BackDoor.Tdss - Demande assistance

very_ill Messages postés 18 Date d'inscription   Statut Membre Dernière intervention   -  
 Utilisateur anonyme -
Bonjour,

Le système utilisé est Windows 2003 (Windows Trust 4.5).
ESET NOD32 a détecté VIRUT.NBP sur un fichier temporaire et l'a mis en quarantaine.

J'ai suivi la procédure d'héradication préconisée sur ce site.
A priori plus de trace de Virut mais Dr. Web Cureit détecte à chaque redémarrage du PC la présence de BackDoor.Tdss.565

Il prétend l'héradiquer mais à chaque fois le redetecte sur 2 executables (une fois c'est C:\WINDOWS\Explorer.EXE une autre fois C:\WINDOWS\System32\svchost.exe).
L'utilisation de Combofix (préconisé ici ou ailleurs sur des variante de BackDoor.Tdss n'est pas envisageable car non compatible avec windows 2003.
Vous trouverez ci-dessous le rapport Dr. Web Cureit et Gmer. Ce dernier a relevé des anomalies sur les 2 exe mentionnés plus haut.


Dr. Web Cureit
Processus en mémoire: C:\WINDOWS\Explorer.EXE:192;;BackDoor.Tdss.565;Eradiqué.;


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-04 17:02:08
Windows 5.2.3790 Service Pack 2, v.4566
Running: 81t50z8f.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kwaiiaod.sys


---- System - GMER 1.0.15 ----

SSDT 8A15F580 ZwAssignProcessToJobObject
SSDT 8A160100 ZwDebugActiveProcess
SSDT 8A15FB30 ZwDuplicateObject
SSDT 8A15ECC0 ZwOpenProcess
SSDT 8A15EFC0 ZwOpenThread
SSDT 8A15F9C0 ZwProtectVirtualMemory
SSDT 8A15F860 ZwSetContextThread
SSDT 8A15F6E0 ZwSetInformationThread
SSDT 8A15C700 ZwSetSecurityObject
SSDT 8A15F420 ZwSuspendProcess
SSDT 8A15F2C0 ZwSuspendThread
SSDT 8A15EE50 ZwTerminateProcess
SSDT 8A15F150 ZwTerminateThread
SSDT 8A15FF50 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB94EA000, 0x1BDE76, 0xE8000020]
init C:\WINDOWS\system32\drivers\monfilt.sys entry point in "init" section [0xAC132280]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\svchost.exe[768] ntdll.dll!NtProtectVirtualMemory 7C94747D 5 Bytes JMP 0083000A
.text C:\WINDOWS\System32\svchost.exe[768] ntdll.dll!NtWriteVirtualMemory 7C947D7D 5 Bytes JMP 0084000A
.text C:\WINDOWS\System32\svchost.exe[768] ntdll.dll!KiUserExceptionDispatcher 7C948570 5 Bytes JMP 0082000C
.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1152] kernel32.dll!SetUnhandledExceptionFilter 7C842118 4 Bytes [C2, 04, 00, 00]
.text C:\WINDOWS\Explorer.EXE[1868] ntdll.dll!NtProtectVirtualMemory 7C94747D 5 Bytes JMP 00B1000A
.text C:\WINDOWS\Explorer.EXE[1868] ntdll.dll!NtWriteVirtualMemory 7C947D7D 5 Bytes JMP 00B2000A
.text C:\WINDOWS\Explorer.EXE[1868] ntdll.dll!KiUserExceptionDispatcher 7C948570 5 Bytes JMP 00B0000C

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

Device \Driver\usbuhci \Device\USBPDO-0 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBPDO-1 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBPDO-2 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBPDO-3 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbehci \Device\USBPDO-4 hcmon.sys (VMware USB monitor/VMware, Inc.)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

Device \Driver\usbhub \Device\00000075 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000076 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000077 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000078 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000079 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-0 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-1 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-2 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-3 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbehci \Device\USBFDO-4 hcmon.sys (VMware USB monitor/VMware, Inc.)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DesktopHeapLogging 1

---- EOF - GMER 1.0.15 ----



A voir également:

28 réponses

  • 1
  • 2
Réponse 1 / 28
totobetourne Messages postés 5592 Date d'inscription   Statut Membre Dernière intervention   65
 
tien essaye celui la mais je ne sais pas si il fonctionne sur ton systeme.

passe cet antimalware, fait comme indique
Telecharges malwaresbytes antimalwares(MBAM) : egalement tres util sur pb de pub mais pas tous malheureusement

Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
fais comme indique,mise a jour , scan complet et le rapport.
COLLE LE RAPPORT APRES SUPPRESSION MERCI.

garde le et lance un scan tout les mois comme indique.

si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.

1
Réponse 2 / 28
totobetourne Messages postés 5592 Date d'inscription   Statut Membre Dernière intervention   65
 
attendons jacques car la je n ai pas de solution.

juste pour voir , au lieu d un examen rapide fait un examen complet avec malwarebyte, refait une mise a jour avant de lancer le scan.
1
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
bonjour, perso j'ai pas de solution car la nous somme en face d'un système d'exploitation que perso je connais pas !!

oui essais le examem complet avec malwarebytes , sinon pendant ce temps , je vais demander à plus compétant de venir voir
0
Réponse 3 / 28
very_ill Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
 
J'ai bien essayé Malwarebytes sans grand succès.
Il détecte 2 nouveaux malware (on s'en sort plus!!!):
C:\WINDOWS\system32\host.exe (Trojan.Adware)
C:\WINDOWS\system32\drivers.exe (Backdoor.Hupigon)

Il les met en quarantaine, je confirme la suppression mais cela ne change rien:
Dr. Web Cureit détecte toujours BackDoor.Tdss


=========================

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3932

Windows 5.2.3790 Service Pack 2, v.4566
Internet Explorer 8.0.6001.18702

04/04/2010 19:26:57
mbam-log-2010-04-04 (19-26-57).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 109935
Temps écoulé: 3 minute(s), 10 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Not selected for removal.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Not selected for removal.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\host.exe (Trojan.Adware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers.exe (Backdoor.Hupigon) -> Quarantined and deleted successfully.
0
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
bonjour, si totobetourne que je salut au passage , me permet mon intrusion dans la discution .
very_ill après le passage de malwarebytes , ton Dr. Web Cureit te le trouve ou exactement ton BackDoor.Tdss !!
si tu avais le chemin exact !! merci
0
Réponse 4 / 28
very_ill Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
 
Merci à tous les 2 pour votre assistance

Suite au scan Malwarebytes, je relance Dr Web et il me retrouve TDSS :

Le journal de Dr Web
-------------------------

Processus en mémoire: C:\WINDOWS\System32\svchost.exe:828;;BackDoor.Tdss.565;Eradiqué.;

--------------------------

J'ai testé depuis malheureusement sans succès mais ca fait progresser en suivant une démarche de Néo sur le post suivant: https://forums.commentcamarche.net/forum/affich-17074243-ordinateur-infecte?page=3

TDSSkiller : https://support.kaspersky.com/downloads/utils/tdsskiller.zip
et
tdss_remover: http://www.esagelab.com/files/tdss_remover_latest.rar

Seul TDSSkiller met le doigt sur une infection (Driver "atapi" infected by TDSS rootkit!) mais il n'arrive pas la retirer quoiqu'il en dise car je peux le lancer 10 fois de suite il le trouvera toujours infecté (idem en mode sans echec)


Log de TDSSkiller

22:39:02:484 2296 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
22:39:02:484 2296 ================================================================================
22:39:02:484 2296 SystemInfo:

22:39:02:484 2296 OS Version: 5.2.3790 ServicePack: 2.0
22:39:02:484 2296 Product type: Server
22:39:02:484 2296 ComputerName: WINDOWS-FE82175
22:39:02:484 2296 UserName: Administrateur
22:39:02:484 2296 Windows directory: C:\WINDOWS
22:39:02:484 2296 Processor architecture: Intel x86
22:39:02:484 2296 Number of processors: 4
22:39:02:484 2296 Page size: 0x1000
22:39:02:484 2296 Boot type: Normal boot
22:39:02:484 2296 ================================================================================
22:39:02:484 2296 UnloadDriverW: NtUnloadDriver error 2
22:39:02:484 2296 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
22:39:02:531 2296 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
22:39:02:531 2296 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:39:02:531 2296 wfopen_ex: Trying to KLMD file open
22:39:02:531 2296 wfopen_ex: File opened ok (Flags 2)
22:39:02:531 2296 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
22:39:02:531 2296 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
22:39:02:531 2296 wfopen_ex: Trying to KLMD file open
22:39:02:531 2296 wfopen_ex: File opened ok (Flags 2)
22:39:02:531 2296 Initialize success
22:39:02:531 2296
22:39:02:531 2296 Scanning Services ...
22:39:02:843 2296 Raw services enum returned 341 services
22:39:02:843 2296
22:39:02:843 2296 Scanning Kernel memory ...
22:39:02:843 2296 Devices to scan: 7
22:39:02:843 2296
22:39:02:843 2296 Driver Name: Disk
22:39:02:843 2296 IRP_MJ_CREATE : F72981E0
22:39:02:843 2296 IRP_MJ_CREATE_NAMED_PIPE : 80821064
22:39:02:843 2296 IRP_MJ_CLOSE : F72981E0
22:39:02:843 2296 IRP_MJ_READ : F728F485
22:39:02:843 2296 IRP_MJ_WRITE : F728F485
22:39:02:843 2296 IRP_MJ_QUERY_INFORMATION : 80821064
22:39:02:843 2296 IRP_MJ_SET_INFORMATION : 80821064
22:39:02:843 2296 IRP_MJ_QUERY_EA : 80821064
22:39:02:843 2296 IRP_MJ_SET_EA : 80821064
22:39:02:843 2296 IRP_MJ_FLUSH_BUFFERS : F728FE9A
22:39:02:843 2296 IRP_MJ_QUERY_VOLUME_INFORMATION : 80821064
22:39:02:843 2296 IRP_MJ_SET_VOLUME_INFORMATION : 80821064
22:39:02:843 2296 IRP_MJ_DIRECTORY_CONTROL : 80821064
22:39:02:843 2296 IRP_MJ_FILE_SYSTEM_CONTROL : 80821064
22:39:02:843 2296 IRP_MJ_DEVICE_CONTROL : F7290208
22:39:02:843 2296 IRP_MJ_INTERNAL_DEVICE_CONTROL : F72944C1
22:39:02:843 2296 IRP_MJ_SHUTDOWN : F728FE9A
22:39:02:843 2296 IRP_MJ_LOCK_CONTROL : 80821064
22:39:02:843 2296 IRP_MJ_CLEANUP : 80821064
22:39:02:843 2296 IRP_MJ_CREATE_MAILSLOT : 80821064
22:39:02:843 2296 IRP_MJ_QUERY_SECURITY : 80821064
22:39:02:843 2296 IRP_MJ_SET_SECURITY : 80821064
22:39:02:843 2296 IRP_MJ_POWER : F7291D14
22:39:02:843 2296 IRP_MJ_SYSTEM_CONTROL : F729A264
22:39:02:843 2296 IRP_MJ_DEVICE_CHANGE : 80821064
22:39:02:843 2296 IRP_MJ_QUERY_QUOTA : 80821064
22:39:02:843 2296 IRP_MJ_SET_QUOTA : 80821064
22:39:02:859 2296 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:39:02:859 2296
22:39:02:859 2296 Driver Name: Disk
22:39:02:859 2296 IRP_MJ_CREATE : F72981E0
22:39:02:859 2296 IRP_MJ_CREATE_NAMED_PIPE : 80821064
22:39:02:859 2296 IRP_MJ_CLOSE : F72981E0
22:39:02:859 2296 IRP_MJ_READ : F728F485
22:39:02:859 2296 IRP_MJ_WRITE : F728F485
22:39:02:859 2296 IRP_MJ_QUERY_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_SET_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_QUERY_EA : 80821064
22:39:02:859 2296 IRP_MJ_SET_EA : 80821064
22:39:02:859 2296 IRP_MJ_FLUSH_BUFFERS : F728FE9A
22:39:02:859 2296 IRP_MJ_QUERY_VOLUME_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_SET_VOLUME_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_DIRECTORY_CONTROL : 80821064
22:39:02:859 2296 IRP_MJ_FILE_SYSTEM_CONTROL : 80821064
22:39:02:859 2296 IRP_MJ_DEVICE_CONTROL : F7290208
22:39:02:859 2296 IRP_MJ_INTERNAL_DEVICE_CONTROL : F72944C1
22:39:02:859 2296 IRP_MJ_SHUTDOWN : F728FE9A
22:39:02:859 2296 IRP_MJ_LOCK_CONTROL : 80821064
22:39:02:859 2296 IRP_MJ_CLEANUP : 80821064
22:39:02:859 2296 IRP_MJ_CREATE_MAILSLOT : 80821064
22:39:02:859 2296 IRP_MJ_QUERY_SECURITY : 80821064
22:39:02:859 2296 IRP_MJ_SET_SECURITY : 80821064
22:39:02:859 2296 IRP_MJ_POWER : F7291D14
22:39:02:859 2296 IRP_MJ_SYSTEM_CONTROL : F729A264
22:39:02:859 2296 IRP_MJ_DEVICE_CHANGE : 80821064
22:39:02:859 2296 IRP_MJ_QUERY_QUOTA : 80821064
22:39:02:859 2296 IRP_MJ_SET_QUOTA : 80821064
22:39:02:859 2296 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:39:02:859 2296
22:39:02:859 2296 Driver Name: Disk
22:39:02:859 2296 IRP_MJ_CREATE : F72981E0
22:39:02:859 2296 IRP_MJ_CREATE_NAMED_PIPE : 80821064
22:39:02:859 2296 IRP_MJ_CLOSE : F72981E0
22:39:02:859 2296 IRP_MJ_READ : F728F485
22:39:02:859 2296 IRP_MJ_WRITE : F728F485
22:39:02:859 2296 IRP_MJ_QUERY_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_SET_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_QUERY_EA : 80821064
22:39:02:859 2296 IRP_MJ_SET_EA : 80821064
22:39:02:859 2296 IRP_MJ_FLUSH_BUFFERS : F728FE9A
22:39:02:859 2296 IRP_MJ_QUERY_VOLUME_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_SET_VOLUME_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_DIRECTORY_CONTROL : 80821064
22:39:02:859 2296 IRP_MJ_FILE_SYSTEM_CONTROL : 80821064
22:39:02:859 2296 IRP_MJ_DEVICE_CONTROL : F7290208
22:39:02:859 2296 IRP_MJ_INTERNAL_DEVICE_CONTROL : F72944C1
22:39:02:859 2296 IRP_MJ_SHUTDOWN : F728FE9A
22:39:02:859 2296 IRP_MJ_LOCK_CONTROL : 80821064
22:39:02:859 2296 IRP_MJ_CLEANUP : 80821064
22:39:02:859 2296 IRP_MJ_CREATE_MAILSLOT : 80821064
22:39:02:859 2296 IRP_MJ_QUERY_SECURITY : 80821064
22:39:02:859 2296 IRP_MJ_SET_SECURITY : 80821064
22:39:02:859 2296 IRP_MJ_POWER : F7291D14
22:39:02:859 2296 IRP_MJ_SYSTEM_CONTROL : F729A264
22:39:02:859 2296 IRP_MJ_DEVICE_CHANGE : 80821064
22:39:02:859 2296 IRP_MJ_QUERY_QUOTA : 80821064
22:39:02:859 2296 IRP_MJ_SET_QUOTA : 80821064
22:39:02:859 2296 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:39:02:859 2296
22:39:02:859 2296 Driver Name: Disk
22:39:02:859 2296 IRP_MJ_CREATE : F72981E0
22:39:02:859 2296 IRP_MJ_CREATE_NAMED_PIPE : 80821064
22:39:02:859 2296 IRP_MJ_CLOSE : F72981E0
22:39:02:859 2296 IRP_MJ_READ : F728F485
22:39:02:859 2296 IRP_MJ_WRITE : F728F485
22:39:02:859 2296 IRP_MJ_QUERY_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_SET_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_QUERY_EA : 80821064
22:39:02:859 2296 IRP_MJ_SET_EA : 80821064
22:39:02:859 2296 IRP_MJ_FLUSH_BUFFERS : F728FE9A
22:39:02:859 2296 IRP_MJ_QUERY_VOLUME_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_SET_VOLUME_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_DIRECTORY_CONTROL : 80821064
22:39:02:859 2296 IRP_MJ_FILE_SYSTEM_CONTROL : 80821064
22:39:02:859 2296 IRP_MJ_DEVICE_CONTROL : F7290208
22:39:02:859 2296 IRP_MJ_INTERNAL_DEVICE_CONTROL : F72944C1
22:39:02:859 2296 IRP_MJ_SHUTDOWN : F728FE9A
22:39:02:859 2296 IRP_MJ_LOCK_CONTROL : 80821064
22:39:02:859 2296 IRP_MJ_CLEANUP : 80821064
22:39:02:859 2296 IRP_MJ_CREATE_MAILSLOT : 80821064
22:39:02:859 2296 IRP_MJ_QUERY_SECURITY : 80821064
22:39:02:859 2296 IRP_MJ_SET_SECURITY : 80821064
22:39:02:859 2296 IRP_MJ_POWER : F7291D14
22:39:02:859 2296 IRP_MJ_SYSTEM_CONTROL : F729A264
22:39:02:859 2296 IRP_MJ_DEVICE_CHANGE : 80821064
22:39:02:859 2296 IRP_MJ_QUERY_QUOTA : 80821064
22:39:02:859 2296 IRP_MJ_SET_QUOTA : 80821064
22:39:02:859 2296 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:39:02:859 2296
22:39:02:859 2296 Driver Name: Disk
22:39:02:859 2296 IRP_MJ_CREATE : F72981E0
22:39:02:859 2296 IRP_MJ_CREATE_NAMED_PIPE : 80821064
22:39:02:859 2296 IRP_MJ_CLOSE : F72981E0
22:39:02:859 2296 IRP_MJ_READ : F728F485
22:39:02:859 2296 IRP_MJ_WRITE : F728F485
22:39:02:859 2296 IRP_MJ_QUERY_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_SET_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_QUERY_EA : 80821064
22:39:02:859 2296 IRP_MJ_SET_EA : 80821064
22:39:02:859 2296 IRP_MJ_FLUSH_BUFFERS : F728FE9A
22:39:02:859 2296 IRP_MJ_QUERY_VOLUME_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_SET_VOLUME_INFORMATION : 80821064
22:39:02:859 2296 IRP_MJ_DIRECTORY_CONTROL : 80821064
22:39:02:859 2296 IRP_MJ_FILE_SYSTEM_CONTROL : 80821064
22:39:02:859 2296 IRP_MJ_DEVICE_CONTROL : F7290208
22:39:02:859 2296 IRP_MJ_INTERNAL_DEVICE_CONTROL : F72944C1
22:39:02:859 2296 IRP_MJ_SHUTDOWN : F728FE9A
22:39:02:859 2296 IRP_MJ_LOCK_CONTROL : 80821064
22:39:02:859 2296 IRP_MJ_CLEANUP : 80821064
22:39:02:859 2296 IRP_MJ_CREATE_MAILSLOT : 80821064
22:39:02:859 2296 IRP_MJ_QUERY_SECURITY : 80821064
22:39:02:859 2296 IRP_MJ_SET_SECURITY : 80821064
22:39:02:859 2296 IRP_MJ_POWER : F7291D14
22:39:02:859 2296 IRP_MJ_SYSTEM_CONTROL : F729A264
22:39:02:859 2296 IRP_MJ_DEVICE_CHANGE : 80821064
22:39:02:859 2296 IRP_MJ_QUERY_QUOTA : 80821064
22:39:02:859 2296 IRP_MJ_SET_QUOTA : 80821064
22:39:02:859 2296 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
22:39:02:859 2296
22:39:02:859 2296 Driver Name: atapi
22:39:02:859 2296 IRP_MJ_CREATE : 8B24CAC8
22:39:02:859 2296 IRP_MJ_CREATE_NAMED_PIPE : 8B24CAC8
22:39:02:859 2296 IRP_MJ_CLOSE : 8B24CAC8
22:39:02:859 2296 IRP_MJ_READ : 8B24CAC8
22:39:02:859 2296 IRP_MJ_WRITE : 8B24CAC8
22:39:02:859 2296 IRP_MJ_QUERY_INFORMATION : 8B24CAC8
22:39:02:859 2296 IRP_MJ_SET_INFORMATION : 8B24CAC8
22:39:02:859 2296 IRP_MJ_QUERY_EA : 8B24CAC8
22:39:02:859 2296 IRP_MJ_SET_EA : 8B24CAC8
22:39:02:859 2296 IRP_MJ_FLUSH_BUFFERS : 8B24CAC8
22:39:02:859 2296 IRP_MJ_QUERY_VOLUME_INFORMATION : 8B24CAC8
22:39:02:859 2296 IRP_MJ_SET_VOLUME_INFORMATION : 8B24CAC8
22:39:02:859 2296 IRP_MJ_DIRECTORY_CONTROL : 8B24CAC8
22:39:02:859 2296 IRP_MJ_FILE_SYSTEM_CONTROL : 8B24CAC8
22:39:02:859 2296 IRP_MJ_DEVICE_CONTROL : 8B24CAC8
22:39:02:859 2296 IRP_MJ_INTERNAL_DEVICE_CONTROL : 8B24CAC8
22:39:02:859 2296 IRP_MJ_SHUTDOWN : 8B24CAC8
22:39:02:859 2296 IRP_MJ_LOCK_CONTROL : 8B24CAC8
22:39:02:859 2296 IRP_MJ_CLEANUP : 8B24CAC8
22:39:02:859 2296 IRP_MJ_CREATE_MAILSLOT : 8B24CAC8
22:39:02:859 2296 IRP_MJ_QUERY_SECURITY : 8B24CAC8
22:39:02:859 2296 IRP_MJ_SET_SECURITY : 8B24CAC8
22:39:02:859 2296 IRP_MJ_POWER : 8B24CAC8
22:39:02:859 2296 IRP_MJ_SYSTEM_CONTROL : 8B24CAC8
22:39:02:859 2296 IRP_MJ_DEVICE_CHANGE : 8B24CAC8
22:39:02:859 2296 IRP_MJ_QUERY_QUOTA : 8B24CAC8
22:39:02:859 2296 IRP_MJ_SET_QUOTA : 8B24CAC8
22:39:02:859 2296 Driver "atapi" infected by TDSS rootkit!
22:39:02:875 2296 C:\WINDOWS\system32\drivers\atapi.sys - Verdict: 1
22:39:02:875 2296 File "C:\WINDOWS\system32\drivers\atapi.sys" infected by TDSS rootkit ... 22:39:02:875 2296 Processing driver file: C:\WINDOWS\system32\drivers\atapi.sys
22:39:02:875 2296 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\system32\DriverStore\FileRepository\*) error 3
22:39:03:031 2296 vfvi6
22:39:03:093 2296 !dsvbh1
22:39:04:187 2296 dsvbh2
22:39:04:187 2296 fdfb2
22:39:04:187 2296 Backup copy found, using it..
22:39:04:187 2296 will be cured on next reboot
22:39:04:187 2296
22:39:04:187 2296 Driver Name: atapi
22:39:04:187 2296 IRP_MJ_CREATE : F72ACB88
22:39:04:187 2296 IRP_MJ_CREATE_NAMED_PIPE : 80821064
22:39:04:187 2296 IRP_MJ_CLOSE : F72ACB88
22:39:04:187 2296 IRP_MJ_READ : 80821064
22:39:04:187 2296 IRP_MJ_WRITE : 80821064
22:39:04:187 2296 IRP_MJ_QUERY_INFORMATION : 80821064
22:39:04:187 2296 IRP_MJ_SET_INFORMATION : 80821064
22:39:04:187 2296 IRP_MJ_QUERY_EA : 80821064
22:39:04:187 2296 IRP_MJ_SET_EA : 80821064
22:39:04:187 2296 IRP_MJ_FLUSH_BUFFERS : 80821064
22:39:04:187 2296 IRP_MJ_QUERY_VOLUME_INFORMATION : 80821064
22:39:04:187 2296 IRP_MJ_SET_VOLUME_INFORMATION : 80821064
22:39:04:187 2296 IRP_MJ_DIRECTORY_CONTROL : 80821064
22:39:04:187 2296 IRP_MJ_FILE_SYSTEM_CONTROL : 80821064
22:39:04:187 2296 IRP_MJ_DEVICE_CONTROL : F72ACBA8
22:39:04:187 2296 IRP_MJ_INTERNAL_DEVICE_CONTROL : F72A88E6
22:39:04:187 2296 IRP_MJ_SHUTDOWN : 80821064
22:39:04:187 2296 IRP_MJ_LOCK_CONTROL : 80821064
22:39:04:187 2296 IRP_MJ_CLEANUP : 80821064
22:39:04:187 2296 IRP_MJ_CREATE_MAILSLOT : 80821064
22:39:04:187 2296 IRP_MJ_QUERY_SECURITY : 80821064
22:39:04:187 2296 IRP_MJ_SET_SECURITY : 80821064
22:39:04:187 2296 IRP_MJ_POWER : F72ACBD2
22:39:04:187 2296 IRP_MJ_SYSTEM_CONTROL : F72B50A0
22:39:04:187 2296 IRP_MJ_DEVICE_CHANGE : 80821064
22:39:04:187 2296 IRP_MJ_QUERY_QUOTA : 80821064
22:39:04:187 2296 IRP_MJ_SET_QUOTA : 80821064
22:39:04:187 2296 C:\WINDOWS\system32\drivers\tsk11B.tmp - Verdict: 3
22:39:04:187 2296 Reboot required for cure complete..
22:39:04:187 2296 Cure on reboot scheduled successfully
22:39:04:187 2296
22:39:04:187 2296 Completed
22:39:04:187 2296
22:39:04:187 2296 Results:
22:39:04:187 2296 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
22:39:04:203 2296 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
22:39:04:203 2296 File objects infected / cured / cured on reboot: 1 / 0 / 1
22:39:04:203 2296
22:39:04:203 2296 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
22:39:04:203 2296 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
22:39:04:203 2296 UnloadDriverW: NtUnloadDriver error 1
22:39:04:203 2296 KLMD(ARK) unloaded successfully
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 28
totobetourne Messages postés 5592 Date d'inscription   Statut Membre Dernière intervention   65
 
passe cela .(si jacques a une idee ou une meilleur solution fait le savoir)

pour voir télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.


déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
Réponse 6 / 28
very_ill Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
 
Désolé mais comme je l'ai signalé dans mon premier message Combofix ne fonctionne pas sur Windows 2003. Lorsqu'on le lance il renvoie un popup mentionnant que Combofix ne fonctionne que sur Windows 2000 et XP et s'arrête. J'ai cherché en vain une version pour Windows 2003.

C'est mon gros problème car toute les expériences trouvées sur le net de résolution de cette infection sont passé par Combofix.

J'ai fait d'autres expériences depuis hier soir toujours infructueuses:
- j'ai essayé en liveCD (ultimate boot cd): je n'ai pas réussi à lancer Combofix. Il ne s'initialise pas.
- En LiveCD, Dr Web (mis à jour avec les dernières signatures) ne détecte rien car le processus svchost.exe infecté n'est pas chargé en mémoire par le liveCD.
- j'ai via ERDCommander remplacé le fichier C:\Windows\system32\drivers\atapi.sys depuis les sources du CD. Rien à faire au reboot c'est toujours pareil

Si vous avez un moyen de "leurrer" Combofix pour lui faire croire qu'il est sur un systeme XP je suis preneur. Peut être existe-t-il des anciennes versions de ComboFix ne vérifiant pas le système sur lequel il est lancé et qui pourrait résoudre le problème?
0
Réponse 7 / 28
very_ill Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
 
OK en tout merci beaucoup pour vos efforts.
J'ai lancé un appel à l'aide chez Malekal's forum tout à l'heure.

https://forum.malekal.com/viewtopic.php?t=24466&start=

Il faut que j'aille au bout du test.
Je ferai un retour sur ce forum quoiqu'il arrive.
0
Réponse 8 / 28
Utilisateur anonyme
 
salut very_ill , totobetourne , jacques (qui m'a MP^^)

very_ill :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

? Télécharge List_Kill'em et enregistre le sur ton bureau

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
un autre rouge et noir te servira a desinstaller le prog a la fin de la desinfection.

? laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"



?G3?-?@¢??@?(TM)©®?
0
Réponse 9 / 28
very_ill Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
 
Merci gen-hackman

Ci-dessous le résultat du san

List'em by g3n-h@ckm@n 1.7.0.2

User : Administrateur (Administrateurs)
Update on 02/04/2010 by g3n-h@ckm@n ::::: 18.00
Start at: 06:51:44 | 06/04/2010

Processeur Intel(R) Pentium(R) III Xeon
Microsoft(R) Windows(R) 2000 Professionnel (5.2.3790 32-bit) # Service Pack 2, v.4566
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 40 Go (23,01 Go free) | NTFS
D:\ -> Disque fixe local | 425,76 Go (2,88 Go free) [Data] | NTFS
E:\ -> Disque amovible | 7,62 Go (261,12 Mo free) [SANSA FUZE] | FAT32
F:\ -> Disque fixe local | 10 Go (3,59 Go free) [Application] | NTFS
G:\ -> Disque fixe local | 132,67 Go (4,25 Go free) [Données] | NTFS
H:\ -> Disque fixe local | 10 Go (392,45 Mo free) [System] | NTFS
I:\ -> Disque amovible
Z:\ -> Disque CD-ROM

Boot: Normal


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\portableapps\IronPortable\IronPortable.exe
C:\portableapps\IronPortable\App\Iron\iron.exe
C:\portableapps\IronPortable\App\Iron\iron.exe
C:\portableapps\IronPortable\App\Iron\iron.exe
C:\portableapps\IronPortable\App\Iron\iron.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\pv.exe

======================
Keys "Run"
======================

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AutorunsDisabled

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
egui REG_SZ "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
TNod UP REG_SZ "C:\Program Files\Tukero[X]Team\TNod User & Password Finder\TNODUP.exe" /i
GrooveMonitor REG_SZ "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
Malwarebytes Anti-Malware (reboot) REG_SZ "C:\portableapps\MalwarebytesPortable\App\Malwarebytes\mbam.exe" /runcleanupscript
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\AutorunsDisabled

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
disablecad REG_DWORD 1 (0x1)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
NoInternetOpenWith REG_DWORD 1 (0x1)

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
ForceClassicControlPanel REG_DWORD 1 (0x1)
LinkResolveIgnoreLinkInfo REG_DWORD 1 (0x1)
NoDesktopCleanupWizard REG_DWORD 1 (0x1)
NoInstrumentation REG_DWORD 1 (0x1)
NoLowDiskSpaceChecks REG_DWORD 1 (0x1)
NoResolveSearch REG_DWORD 1 (0x1)
NoResolveTrack REG_DWORD 1 (0x1)
NoSMBalloonTip REG_DWORD 1 (0x1)
NoSMConfigurePrograms REG_DWORD 1 (0x1)
NoStartBanner REG_DWORD 1 (0x1)
NoStartMenuMFUprogramsList REG_DWORD 1 (0x1)
NoStrCmpLogical REG_DWORD 0 (0x0)
NoWelcomeScreen REG_DWORD 1 (0x1)

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
CDRAutoRun REG_DWORD 1 (0x1)
HideRunAsVerb REG_DWORD 1 (0x1)
NoActiveDesktop REG_DWORD 1 (0x1)
NoCDBurning REG_DWORD 1 (0x1)
NoDesktopCleanupWizard REG_DWORD 1 (0x1)
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
NoInstrumentation REG_DWORD 1 (0x1)
NoNetConnectDisconnect REG_DWORD 1 (0x1)
NoRemoteRecursiveEvents REG_DWORD 1 (0x1)
NoResolveTrack REG_DWORD 1 (0x1)
NoSetActiveDesktop REG_DWORD 1 (0x1)
NoStartMenuMFUprogramsList REG_DWORD 1 (0x1)
HonorAutoRunSetting REG_DWORD 1 (0x1)

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

===============

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell REG_DWORD 1 (0x1)
DefaultDomainName REG_SZ WINDOWS-FE82175
DefaultUserName REG_SZ Administrateur
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 1
ReportBootOk REG_SZ 1
Shell REG_SZ Explorer.exe
ShutdownWithoutLogon REG_SZ 0
System REG_SZ
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
SfcQuota REG_DWORD -1 (0xffffffff)
SfcDisable REG_DWORD -99 (0xffffff9d)
allocatecdroms REG_SZ 0
allocatedasd REG_SZ 0
allocatefloppies REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0 (0x0)
passwordexpirywarning REG_DWORD 14 (0xe)
scremoveoption REG_SZ 0
AllowMultipleTSSessions REG_DWORD 1 (0x1)
LogonType REG_DWORD 1 (0x1)
EnableConcurrentSessions REG_DWORD 1 (0x1)
KeepRasConnections REG_SZ 1
SlowLinkDetectEnabled REG_DWORD 0 (0x0)
DisableCAD REG_DWORD 1 (0x1)
UIHost REG_EXPAND_SZ %SystemRoot%\system32\logonui.exe
DebugServerCommand REG_SZ no
HibernationPreviouslyEnabled REG_DWORD 1 (0x1)
WinStationsDisabled REG_SZ 0
ShowLogonOptions REG_DWORD 1 (0x1)
AltDefaultUserName REG_SZ Administrateur
AltDefaultDomainName REG_SZ WINDOWS-FE82175

===============

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AtiExtEvent]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]

===============

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{B5A7F190-DDA6-4420-B3BA-52453494E6CD} REG_SZ Groove GFS Stub Execution Hook

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe REG_SZ C:\Program Files\VMware\VMware Workstation\vmware-authd.exe:*:Enabled:VMware Authd
C:\Program Files\uTorrent\utorrent.exe REG_SZ C:\Program Files\uTorrent\utorrent.exe:*:Enabled:µTorrent
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE REG_SZ C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook
C:\Program Files\Microsoft Office\Office12\GROOVE.EXE REG_SZ C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove
C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE REG_SZ C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote
C:\portableapps\DreamweaverPortable\App\DreamweaverCS4\Dreamweaver.exe REG_SZ C:\portableapps\DreamweaverPortable\App\DreamweaverCS4\Dreamweaver.exe:*:Enabled:DreamweaverCS4
C:\portableapps\IronPortable\App\Iron\iron.exe REG_SZ C:\portableapps\IronPortable\App\Iron\iron.exe:*:Enabled:Iron

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
C:\portableapps\DreamweaverPortable\App\DreamweaverCS4\Dreamweaver.exe REG_SZ C:\portableapps\DreamweaverPortable\App\DreamweaverCS4\Dreamweaver.exe:*:Enabled:DreamweaverCS4
C:\portableapps\IronPortable\App\Iron\iron.exe REG_SZ C:\portableapps\IronPortable\App\Iron\iron.exe:*:Enabled:Iron

===============
ActivX controls
===============
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{6414512B-B978-451D-A0D8-FCFDF33E833C}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]

===============
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{99820200-ECBD-11cf-8B85-00AA005B4340}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73fa19d0-2d75-11d2-995d-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A509B1A8-37EF-4b3f-8CFC-4F3A74704073}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{abcdf74f-9a64-4e6e-b8eb-6e5a41de6550}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F196AC50-7C95-42E1-9947-BDAB18BF3C8C}]

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

===
DNS
===

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F12CBA01-D8CE-459C-9472-3F285EB51199}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F12CBA01-D8CE-459C-9472-3F285EB51199}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F12CBA01-D8CE-459C-9472-3F285EB51199}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3 ( OK = 3 )
SharedAccess : 0x2 ( OK = 2 )
wuauserv : 0x4 ( OK = 2 )

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\system32\drivers\atapi.sys
##
96768,ff953a8f08ca3f822127654375786bbe,4b9cb9b31b85365f3ba49ab96bd6fd7ec6b4fe6bdd4982b4af800127a8102297,C:\WINDOWS\system32\drivers\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys
##
96768,ff953a8f08ca3f822127654375786bbe,4b9cb9b31b85365f3ba49ab96bd6fd7ec6b4fe6bdd4982b4af800127a8102297,C:\WINDOWS\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Program Files\List_Kill'em
## C:\> hashdeep.exe C:\WINDOWS\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys
##
96768,ff953a8f08ca3f822127654375786bbe,4b9cb9b31b85365f3ba49ab96bd6fd7ec6b4fe6bdd4982b4af800127a8102297,C:\WINDOWS\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys

Référence :
==========

Win 2000_SP2 : ff953a8f08ca3f822127654375786bbe
Win 2000_SP4 : 8c718aa8c77041b3285d55a0ce980867
Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e

=======
Drive :
=======


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\WINDOWS\System32\KEYBOARD.exe
Present !! : C:\WINDOWS\System32\split.exe
Present !! : C:\WINDOWS\System32\unrar.exe
Present !! : C:\Documents and Settings\Administrateur\LOCAL Settings\Temp\Al0XS1Yf.dll
Present !! : C:\Documents and Settings\Administrateur\LOCAL Settings\Temp\WTW2W6Gz.dll

¤¤¤¤¤¤¤¤¤¤ Keys :

Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"

============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-06 07:11:32
Windows 5.2.3790 Service Pack 2, v.4566 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys >>UNKNOWN [0x8ACA38B4]<<
kernel: MBR read successfully
user & kernel MBR OK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 7:11:34,26
0
Réponse 10 / 28
Utilisateur anonyme
 
ok fais l option 2
0
Réponse 11 / 28
very_ill Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
 
Vraiment désolé, je n'ai pas compris ta dernière consigne.
Je dois être à la masse.

L'option 2, qu'est-ce que cela peut être?
- revendre mon PC en l'état à mon pire ennemi?
- prendre mon Pc et le balancer par la fenêtre... en faisant attention que personne ne se le prenne sur la tête?
- renoncer à toucher mon clavier sans avoir passer au préalable un coup de gel antisseptique en insistant sur les touche H,1,N et 1?
ou
- croire que ce virus est un poisson d'avril envoyé par des plaisantins qui ont réussi à bousiller le we de Paques de leur victime?
0
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
very_ill bonjour, merci gen d'être passer à ma demande ..

gen demande que tu fasses l'option 2 de list&kill"em sans plus !!

. Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :

. choisis l'option 2 = Mode Suppression

laisse travailler l'outil.

en fin de scan un rapport s'ouvre

. colle le contenu dans ta reponse
0
Réponse 12 / 28
Utilisateur anonyme
 
non desolé lol ^^

l'option clean....;c'est une vieille fiche que j'avais , avant que le tool n'evolue , et comme je suis en train de refaire mon systeme , je n'ai pas tous les canned sous la main
0
Réponse 13 / 28
very_ill Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
 
Voila le résultat: il y a eu un peu de ménage, notamment sur les fichiers temp qui je crois sont une "signature" d'une des variantes de tdss


Kill'em by g3n-h@ckm@n 1.7.0.2

User : Administrateur (Administrateurs)
Update on 02/04/2010 by g3n-h@ckm@n ::::: 18.00
Start at: 22:30:36 | 07/04/2010

Processeur Intel(R) Pentium(R) III Xeon
Microsoft(R) Windows(R) 2000 Professionnel (5.2.3790 32-bit) # Service Pack 2, v.4566
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 40 Go (23 Go free) | NTFS
D:\ -> Disque fixe local | 425,76 Go (2,06 Go free) [Data] | NTFS
F:\ -> Disque fixe local | 10 Go (3,59 Go free) [Application] | NTFS
G:\ -> Disque fixe local | 132,67 Go (4,25 Go free) [Données] | NTFS
H:\ -> Disque fixe local | 10 Go (392,45 Mo free) [System] | NTFS
Z:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe

Detections :
==========


¤¤¤¤¤¤¤¤¤¤ Files/folders :


Quarantined & Deleted !! : C:\WINDOWS\System32\KEYBOARD.exe
Quarantined & Deleted !! : C:\WINDOWS\System32\split.exe
Quarantined & Deleted !! : C:\WINDOWS\System32\unrar.exe
Quarantined & Deleted !! : C:\Documents and Settings\Administrateur\LOCAL Settings\Temp\Al0XS1Yf.dll
Quarantined & Deleted !! : C:\Documents and Settings\Administrateur\LOCAL Settings\Temp\swt-win32-3448.dll
Quarantined & Deleted !! : C:\Documents and Settings\Administrateur\LOCAL Settings\Temp\WTW2W6Gz.dll

==============
host file OK !
==============

========
Registry
========

Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
========
Services
=========

Ndisuio : Start = 3
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2

============
Disk Cleaned
============

=================
anti-ver blaster : OK !!
=================

================
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 14 / 28
Utilisateur anonyme
 
? Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

? clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\WINDOWS\system32\ntkrnlpa.exe
C:\WINDOWS\system32\drivers\CLASSPNP.SYS
C:\WINDOWS\system32\drivers\disk.sys
C:\WINDOWS\system32\drivers\ACPI.sys
C:\WINDOWS\system32\hal.dll
C:\WINDOWS\system32\drivers\pciide.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
?G3?-?@¢??@?(TM)©®?
0
Réponse 15 / 28
very_ill Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
 
Résultat des courses:
aucun des fichiers n'est noté comme infecté par les 39 anti-virus.
Bonne nouvelle, non?
0
Réponse 16 / 28
Utilisateur anonyme
 
j'aurais bien aimé voir les rapports de chacun pour lire les signatures de fichiers.....
0
Réponse 17 / 28
very_ill Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
 
OK. Je relance.
0
Réponse 18 / 28
Utilisateur anonyme
 
ok
0
Réponse 19 / 28
very_ill Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
 
Désolé pour mon absence, des priorités personnelles m'ont tenues à l'écart de mon PC ce we.

Je poste 1 à 1 les résultats si cela tient.

Fichier CLASSPNP.SYS reçu le 2010.04.08 19:23:32 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 54784 bytes
MD5   : 85cd8241cfef25f27212acb5bb16be23
SHA1  : 879c90a5b5a7ccc3ea9e0167c3abec2f865867f5
SHA256: 04f9451ae01e5db26cf4d5107edc368db5e8367d4771958f270314444edc19df
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x1000F<br> timedatestamp.....: 0x45D6A080 (Sat Feb 17 07:28:16 2007)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 9 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x6CA9 0x6E00 6.45 3b06f4f92bc8f3a425a33c9a7e84bf9a<br>.rdata 0x8000 0x32C 0x400 4.29 0e7657253d02c824b6d4084b084557b3<br>.data 0x9000 0x30 0x200 0.60 5e66600595f50988f0175c13d9816ff8<br>PAGE 0xA000 0x3D79 0x3E00 6.35 c9d5f4e34e9e15552441af78e3a8649c<br>.edata 0xE000 0x7BC 0x800 5.11 672c3890be21685c48c695d9b6a05a50<br>PAGE 0xF000 0x90 0x200 1.09 67de607debd776b54ee92960e47a7d89<br>INIT 0x10000 0xA50 0xC00 5.12 32e5beba8a42d2d740277c173d61b3ed<br>.rsrc 0x11000 0x400 0x400 3.42 52960a24b388fb29c1471d83af478e2f<br>.reloc 0x12000 0x5E4 0x600 6.52 3b17aaed39237d3796f58861c7951a60<br> <br> ( 2 imports )<br> <br>> hal.dll: KfLowerIrql, KfAcquireSpinLock, KfReleaseSpinLock, KfRaiseIrql<br>> ntoskrnl.exe: IoFreeWorkItem, ZwClose, RtlQueryRegistryValues, ZwCreateKey, RtlInitUnicodeString, IoOpenDeviceRegistryKey, ZwOpenKey, IoFreeIrp, IoFreeMdl, RtlCompareMemory, IoStopTimer, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, KeQueryTimeIncrement, KeQuerySystemTime, _allmul, IoQueueWorkItem, IoAllocateWorkItem, IoReuseIrp, IofCallDriver, KeInitializeEvent, MmBuildMdlForNonPagedPool, IoAllocateMdl, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, ObfDereferenceObject, IoBuildDeviceIoControlRequest, IoGetAttachedDeviceReference, KeInitializeMutex, IoAllocateIrp, IoStartTimer, IoInitializeTimer, KeLeaveCriticalRegion, KeSetEvent, KeEnterCriticalRegion, IoGetDriverObjectExtension, _allshl, _alldiv, IoGetPagingIoPriority, IoStartNextPacket, MmUnlockPages, IoSetDeviceInterfaceState, IoRegisterDeviceInterface, KeInitializeSpinLock, IoInitializeIrp, KeWaitForSingleObject, KeBugCheckEx, KefAcquireSpinLockAtDpcLevel, KeGetCurrentThread, KeSetTimerEx, KeTickCount, IoGetDeviceProperty, IoStartPacket, IoSetHardErrorOrVerifyDevice, memmove, ObReferenceObjectByPointer, MmProbeAndLockPages, _except_handler3, _alldvrm, IoDeleteDevice, IoDetachDevice, IoInvalidateDeviceRelations, IoWMIRegistrationControl, ZwSetValueKey, RtlInitString, _snprintf, KeInitializeDpc, KeInitializeTimer, KeBugCheck, ObfReferenceObject, KeDelayExecutionThread, IofCompleteRequest, RtlDeleteRegistryValue, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, IoCreateDevice, IoWMIWriteEvent, InterlockedPopEntrySList, PoStartNextPowerIrp, PoCallDriver, PoSetPowerState, InterlockedPushEntrySList, MmUnmapLockedPages, ExVerifySuite, IoBuildPartialMdl, KeSetTimer, strncmp, RtlWriteRegistryValue, ExDeleteNPagedLookasideList, ExInitializeNPagedLookasideList, KeReleaseMutex, ExAllocatePoolWithTag, IoReportTargetDeviceChangeAsynchronous, KefReleaseSpinLockFromDpcLevel, ExFreePoolWithTag<br> <br> ( 1 exports )<br> <br>> ClassAcquireChildLock, ClassAcquireRemoveLockEx, ClassAsynchronousCompletion, ClassBuildRequest, ClassCheckMediaState, ClassClaimDevice, ClassCleanupMediaChangeDetection, ClassCompleteRequest, ClassCreateDeviceObject, ClassDebugPrint, ClassDeleteSrbLookasideList, ClassDeviceControl, ClassDisableMediaChangeDetection, ClassEnableMediaChangeDetection, ClassFindModePage, ClassForwardIrpSynchronous, ClassGetDescriptor, ClassGetDeviceParameter, ClassGetDriverExtension, ClassGetVpb, ClassInitialize, ClassInitializeEx, ClassInitializeMediaChangeDetection, ClassInitializeSrbLookasideList, ClassInitializeTestUnitPolling, ClassInternalIoControl, ClassInterpretSenseInfo, ClassInvalidateBusRelations, ClassIoComplete, ClassIoCompleteAssociated, ClassMarkChildMissing, ClassMarkChildrenMissing, ClassModeSense, ClassNotifyFailurePredicted, ClassQueryTimeOutRegistryValue, ClassReadDriveCapacity, ClassReleaseChildLock, ClassReleaseQueue, ClassReleaseRemoveLock, ClassRemoveDevice, ClassResetMediaChangeTimer, ClassScanForSpecial, ClassSendDeviceIoControlSynchronous, ClassSendIrpSynchronous, ClassSendSrbAsynchronous, ClassSendSrbSynchronous, ClassSendStartUnit, ClassSetDeviceParameter, ClassSetFailurePredictionPoll, ClassSetMediaChangeState, ClassSignalCompletion, ClassSpinDownPowerHandler, ClassSplitRequest, ClassStopUnitPowerHandler, ClassUpdateInformationInRegistry, ClassWmiCompleteRequest, ClassWmiFireEvent
TrID  : File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 768:v1rZEKnDvcFbyPg0BAtVBChAYgY4DMR4sRBYR7qGd2FBh9oC:v71LcFKDAxChAG0I/BYBrd2FBh9o
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. All rights reserved.<br>product......: Microsoft_ Windows_ Operating System<br>description..: SCSI Class System Dll<br>original name: Classpnp.sys<br>internal name: Classpnp.sys<br>file version.: 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD  : -
RDS   : NSRL Reference Data Set<br><br>( Microsoft )<br><br>MSDN Disc 2939.3: classpnp.sysMSDN Disc 2939.4: classpnp.sys
0
Réponse 20 / 28
very_ill Messages postés 18 Date d'inscription   Statut Membre Dernière intervention  
 
Fichier disk.sys reçu le 2010.04.09 06:06:20 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.09 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.09 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.09 -
CAT-QuickHeal 10.00 2010.04.09 -
ClamAV 0.96.0.3-git 2010.04.09 -
Comodo 4545 2010.04.09 -
DrWeb 5.0.2.03300 2010.04.09 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7416 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.09 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.09 -
Ikarus T3.1.1.80.0 2010.04.09 -
Jiangmin 13.0.900 2010.04.09 -
Kaspersky 7.0.0.125 2010.04.09 -
McAfee-GW-Edition 6.8.5 2010.04.09 -
Microsoft 1.5605 2010.04.09 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.09 -
Prevx 3.0 2010.04.09 -
Rising 22.42.04.03 2010.04.09 -
Sophos 4.52.0 2010.04.09 -
Sunbelt 6154 2010.04.09 -
Symantec 20091.2.0.41 2010.04.09 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.09 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.9.2268 2010.04.09 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 39936 bytes
MD5   : 98433302c02f1168efb7364f8111a179
SHA1  : dd537c3831f1267683cdb392c72b66d53fd48ca1
SHA256: e764f52e99f0c6352e7d25dfccdd333a899fef38693bcf9e1cfc143cde427ca5
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0xC8BB<br> timedatestamp.....: 0x45D69BB7 (Sat Feb 17 07:07:51 2007)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 8 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x23A6 0x2400 6.37 6636b7ccdb1979fd469b46d20987d36d<br>.rdata 0x4000 0x57D 0x600 4.01 ddb9be90302fd2e7fc6b7312e1ea8ded<br>.data 0x5000 0xF8 0x200 2.28 7f0143fd1b314a7451cbba31ef0d2b3a<br>PAGE 0x6000 0x48BF 0x4A00 6.48 3abe386e312944370a37b1d57b132544<br>PAGE 0xB000 0x150 0x200 1.91 8e20fe94eec58b411cc201a9e1ced327<br>INIT 0xC000 0x152E 0x1600 5.98 388354170f7d7360a6d937a45b0c2a62<br>.rsrc 0xE000 0x3D8 0x400 3.33 79ebd7d5d27ad6495adde71f451f5135<br>.reloc 0xF000 0x580 0x600 5.74 1bcfcf006467073e08b2a3b545117ee5<br> <br> ( 2 imports )<br> <br>> classpnp.sys: ClassQueryTimeOutRegistryValue, ClassUpdateInformationInRegistry, ClassInitializeMediaChangeDetection, ClassGetDeviceParameter, ClassDeleteSrbLookasideList, ClassReadDriveCapacity, ClassSignalCompletion, ClassMarkChildMissing, ClassInitializeSrbLookasideList, ClassNotifyFailurePredicted, ClassSetFailurePredictionPoll, ClassWmiCompleteRequest, ClassReleaseQueue, ClassInterpretSenseInfo, ClassSpinDownPowerHandler, ClassInitialize, ClassInitializeEx, ClassGetVpb, ClassSendDeviceIoControlSynchronous, ClassAcquireChildLock, ClassReleaseChildLock, ClassDeviceControl, ClassInvalidateBusRelations, ClassSetDeviceParameter, ClassModeSense, ClassFindModePage, ClassAcquireRemoveLockEx, ClassAsynchronousCompletion, ClassSendSrbSynchronous, ClassIoComplete, ClassReleaseRemoveLock, ClassCompleteRequest, ClassClaimDevice, ClassCreateDeviceObject, ClassScanForSpecial<br>> ntoskrnl.exe: IoWMIRegistrationControl, ExfInterlockedPopEntryList, KeInitializeSpinLock, ExQueueWorkItem, ExfInterlockedPushEntryList, MmBuildMdlForNonPagedPool, IoAllocateMdl, KeEnterCriticalRegion, KeLeaveCriticalRegion, ZwQueryValueKey, RtlUnicodeStringToInteger, IoReadDiskSignature, ZwOpenKey, IoReadPartitionTable, DbgPrint, IoReadPartitionTableEx, IoWritePartitionTableEx, IoSetPartitionInformationEx, IoSetPartitionInformation, IoVerifyPartitionTable, IoFreeMdl, RtlQueryRegistryValues, IoOpenDeviceRegistryKey, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, sprintf, _snprintf, RtlAnsiStringToUnicodeString, RtlInitAnsiString, strncpy, IoCreateSymbolicLink, IoDeleteSymbolicLink, RtlFreeUnicodeString, IoSetDeviceInterfaceState, KeInitializeMutex, InitSafeBootMode, IoRegisterDeviceInterface, HalExamineMBR, KeTickCount, KeBugCheckEx, IoFreeIrp, IoRegisterBootDriverReinitialization, _allmul, _allrem, IoAllocateWorkItem, IoQueueWorkItem, IoReportTargetDeviceChangeAsynchronous, IoBuildDeviceIoControlRequest, IoBuildSynchronousFsdRequest, IoInvalidateDeviceRelations, memmove, IoCreateDisk, IoAllocateErrorLogEntry, IoWriteErrorLogEntry, IoAllocateIrp, IofCallDriver, _allshr, IoFreeWorkItem, KeWaitForSingleObject, KeReleaseMutex, ExAllocatePoolWithTag, KeSetEvent, strncmp, IoSetHardErrorOrVerifyDevice, _snwprintf, RtlInitUnicodeString, ZwCreateDirectoryObject, IoGetAttachedDeviceReference, ZwMakeTemporaryObject, ZwClose, ExFreePoolWithTag, IoAttachDeviceToDeviceStack, IoDeleteDevice, ObfDereferenceObject, IoGetConfigurationInformation, KeInitializeEvent<br> <br> ( 0 exports )<br>
TrID  : File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 768:K9bf9981wRgnImbcpps/Zn99meoNvHjZ31+FJsHfDXgmgld7+Xyb:K9bF981BnxiSZ9seo9j0WHfDXgmgld7l
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. All rights reserved.<br>product......: Microsoft_ Windows_ Operating System<br>description..: PnP Disk Driver<br>original name: disk.sys<br>internal name: disk<br>file version.: 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD  : -
packers (Kaspersky): PE_Patch
RDS   : NSRL Reference Data Set<br><br>( Microsoft )<br><br>MSDN Disc 2939.3: disk.sysMSDN Disc 2939.4: disk.sys
0

Discussions similaires

Veuillez contactez l'assistance itunes pour finaliser la transaction
chico -
Panth33ra -

1 réponse
"creer un compte itune ss carte bancaire"aide
One Chinox -
One chinoX -

9 réponses
Assistance pour le "ITUNES"
LYL -
odi153 -

1 réponse
J'arrive pas à créé un compte code d'assistance ss07
Natacha -
Panth33ra -

1 réponse
Acces à snapchat temporairement désactivé
Anto_1234 -
Lemoche -

92 réponses