Win32 Malware-gen impossible a supprimer
Fermé
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
-
13 avril 2010 à 15:39
michmar999 Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 21 juin 2015 - 18 avril 2010 à 18:01
michmar999 Messages postés 78 Date d'inscription mardi 13 avril 2010 Statut Membre Dernière intervention 21 juin 2015 - 18 avril 2010 à 18:01
A voir également:
- Win32 Malware-gen impossible a supprimer
- Supprimer une page word - Guide
- Supprimer compte instagram - Guide
- Fichier impossible à supprimer - Guide
- Malware anti malware - Télécharger - Antivirus & Antimalwares
- Supprimer malware - Guide
19 réponses
neo***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
13 avril 2010 à 15:48
13 avril 2010 à 15:48
salut
Pour analyser ton pc :
* Télécharge ZHPDiag
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site : http://www.cijoint.fr , puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
poste aussi ce que MBAM a trouvé stp (le rapport est dans l'onglet rapports/logs)
Pour analyser ton pc :
* Télécharge ZHPDiag
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site : http://www.cijoint.fr , puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
poste aussi ce que MBAM a trouvé stp (le rapport est dans l'onglet rapports/logs)
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
13 avril 2010 à 16:00
13 avril 2010 à 16:00
Merci de ta reponse si rapide voici le lien pour le rapport de ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijifngpHn.txt
Et voici celui de MBAM:
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3983
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13
13/04/2010 12:41:32
mbam-log-2010-04-13 (12-41-32).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 120225
Temps écoulé: 33 minute(s), 32 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
http://www.cijoint.fr/cjlink.php?file=cj201004/cijifngpHn.txt
Et voici celui de MBAM:
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3983
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13
13/04/2010 12:41:32
mbam-log-2010-04-13 (12-41-32).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 120225
Temps écoulé: 33 minute(s), 32 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
neo***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
13 avril 2010 à 16:16
13 avril 2010 à 16:16
tu peux me donner l'emplacement de ton avertissement d'avast ?
ex : dans c:/ ...
ex : dans c:/ ...
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
13 avril 2010 à 16:25
13 avril 2010 à 16:25
C:\WINDOWS\TEMP\jowp.tmp\svchost.exe
C'est tls dans le dossier temp mais le sous dossier change tout le temps
C'est tls dans le dossier temp mais le sous dossier change tout le temps
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
13 avril 2010 à 16:27
13 avril 2010 à 16:27
Une bete question c'est mieux que je te reponde par ajouter un commentaire ou par j'ai une réponse?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
neo***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
13 avril 2010 à 16:32
13 avril 2010 à 16:32
ok je comprends :
/!\ Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur vous l'a recommandé. /!\
Ce logiciel est très puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :
Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans la fenêtre qui s'ouvre et valide.
Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus, spybot ...
(qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )
Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
(combofix te le proposera : accepte)
postes le rapport stp
(ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)
/!\ Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur vous l'a recommandé. /!\
Ce logiciel est très puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :
Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans la fenêtre qui s'ouvre et valide.
Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus, spybot ...
(qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )
Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
(combofix te le proposera : accepte)
postes le rapport stp
(ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
13 avril 2010 à 17:16
13 avril 2010 à 17:16
Voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijKckR0O9.txt
Merci
http://www.cijoint.fr/cjlink.php?file=cj201004/cijKckR0O9.txt
Merci
neo***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
13 avril 2010 à 18:48
13 avril 2010 à 18:48
tu as sans doute un rootkit , le problème de ce genre d'infections, c'est qu'ils sont cachés sur les rapports d'analyse..
on va passé un (voir 2) logiciels spécialisés contre ce type d'infection :
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Suis [https://www.androidworld.fr/ ce tutoriel pour héberger le rapport et poste le lien correspondant dans ta prochaine réponse.
on va passé un (voir 2) logiciels spécialisés contre ce type d'infection :
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Suis [https://www.androidworld.fr/ ce tutoriel pour héberger le rapport et poste le lien correspondant dans ta prochaine réponse.
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
13 avril 2010 à 19:16
13 avril 2010 à 19:16
voici:
https://www.androidworld.fr/
https://www.androidworld.fr/
neo***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
13 avril 2010 à 19:43
13 avril 2010 à 19:43
la c'est le rapport Combofix que tu m'as posté, il faudrait le rapport gmer stp ;)
(si tu as bien suivi ce que je t'ai dis, il est enregistré sur ton bureau)
(si tu as bien suivi ce que je t'ai dis, il est enregistré sur ton bureau)
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
13 avril 2010 à 19:58
13 avril 2010 à 19:58
Aucun des deux site ne prenne l'extension de ce fichier en charge donc je te le copie:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-13 19:17:40
Windows 5.1.2600 Service Pack 2
Running: mn57lq4e.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fwtiqkoc.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF16596B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF1659574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF1659A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF165914C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF165964E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF165908C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF16590F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF165976E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF165972E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF16598AE]
---- Kernel code sections - GMER 1.0.15 ----
? Combo-Fix.sys Le fichier spécifié est introuvable. !
.rsrc C:\WINDOWS\system32\drivers\sisperf.sys entry point in ".rsrc" section [0xF7C44F94]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6AE0360, 0x1DEE5D, 0xE8000020]
? C:\ComboFix\catchme.sys Le chemin d'accès spécifié est introuvable. !
? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Le fichier spécifié est introuvable. !
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[716] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 008F000A
.text C:\WINDOWS\System32\svchost.exe[716] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0090000A
.text C:\WINDOWS\System32\svchost.exe[716] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 008E000C
.text C:\WINDOWS\System32\svchost.exe[716] USER32.dll!GetCursorPos 7E39BD5E 5 Bytes JMP 00EB000A
.text C:\WINDOWS\System32\svchost.exe[716] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 00EA000A
.text C:\WINDOWS\explorer.exe[2544] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 00B5000A
.text C:\WINDOWS\explorer.exe[2544] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 00BB000A
.text C:\WINDOWS\explorer.exe[2544] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 00B4000C
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[464] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00390002
IAT C:\WINDOWS\system32\services.exe[464] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00390000
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device -> \Driver\atapi \Device\Harddisk0\DR0 866E5AC8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION B8E4E93DD012AD77C8FD82F22F09E4146C61C852FD2C225036155A5DB919EBF134444451F136426A4D9C58B2B77DB77F31030BA38E1A9B51539AEC8D795235297F98A81809CA0E1971E714750A8C4C6D081E587636611DED03401C737D072F6CD0D75007DAA23CA66A547A963D1428F54A4499A97C90A252DED41A115E0FEC1DA3AD5863B0819AC8390AAFC06BE76F4417B9206E6BA74D3DC75C01BF3838A931B979424A55A499CA1DE6BE75304F6F184FF81ECB92995F855F0BCCA8A9C4BF3096CFF22C1BB6500A1A7A1689FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6A0AC4980AC7933A2D97226D213B5555D575E7D6A3B9808860A6242FADD05F791AA3A15E1B0F93E8F1561C5E2737B9E8D5A738D22B74BE66539545F6C2F1A30505CF90A4D56922F1461C7A3C45E81C5B23BF4CC02FC8370B4DB0EC335F7CC7DFEAF7BBF6810F793B66E9A25F3B0E80B3CB26A0678763F99AFE944EEF1055CC7850D2C8C51296F37AF312298ADCF9FC05462121904C5B5D98F514F7881D3674AD0CB9DDAE71CA4BC3E8E48D9F5D3F90D285ED17A68C184F914732D080A987616533C06A9D21BA59623631CDD908BAEE86C2CB0B22CF32C988325FCDAF23C718DFE9FBE8AFA896490A4FCD02C8978D9A257C9DA5E1B1C8FAAA130844
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\sisperf.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-13 19:17:40
Windows 5.1.2600 Service Pack 2
Running: mn57lq4e.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fwtiqkoc.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF16596B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF1659574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF1659A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF165914C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF165964E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF165908C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF16590F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF165976E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF165972E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF16598AE]
---- Kernel code sections - GMER 1.0.15 ----
? Combo-Fix.sys Le fichier spécifié est introuvable. !
.rsrc C:\WINDOWS\system32\drivers\sisperf.sys entry point in ".rsrc" section [0xF7C44F94]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6AE0360, 0x1DEE5D, 0xE8000020]
? C:\ComboFix\catchme.sys Le chemin d'accès spécifié est introuvable. !
? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Le fichier spécifié est introuvable. !
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[716] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 008F000A
.text C:\WINDOWS\System32\svchost.exe[716] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0090000A
.text C:\WINDOWS\System32\svchost.exe[716] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 008E000C
.text C:\WINDOWS\System32\svchost.exe[716] USER32.dll!GetCursorPos 7E39BD5E 5 Bytes JMP 00EB000A
.text C:\WINDOWS\System32\svchost.exe[716] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 00EA000A
.text C:\WINDOWS\explorer.exe[2544] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 00B5000A
.text C:\WINDOWS\explorer.exe[2544] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 00BB000A
.text C:\WINDOWS\explorer.exe[2544] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 00B4000C
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[464] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00390002
IAT C:\WINDOWS\system32\services.exe[464] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00390000
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device -> \Driver\atapi \Device\Harddisk0\DR0 866E5AC8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\sisperf.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
neo***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
14 avril 2010 à 10:19
14 avril 2010 à 10:19
ton rapport montre bien que des fichiers systemes ont été modifiés, il faut le rapport complet pour pouvoir te donner la suite !
ton rapport doit etre enregistré sur ton bureau en fichier texte (.txt) , je ne vois pas ce qui t'empeche de l'heberger !
ton rapport doit etre enregistré sur ton bureau en fichier texte (.txt) , je ne vois pas ce qui t'empeche de l'heberger !
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
14 avril 2010 à 16:58
14 avril 2010 à 16:58
Bonjour,
Desole de repondre que maintenant mais je travallais.
Je ne sais pas héberger le rapport car c'est un fichier log et il ne prend pas ce format la.
Donc je te poste le rapport ici/
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-14 16:57:18
Windows 5.1.2600 Service Pack 2
Running: mn57lq4e.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fwtiqkoc.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF14896B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF1489574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF1489A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF148914C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF148964E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF148908C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF14890F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF148976E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF148972E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF14898AE]
---- Kernel code sections - GMER 1.0.15 ----
.rsrc C:\WINDOWS\system32\drivers\sisperf.sys entry point in ".rsrc" section [0xF7C44F94]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6AEA360, 0x1DEE5D, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[716] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 008F000A
.text C:\WINDOWS\System32\svchost.exe[716] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0090000A
.text C:\WINDOWS\System32\svchost.exe[716] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 008E000C
.text C:\WINDOWS\System32\svchost.exe[716] USER32.dll!GetCursorPos 7E39BD5E 5 Bytes JMP 00EC000A
.text C:\WINDOWS\System32\svchost.exe[716] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 00EB000A
.text C:\WINDOWS\Explorer.exe[1056] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 00B5000A
.text C:\WINDOWS\Explorer.exe[1056] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 00BB000A
.text C:\WINDOWS\Explorer.exe[1056] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 00B4000C
.text C:\Program Files\Mozilla Firefox\firefox.exe[4084] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 011B000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[4084] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 011C000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[4084] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 011A000C
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[452] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00390002
IAT C:\WINDOWS\system32\services.exe[452] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00390000
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device -> \Driver\atapi \Device\Harddisk0\DR0 866FAAC8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\sisperf.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
Desole de repondre que maintenant mais je travallais.
Je ne sais pas héberger le rapport car c'est un fichier log et il ne prend pas ce format la.
Donc je te poste le rapport ici/
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-14 16:57:18
Windows 5.1.2600 Service Pack 2
Running: mn57lq4e.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fwtiqkoc.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF14896B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF1489574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF1489A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF148914C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF148964E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF148908C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF14890F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF148976E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF148972E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF14898AE]
---- Kernel code sections - GMER 1.0.15 ----
.rsrc C:\WINDOWS\system32\drivers\sisperf.sys entry point in ".rsrc" section [0xF7C44F94]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6AEA360, 0x1DEE5D, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[716] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 008F000A
.text C:\WINDOWS\System32\svchost.exe[716] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0090000A
.text C:\WINDOWS\System32\svchost.exe[716] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 008E000C
.text C:\WINDOWS\System32\svchost.exe[716] USER32.dll!GetCursorPos 7E39BD5E 5 Bytes JMP 00EC000A
.text C:\WINDOWS\System32\svchost.exe[716] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 00EB000A
.text C:\WINDOWS\Explorer.exe[1056] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 00B5000A
.text C:\WINDOWS\Explorer.exe[1056] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 00BB000A
.text C:\WINDOWS\Explorer.exe[1056] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 00B4000C
.text C:\Program Files\Mozilla Firefox\firefox.exe[4084] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 011B000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[4084] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 011C000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[4084] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 011A000C
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[452] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00390002
IAT C:\WINDOWS\system32\services.exe[452] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00390000
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
Device -> \Driver\atapi \Device\Harddisk0\DR0 866FAAC8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\sisperf.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
neo***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
Modifié par neo*** le 14/04/2010 à 18:14
Modifié par neo*** le 14/04/2010 à 18:14
On n'est pas préssé, le plus important , c'est de remettre ton pc ok ;)
* Télécharge Load_tdsskiller (de Loup Blanc) sur ton Bureau
* Lance load_tdsskiller
(si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus ? Exécuter en temps qu'administrateur)
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
On réfléchit et on clique, PAS L' INVERSE, sinon => CCM. Lorsque vous vous faites aider,
MERCI de rester jusqu'au bout, ce n'est pas parce que ca va mieux, que votre pc est clean !!
* Télécharge Load_tdsskiller (de Loup Blanc) sur ton Bureau
* Lance load_tdsskiller
(si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus ? Exécuter en temps qu'administrateur)
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
On réfléchit et on clique, PAS L' INVERSE, sinon => CCM. Lorsque vous vous faites aider,
MERCI de rester jusqu'au bout, ce n'est pas parce que ca va mieux, que votre pc est clean !!
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
14 avril 2010 à 19:21
14 avril 2010 à 19:21
J'ai bien suivi tout ce que tu m'as dit mais j'ai comme rapport une page vierge.
Je te reponds demain si tu as une solution car je rentre que demain
Merci a toi
Je te reponds demain si tu as une solution car je rentre que demain
Merci a toi
neo***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
15 avril 2010 à 13:09
15 avril 2010 à 13:09
essaie d'aller le chercher ici : C:\tdsskiller\report.txt
(ou de faire une recherche en faisant demartrer, rechercher ...)
(ou de faire une recherche en faisant demartrer, rechercher ...)
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
15 avril 2010 à 16:49
15 avril 2010 à 16:49
Bonjour,
Voila je l'ai trouvé:
19:26:25:046 1912 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
19:26:25:046 1912 ================================================================================
19:26:25:046 1912 SystemInfo:
19:26:25:046 1912 OS Version: 5.1.2600 ServicePack: 2.0
19:26:25:046 1912 Product type: Workstation
19:26:25:046 1912 ComputerName: WINDOWS-73D9F0E
19:26:25:046 1912 UserName: Administrateur
19:26:25:046 1912 Windows directory: C:\WINDOWS
19:26:25:046 1912 Processor architecture: Intel x86
19:26:25:046 1912 Number of processors: 1
19:26:25:046 1912 Page size: 0x1000
19:26:25:046 1912 Boot type: Normal boot
19:26:25:046 1912 ================================================================================
19:26:25:046 1912 UnloadDriverW: NtUnloadDriver error 1
19:26:25:046 1912 ForceUnloadDriverW: UnloadDriverW(klmd21) error 1
19:26:25:046 1912 LoadDriverW: Driver already loaded
19:26:25:046 1912 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
19:26:25:046 1912 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
19:26:25:046 1912 wfopen_ex: Trying to KLMD file open
19:26:25:046 1912 wfopen_ex: File opened ok (Flags 2)
19:26:25:046 1912 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
19:26:25:046 1912 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
19:26:25:046 1912 wfopen_ex: Trying to KLMD file open
19:26:25:046 1912 wfopen_ex: File opened ok (Flags 2)
19:26:25:046 1912 Initialize success
19:26:25:046 1912
19:26:25:046 1912 Scanning Services ...
19:26:25:093 1912 Raw services enum returned 315 services
19:26:25:093 1912
19:26:25:093 1912 Scanning Kernel memory ...
19:26:25:093 1912 Devices to scan: 3
19:26:25:093 1912
19:26:25:093 1912 Driver Name: Disk
19:26:25:093 1912 IRP_MJ_CREATE : F7875C30
19:26:25:093 1912 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
19:26:25:093 1912 IRP_MJ_CLOSE : F7875C30
19:26:25:093 1912 IRP_MJ_READ : F786FD9B
19:26:25:093 1912 IRP_MJ_WRITE : F786FD9B
19:26:25:093 1912 IRP_MJ_QUERY_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_QUERY_EA : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_EA : 804FA88E
19:26:25:109 1912 IRP_MJ_FLUSH_BUFFERS : F7870366
19:26:25:109 1912 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
19:26:25:109 1912 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
19:26:25:109 1912 IRP_MJ_DEVICE_CONTROL : F787044D
19:26:25:109 1912 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7873FC3
19:26:25:109 1912 IRP_MJ_SHUTDOWN : F7870366
19:26:25:109 1912 IRP_MJ_LOCK_CONTROL : 804FA88E
19:26:25:109 1912 IRP_MJ_CLEANUP : 804FA88E
19:26:25:109 1912 IRP_MJ_CREATE_MAILSLOT : 804FA88E
19:26:25:109 1912 IRP_MJ_QUERY_SECURITY : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_SECURITY : 804FA88E
19:26:25:109 1912 IRP_MJ_POWER : F7871EF3
19:26:25:109 1912 IRP_MJ_SYSTEM_CONTROL : F7876A24
19:26:25:109 1912 IRP_MJ_DEVICE_CHANGE : 804FA88E
19:26:25:109 1912 IRP_MJ_QUERY_QUOTA : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_QUOTA : 804FA88E
19:26:25:109 1912 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
19:26:25:109 1912
19:26:25:109 1912 Driver Name: Disk
19:26:25:109 1912 IRP_MJ_CREATE : F7875C30
19:26:25:109 1912 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
19:26:25:109 1912 IRP_MJ_CLOSE : F7875C30
19:26:25:109 1912 IRP_MJ_READ : F786FD9B
19:26:25:109 1912 IRP_MJ_WRITE : F786FD9B
19:26:25:109 1912 IRP_MJ_QUERY_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_QUERY_EA : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_EA : 804FA88E
19:26:25:109 1912 IRP_MJ_FLUSH_BUFFERS : F7870366
19:26:25:109 1912 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
19:26:25:109 1912 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
19:26:25:109 1912 IRP_MJ_DEVICE_CONTROL : F787044D
19:26:25:109 1912 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7873FC3
19:26:25:109 1912 IRP_MJ_SHUTDOWN : F7870366
19:26:25:109 1912 IRP_MJ_LOCK_CONTROL : 804FA88E
19:26:25:109 1912 IRP_MJ_CLEANUP : 804FA88E
19:26:25:109 1912 IRP_MJ_CREATE_MAILSLOT : 804FA88E
19:26:25:109 1912 IRP_MJ_QUERY_SECURITY : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_SECURITY : 804FA88E
19:26:25:109 1912 IRP_MJ_POWER : F7871EF3
19:26:25:109 1912 IRP_MJ_SYSTEM_CONTROL : F7876A24
19:26:25:109 1912 IRP_MJ_DEVICE_CHANGE : 804FA88E
19:26:25:109 1912 IRP_MJ_QUERY_QUOTA : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_QUOTA : 804FA88E
19:26:25:109 1912 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
19:26:25:109 1912
19:26:25:109 1912 Driver Name: atapi
19:26:25:109 1912 IRP_MJ_CREATE : 866FAAC8
19:26:25:109 1912 IRP_MJ_CREATE_NAMED_PIPE : 866FAAC8
19:26:25:109 1912 IRP_MJ_CLOSE : 866FAAC8
19:26:25:109 1912 IRP_MJ_READ : 866FAAC8
19:26:25:109 1912 IRP_MJ_WRITE : 866FAAC8
19:26:25:109 1912 IRP_MJ_QUERY_INFORMATION : 866FAAC8
19:26:25:109 1912 IRP_MJ_SET_INFORMATION : 866FAAC8
19:26:25:109 1912 IRP_MJ_QUERY_EA : 866FAAC8
19:26:25:109 1912 IRP_MJ_SET_EA : 866FAAC8
19:26:25:109 1912 IRP_MJ_FLUSH_BUFFERS : 866FAAC8
19:26:25:109 1912 IRP_MJ_QUERY_VOLUME_INFORMATION : 866FAAC8
19:26:25:109 1912 IRP_MJ_SET_VOLUME_INFORMATION : 866FAAC8
19:26:25:109 1912 IRP_MJ_DIRECTORY_CONTROL : 866FAAC8
19:26:25:109 1912 IRP_MJ_FILE_SYSTEM_CONTROL : 866FAAC8
19:26:25:109 1912 IRP_MJ_DEVICE_CONTROL : 866FAAC8
19:26:25:109 1912 IRP_MJ_INTERNAL_DEVICE_CONTROL : 866FAAC8
19:26:25:109 1912 IRP_MJ_SHUTDOWN : 866FAAC8
19:26:25:109 1912 IRP_MJ_LOCK_CONTROL : 866FAAC8
19:26:25:109 1912 IRP_MJ_CLEANUP : 866FAAC8
19:26:25:109 1912 IRP_MJ_CREATE_MAILSLOT : 866FAAC8
19:26:25:109 1912 IRP_MJ_QUERY_SECURITY : 866FAAC8
19:26:25:109 1912 IRP_MJ_SET_SECURITY : 866FAAC8
19:26:25:109 1912 IRP_MJ_POWER : 866FAAC8
19:26:25:109 1912 IRP_MJ_SYSTEM_CONTROL : 866FAAC8
19:26:25:109 1912 IRP_MJ_DEVICE_CHANGE : 866FAAC8
19:26:25:109 1912 IRP_MJ_QUERY_QUOTA : 866FAAC8
19:26:25:109 1912 IRP_MJ_SET_QUOTA : 866FAAC8
19:26:25:109 1912 Driver "atapi" infected by TDSS rootkit!
19:26:25:109 1912 C:\WINDOWS\system32\drivers\tsk46.tmp - Verdict: 3
19:26:25:109 1912
19:26:25:109 1912 Completed
19:26:25:109 1912
19:26:25:109 1912 Results:
19:26:25:109 1912 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
19:26:25:109 1912 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
19:26:25:109 1912 File objects infected / cured / cured on reboot: 0 / 0 / 0
19:26:25:109 1912
19:26:25:109 1912 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
19:26:25:109 1912 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
19:26:25:109 1912 UnloadDriverW: NtUnloadDriver error 1
19:26:25:109 1912 KLMD(ARK) unloaded successfully
Voila je l'ai trouvé:
19:26:25:046 1912 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
19:26:25:046 1912 ================================================================================
19:26:25:046 1912 SystemInfo:
19:26:25:046 1912 OS Version: 5.1.2600 ServicePack: 2.0
19:26:25:046 1912 Product type: Workstation
19:26:25:046 1912 ComputerName: WINDOWS-73D9F0E
19:26:25:046 1912 UserName: Administrateur
19:26:25:046 1912 Windows directory: C:\WINDOWS
19:26:25:046 1912 Processor architecture: Intel x86
19:26:25:046 1912 Number of processors: 1
19:26:25:046 1912 Page size: 0x1000
19:26:25:046 1912 Boot type: Normal boot
19:26:25:046 1912 ================================================================================
19:26:25:046 1912 UnloadDriverW: NtUnloadDriver error 1
19:26:25:046 1912 ForceUnloadDriverW: UnloadDriverW(klmd21) error 1
19:26:25:046 1912 LoadDriverW: Driver already loaded
19:26:25:046 1912 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
19:26:25:046 1912 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
19:26:25:046 1912 wfopen_ex: Trying to KLMD file open
19:26:25:046 1912 wfopen_ex: File opened ok (Flags 2)
19:26:25:046 1912 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
19:26:25:046 1912 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
19:26:25:046 1912 wfopen_ex: Trying to KLMD file open
19:26:25:046 1912 wfopen_ex: File opened ok (Flags 2)
19:26:25:046 1912 Initialize success
19:26:25:046 1912
19:26:25:046 1912 Scanning Services ...
19:26:25:093 1912 Raw services enum returned 315 services
19:26:25:093 1912
19:26:25:093 1912 Scanning Kernel memory ...
19:26:25:093 1912 Devices to scan: 3
19:26:25:093 1912
19:26:25:093 1912 Driver Name: Disk
19:26:25:093 1912 IRP_MJ_CREATE : F7875C30
19:26:25:093 1912 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
19:26:25:093 1912 IRP_MJ_CLOSE : F7875C30
19:26:25:093 1912 IRP_MJ_READ : F786FD9B
19:26:25:093 1912 IRP_MJ_WRITE : F786FD9B
19:26:25:093 1912 IRP_MJ_QUERY_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_QUERY_EA : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_EA : 804FA88E
19:26:25:109 1912 IRP_MJ_FLUSH_BUFFERS : F7870366
19:26:25:109 1912 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
19:26:25:109 1912 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
19:26:25:109 1912 IRP_MJ_DEVICE_CONTROL : F787044D
19:26:25:109 1912 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7873FC3
19:26:25:109 1912 IRP_MJ_SHUTDOWN : F7870366
19:26:25:109 1912 IRP_MJ_LOCK_CONTROL : 804FA88E
19:26:25:109 1912 IRP_MJ_CLEANUP : 804FA88E
19:26:25:109 1912 IRP_MJ_CREATE_MAILSLOT : 804FA88E
19:26:25:109 1912 IRP_MJ_QUERY_SECURITY : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_SECURITY : 804FA88E
19:26:25:109 1912 IRP_MJ_POWER : F7871EF3
19:26:25:109 1912 IRP_MJ_SYSTEM_CONTROL : F7876A24
19:26:25:109 1912 IRP_MJ_DEVICE_CHANGE : 804FA88E
19:26:25:109 1912 IRP_MJ_QUERY_QUOTA : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_QUOTA : 804FA88E
19:26:25:109 1912 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
19:26:25:109 1912
19:26:25:109 1912 Driver Name: Disk
19:26:25:109 1912 IRP_MJ_CREATE : F7875C30
19:26:25:109 1912 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
19:26:25:109 1912 IRP_MJ_CLOSE : F7875C30
19:26:25:109 1912 IRP_MJ_READ : F786FD9B
19:26:25:109 1912 IRP_MJ_WRITE : F786FD9B
19:26:25:109 1912 IRP_MJ_QUERY_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_QUERY_EA : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_EA : 804FA88E
19:26:25:109 1912 IRP_MJ_FLUSH_BUFFERS : F7870366
19:26:25:109 1912 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
19:26:25:109 1912 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
19:26:25:109 1912 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
19:26:25:109 1912 IRP_MJ_DEVICE_CONTROL : F787044D
19:26:25:109 1912 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7873FC3
19:26:25:109 1912 IRP_MJ_SHUTDOWN : F7870366
19:26:25:109 1912 IRP_MJ_LOCK_CONTROL : 804FA88E
19:26:25:109 1912 IRP_MJ_CLEANUP : 804FA88E
19:26:25:109 1912 IRP_MJ_CREATE_MAILSLOT : 804FA88E
19:26:25:109 1912 IRP_MJ_QUERY_SECURITY : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_SECURITY : 804FA88E
19:26:25:109 1912 IRP_MJ_POWER : F7871EF3
19:26:25:109 1912 IRP_MJ_SYSTEM_CONTROL : F7876A24
19:26:25:109 1912 IRP_MJ_DEVICE_CHANGE : 804FA88E
19:26:25:109 1912 IRP_MJ_QUERY_QUOTA : 804FA88E
19:26:25:109 1912 IRP_MJ_SET_QUOTA : 804FA88E
19:26:25:109 1912 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
19:26:25:109 1912
19:26:25:109 1912 Driver Name: atapi
19:26:25:109 1912 IRP_MJ_CREATE : 866FAAC8
19:26:25:109 1912 IRP_MJ_CREATE_NAMED_PIPE : 866FAAC8
19:26:25:109 1912 IRP_MJ_CLOSE : 866FAAC8
19:26:25:109 1912 IRP_MJ_READ : 866FAAC8
19:26:25:109 1912 IRP_MJ_WRITE : 866FAAC8
19:26:25:109 1912 IRP_MJ_QUERY_INFORMATION : 866FAAC8
19:26:25:109 1912 IRP_MJ_SET_INFORMATION : 866FAAC8
19:26:25:109 1912 IRP_MJ_QUERY_EA : 866FAAC8
19:26:25:109 1912 IRP_MJ_SET_EA : 866FAAC8
19:26:25:109 1912 IRP_MJ_FLUSH_BUFFERS : 866FAAC8
19:26:25:109 1912 IRP_MJ_QUERY_VOLUME_INFORMATION : 866FAAC8
19:26:25:109 1912 IRP_MJ_SET_VOLUME_INFORMATION : 866FAAC8
19:26:25:109 1912 IRP_MJ_DIRECTORY_CONTROL : 866FAAC8
19:26:25:109 1912 IRP_MJ_FILE_SYSTEM_CONTROL : 866FAAC8
19:26:25:109 1912 IRP_MJ_DEVICE_CONTROL : 866FAAC8
19:26:25:109 1912 IRP_MJ_INTERNAL_DEVICE_CONTROL : 866FAAC8
19:26:25:109 1912 IRP_MJ_SHUTDOWN : 866FAAC8
19:26:25:109 1912 IRP_MJ_LOCK_CONTROL : 866FAAC8
19:26:25:109 1912 IRP_MJ_CLEANUP : 866FAAC8
19:26:25:109 1912 IRP_MJ_CREATE_MAILSLOT : 866FAAC8
19:26:25:109 1912 IRP_MJ_QUERY_SECURITY : 866FAAC8
19:26:25:109 1912 IRP_MJ_SET_SECURITY : 866FAAC8
19:26:25:109 1912 IRP_MJ_POWER : 866FAAC8
19:26:25:109 1912 IRP_MJ_SYSTEM_CONTROL : 866FAAC8
19:26:25:109 1912 IRP_MJ_DEVICE_CHANGE : 866FAAC8
19:26:25:109 1912 IRP_MJ_QUERY_QUOTA : 866FAAC8
19:26:25:109 1912 IRP_MJ_SET_QUOTA : 866FAAC8
19:26:25:109 1912 Driver "atapi" infected by TDSS rootkit!
19:26:25:109 1912 C:\WINDOWS\system32\drivers\tsk46.tmp - Verdict: 3
19:26:25:109 1912
19:26:25:109 1912 Completed
19:26:25:109 1912
19:26:25:109 1912 Results:
19:26:25:109 1912 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
19:26:25:109 1912 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
19:26:25:109 1912 File objects infected / cured / cured on reboot: 0 / 0 / 0
19:26:25:109 1912
19:26:25:109 1912 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
19:26:25:109 1912 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
19:26:25:109 1912 UnloadDriverW: NtUnloadDriver error 1
19:26:25:109 1912 KLMD(ARK) unloaded successfully
neo***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
15 avril 2010 à 18:01
15 avril 2010 à 18:01
je comptais un peu sur lui pour réparer les 2 fichiers mais il ne l'a pas fait, on va en essayer un autre (un dernier) si ca ne fonctionne pas, on le fera manuellement :
* Télécharge TDSS Remover sur ton bureau
http://www.esagelab.com/files/tdss_remover_latest.rar
* Crée un nouveau dossier sur le bureau puis décompresse l'archive dedans.
* Lance le programme en cliquant sur "Remover.exe", l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
Coche les et clique sur "Delete/Repair Selected".
* Un message ensuite apparait demandant de redémarrer le pc (reboot) pour finir le nettoyage, appuyez sur "YES".
* Télécharge TDSS Remover sur ton bureau
http://www.esagelab.com/files/tdss_remover_latest.rar
* Crée un nouveau dossier sur le bureau puis décompresse l'archive dedans.
* Lance le programme en cliquant sur "Remover.exe", l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
Coche les et clique sur "Delete/Repair Selected".
* Un message ensuite apparait demandant de redémarrer le pc (reboot) pour finir le nettoyage, appuyez sur "YES".
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
15 avril 2010 à 18:32
15 avril 2010 à 18:32
Voila c'est fait.
J'ai tout effacé il y en avait 9
Et je viend de rescanner et apparement il n'y a plus rien.
C'est bon signe?
J'ai tout effacé il y en avait 9
Et je viend de rescanner et apparement il n'y a plus rien.
C'est bon signe?
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
15 avril 2010 à 18:41
15 avril 2010 à 18:41
J'ai relancer tdsskiller et apparement il y a tjs 1 infection en memoire:
18:36:59:468 1908 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
18:36:59:468 1908 ================================================================================
18:36:59:468 1908 SystemInfo:
18:36:59:468 1908 OS Version: 5.1.2600 ServicePack: 2.0
18:36:59:468 1908 Product type: Workstation
18:36:59:468 1908 ComputerName: WINDOWS-73D9F0E
18:36:59:468 1908 UserName: Administrateur
18:36:59:468 1908 Windows directory: C:\WINDOWS
18:36:59:468 1908 Processor architecture: Intel x86
18:36:59:468 1908 Number of processors: 1
18:36:59:468 1908 Page size: 0x1000
18:36:59:468 1908 Boot type: Normal boot
18:36:59:468 1908 ================================================================================
18:36:59:468 1908 UnloadDriverW: NtUnloadDriver error 2
18:36:59:468 1908 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
18:36:59:546 1908 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
18:36:59:546 1908 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
18:36:59:546 1908 wfopen_ex: Trying to KLMD file open
18:36:59:546 1908 wfopen_ex: File opened ok (Flags 2)
18:36:59:546 1908 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
18:36:59:546 1908 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
18:36:59:546 1908 wfopen_ex: Trying to KLMD file open
18:36:59:546 1908 wfopen_ex: File opened ok (Flags 2)
18:36:59:546 1908 Initialize success
18:36:59:546 1908
18:36:59:546 1908 Scanning Services ...
18:36:59:625 1908 Raw services enum returned 315 services
18:36:59:625 1908
18:36:59:625 1908 Scanning Kernel memory ...
18:36:59:625 1908 Devices to scan: 3
18:36:59:625 1908
18:36:59:625 1908 Driver Name: Disk
18:36:59:625 1908 IRP_MJ_CREATE : F7885C30
18:36:59:625 1908 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
18:36:59:625 1908 IRP_MJ_CLOSE : F7885C30
18:36:59:625 1908 IRP_MJ_READ : F787FD9B
18:36:59:625 1908 IRP_MJ_WRITE : F787FD9B
18:36:59:625 1908 IRP_MJ_QUERY_INFORMATION : 804FA88E
18:36:59:625 1908 IRP_MJ_SET_INFORMATION : 804FA88E
18:36:59:625 1908 IRP_MJ_QUERY_EA : 804FA88E
18:36:59:625 1908 IRP_MJ_SET_EA : 804FA88E
18:36:59:625 1908 IRP_MJ_FLUSH_BUFFERS : F7880366
18:36:59:625 1908 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
18:36:59:625 1908 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
18:36:59:625 1908 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
18:36:59:625 1908 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
18:36:59:625 1908 IRP_MJ_DEVICE_CONTROL : F788044D
18:36:59:625 1908 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7883FC3
18:36:59:625 1908 IRP_MJ_SHUTDOWN : F7880366
18:36:59:625 1908 IRP_MJ_LOCK_CONTROL : 804FA88E
18:36:59:625 1908 IRP_MJ_CLEANUP : 804FA88E
18:36:59:625 1908 IRP_MJ_CREATE_MAILSLOT : 804FA88E
18:36:59:625 1908 IRP_MJ_QUERY_SECURITY : 804FA88E
18:36:59:625 1908 IRP_MJ_SET_SECURITY : 804FA88E
18:36:59:625 1908 IRP_MJ_POWER : F7881EF3
18:36:59:625 1908 IRP_MJ_SYSTEM_CONTROL : F7886A24
18:36:59:625 1908 IRP_MJ_DEVICE_CHANGE : 804FA88E
18:36:59:625 1908 IRP_MJ_QUERY_QUOTA : 804FA88E
18:36:59:625 1908 IRP_MJ_SET_QUOTA : 804FA88E
18:36:59:656 1908 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
18:36:59:656 1908
18:36:59:656 1908 Driver Name: Disk
18:36:59:656 1908 IRP_MJ_CREATE : F7885C30
18:36:59:656 1908 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
18:36:59:656 1908 IRP_MJ_CLOSE : F7885C30
18:36:59:656 1908 IRP_MJ_READ : F787FD9B
18:36:59:656 1908 IRP_MJ_WRITE : F787FD9B
18:36:59:656 1908 IRP_MJ_QUERY_INFORMATION : 804FA88E
18:36:59:656 1908 IRP_MJ_SET_INFORMATION : 804FA88E
18:36:59:656 1908 IRP_MJ_QUERY_EA : 804FA88E
18:36:59:656 1908 IRP_MJ_SET_EA : 804FA88E
18:36:59:656 1908 IRP_MJ_FLUSH_BUFFERS : F7880366
18:36:59:656 1908 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
18:36:59:656 1908 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
18:36:59:656 1908 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
18:36:59:656 1908 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
18:36:59:656 1908 IRP_MJ_DEVICE_CONTROL : F788044D
18:36:59:656 1908 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7883FC3
18:36:59:656 1908 IRP_MJ_SHUTDOWN : F7880366
18:36:59:656 1908 IRP_MJ_LOCK_CONTROL : 804FA88E
18:36:59:656 1908 IRP_MJ_CLEANUP : 804FA88E
18:36:59:656 1908 IRP_MJ_CREATE_MAILSLOT : 804FA88E
18:36:59:656 1908 IRP_MJ_QUERY_SECURITY : 804FA88E
18:36:59:656 1908 IRP_MJ_SET_SECURITY : 804FA88E
18:36:59:656 1908 IRP_MJ_POWER : F7881EF3
18:36:59:656 1908 IRP_MJ_SYSTEM_CONTROL : F7886A24
18:36:59:656 1908 IRP_MJ_DEVICE_CHANGE : 804FA88E
18:36:59:656 1908 IRP_MJ_QUERY_QUOTA : 804FA88E
18:36:59:656 1908 IRP_MJ_SET_QUOTA : 804FA88E
18:36:59:656 1908 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
18:36:59:656 1908
18:36:59:656 1908 Driver Name: atapi
18:36:59:656 1908 IRP_MJ_CREATE : 866ECAC8
18:36:59:656 1908 IRP_MJ_CREATE_NAMED_PIPE : 866ECAC8
18:36:59:656 1908 IRP_MJ_CLOSE : 866ECAC8
18:36:59:656 1908 IRP_MJ_READ : 866ECAC8
18:36:59:656 1908 IRP_MJ_WRITE : 866ECAC8
18:36:59:656 1908 IRP_MJ_QUERY_INFORMATION : 866ECAC8
18:36:59:656 1908 IRP_MJ_SET_INFORMATION : 866ECAC8
18:36:59:656 1908 IRP_MJ_QUERY_EA : 866ECAC8
18:36:59:656 1908 IRP_MJ_SET_EA : 866ECAC8
18:36:59:656 1908 IRP_MJ_FLUSH_BUFFERS : 866ECAC8
18:36:59:656 1908 IRP_MJ_QUERY_VOLUME_INFORMATION : 866ECAC8
18:36:59:656 1908 IRP_MJ_SET_VOLUME_INFORMATION : 866ECAC8
18:36:59:656 1908 IRP_MJ_DIRECTORY_CONTROL : 866ECAC8
18:36:59:656 1908 IRP_MJ_FILE_SYSTEM_CONTROL : 866ECAC8
18:36:59:656 1908 IRP_MJ_DEVICE_CONTROL : 866ECAC8
18:36:59:656 1908 IRP_MJ_INTERNAL_DEVICE_CONTROL : 866ECAC8
18:36:59:656 1908 IRP_MJ_SHUTDOWN : 866ECAC8
18:36:59:656 1908 IRP_MJ_LOCK_CONTROL : 866ECAC8
18:36:59:656 1908 IRP_MJ_CLEANUP : 866ECAC8
18:36:59:656 1908 IRP_MJ_CREATE_MAILSLOT : 866ECAC8
18:36:59:656 1908 IRP_MJ_QUERY_SECURITY : 866ECAC8
18:36:59:656 1908 IRP_MJ_SET_SECURITY : 866ECAC8
18:36:59:656 1908 IRP_MJ_POWER : 866ECAC8
18:36:59:656 1908 IRP_MJ_SYSTEM_CONTROL : 866ECAC8
18:36:59:656 1908 IRP_MJ_DEVICE_CHANGE : 866ECAC8
18:36:59:656 1908 IRP_MJ_QUERY_QUOTA : 866ECAC8
18:36:59:656 1908 IRP_MJ_SET_QUOTA : 866ECAC8
18:36:59:656 1908 Driver "atapi" infected by TDSS rootkit!
18:36:59:656 1908 C:\WINDOWS\system32\drivers\atapi.sys - Verdict: 1
18:36:59:656 1908 File "C:\WINDOWS\system32\drivers\atapi.sys" infected by TDSS rootkit ... 18:36:59:656 1908 Processing driver file: C:\WINDOWS\system32\drivers\atapi.sys
18:36:59:656 1908 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\system32\DriverStore\FileRepository\*) error 3
18:36:59:781 1908 vfvi6
18:36:59:796 1908 !dsvbh1
18:37:00:656 1908 dsvbh2
18:37:00:656 1908 fdfb2
18:37:00:656 1908 Backup copy found, using it..
18:37:00:671 1908 will be cured on next reboot
18:37:00:671 1908 Reboot required for cure complete..
18:37:00:671 1908 Cure on reboot scheduled successfully
18:37:00:671 1908
18:37:00:671 1908 Completed
18:37:00:671 1908
18:37:00:671 1908 Results:
18:37:00:671 1908 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
18:37:00:671 1908 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
18:37:00:671 1908 File objects infected / cured / cured on reboot: 1 / 0 / 1
18:37:00:671 1908
18:37:00:671 1908 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
18:37:00:671 1908 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
18:37:00:671 1908 UnloadDriverW: NtUnloadDriver error 1
18:37:00:671 1908 KLMD(ARK) unloaded successfully
18:36:59:468 1908 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
18:36:59:468 1908 ================================================================================
18:36:59:468 1908 SystemInfo:
18:36:59:468 1908 OS Version: 5.1.2600 ServicePack: 2.0
18:36:59:468 1908 Product type: Workstation
18:36:59:468 1908 ComputerName: WINDOWS-73D9F0E
18:36:59:468 1908 UserName: Administrateur
18:36:59:468 1908 Windows directory: C:\WINDOWS
18:36:59:468 1908 Processor architecture: Intel x86
18:36:59:468 1908 Number of processors: 1
18:36:59:468 1908 Page size: 0x1000
18:36:59:468 1908 Boot type: Normal boot
18:36:59:468 1908 ================================================================================
18:36:59:468 1908 UnloadDriverW: NtUnloadDriver error 2
18:36:59:468 1908 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
18:36:59:546 1908 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
18:36:59:546 1908 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
18:36:59:546 1908 wfopen_ex: Trying to KLMD file open
18:36:59:546 1908 wfopen_ex: File opened ok (Flags 2)
18:36:59:546 1908 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
18:36:59:546 1908 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
18:36:59:546 1908 wfopen_ex: Trying to KLMD file open
18:36:59:546 1908 wfopen_ex: File opened ok (Flags 2)
18:36:59:546 1908 Initialize success
18:36:59:546 1908
18:36:59:546 1908 Scanning Services ...
18:36:59:625 1908 Raw services enum returned 315 services
18:36:59:625 1908
18:36:59:625 1908 Scanning Kernel memory ...
18:36:59:625 1908 Devices to scan: 3
18:36:59:625 1908
18:36:59:625 1908 Driver Name: Disk
18:36:59:625 1908 IRP_MJ_CREATE : F7885C30
18:36:59:625 1908 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
18:36:59:625 1908 IRP_MJ_CLOSE : F7885C30
18:36:59:625 1908 IRP_MJ_READ : F787FD9B
18:36:59:625 1908 IRP_MJ_WRITE : F787FD9B
18:36:59:625 1908 IRP_MJ_QUERY_INFORMATION : 804FA88E
18:36:59:625 1908 IRP_MJ_SET_INFORMATION : 804FA88E
18:36:59:625 1908 IRP_MJ_QUERY_EA : 804FA88E
18:36:59:625 1908 IRP_MJ_SET_EA : 804FA88E
18:36:59:625 1908 IRP_MJ_FLUSH_BUFFERS : F7880366
18:36:59:625 1908 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
18:36:59:625 1908 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
18:36:59:625 1908 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
18:36:59:625 1908 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
18:36:59:625 1908 IRP_MJ_DEVICE_CONTROL : F788044D
18:36:59:625 1908 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7883FC3
18:36:59:625 1908 IRP_MJ_SHUTDOWN : F7880366
18:36:59:625 1908 IRP_MJ_LOCK_CONTROL : 804FA88E
18:36:59:625 1908 IRP_MJ_CLEANUP : 804FA88E
18:36:59:625 1908 IRP_MJ_CREATE_MAILSLOT : 804FA88E
18:36:59:625 1908 IRP_MJ_QUERY_SECURITY : 804FA88E
18:36:59:625 1908 IRP_MJ_SET_SECURITY : 804FA88E
18:36:59:625 1908 IRP_MJ_POWER : F7881EF3
18:36:59:625 1908 IRP_MJ_SYSTEM_CONTROL : F7886A24
18:36:59:625 1908 IRP_MJ_DEVICE_CHANGE : 804FA88E
18:36:59:625 1908 IRP_MJ_QUERY_QUOTA : 804FA88E
18:36:59:625 1908 IRP_MJ_SET_QUOTA : 804FA88E
18:36:59:656 1908 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
18:36:59:656 1908
18:36:59:656 1908 Driver Name: Disk
18:36:59:656 1908 IRP_MJ_CREATE : F7885C30
18:36:59:656 1908 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
18:36:59:656 1908 IRP_MJ_CLOSE : F7885C30
18:36:59:656 1908 IRP_MJ_READ : F787FD9B
18:36:59:656 1908 IRP_MJ_WRITE : F787FD9B
18:36:59:656 1908 IRP_MJ_QUERY_INFORMATION : 804FA88E
18:36:59:656 1908 IRP_MJ_SET_INFORMATION : 804FA88E
18:36:59:656 1908 IRP_MJ_QUERY_EA : 804FA88E
18:36:59:656 1908 IRP_MJ_SET_EA : 804FA88E
18:36:59:656 1908 IRP_MJ_FLUSH_BUFFERS : F7880366
18:36:59:656 1908 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
18:36:59:656 1908 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
18:36:59:656 1908 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
18:36:59:656 1908 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
18:36:59:656 1908 IRP_MJ_DEVICE_CONTROL : F788044D
18:36:59:656 1908 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7883FC3
18:36:59:656 1908 IRP_MJ_SHUTDOWN : F7880366
18:36:59:656 1908 IRP_MJ_LOCK_CONTROL : 804FA88E
18:36:59:656 1908 IRP_MJ_CLEANUP : 804FA88E
18:36:59:656 1908 IRP_MJ_CREATE_MAILSLOT : 804FA88E
18:36:59:656 1908 IRP_MJ_QUERY_SECURITY : 804FA88E
18:36:59:656 1908 IRP_MJ_SET_SECURITY : 804FA88E
18:36:59:656 1908 IRP_MJ_POWER : F7881EF3
18:36:59:656 1908 IRP_MJ_SYSTEM_CONTROL : F7886A24
18:36:59:656 1908 IRP_MJ_DEVICE_CHANGE : 804FA88E
18:36:59:656 1908 IRP_MJ_QUERY_QUOTA : 804FA88E
18:36:59:656 1908 IRP_MJ_SET_QUOTA : 804FA88E
18:36:59:656 1908 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
18:36:59:656 1908
18:36:59:656 1908 Driver Name: atapi
18:36:59:656 1908 IRP_MJ_CREATE : 866ECAC8
18:36:59:656 1908 IRP_MJ_CREATE_NAMED_PIPE : 866ECAC8
18:36:59:656 1908 IRP_MJ_CLOSE : 866ECAC8
18:36:59:656 1908 IRP_MJ_READ : 866ECAC8
18:36:59:656 1908 IRP_MJ_WRITE : 866ECAC8
18:36:59:656 1908 IRP_MJ_QUERY_INFORMATION : 866ECAC8
18:36:59:656 1908 IRP_MJ_SET_INFORMATION : 866ECAC8
18:36:59:656 1908 IRP_MJ_QUERY_EA : 866ECAC8
18:36:59:656 1908 IRP_MJ_SET_EA : 866ECAC8
18:36:59:656 1908 IRP_MJ_FLUSH_BUFFERS : 866ECAC8
18:36:59:656 1908 IRP_MJ_QUERY_VOLUME_INFORMATION : 866ECAC8
18:36:59:656 1908 IRP_MJ_SET_VOLUME_INFORMATION : 866ECAC8
18:36:59:656 1908 IRP_MJ_DIRECTORY_CONTROL : 866ECAC8
18:36:59:656 1908 IRP_MJ_FILE_SYSTEM_CONTROL : 866ECAC8
18:36:59:656 1908 IRP_MJ_DEVICE_CONTROL : 866ECAC8
18:36:59:656 1908 IRP_MJ_INTERNAL_DEVICE_CONTROL : 866ECAC8
18:36:59:656 1908 IRP_MJ_SHUTDOWN : 866ECAC8
18:36:59:656 1908 IRP_MJ_LOCK_CONTROL : 866ECAC8
18:36:59:656 1908 IRP_MJ_CLEANUP : 866ECAC8
18:36:59:656 1908 IRP_MJ_CREATE_MAILSLOT : 866ECAC8
18:36:59:656 1908 IRP_MJ_QUERY_SECURITY : 866ECAC8
18:36:59:656 1908 IRP_MJ_SET_SECURITY : 866ECAC8
18:36:59:656 1908 IRP_MJ_POWER : 866ECAC8
18:36:59:656 1908 IRP_MJ_SYSTEM_CONTROL : 866ECAC8
18:36:59:656 1908 IRP_MJ_DEVICE_CHANGE : 866ECAC8
18:36:59:656 1908 IRP_MJ_QUERY_QUOTA : 866ECAC8
18:36:59:656 1908 IRP_MJ_SET_QUOTA : 866ECAC8
18:36:59:656 1908 Driver "atapi" infected by TDSS rootkit!
18:36:59:656 1908 C:\WINDOWS\system32\drivers\atapi.sys - Verdict: 1
18:36:59:656 1908 File "C:\WINDOWS\system32\drivers\atapi.sys" infected by TDSS rootkit ... 18:36:59:656 1908 Processing driver file: C:\WINDOWS\system32\drivers\atapi.sys
18:36:59:656 1908 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\system32\DriverStore\FileRepository\*) error 3
18:36:59:781 1908 vfvi6
18:36:59:796 1908 !dsvbh1
18:37:00:656 1908 dsvbh2
18:37:00:656 1908 fdfb2
18:37:00:656 1908 Backup copy found, using it..
18:37:00:671 1908 will be cured on next reboot
18:37:00:671 1908 Reboot required for cure complete..
18:37:00:671 1908 Cure on reboot scheduled successfully
18:37:00:671 1908
18:37:00:671 1908 Completed
18:37:00:671 1908
18:37:00:671 1908 Results:
18:37:00:671 1908 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
18:37:00:671 1908 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
18:37:00:671 1908 File objects infected / cured / cured on reboot: 1 / 0 / 1
18:37:00:671 1908
18:37:00:671 1908 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
18:37:00:671 1908 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
18:37:00:671 1908 UnloadDriverW: NtUnloadDriver error 1
18:37:00:671 1908 KLMD(ARK) unloaded successfully
neo***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
15 avril 2010 à 19:52
15 avril 2010 à 19:52
as tu bien redemarré entre les 2 ??
peux tu refaire un scan Gmer stp comme tu as fais ici
peux tu refaire un scan Gmer stp comme tu as fais ici
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
16 avril 2010 à 10:51
16 avril 2010 à 10:51
Oui j'ai bien redemarré entre les deux.
Voici le rapport:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-16 10:51:14
Windows 5.1.2600 Service Pack 2
Running: sj4ivlv9.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fwtiqkoc.sys
---- Kernel code sections - GMER 1.0.15 ----
.rsrc C:\WINDOWS\system32\drivers\sisperf.sys entry point in ".rsrc" section [0xF7C44F94]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6AE0360, 0x1DEE5D, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[720] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 008F000A
.text C:\WINDOWS\System32\svchost.exe[720] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0090000A
.text C:\WINDOWS\System32\svchost.exe[720] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 008E000C
.text C:\Program Files\Mozilla Firefox\firefox.exe[1072] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 011B000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[1072] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 011C000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[1072] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 011A000C
.text C:\WINDOWS\Explorer.exe[1188] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 00B5000A
.text C:\WINDOWS\Explorer.exe[1188] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 00BB000A
.text C:\WINDOWS\Explorer.exe[1188] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 00B4000C
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
Device -> \Driver\atapi \Device\Harddisk0\DR0 866ECAC8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\sisperf.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
Voici le rapport:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-16 10:51:14
Windows 5.1.2600 Service Pack 2
Running: sj4ivlv9.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fwtiqkoc.sys
---- Kernel code sections - GMER 1.0.15 ----
.rsrc C:\WINDOWS\system32\drivers\sisperf.sys entry point in ".rsrc" section [0xF7C44F94]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6AE0360, 0x1DEE5D, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[720] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 008F000A
.text C:\WINDOWS\System32\svchost.exe[720] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0090000A
.text C:\WINDOWS\System32\svchost.exe[720] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 008E000C
.text C:\Program Files\Mozilla Firefox\firefox.exe[1072] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 011B000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[1072] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 011C000A
.text C:\Program Files\Mozilla Firefox\firefox.exe[1072] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 011A000C
.text C:\WINDOWS\Explorer.exe[1188] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 00B5000A
.text C:\WINDOWS\Explorer.exe[1188] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 00BB000A
.text C:\WINDOWS\Explorer.exe[1188] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 00B4000C
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
Device -> \Driver\atapi \Device\Harddisk0\DR0 866ECAC8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\sisperf.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
neo***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
16 avril 2010 à 12:21
16 avril 2010 à 12:21
bon on va faire autrement :
* Télécharge SEAF (de C_XX) sur ton Bureau.
* Lance SEAF
* Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires".
* Tape (ou colle) :
atapi.sys,sisperf.sys
dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
* Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.
* Télécharge SEAF (de C_XX) sur ton Bureau.
* Lance SEAF
* Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires".
* Tape (ou colle) :
atapi.sys,sisperf.sys
dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
* Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
17 avril 2010 à 15:37
17 avril 2010 à 15:37
salut voici le rapport:
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 15:39:55 le 17/04/2010
4.
5. Valeur(s) recherchée(s):
6.
7. atapi.sys
8. sisperf.sys
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15. "c:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys" [ ----AC---- | 95360 ]
16. TC: 23/11/2008,17:23:03 | TM: 03/08/2004,22:59:44 | DA: 23/11/2008,17:23:03
17. MD5: cdfe4411a69c224bd1d11b2da92dac51
18.
19.
20. CompagnyName: Microsoft Corporation
21. ProductName: Microsoft® Windows® Operating System
22. InternalName: atapi.sys
23. OriginalFilename: atapi.sys
24. LegalCopyright: © Microsoft Corporation. All rights reserved.
25. ProductVersion: 5.1.2600.2180
26. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
27.
28. =========================
29.
30. "c:\WINDOWS\system32\drivers\atapi.sys" [ ----AC---- | 95360 ]
31. TC: 03/08/2004,22:59:44 | TM: 15/04/2010,18:41:00 | DA: 23/11/2008,17:49:08
32. MD5: cdfe4411a69c224bd1d11b2da92dac51
33.
34.
35. CompagnyName: Microsoft Corporation
36. ProductName: Microsoft® Windows® Operating System
37. InternalName: atapi.sys
38. OriginalFilename: atapi.sys
39. LegalCopyright: © Microsoft Corporation. All rights reserved.
40. ProductVersion: 5.1.2600.2180
41. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
42.
43. =========================
44.
45. "c:\WINDOWS\system32\drivers\sisperf.sys" [ ----RAC---- | 9472 ]
46. TC: 23/11/2008,17:23:04 | TM: 20/08/2002,11:19:08 | DA: 23/11/2008,17:23:04
47. MD5: 596d4a7052002d2bd344d8937da6f66d
48.
49.
50. CompagnyName: Silicon Integrated Systems Corp.
51. ProductName: SiS Filer Driver
52. InternalName: sisperf.sys
53. OriginalFilename: sisperf.sys
54. LegalCopyright: Silicon Integrated Systems Corp.
55. ProductVersion: 2.02.03.00
56. FileVersion: 2.02.03.00 built by: WinDDK
57.
58. =========================
59.
60. "c:\WINDOWS\ERDNT\cache\atapi.sys" [ ----A---- | 95360 ]
61. TC: 13/04/2010,17:13:48 | TM: 03/08/2004,22:59:44 | DA: 13/04/2010,17:13:48
62. MD5: cdfe4411a69c224bd1d11b2da92dac51
63.
64.
65. CompagnyName: Microsoft Corporation
66. ProductName: Microsoft® Windows® Operating System
67. InternalName: atapi.sys
68. OriginalFilename: atapi.sys
69. LegalCopyright: © Microsoft Corporation. All rights reserved.
70. ProductVersion: 5.1.2600.2180
71. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
72.
73. =========================
74.
75. "d:\WINDOWS\system32\drivers\atapi.sys" [ ----A---- | 95360 ]
76. TC: 03/08/2004,22:59:44 | TM: 03/08/2004,22:59:44 | DA: 23/11/2008,17:37:15
77. MD5: cdfe4411a69c224bd1d11b2da92dac51
78.
79.
80. CompagnyName: Microsoft Corporation
81. ProductName: Microsoft® Windows® Operating System
82. InternalName: atapi.sys
83. OriginalFilename: atapi.sys
84. LegalCopyright: © Microsoft Corporation. All rights reserved.
85. ProductVersion: 5.1.2600.2180
86. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
87.
88. =========================
89.
90. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
91.
92. Aucun dossier trouvé
93.
94. =========================
95.
96. Fin à: 15:40:36 le 17/04/2010 ( E.O.F )
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 15:39:55 le 17/04/2010
4.
5. Valeur(s) recherchée(s):
6.
7. atapi.sys
8. sisperf.sys
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15. "c:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys" [ ----AC---- | 95360 ]
16. TC: 23/11/2008,17:23:03 | TM: 03/08/2004,22:59:44 | DA: 23/11/2008,17:23:03
17. MD5: cdfe4411a69c224bd1d11b2da92dac51
18.
19.
20. CompagnyName: Microsoft Corporation
21. ProductName: Microsoft® Windows® Operating System
22. InternalName: atapi.sys
23. OriginalFilename: atapi.sys
24. LegalCopyright: © Microsoft Corporation. All rights reserved.
25. ProductVersion: 5.1.2600.2180
26. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
27.
28. =========================
29.
30. "c:\WINDOWS\system32\drivers\atapi.sys" [ ----AC---- | 95360 ]
31. TC: 03/08/2004,22:59:44 | TM: 15/04/2010,18:41:00 | DA: 23/11/2008,17:49:08
32. MD5: cdfe4411a69c224bd1d11b2da92dac51
33.
34.
35. CompagnyName: Microsoft Corporation
36. ProductName: Microsoft® Windows® Operating System
37. InternalName: atapi.sys
38. OriginalFilename: atapi.sys
39. LegalCopyright: © Microsoft Corporation. All rights reserved.
40. ProductVersion: 5.1.2600.2180
41. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
42.
43. =========================
44.
45. "c:\WINDOWS\system32\drivers\sisperf.sys" [ ----RAC---- | 9472 ]
46. TC: 23/11/2008,17:23:04 | TM: 20/08/2002,11:19:08 | DA: 23/11/2008,17:23:04
47. MD5: 596d4a7052002d2bd344d8937da6f66d
48.
49.
50. CompagnyName: Silicon Integrated Systems Corp.
51. ProductName: SiS Filer Driver
52. InternalName: sisperf.sys
53. OriginalFilename: sisperf.sys
54. LegalCopyright: Silicon Integrated Systems Corp.
55. ProductVersion: 2.02.03.00
56. FileVersion: 2.02.03.00 built by: WinDDK
57.
58. =========================
59.
60. "c:\WINDOWS\ERDNT\cache\atapi.sys" [ ----A---- | 95360 ]
61. TC: 13/04/2010,17:13:48 | TM: 03/08/2004,22:59:44 | DA: 13/04/2010,17:13:48
62. MD5: cdfe4411a69c224bd1d11b2da92dac51
63.
64.
65. CompagnyName: Microsoft Corporation
66. ProductName: Microsoft® Windows® Operating System
67. InternalName: atapi.sys
68. OriginalFilename: atapi.sys
69. LegalCopyright: © Microsoft Corporation. All rights reserved.
70. ProductVersion: 5.1.2600.2180
71. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
72.
73. =========================
74.
75. "d:\WINDOWS\system32\drivers\atapi.sys" [ ----A---- | 95360 ]
76. TC: 03/08/2004,22:59:44 | TM: 03/08/2004,22:59:44 | DA: 23/11/2008,17:37:15
77. MD5: cdfe4411a69c224bd1d11b2da92dac51
78.
79.
80. CompagnyName: Microsoft Corporation
81. ProductName: Microsoft® Windows® Operating System
82. InternalName: atapi.sys
83. OriginalFilename: atapi.sys
84. LegalCopyright: © Microsoft Corporation. All rights reserved.
85. ProductVersion: 5.1.2600.2180
86. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
87.
88. =========================
89.
90. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
91.
92. Aucun dossier trouvé
93.
94. =========================
95.
96. Fin à: 15:40:36 le 17/04/2010 ( E.O.F )
neo***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
17 avril 2010 à 18:33
17 avril 2010 à 18:33
salut
pour t'expliquer un peu, tu as ce fichier sisperf.sys qui est un fichier systeme (donc utile) qui a été patché par un rootkit (patché c'est a dire que l'infection s'en sert) on ne peut donc pas le supprimer comme on le ferait avec n'importe quelle infection , on risquerait de rendre ton pc instable ...
Le but de ton dernier rapport était de nous donner une copie saine de ce fichier, le hic , c'est qu'il n'y en a pas :(
Une copie de ce fichier devrait être sur le cd windows, est ce que tu l'as ?
Si tu ne l'as pas, j'essaie de mon côté de te trouver ce fichier parmi mes collegues ou sur le net ;)
pour t'expliquer un peu, tu as ce fichier sisperf.sys qui est un fichier systeme (donc utile) qui a été patché par un rootkit (patché c'est a dire que l'infection s'en sert) on ne peut donc pas le supprimer comme on le ferait avec n'importe quelle infection , on risquerait de rendre ton pc instable ...
Le but de ton dernier rapport était de nous donner une copie saine de ce fichier, le hic , c'est qu'il n'y en a pas :(
Une copie de ce fichier devrait être sur le cd windows, est ce que tu l'as ?
Si tu ne l'as pas, j'essaie de mon côté de te trouver ce fichier parmi mes collegues ou sur le net ;)
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
18 avril 2010 à 14:09
18 avril 2010 à 14:09
Salut,
Hier gros beug au demarrage ecran bleu me disant que windows c'etait interrompu pour ne pas corompre le pc d'ou j'ai formaté la partition c et j'ai reinstalle windows lsd coment savoir maintenant si le virus est bien eliminé?
Hier gros beug au demarrage ecran bleu me disant que windows c'etait interrompu pour ne pas corompre le pc d'ou j'ai formaté la partition c et j'ai reinstalle windows lsd coment savoir maintenant si le virus est bien eliminé?
neo***
Messages postés
3110
Date d'inscription
samedi 14 février 2009
Statut
Contributeur sécurité
Dernière intervention
9 août 2021
194
18 avril 2010 à 17:16
18 avril 2010 à 17:16
salut
arff j'avais reussi a chopé le fichier dont tu avais besoin :(
un formatage peut etre un mal pour un bien, l'ecran bleu, c'est a cause du rootkit dont je te parlais .
si tu veux vérifier, tu peux refaire un rapport zhpdiag comme tu as fais au début et un nouveau rapport Gmer !
a+
arff j'avais reussi a chopé le fichier dont tu avais besoin :(
un formatage peut etre un mal pour un bien, l'ecran bleu, c'est a cause du rootkit dont je te parlais .
si tu veux vérifier, tu peux refaire un rapport zhpdiag comme tu as fais au début et un nouveau rapport Gmer !
a+
michmar999
Messages postés
78
Date d'inscription
mardi 13 avril 2010
Statut
Membre
Dernière intervention
21 juin 2015
2
18 avril 2010 à 18:01
18 avril 2010 à 18:01
C'est dommage tampis.
Alors quand je lance zhpdiag il me met :indice de liste hors limites
Par contre voici le rapport de Gmer:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-18 17:59:45
Windows 5.1.2600 Service Pack 2
Running: 6kuewxb8.exe; Driver: C:\DOCUME~1\Marie\LOCALS~1\Temp\awlyquod.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF4DE9C08]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF4DE9AC4]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xF4DEA078]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF4DE9FA2]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF4DE969A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF4DE9B9E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF4DE95DA]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF4DE963E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF4DE9CBE]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xF4DEA146]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF4DE9C7E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF4DE9DFE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xF4DF650A]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xF4DF632E]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xF4DF6468]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject
---- Kernel code sections - GMER 1.0.15 ----
PAGE OEMKRNL.EXE!ObInsertObject 805648A3 5 Bytes JMP F4DF397E \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE OEMKRNL.EXE!NtCreateSection 80564B1B 7 Bytes JMP F4DF6332 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE OEMKRNL.EXE!ZwCreateProcessEx 805885D3 7 Bytes JMP F4DF650E \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE OEMKRNL.EXE!ObMakeTemporaryObject 805A2BF9 5 Bytes JMP F4DF24AA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE OEMKRNL.EXE!ZwLoadDriver 805A6B26 7 Bytes JMP F4DF646C \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF72FD360, 0x1DEE5D, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Mozilla Firefox\firefox.exe[2220] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[564] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[564] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000
IAT C:\Program Files\Alwil Software\Avast5\AvastSvc.exe[1076] @ C:\WINDOWS\system32\WS2_32.dll [ADVAPI32.dll!RegOpenKeyExA] [00401630] C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (avast! Service/ALWIL Software)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
---- EOF - GMER 1.0.15 ----
Alors quand je lance zhpdiag il me met :indice de liste hors limites
Par contre voici le rapport de Gmer:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-18 17:59:45
Windows 5.1.2600 Service Pack 2
Running: 6kuewxb8.exe; Driver: C:\DOCUME~1\Marie\LOCALS~1\Temp\awlyquod.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF4DE9C08]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF4DE9AC4]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xF4DEA078]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF4DE9FA2]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF4DE969A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF4DE9B9E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF4DE95DA]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF4DE963E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF4DE9CBE]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xF4DEA146]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF4DE9C7E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF4DE9DFE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xF4DF650A]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xF4DF632E]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xF4DF6468]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject
---- Kernel code sections - GMER 1.0.15 ----
PAGE OEMKRNL.EXE!ObInsertObject 805648A3 5 Bytes JMP F4DF397E \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE OEMKRNL.EXE!NtCreateSection 80564B1B 7 Bytes JMP F4DF6332 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE OEMKRNL.EXE!ZwCreateProcessEx 805885D3 7 Bytes JMP F4DF650E \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE OEMKRNL.EXE!ObMakeTemporaryObject 805A2BF9 5 Bytes JMP F4DF24AA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE OEMKRNL.EXE!ZwLoadDriver 805A6B26 7 Bytes JMP F4DF646C \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF72FD360, 0x1DEE5D, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Mozilla Firefox\firefox.exe[2220] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[564] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[564] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000
IAT C:\Program Files\Alwil Software\Avast5\AvastSvc.exe[1076] @ C:\WINDOWS\system32\WS2_32.dll [ADVAPI32.dll!RegOpenKeyExA] [00401630] C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (avast! Service/ALWIL Software)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
---- EOF - GMER 1.0.15 ----
13 avril 2010 à 16:16