BackDoor.Tdss - Demande assistance
very_ill
Messages postés
18
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Le système utilisé est Windows 2003 (Windows Trust 4.5).
ESET NOD32 a détecté VIRUT.NBP sur un fichier temporaire et l'a mis en quarantaine.
J'ai suivi la procédure d'héradication préconisée sur ce site.
A priori plus de trace de Virut mais Dr. Web Cureit détecte à chaque redémarrage du PC la présence de BackDoor.Tdss.565
Il prétend l'héradiquer mais à chaque fois le redetecte sur 2 executables (une fois c'est C:\WINDOWS\Explorer.EXE une autre fois C:\WINDOWS\System32\svchost.exe).
L'utilisation de Combofix (préconisé ici ou ailleurs sur des variante de BackDoor.Tdss n'est pas envisageable car non compatible avec windows 2003.
Vous trouverez ci-dessous le rapport Dr. Web Cureit et Gmer. Ce dernier a relevé des anomalies sur les 2 exe mentionnés plus haut.
Dr. Web Cureit
Processus en mémoire: C:\WINDOWS\Explorer.EXE:192;;BackDoor.Tdss.565;Eradiqué.;
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-04 17:02:08
Windows 5.2.3790 Service Pack 2, v.4566
Running: 81t50z8f.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kwaiiaod.sys
---- System - GMER 1.0.15 ----
SSDT 8A15F580 ZwAssignProcessToJobObject
SSDT 8A160100 ZwDebugActiveProcess
SSDT 8A15FB30 ZwDuplicateObject
SSDT 8A15ECC0 ZwOpenProcess
SSDT 8A15EFC0 ZwOpenThread
SSDT 8A15F9C0 ZwProtectVirtualMemory
SSDT 8A15F860 ZwSetContextThread
SSDT 8A15F6E0 ZwSetInformationThread
SSDT 8A15C700 ZwSetSecurityObject
SSDT 8A15F420 ZwSuspendProcess
SSDT 8A15F2C0 ZwSuspendThread
SSDT 8A15EE50 ZwTerminateProcess
SSDT 8A15F150 ZwTerminateThread
SSDT 8A15FF50 ZwWriteVirtualMemory
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB94EA000, 0x1BDE76, 0xE8000020]
init C:\WINDOWS\system32\drivers\monfilt.sys entry point in "init" section [0xAC132280]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[768] ntdll.dll!NtProtectVirtualMemory 7C94747D 5 Bytes JMP 0083000A
.text C:\WINDOWS\System32\svchost.exe[768] ntdll.dll!NtWriteVirtualMemory 7C947D7D 5 Bytes JMP 0084000A
.text C:\WINDOWS\System32\svchost.exe[768] ntdll.dll!KiUserExceptionDispatcher 7C948570 5 Bytes JMP 0082000C
.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1152] kernel32.dll!SetUnhandledExceptionFilter 7C842118 4 Bytes [C2, 04, 00, 00]
.text C:\WINDOWS\Explorer.EXE[1868] ntdll.dll!NtProtectVirtualMemory 7C94747D 5 Bytes JMP 00B1000A
.text C:\WINDOWS\Explorer.EXE[1868] ntdll.dll!NtWriteVirtualMemory 7C947D7D 5 Bytes JMP 00B2000A
.text C:\WINDOWS\Explorer.EXE[1868] ntdll.dll!KiUserExceptionDispatcher 7C948570 5 Bytes JMP 00B0000C
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
Device \Driver\usbuhci \Device\USBPDO-0 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBPDO-1 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBPDO-2 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBPDO-3 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbehci \Device\USBPDO-4 hcmon.sys (VMware USB monitor/VMware, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)
Device \Driver\usbhub \Device\00000075 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000076 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000077 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000078 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000079 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-0 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-1 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-2 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-3 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbehci \Device\USBFDO-4 hcmon.sys (VMware USB monitor/VMware, Inc.)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DesktopHeapLogging 1
---- EOF - GMER 1.0.15 ----
Le système utilisé est Windows 2003 (Windows Trust 4.5).
ESET NOD32 a détecté VIRUT.NBP sur un fichier temporaire et l'a mis en quarantaine.
J'ai suivi la procédure d'héradication préconisée sur ce site.
A priori plus de trace de Virut mais Dr. Web Cureit détecte à chaque redémarrage du PC la présence de BackDoor.Tdss.565
Il prétend l'héradiquer mais à chaque fois le redetecte sur 2 executables (une fois c'est C:\WINDOWS\Explorer.EXE une autre fois C:\WINDOWS\System32\svchost.exe).
L'utilisation de Combofix (préconisé ici ou ailleurs sur des variante de BackDoor.Tdss n'est pas envisageable car non compatible avec windows 2003.
Vous trouverez ci-dessous le rapport Dr. Web Cureit et Gmer. Ce dernier a relevé des anomalies sur les 2 exe mentionnés plus haut.
Dr. Web Cureit
Processus en mémoire: C:\WINDOWS\Explorer.EXE:192;;BackDoor.Tdss.565;Eradiqué.;
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-04 17:02:08
Windows 5.2.3790 Service Pack 2, v.4566
Running: 81t50z8f.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kwaiiaod.sys
---- System - GMER 1.0.15 ----
SSDT 8A15F580 ZwAssignProcessToJobObject
SSDT 8A160100 ZwDebugActiveProcess
SSDT 8A15FB30 ZwDuplicateObject
SSDT 8A15ECC0 ZwOpenProcess
SSDT 8A15EFC0 ZwOpenThread
SSDT 8A15F9C0 ZwProtectVirtualMemory
SSDT 8A15F860 ZwSetContextThread
SSDT 8A15F6E0 ZwSetInformationThread
SSDT 8A15C700 ZwSetSecurityObject
SSDT 8A15F420 ZwSuspendProcess
SSDT 8A15F2C0 ZwSuspendThread
SSDT 8A15EE50 ZwTerminateProcess
SSDT 8A15F150 ZwTerminateThread
SSDT 8A15FF50 ZwWriteVirtualMemory
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB94EA000, 0x1BDE76, 0xE8000020]
init C:\WINDOWS\system32\drivers\monfilt.sys entry point in "init" section [0xAC132280]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[768] ntdll.dll!NtProtectVirtualMemory 7C94747D 5 Bytes JMP 0083000A
.text C:\WINDOWS\System32\svchost.exe[768] ntdll.dll!NtWriteVirtualMemory 7C947D7D 5 Bytes JMP 0084000A
.text C:\WINDOWS\System32\svchost.exe[768] ntdll.dll!KiUserExceptionDispatcher 7C948570 5 Bytes JMP 0082000C
.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1152] kernel32.dll!SetUnhandledExceptionFilter 7C842118 4 Bytes [C2, 04, 00, 00]
.text C:\WINDOWS\Explorer.EXE[1868] ntdll.dll!NtProtectVirtualMemory 7C94747D 5 Bytes JMP 00B1000A
.text C:\WINDOWS\Explorer.EXE[1868] ntdll.dll!NtWriteVirtualMemory 7C947D7D 5 Bytes JMP 00B2000A
.text C:\WINDOWS\Explorer.EXE[1868] ntdll.dll!KiUserExceptionDispatcher 7C948570 5 Bytes JMP 00B0000C
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
Device \Driver\usbuhci \Device\USBPDO-0 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBPDO-1 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBPDO-2 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBPDO-3 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbehci \Device\USBPDO-4 hcmon.sys (VMware USB monitor/VMware, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)
Device \Driver\usbhub \Device\00000075 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000076 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000077 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000078 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbhub \Device\00000079 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-0 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-1 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-2 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbuhci \Device\USBFDO-3 hcmon.sys (VMware USB monitor/VMware, Inc.)
Device \Driver\usbehci \Device\USBFDO-4 hcmon.sys (VMware USB monitor/VMware, Inc.)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DesktopHeapLogging 1
---- EOF - GMER 1.0.15 ----
A voir également:
- BackDoor.Tdss - Demande assistance
- Assistance free - Guide
- Assistance rapide - Accueil - Piratage
- Code assistance ss06 ✓ - Forum Snapchat
- Work from home online assistance avis - Forum Vos droits sur internet
- Assistance sfr - Guide
28 réponses
Fichier ACPI.sys reçu le 2010.04.08 19:25:57 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 195072 bytes
MD5 : 97b8cf6b9df2d2e69c22cfb7c3a69c5c
SHA1 : da52cdef658d6ce055c2e2fdfd069e99a7627bff
SHA256: 61d40a28aefc427ca8b14691e52e03a457f3a315c4bc8eb167674f9a28ff5cbc
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x2D459<br> timedatestamp.....: 0x45D69997 (Sat Feb 17 06:58:47 2007)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 8 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x1BCDE 0x1BE00 6.53 3dd4c3eee6e178494d657f2948c9ac52<br>.rdata 0x1D000 0xB0D 0xC00 5.22 0c9c72126dccc7bab3d2cf7c50e12e31<br>.data 0x1E000 0x2AD0 0x1C00 3.70 f4bb666926efe548750b27d1496b6a13<br>PAGE 0x21000 0xAFDE 0xB000 6.61 2cddbc09de6f605ebcba411e7e16a70b<br>PAGE 0x2C000 0x40C 0x600 3.13 282dcb14e54725518269e80233c72f29<br>INIT 0x2D000 0x13BC 0x1400 5.97 94c3b0a3ca5e87eda77076d91d19e3c8<br>.rsrc 0x2F000 0x1C4C 0x1E00 4.74 7fdc2023256c026b3d1aa009fd768c2f<br>.reloc 0x31000 0x266E 0x2800 6.48 33a23a65c6e57dc412d2bb9823dbc599<br> <br> ( 3 imports )<br> <br>> hal.dll: KeStallExecutionProcessor, WRITE_PORT_USHORT, WRITE_PORT_UCHAR, READ_PORT_ULONG, READ_PORT_USHORT, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalSetBusDataByOffset, HalGetBusDataByOffset, KdComPortInUse, KfAcquireSpinLock, KfReleaseSpinLock, WRITE_PORT_ULONG<br>> ntoskrnl.exe: memmove, _snwprintf, RtlInvertRangeList, RtlAddRange, RtlInitializeRangeList, RtlFreeRangeList, KeInsertQueueDpc, InterlockedCompareExchange, IoDeleteDevice, IoAttachDeviceToDeviceStack, IoCreateDevice, IoInvalidateDeviceRelations, strstr, IoGetAttachedDeviceReference, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, InterlockedPopEntrySList, InterlockedPushEntrySList, KeWaitForSingleObject, KeInitializeEvent, ExfInterlockedInsertTailList, IofCompleteRequest, ObReferenceObjectByPointer, RtlCompareMemory, PoRequestPowerIrp, ExQueueWorkItem, IoReleaseCancelSpinLock, InterlockedExchange, PoSetSystemState, PoStartNextPowerIrp, PoCallDriver, IoAcquireCancelSpinLock, PoSetPowerState, KdEnableDebugger, KdDisableDebugger, IofCallDriver, ExDeleteNPagedLookasideList, ObfDereferenceObject, IoBuildSynchronousFsdRequest, IoDetachDevice, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, RtlInitUnicodeString, strncpy, RtlIntegerToUnicodeString, ZwClose, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ZwSetValueKey, RtlIsRangeAvailable, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, IoSetDeviceInterfaceState, IoRegisterDeviceInterface, ExfInterlockedCompareExchange64, _alldiv, ExCreateCallback, KeSetTimer, RtlGetNextRange, RtlGetFirstRange, RtlFreeUnicodeString, RtlEqualUnicodeString, MmGetPhysicalAddress, HeadlessDispatch, IoRequestDeviceEject, PoShutdownBugCheck, RtlDeleteRange, RtlFindRange, ZwCreateKey, ZwQueryValueKey, ZwOpenKey, RtlUnicodeStringToInteger, ZwEnumerateKey, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, RtlFindLeastSignificantBit, IoWMIRegistrationControl, IoWMIWriteEvent, vsprintf, ObReferenceObjectByHandle, KeClearEvent, PsTerminateSystemThread, KeWaitForMultipleObjects, PsCreateSystemThread, wcslen, ObfReferenceObject, IoFreeWorkItem, IoQueueWorkItem, IoAllocateWorkItem, KeTickCount, KeSetEvent, swprintf, sprintf, RtlCopyUnicodeString, KeQueryActiveProcessors, KeInitializeTimer, KeInitializeSpinLock, ExInitializeNPagedLookasideList, HalDispatchTable, InterlockedDecrement, IoOpenDeviceRegistryKey, InterlockedIncrement, DbgBreakPoint, ExNotifyCallback, MmMapIoSpace, MmUnmapIoSpace, DbgPrint, _vsnprintf, KeQueryInterruptTime, KeCancelTimer, ExfInterlockedRemoveHeadList, ZwSetSystemInformation, KeRevertToUserAffinityThread, KeSetSystemAffinityThread, READ_REGISTER_UCHAR, READ_REGISTER_USHORT, WRITE_REGISTER_UCHAR, WRITE_REGISTER_USHORT, RtlDeleteOwnersRanges, RtlCopyRangeList, _aullrem, IoGetDeviceProperty, _wcsicmp, ExAllocatePoolWithTag, ExFreePoolWithTag, ZwPowerInformation, KeBugCheckEx, KeInitializeDpc, ExRegisterCallback, IoConnectInterrupt<br>> wmilib.sys: WmiCompleteRequest, WmiSystemControl<br> <br> ( 0 exports )<br>
TrID : File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 3072:35X3uFKoT621bqjkoeEjf5G/teXNmJSUhVdHByde5Dm0wCrTtcRsoqxnqNEGZXl:p+bBnO5G/t8wdI/GTtcRsrnGJ
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.<br>product......: Syst_me d_exploitation Microsoft_ Windows_<br>description..: Pilote ACPI pour NT<br>original name: ACPI.sys<br>internal name: ACPI.sys<br>file version.: 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
packers (Kaspersky): PE_Patch
RDS : NSRL Reference Data Set<br>-
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 195072 bytes
MD5 : 97b8cf6b9df2d2e69c22cfb7c3a69c5c
SHA1 : da52cdef658d6ce055c2e2fdfd069e99a7627bff
SHA256: 61d40a28aefc427ca8b14691e52e03a457f3a315c4bc8eb167674f9a28ff5cbc
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x2D459<br> timedatestamp.....: 0x45D69997 (Sat Feb 17 06:58:47 2007)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 8 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x1BCDE 0x1BE00 6.53 3dd4c3eee6e178494d657f2948c9ac52<br>.rdata 0x1D000 0xB0D 0xC00 5.22 0c9c72126dccc7bab3d2cf7c50e12e31<br>.data 0x1E000 0x2AD0 0x1C00 3.70 f4bb666926efe548750b27d1496b6a13<br>PAGE 0x21000 0xAFDE 0xB000 6.61 2cddbc09de6f605ebcba411e7e16a70b<br>PAGE 0x2C000 0x40C 0x600 3.13 282dcb14e54725518269e80233c72f29<br>INIT 0x2D000 0x13BC 0x1400 5.97 94c3b0a3ca5e87eda77076d91d19e3c8<br>.rsrc 0x2F000 0x1C4C 0x1E00 4.74 7fdc2023256c026b3d1aa009fd768c2f<br>.reloc 0x31000 0x266E 0x2800 6.48 33a23a65c6e57dc412d2bb9823dbc599<br> <br> ( 3 imports )<br> <br>> hal.dll: KeStallExecutionProcessor, WRITE_PORT_USHORT, WRITE_PORT_UCHAR, READ_PORT_ULONG, READ_PORT_USHORT, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalSetBusDataByOffset, HalGetBusDataByOffset, KdComPortInUse, KfAcquireSpinLock, KfReleaseSpinLock, WRITE_PORT_ULONG<br>> ntoskrnl.exe: memmove, _snwprintf, RtlInvertRangeList, RtlAddRange, RtlInitializeRangeList, RtlFreeRangeList, KeInsertQueueDpc, InterlockedCompareExchange, IoDeleteDevice, IoAttachDeviceToDeviceStack, IoCreateDevice, IoInvalidateDeviceRelations, strstr, IoGetAttachedDeviceReference, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, InterlockedPopEntrySList, InterlockedPushEntrySList, KeWaitForSingleObject, KeInitializeEvent, ExfInterlockedInsertTailList, IofCompleteRequest, ObReferenceObjectByPointer, RtlCompareMemory, PoRequestPowerIrp, ExQueueWorkItem, IoReleaseCancelSpinLock, InterlockedExchange, PoSetSystemState, PoStartNextPowerIrp, PoCallDriver, IoAcquireCancelSpinLock, PoSetPowerState, KdEnableDebugger, KdDisableDebugger, IofCallDriver, ExDeleteNPagedLookasideList, ObfDereferenceObject, IoBuildSynchronousFsdRequest, IoDetachDevice, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, RtlInitUnicodeString, strncpy, RtlIntegerToUnicodeString, ZwClose, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ZwSetValueKey, RtlIsRangeAvailable, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, IoSetDeviceInterfaceState, IoRegisterDeviceInterface, ExfInterlockedCompareExchange64, _alldiv, ExCreateCallback, KeSetTimer, RtlGetNextRange, RtlGetFirstRange, RtlFreeUnicodeString, RtlEqualUnicodeString, MmGetPhysicalAddress, HeadlessDispatch, IoRequestDeviceEject, PoShutdownBugCheck, RtlDeleteRange, RtlFindRange, ZwCreateKey, ZwQueryValueKey, ZwOpenKey, RtlUnicodeStringToInteger, ZwEnumerateKey, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, RtlFindLeastSignificantBit, IoWMIRegistrationControl, IoWMIWriteEvent, vsprintf, ObReferenceObjectByHandle, KeClearEvent, PsTerminateSystemThread, KeWaitForMultipleObjects, PsCreateSystemThread, wcslen, ObfReferenceObject, IoFreeWorkItem, IoQueueWorkItem, IoAllocateWorkItem, KeTickCount, KeSetEvent, swprintf, sprintf, RtlCopyUnicodeString, KeQueryActiveProcessors, KeInitializeTimer, KeInitializeSpinLock, ExInitializeNPagedLookasideList, HalDispatchTable, InterlockedDecrement, IoOpenDeviceRegistryKey, InterlockedIncrement, DbgBreakPoint, ExNotifyCallback, MmMapIoSpace, MmUnmapIoSpace, DbgPrint, _vsnprintf, KeQueryInterruptTime, KeCancelTimer, ExfInterlockedRemoveHeadList, ZwSetSystemInformation, KeRevertToUserAffinityThread, KeSetSystemAffinityThread, READ_REGISTER_UCHAR, READ_REGISTER_USHORT, WRITE_REGISTER_UCHAR, WRITE_REGISTER_USHORT, RtlDeleteOwnersRanges, RtlCopyRangeList, _aullrem, IoGetDeviceProperty, _wcsicmp, ExAllocatePoolWithTag, ExFreePoolWithTag, ZwPowerInformation, KeBugCheckEx, KeInitializeDpc, ExRegisterCallback, IoConnectInterrupt<br>> wmilib.sys: WmiCompleteRequest, WmiSystemControl<br> <br> ( 0 exports )<br>
TrID : File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 3072:35X3uFKoT621bqjkoeEjf5G/teXNmJSUhVdHByde5Dm0wCrTtcRsoqxnqNEGZXl:p+bBnO5G/t8wdI/GTtcRsrnGJ
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.<br>product......: Syst_me d_exploitation Microsoft_ Windows_<br>description..: Pilote ACPI pour NT<br>original name: ACPI.sys<br>internal name: ACPI.sys<br>file version.: 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
packers (Kaspersky): PE_Patch
RDS : NSRL Reference Data Set<br>-
Fichier hal.dll reçu le 2010.04.08 19:21:24 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 119808 bytes
MD5 : e209a057ab4d30eabf19ca71fe36a6b6
SHA1 : b4e41ee51498927ca48ff7066bb07bde74b964a0
SHA256: 2a7f3503b1a50e00fa3872864abf19c3f94918192a2d5dc740b724097664baac
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x26E90<br> timedatestamp.....: 0x45D6972A (Sat Feb 17 06:48:26 2007)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 12 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x98FD 0x9A00 6.44 55082324b7c5e639374619f293e12b03<br>.data 0xB000 0xCF80 0x4A00 0.93 96c532f3c2ee2f30520da1db6b81f6a8<br>INITCONS 0x18000 0x200 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b<br>INITDAT 0x19000 0x78 0x200 0.67 2b815f5fe11944160394a4140693a9af<br>PAGELK 0x1A000 0x3936 0x3A00 6.40 f586e11815045d8b0c74bb5e2bde8cf6<br>PAGELK16 0x1E000 0x82 0x200 1.61 5fe7505eff85308dbc158fb8dc2cc406<br>PAGE 0x1F000 0x2F2C 0x3000 6.52 60b2f3417631cff1911841a9d9c1da33<br>PAGEKD 0x22000 0x137C 0x1400 6.45 721f6cba82fc471e4a487632d4fb7977<br>.edata 0x24000 0xC05 0xE00 5.07 e66082e5cfc7a2c4fa38f5026c96dc86<br>INIT 0x25000 0x3FFA 0x4000 6.63 6a6bbbb021c177e4f02cf00b1b144b95<br>.rsrc 0x29000 0x410 0x600 2.54 ec6977365c40289afaccecc4a16dd44f<br>.reloc 0x2A000 0x1270 0x1400 5.96 4dac7ea71c7356c5375e99af7ea3d4be<br> <br> ( 0 imports )<br> <br> <br> ( 0 exports )<br>
TrID : File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 1536:NmLhG6ADQ4UFjdaYStSqQPK2Lsw/xj/IDEojhT/FrN1HOmH:sL86AK4BkqQPKaB9/4EojhLn1HOm
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. All rights reserved.<br>product......: Microsoft_ Windows_ Operating System<br>description..: Hardware Abstraction Layer DLL<br>original name: halmacpi.dll<br>internal name: halmacpi.dll<br>file version.: 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
RDS : NSRL Reference Data Set<br><br>( Microsoft )<br><br>MSDN Disc 2939.3: halmacpi.dllMSDN Disc 2939.4: halmacpi.dll
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 119808 bytes
MD5 : e209a057ab4d30eabf19ca71fe36a6b6
SHA1 : b4e41ee51498927ca48ff7066bb07bde74b964a0
SHA256: 2a7f3503b1a50e00fa3872864abf19c3f94918192a2d5dc740b724097664baac
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x26E90<br> timedatestamp.....: 0x45D6972A (Sat Feb 17 06:48:26 2007)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 12 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x98FD 0x9A00 6.44 55082324b7c5e639374619f293e12b03<br>.data 0xB000 0xCF80 0x4A00 0.93 96c532f3c2ee2f30520da1db6b81f6a8<br>INITCONS 0x18000 0x200 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b<br>INITDAT 0x19000 0x78 0x200 0.67 2b815f5fe11944160394a4140693a9af<br>PAGELK 0x1A000 0x3936 0x3A00 6.40 f586e11815045d8b0c74bb5e2bde8cf6<br>PAGELK16 0x1E000 0x82 0x200 1.61 5fe7505eff85308dbc158fb8dc2cc406<br>PAGE 0x1F000 0x2F2C 0x3000 6.52 60b2f3417631cff1911841a9d9c1da33<br>PAGEKD 0x22000 0x137C 0x1400 6.45 721f6cba82fc471e4a487632d4fb7977<br>.edata 0x24000 0xC05 0xE00 5.07 e66082e5cfc7a2c4fa38f5026c96dc86<br>INIT 0x25000 0x3FFA 0x4000 6.63 6a6bbbb021c177e4f02cf00b1b144b95<br>.rsrc 0x29000 0x410 0x600 2.54 ec6977365c40289afaccecc4a16dd44f<br>.reloc 0x2A000 0x1270 0x1400 5.96 4dac7ea71c7356c5375e99af7ea3d4be<br> <br> ( 0 imports )<br> <br> <br> ( 0 exports )<br>
TrID : File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 1536:NmLhG6ADQ4UFjdaYStSqQPK2Lsw/xj/IDEojhT/FrN1HOmH:sL86AK4BkqQPKaB9/4EojhLn1HOm
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. All rights reserved.<br>product......: Microsoft_ Windows_ Operating System<br>description..: Hardware Abstraction Layer DLL<br>original name: halmacpi.dll<br>internal name: halmacpi.dll<br>file version.: 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
RDS : NSRL Reference Data Set<br><br>( Microsoft )<br><br>MSDN Disc 2939.3: halmacpi.dllMSDN Disc 2939.4: halmacpi.dll
Fichier pciide.sys reçu le 2010.04.08 19:27:08 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 5632 bytes
MD5 : 8233f4066db48dd66303f838e5aabfde
SHA1 : 842ebfc180117de95ad7d3eef80e9b495719c5af
SHA256: 816db26837e6a38046646d7a4c24dc87912344b759ac12db079f353ebf0f9646
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x4000<br> timedatestamp.....: 0x3E7FFF8E (Tue Mar 25 08:04:46 2003)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 6 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x398 0x400 5.89 68788c1d0be54fbb07e2c2b1e1d6a3ad<br>.rdata 0x2000 0x5F 0x200 0.98 e2c8c09bd8cb8fcaa5297d7897a542df<br>.data 0x3000 0xC 0x200 0.23 b33c2d8f10effa7a514b87b1005c5ec9<br>INIT 0x4000 0xFC 0x200 2.76 8c06621f66902090ccccefa13a835529<br>.rsrc 0x5000 0x47C 0x600 3.96 ff313895a24387c45d95d308474c4e1e<br>.reloc 0x6000 0x58 0x200 0.71 7b78489871d8b46403e67edb61582264<br> <br> ( 2 imports )<br> <br>> ntoskrnl.exe: KeBugCheckEx, KeTickCount<br>> pciidex.sys: PciIdeXInitialize, PciIdeXSetBusData, PciIdeXGetBusData<br> <br> ( 0 exports )<br>
TrID : File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 48:i2z6dib7xDX744y9a6Gp2Q4jmdnq2ZWyX2Hs7qo8chSUVMWG:TzyibVDX744Ua6wm+q+WEqoJdVM
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.<br>product......: Syst_me d_exploitation Microsoft_ Windows_<br>description..: Pilote de bus g_n_rique PCI IDE<br>original name: pciide.sys<br>internal name: pciide.sys<br>file version.: 5.2.3790.0 (srv03_rtm.030324-2048)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
packers (Kaspersky): PE_Patch
RDS : NSRL Reference Data Set<br><br>( Microsoft )<br><br>MSDN Disc 2439: pciide.sysMSDN Disc 2439.1: pciide.sysMSDN Disc 2439.2: pciide.sysMSDN Disc 2439.3: pciide.sysMSDN Disc 2439.6: pciide.sysMSDN Disc 2439.7: pciide.sysMSDN Disc 2439.8: pciide.sysMSDN Windows Server 2003 Standard & Enterprise: pciide.sys
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 5632 bytes
MD5 : 8233f4066db48dd66303f838e5aabfde
SHA1 : 842ebfc180117de95ad7d3eef80e9b495719c5af
SHA256: 816db26837e6a38046646d7a4c24dc87912344b759ac12db079f353ebf0f9646
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x4000<br> timedatestamp.....: 0x3E7FFF8E (Tue Mar 25 08:04:46 2003)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 6 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x398 0x400 5.89 68788c1d0be54fbb07e2c2b1e1d6a3ad<br>.rdata 0x2000 0x5F 0x200 0.98 e2c8c09bd8cb8fcaa5297d7897a542df<br>.data 0x3000 0xC 0x200 0.23 b33c2d8f10effa7a514b87b1005c5ec9<br>INIT 0x4000 0xFC 0x200 2.76 8c06621f66902090ccccefa13a835529<br>.rsrc 0x5000 0x47C 0x600 3.96 ff313895a24387c45d95d308474c4e1e<br>.reloc 0x6000 0x58 0x200 0.71 7b78489871d8b46403e67edb61582264<br> <br> ( 2 imports )<br> <br>> ntoskrnl.exe: KeBugCheckEx, KeTickCount<br>> pciidex.sys: PciIdeXInitialize, PciIdeXSetBusData, PciIdeXGetBusData<br> <br> ( 0 exports )<br>
TrID : File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 48:i2z6dib7xDX744y9a6Gp2Q4jmdnq2ZWyX2Hs7qo8chSUVMWG:TzyibVDX744Ua6wm+q+WEqoJdVM
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.<br>product......: Syst_me d_exploitation Microsoft_ Windows_<br>description..: Pilote de bus g_n_rique PCI IDE<br>original name: pciide.sys<br>internal name: pciide.sys<br>file version.: 5.2.3790.0 (srv03_rtm.030324-2048)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
packers (Kaspersky): PE_Patch
RDS : NSRL Reference Data Set<br><br>( Microsoft )<br><br>MSDN Disc 2439: pciide.sysMSDN Disc 2439.1: pciide.sysMSDN Disc 2439.2: pciide.sysMSDN Disc 2439.3: pciide.sysMSDN Disc 2439.6: pciide.sysMSDN Disc 2439.7: pciide.sysMSDN Disc 2439.8: pciide.sysMSDN Windows Server 2003 Standard & Enterprise: pciide.sys
Fichier ntkrnlpa.exe reçu le 2010.04.08 19:19:34 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 2344448 bytes
MD5 : f2dc96935fe0f1745c78fc0f26a86157
SHA1 : 4cfe3d04f158a2c92f2d26dbf99d2bd1145c15ad
SHA256: 64282b97017c1335ef85a5be6eabf2f858b7a964bee6bb75948fd0810db0111e
La suite est trop grosse pour tenir dans un message
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 2344448 bytes
MD5 : f2dc96935fe0f1745c78fc0f26a86157
SHA1 : 4cfe3d04f158a2c92f2d26dbf99d2bd1145c15ad
SHA256: 64282b97017c1335ef85a5be6eabf2f858b7a964bee6bb75948fd0810db0111e
La suite est trop grosse pour tenir dans un message
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
La fin de ntkrnlpa.exe est la suivante (j'ai laissé tomber la section PEinfo)
ssdeep: 49152:iaE4A3KEw4xmC+s5PmXl6FFfTndyhLE5:iabA3PwCnP6l6FFfTnclE
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.<br>product......: Syst_me d_exploitation Microsoft_ Windows_<br>description..: Noyau et syst_me NT<br>original name: ntkrpamp.exe<br>internal name: ntkrpamp.exe<br>file version.: 5.2.3790.4566 (srv03_sp2_gdr.090805-1438)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
RDS : NSRL Reference Data Set<br>-
ssdeep: 49152:iaE4A3KEw4xmC+s5PmXl6FFfTndyhLE5:iabA3PwCnP6l6FFfTnclE
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.<br>product......: Syst_me d_exploitation Microsoft_ Windows_<br>description..: Noyau et syst_me NT<br>original name: ntkrpamp.exe<br>internal name: ntkrpamp.exe<br>file version.: 5.2.3790.4566 (srv03_sp2_gdr.090805-1438)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
RDS : NSRL Reference Data Set<br>-
hello refais un complet sur tous les disques avec Malwarebytes et supprime tout ce qu'il trouve en fin de scan
?G3?-?@¢??@?(TM)©®?
?G3?-?@¢??@?(TM)©®?
Salut,
Je crois tenir la fin de mon problème. Ci-dessous le détail de mes opérations de ce soir qui ont significativement changé la donne sur les résultats d'analyse tdsskiller et drweb cureit qui détectaient depuis une semaine l'infection sans arrier à l'héradiquer.
J'ai relancé pour commencer et être certain de partir d'un état de mon système toujours le même, càd infecté par tdss, l'opération de scan avec tdsskiller et drweb cureit.
Résultat:
1. Tdsskiller: le fichier atapi.sys est toujours détecté infecté et il le restore ... comme à chaque fois, ce soir à 20h29
C:\Documents and Settings\Administrateur>dir "c:\WINDOWS\system32\drivers\atapi.sys"
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B844-79E7
Répertoire de c:\WINDOWS\system32\drivers
12/04/2010 20:29 96 768 atapi.sys
1 fichier(s) 96 768 octets
0 Rép(s) 25 475 903 488 octets libres
2. DrWeb Cureit: j'ai téléchargé la version mise à jour aujourd'hui 12/04/2010 (ftp://ftp.drweb.com/pub/drweb/cureit/20100412214557/cureit.exe) j'avais auparavant celle du 03/04/2010.
Résultat du scan analyse rapide: svchost.exe est détecté comme infecté en mémoire (comme à chaque fois...) mais là ô surprise une nouveauté est trouvée sur un fichier temp rswaecmxon.tmp
Processus en mémoire: C:\WINDOWS\System32\svchost.exe:780;;BackDoor.Tdss.565;Eradiqué.;
rswaecmxon.tmp;C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp;Trojan.Click.25308;Supprimé.;
3. J'ai relancé une analyse sélective avec DrWeb du C:\ en bootant sur ReatogoPE pour être sur d'analyser un disque sans fichier système chargé en mémoire. Bonne pioche encore une autre variante de Tdss détectée sur un fichier .sys:
dmio.sys;C:\WINDOWS\system32\drivers;BackDoor.Tdss.2459;Cured.;
4. Je reboote sur mon système Windows 2003:
Je relance Tdsskiller: il ne trouve plus rien. C'est la première que cela arrive!!!
Je relance scan DrWeb: il ne trouve plus rien non plus et là pareil c'est une première.
Je vais relancer encore un scan complet malwarebyte pour m'assurer qu'il n'y a plus rien du tout, mais hier soir c'est ce que j'ai fait, sans rien trouver d'autre.
Je vais bien voir si les symptômes de pop-up disparaissent également.
Je patiente encore qq jours et on pourra passer en résolu si rien ne change.
Je crois tenir la fin de mon problème. Ci-dessous le détail de mes opérations de ce soir qui ont significativement changé la donne sur les résultats d'analyse tdsskiller et drweb cureit qui détectaient depuis une semaine l'infection sans arrier à l'héradiquer.
J'ai relancé pour commencer et être certain de partir d'un état de mon système toujours le même, càd infecté par tdss, l'opération de scan avec tdsskiller et drweb cureit.
Résultat:
1. Tdsskiller: le fichier atapi.sys est toujours détecté infecté et il le restore ... comme à chaque fois, ce soir à 20h29
C:\Documents and Settings\Administrateur>dir "c:\WINDOWS\system32\drivers\atapi.sys"
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B844-79E7
Répertoire de c:\WINDOWS\system32\drivers
12/04/2010 20:29 96 768 atapi.sys
1 fichier(s) 96 768 octets
0 Rép(s) 25 475 903 488 octets libres
2. DrWeb Cureit: j'ai téléchargé la version mise à jour aujourd'hui 12/04/2010 (ftp://ftp.drweb.com/pub/drweb/cureit/20100412214557/cureit.exe) j'avais auparavant celle du 03/04/2010.
Résultat du scan analyse rapide: svchost.exe est détecté comme infecté en mémoire (comme à chaque fois...) mais là ô surprise une nouveauté est trouvée sur un fichier temp rswaecmxon.tmp
Processus en mémoire: C:\WINDOWS\System32\svchost.exe:780;;BackDoor.Tdss.565;Eradiqué.;
rswaecmxon.tmp;C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp;Trojan.Click.25308;Supprimé.;
3. J'ai relancé une analyse sélective avec DrWeb du C:\ en bootant sur ReatogoPE pour être sur d'analyser un disque sans fichier système chargé en mémoire. Bonne pioche encore une autre variante de Tdss détectée sur un fichier .sys:
dmio.sys;C:\WINDOWS\system32\drivers;BackDoor.Tdss.2459;Cured.;
4. Je reboote sur mon système Windows 2003:
Je relance Tdsskiller: il ne trouve plus rien. C'est la première que cela arrive!!!
Je relance scan DrWeb: il ne trouve plus rien non plus et là pareil c'est une première.
Je vais relancer encore un scan complet malwarebyte pour m'assurer qu'il n'y a plus rien du tout, mais hier soir c'est ce que j'ai fait, sans rien trouver d'autre.
Je vais bien voir si les symptômes de pop-up disparaissent également.
Je patiente encore qq jours et on pourra passer en résolu si rien ne change.