BackDoor.Tdss - Demande assistance
Fermé
very_ill
Messages postés
18
Date d'inscription
dimanche 4 avril 2010
Statut
Membre
Dernière intervention
12 avril 2010
-
4 avril 2010 à 17:22
Utilisateur anonyme - 12 avril 2010 à 22:44
Utilisateur anonyme - 12 avril 2010 à 22:44
A voir également:
- BackDoor.Tdss - Demande assistance
- Code assistance c14a snapchat ✓ - Forum Snapchat
- Un tampon d'encre de l'imprimante est quasiment en fin de vie. veuillez contacter l'assistance epson. - Forum Imprimante
- Veuillez contacter l'assistance itunes pour finaliser cette transaction - Forum iTunes
- Lecture d'un document non balisé avec une technologie d'assistance ✓ - Forum Bureautique
- Noreply assistance free fr ✓ - Forum Vos droits sur internet
28 réponses
very_ill
Messages postés
18
Date d'inscription
dimanche 4 avril 2010
Statut
Membre
Dernière intervention
12 avril 2010
11 avril 2010 à 21:06
11 avril 2010 à 21:06
Fichier ACPI.sys reçu le 2010.04.08 19:25:57 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 195072 bytes
MD5 : 97b8cf6b9df2d2e69c22cfb7c3a69c5c
SHA1 : da52cdef658d6ce055c2e2fdfd069e99a7627bff
SHA256: 61d40a28aefc427ca8b14691e52e03a457f3a315c4bc8eb167674f9a28ff5cbc
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x2D459<br> timedatestamp.....: 0x45D69997 (Sat Feb 17 06:58:47 2007)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 8 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x1BCDE 0x1BE00 6.53 3dd4c3eee6e178494d657f2948c9ac52<br>.rdata 0x1D000 0xB0D 0xC00 5.22 0c9c72126dccc7bab3d2cf7c50e12e31<br>.data 0x1E000 0x2AD0 0x1C00 3.70 f4bb666926efe548750b27d1496b6a13<br>PAGE 0x21000 0xAFDE 0xB000 6.61 2cddbc09de6f605ebcba411e7e16a70b<br>PAGE 0x2C000 0x40C 0x600 3.13 282dcb14e54725518269e80233c72f29<br>INIT 0x2D000 0x13BC 0x1400 5.97 94c3b0a3ca5e87eda77076d91d19e3c8<br>.rsrc 0x2F000 0x1C4C 0x1E00 4.74 7fdc2023256c026b3d1aa009fd768c2f<br>.reloc 0x31000 0x266E 0x2800 6.48 33a23a65c6e57dc412d2bb9823dbc599<br> <br> ( 3 imports )<br> <br>> hal.dll: KeStallExecutionProcessor, WRITE_PORT_USHORT, WRITE_PORT_UCHAR, READ_PORT_ULONG, READ_PORT_USHORT, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalSetBusDataByOffset, HalGetBusDataByOffset, KdComPortInUse, KfAcquireSpinLock, KfReleaseSpinLock, WRITE_PORT_ULONG<br>> ntoskrnl.exe: memmove, _snwprintf, RtlInvertRangeList, RtlAddRange, RtlInitializeRangeList, RtlFreeRangeList, KeInsertQueueDpc, InterlockedCompareExchange, IoDeleteDevice, IoAttachDeviceToDeviceStack, IoCreateDevice, IoInvalidateDeviceRelations, strstr, IoGetAttachedDeviceReference, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, InterlockedPopEntrySList, InterlockedPushEntrySList, KeWaitForSingleObject, KeInitializeEvent, ExfInterlockedInsertTailList, IofCompleteRequest, ObReferenceObjectByPointer, RtlCompareMemory, PoRequestPowerIrp, ExQueueWorkItem, IoReleaseCancelSpinLock, InterlockedExchange, PoSetSystemState, PoStartNextPowerIrp, PoCallDriver, IoAcquireCancelSpinLock, PoSetPowerState, KdEnableDebugger, KdDisableDebugger, IofCallDriver, ExDeleteNPagedLookasideList, ObfDereferenceObject, IoBuildSynchronousFsdRequest, IoDetachDevice, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, RtlInitUnicodeString, strncpy, RtlIntegerToUnicodeString, ZwClose, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ZwSetValueKey, RtlIsRangeAvailable, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, IoSetDeviceInterfaceState, IoRegisterDeviceInterface, ExfInterlockedCompareExchange64, _alldiv, ExCreateCallback, KeSetTimer, RtlGetNextRange, RtlGetFirstRange, RtlFreeUnicodeString, RtlEqualUnicodeString, MmGetPhysicalAddress, HeadlessDispatch, IoRequestDeviceEject, PoShutdownBugCheck, RtlDeleteRange, RtlFindRange, ZwCreateKey, ZwQueryValueKey, ZwOpenKey, RtlUnicodeStringToInteger, ZwEnumerateKey, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, RtlFindLeastSignificantBit, IoWMIRegistrationControl, IoWMIWriteEvent, vsprintf, ObReferenceObjectByHandle, KeClearEvent, PsTerminateSystemThread, KeWaitForMultipleObjects, PsCreateSystemThread, wcslen, ObfReferenceObject, IoFreeWorkItem, IoQueueWorkItem, IoAllocateWorkItem, KeTickCount, KeSetEvent, swprintf, sprintf, RtlCopyUnicodeString, KeQueryActiveProcessors, KeInitializeTimer, KeInitializeSpinLock, ExInitializeNPagedLookasideList, HalDispatchTable, InterlockedDecrement, IoOpenDeviceRegistryKey, InterlockedIncrement, DbgBreakPoint, ExNotifyCallback, MmMapIoSpace, MmUnmapIoSpace, DbgPrint, _vsnprintf, KeQueryInterruptTime, KeCancelTimer, ExfInterlockedRemoveHeadList, ZwSetSystemInformation, KeRevertToUserAffinityThread, KeSetSystemAffinityThread, READ_REGISTER_UCHAR, READ_REGISTER_USHORT, WRITE_REGISTER_UCHAR, WRITE_REGISTER_USHORT, RtlDeleteOwnersRanges, RtlCopyRangeList, _aullrem, IoGetDeviceProperty, _wcsicmp, ExAllocatePoolWithTag, ExFreePoolWithTag, ZwPowerInformation, KeBugCheckEx, KeInitializeDpc, ExRegisterCallback, IoConnectInterrupt<br>> wmilib.sys: WmiCompleteRequest, WmiSystemControl<br> <br> ( 0 exports )<br>
TrID : File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 3072:35X3uFKoT621bqjkoeEjf5G/teXNmJSUhVdHByde5Dm0wCrTtcRsoqxnqNEGZXl:p+bBnO5G/t8wdI/GTtcRsrnGJ
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.<br>product......: Syst_me d_exploitation Microsoft_ Windows_<br>description..: Pilote ACPI pour NT<br>original name: ACPI.sys<br>internal name: ACPI.sys<br>file version.: 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
packers (Kaspersky): PE_Patch
RDS : NSRL Reference Data Set<br>-
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 195072 bytes
MD5 : 97b8cf6b9df2d2e69c22cfb7c3a69c5c
SHA1 : da52cdef658d6ce055c2e2fdfd069e99a7627bff
SHA256: 61d40a28aefc427ca8b14691e52e03a457f3a315c4bc8eb167674f9a28ff5cbc
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x2D459<br> timedatestamp.....: 0x45D69997 (Sat Feb 17 06:58:47 2007)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 8 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x1BCDE 0x1BE00 6.53 3dd4c3eee6e178494d657f2948c9ac52<br>.rdata 0x1D000 0xB0D 0xC00 5.22 0c9c72126dccc7bab3d2cf7c50e12e31<br>.data 0x1E000 0x2AD0 0x1C00 3.70 f4bb666926efe548750b27d1496b6a13<br>PAGE 0x21000 0xAFDE 0xB000 6.61 2cddbc09de6f605ebcba411e7e16a70b<br>PAGE 0x2C000 0x40C 0x600 3.13 282dcb14e54725518269e80233c72f29<br>INIT 0x2D000 0x13BC 0x1400 5.97 94c3b0a3ca5e87eda77076d91d19e3c8<br>.rsrc 0x2F000 0x1C4C 0x1E00 4.74 7fdc2023256c026b3d1aa009fd768c2f<br>.reloc 0x31000 0x266E 0x2800 6.48 33a23a65c6e57dc412d2bb9823dbc599<br> <br> ( 3 imports )<br> <br>> hal.dll: KeStallExecutionProcessor, WRITE_PORT_USHORT, WRITE_PORT_UCHAR, READ_PORT_ULONG, READ_PORT_USHORT, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalSetBusDataByOffset, HalGetBusDataByOffset, KdComPortInUse, KfAcquireSpinLock, KfReleaseSpinLock, WRITE_PORT_ULONG<br>> ntoskrnl.exe: memmove, _snwprintf, RtlInvertRangeList, RtlAddRange, RtlInitializeRangeList, RtlFreeRangeList, KeInsertQueueDpc, InterlockedCompareExchange, IoDeleteDevice, IoAttachDeviceToDeviceStack, IoCreateDevice, IoInvalidateDeviceRelations, strstr, IoGetAttachedDeviceReference, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, InterlockedPopEntrySList, InterlockedPushEntrySList, KeWaitForSingleObject, KeInitializeEvent, ExfInterlockedInsertTailList, IofCompleteRequest, ObReferenceObjectByPointer, RtlCompareMemory, PoRequestPowerIrp, ExQueueWorkItem, IoReleaseCancelSpinLock, InterlockedExchange, PoSetSystemState, PoStartNextPowerIrp, PoCallDriver, IoAcquireCancelSpinLock, PoSetPowerState, KdEnableDebugger, KdDisableDebugger, IofCallDriver, ExDeleteNPagedLookasideList, ObfDereferenceObject, IoBuildSynchronousFsdRequest, IoDetachDevice, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, RtlInitUnicodeString, strncpy, RtlIntegerToUnicodeString, ZwClose, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ZwSetValueKey, RtlIsRangeAvailable, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, IoSetDeviceInterfaceState, IoRegisterDeviceInterface, ExfInterlockedCompareExchange64, _alldiv, ExCreateCallback, KeSetTimer, RtlGetNextRange, RtlGetFirstRange, RtlFreeUnicodeString, RtlEqualUnicodeString, MmGetPhysicalAddress, HeadlessDispatch, IoRequestDeviceEject, PoShutdownBugCheck, RtlDeleteRange, RtlFindRange, ZwCreateKey, ZwQueryValueKey, ZwOpenKey, RtlUnicodeStringToInteger, ZwEnumerateKey, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, RtlFindLeastSignificantBit, IoWMIRegistrationControl, IoWMIWriteEvent, vsprintf, ObReferenceObjectByHandle, KeClearEvent, PsTerminateSystemThread, KeWaitForMultipleObjects, PsCreateSystemThread, wcslen, ObfReferenceObject, IoFreeWorkItem, IoQueueWorkItem, IoAllocateWorkItem, KeTickCount, KeSetEvent, swprintf, sprintf, RtlCopyUnicodeString, KeQueryActiveProcessors, KeInitializeTimer, KeInitializeSpinLock, ExInitializeNPagedLookasideList, HalDispatchTable, InterlockedDecrement, IoOpenDeviceRegistryKey, InterlockedIncrement, DbgBreakPoint, ExNotifyCallback, MmMapIoSpace, MmUnmapIoSpace, DbgPrint, _vsnprintf, KeQueryInterruptTime, KeCancelTimer, ExfInterlockedRemoveHeadList, ZwSetSystemInformation, KeRevertToUserAffinityThread, KeSetSystemAffinityThread, READ_REGISTER_UCHAR, READ_REGISTER_USHORT, WRITE_REGISTER_UCHAR, WRITE_REGISTER_USHORT, RtlDeleteOwnersRanges, RtlCopyRangeList, _aullrem, IoGetDeviceProperty, _wcsicmp, ExAllocatePoolWithTag, ExFreePoolWithTag, ZwPowerInformation, KeBugCheckEx, KeInitializeDpc, ExRegisterCallback, IoConnectInterrupt<br>> wmilib.sys: WmiCompleteRequest, WmiSystemControl<br> <br> ( 0 exports )<br>
TrID : File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 3072:35X3uFKoT621bqjkoeEjf5G/teXNmJSUhVdHByde5Dm0wCrTtcRsoqxnqNEGZXl:p+bBnO5G/t8wdI/GTtcRsrnGJ
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.<br>product......: Syst_me d_exploitation Microsoft_ Windows_<br>description..: Pilote ACPI pour NT<br>original name: ACPI.sys<br>internal name: ACPI.sys<br>file version.: 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
packers (Kaspersky): PE_Patch
RDS : NSRL Reference Data Set<br>-
very_ill
Messages postés
18
Date d'inscription
dimanche 4 avril 2010
Statut
Membre
Dernière intervention
12 avril 2010
11 avril 2010 à 21:07
11 avril 2010 à 21:07
Fichier hal.dll reçu le 2010.04.08 19:21:24 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 119808 bytes
MD5 : e209a057ab4d30eabf19ca71fe36a6b6
SHA1 : b4e41ee51498927ca48ff7066bb07bde74b964a0
SHA256: 2a7f3503b1a50e00fa3872864abf19c3f94918192a2d5dc740b724097664baac
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x26E90<br> timedatestamp.....: 0x45D6972A (Sat Feb 17 06:48:26 2007)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 12 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x98FD 0x9A00 6.44 55082324b7c5e639374619f293e12b03<br>.data 0xB000 0xCF80 0x4A00 0.93 96c532f3c2ee2f30520da1db6b81f6a8<br>INITCONS 0x18000 0x200 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b<br>INITDAT 0x19000 0x78 0x200 0.67 2b815f5fe11944160394a4140693a9af<br>PAGELK 0x1A000 0x3936 0x3A00 6.40 f586e11815045d8b0c74bb5e2bde8cf6<br>PAGELK16 0x1E000 0x82 0x200 1.61 5fe7505eff85308dbc158fb8dc2cc406<br>PAGE 0x1F000 0x2F2C 0x3000 6.52 60b2f3417631cff1911841a9d9c1da33<br>PAGEKD 0x22000 0x137C 0x1400 6.45 721f6cba82fc471e4a487632d4fb7977<br>.edata 0x24000 0xC05 0xE00 5.07 e66082e5cfc7a2c4fa38f5026c96dc86<br>INIT 0x25000 0x3FFA 0x4000 6.63 6a6bbbb021c177e4f02cf00b1b144b95<br>.rsrc 0x29000 0x410 0x600 2.54 ec6977365c40289afaccecc4a16dd44f<br>.reloc 0x2A000 0x1270 0x1400 5.96 4dac7ea71c7356c5375e99af7ea3d4be<br> <br> ( 0 imports )<br> <br> <br> ( 0 exports )<br>
TrID : File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 1536:NmLhG6ADQ4UFjdaYStSqQPK2Lsw/xj/IDEojhT/FrN1HOmH:sL86AK4BkqQPKaB9/4EojhLn1HOm
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. All rights reserved.<br>product......: Microsoft_ Windows_ Operating System<br>description..: Hardware Abstraction Layer DLL<br>original name: halmacpi.dll<br>internal name: halmacpi.dll<br>file version.: 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
RDS : NSRL Reference Data Set<br><br>( Microsoft )<br><br>MSDN Disc 2939.3: halmacpi.dllMSDN Disc 2939.4: halmacpi.dll
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 119808 bytes
MD5 : e209a057ab4d30eabf19ca71fe36a6b6
SHA1 : b4e41ee51498927ca48ff7066bb07bde74b964a0
SHA256: 2a7f3503b1a50e00fa3872864abf19c3f94918192a2d5dc740b724097664baac
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x26E90<br> timedatestamp.....: 0x45D6972A (Sat Feb 17 06:48:26 2007)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 12 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x98FD 0x9A00 6.44 55082324b7c5e639374619f293e12b03<br>.data 0xB000 0xCF80 0x4A00 0.93 96c532f3c2ee2f30520da1db6b81f6a8<br>INITCONS 0x18000 0x200 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b<br>INITDAT 0x19000 0x78 0x200 0.67 2b815f5fe11944160394a4140693a9af<br>PAGELK 0x1A000 0x3936 0x3A00 6.40 f586e11815045d8b0c74bb5e2bde8cf6<br>PAGELK16 0x1E000 0x82 0x200 1.61 5fe7505eff85308dbc158fb8dc2cc406<br>PAGE 0x1F000 0x2F2C 0x3000 6.52 60b2f3417631cff1911841a9d9c1da33<br>PAGEKD 0x22000 0x137C 0x1400 6.45 721f6cba82fc471e4a487632d4fb7977<br>.edata 0x24000 0xC05 0xE00 5.07 e66082e5cfc7a2c4fa38f5026c96dc86<br>INIT 0x25000 0x3FFA 0x4000 6.63 6a6bbbb021c177e4f02cf00b1b144b95<br>.rsrc 0x29000 0x410 0x600 2.54 ec6977365c40289afaccecc4a16dd44f<br>.reloc 0x2A000 0x1270 0x1400 5.96 4dac7ea71c7356c5375e99af7ea3d4be<br> <br> ( 0 imports )<br> <br> <br> ( 0 exports )<br>
TrID : File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 1536:NmLhG6ADQ4UFjdaYStSqQPK2Lsw/xj/IDEojhT/FrN1HOmH:sL86AK4BkqQPKaB9/4EojhLn1HOm
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. All rights reserved.<br>product......: Microsoft_ Windows_ Operating System<br>description..: Hardware Abstraction Layer DLL<br>original name: halmacpi.dll<br>internal name: halmacpi.dll<br>file version.: 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
RDS : NSRL Reference Data Set<br><br>( Microsoft )<br><br>MSDN Disc 2939.3: halmacpi.dllMSDN Disc 2939.4: halmacpi.dll
very_ill
Messages postés
18
Date d'inscription
dimanche 4 avril 2010
Statut
Membre
Dernière intervention
12 avril 2010
11 avril 2010 à 21:08
11 avril 2010 à 21:08
Fichier pciide.sys reçu le 2010.04.08 19:27:08 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 5632 bytes
MD5 : 8233f4066db48dd66303f838e5aabfde
SHA1 : 842ebfc180117de95ad7d3eef80e9b495719c5af
SHA256: 816db26837e6a38046646d7a4c24dc87912344b759ac12db079f353ebf0f9646
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x4000<br> timedatestamp.....: 0x3E7FFF8E (Tue Mar 25 08:04:46 2003)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 6 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x398 0x400 5.89 68788c1d0be54fbb07e2c2b1e1d6a3ad<br>.rdata 0x2000 0x5F 0x200 0.98 e2c8c09bd8cb8fcaa5297d7897a542df<br>.data 0x3000 0xC 0x200 0.23 b33c2d8f10effa7a514b87b1005c5ec9<br>INIT 0x4000 0xFC 0x200 2.76 8c06621f66902090ccccefa13a835529<br>.rsrc 0x5000 0x47C 0x600 3.96 ff313895a24387c45d95d308474c4e1e<br>.reloc 0x6000 0x58 0x200 0.71 7b78489871d8b46403e67edb61582264<br> <br> ( 2 imports )<br> <br>> ntoskrnl.exe: KeBugCheckEx, KeTickCount<br>> pciidex.sys: PciIdeXInitialize, PciIdeXSetBusData, PciIdeXGetBusData<br> <br> ( 0 exports )<br>
TrID : File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 48:i2z6dib7xDX744y9a6Gp2Q4jmdnq2ZWyX2Hs7qo8chSUVMWG:TzyibVDX744Ua6wm+q+WEqoJdVM
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.<br>product......: Syst_me d_exploitation Microsoft_ Windows_<br>description..: Pilote de bus g_n_rique PCI IDE<br>original name: pciide.sys<br>internal name: pciide.sys<br>file version.: 5.2.3790.0 (srv03_rtm.030324-2048)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
packers (Kaspersky): PE_Patch
RDS : NSRL Reference Data Set<br><br>( Microsoft )<br><br>MSDN Disc 2439: pciide.sysMSDN Disc 2439.1: pciide.sysMSDN Disc 2439.2: pciide.sysMSDN Disc 2439.3: pciide.sysMSDN Disc 2439.6: pciide.sysMSDN Disc 2439.7: pciide.sysMSDN Disc 2439.8: pciide.sysMSDN Windows Server 2003 Standard & Enterprise: pciide.sys
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 5632 bytes
MD5 : 8233f4066db48dd66303f838e5aabfde
SHA1 : 842ebfc180117de95ad7d3eef80e9b495719c5af
SHA256: 816db26837e6a38046646d7a4c24dc87912344b759ac12db079f353ebf0f9646
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x4000<br> timedatestamp.....: 0x3E7FFF8E (Tue Mar 25 08:04:46 2003)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 6 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x398 0x400 5.89 68788c1d0be54fbb07e2c2b1e1d6a3ad<br>.rdata 0x2000 0x5F 0x200 0.98 e2c8c09bd8cb8fcaa5297d7897a542df<br>.data 0x3000 0xC 0x200 0.23 b33c2d8f10effa7a514b87b1005c5ec9<br>INIT 0x4000 0xFC 0x200 2.76 8c06621f66902090ccccefa13a835529<br>.rsrc 0x5000 0x47C 0x600 3.96 ff313895a24387c45d95d308474c4e1e<br>.reloc 0x6000 0x58 0x200 0.71 7b78489871d8b46403e67edb61582264<br> <br> ( 2 imports )<br> <br>> ntoskrnl.exe: KeBugCheckEx, KeTickCount<br>> pciidex.sys: PciIdeXInitialize, PciIdeXSetBusData, PciIdeXGetBusData<br> <br> ( 0 exports )<br>
TrID : File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 48:i2z6dib7xDX744y9a6Gp2Q4jmdnq2ZWyX2Hs7qo8chSUVMWG:TzyibVDX744Ua6wm+q+WEqoJdVM
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.<br>product......: Syst_me d_exploitation Microsoft_ Windows_<br>description..: Pilote de bus g_n_rique PCI IDE<br>original name: pciide.sys<br>internal name: pciide.sys<br>file version.: 5.2.3790.0 (srv03_rtm.030324-2048)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
packers (Kaspersky): PE_Patch
RDS : NSRL Reference Data Set<br><br>( Microsoft )<br><br>MSDN Disc 2439: pciide.sysMSDN Disc 2439.1: pciide.sysMSDN Disc 2439.2: pciide.sysMSDN Disc 2439.3: pciide.sysMSDN Disc 2439.6: pciide.sysMSDN Disc 2439.7: pciide.sysMSDN Disc 2439.8: pciide.sysMSDN Windows Server 2003 Standard & Enterprise: pciide.sys
very_ill
Messages postés
18
Date d'inscription
dimanche 4 avril 2010
Statut
Membre
Dernière intervention
12 avril 2010
11 avril 2010 à 21:09
11 avril 2010 à 21:09
Fichier ntkrnlpa.exe reçu le 2010.04.08 19:19:34 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 2344448 bytes
MD5 : f2dc96935fe0f1745c78fc0f26a86157
SHA1 : 4cfe3d04f158a2c92f2d26dbf99d2bd1145c15ad
SHA256: 64282b97017c1335ef85a5be6eabf2f858b7a964bee6bb75948fd0810db0111e
La suite est trop grosse pour tenir dans un message
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.08 -
AntiVir 7.10.6.49 2010.04.08 -
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 -
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4540 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.08 -
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 -
Microsoft 1.5605 2010.04.08 -
NOD32 5011 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.08 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6152 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.258 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -
Information additionnelle
File size: 2344448 bytes
MD5 : f2dc96935fe0f1745c78fc0f26a86157
SHA1 : 4cfe3d04f158a2c92f2d26dbf99d2bd1145c15ad
SHA256: 64282b97017c1335ef85a5be6eabf2f858b7a964bee6bb75948fd0810db0111e
La suite est trop grosse pour tenir dans un message
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
very_ill
Messages postés
18
Date d'inscription
dimanche 4 avril 2010
Statut
Membre
Dernière intervention
12 avril 2010
Modifié par very_ill le 11/04/2010 à 21:11
Modifié par very_ill le 11/04/2010 à 21:11
La fin de ntkrnlpa.exe est la suivante (j'ai laissé tomber la section PEinfo)
ssdeep: 49152:iaE4A3KEw4xmC+s5PmXl6FFfTndyhLE5:iabA3PwCnP6l6FFfTnclE
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.<br>product......: Syst_me d_exploitation Microsoft_ Windows_<br>description..: Noyau et syst_me NT<br>original name: ntkrpamp.exe<br>internal name: ntkrpamp.exe<br>file version.: 5.2.3790.4566 (srv03_sp2_gdr.090805-1438)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
RDS : NSRL Reference Data Set<br>-
ssdeep: 49152:iaE4A3KEw4xmC+s5PmXl6FFfTndyhLE5:iabA3PwCnP6l6FFfTnclE
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.<br>product......: Syst_me d_exploitation Microsoft_ Windows_<br>description..: Noyau et syst_me NT<br>original name: ntkrpamp.exe<br>internal name: ntkrpamp.exe<br>file version.: 5.2.3790.4566 (srv03_sp2_gdr.090805-1438)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
RDS : NSRL Reference Data Set<br>-
hello refais un complet sur tous les disques avec Malwarebytes et supprime tout ce qu'il trouve en fin de scan
?G3?-?@¢??@?(TM)©®?
?G3?-?@¢??@?(TM)©®?
very_ill
Messages postés
18
Date d'inscription
dimanche 4 avril 2010
Statut
Membre
Dernière intervention
12 avril 2010
Modifié par very_ill le 12/04/2010 à 22:40
Modifié par very_ill le 12/04/2010 à 22:40
Salut,
Je crois tenir la fin de mon problème. Ci-dessous le détail de mes opérations de ce soir qui ont significativement changé la donne sur les résultats d'analyse tdsskiller et drweb cureit qui détectaient depuis une semaine l'infection sans arrier à l'héradiquer.
J'ai relancé pour commencer et être certain de partir d'un état de mon système toujours le même, càd infecté par tdss, l'opération de scan avec tdsskiller et drweb cureit.
Résultat:
1. Tdsskiller: le fichier atapi.sys est toujours détecté infecté et il le restore ... comme à chaque fois, ce soir à 20h29
C:\Documents and Settings\Administrateur>dir "c:\WINDOWS\system32\drivers\atapi.sys"
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B844-79E7
Répertoire de c:\WINDOWS\system32\drivers
12/04/2010 20:29 96 768 atapi.sys
1 fichier(s) 96 768 octets
0 Rép(s) 25 475 903 488 octets libres
2. DrWeb Cureit: j'ai téléchargé la version mise à jour aujourd'hui 12/04/2010 (ftp://ftp.drweb.com/pub/drweb/cureit/20100412214557/cureit.exe) j'avais auparavant celle du 03/04/2010.
Résultat du scan analyse rapide: svchost.exe est détecté comme infecté en mémoire (comme à chaque fois...) mais là ô surprise une nouveauté est trouvée sur un fichier temp rswaecmxon.tmp
Processus en mémoire: C:\WINDOWS\System32\svchost.exe:780;;BackDoor.Tdss.565;Eradiqué.;
rswaecmxon.tmp;C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp;Trojan.Click.25308;Supprimé.;
3. J'ai relancé une analyse sélective avec DrWeb du C:\ en bootant sur ReatogoPE pour être sur d'analyser un disque sans fichier système chargé en mémoire. Bonne pioche encore une autre variante de Tdss détectée sur un fichier .sys:
dmio.sys;C:\WINDOWS\system32\drivers;BackDoor.Tdss.2459;Cured.;
4. Je reboote sur mon système Windows 2003:
Je relance Tdsskiller: il ne trouve plus rien. C'est la première que cela arrive!!!
Je relance scan DrWeb: il ne trouve plus rien non plus et là pareil c'est une première.
Je vais relancer encore un scan complet malwarebyte pour m'assurer qu'il n'y a plus rien du tout, mais hier soir c'est ce que j'ai fait, sans rien trouver d'autre.
Je vais bien voir si les symptômes de pop-up disparaissent également.
Je patiente encore qq jours et on pourra passer en résolu si rien ne change.
Je crois tenir la fin de mon problème. Ci-dessous le détail de mes opérations de ce soir qui ont significativement changé la donne sur les résultats d'analyse tdsskiller et drweb cureit qui détectaient depuis une semaine l'infection sans arrier à l'héradiquer.
J'ai relancé pour commencer et être certain de partir d'un état de mon système toujours le même, càd infecté par tdss, l'opération de scan avec tdsskiller et drweb cureit.
Résultat:
1. Tdsskiller: le fichier atapi.sys est toujours détecté infecté et il le restore ... comme à chaque fois, ce soir à 20h29
C:\Documents and Settings\Administrateur>dir "c:\WINDOWS\system32\drivers\atapi.sys"
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est B844-79E7
Répertoire de c:\WINDOWS\system32\drivers
12/04/2010 20:29 96 768 atapi.sys
1 fichier(s) 96 768 octets
0 Rép(s) 25 475 903 488 octets libres
2. DrWeb Cureit: j'ai téléchargé la version mise à jour aujourd'hui 12/04/2010 (ftp://ftp.drweb.com/pub/drweb/cureit/20100412214557/cureit.exe) j'avais auparavant celle du 03/04/2010.
Résultat du scan analyse rapide: svchost.exe est détecté comme infecté en mémoire (comme à chaque fois...) mais là ô surprise une nouveauté est trouvée sur un fichier temp rswaecmxon.tmp
Processus en mémoire: C:\WINDOWS\System32\svchost.exe:780;;BackDoor.Tdss.565;Eradiqué.;
rswaecmxon.tmp;C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp;Trojan.Click.25308;Supprimé.;
3. J'ai relancé une analyse sélective avec DrWeb du C:\ en bootant sur ReatogoPE pour être sur d'analyser un disque sans fichier système chargé en mémoire. Bonne pioche encore une autre variante de Tdss détectée sur un fichier .sys:
dmio.sys;C:\WINDOWS\system32\drivers;BackDoor.Tdss.2459;Cured.;
4. Je reboote sur mon système Windows 2003:
Je relance Tdsskiller: il ne trouve plus rien. C'est la première que cela arrive!!!
Je relance scan DrWeb: il ne trouve plus rien non plus et là pareil c'est une première.
Je vais relancer encore un scan complet malwarebyte pour m'assurer qu'il n'y a plus rien du tout, mais hier soir c'est ce que j'ai fait, sans rien trouver d'autre.
Je vais bien voir si les symptômes de pop-up disparaissent également.
Je patiente encore qq jours et on pourra passer en résolu si rien ne change.