Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +

sharleen*

Par sharleen*
dans Analyses et éradication malwares

 Partager

Messages recommandés

sharleen* Mega Power Member

sharleen*

Posté(e)
  • Auteur
Posté(e)

Bonjour Thanos :P

 

Rapport MBAM (RAS) :

 

 

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 4014

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

21/04/2010 12:37:33

mbam-log-2010-04-21 (12-37-33).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 164889

Temps écoulé: 1 heure(s), 30 minute(s), 19 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

sharleen* Mega Power Member

sharleen*

Posté(e)
  • Auteur
Posté(e)

Je rajoute ce post, pour info.

 

Pas glop :P : je viens de mettre l'ordinateur en veille, l'écran commence à passer en veille, je quitte la pièce, et en fait l'ordinateur est resté sous tension avec écran noir.

J'ai donc forcé l'extinction, et au rallumage c'était un fait un démarrage.

 

Accessoirement, sur le FAI, constaté aussi que sur un site le mot de passe ne connecte pas, alors que ça connecte sur IE8.

 

@+

:P

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Accessoirement, sur le FAI, constaté aussi que sur un site le mot de passe ne connecte pas, alors que ça connecte sur IE8.

De quel mot de passe parles tu ?

 

Rien sur le rapport de MalwareBytes comme tu peux le voir.

 

On va faire une analyse supplémentaire =>

 

Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/#files

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau.

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes.

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

  • **Assure-toi que "Show All" est décoché**

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

sharleen* Mega Power Member

sharleen*

Posté(e)
  • Auteur
Posté(e)

Merci.

 

Je poste le rapport dans le prochain message :

je viens de tenter de télécharger GMER à partir du FAI et est apparu un message comme quoi GMER avait trouvé des modifications du système causé par des rootkits ( j'abrège : module, system root, drivers ; library, D ; service, D ; file, D)

Impossible de fermer le message ni le panneau derrière.

Le haut de page affichait "Polski - GMER all your rootkits are belong to us" (...) .

J'ai donc dû aller sur IE pour y accéder.

sharleen* Mega Power Member

sharleen*

Posté(e)
  • Auteur
Posté(e)

Est-il normal qu'il n'y ait eu que C:\ qui soit scanné ?

= pas de D:\ affiché

 

 

Rapport :

 

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-04-21 21:08:21

Windows 5.1.2600 Service Pack 3

Running: cmvrbqu1.exe; Driver: C:\DOCUME~1\YORK\LOCALS~1\Temp\axliiaoc.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT 86BB3DD0 ZwAlertResumeThread

SSDT 86B8DD68 ZwAlertThread

SSDT 86B77DC0 ZwAllocateVirtualMemory

SSDT 86B8BCD0 ZwAssignProcessToJobObject

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwClose [0xBABB4B6F]

SSDT 86C9FEE0 ZwConnectPort

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwCreateDirectoryObject [0xBABB4B9B]

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwCreateFile [0xBABB4BCF]

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwCreateKey [0xBABB4C23]

SSDT 86B73E00 ZwCreateMutant

SSDT 86BADDC0 ZwCreateSymbolicLinkObject

SSDT 86BEAED8 ZwCreateThread

SSDT 86B8BDB0 ZwDebugActiveProcess

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwDeleteKey [0xBABB4C67]

SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xF4954910]

SSDT 86B92E00 ZwDuplicateObject

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwEnumerateKey [0xBABB4C93]

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwEnumerateValueKey [0xBABB4CD3]

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwFlushKey [0xBABB4D13]

SSDT 86B8FD78 ZwFreeVirtualMemory

SSDT 86B89D88 ZwImpersonateAnonymousToken

SSDT 86BB3D10 ZwImpersonateThread

SSDT 86CA8AD0 ZwLoadDriver

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwMakeTemporaryObject [0xBABB4D3F]

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwMapViewOfSection [0xBABB4D6B]

SSDT 86B73D40 ZwOpenEvent

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwOpenKey [0xBABB4DBB]

SSDT 86B72D00 ZwOpenProcess

SSDT 86B92D40 ZwOpenProcessToken

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwOpenSection [0xBABB4DEF]

SSDT 86B91D78 ZwOpenThread

SSDT 86BAED58 ZwProtectVirtualMemory

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwQueryInformationFile [0xBABB4E23]

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwQueryKey [0xBABB4E5F]

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwQueryValueKey [0xBABB4E9B]

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwReadFile [0xBABB4EDB]

SSDT 86C57A90 ZwResumeThread

SSDT 86B8AD20 ZwSetContextThread

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwSetInformationFile [0xBABB4F27]

SSDT 86B8AE00 ZwSetInformationProcess

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwSetInformationThread [0xBABB4F63]

SSDT 86BAFD20 ZwSetSystemInformation

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwSetValueKey [0xBABB4F9B]

SSDT 86BB0DD0 ZwSuspendProcess

SSDT 86B90CD0 ZwSuspendThread

SSDT 86B94CF0 ZwTerminateProcess

SSDT 86B90DB0 ZwTerminateThread

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwUnmapViewOfSection [0xBABB4FDB]

SSDT \??\C:\WINDOWS\system32\Drivers\Crypto.sys (SafeNet Crypto Driver/SafeNet) ZwWriteFile [0xBABB500B]

SSDT 86B77CF0 ZwWriteVirtualMemory

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text ntoskrnl.exe!_abnormal_termination + 1F1 804E285D 3 Bytes [4D, BB, BA]

? SYMEFA.SYS Le fichier spécifié est introuvable. !

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF70D6360, 0x1DF59D, 0xE8000020]

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\WINDOWS\Explorer.EXE[1848] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 029D4120 C:\Program Files\Softex\OmniPass\opfolderext.dll (OpFolderExt/Softex Inc.)

.text C:\WINDOWS\Explorer.EXE[1848] kernel32.dll!DeleteFileW 7C831F63 5 Bytes JMP 029D4770 C:\Program Files\Softex\OmniPass\opfolderext.dll (OpFolderExt/Softex Inc.)

 

---- User IAT/EAT - GMER 1.0.15 ----

 

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW] [6BFA9BE7] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW] [6BFA9BE7] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW] [6BFA9BE7] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExA] [6BFA9B5A] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryExW] [6BFA9BE7] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW] [6BFA9BE7] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExA] [6BFA9B5A] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [6BFA9BE7] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExA] [6BFA9B5A] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\psapi.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\psapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\userenv.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\userenv.dll [KERNEL32.dll!LoadLibraryExA] [6BFA9B5A] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\userenv.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\userenv.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryExW] [6BFA9BE7] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe[376] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW] [6BFA9BE7] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\MSVCRT.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW] [6BFA9BE7] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryExW] [6BFA9BE7] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryW] [6BFA9AD3] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [6BFA9BE7] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExA] [6BFA9B5A] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [6BFA9A4C] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

IAT C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe[2572] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [6BFA9C74] C:\Program Files\Fichiers communs\AOL\AOLDiag\tbdiag.dll (AOL Diagnostics/AOL LLC)

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

 

Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

 

---- EOF - GMER 1.0.15 ----

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)
Est-il normal qu'il n'y ait eu que C:\ qui soit scanné ?

= pas de D:\ affiché

Oui c'est normal: c'est le disque où se trouvent les fichiers système qui est scanné par défaut.

 

je viens de tenter de télécharger GMER à partir du FAI et est apparu un message comme quoi GMER avait trouvé des modifications du système causé par des rootkits ( j'abrège : module, system root, drivers ; library, D ; service, D ; file, D)

Qu'est ce que tu veux dire par "à partir du FAI " ?

C'est lors d'un premier scan que GMER te dis que l'activité d'un rootkit est détectée ?

 

Le rapport ne montre rien de mauvais.

sharleen* Mega Power Member

sharleen*

Posté(e)
  • Auteur
Posté(e)
Qu'est ce que tu veux dire par "à partir du FAI " ?

C'est lors d'un premier scan que GMER te dis que l'activité d'un rootkit est détectée ?

 

-Comme au début de cette histoire les bizarreries étaient majoritaires sur IE8, je suis allée sur Internet et le forum via le panneau de connection du FAI, et non pas par IE8.

- J'ai donc lu tes indications pour GMER en étant sur AOL.

Lorsque j'ai voulu télécharger le fichier, je suis arrivée sur une page qui indiquait ce que je t'ai décrit (Polski, etc)

et où se trouvaient une petite fenêtre avec des fichiers répertoriés (dont ceux qui présentaient un pb en rouge). Et par-dessus cette fenêtre, un message d'avertissement "Warning - GMER has found system modifications caused by Rootkit activity".

Il n'y a pas eu de scan lancé, c'est apparu ainsi. J'ai fermé la fenêtre, et le panneau de connection et suis allée voir si le lien de GMER aboutissait à la même chose sur IE ou bien s'il était possible de le télécharger.

 

J'espère que c'est plus clair.

sharleen* Mega Power Member

sharleen*

Posté(e)
  • Auteur
Posté(e)

Je viens de revérifier : je t'ai induit en erreur malgré moi.

 

= c'est la façon dont la page du site de GMER s'affiche :

 

-sur le FAI, c'est la partie du haut qui s'affiche avec ce qui est en fait un exemple (et je n'ai pas vu que la ligne de défilement verticale n'était pas en bas de page..)

- sur IE, c'est le milieu de page qui s'affiche.

 

Or comme d'ordinaire, les pages s'affichent à partir du début, je n'ai pas du tout songé à vérifier la barre de défilement pour voir à quel niveau de la page j'étais, j'ai directement téléchargé.

 

Le problème général demeure.

 

A demain :P

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

ok merci pour les précisions :P

 

On va faire un autre scan stp =>

 

Étape 1: RootRepeal (de AD)

Télécharger RootRepeal via un clic droit sur l'un des liens ci-dessous:

http://ad13.geekstogo.com/RootRepeal.zip

http://rootrepeal.googlepages.com/RootRepeal.zip

http://rootrepeal.psikotick.com/RootRepeal.zip

Enregistrer le fichier sur le Bureau.

Créer un nouveau dossier nommé RootRepeal à la racine du disque système (généralement C:\)

 

Décompresser l'archive téléchargée dans ce nouveau dossier RootRepeal

 

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware.

Avira Antivir: clic droit sur l'icône dans la barre des tâches (à coté de l'horloge), décocher "Activer Antivir Guard/AntiVir Guard enable"

 

 

 

Étape 3: RootRepeal (de AD)

Dans l'Explorateur, ouvrir le dossier RootRepeal

Faire un double clic sur RootRepeal.exe pour lancer l'outil.

Sous Windows Vista, faire un clic droit sur RootRepeal.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Cliquer sur l'onglet Report (en bas de la fenêtre) comme ceci:

RR-report-bouton.png

 

Cliquer sur le bouton Scan

RR-scan-bouton.png

 

Dans la nouvelle fenêtre Select Scan, cocher:

+ Drivers

+ Files

+ Processes

+ SSDT

+ Stealth Objects

+ Hidden Services

+ Shadow SSDT

RR-select-scan.png

 

Cliquer sur le bouton OK

Dans la nouvelle fenêtre Select Drives, cocher le lecteur système (généralement C:\)

RR-select-drive.png

 

Cliquer sur le bouton OK pour lancer l'analyse

 

Note: Cette analyse prend un certain temps. NE PAS LANCER d'autres programmes tant qu'elle est active.

 

Lorsque l'analyse est terminée, le bouton Save Report sera disponible.

RR-savereport-bouton.png

 

Cliquer sur ce bouton Save Report et enregistrer le fichier rapport dans le dossier RootRepeal sous le nom RootRepeal-$$$$$$.txt

 

Ouvrir le menu File, cliquer sur Exit pour fermer le programme.

 

 

Étape 4: Processus de contrôle en temps réel

Important: Réactiver le module résident de l'antivirus et celui de l'antispyware.

 

 

Étape 5: Résultats

Envoyer en réponse:

*- le rapport de RootRepeal (contenu du fichier RootRepeal-$$$$$$.txt)

Ce rapport peut être très long. Bien vérifier qu'il est complet dans le message envoyé. Si nécessaire, le découper en plusieurs messages.

sharleen* Mega Power Member

sharleen*

Posté(e)
  • Auteur
Posté(e)

Bonjour :P

 

Rapport :

 

 

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2010/04/22 11:02

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: dump_diskdump.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_diskdump.sys

Address: 0xF4922000 Size: 16384 File Visible: No Signed: -

Status: -

 

Name: dump_KR10I.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_KR10I.sys

Address: 0xF4471000 Size: 217088 File Visible: No Signed: -

Status: -

 

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xBA83D000 Size: 49152 File Visible: No Signed: -

Status: -

 

Name: SYMEFA.SYS

Image Path: SYMEFA.SYS

Address: 0xF752F000 Size: 323584 File Visible: No Signed: -

Status: -

 

Hidden/Locked Files

-------------------

Path: Volume C:\

Status: MBR Rootkit Detected!

 

Path: Volume C:\, Sector 1

Status: Sector mismatch

 

Path: Volume C:\, Sector 2

Status: Sector mismatch

 

Path: Volume C:\, Sector 3

Status: Sector mismatch

 

Path: Volume C:\, Sector 4

Status: Sector mismatch

 

Path: Volume C:\, Sector 5

Status: Sector mismatch

 

Path: Volume C:\, Sector 6

Status: Sector mismatch

 

Path: Volume C:\, Sector 7

Status: Sector mismatch

 

Path: Volume C:\, Sector 8

Status: Sector mismatch

 

Path: Volume C:\, Sector 9

Status: Sector mismatch

 

Path: Volume C:\, Sector 10

Status: Sector mismatch

 

Path: Volume C:\, Sector 11

Status: Sector mismatch

 

Path: Volume C:\, Sector 12

Status: Sector mismatch

 

Path: Volume C:\, Sector 13

Status: Sector mismatch

 

Path: Volume C:\, Sector 14

Status: Sector mismatch

 

Path: Volume C:\, Sector 15

Status: Sector mismatch

 

Path: Volume C:\, Sector 16

Status: Sector mismatch

 

Path: Volume C:\, Sector 17

Status: Sector mismatch

 

Path: Volume C:\, Sector 18

Status: Sector mismatch

 

Path: Volume C:\, Sector 19

Status: Sector mismatch

 

Path: Volume C:\, Sector 20

Status: Sector mismatch

 

Path: Volume C:\, Sector 21

Status: Sector mismatch

 

Path: Volume C:\, Sector 22

Status: Sector mismatch

 

Path: Volume C:\, Sector 23

Status: Sector mismatch

 

Path: Volume C:\, Sector 24

Status: Sector mismatch

 

Path: Volume C:\, Sector 25

Status: Sector mismatch

 

Path: Volume C:\, Sector 26

Status: Sector mismatch

 

Path: Volume C:\, Sector 27

Status: Sector mismatch

 

Path: Volume C:\, Sector 28

Status: Sector mismatch

 

Path: Volume C:\, Sector 29

Status: Sector mismatch

 

Path: Volume C:\, Sector 30

Status: Sector mismatch

 

Path: Volume C:\, Sector 31

Status: Sector mismatch

 

Path: Volume C:\, Sector 32

Status: Sector mismatch

 

Path: Volume C:\, Sector 33

Status: Sector mismatch

 

Path: Volume C:\, Sector 34

Status: Sector mismatch

 

Path: Volume C:\, Sector 35

Status: Sector mismatch

 

Path: Volume C:\, Sector 36

Status: Sector mismatch

 

Path: Volume C:\, Sector 37

Status: Sector mismatch

 

Path: Volume C:\, Sector 38

Status: Sector mismatch

 

Path: Volume C:\, Sector 39

Status: Sector mismatch

 

Path: Volume C:\, Sector 40

Status: Sector mismatch

 

Path: Volume C:\, Sector 41

Status: Sector mismatch

 

Path: Volume C:\, Sector 42

Status: Sector mismatch

 

Path: Volume C:\, Sector 43

Status: Sector mismatch

 

Path: Volume C:\, Sector 44

Status: Sector mismatch

 

Path: Volume C:\, Sector 45

Status: Sector mismatch

 

Path: Volume C:\, Sector 46

Status: Sector mismatch

 

Path: Volume C:\, Sector 47

Status: Sector mismatch

 

Path: Volume C:\, Sector 48

Status: Sector mismatch

 

Path: Volume C:\, Sector 49

Status: Sector mismatch

 

Path: Volume C:\, Sector 50

Status: Sector mismatch

 

Path: Volume C:\, Sector 51

Status: Sector mismatch

 

Path: Volume C:\, Sector 52

Status: Sector mismatch

 

Path: Volume C:\, Sector 53

Status: Sector mismatch

 

Path: Volume C:\, Sector 54

Status: Sector mismatch

 

Path: Volume C:\, Sector 55

Status: Sector mismatch

 

Path: Volume C:\, Sector 56

Status: Sector mismatch

 

Path: Volume C:\, Sector 57

Status: Sector mismatch

 

Path: Volume C:\, Sector 58

Status: Sector mismatch

 

Path: Volume C:\, Sector 59

Status: Sector mismatch

 

Path: Volume C:\, Sector 60

Status: Sector mismatch

 

Path: Volume C:\, Sector 61

Status: Sector mismatch

 

Path: Volume C:\, Sector 62

Status: Sector mismatch

 

Path: C:\hiberfil.sys

Status: Locked to the Windows API!

 

Path: c:\documents and settings\all users\application data\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\norton\nco\wacert.dat

Status: Allocation size mismatch (API: 94208, Raw: 36864)

 

Path: c:\documents and settings\all users\application data\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\norton\common client\ccsetmgr\volatile.dat

Status: Allocation size mismatch (API: 4096, Raw: 544)

 

SSDT

-------------------

#: 012 Function Name: NtAlertResumeThread

Status: Hooked by "<unknown>" at address 0x86bd3dd0

 

#: 013 Function Name: NtAlertThread

Status: Hooked by "<unknown>" at address 0x86bd4d68

 

#: 017 Function Name: NtAllocateVirtualMemory

Status: Hooked by "<unknown>" at address 0x86bd8e00

 

#: 019 Function Name: NtAssignProcessToJobObject

Status: Hooked by "<unknown>" at address 0x86bfbcd0

 

#: 025 Function Name: NtClose

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4b6f

 

#: 031 Function Name: NtConnectPort

Status: Hooked by "<unknown>" at address 0x86cb1b00

 

#: 034 Function Name: NtCreateDirectoryObject

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4b9b

 

#: 037 Function Name: NtCreateFile

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4bcf

 

#: 041 Function Name: NtCreateKey

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4c23

 

#: 043 Function Name: NtCreateMutant

Status: Hooked by "<unknown>" at address 0x86bfde00

 

#: 052 Function Name: NtCreateSymbolicLinkObject

Status: Hooked by "<unknown>" at address 0x86bf7dc0

 

#: 053 Function Name: NtCreateThread

Status: Hooked by "<unknown>" at address 0x86bc6df0

 

#: 057 Function Name: NtDebugActiveProcess

Status: Hooked by "<unknown>" at address 0x86bfbdb0

 

#: 063 Function Name: NtDeleteKey

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4c67

 

#: 065 Function Name: NtDeleteValueKey

Status: Hooked by "C:\WINDOWS\system32\Drivers\SYMEVENT.SYS" at address 0xf4954910

 

#: 068 Function Name: NtDuplicateObject

Status: Hooked by "<unknown>" at address 0x86bf9d10

 

#: 071 Function Name: NtEnumerateKey

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4c93

 

#: 073 Function Name: NtEnumerateValueKey

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4cd3

 

#: 079 Function Name: NtFlushKey

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4d13

 

#: 083 Function Name: NtFreeVirtualMemory

Status: Hooked by "<unknown>" at address 0x86bd9da0

 

#: 089 Function Name: NtImpersonateAnonymousToken

Status: Hooked by "<unknown>" at address 0x86b8fd88

 

#: 091 Function Name: NtImpersonateThread

Status: Hooked by "<unknown>" at address 0x86bd3d10

 

#: 097 Function Name: NtLoadDriver

Status: Hooked by "<unknown>" at address 0x86ec65d8

 

#: 105 Function Name: NtMakeTemporaryObject

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4d3f

 

#: 108 Function Name: NtMapViewOfSection

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4d6b

 

#: 114 Function Name: NtOpenEvent

Status: Hooked by "<unknown>" at address 0x86bfdd40

 

#: 119 Function Name: NtOpenKey

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4dbb

 

#: 122 Function Name: NtOpenProcess

Status: Hooked by "<unknown>" at address 0x86bcedb8

 

#: 123 Function Name: NtOpenProcessToken

Status: Hooked by "<unknown>" at address 0x86c2dd88

 

#: 125 Function Name: NtOpenSection

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4def

 

#: 128 Function Name: NtOpenThread

Status: Hooked by "<unknown>" at address 0x86bf9de0

 

#: 137 Function Name: NtProtectVirtualMemory

Status: Hooked by "<unknown>" at address 0x86bd2d58

 

#: 151 Function Name: NtQueryInformationFile

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4e23

 

#: 160 Function Name: NtQueryKey

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4e5f

 

#: 177 Function Name: NtQueryValueKey

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4e9b

 

#: 183 Function Name: NtReadFile

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4edb

 

#: 206 Function Name: NtResumeThread

Status: Hooked by "<unknown>" at address 0x86c73a90

 

#: 213 Function Name: NtSetContextThread

Status: Hooked by "<unknown>" at address 0x86bdad20

 

#: 224 Function Name: NtSetInformationFile

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4f27

 

#: 228 Function Name: NtSetInformationProcess

Status: Hooked by "<unknown>" at address 0x86bdae00

 

#: 229 Function Name: NtSetInformationThread

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4f63

 

#: 240 Function Name: NtSetSystemInformation

Status: Hooked by "<unknown>" at address 0x86bfcd20

 

#: 247 Function Name: NtSetValueKey

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4f9b

 

#: 253 Function Name: NtSuspendProcess

Status: Hooked by "<unknown>" at address 0x86bfadd0

 

#: 254 Function Name: NtSuspendThread

Status: Hooked by "<unknown>" at address 0x86bd5cd0

 

#: 257 Function Name: NtTerminateProcess

Status: Hooked by "<unknown>" at address 0x86c2fcd8

 

#: 258 Function Name: NtTerminateThread

Status: Hooked by "<unknown>" at address 0x86bd5db0

 

#: 267 Function Name: NtUnmapViewOfSection

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4fdb

 

#: 274 Function Name: NtWriteFile

Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb500b

 

#: 277 Function Name: NtWriteVirtualMemory

Status: Hooked by "<unknown>" at address 0x86bd8d30

 

Shadow SSDT

-------------------

#: 307 Function Name: NtUserAttachThreadInput

Status: Hooked by "<unknown>" at address 0x86743050

 

#: 383 Function Name: NtUserGetAsyncKeyState

Status: Hooked by "<unknown>" at address 0x86b95e50

 

#: 414 Function Name: NtUserGetKeyboardState

Status: Hooked by "<unknown>" at address 0x86744050

 

#: 416 Function Name: NtUserGetKeyState

Status: Hooked by "<unknown>" at address 0x86721050

 

#: 428 Function Name: NtUserGetRawInputData

Status: Hooked by "<unknown>" at address 0x858ff1b8

 

#: 460 Function Name: NtUserMessageCall

Status: Hooked by "<unknown>" at address 0x858f71f8

 

#: 475 Function Name: NtUserPostMessage

Status: Hooked by "<unknown>" at address 0x858fa1f8

 

#: 476 Function Name: NtUserPostThreadMessage

Status: Hooked by "<unknown>" at address 0x858f91b8

 

#: 549 Function Name: NtUserSetWindowsHookEx

Status: Hooked by "<unknown>" at address 0x859011f8

 

#: 552 Function Name: NtUserSetWinEventHook

Status: Hooked by "<unknown>" at address 0x85999928

 

==EOF==

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...