb7ec06a4416) C:\Windows\system32\DRIVERS\nwifi.sys
2011/05/16 14:27:30.0978 1592 NDIS (1357274d1883f68300aeadd15d7bbb42) C:\Windows\system32\drivers\ndis.sys
2011/05/16 14:27:31.0321 1592 NdisTapi (0e186e90404980569fb449ba7519ae61) C:\Windows\system32\DRIVERS\ndistapi.sys
2011/05/16 14:27:31.0789 1592 Ndisuio (d6973aa34c4d5d76c0430b181c3cd389) C:\Windows\system32\DRIVERS\ndisuio.sys
2011/05/16 14:27:32.0085 1592 NdisWan (818f648618ae34f729fdb47ec68345c3) C:\Windows\system32\DRIVERS\ndiswan.sys
2011/05/16 14:27:32.0366 1592 NDProxy (71dab552b41936358f3b541ae5997fb3) C:\Windows\system32\drivers\NDProxy.sys
2011/05/16 14:27:32.0943 1592 NetBIOS (bcd093a5a6777cf626434568dc7dba78) C:\Windows\system32\DRIVERS\netbios.sys
2011/05/16 14:27:33.0349 1592 netbt (ecd64230a59cbd93c85f1cd1cab9f3f6) C:\Windows\system32\DRIVERS\netbt.sys
2011/05/16 14:27:33.0583 1592 netr28 (ebbd48d3f4361773b812ca67a9cfc69b) C:\Windows\system32\DRIVERS\netr28.sys
2011/05/16 14:27:33.0661 1592 nfrd960 (2e7fb731d4790a1bc6270accefacb36e) C:\Windows\system32\drivers\nfrd960.sys
2011/05/16 14:27:34.0020 1592 Npfs (d36f239d7cce1931598e8fb90a0dbc26) C:\Windows\system32\drivers\Npfs.sys
2011/05/16 14:27:34.0316 1592 nsiproxy (609773e344a97410ce4ebf74a8914fcf) C:\Windows\system32\drivers\nsiproxy.sys
2011/05/16 14:27:34.0940 1592 Ntfs (6a4a98cee84cf9e99564510dda4baa47) C:\Windows\system32\drivers\Ntfs.sys
2011/05/16 14:27:35.0392 1592 ntrigdigi (e875c093aec0c978a90f30c9e0dfbb72) C:\Windows\system32\drivers\ntrigdigi.sys
2011/05/16 14:27:35.0814 1592 Null (c5dbbcda07d780bda9b685df333bb41e) C:\Windows\system32\drivers\Null.sys
2011/05/16 14:27:36.0048 1592 nvraid (2edf9e7751554b42cbb60116de727101) C:\Windows\system32\drivers\nvraid.sys
2011/05/16 14:27:36.0172 1592 nvstor (abed0c09758d1d97db0042dbb2688177) C:\Windows\system32\drivers\nvstor.sys
2011/05/16 14:27:36.0344 1592 nv_agp (18bbdf913916b71bd54575bdb6eeac0b) C:\Windows\system32\drivers\nv_agp.sys
2011/05/16 14:27:37.0124 1592 ohci1394 (be32da025a0be1878f0ee8d6d9386cd5) C:\Windows\system32\drivers\ohci1394.sys
2011/05/16 14:27:37.0389 1592 ONDAusbmdm6k (68d6547cd02e1580add755320c03ab55) C:\Windows\system32\DRIVERS\ONDAusbmdm6k.sys
2011/05/16 14:27:37.0592 1592 ONDAusbnmea (68d6547cd02e1580add755320c03ab55) C:\Windows\system32\DRIVERS\ONDAusbnmea.sys
2011/05/16 14:27:38.0044 1592 ONDAusbser6k (68d6547cd02e1580add755320c03ab55) C:\Windows\system32\DRIVERS\ONDAusbser6k.sys
2011/05/16 14:27:38.0450 1592 ONDA_MW823UP_cdc_acm (9144d56218dabd1fed42d2e1804a99f0) C:\Windows\system32\DRIVERS\ONDA_MW823UP_cdc_acm.sys
2011/05/16 14:27:38.0965 1592 ONDA_MW823UP_cdc_ecm (8fec988f3e2ab0168e843f21a49bfd2b) C:\Windows\system32\DRIVERS\ONDA_MW823UP_cdc_ecm.sys
2011/05/16 14:27:39.0402 1592 ONDA_MW823UP_cpo (e8631963b0857deede6fb48798ada5dc) C:\Windows\system32\DRIVERS\ONDA_MW823UP_cpo.sys
2011/05/16 14:27:39.0823 1592 ONDA_MW823UP_dc_enum (c34a5c57af3fabe6dfb0e0d9f6c58c3f) C:\Windows\system32\DRIVERS\ONDA_MW823UP_dc_enum.sys
2011/05/16 14:27:40.0166 1592 Parport (0fa9b5055484649d63c303fe404e5f4d) C:\Windows\system32\drivers\parport.sys
2011/05/16 14:27:40.0603 1592 partmgr (57389fa59a36d96b3eb09d0cb91e9cdc) C:\Windows\system32\drivers\partmgr.sys
2011/05/16 14:27:40.0899 1592 Parvdm (4f9a6a8a31413180d0fcb279ad5d8112) C:\Windows\system32\drivers\parvdm.sys
2011/05/16 14:27:41.0242 1592 pci (941dc1d19e7e8620f40bbc206981efdb) C:\Windows\system32\drivers\pci.sys
2011/05/16 14:27:41.0679 1592 pciide (1636d43f10416aeb483bc6001097b26c) C:\Windows\system32\drivers\pciide.sys
2011/05/16 14:27:42.0022 1592 pcmcia (e6f3fb1b86aa519e7698ad05e58b04e5) C:\Windows\system32\drivers\pcmcia.sys
2011/05/16 14:27:42.0397 1592 PEAUTH (6349f6ed9c623b44b52ea3c63c831a92) C:\Windows\system32\drivers\peauth.sys
2011/05/16 14:27:42.0927 1592 PptpMiniport (ecfffaec0c1ecd8dbc77f39070ea1db1) C:\Windows\system32\DRIVERS\raspptp.sys
2011/05/16 14:27:43.0270 1592 Processor (2027293619dd0f047c584cf2e7df4ffd) C:\Windows\system32\drivers\processr.sys
2011/05/16 14:27:43.0645 1592 PSched (99514faa8df93d34b5589187db3aa0ba) C:\Windows\system32\DRIVERS\pacer.sys
2011/05/16 14:27:44.0097 1592 PxHelp20 (d86b4a68565e444d76457f14172c875a) C:\Windows\system32\Drivers\PxHelp20.sys
2011/05/16 14:27:44.0097 1592 Suspicious service (Hidden): pxkbf
2011/05/16 14:27:44.0378 1592 pxkbf - detected HiddenService.Multi.Generic (1)
2011/05/16 14:27:44.0394 1592 Suspicious service (Hidden): pxrts
2011/05/16 14:27:44.0643 1592 pxrts - detected HiddenService.Multi.Generic (1)
2011/05/16 14:27:44.0643 1592 Suspicious service (Hidden): pxscan
2011/05/16 14:27:44.0893 1592 pxscan - detected HiddenService.Multi.Generic (1)
2011/05/16 14:27:45.0782 1592 ql2300 (0a6db55afb7820c99aa1f3a1d270f4f6) C:\Windows\system32\drivers\ql2300.sys
2011/05/16 14:27:46.0078 1592 ql40xx (81a7e5c076e59995d54bc1ed3a16e60b) C:\Windows\system32\drivers\ql40xx.sys
2011/05/16 14:27:46.0328 1592 QWAVEdrv (9f5e0e1926014d17486901c88eca2db7) C:\Windows\system32\drivers\qwavedrv.sys
2011/05/16 14:27:46.0437 1592 RasAcd (147d7f9c556d259924351feb0de606c3) C:\Windows\system32\DRIVERS\rasacd.sys
2011/05/16 14:27:46.0765 1592 Rasl2tp (a214adbaf4cb47dd2728859ef31f26b0) C:\Windows\system32\DRIVERS\rasl2tp.sys
2011/05/16 14:27:47.0155 1592 RasPppoe (509a98dd18af4375e1fc40bc175f1def) C:\Windows\system32\DRIVERS\raspppoe.sys
2011/05/16 14:27:47.0592 1592 RasSstp (2005f4a1e05fa09389ac85840f0a9e4d) C:\Windows\system32\DRIVERS\rassstp.sys
2011/05/16 14:27:48.0153 1592 rdbss (b14c9d5b9add2f84f70570bbbfaa7935) C:\Windows\system32\DRIVERS\rdbss.sys
2011/05/16 14:27:48.0496 1592 RDPCDD (89e59be9a564262a3fb6c4f4f1cd9899) C:\Windows\system32\DRIVERS\RDPCDD.sys
2011/05/16 14:27:48.0762 1592 rdpdr (fbc0bacd9c3d7f6956853f64a66e252d) C:\Windows\system32\drivers\rdpdr.sys
2011/05/16 14:27:49.0136 1592 RDPENCDD (9d91fe5286f748862ecffa05f8a0710c) C:\Windows\system32\drivers\rdpencdd.sys
2011/05/16 14:27:49.0448 1592 RDPWD (30bfbdfb7f95559ede971f9ddb9a00ba) C:\Windows\system32\drivers\RDPWD.sys
2011/05/16 14:27:49.0994 1592 rspndr (9c508f4074a39e8b4b31d27198146fad) C:\Windows\system32\DRIVERS\rspndr.sys
2011/05/16 14:27:50.0337 1592 RTL8169 (174b9514cd1a0c33ce4bbc02a3c81a62) C:\Windows\system32\DRIVERS\Rtlh86.sys
2011/05/16 14:27:50.0805 1592 RTL8187B (406046dd9c70bec52881ccec7e11d83c) C:\Windows\system32\DRIVERS\RTL8187B.sys
2011/05/16 14:27:51.0258 1592 RTSTOR (01c64783db1f40e1e3df67dd36199b35) C:\Windows\system32\drivers\RTSTOR.SYS
2011/05/16 14:27:51.0570 1592 sbp2port (3ce8f073a557e172b330109436984e30) C:\Windows\system32\drivers\sbp2port.sys
2011/05/16 14:27:51.0991 1592 secdrv (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
2011/05/16 14:27:52.0412 1592 Serenum (68e44e331d46f0fb38f0863a84cd1a31) C:\Windows\system32\drivers\serenum.sys
2011/05/16 14:27:52.0818 1592 Serial (c70d69a918b178d3c3b06339b40c2e1b) C:\Windows\system32\drivers\serial.sys
2011/05/16 14:27:53.0176 1592 sermouse (8af3d28a879bf75db53a0ee7a4289624) C:\Windows\system32\drivers\sermouse.sys
2011/05/16 14:27:53.0566 1592 sffdisk (3efa810bdca87f6ecc24f9832243fe86) C:\Windows\system32\drivers\sffdisk.sys
2011/05/16 14:27:54.0066 1592 sffp_mmc (e95d451f7ea3e583aec75f3b3ee42dc5) C:\Windows\system32\drivers\sffp_mmc.sys
2011/05/16 14:27:54.0534 1592 sffp_sd (3d0ea348784b7ac9ea9bd9f317980979) C:\Windows\system32\drivers\sffp_sd.sys
2011/05/16 14:27:54.0986 1592 sfloppy (46ed8e91793b2e6f848015445a0ac188) C:\Windows\system32\drivers\sfloppy.sys
2011/05/16 14:27:55.0532 1592 sisagp (1d76624a09a054f682d746b924e2dbc3) C:\Windows\system32\drivers\sisagp.sys
2011/05/16 14:27:56.0000 1592 SiSRaid2 (43cb7aa756c7db280d01da9b676cfde2) C:\Windows\system32\drivers\sisraid2.sys
2011/05/16 14:27:56.0562 1592 SiSRaid4 (a99c6c8b0baa970d8aa59ddc50b57f94) C:\Windows\system32\drivers\sisraid4.sys
2011/05/16 14:27:57.0170 1592 Smb (7b75299a4d201d6a6533603d6914ab04) C:\Windows\system32\DRIVERS\smb.sys
2011/05/16 14:27:57.0950 1592 spldr (7aebdeef071fe28b0eef2cdd69102bff) C:\Windows\system32\drivers\spldr.sys
2011/05/16 14:27:58.0418 1592 srv (ff3cbc13db84d81f56931bc922cc37c4) C:\Windows\system32\DRIVERS\srv.sys
2011/05/16 14:27:58.0902 1592 srv2 (d15959d9f69f0d39a0153e9c244f20dd) C:\Windows\system32\DRIVERS\srv2.sys
2011/05/16 14:27:59.0167 1592 srvnet (faa0d553a49e85008c6bb3781987c574) C:\Windows\system32\DRIVERS\srvnet.sys
2011/05/16 14:27:59.0635 1592 swenum (7ba58ecf0c0a9a69d44b3dca62becf56) C:\Windows\system32\DRIVERS\swenum.sys
2011/05/16 14:27:59.0853 1592 Symc8xx (192aa3ac01df071b541094f251deed10) C:\Windows\system32\drivers\symc8xx.sys
2011/05/16 14:27:59.0994 1592 Sym_hi (8c8eb8c76736ebaf3b13b633b2e64125) C:\Windows\system32\drivers\sym_hi.sys
2011/05/16 14:28:00.0103 1592 Sym_u3 (8072af52b5fd103bbba387a1e49f62cb) C:\Windows\system32\drivers\sym_u3.sys
2011/05/16 14:28:00.0212 1592 SynTP (d2aa5d5fdb821eb5f9366c5e3bc2d9ea) C:\Windows\system32\DRIVERS\SynTP.sys
2011/05/16 14:28:00.0477 1592 Tcpip (a474879afa4a596b3a531f3e69730dbf) C:\Windows\system32\drivers\tcpip.sys
2011/05/16 14:28:00.0742 1592 Tcpip6 (a474879afa4a596b3a531f3e69730dbf) C:\Windows\system32\DRIVERS\tcpip.sys
2011/05/16 14:28:00.0945 1592 tcpipreg (608c345a255d82a6289c2d468eb41fd7) C:\Windows\system32\drivers\tcpipreg.sys
2011/05/16 14:28:01.0039 1592 TDPIPE (5dcf5e267be67a1ae926f2df77fbcc56) C:\Windows\system32\drivers\tdpipe.sys
2011/05/16 14:28:01.0273 1592 TDTCP (389c63e32b3cefed425b61ed92d3f021) C:\Windows\system32\drivers\tdtcp.sys
2011/05/16 14:28:01.0366 1592 tdx (76b06eb8a01fc8624d699e7045303e54) C:\Windows\system32\DRIVERS\tdx.sys
2011/05/16 14:28:01.0725 1592 TermDD (3cad38910468eab9a6479e2f01db43c7) C:\Windows\system32\DRIVERS\termdd.sys
2011/05/16 14:28:01.0944 1592 tssecsrv (dcf0f056a2e4f52287264f5ab29cf206) C:\Windows\system32\DRIVERS\tssecsrv.sys
2011/05/16 14:28:01.0990 1592 tunmp (caecc0120ac49e3d2f758b9169872d38) C:\Windows\system32\DRIVERS\tunmp.sys
2011/05/16 14:28:02.0193 1592 tunnel (119b8184e106baedc83fce5ddf3950da) C:\Windows\system32\DRIVERS\tunnel.sys
2011/05/16 14:28:02.0302 1592 uagp35 (7d33c4db2ce363c8518d2dfcf533941f) C:\Windows\system32\drivers\uagp35.sys
2011/05/16 14:28:02.0583 1592 udfs (d9728af68c4c7693cb100b8441cbdec6) C:\Windows\system32\DRIVERS\udfs.sys
2011/05/16 14:28:02.0833 1592 uliagpkx (b0acfdc9e4af279e9116c03e014b2b27) C:\Windows\system32\drivers\uliagpkx.sys
2011/05/16 14:28:02.0895 1592 uliahci (9224bb254f591de4ca8d572a5f0d635c) C:\Windows\system32\drivers\uliahci.sys
2011/05/16 14:28:03.0098 1592 UlSata (8514d0e5cd0534467c5fc61be94a569f) C:\Windows\system32\drivers\ulsata.sys
2011/05/16 14:28:03.0238 1592 ulsata2 (38c3c6e62b157a6bc46594fada45c62b) C:\Windows\system32\drivers\ulsata2.sys
2011/05/16 14:28:03.0379 1592 umbus (32cff9f809ae9aed85464492bf3e32d2) C:\Windows\system32\DRIVERS\umbus.sys
2011/05/16 14:28:03.0519 1592 usbccgp (caf811ae4c147ffcd5b51750c7f09142) C:\Windows\system32\DRIVERS\usbccgp.sys
2011/05/16 14:28:03.0800 1592 usbcir (e9476e6c486e76bc4898074768fb7131) C:\Windows\system32\drivers\usbcir.sys
2011/05/16 14:28:04.0003 1592 usbehci (79e96c23a97ce7b8f14d310da2db0c9b) C:\Windows\system32\DRIVERS\usbehci.sys
2011/05/16 14:28:04.0128 1592 usbhub (4673bbcb006af60e7abddbe7a130ba42) C:\Windows\system32\DRIVERS\usbhub.sys
2011/05/16 14:28:04.0330 1592 usbohci (38dbc7dd6cc5a72011f187425384388b) C:\Windows\system32\drivers\usbohci.sys
2011/05/16 14:28:04.0440 1592 usbprint (e75c4b5269091d15a2e7dc0b6d35f2f5) C:\Windows\system32\DRIVERS\usbprint.sys
2011/05/16 14:28:04.0658 1592 usbscan (a508c9bd8724980512136b039bba65e9) C:\Windows\system32\DRIVERS\usbscan.sys
2011/05/16 14:28:04.0798 1592 USBSTOR (be3da31c191bc222d9ad503c5224f2ad) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2011/05/16 14:28:04.0954 1592 usbuhci (814d653efc4d48be3b04a307eceff56f) C:\Windows\system32\DRIVERS\usbuhci.sys
2011/05/16 14:28:05.0142 1592 usbvideo (e67998e8f14cb0627a769f6530bcb352) C:\Windows\system32\Drivers\usbvideo.sys
2011/05/16 14:28:05.0266 1592 vga (87b06e1f30b749a114f74622d013f8d4) C:\Windows\system32\DRIVERS\vgapnp.sys
2011/05/16 14:28:05.0563 1592 VgaSave (2e93ac0a1d8c79d019db6c51f036636c) C:\Windows\System32\drivers\vga.sys
2011/05/16 14:28:05.0812 1592 viaagp (5d7159def58a800d5781ba3a879627bc) C:\Windows\system32\drivers\viaagp.sys
2011/05/16 14:28:05.0984 1592 ViaC7 (c4f3a691b5bad343e6249bd8c2d45dee) C:\Windows\system32\drivers\viac7.sys
2011/05/16 14:28:06.0109 1592 viaide (aadf5587a4063f52c2c3fed7887426fc) C:\Windows\system32\drivers\viaide.sys
2011/05/16 14:28:06.0218 1592 volmgr (69503668ac66c77c6cd7af86fbdf8c43) C:\Windows\system32\drivers\volmgr.sys
2011/05/16 14:28:06.0374 1592 volmgrx (23e41b834759917bfd6b9a0d625d0c28) C:\Windows\system32\drivers\volmgrx.sys
2011/05/16 14:28:06.0655 1592 volsnap (147281c01fcb1df9252de2a10d5e7093) C:\Windows\system32\drivers\volsnap.sys
2011/05/16 14:28:06.0858 1592 vsmraid (587253e09325e6bf226b299774b728a9) C:\Windows\system32\drivers\vsmraid.sys
2011/05/16 14:28:07.0201 1592 WacomPen (48dfee8f1af7c8235d4e626f0c4fe031) C:\Windows\system32\drivers\wacompen.sys
2011/05/16 14:28:07.0591 1592 Wanarp (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2011/05/16 14:28:07.0622 1592 Wanarpv6 (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2011/05/16 14:28:08.0012 1592 Wd (78fe9542363f297b18c027b2d7e7c07f) C:\Windows\system32\drivers\wd.sys
2011/05/16 14:28:08.0449 1592 Wdf01000 (9950e3d0f08141c7e89e64456ae7dc73) C:\Windows\system32\drivers\Wdf01000.sys
2011/05/16 14:28:08.0823 1592 WmiAcpi (2e7255d172df0b8283cdfb7b433b864e) C:\Windows\system32\drivers\wmiacpi.sys
2011/05/16 14:28:09.0229 1592 WpdUsb (de9d36f91a4df3d911626643debf11ea) C:\Windows\system32\DRIVERS\wpdusb.sys
2011/05/16 14:28:09.0588 1592 ws2ifsl (e3a3cb253c0ec2494d4a61f5e43a389c) C:\Windows\system32\drivers\ws2ifsl.sys
2011/05/16 14:28:09.0946 1592 WUDFRd (ac13cb789d93412106b0fb6c7eb2bcb6) C:\Windows\system32\DRIVERS\WUDFRd.sys
2011/05/16 14:28:10.0227 1592 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796} (5867ce254625645345c833510d24f124) C:\Program Files\CyberLink\PlayMovie\000.fcl
2011/05/16 14:28:10.0336 1592 ================================================================================
2011/05/16 14:28:10.0336 1592 Scan finished
2011/05/16 14:28:10.0336 1592 ================================================================================
2011/05/16 14:28:10.0336 1548 Detected object count: 4
2011/05/16 14:28:17.0122 1548 HiddenService.Multi.Generic(catchme) - User select action: Skip
2011/05/16 14:28:17.0138 1548 HiddenService.Multi.Generic(pxkbf) - User select action: Skip
2011/05/16 14:28:17.0138 1548 HiddenService.Multi.Generic(pxrts) - User select action: Skip
2011/05/16 14:28:17.0138 1548 HiddenService.Multi.Generic(pxscan) - User select action: Skip
2011/05/16 14:30:02.0204 1052 Deinitialize success



Hitman pro

<Log computer="PC-STEFANIA" scan="Normal" version="3.5.8.121" date="2011-05-16T14:46:35" timeSpentInSecs="133" filesProcessed="43679">
- <Item type="Suspicious" score="43.0" status="None">
<File path="C:\Users\Public\UNIVERSITA' STEFANIA\Nuova cartella (2)\A-Tono windows.exe" hash="DB813997D2157D7855D3226EE58D75ED5ED90D8503FC24069782198B0286A07A" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\Stefania\AppData\Roaming\Microsoft\Windows\Cookies\stefania@ad.yieldmanager[2].txt" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\Stefania\AppData\Roaming\Microsoft\Windows\Cookies\stefania@doubleclick[2].txt" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\Stefania\AppData\Roaming\Microsoft\Windows\Cookies\stefania@eas8.emediate[1].txt" />
</Item>
- <Item type="Repair" score="0.0" status="Deleted">
<File path="C:\Users\Stefania\AppData\Roaming\Microsoft\Windows\Cookies\stefania@invitemedia[1].txt" />
</Item>
- <Item type="Repair" score="0.0" status="Repaired">
<File path="HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\" />
</Item>
- <Item type="Repair" score="0.0" status="Repaired">
<File path="HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper" />
</Item>
- <Item type="Repair" score="0.0" status="Repaired">
<File path="HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr" />
</Item>
- <Item type="Repair" score="0.0" status="RepairFailed">
<File path="HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\" />
</Item>
- <Item type="Repair" score="0.0" status="Repaired">
<File path="HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper" />
</Item>
- <Item type="Repair" score="0.0" status="Repaired">
<File path="HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr" />
</Item>


screen bootkit

Immagine

Uploaded with ImageShack.us


hp anche esguito l'ultimo consiglio(avast)..se non ricordo male l'avevo però già fatto.
PS....se clicco il comando FIXMBR perdo i dati, vero?mi esce infatti un WARNING riguardo la perdita di dati o roba simile.

ecco cosa esce

aswMBR version 0.9.5.256 Copyright(c) 2011 AVAST Software
Run date: 2011-05-16 15:05:48
-----------------------------
15:05:48.174 OS Version: Windows 6.0.6002 Service Pack 2
15:05:48.174 Number of processors: 2 586 0xF0D
15:05:48.174 ComputerName: PC-STEFANIA UserName: Stefania
15:05:49.064 Initialize success
15:05:51.731 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
15:05:51.731 Disk 0 Vendor: Hitachi_HTS543216L9A300 FB2OC40C Size: 152627MB BusType: 3
15:05:53.759 Disk 0 MBR read successfully
15:05:53.759 Disk 0 MBR scan
15:05:53.759 Disk 0 Windows VISTA default MBR code
15:05:55.772 Disk 0 scanning sectors +312578048
15:05:55.787 Disk 0 scanning C:\Windows\system32\drivers
15:06:02.823 Service scanning
15:06:03.494 Service pxkbf C:\Windows\System32\drivers\pxkbf.sys **HIDDEN**
15:06:03.494 Service pxrts C:\Windows\System32\drivers\pxrts.sys **HIDDEN**
15:06:03.494 Service pxscan C:\Windows\System32\drivers\pxscan.sys **HIDDEN**
15:06:04.071 Disk 0 trace - called modules:
15:06:04.071
15:06:04.071 Scan finished successfully
15:07:27.297 Disk 0 MBR has been saved successfully to "C:\Users\Stefania\Desktop\MBR.dat"
15:07:27.312 The log file has been saved successfully to "C:\Users\Stefania\Desktop\aswMBR.txt"
Avatar utente
read82
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: ven mag 13, 2011 4:48 pm

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda hashcat » lun mag 16, 2011 2:32 pm

read82 ha scritto:hp anche esguito l'ultimo consiglio(avast)..se non ricordo male l'avevo però già fatto.
PS....se clicco il comando FIXMBR perdo i dati, vero?mi esce infatti un WARNING riguardo la perdita di dati o roba simile.

ecco cosa esce

aswMBR version 0.9.5.256 Copyright(c) 2011 AVAST Software
Run date: 2011-05-16 15:05:48
-----------------------------
15:05:48.174 OS Version: Windows 6.0.6002 Service Pack 2
15:05:48.174 Number of processors: 2 586 0xF0D
15:05:48.174 ComputerName: PC-STEFANIA UserName: Stefania
15:05:49.064 Initialize success
15:05:51.731 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
15:05:51.731 Disk 0 Vendor: Hitachi_HTS543216L9A300 FB2OC40C Size: 152627MB BusType: 3
15:05:53.759 Disk 0 MBR read successfully
15:05:53.759 Disk 0 MBR scan
15:05:53.759 Disk 0 Windows VISTA default MBR code
15:05:55.772 Disk 0 scanning sectors +312578048
15:05:55.787 Disk 0 scanning C:\Windows\system32\drivers
15:06:02.823 Service scanning
15:06:03.494 Service pxkbf C:\Windows\System32\drivers\pxkbf.sys **HIDDEN**
15:06:03.494 Service pxrts C:\Windows\System32\drivers\pxrts.sys **HIDDEN**
15:06:03.494 Service pxscan C:\Windows\System32\drivers\pxscan.sys **HIDDEN**
15:06:04.071 Disk 0 trace - called modules:
15:06:04.071
15:06:04.071 Scan finished successfully
15:07:27.297 Disk 0 MBR has been saved successfully to "C:\Users\Stefania\Desktop\MBR.dat"
15:07:27.312 The log file has been saved successfully to "C:\Users\Stefania\Desktop\aswMBR.txt"


Non dovrebbe essere necessario cliccare su FIXMBR perché lo strumento ha identificato codice nel MBR valido:

Codice: Seleziona tutto
Windows VISTA default MBR code


Quando hai eseguito HxD hai aperto il disco come Disco fisico?:

Immagine
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda read82 » lun mag 16, 2011 2:35 pm

certamente ;)
come disco Fisico [:)]
Avatar utente
read82
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: ven mag 13, 2011 4:48 pm

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda Uomo_Senza_Sonno » lun mag 16, 2011 10:29 pm

Mi scuso per l'assenza e la tarda risposta ma non potevo essere presente prima in questi giorni. Tuttavia, alcune osservazioni:

1. nel settore 9 risiede il codice originale del mbr del tuo portatile, quello lo dovremo copiare ed inserire nel settore 0 e così ripristineremo senza grossi problemi l'mbr; i tools come tdsskiller eliminano senza problemi (la maggior parte delle volte) le infezioni, ma in questo caso dovremo prestare maggiore attenzione;

2. se tdsskiller non ha funzionato, nel senso che al successivo controllo il rootkit è ancora bello in piedi, dovremo veramente prendere in considerazione la tecnica di azzerare i settori manualmente, ed ora ti indico esattamente cosa fare [^]

Prima di tutto è necessario che faccia una copia del settore 9, in questo modo: in questo passaggio nel tuo caso gli offset da inserire sono 1200 nel campo inizio e 13FF nel campo fine, controlla che la lunghezza sia 200;

Dopo aver eseguito la copia di questo settore e la sovrascrittura del settore 0, procedi ad azzerare i settori esterni al filesystem, e stavolta quando selezioni il blocco inserisci nel campo inizio il valore 200 e nel campo fine il valore FFFFF per quanto riguarda l'azzeramento dei settori 1-2047 estremi compresi;

invece per i settori oltre il secondo estremo di partizione, devi inserire nel campo inizio il valore 2543200000, mentre nel campo fine il valore 25433D5FFF;

Alla fine salva tutto e riavvia il pc, se non dovesse riavviarsi correttamente utilizza la consolle di ripristino di windows per riparare i problemi di boot. In questo modo non dovresti più avere segnalazioni di problemi e dell'infezione non ci sarà più traccia.
Grazie per tutto Zane

conosciamo l'1% delle leggi che governano l'universo, le altre non le abbiamo ancora comprese a fondo o addirittura nemmeno intuite
Avatar utente
Uomo_Senza_Sonno
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3255
Iscritto il: gio feb 07, 2008 9:00 am
Località: http://turbolab.it

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda read82 » mar mag 17, 2011 1:14 pm

Uomo_Senza_Sonno ha scritto:Mi scuso per l'assenza e la tarda risposta ma non potevo essere presente prima in questi giorni. Tuttavia, alcune osservazioni:

1. nel settore 9 risiede il codice originale del mbr del tuo portatile, quello lo dovremo copiare ed inserire nel settore 0 e così ripristineremo senza grossi problemi l'mbr; i tools come tdsskiller eliminano senza problemi (la maggior parte delle volte) le infezioni, ma in questo caso dovremo prestare maggiore attenzione;

2. se tdsskiller non ha funzionato, nel senso che al successivo controllo il rootkit è ancora bello in piedi, dovremo veramente prendere in considerazione la tecnica di azzerare i settori manualmente, ed ora ti indico esattamente cosa fare [^]

Prima di tutto è necessario che faccia una copia del settore 9, in questo modo: in questo passaggio nel tuo caso gli offset da inserire sono 1200 nel campo inizio e 13FF nel campo fine, controlla che la lunghezza sia 200;

Dopo aver eseguito la copia di questo settore e la sovrascrittura del settore 0, procedi ad azzerare i settori esterni al filesystem, e stavolta quando selezioni il blocco inserisci nel campo inizio il valore [size=200]200 e nel campo fine il valore FFFFF per quanto riguarda l'azzeramento dei settori 1-2047 estremi compresi;

invece per i settori oltre il secondo estremo di partizione, devi inserire nel campo inizio il valore 2543200000, mentre nel campo fine il valore 25433D5FFF;[/size]Alla fine salva tutto e riavvia il pc, se non dovesse riavviarsi correttamente utilizza la consolle di ripristino di windows per riparare i problemi di boot. In questo modo non dovresti più avere segnalazioni di problemi e dell'infezione non ci sarà più traccia.



Ho evidenziato il blocco da 1 a 2047...ma come devo procedere ad azzerarli? [uhm] [uhm]
Avatar utente
read82
Aficionado
Aficionado
 
Messaggi: 29
Iscritto il: ven mag 13, 2011 4:48 pm

Re: Situazione complicata..presunto rootkit nel MBR

Messaggioda hashcat » mar mag 17, 2011 1:29 pm

read82 ha scritto:
Uomo_Senza_Sonno ha scritto:Mi scuso per l'assenza e la tarda risposta ma non potevo essere presente prima in questi giorni. Tuttavia, alcune osservazioni:

1. nel settore 9 risiede il codice originale del mbr del tuo portatile, quello lo dovremo copiare ed inserire nel settore 0 e così ripristineremo senza grossi problemi l'mbr; i tools come tdsskiller eliminano senza problemi (la maggior parte delle volte) le infezioni, ma in questo caso dovremo prestare maggiore attenzione;

2. se tdsskiller non ha funzionato, nel senso che al successivo controllo il rootkit è ancora bello in piedi, dovremo veramente prendere in considerazione la tecnica di azzerare i settori manualmente, ed ora ti indico esattamente cosa fare [^]

Prima di tutto è necessario che faccia una copia del settore 9, in questo modo: in questo passaggio nel tuo caso gli offset da inserire sono 1200 nel campo inizio e 13FF nel campo fine, controlla che la lunghezza sia 200;

Dopo aver eseguito la copia di questo settore e la sovrascrittura del settore 0, procedi ad azzerare i settori esterni al filesystem, e stavolta quando selezioni il blocco inserisci nel campo inizio il valore [size=200]200 e nel campo fine il valore FFFFF per quanto riguarda l'azzeramento dei settori 1-2047 estremi compresi;

invece per i settori oltre il secondo estremo di partizione, devi inserire nel campo inizio il valore 2543200000, mentre nel campo fine il valore 25433D5FFF;[/size]Alla fine salva tutto e riavvia il pc, se non dovesse riavviarsi correttamente utilizza la consolle di ripristino di windows per riparare i problemi di boot. In questo modo non dovresti più avere segnalazioni di problemi e dell'infezione non ci sarà più traccia.



Ho evidenziato il blocco da 1 a 2047...ma come devo procedere ad azzerarli? [uhm] [uhm]

Guarda le istruzione del video che posterò a breve [;)]
<<Intelligence is the ability to avoid doing work, yet getting the work done.>>
Linus Torvalds

EX [MLI] Power User.
Avatar utente
hashcat
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2285
Iscritto il: lun ott 25, 2010 1:26 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising