backdoor tidser inf

[EDITH]

j'ai des attaques de backdoor à la connexion, bloquées par Norton, mon pc se déconnecte toutes les heures environ, j'ai un message d'erreur avant la deconnexion qui parle de "com".. tout ce que je peux dire, merci..

[EDITH]

Zone affectée : C:/WINDOWS/SYSTEM32/drivers/jastor.sys

[Gof]

Ok, bien d'avoir trouvé l'information

 

Fais analyser ce fichier en ligne comme indiqué ci-dessous. Alors, rends toi dans ton Panneau de configuration > options des fichiers et dossiers

• Va sur Affichage
  
• Assure toi que Afficher les fichiers et dossiers cachés soit sélectionné
  
• Et que les deux cases masquer les fichiers protégés du système d'exploitation et Masquer les extensions des fichiers dont le type est connu ne soient pas sélectionnées
  

 

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
  
• Rends toi jusque sur ce fichier si tu le trouves :
  

• C:/WINDOWS/SYSTEM32/drivers/jastor.sys
  

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

 

Je ne serais peut-être plus là quand tu répondras ; ne t'inquiète pas, je te répondrais dès demain en fin de journée dans ce cas (après le travail).

[EDITH]

Fichier iaStor.sys reçu le 2010.02.07 21:47:35 (UTC)Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.02.07 -

AhnLab-V3 5.0.0.2 2010.02.06 -

AntiVir 7.9.1.160 2010.02.07 -

Antiy-AVL 2.0.3.7 2010.02.05 -

Authentium 5.2.0.5 2010.02.07 -

Avast 4.8.1351.0 2010.02.07 -

AVG 9.0.0.730 2010.02.07 -

BitDefender 7.2 2010.02.07 -

CAT-QuickHeal 10.00 2010.02.06 -

ClamAV 0.96.0.0-git 2010.02.07 -

Comodo 3854 2010.02.07 -

DrWeb 5.0.1.12222 2010.02.07 -

eSafe 7.0.17.0 2010.02.07 -

eTrust-Vet 35.2.7286 2010.02.05 -

F-Prot 4.5.1.85 2010.02.07 -

F-Secure 9.0.15370.0 2010.02.07 -

Fortinet 4.0.14.0 2010.02.07 -

GData 19 2010.02.07 -

Ikarus T3.1.1.80.0 2010.02.07 -

Jiangmin 13.0.900 2010.02.07 -

K7AntiVirus 7.10.968 2010.02.06 -

Kaspersky 7.0.0.125 2010.02.07 -

McAfee 5885 2010.02.07 -

McAfee+Artemis 5885 2010.02.07 -

McAfee-GW-Edition 6.8.5 2010.02.07 -

Microsoft 1.5406 2010.02.07 -

NOD32 4845 2010.02.07 -

Norman 6.04.03 2010.02.07 -

nProtect 2009.1.8.0 2010.02.07 -

Panda 10.0.2.2 2010.02.07 -

PCTools 7.0.3.5 2010.02.07 -

Prevx 3.0 2010.02.07 -

Rising 22.33.06.04 2010.02.07 -

Sophos 4.50.0 2010.02.07 -

Sunbelt 3.2.1858.2 2010.02.07 -

TheHacker 6.5.1.0.182 2010.02.07 -

TrendMicro 9.120.0.1004 2010.02.07 -

VBA32 3.12.12.1 2010.02.05 -

ViRobot 2010.2.5.2174 2010.02.05 -

VirusBuster 5.0.21.0 2010.02.07 -

 

Information additionnelle

File size: 304920 bytes

MD5   : 997e8f5939f2d12cd9f2e6b395724c16

SHA1  : 31901f9ced1659e73d001ef9b729d7ed4e110797

SHA256: c22f10bade29da6f7eb79d9f5d81d9fbec17d4d4f8b25e0af4e5ceae28e8abf6

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0xC3005<BR>timedatestamp.....: 0x46018619 (Wed Mar 21 20:23:05 2007)<BR>machinetype.......: 0x14C (Intel I386)<BR><BR>( 6 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x436C8 0x43800 6.47 7c022f875be31a66d52b222e8da287df<BR>.rdata 0x45000 0xB5C 0xC00 5.60 b43a9a8fb651e2e89632bb7c2f4e286b<BR>.data 0x46000 0x7C720 0x1000 4.80 3abe2d97cbb55bd6552af2e51999d4bc<BR>INIT 0xC3000 0xD50 0xE00 5.52 46854faa1c8753b4325f748f7dd548d6<BR>.rsrc 0xC4000 0x458 0x600 2.61 dab25a72e6fedc4cc3430246e93ffaad<BR>.reloc 0xC5000 0x1F96 0x2000 5.53 dde75ed07d43dc6968e757d165dd9fdc<BR><BR>( 2 imports )<BR><BR>> hal.dll: KfAcquireSpinLock, KfReleaseSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeStallExecutionProcessor, KeGetCurrentIrql<BR>> ntoskrnl.exe: ZwClose, ZwQueryValueKey, DbgPrint, ZwOpenKey, InterlockedPopEntrySList, IofCompleteRequest, KeSetEvent, PoSetPowerState, _aullshr, IoFreeWorkItem, IoUnregisterPlugPlayNotification, ObfDereferenceObject, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, memcpy, IoGetDeviceObjectPointer, IoQueueWorkItem, IoAllocateWorkItem, IoRegisterPlugPlayNotification, KeClearEvent, WRITE_REGISTER_ULONG, READ_REGISTER_ULONG, ObReferenceObjectByHandle, MmGetPhysicalAddress, KeCancelTimer, KeSetTimerEx, KeInitializeTimerEx, memmove, KeDelayExecutionThread, _aulldiv, strncpy, strncmp, _purecall, sprintf, _allmul, InterlockedPushEntrySList, RtlCompareMemory, IoInvalidateDeviceRelations, KeSetTimer, ExSystemTimeToLocalTime, KeQuerySystemTime, MmUnmapIoSpace, MmMapIoSpace, RtlWriteRegistryValue, ZwCreateKey, swprintf, KeLeaveCriticalRegion, KeEnterCriticalRegion, MmMapLockedPagesSpecifyCache, ExDeleteNPagedLookasideList, KeBugCheck, PsTerminateSystemThread, KeWaitForMultipleObjects, KeSetPriorityThread, PsCreateSystemThread, ExInitializeNPagedLookasideList, memset, _aulldvrm, PoRequestPowerIrp, PoStartNextPowerIrp, PoCallDriver, IoReleaseRemoveLockEx, IoAcquireRemoveLockEx, IoFreeIrp, IoAllocateIrp, IoGetAttachedDeviceReference, _alldiv, IoDeleteSymbolicLink, IoAttachDeviceToDeviceStack, IoCreateSymbolicLink, IoGetConfigurationInformation, IoInitializeRemoveLockEx, IoCreateDevice, RtlUnicodeStringToInteger, wcsncpy, wcsstr, IoDeleteDevice, IoDetachDevice, _wcsupr, IoGetDeviceProperty, ZwCreateDirectoryObject, KeInitializeDpc, KeInitializeTimer, ExRegisterCallback, ExCreateCallback, IoConnectInterrupt, IoReportResourceForDetection, ExUnregisterCallback, IoDisconnectInterrupt, IoReleaseRemoveLockAndWaitEx, RtlCheckRegistryKey, KeRemoveQueueDpc, KeQueryTimeIncrement, KeTickCount, IoFreeMdl, MmProbeAndLockPages, IoAllocateMdl, strncat, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ObfReferenceObject, PoRegisterDeviceForIdleDetection, IoInvalidateDeviceState, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoGetDmaAdapter, strstr, RtlCreateRegistryKey, RtlCopyUnicodeString, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, IoRequestDeviceEject, KeBugCheckEx, RtlUnwind, RtlInitUnicodeString, ExAllocatePoolWithTag, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, RtlQueryRegistryValues, _aullrem, ExFreePoolWithTag<BR><BR>( 0 exports )<BR>

TrID  : File type identification<BR>Win64 Executable Generic (87.2%)<BR>Win32 Executable Generic (8.6%)<BR>Generic Win/DOS Executable (2.0%)<BR>DOS Executable Generic (2.0%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

ssdeep: 6144:1T5EaniYRjsT1SzUPLA/y3MJyCV9VolxyrTX:LRje4kqy8JD9aHQX

PEiD  : -

RDS   : NSRL Reference Data Set<BR>-

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.02.07 -

AhnLab-V3 5.0.0.2 2010.02.06 -

AntiVir 7.9.1.160 2010.02.07 -

Antiy-AVL 2.0.3.7 2010.02.05 -

Authentium 5.2.0.5 2010.02.07 -

Avast 4.8.1351.0 2010.02.07 -

AVG 9.0.0.730 2010.02.07 -

BitDefender 7.2 2010.02.07 -

CAT-QuickHeal 10.00 2010.02.06 -

ClamAV 0.96.0.0-git 2010.02.07 -

Comodo 3854 2010.02.07 -

DrWeb 5.0.1.12222 2010.02.07 -

eSafe 7.0.17.0 2010.02.07 -

eTrust-Vet 35.2.7286 2010.02.05 -

F-Prot 4.5.1.85 2010.02.07 -

F-Secure 9.0.15370.0 2010.02.07 -

Fortinet 4.0.14.0 2010.02.07 -

GData 19 2010.02.07 -

Ikarus T3.1.1.80.0 2010.02.07 -

Jiangmin 13.0.900 2010.02.07 -

K7AntiVirus 7.10.968 2010.02.06 -

Kaspersky 7.0.0.125 2010.02.07 -

McAfee 5885 2010.02.07 -

McAfee+Artemis 5885 2010.02.07 -

McAfee-GW-Edition 6.8.5 2010.02.07 -

Microsoft 1.5406 2010.02.07 -

NOD32 4845 2010.02.07 -

Norman 6.04.03 2010.02.07 -

nProtect 2009.1.8.0 2010.02.07 -

Panda 10.0.2.2 2010.02.07 -

PCTools 7.0.3.5 2010.02.07 -

Prevx 3.0 2010.02.07 -

Rising 22.33.06.04 2010.02.07 -

Sophos 4.50.0 2010.02.07 -

Sunbelt 3.2.1858.2 2010.02.07 -

TheHacker 6.5.1.0.182 2010.02.07 -

TrendMicro 9.120.0.1004 2010.02.07 -

VBA32 3.12.12.1 2010.02.05 -

ViRobot 2010.2.5.2174 2010.02.05 -

VirusBuster 5.0.21.0 2010.02.07 -

 

Information additionnelle

File size: 304920 bytes

MD5   : 997e8f5939f2d12cd9f2e6b395724c16

SHA1  : 31901f9ced1659e73d001ef9b729d7ed4e110797

SHA256: c22f10bade29da6f7eb79d9f5d81d9fbec17d4d4f8b25e0af4e5ceae28e8abf6

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0xC3005<BR>timedatestamp.....: 0x46018619 (Wed Mar 21 20:23:05 2007)<BR>machinetype.......: 0x14C (Intel I386)<BR><BR>( 6 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x436C8 0x43800 6.47 7c022f875be31a66d52b222e8da287df<BR>.rdata 0x45000 0xB5C 0xC00 5.60 b43a9a8fb651e2e89632bb7c2f4e286b<BR>.data 0x46000 0x7C720 0x1000 4.80 3abe2d97cbb55bd6552af2e51999d4bc<BR>INIT 0xC3000 0xD50 0xE00 5.52 46854faa1c8753b4325f748f7dd548d6<BR>.rsrc 0xC4000 0x458 0x600 2.61 dab25a72e6fedc4cc3430246e93ffaad<BR>.reloc 0xC5000 0x1F96 0x2000 5.53 dde75ed07d43dc6968e757d165dd9fdc<BR><BR>( 2 imports )<BR><BR>> hal.dll: KfAcquireSpinLock, KfReleaseSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeStallExecutionProcessor, KeGetCurrentIrql<BR>> ntoskrnl.exe: ZwClose, ZwQueryValueKey, DbgPrint, ZwOpenKey, InterlockedPopEntrySList, IofCompleteRequest, KeSetEvent, PoSetPowerState, _aullshr, IoFreeWorkItem, IoUnregisterPlugPlayNotification, ObfDereferenceObject, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, memcpy, IoGetDeviceObjectPointer, IoQueueWorkItem, IoAllocateWorkItem, IoRegisterPlugPlayNotification, KeClearEvent, WRITE_REGISTER_ULONG, READ_REGISTER_ULONG, ObReferenceObjectByHandle, MmGetPhysicalAddress, KeCancelTimer, KeSetTimerEx, KeInitializeTimerEx, memmove, KeDelayExecutionThread, _aulldiv, strncpy, strncmp, _purecall, sprintf, _allmul, InterlockedPushEntrySList, RtlCompareMemory, IoInvalidateDeviceRelations, KeSetTimer, ExSystemTimeToLocalTime, KeQuerySystemTime, MmUnmapIoSpace, MmMapIoSpace, RtlWriteRegistryValue, ZwCreateKey, swprintf, KeLeaveCriticalRegion, KeEnterCriticalRegion, MmMapLockedPagesSpecifyCache, ExDeleteNPagedLookasideList, KeBugCheck, PsTerminateSystemThread, KeWaitForMultipleObjects, KeSetPriorityThread, PsCreateSystemThread, ExInitializeNPagedLookasideList, memset, _aulldvrm, PoRequestPowerIrp, PoStartNextPowerIrp, PoCallDriver, IoReleaseRemoveLockEx, IoAcquireRemoveLockEx, IoFreeIrp, IoAllocateIrp, IoGetAttachedDeviceReference, _alldiv, IoDeleteSymbolicLink, IoAttachDeviceToDeviceStack, IoCreateSymbolicLink, IoGetConfigurationInformation, IoInitializeRemoveLockEx, IoCreateDevice, RtlUnicodeStringToInteger, wcsncpy, wcsstr, IoDeleteDevice, IoDetachDevice, _wcsupr, IoGetDeviceProperty, ZwCreateDirectoryObject, KeInitializeDpc, KeInitializeTimer, ExRegisterCallback, ExCreateCallback, IoConnectInterrupt, IoReportResourceForDetection, ExUnregisterCallback, IoDisconnectInterrupt, IoReleaseRemoveLockAndWaitEx, RtlCheckRegistryKey, KeRemoveQueueDpc, KeQueryTimeIncrement, KeTickCount, IoFreeMdl, MmProbeAndLockPages, IoAllocateMdl, strncat, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ObfReferenceObject, PoRegisterDeviceForIdleDetection, IoInvalidateDeviceState, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoGetDmaAdapter, strstr, RtlCreateRegistryKey, RtlCopyUnicodeString, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, IoRequestDeviceEject, KeBugCheckEx, RtlUnwind, RtlInitUnicodeString, ExAllocatePoolWithTag, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, RtlQueryRegistryValues, _aullrem, ExFreePoolWithTag<BR><BR>( 0 exports )<BR>

TrID  : File type identification<BR>Win64 Executable Generic (87.2%)<BR>Win32 Executable Generic (8.6%)<BR>Generic Win/DOS Executable (2.0%)<BR>DOS Executable Generic (2.0%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

ssdeep: 6144:1T5EaniYRjsT1SzUPLA/y3MJyCV9VolxyrTX:LRje4kqy8JD9aHQX

PEiD  : -

RDS   : NSRL Reference Data Set<BR>-

 

 

l'analyse a été faite deux fois, la 1ere fois le pc a planté, merci..

[Gof]

Bonjour EDITH

 

Tu m'as parlé d'un fichier C:/WINDOWS/SYSTEM32/drivers/jastor.sys

Et tu as fait analyser le fichier C:/WINDOWS/SYSTEM32/drivers/iastor.sys

 

A quel moment t'es tu trompé(e) ? En me donnant le nom la première fois, ou en sélectionnant le fichier pour analyse ?

 

Bonne journée, retour ce soir

[EDITH]

bonjour, il s'agit bien du fichier "IASTOR", une erreur de ma part..

[EDITH]

si cela peut aider, toujours le même message avant la deconnexion de mon pc "Windows doit maintenant redémarrer le lanceur de processus serveur DCOM s'est terminé de façon inattendue", à la reconnexion Norton bloque tjs des tentatives d'intrusion

[EDITH]

Bonjour EDITH

 

Tu m'as parlé d'un fichier C:/WINDOWS/SYSTEM32/drivers/jastor.sys

Et tu as fait analyser le fichier C:/WINDOWS/SYSTEM32/drivers/iastor.sys

 

A quel moment t'es tu trompé(e) ? En me donnant le nom la première fois, ou en sélectionnant le fichier pour analyse ?

 

Bonne journée, retour ce soir

[EDITH]

bonjour, je ne vois pas ma réponse alors je réécris le nom du fichier est bien "iastor". J'ai un message d'erreur avant chaque déconnexion de mon pc "Windows doit redémarrer lanceur de processus serveur DCOM s'est terminé de façon inattendue".

[nardino]

Bonsoir Gof,

 

Edith a ouvert un sujet sur Informatruc.

Je lui ai demandé d'en fermé un à son libre choix, en espérant qu'il n'y en a pas d'autres.

 

@