Antivirus bloqués et scan qu'en sans echec
Fermé
ods
-
31 déc. 2010 à 11:31
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 2 janv. 2011 à 05:53
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 2 janv. 2011 à 05:53
A voir également:
- Antivirus bloqués et scan qu'en sans echec
- Démarrer en mode sans echec - Guide
- Ps4 mode sans echec - Guide
- Scan comics ✓ - Forum Loisirs / Divertissements
- Échec de l'analyse antivirus. ✓ - Forum Antivirus
- Comodo antivirus - Télécharger - Sécurité
23 réponses
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
31 déc. 2010 à 11:36
31 déc. 2010 à 11:36
bonjour
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
______________
si cela coince sur sur ci joint.fr passer par https://www.cjoint.com/
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
______________
si cela coince sur sur ci joint.fr passer par https://www.cjoint.com/
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
31 déc. 2010 à 12:03
31 déc. 2010 à 12:03
en normal si il est d'accord....
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
L'installation a marché (en mode sans echec) mais lorsque je veux lancer le diag en mode normal, il refuse de le charger... Je réessaie en mode sans echec immédiatement.
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
31 déc. 2010 à 12:15
31 déc. 2010 à 12:15
ok en mode sans echec
Et voici!
http://www.cijoint.fr/cjlink.php?file=cj201012/cij3AmVZCv.txt
Sauf erreur de ma part, on constate 2 infections possibles:
---\\ Infection BT - BHO/Toolbar (Possible)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe (.not file.)
[HKCU\Software\Search Settings]
[HKLM\Software\Search Settings]
http://www.cijoint.fr/cjlink.php?file=cj201012/cij3AmVZCv.txt
Sauf erreur de ma part, on constate 2 infections possibles:
---\\ Infection BT - BHO/Toolbar (Possible)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe (.not file.)
[HKCU\Software\Search Settings]
[HKLM\Software\Search Settings]
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
31 déc. 2010 à 12:32
31 déc. 2010 à 12:32
oui effectivement mais en aucun cas responsable de tes soucis
fais ces deux choses
1)
vas ici et fais le test http://consultaide.e-monsite.com/rubrique,conficker-simples-tests,355935.html
_________
2)
comme ELIBAGLE avait trouvé quelque chose et que findykill, je ne sais pas où tu l'as pris on le refait
* Téléchargez FindyKill sur le Bureau.
http://www.teamxscript.org/findykillTelechargement.html
ou
http://teamxscript.changelog.fr/FindyKill.html
* Double-cliquez sur FindyKill présent sur le Bureau.
* Choisissez l'option 1 (Recherche).
* Laissez travailler l'outil.
* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).
* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).
(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
* Tuto : http://pagesperso-orange.fr/NosTools/index.html
fais ces deux choses
1)
vas ici et fais le test http://consultaide.e-monsite.com/rubrique,conficker-simples-tests,355935.html
_________
2)
comme ELIBAGLE avait trouvé quelque chose et que findykill, je ne sais pas où tu l'as pris on le refait
* Téléchargez FindyKill sur le Bureau.
http://www.teamxscript.org/findykillTelechargement.html
ou
http://teamxscript.changelog.fr/FindyKill.html
* Double-cliquez sur FindyKill présent sur le Bureau.
* Choisissez l'option 1 (Recherche).
* Laissez travailler l'outil.
* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).
* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).
(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
* Tuto : http://pagesperso-orange.fr/NosTools/index.html
1) Toutes les images apparaissent bien
2) je lance le process en mode sans echec avec accès au réseau
2) je lance le process en mode sans echec avec accès au réseau
2) Voila le rapport:
Rien d'anormale ?!
############################## | FindyKill V5.052 |
# User : SAAB (Administrateurs) # PC-DE-SAAB
# Update on 23/10/2010 by El Desaparecido
# Start at: 13:05:07 | 31/12/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# AMD Athlon(tm) X2 Dual-Core QL-65
# Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : eScan Virus Control (VC) for Windows 9.0.718.1 [ (!) Disabled | Updated ]
# C:\ # Disque fixe local # 221,87 Go (139,51 Go free) # NTFS
# D:\ # Disque fixe local # 11,01 Go (1,83 Go free) [RECOVERY] # NTFS
# E:\ # Disque CD-ROM
################## | Eléments infectieux |
################## | Registre |
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Uac : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 3 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.052 ! |
Rien d'anormale ?!
############################## | FindyKill V5.052 |
# User : SAAB (Administrateurs) # PC-DE-SAAB
# Update on 23/10/2010 by El Desaparecido
# Start at: 13:05:07 | 31/12/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org
# AMD Athlon(tm) X2 Dual-Core QL-65
# Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : eScan Virus Control (VC) for Windows 9.0.718.1 [ (!) Disabled | Updated ]
# C:\ # Disque fixe local # 221,87 Go (139,51 Go free) # NTFS
# D:\ # Disque fixe local # 11,01 Go (1,83 Go free) [RECOVERY] # NTFS
# E:\ # Disque CD-ROM
################## | Eléments infectieux |
################## | Registre |
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Uac : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 3 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.052 ! |
J'ai aussi lancer un scan avec Combofix, voici le rapport ci-dessous:
ComboFix 10-12-30.03 - SAAB 31/12/2010 12:34:38.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3069.2454 [GMT 1:00]
Lancé depuis: c:\users\SAAB\Desktop\asdehi.exe
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\InfoSat.txt
C:\Install.exe
c:\windows\regedit.com
c:\windows\system32\Ijl11.dll
c:\windows\system32\taskmgr.com
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-11-28 au 2010-12-31 ))))))))))))))))))))))))))))))))))))
.
2010-12-31 11:45 . 2010-12-31 11:46 -------- d-----w- c:\users\SAAB\AppData\Local\temp
2010-12-31 11:45 . 2010-12-31 11:45 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-12-31 11:29 . 2010-12-31 11:29 -------- d-----w- C:\asdehi
2010-12-31 11:05 . 2010-12-31 11:16 -------- d-----w- c:\program files\ZHPDiag
2010-12-31 09:53 . 2010-12-31 11:00 4838 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2010-12-30 21:14 . 2010-12-31 09:41 -------- d-----w- C:\FyK
2010-12-30 21:09 . 2010-12-30 21:09 -------- d-----w- C:\PUB
2010-12-30 16:54 . 2010-12-30 21:06 -------- d-----w- c:\program files\Emsisoft Anti-Malware
2010-12-30 16:09 . 2010-12-30 16:09 -------- d-----w- c:\users\SAAB\AppData\Roaming\QuickScan
2010-12-29 21:42 . 2010-12-30 14:23 -------- d-----w- c:\programdata\Kaspersky Lab
2010-12-29 21:41 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\18591702.sys
2010-12-29 21:41 . 2009-10-09 21:31 311312 ----a-w- c:\windows\system32\drivers\1859170.sys
2010-12-29 21:41 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\18591701.sys
2010-12-29 20:51 . 2010-12-29 20:51 -------- d-----w- c:\programdata\Kaspersky Lab Setup Files
2010-12-05 11:44 . 2010-12-05 11:44 -------- d-----w- c:\programdata\WindowsSearch
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 10:41 . 2009-12-07 19:54 222080 ------w- c:\windows\system32\MpSigStub.exe
2010-10-07 23:21 . 2010-11-15 10:29 6146896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{27ED46DA-5124-46E1-A20F-FAF5123998A1}\mpengine.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2008-11-13 972080]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-12-04 1410344]
"DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-11-28 1148200]
"TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-12-25 1316136]
"CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-12-25 189736]
"TVAgent"="c:\program files\Hewlett-Packard\Media\TV\TVAgent.exe" [2009-05-08 206120]
"UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-11-14 218408]
"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-11-26 210216]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 206128]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-10-30 210216]
"UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-12-08 432432]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"CardDetector"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-10-18 241664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]
c:\users\SAAB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
AVPTOOL_setup_9.0.0.722_29.12.2010_22-31.lnk - c:\users\SAAB\Desktop\Virus Removal Tool\AVPTOOL_setup_9.0.0.722_29.12.2010_22-31\startup.exe [2010-12-29 72208]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
R1 aswSP;aswSP; [x]
R2 {55662437-DA8C-40c0-AADA-2C816A897A49};Power Control [2009/07/19 03:03];c:\program files\Hewlett-Packard\Media\DVD\000.fcl [2008-11-28 16:04 87536]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_c92065b9\aestsrv.exe [2009-01-13 77824]
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2010-01-07 380928]
R2 aswFsBlk;aswFsBlk; [x]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-02-11 51792]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-09 136176]
R2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]
R2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [2008-12-17 365952]
R2 TVCapSvc;TV Background Capture Service (TVBCS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe [2008-11-26 296320]
R2 TVSched;TV Task Scheduler (TVTS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe [2008-11-26 116096]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-11-19 222512]
R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-07-09 95744]
R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-06-26 51968]
R3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-12-05 109408]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2007-10-30 28224]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-09-04 54784]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2008-05-28 22072]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - ECACHE
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-06-09 08:14 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
2010-12-30 c:\windows\Tasks\eScan Updater.job
- c:\progra~1\eScan\TRAYICOS.EXE [2010-12-30 15:27]
2010-12-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-09 13:59]
2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-09 13:59]
2010-12-30 c:\windows\Tasks\MailScan Dispatcher.job
- c:\progra~1\eScan\launch.exe [2010-12-30 15:02]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.nixud.com/
mStart Page = hxxp://www.nixud.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\SAAB\AppData\Roaming\Mozilla\Firefox\Profiles\0uisiyjs.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: 20-20 3D Viewer: 2020Player@2020Technologies.com - %profile%\extensions\2020Player@2020Technologies.com
FF - Ext: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - %profile%\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Run-SysTrayApp - %ProgramFiles%\IDT\WDM\sttray.exe
HKLM-Run-SmartMenu - %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
HKLM-Run-SearchSettings - c:\program files\pdfforge Toolbar\SearchSettings.exe
HKLM-RunOnce-<NO NAME> - (no file)
AddRemove-Google Chrome - c:\program files\Google\Chrome\Application\7.0.517.44\Installer\setup.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-31 12:46
Windows 6.0.6001 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msiserver]
"ImagePath"="%systemroot%\system32\msiexec /V"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
"ImagePath"="\??\c:\program files\Hewlett-Packard\Media\DVD\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-12-31 12:50:22
ComboFix-quarantined-files.txt 2010-12-31 11:50
Avant-CF: 149 445 648 384 octets libres
Après-CF: 149 716 328 448 octets libres
- - End Of File - - DC120C5AF5528F65554EBEB667C543E8
ComboFix 10-12-30.03 - SAAB 31/12/2010 12:34:38.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3069.2454 [GMT 1:00]
Lancé depuis: c:\users\SAAB\Desktop\asdehi.exe
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\InfoSat.txt
C:\Install.exe
c:\windows\regedit.com
c:\windows\system32\Ijl11.dll
c:\windows\system32\taskmgr.com
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-11-28 au 2010-12-31 ))))))))))))))))))))))))))))))))))))
.
2010-12-31 11:45 . 2010-12-31 11:46 -------- d-----w- c:\users\SAAB\AppData\Local\temp
2010-12-31 11:45 . 2010-12-31 11:45 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-12-31 11:29 . 2010-12-31 11:29 -------- d-----w- C:\asdehi
2010-12-31 11:05 . 2010-12-31 11:16 -------- d-----w- c:\program files\ZHPDiag
2010-12-31 09:53 . 2010-12-31 11:00 4838 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2010-12-30 21:14 . 2010-12-31 09:41 -------- d-----w- C:\FyK
2010-12-30 21:09 . 2010-12-30 21:09 -------- d-----w- C:\PUB
2010-12-30 16:54 . 2010-12-30 21:06 -------- d-----w- c:\program files\Emsisoft Anti-Malware
2010-12-30 16:09 . 2010-12-30 16:09 -------- d-----w- c:\users\SAAB\AppData\Roaming\QuickScan
2010-12-29 21:42 . 2010-12-30 14:23 -------- d-----w- c:\programdata\Kaspersky Lab
2010-12-29 21:41 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\18591702.sys
2010-12-29 21:41 . 2009-10-09 21:31 311312 ----a-w- c:\windows\system32\drivers\1859170.sys
2010-12-29 21:41 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\18591701.sys
2010-12-29 20:51 . 2010-12-29 20:51 -------- d-----w- c:\programdata\Kaspersky Lab Setup Files
2010-12-05 11:44 . 2010-12-05 11:44 -------- d-----w- c:\programdata\WindowsSearch
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 10:41 . 2009-12-07 19:54 222080 ------w- c:\windows\system32\MpSigStub.exe
2010-10-07 23:21 . 2010-11-15 10:29 6146896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{27ED46DA-5124-46E1-A20F-FAF5123998A1}\mpengine.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2008-11-13 972080]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-12-04 1410344]
"DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-11-28 1148200]
"TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-12-25 1316136]
"CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-12-25 189736]
"TVAgent"="c:\program files\Hewlett-Packard\Media\TV\TVAgent.exe" [2009-05-08 206120]
"UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-11-14 218408]
"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-11-26 210216]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 206128]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-10-30 210216]
"UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-12-08 432432]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"CardDetector"="c:\program files\CardDetector\ICON225\CardDetector.exe" [2007-10-18 241664]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]
c:\users\SAAB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
AVPTOOL_setup_9.0.0.722_29.12.2010_22-31.lnk - c:\users\SAAB\Desktop\Virus Removal Tool\AVPTOOL_setup_9.0.0.722_29.12.2010_22-31\startup.exe [2010-12-29 72208]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
R1 aswSP;aswSP; [x]
R2 {55662437-DA8C-40c0-AADA-2C816A897A49};Power Control [2009/07/19 03:03];c:\program files\Hewlett-Packard\Media\DVD\000.fcl [2008-11-28 16:04 87536]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_c92065b9\aestsrv.exe [2009-01-13 77824]
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2010-01-07 380928]
R2 aswFsBlk;aswFsBlk; [x]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-02-11 51792]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-09 136176]
R2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]
R2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [2008-12-17 365952]
R2 TVCapSvc;TV Background Capture Service (TVBCS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe [2008-11-26 296320]
R2 TVSched;TV Task Scheduler (TVTS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe [2008-11-26 116096]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-11-19 222512]
R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\DRIVERS\Gt51Ip.sys [2007-07-09 95744]
R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\DRIVERS\gt72ubus.sys [2007-06-26 51968]
R3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-12-05 109408]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2007-10-30 28224]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-09-04 54784]
S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2008-05-28 22072]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - ECACHE
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-06-09 08:14 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
2010-12-30 c:\windows\Tasks\eScan Updater.job
- c:\progra~1\eScan\TRAYICOS.EXE [2010-12-30 15:27]
2010-12-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-09 13:59]
2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-09 13:59]
2010-12-30 c:\windows\Tasks\MailScan Dispatcher.job
- c:\progra~1\eScan\launch.exe [2010-12-30 15:02]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.nixud.com/
mStart Page = hxxp://www.nixud.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\SAAB\AppData\Roaming\Mozilla\Firefox\Profiles\0uisiyjs.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: 20-20 3D Viewer: 2020Player@2020Technologies.com - %profile%\extensions\2020Player@2020Technologies.com
FF - Ext: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - %profile%\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Run-SysTrayApp - %ProgramFiles%\IDT\WDM\sttray.exe
HKLM-Run-SmartMenu - %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
HKLM-Run-SearchSettings - c:\program files\pdfforge Toolbar\SearchSettings.exe
HKLM-RunOnce-<NO NAME> - (no file)
AddRemove-Google Chrome - c:\program files\Google\Chrome\Application\7.0.517.44\Installer\setup.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-31 12:46
Windows 6.0.6001 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msiserver]
"ImagePath"="%systemroot%\system32\msiexec /V"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
"ImagePath"="\??\c:\program files\Hewlett-Packard\Media\DVD\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-12-31 12:50:22
ComboFix-quarantined-files.txt 2010-12-31 11:50
Avant-CF: 149 445 648 384 octets libres
Après-CF: 149 716 328 448 octets libres
- - End Of File - - DC120C5AF5528F65554EBEB667C543E8
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
31 déc. 2010 à 16:13
31 déc. 2010 à 16:13
en effet pas grand chose à voir
tu m'as devancé pour combo..
1)
findykill
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 3 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
! Déconnecte toi et ferme toutes application en cours (navigateur compris ) .
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...
* Double clique sur setup.exe de Findykill présent sur ton bureau pour lancer l'outil.
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu choisis l'option 2 (suppression) et tape sur [entrée]
* Le pc va redémarrer automatiquement ...
? le programme va travailler, ne touche à rien ... , ton bureau ne sera pas accessible c est normal !
? Poste le rapport qui apparaît à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt)
Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide
______________
2)
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
c:\windows\system32\drivers\18591702.sys
c:\windows\system32\drivers\1859170.sys
c:\windows\system32\drivers\18591701.sys
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Copie le lien de Virus Total dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
tu m'as devancé pour combo..
1)
findykill
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 3 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
! Déconnecte toi et ferme toutes application en cours (navigateur compris ) .
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...
* Double clique sur setup.exe de Findykill présent sur ton bureau pour lancer l'outil.
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu choisis l'option 2 (suppression) et tape sur [entrée]
* Le pc va redémarrer automatiquement ...
? le programme va travailler, ne touche à rien ... , ton bureau ne sera pas accessible c est normal !
? Poste le rapport qui apparaît à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt)
Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide
______________
2)
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
c:\windows\system32\drivers\18591702.sys
c:\windows\system32\drivers\1859170.sys
c:\windows\system32\drivers\18591701.sys
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Copie le lien de Virus Total dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
31 déc. 2010 à 16:19
31 déc. 2010 à 16:19
(sourire)
en fait je me réveille...j'aurai dû reconnaitre ta signature !!!
en fait je me réveille...j'aurai dû reconnaitre ta signature !!!
En effet, c'est bien le post de guillaume qui m'a été envoyé par email et que j'ai appliqué!
AVG est en cours d'analyse, dès qu'il a fini (d'ici 30 min) je lance les procédures suggérées!
Merci à tout les deux pour votre aide et votre soutien!
AVG est en cours d'analyse, dès qu'il a fini (d'ici 30 min) je lance les procédures suggérées!
Merci à tout les deux pour votre aide et votre soutien!
oui^^
Mais j'ai demandé à ce que tous les posts me soient aussi envoyé par mail donc même si je n'ai pas pu voir ton post, le mail est resté ; )
Mais j'ai demandé à ce que tous les posts me soient aussi envoyé par mail donc même si je n'ai pas pu voir ton post, le mail est resté ; )
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
31 déc. 2010 à 17:24
31 déc. 2010 à 17:24
AVG est plus long que je ne l'imaginais... 45min qu'il tourne et il n'a pas fait 50%!
Cependant il a déjà trouvé 82 infections. Dès qu'il a terminé, je finalise ta procédure sur findkill puis je lance la seconde.
Pour info, j'ai essayé de réinstaller Windows dans la journée. Le PC plante avant même de me proposer un formatage... Une idée du nom de cet PUT*** de virus? Une expérience similaire?
Je me pose toujours la question si ce n'est pas les éditeurs d'Anti-virus qui inventent et diffusent ces trucs!
Cependant il a déjà trouvé 82 infections. Dès qu'il a terminé, je finalise ta procédure sur findkill puis je lance la seconde.
Pour info, j'ai essayé de réinstaller Windows dans la journée. Le PC plante avant même de me proposer un formatage... Une idée du nom de cet PUT*** de virus? Une expérience similaire?
Je me pose toujours la question si ce n'est pas les éditeurs d'Anti-virus qui inventent et diffusent ces trucs!
Pour info, outre des cookies et autre petites frappes, AVG a détecté une infection qui porte le nom de "Heuristic.Win32.AVKiller" qui, après une brève recherche sur le net, affecte les "Shared Access".....
Le scan est terminé et les infections supprimées.
Je finalise FindKill après un redémarrage.
Je reviens au plus vite.
Le scan est terminé et les infections supprimées.
Je finalise FindKill après un redémarrage.
Je reviens au plus vite.
Gros Gro bug!
J'ai fais la manip de suppression avec FindyKill, le PC a redémaré, Windows (mode normal) s'est lancé et là, un gros bug: écran bleu brouillé et bip sonore continue!
Par ailleurs, aucun rapport de suppression...
Je ne sais pas dire si c'est le PC ou le virus qui souffre!
J'ai fais la manip de suppression avec FindyKill, le PC a redémaré, Windows (mode normal) s'est lancé et là, un gros bug: écran bleu brouillé et bip sonore continue!
Par ailleurs, aucun rapport de suppression...
Je ne sais pas dire si c'est le PC ou le virus qui souffre!
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
31 déc. 2010 à 18:20
31 déc. 2010 à 18:20
à la vue des rapport
je pense à un soucis matériel en + de quelques infections
..........
examen tres long
Téléchargez Dr.Web CureIt! sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
Choisissez l'onglet Scanner, et décochez Analyse heuristique.
De retour à la fenêtre principale : choisissez Analyse complète.
Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
Cliquez Oui pour Tout si un fichier est détecté.
A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
Fermez Dr.Web CureIt!
Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note
Ensuite :
Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
je pense à un soucis matériel en + de quelques infections
..........
examen tres long
Téléchargez Dr.Web CureIt! sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
Choisissez l'onglet Scanner, et décochez Analyse heuristique.
De retour à la fenêtre principale : choisissez Analyse complète.
Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
Cliquez Oui pour Tout si un fichier est détecté.
A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
Fermez Dr.Web CureIt!
Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note
Ensuite :
Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
File name:
1859170.sys
Submission date:
2010-12-31 17:43:08 (UTC)
Current status:
queued queued analysing finished
Result:
0/ 43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.12.31.00 2010.12.30 -
AntiVir 7.11.0.247 2010.12.31 -
Antiy-AVL 2.0.3.7 2010.12.31 -
Avast 4.8.1351.0 2010.12.31 -
Avast5 5.0.677.0 2010.12.31 -
AVG 9.0.0.851 2010.12.31 -
BitDefender 7.2 2010.12.31 -
CAT-QuickHeal 11.00 2010.12.31 -
ClamAV 0.96.4.0 2010.12.31 -
Command 5.2.11.5 2010.12.31 -
Comodo 7253 2010.12.31 -
DrWeb 5.0.2.03300 2010.12.31 -
Emsisoft 5.1.0.1 2010.12.31 -
eSafe 7.0.17.0 2010.12.30 -
eTrust-Vet 36.1.8073 2010.12.31 -
F-Prot 4.6.2.117 2010.12.31 -
F-Secure 9.0.16160.0 2010.12.31 -
Fortinet 4.2.254.0 2010.12.31 -
GData 21 2010.12.31 -
Ikarus T3.1.1.90.0 2010.12.31 -
Jiangmin 13.0.900 2010.12.31 -
K7AntiVirus 9.75.3406 2010.12.31 -
Kaspersky 7.0.0.125 2010.12.31 -
McAfee 5.400.0.1158 2010.12.31 -
McAfee-GW-Edition 2010.1C 2010.12.31 -
Microsoft 1.6402 2010.12.31 -
NOD32 5750 2010.12.31 -
Norman 6.06.12 2010.12.31 -
nProtect 2010-12-31.01 2010.12.31 -
Panda 10.0.2.7 2010.12.31 -
PCTools 7.0.3.5 2010.12.31 -
Prevx 3.0 2010.12.31 -
Rising 22.80.04.04 2010.12.31 -
Sophos 4.60.0 2010.12.31 -
SUPERAntiSpyware 4.40.0.1006 2010.12.31 -
Symantec 20101.3.0.103 2010.12.31 -
TheHacker 6.7.0.1.109 2010.12.30 -
TrendMicro 9.120.0.1004 2010.12.31 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.31 -
VBA32 3.12.14.2 2010.12.30 -
VIPRE 7898 2010.12.31 -
ViRobot 2010.12.31.4232 2010.12.31 -
VirusBuster 13.6.121.0 2010.12.30 -
Additional information
Show all
MD5 : 64d93ec1218765498c40619427a85a91
SHA1 : 5695668698653c1b24adf47fe4ed11aca821c9cd
SHA256: 3c14aacd33d5f17c597558fe0095c128c1f35868b172a58c75f0bdfe7f8b2276
ssdeep: 6144:TOzNyAPg5gosTX33OY+fmltTd4+MRjDxaYInRkiJXvsh:Tmy2g5gDTXnltTW+MRj0jRkKs
File size : 311312 bytes
First seen: 2009-11-25 22:54:02
Last seen : 2010-12-31 17:43:08
TrID:
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Kaspersky Lab
copyright....: Copyright (c) Kaspersky Lab 1996-2009.
product......: Kaspersky_ Anti-Virus _
description..: Klif Mini-Filter _fre_wlh_x86_
original name: KLIF
internal name: KLIF
file version.: 8.4.0.101 built by: WinDDK
comments.....: n/a
signers......: Kaspersky Lab
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 8:31 PM 10/9/2009
verified.....: -
PEInfo: PE structure information
[[ basic data ]]
entrypointaddress: 0x46EAF
timedatestamp....: 0x4ACF8EC7 (Fri Oct 09 19:28:07 2009)
machinetype......: 0x14c (I386)
[[ 8 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x34D5A, 0x34E00, 6.48, 8c9f30432c2cc5fc6f5481b6ef57f8f0
.rdata, 0x36000, 0x1C44, 0x1E00, 4.20, ecc31acb3b2ed5be819659e58e89037b
.data, 0x38000, 0x2FE8, 0x1200, 4.53, 04e2d7c1084a0587b89fd26b23d2f133
PAGE, 0x3B000, 0x7D94, 0x7E00, 6.39, 14a9ec6cec589dc8e10eebdf877112cc
PAGEDATA, 0x43000, 0x7C, 0x200, 1.63, 5e38e46e343c2b077105267d9f354c63
INIT, 0x44000, 0x5C68, 0x5E00, 6.20, 5d9f31bd2f31c11e9998badaea26d6c6
.rsrc, 0x4A000, 0x390, 0x400, 3.09, bffa628f1b6da991ca188a07578c6b5f
.reloc, 0x4B000, 0x40AE, 0x4200, 6.43, ed9acef1a8b0fa7572d5bbcb1bb7693e
[[ 3 import(s) ]]
ntoskrnl.exe: RtlEqualUnicodeString, RtlEnumerateGenericTableWithoutSplayingAvl, _vsnwprintf, ZwEnumerateKey, ZwSetValueKey, ZwCreateFile, ZwDeleteKey, RtlIntegerToUnicodeString, ZwCreateKey, RtlUnicodeStringToInteger, ExAcquireRundownProtectionCacheAware, ExReleaseRundownProtectionCacheAware, ExWaitForRundownProtectionReleaseCacheAware, KeClearEvent, ZwFlushVirtualMemory, RtlHashUnicodeString, KeSetPriorityThread, KeUnstackDetachProcess, ZwUnmapViewOfSection, ZwMapViewOfSection, KeStackAttachProcess, ZwCreateSection, ExFreeCacheAwareRundownProtection, FsRtlAreVolumeStartupApplicationsComplete, MmUnsecureVirtualMemory, ExReInitializeRundownProtection, ObfReferenceObject, MmSecureVirtualMemory, ExAllocateCacheAwareRundownProtection, ExRundownCompletedCacheAware, IoUnregisterPlugPlayNotification, IoGetDeviceObjectPointer, IoRegisterPlugPlayNotification, SeTokenType, SeCreateClientSecurity, SeImpersonateClientEx, IoDeviceObjectType, IoBuildSynchronousFsdRequest, PsGetThreadProcessId, PsThreadType, PsGetProcessId, PsProcessType, IoDeleteDevice, IoDeleteSymbolicLink, IoUnregisterShutdownNotification, ExGetPreviousMode, IoFreeMdl, MmUnlockPages, MmProbeAndLockPages, IoAllocateMdl, IoRegisterShutdownNotification, IoCreateSymbolicLink, IoCreateDevice, KeQueryInterruptTime, _stricmp, ZwQuerySystemInformation, KeDelayExecutionThread, strncmp, ZwQueryInformationProcess, KeServiceDescriptorTable, PsLookupProcessByProcessId, IoGetBaseFileSystemDeviceObject, ZwOpenFile, ObQueryNameString, MmHighestUserAddress, strncpy, IoAllocateIrp, IoGetStackLimits, SeReleaseSubjectContext, SeQueryAuthenticationIdToken, SeCaptureSubjectContext, PsDereferenceImpersonationToken, RtlCopySid, SeQueryInformationToken, PsReferenceImpersonationToken, PsReferencePrimaryToken, PsIsThreadTerminating, _allrem, MmUserProbeAddress, CmRegisterCallbackEx, CmGetCallbackVersion, CmUnRegisterCallback, RtlGetVersion, PsGetVersion, ZwDeleteValueKey, ZwEnumerateValueKey, _allshl, InterlockedIncrement, InterlockedDecrement, IoThreadToProcess, PsLookupThreadByThreadId, ZwTerminateProcess, ProbeForRead, SeExports, NtBuildNumber, ZwQuerySection, RtlNumberGenericTableElementsAvl, swprintf, IoGetAttachedDeviceReference, PsRemoveCreateThreadNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetCreateProcessNotifyRoutine, RtlSetDaclSecurityDescriptor, RtlGetAce, RtlAddAccessAllowedAce, RtlCreateAcl, RtlCreateSecurityDescriptor, ZwSetInformationObject, ZwQueryObject, ZwQueryKey, KeAddSystemServiceTable, KeInsertQueueApc, KeInitializeApc, IoIsSystemThread, NtQueryInformationProcess, RtlNtStatusToDosError, RtlAnsiStringToUnicodeString, ZwAllocateVirtualMemory, ZwFreeVirtualMemory, KeQueryTimeIncrement, KeTickCount, NtQueryInformationAtom, KeBugCheckEx, RtlUnwind, ZwOpenProcess, IoAllocateWorkItem, IoQueueWorkItem, ObReferenceObjectByPointer, _allmul, _alldiv, KeWaitForMultipleObjects, ObOpenObjectByPointer, IoGetRelatedDeviceObject, IoFreeWorkItem, KeSetEvent, KeGetCurrentThread, ExRundownCompleted, ExInitializeRundownProtection, RtlUpcaseUnicodeChar, RtlUpperChar, PsCreateSystemThread, PsTerminateSystemThread, ExWaitForRundownProtectionRelease, ExReleaseRundownProtection, ExAcquireRundownProtection, KeInitializeEvent, IoBuildDeviceIoControlRequest, KeWaitForSingleObject, ZwOpenKey, ZwQueryValueKey, ZwClose, IoDriverObjectType, ObReferenceObjectByName, RtlLengthSid, MmIsAddressValid, RtlGetElementGenericTableAvl, RtlEnumerateGenericTableAvl, RtlDeleteElementGenericTableAvl, RtlLookupElementGenericTableAvl, RtlUpcaseUnicodeString, InitSafeBootMode, IoGetCurrentProcess, PsInitialSystemProcess, MmMapLockedPagesSpecifyCache, memmove, IoGetTopLevelIrp, RtlInitializeSid, RtlSubAuthoritySid, _wcsnicmp, PsGetThreadId, PsGetCurrentThreadId, FsRtlIsNameInExpression, KeQuerySystemTime, PsGetCurrentProcessId, IoFileObjectType, ObReferenceObjectByHandle, ObfDereferenceObject, RtlAppendUnicodeStringToString, RtlCopyUnicodeString, RtlAppendUnicodeToString, RtlInitializeGenericTableAvl, RtlInsertElementGenericTableAvl, RtlImageNtHeader, ExDeletePagedLookasideList, ExDeleteNPagedLookasideList, ExInitializePagedLookasideList, ExInitializeNPagedLookasideList, RtlCompareUnicodeString, IofCompleteRequest, IofCallDriver, IoWMIRegistrationControl, RtlCompareMemory, RtlInitUnicodeString, MmGetSystemRoutineAddress, memset, memcpy, IoWMIWriteEvent, ExFreePoolWithTag, ExAllocatePoolWithTag, InterlockedPushEntrySList, ObOpenObjectByName, InterlockedPopEntrySList
HAL.dll: KfLowerIrql, KeAcquireInStackQueuedSpinLock, KeReleaseInStackQueuedSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeQueryPerformanceCounter, KeGetCurrentIrql, KfRaiseIrql
FLTMGR.SYS: FltWriteFile, FltGetRequestorProcess, FltGetFileNameInformation, FltParseFileNameInformation, FltIsDirectory, FltSetStreamContext, FltEnumerateVolumeInformation, FltGetStreamHandleContext, FltGetStreamContext, FltCreateSystemVolumeInformationFolder, FltSetInformationFile, FltGetVolumeContext, FltGetVolumeGuidName, FltEnumerateVolumes, FltCreateFileEx, FltReleaseFileNameInformation, FltGetFileNameInformationUnsafe, FltBuildDefaultSecurityDescriptor, FltCreateCommunicationPort, FltFreeSecurityDescriptor, FltSendMessage, FltCloseClientPort, FltCloseCommunicationPort, FltAllocatePoolAlignedWithTag, FltReadFile, FltFreePoolAlignedWithTag, FltAllocateCallbackData, FltLockUserBuffer, FltFreeCallbackData, FltPerformSynchronousIo, FltAllocateGenericWorkItem, FltQueueGenericWorkItem, FltFreeGenericWorkItem, FltRegisterFilter, FltStartFiltering, FltGetDestinationFileNameInformation, FltGetContexts, FltSetStreamHandleContext, FltCancelFileOpen, FltFlushBuffers, FltSetCallbackDataDirty, FltGetRequestorProcessId, FltGetInstanceContext, FltGetVolumeProperties, FltAllocateContext, FltReleaseContext, FltQueryVolumeInformation, FltGetDiskDeviceObject, FltSetInstanceContext, FltSetVolumeContext, FltObjectReference, FltGetVolumeName, FltCreateFile, FltGetVolumeFromFileObject, FltClose, FltUnregisterFilter, FltInitializePushLock, FltReferenceFileNameInformation, FltAcquirePushLockShared, FltDeletePushLock, FltAcquirePushLockExclusive, FltReleasePushLock, FltObjectDereference, FltReleaseContexts, FltGetEcpListFromCallbackData, FltFindExtraCreateParameter, FltIsEcpFromUserMode, FltQueryInformationFile
VT Community
1859170.sys
Submission date:
2010-12-31 17:43:08 (UTC)
Current status:
queued queued analysing finished
Result:
0/ 43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.12.31.00 2010.12.30 -
AntiVir 7.11.0.247 2010.12.31 -
Antiy-AVL 2.0.3.7 2010.12.31 -
Avast 4.8.1351.0 2010.12.31 -
Avast5 5.0.677.0 2010.12.31 -
AVG 9.0.0.851 2010.12.31 -
BitDefender 7.2 2010.12.31 -
CAT-QuickHeal 11.00 2010.12.31 -
ClamAV 0.96.4.0 2010.12.31 -
Command 5.2.11.5 2010.12.31 -
Comodo 7253 2010.12.31 -
DrWeb 5.0.2.03300 2010.12.31 -
Emsisoft 5.1.0.1 2010.12.31 -
eSafe 7.0.17.0 2010.12.30 -
eTrust-Vet 36.1.8073 2010.12.31 -
F-Prot 4.6.2.117 2010.12.31 -
F-Secure 9.0.16160.0 2010.12.31 -
Fortinet 4.2.254.0 2010.12.31 -
GData 21 2010.12.31 -
Ikarus T3.1.1.90.0 2010.12.31 -
Jiangmin 13.0.900 2010.12.31 -
K7AntiVirus 9.75.3406 2010.12.31 -
Kaspersky 7.0.0.125 2010.12.31 -
McAfee 5.400.0.1158 2010.12.31 -
McAfee-GW-Edition 2010.1C 2010.12.31 -
Microsoft 1.6402 2010.12.31 -
NOD32 5750 2010.12.31 -
Norman 6.06.12 2010.12.31 -
nProtect 2010-12-31.01 2010.12.31 -
Panda 10.0.2.7 2010.12.31 -
PCTools 7.0.3.5 2010.12.31 -
Prevx 3.0 2010.12.31 -
Rising 22.80.04.04 2010.12.31 -
Sophos 4.60.0 2010.12.31 -
SUPERAntiSpyware 4.40.0.1006 2010.12.31 -
Symantec 20101.3.0.103 2010.12.31 -
TheHacker 6.7.0.1.109 2010.12.30 -
TrendMicro 9.120.0.1004 2010.12.31 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.31 -
VBA32 3.12.14.2 2010.12.30 -
VIPRE 7898 2010.12.31 -
ViRobot 2010.12.31.4232 2010.12.31 -
VirusBuster 13.6.121.0 2010.12.30 -
Additional information
Show all
MD5 : 64d93ec1218765498c40619427a85a91
SHA1 : 5695668698653c1b24adf47fe4ed11aca821c9cd
SHA256: 3c14aacd33d5f17c597558fe0095c128c1f35868b172a58c75f0bdfe7f8b2276
ssdeep: 6144:TOzNyAPg5gosTX33OY+fmltTd4+MRjDxaYInRkiJXvsh:Tmy2g5gDTXnltTW+MRj0jRkKs
File size : 311312 bytes
First seen: 2009-11-25 22:54:02
Last seen : 2010-12-31 17:43:08
TrID:
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Kaspersky Lab
copyright....: Copyright (c) Kaspersky Lab 1996-2009.
product......: Kaspersky_ Anti-Virus _
description..: Klif Mini-Filter _fre_wlh_x86_
original name: KLIF
internal name: KLIF
file version.: 8.4.0.101 built by: WinDDK
comments.....: n/a
signers......: Kaspersky Lab
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 8:31 PM 10/9/2009
verified.....: -
PEInfo: PE structure information
[[ basic data ]]
entrypointaddress: 0x46EAF
timedatestamp....: 0x4ACF8EC7 (Fri Oct 09 19:28:07 2009)
machinetype......: 0x14c (I386)
[[ 8 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x34D5A, 0x34E00, 6.48, 8c9f30432c2cc5fc6f5481b6ef57f8f0
.rdata, 0x36000, 0x1C44, 0x1E00, 4.20, ecc31acb3b2ed5be819659e58e89037b
.data, 0x38000, 0x2FE8, 0x1200, 4.53, 04e2d7c1084a0587b89fd26b23d2f133
PAGE, 0x3B000, 0x7D94, 0x7E00, 6.39, 14a9ec6cec589dc8e10eebdf877112cc
PAGEDATA, 0x43000, 0x7C, 0x200, 1.63, 5e38e46e343c2b077105267d9f354c63
INIT, 0x44000, 0x5C68, 0x5E00, 6.20, 5d9f31bd2f31c11e9998badaea26d6c6
.rsrc, 0x4A000, 0x390, 0x400, 3.09, bffa628f1b6da991ca188a07578c6b5f
.reloc, 0x4B000, 0x40AE, 0x4200, 6.43, ed9acef1a8b0fa7572d5bbcb1bb7693e
[[ 3 import(s) ]]
ntoskrnl.exe: RtlEqualUnicodeString, RtlEnumerateGenericTableWithoutSplayingAvl, _vsnwprintf, ZwEnumerateKey, ZwSetValueKey, ZwCreateFile, ZwDeleteKey, RtlIntegerToUnicodeString, ZwCreateKey, RtlUnicodeStringToInteger, ExAcquireRundownProtectionCacheAware, ExReleaseRundownProtectionCacheAware, ExWaitForRundownProtectionReleaseCacheAware, KeClearEvent, ZwFlushVirtualMemory, RtlHashUnicodeString, KeSetPriorityThread, KeUnstackDetachProcess, ZwUnmapViewOfSection, ZwMapViewOfSection, KeStackAttachProcess, ZwCreateSection, ExFreeCacheAwareRundownProtection, FsRtlAreVolumeStartupApplicationsComplete, MmUnsecureVirtualMemory, ExReInitializeRundownProtection, ObfReferenceObject, MmSecureVirtualMemory, ExAllocateCacheAwareRundownProtection, ExRundownCompletedCacheAware, IoUnregisterPlugPlayNotification, IoGetDeviceObjectPointer, IoRegisterPlugPlayNotification, SeTokenType, SeCreateClientSecurity, SeImpersonateClientEx, IoDeviceObjectType, IoBuildSynchronousFsdRequest, PsGetThreadProcessId, PsThreadType, PsGetProcessId, PsProcessType, IoDeleteDevice, IoDeleteSymbolicLink, IoUnregisterShutdownNotification, ExGetPreviousMode, IoFreeMdl, MmUnlockPages, MmProbeAndLockPages, IoAllocateMdl, IoRegisterShutdownNotification, IoCreateSymbolicLink, IoCreateDevice, KeQueryInterruptTime, _stricmp, ZwQuerySystemInformation, KeDelayExecutionThread, strncmp, ZwQueryInformationProcess, KeServiceDescriptorTable, PsLookupProcessByProcessId, IoGetBaseFileSystemDeviceObject, ZwOpenFile, ObQueryNameString, MmHighestUserAddress, strncpy, IoAllocateIrp, IoGetStackLimits, SeReleaseSubjectContext, SeQueryAuthenticationIdToken, SeCaptureSubjectContext, PsDereferenceImpersonationToken, RtlCopySid, SeQueryInformationToken, PsReferenceImpersonationToken, PsReferencePrimaryToken, PsIsThreadTerminating, _allrem, MmUserProbeAddress, CmRegisterCallbackEx, CmGetCallbackVersion, CmUnRegisterCallback, RtlGetVersion, PsGetVersion, ZwDeleteValueKey, ZwEnumerateValueKey, _allshl, InterlockedIncrement, InterlockedDecrement, IoThreadToProcess, PsLookupThreadByThreadId, ZwTerminateProcess, ProbeForRead, SeExports, NtBuildNumber, ZwQuerySection, RtlNumberGenericTableElementsAvl, swprintf, IoGetAttachedDeviceReference, PsRemoveCreateThreadNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetCreateProcessNotifyRoutine, RtlSetDaclSecurityDescriptor, RtlGetAce, RtlAddAccessAllowedAce, RtlCreateAcl, RtlCreateSecurityDescriptor, ZwSetInformationObject, ZwQueryObject, ZwQueryKey, KeAddSystemServiceTable, KeInsertQueueApc, KeInitializeApc, IoIsSystemThread, NtQueryInformationProcess, RtlNtStatusToDosError, RtlAnsiStringToUnicodeString, ZwAllocateVirtualMemory, ZwFreeVirtualMemory, KeQueryTimeIncrement, KeTickCount, NtQueryInformationAtom, KeBugCheckEx, RtlUnwind, ZwOpenProcess, IoAllocateWorkItem, IoQueueWorkItem, ObReferenceObjectByPointer, _allmul, _alldiv, KeWaitForMultipleObjects, ObOpenObjectByPointer, IoGetRelatedDeviceObject, IoFreeWorkItem, KeSetEvent, KeGetCurrentThread, ExRundownCompleted, ExInitializeRundownProtection, RtlUpcaseUnicodeChar, RtlUpperChar, PsCreateSystemThread, PsTerminateSystemThread, ExWaitForRundownProtectionRelease, ExReleaseRundownProtection, ExAcquireRundownProtection, KeInitializeEvent, IoBuildDeviceIoControlRequest, KeWaitForSingleObject, ZwOpenKey, ZwQueryValueKey, ZwClose, IoDriverObjectType, ObReferenceObjectByName, RtlLengthSid, MmIsAddressValid, RtlGetElementGenericTableAvl, RtlEnumerateGenericTableAvl, RtlDeleteElementGenericTableAvl, RtlLookupElementGenericTableAvl, RtlUpcaseUnicodeString, InitSafeBootMode, IoGetCurrentProcess, PsInitialSystemProcess, MmMapLockedPagesSpecifyCache, memmove, IoGetTopLevelIrp, RtlInitializeSid, RtlSubAuthoritySid, _wcsnicmp, PsGetThreadId, PsGetCurrentThreadId, FsRtlIsNameInExpression, KeQuerySystemTime, PsGetCurrentProcessId, IoFileObjectType, ObReferenceObjectByHandle, ObfDereferenceObject, RtlAppendUnicodeStringToString, RtlCopyUnicodeString, RtlAppendUnicodeToString, RtlInitializeGenericTableAvl, RtlInsertElementGenericTableAvl, RtlImageNtHeader, ExDeletePagedLookasideList, ExDeleteNPagedLookasideList, ExInitializePagedLookasideList, ExInitializeNPagedLookasideList, RtlCompareUnicodeString, IofCompleteRequest, IofCallDriver, IoWMIRegistrationControl, RtlCompareMemory, RtlInitUnicodeString, MmGetSystemRoutineAddress, memset, memcpy, IoWMIWriteEvent, ExFreePoolWithTag, ExAllocatePoolWithTag, InterlockedPushEntrySList, ObOpenObjectByName, InterlockedPopEntrySList
HAL.dll: KfLowerIrql, KeAcquireInStackQueuedSpinLock, KeReleaseInStackQueuedSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeQueryPerformanceCounter, KeGetCurrentIrql, KfRaiseIrql
FLTMGR.SYS: FltWriteFile, FltGetRequestorProcess, FltGetFileNameInformation, FltParseFileNameInformation, FltIsDirectory, FltSetStreamContext, FltEnumerateVolumeInformation, FltGetStreamHandleContext, FltGetStreamContext, FltCreateSystemVolumeInformationFolder, FltSetInformationFile, FltGetVolumeContext, FltGetVolumeGuidName, FltEnumerateVolumes, FltCreateFileEx, FltReleaseFileNameInformation, FltGetFileNameInformationUnsafe, FltBuildDefaultSecurityDescriptor, FltCreateCommunicationPort, FltFreeSecurityDescriptor, FltSendMessage, FltCloseClientPort, FltCloseCommunicationPort, FltAllocatePoolAlignedWithTag, FltReadFile, FltFreePoolAlignedWithTag, FltAllocateCallbackData, FltLockUserBuffer, FltFreeCallbackData, FltPerformSynchronousIo, FltAllocateGenericWorkItem, FltQueueGenericWorkItem, FltFreeGenericWorkItem, FltRegisterFilter, FltStartFiltering, FltGetDestinationFileNameInformation, FltGetContexts, FltSetStreamHandleContext, FltCancelFileOpen, FltFlushBuffers, FltSetCallbackDataDirty, FltGetRequestorProcessId, FltGetInstanceContext, FltGetVolumeProperties, FltAllocateContext, FltReleaseContext, FltQueryVolumeInformation, FltGetDiskDeviceObject, FltSetInstanceContext, FltSetVolumeContext, FltObjectReference, FltGetVolumeName, FltCreateFile, FltGetVolumeFromFileObject, FltClose, FltUnregisterFilter, FltInitializePushLock, FltReferenceFileNameInformation, FltAcquirePushLockShared, FltDeletePushLock, FltAcquirePushLockExclusive, FltReleasePushLock, FltObjectDereference, FltReleaseContexts, FltGetEcpListFromCallbackData, FltFindExtraCreateParameter, FltIsEcpFromUserMode, FltQueryInformationFile
VT Community
File name:
18591701.sys
Submission date:
2010-12-31 17:37:50 (UTC)
Current status:
queued (#2570) queued analysing finished
Result:
0/ 43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.12.31.00 2010.12.30 -
AntiVir 7.11.0.247 2010.12.31 -
Antiy-AVL 2.0.3.7 2010.12.31 -
Avast 4.8.1351.0 2010.12.31 -
Avast5 5.0.677.0 2010.12.31 -
AVG 9.0.0.851 2010.12.31 -
BitDefender 7.2 2010.12.31 -
CAT-QuickHeal 11.00 2010.12.31 -
ClamAV 0.96.4.0 2010.12.31 -
Command 5.2.11.5 2010.12.31 -
Comodo 7253 2010.12.31 -
DrWeb 5.0.2.03300 2010.12.31 -
Emsisoft 5.1.0.1 2010.12.31 -
eSafe 7.0.17.0 2010.12.30 -
eTrust-Vet 36.1.8073 2010.12.31 -
F-Prot 4.6.2.117 2010.12.31 -
F-Secure 9.0.16160.0 2010.12.31 -
Fortinet 4.2.254.0 2010.12.31 -
GData 21 2010.12.31 -
Ikarus T3.1.1.90.0 2010.12.31 -
Jiangmin 13.0.900 2010.12.31 -
K7AntiVirus 9.75.3406 2010.12.31 -
Kaspersky 7.0.0.125 2010.12.31 -
McAfee 5.400.0.1158 2010.12.31 -
McAfee-GW-Edition 2010.1C 2010.12.31 -
Microsoft 1.6402 2010.12.31 -
NOD32 5750 2010.12.31 -
Norman 6.06.12 2010.12.31 -
nProtect 2010-12-31.01 2010.12.31 -
Panda 10.0.2.7 2010.12.31 -
PCTools 7.0.3.5 2010.12.31 -
Prevx 3.0 2010.12.31 -
Rising 22.80.04.04 2010.12.31 -
Sophos 4.60.0 2010.12.31 -
SUPERAntiSpyware 4.40.0.1006 2010.12.31 -
Symantec 20101.3.0.103 2010.12.31 -
TheHacker 6.7.0.1.109 2010.12.30 -
TrendMicro 9.120.0.1004 2010.12.31 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.31 -
VBA32 3.12.14.2 2010.12.30 -
VIPRE 7898 2010.12.31 -
ViRobot 2010.12.31.4232 2010.12.31 -
VirusBuster 13.6.121.0 2010.12.30 -
Additional information
Show all
MD5 : 7dd41b7ac1fbb1dbf20bb1f4e4fbe58c
SHA1 : c763c52f8b0dbb6594f1a81246ae2c27c6f74557
SHA256: 16b77fb533986ca6119f1307e52a4d0b863043c3fee572df20c0bc0115cf68d8
ssdeep: 1536:3BJVx78OeKLiS554lvz1VMjRIRorRe2VCQPBiGclS4NcPr/Yeb:rvKXbb1VMjK+FCQJiGc
lU/
File size : 128016 bytes
First seen: 2009-10-02 18:22:12
Last seen : 2010-12-31 17:37:50
TrID:
Win64 Executable Generic (95.5%)
Generic Win/DOS Executable (2.2%)
DOS Executable Generic (2.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Kaspersky Lab
copyright....: Copyright (c) Kaspersky Lab 1997-2009.
product......: Kaspersky Anti-Virus
description..: Kaspersky Unified Driver
original name: KL1.SYS
internal name: KL1
file version.: 6.4.0.11
comments.....: n/a
signers......: Kaspersky Lab
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 2:59 PM 9/25/2009
verified.....: -
PEInfo: PE structure information
[[ basic data ]]
entrypointaddress: 0x2CA0
timedatestamp....: 0x4ABCCCA4 (Fri Sep 25 13:59:00 2009)
machinetype......: 0x14c (I386)
[[ 6 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x16BBC, 0x16C00, 6.38, dddd74c8397a2d3a2410411853fa4365
.4lulz, 0x18000, 0x500000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
.data, 0x518000, 0x2F24, 0x3000, 2.63, 60022989bbf1decad14950fd83d3c909
INIT, 0x51B000, 0x54A, 0x600, 5.02, f3397d902be76b809d0b71b529972541
.rsrc, 0x51C000, 0x408, 0x600, 2.45, 6d0ccd8942a830bc9662b2b4239c83d4
.reloc, 0x51D000, 0x2D24, 0x2E00, 1.47, 48dc37f0b67e704793035f5299350824
[[ 3 import(s) ]]
ntoskrnl.exe: swprintf, sprintf, ZwQueryInformationFile, ExFreePool, ExAllocatePoolWithTag, memset, ZwClose, ZwReadFile, memcpy, strncmp, KeWaitForSingleObject, ObfDereferenceObject, ObReferenceObjectByHandle, PsCreateSystemThread, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, ZwEnumerateValueKey, ZwOpenKey, wcsstr, RtlEqualUnicodeString, RtlCopyUnicodeString, KeReleaseMutex, PsSetLoadImageNotifyRoutine, KeInitializeMutex, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, _except_handler3, ZwQueryValueKey, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlPrefixUnicodeString, _stricmp, strchr, ZwQuerySystemInformation, IoAllocateIrp, _strnicmp, IoGetRelatedDeviceObject, KeInitializeSpinLock, InterlockedIncrement, InterlockedDecrement, ZwCreateFile, DbgPrint, IofCompleteRequest, PsGetVersion, wcschr, rand, srand, memmove
HAL.dll: KfReleaseSpinLock, KfAcquireSpinLock
TDI.SYS: TdiMapUserRequest
VT Community
18591701.sys
Submission date:
2010-12-31 17:37:50 (UTC)
Current status:
queued (#2570) queued analysing finished
Result:
0/ 43 (0.0%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.12.31.00 2010.12.30 -
AntiVir 7.11.0.247 2010.12.31 -
Antiy-AVL 2.0.3.7 2010.12.31 -
Avast 4.8.1351.0 2010.12.31 -
Avast5 5.0.677.0 2010.12.31 -
AVG 9.0.0.851 2010.12.31 -
BitDefender 7.2 2010.12.31 -
CAT-QuickHeal 11.00 2010.12.31 -
ClamAV 0.96.4.0 2010.12.31 -
Command 5.2.11.5 2010.12.31 -
Comodo 7253 2010.12.31 -
DrWeb 5.0.2.03300 2010.12.31 -
Emsisoft 5.1.0.1 2010.12.31 -
eSafe 7.0.17.0 2010.12.30 -
eTrust-Vet 36.1.8073 2010.12.31 -
F-Prot 4.6.2.117 2010.12.31 -
F-Secure 9.0.16160.0 2010.12.31 -
Fortinet 4.2.254.0 2010.12.31 -
GData 21 2010.12.31 -
Ikarus T3.1.1.90.0 2010.12.31 -
Jiangmin 13.0.900 2010.12.31 -
K7AntiVirus 9.75.3406 2010.12.31 -
Kaspersky 7.0.0.125 2010.12.31 -
McAfee 5.400.0.1158 2010.12.31 -
McAfee-GW-Edition 2010.1C 2010.12.31 -
Microsoft 1.6402 2010.12.31 -
NOD32 5750 2010.12.31 -
Norman 6.06.12 2010.12.31 -
nProtect 2010-12-31.01 2010.12.31 -
Panda 10.0.2.7 2010.12.31 -
PCTools 7.0.3.5 2010.12.31 -
Prevx 3.0 2010.12.31 -
Rising 22.80.04.04 2010.12.31 -
Sophos 4.60.0 2010.12.31 -
SUPERAntiSpyware 4.40.0.1006 2010.12.31 -
Symantec 20101.3.0.103 2010.12.31 -
TheHacker 6.7.0.1.109 2010.12.30 -
TrendMicro 9.120.0.1004 2010.12.31 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.31 -
VBA32 3.12.14.2 2010.12.30 -
VIPRE 7898 2010.12.31 -
ViRobot 2010.12.31.4232 2010.12.31 -
VirusBuster 13.6.121.0 2010.12.30 -
Additional information
Show all
MD5 : 7dd41b7ac1fbb1dbf20bb1f4e4fbe58c
SHA1 : c763c52f8b0dbb6594f1a81246ae2c27c6f74557
SHA256: 16b77fb533986ca6119f1307e52a4d0b863043c3fee572df20c0bc0115cf68d8
ssdeep: 1536:3BJVx78OeKLiS554lvz1VMjRIRorRe2VCQPBiGclS4NcPr/Yeb:rvKXbb1VMjK+FCQJiGc
lU/
File size : 128016 bytes
First seen: 2009-10-02 18:22:12
Last seen : 2010-12-31 17:37:50
TrID:
Win64 Executable Generic (95.5%)
Generic Win/DOS Executable (2.2%)
DOS Executable Generic (2.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Kaspersky Lab
copyright....: Copyright (c) Kaspersky Lab 1997-2009.
product......: Kaspersky Anti-Virus
description..: Kaspersky Unified Driver
original name: KL1.SYS
internal name: KL1
file version.: 6.4.0.11
comments.....: n/a
signers......: Kaspersky Lab
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 2:59 PM 9/25/2009
verified.....: -
PEInfo: PE structure information
[[ basic data ]]
entrypointaddress: 0x2CA0
timedatestamp....: 0x4ABCCCA4 (Fri Sep 25 13:59:00 2009)
machinetype......: 0x14c (I386)
[[ 6 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x16BBC, 0x16C00, 6.38, dddd74c8397a2d3a2410411853fa4365
.4lulz, 0x18000, 0x500000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
.data, 0x518000, 0x2F24, 0x3000, 2.63, 60022989bbf1decad14950fd83d3c909
INIT, 0x51B000, 0x54A, 0x600, 5.02, f3397d902be76b809d0b71b529972541
.rsrc, 0x51C000, 0x408, 0x600, 2.45, 6d0ccd8942a830bc9662b2b4239c83d4
.reloc, 0x51D000, 0x2D24, 0x2E00, 1.47, 48dc37f0b67e704793035f5299350824
[[ 3 import(s) ]]
ntoskrnl.exe: swprintf, sprintf, ZwQueryInformationFile, ExFreePool, ExAllocatePoolWithTag, memset, ZwClose, ZwReadFile, memcpy, strncmp, KeWaitForSingleObject, ObfDereferenceObject, ObReferenceObjectByHandle, PsCreateSystemThread, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, ZwEnumerateValueKey, ZwOpenKey, wcsstr, RtlEqualUnicodeString, RtlCopyUnicodeString, KeReleaseMutex, PsSetLoadImageNotifyRoutine, KeInitializeMutex, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, RtlInitUnicodeString, _except_handler3, ZwQueryValueKey, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlPrefixUnicodeString, _stricmp, strchr, ZwQuerySystemInformation, IoAllocateIrp, _strnicmp, IoGetRelatedDeviceObject, KeInitializeSpinLock, InterlockedIncrement, InterlockedDecrement, ZwCreateFile, DbgPrint, IofCompleteRequest, PsGetVersion, wcschr, rand, srand, memmove
HAL.dll: KfReleaseSpinLock, KfAcquireSpinLock
TDI.SYS: TdiMapUserRequest
VT Community
File name:
18591702.sys
Submission date:
2010-12-31 17:56:17 (UTC)
Current status:
queued (#2590) queued analysing finished
Result:
0/ 42 (0.0%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.12.31.00 2010.12.30 -
AntiVir 7.11.0.247 2010.12.31 -
Antiy-AVL 2.0.3.7 2010.12.31 -
Avast 4.8.1351.0 2010.12.31 -
Avast5 5.0.677.0 2010.12.31 -
AVG 9.0.0.851 2010.12.31 -
BitDefender 7.2 2010.12.31 -
CAT-QuickHeal 11.00 2010.12.31 -
ClamAV 0.96.4.0 2010.12.31 -
Command 5.2.11.5 2010.12.31 -
Comodo 7253 2010.12.31 -
DrWeb 5.0.2.03300 2010.12.31 -
eSafe 7.0.17.0 2010.12.30 -
eTrust-Vet 36.1.8073 2010.12.31 -
F-Prot 4.6.2.117 2010.12.31 -
F-Secure 9.0.16160.0 2010.12.31 -
Fortinet 4.2.254.0 2010.12.31 -
GData 21 2010.12.31 -
Ikarus T3.1.1.90.0 2010.12.31 -
Jiangmin 13.0.900 2010.12.31 -
K7AntiVirus 9.75.3406 2010.12.31 -
Kaspersky 7.0.0.125 2010.12.31 -
McAfee 5.400.0.1158 2010.12.31 -
McAfee-GW-Edition 2010.1C 2010.12.31 -
Microsoft 1.6402 2010.12.31 -
NOD32 5750 2010.12.31 -
Norman 6.06.12 2010.12.31 -
nProtect 2010-12-31.01 2010.12.31 -
Panda 10.0.2.7 2010.12.31 -
PCTools 7.0.3.5 2010.12.31 -
Prevx 3.0 2010.12.31 -
Rising 22.80.04.04 2010.12.31 -
Sophos 4.60.0 2010.12.31 -
SUPERAntiSpyware 4.40.0.1006 2010.12.31 -
Symantec 20101.3.0.103 2010.12.31 -
TheHacker 6.7.0.1.109 2010.12.30 -
TrendMicro 9.120.0.1004 2010.12.31 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.31 -
VBA32 3.12.14.2 2010.12.30 -
VIPRE 7898 2010.12.31 -
ViRobot 2010.12.31.4232 2010.12.31 -
VirusBuster 13.6.121.0 2010.12.30 -
Additional information
Show all
MD5 : a305fad3719c5db0c13d1c2bfd08a04d
SHA1 : cd7300ae608db1ca6583736b9648cf36b476f832
SHA256: a3f8d9139142391d5f68aeb75a501243852a487f084f5aa75c03eb173d2b8935
ssdeep: 768:M+hdvdtdNZnYvFOzz2o7fSgLa1TvanHWp66enLvbYCSm02:M+hdvdtdN1rz6qnLagDN/YeR
File size : 37392 bytes
First seen: 2009-11-25 16:43:41
Last seen : 2010-12-31 17:56:17
TrID:
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Kaspersky Lab
copyright....: Copyright (c) Kaspersky Lab 1997-2009.
product......: Kaspersky Anti-Virus
description..: Kaspersky Lab Boot Guard Driver
original name: KLBG.SYS
internal name: KLBG
file version.: 9.1.0.0
comments.....: n/a
signers......: Kaspersky Lab
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 10:54 AM 10/22/2009
verified.....: -
PEInfo: PE structure information
[[ basic data ]]
entrypointaddress: 0x3CA0
timedatestamp....: 0x4AE02BB3 (Thu Oct 22 09:53:55 2009)
machinetype......: 0x14c (I386)
[[ 7 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x427E, 0x4400, 6.30, b2a5eb356209d15285e1808b9629411c
.rdata, 0x6000, 0x150C, 0x1600, 7.38, 945af6e04dbf86c095c1755f343392a8
.data, 0x8000, 0x198, 0x200, 1.76, 38b21fbea339d3c01709e6603a4baa5c
PAGECODE, 0x9000, 0x2EB, 0x400, 5.07, d6e2cfe49628330b8479e665ce2a9c2a
INIT, 0xA000, 0x650, 0x800, 4.61, f1d93e70472651a3da107c37db60f3a4
.rsrc, 0xB000, 0x418, 0x600, 2.48, 7907b082561e0fcf5edc2821a6ea5738
.reloc, 0xC000, 0x422, 0x600, 4.20, 70b278bb5403516ecc43165f821d09c7
[[ 2 import(s) ]]
ntoskrnl.exe: MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, MmBuildMdlForNonPagedPool, IoAllocateMdl, _except_handler3, memset, ObfDereferenceObject, ObReferenceObjectByName, IoDriverObjectType, RtlInitUnicodeString, KeServiceDescriptorTable, PsGetCurrentProcessId, IoGetCurrentProcess, memcpy, ExFreePoolWithTag, ExAllocatePoolWithTag, KeLeaveCriticalRegion, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeEnterCriticalRegion, ZwClose, ZwSetValueKey, ZwDeleteValueKey, ZwEnumerateValueKey, ZwOpenKey, ExInitializeResourceLite, MmIsAddressValid, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, IoGetDeviceObjectPointer, ZwSetInformationFile, ZwQueryInformationFile, IoCreateFile, ZwWriteFile, ZwReadFile, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, ZwNotifyChangeKey, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, IoDeleteSymbolicLink, IoDeleteDevice, IoRegisterBootDriverReinitialization, RtlCopyUnicodeString, InitSafeBootMode, ZwCreateKey, ZwEnumerateKey, ExAllocatePool, ZwDeleteKey, wcschr, MmUnlockPages, PsGetCurrentThreadId, IoFreeMdl, DbgPrint, RtlAnsiCharToUnicodeChar, KeBugCheckEx
HAL.dll: KfLowerIrql, KeRaiseIrqlToDpcLevel
VT Community
18591702.sys
Submission date:
2010-12-31 17:56:17 (UTC)
Current status:
queued (#2590) queued analysing finished
Result:
0/ 42 (0.0%)
VT Community
malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.12.31.00 2010.12.30 -
AntiVir 7.11.0.247 2010.12.31 -
Antiy-AVL 2.0.3.7 2010.12.31 -
Avast 4.8.1351.0 2010.12.31 -
Avast5 5.0.677.0 2010.12.31 -
AVG 9.0.0.851 2010.12.31 -
BitDefender 7.2 2010.12.31 -
CAT-QuickHeal 11.00 2010.12.31 -
ClamAV 0.96.4.0 2010.12.31 -
Command 5.2.11.5 2010.12.31 -
Comodo 7253 2010.12.31 -
DrWeb 5.0.2.03300 2010.12.31 -
eSafe 7.0.17.0 2010.12.30 -
eTrust-Vet 36.1.8073 2010.12.31 -
F-Prot 4.6.2.117 2010.12.31 -
F-Secure 9.0.16160.0 2010.12.31 -
Fortinet 4.2.254.0 2010.12.31 -
GData 21 2010.12.31 -
Ikarus T3.1.1.90.0 2010.12.31 -
Jiangmin 13.0.900 2010.12.31 -
K7AntiVirus 9.75.3406 2010.12.31 -
Kaspersky 7.0.0.125 2010.12.31 -
McAfee 5.400.0.1158 2010.12.31 -
McAfee-GW-Edition 2010.1C 2010.12.31 -
Microsoft 1.6402 2010.12.31 -
NOD32 5750 2010.12.31 -
Norman 6.06.12 2010.12.31 -
nProtect 2010-12-31.01 2010.12.31 -
Panda 10.0.2.7 2010.12.31 -
PCTools 7.0.3.5 2010.12.31 -
Prevx 3.0 2010.12.31 -
Rising 22.80.04.04 2010.12.31 -
Sophos 4.60.0 2010.12.31 -
SUPERAntiSpyware 4.40.0.1006 2010.12.31 -
Symantec 20101.3.0.103 2010.12.31 -
TheHacker 6.7.0.1.109 2010.12.30 -
TrendMicro 9.120.0.1004 2010.12.31 -
TrendMicro-HouseCall 9.120.0.1004 2010.12.31 -
VBA32 3.12.14.2 2010.12.30 -
VIPRE 7898 2010.12.31 -
ViRobot 2010.12.31.4232 2010.12.31 -
VirusBuster 13.6.121.0 2010.12.30 -
Additional information
Show all
MD5 : a305fad3719c5db0c13d1c2bfd08a04d
SHA1 : cd7300ae608db1ca6583736b9648cf36b476f832
SHA256: a3f8d9139142391d5f68aeb75a501243852a487f084f5aa75c03eb173d2b8935
ssdeep: 768:M+hdvdtdNZnYvFOzz2o7fSgLa1TvanHWp66enLvbYCSm02:M+hdvdtdN1rz6qnLagDN/YeR
File size : 37392 bytes
First seen: 2009-11-25 16:43:41
Last seen : 2010-12-31 17:56:17
TrID:
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Kaspersky Lab
copyright....: Copyright (c) Kaspersky Lab 1997-2009.
product......: Kaspersky Anti-Virus
description..: Kaspersky Lab Boot Guard Driver
original name: KLBG.SYS
internal name: KLBG
file version.: 9.1.0.0
comments.....: n/a
signers......: Kaspersky Lab
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 10:54 AM 10/22/2009
verified.....: -
PEInfo: PE structure information
[[ basic data ]]
entrypointaddress: 0x3CA0
timedatestamp....: 0x4AE02BB3 (Thu Oct 22 09:53:55 2009)
machinetype......: 0x14c (I386)
[[ 7 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x427E, 0x4400, 6.30, b2a5eb356209d15285e1808b9629411c
.rdata, 0x6000, 0x150C, 0x1600, 7.38, 945af6e04dbf86c095c1755f343392a8
.data, 0x8000, 0x198, 0x200, 1.76, 38b21fbea339d3c01709e6603a4baa5c
PAGECODE, 0x9000, 0x2EB, 0x400, 5.07, d6e2cfe49628330b8479e665ce2a9c2a
INIT, 0xA000, 0x650, 0x800, 4.61, f1d93e70472651a3da107c37db60f3a4
.rsrc, 0xB000, 0x418, 0x600, 2.48, 7907b082561e0fcf5edc2821a6ea5738
.reloc, 0xC000, 0x422, 0x600, 4.20, 70b278bb5403516ecc43165f821d09c7
[[ 2 import(s) ]]
ntoskrnl.exe: MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, MmBuildMdlForNonPagedPool, IoAllocateMdl, _except_handler3, memset, ObfDereferenceObject, ObReferenceObjectByName, IoDriverObjectType, RtlInitUnicodeString, KeServiceDescriptorTable, PsGetCurrentProcessId, IoGetCurrentProcess, memcpy, ExFreePoolWithTag, ExAllocatePoolWithTag, KeLeaveCriticalRegion, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeEnterCriticalRegion, ZwClose, ZwSetValueKey, ZwDeleteValueKey, ZwEnumerateValueKey, ZwOpenKey, ExInitializeResourceLite, MmIsAddressValid, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, IoGetDeviceObjectPointer, ZwSetInformationFile, ZwQueryInformationFile, IoCreateFile, ZwWriteFile, ZwReadFile, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, ZwNotifyChangeKey, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, IoDeleteSymbolicLink, IoDeleteDevice, IoRegisterBootDriverReinitialization, RtlCopyUnicodeString, InitSafeBootMode, ZwCreateKey, ZwEnumerateKey, ExAllocatePool, ZwDeleteKey, wcschr, MmUnlockPages, PsGetCurrentThreadId, IoFreeMdl, DbgPrint, RtlAnsiCharToUnicodeChar, KeBugCheckEx
HAL.dll: KfLowerIrql, KeRaiseIrqlToDpcLevel
VT Community