trojan adatadrv.sys faux positif?

benjifast · le 12 juin 2010

Bonjour,

Et maintenant au tour de mon pc de bureau la psychose!!

Suite analyse avec malwarebytes, j'ai trouver un trojan adatadrv.sys.

je pense que c'est un faux positif mais j'aimerais confirmation, pouvez-vous me confirmer?

Merci

benji

rapport malwarebyte:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Version de la base de données: 4190

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18928

12/06/2010 12:53:30

mbam-log-2010-06-12 (12-53-30).txt

Type d'examen: Examen complet (C:\|F:\|)

Elément(s) analysé(s): 286016

Temps écoulé: 1 heure(s), 19 minute(s), 47 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adatadrv (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\Windows\System32\drivers\adatadrv.sys (Trojan.Agent) -> No action taken.

C:\Windows\System32\DriverStore\FileRepository\adatadrv.inf_74447a32\adatadrv.sys (Trojan.Agent) -> No action taken.

Modifié le 12 juin 2010 par benjifast

Apollo · le 12 juin 2010

Ne crée pas de doublons stp.

Poursuis dans le topic que je surveille pour ne pas s'éparpiller.

++

Apollo · le 12 juin 2010

Ok,

vu ton mp; signale quand il s'agit d'une autre machine sinon je vais perdre mes jeunes

Je ne crois pas à un faux-positif. Même si tu fixes ça avec MBAM, il crée toujours une sauvegarde.

Rends toi sur ce lien : Virus Total

Clique sur le bouton Parcourir...
Parcours tes dossiers jusque à ce fichier, si tu le trouves :

C:\Windows\System32\drivers\adatadrv.sys

Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
Une nouvelle fenêtre de ton navigateur va apparaître
Clique alors sur cette image :
Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
Enfin colle le résultat dans ta prochaine réponse.
NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

benjifast · le 12 juin 2010

re,

Oui excuse moi j'aurais du préciser qu'il s'agissait d'un autre pc (mon pc de bureau).

J'ai fixé avec MBAM et donc le fichier est introuvable ensuite?

Qu'en pense tu?

Merci

Benji

Apollo · le 12 juin 2010

Ah ben oui, si tu as fixé avant de le faire analyser, tu ne le trouveras plus sur le système.

Est-ce que MBAM a demandé un reboot?

Attention, je ne te dis pas de rebooter mais je te pose juste la question.

Et si le pc a redémarré, l'a-t-il fait normalement?

Aucun message d'erreur?

@ toute.

benjifast · le 12 juin 2010

Re,

Oui, MBAM il à demander le reboot, le redemarrage s'est bien passé.

Je pense etre débarrasser du trojan?

A+

Apollo · le 12 juin 2010

Re,

Ok, on va voir si rien d'autre ne se cache...

:arrow: Désactive ton antivirus puis télécharge GMER Rootkit Scanner (Clique sur le bouton Download EXE pour lancer le téléchargement) et enregistre le sur ton bureau.

Imprime les instructions de cette page pour les avoir sous les yeux (ou copie-colle les dans le bloc-notes): il va falloir fermer ton navigateur
Ferme toutes les fenêtres de tous les programmes en cours d'exécution y compris celles de ton navigateur
Si tu es sous Vista/Seven, Clique droit sur le fichier que tu viens de télécharger et choisis Exécuter en tant qu'administrateur.
Si tu es sous XP, Double-clique sur le fichier que tu viens de télécharger pour lancer son exécution.
Une courte analyse va se lancer. Attends qu'elle soit terminée.
:att: Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
Dans la partie droite de la fenêtre assure-toi que "Show All" est décoché et ne laisse cochée que la partition système (généralement C:)
Clique sur le bouton Scan et patiente tout le temps du scan.
A la fin de l'analyse, clique sur le bouton Save
Sauvegarde le rapport sur ton bureau et appelle le Ark.
Ouvre le fichier Ark.log qui est sur ton bureau et copie/colle tout son contenu dans ta prochaine réponse.

@++

benjifast · le 12 juin 2010

Re,

Rapport GMER :

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-06-12 21:02:58

Windows 6.0.6002 Service Pack 2

Running: zwcy54gm.exe; Driver: C:\Users\benjamin\AppData\Local\Temp\ugldyfow.sys

---- System - GMER 1.0.15 ----

SSDT 9D9CC33C ZwCreateThread

SSDT 9D9CC328 ZwOpenProcess

SSDT 9D9CC32D ZwOpenThread

SSDT 9D9CC337 ZwTerminateProcess

INT 0x52 ? 87496BF8

INT 0x62 ? 87496BF8

INT 0x82 ? 85B87BF8

INT 0x82 ? 87496BF8

INT 0x82 ? 85B87BF8

INT 0x92 ? 85B88BF8

INT 0xA2 ? 85B88BF8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 221 824F2984 4 Bytes [3C, C3, 9C, 9D] {CMP AL, 0xc3; PUSHF ; POPF }

.text ntkrnlpa.exe!KeSetEvent + 3F1 824F2B54 4 Bytes [28, C3, 9C, 9D] {SUB BL, AL; PUSHF ; POPF }

.text ntkrnlpa.exe!KeSetEvent + 40D 824F2B70 4 Bytes [2D, C3, 9C, 9D]

.text ntkrnlpa.exe!KeSetEvent + 621 824F2D84 4 Bytes [37, C3, 9C, 9D] {AAA ; RET ; PUSHF ; POPF }

? System32\Drivers\spqp.sys Le chemin d'accès spécifié est introuvable. !

.text USBPORT.SYS!DllUnload 8AB6B41B 5 Bytes JMP 874961D8

.text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x8F201340, 0x40AA77, 0xE8000020]

.text aj0xoniq.SYS 8F981000 22 Bytes [82, A3, 41, 82, 6C, A2, 41, ...]

.text aj0xoniq.SYS 8F981017 181 Bytes [00, 32, 07, 70, 80, 3D, 05, ...]

.text aj0xoniq.SYS 8F9810CE 10 Bytes [00, 00, 00, 00, 00, 00, C9, ...] {ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; LEAVE ; HLT ; POP ESP; DEC EDX}

.text aj0xoniq.SYS 8F9810DA 12 Bytes [00, 00, 02, 00, 00, 00, 24, ...]

.text aj0xoniq.SYS 8F9810E7 714 Bytes [00, F0, 0E, 00, 00, 00, 00, ...]

.text ...

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] kernel32.dll!FindResourceExA 76502575 7 Bytes JMP 2806C4C0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] kernel32.dll!FindResourceA 76502653 5 Bytes JMP 2806C430 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] kernel32.dll!CreateEventA 765244C0 5 Bytes JMP 2806BF90 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] kernel32.dll!LockResource 765268DF 5 Bytes JMP 2806C670 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] kernel32.dll!FindResourceExW 765269FD 7 Bytes JMP 2806C3B0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] kernel32.dll!LoadResource 76526ADB 7 Bytes JMP 2806C550 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] kernel32.dll!FindResourceW 76527FA1 5 Bytes JMP 2806C330 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] kernel32.dll!SizeofResource 76527FBF 7 Bytes JMP 2806C600 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] ADVAPI32.dll!CryptDeriveKey 7605FCAE 7 Bytes JMP 2806BAA0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] ADVAPI32.dll!CryptDecrypt 7605FE91 7 Bytes JMP 2806BB00 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] USER32.dll!CreateDialogParamW 75A172A2 5 Bytes JMP 2806FC80 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] USER32.dll!SetWindowPlacement 75A17963 5 Bytes JMP 2806FB30 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] USER32.dll!SetWindowRgn 75A1A221 7 Bytes JMP 2806FBD0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] USER32.dll!LoadImageW 75A1C9E5 5 Bytes JMP 280702E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] USER32.dll!LoadIconW 75A1DA9F 5 Bytes JMP 28070460 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] USER32.dll!CreateWindowExW 75A21305 5 Bytes JMP 2806DB70 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] USER32.dll!GetWindowLongW 75A2F8BF 7 Bytes JMP 28070590 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] USER32.dll!PeekMessageW 75A3045A 5 Bytes JMP 2806E590 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] USER32.dll!TrackPopupMenuEx 75A40CE7 5 Bytes JMP 2806EC10 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] USER32.dll!MessageBoxIndirectW 75A6D5D3 5 Bytes JMP 2806FE80 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] SHELL32.dll!Shell_NotifyIconW 76618626 5 Bytes JMP 2806D260 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] ole32.dll!CoRegisterClassObject 758D7DB6 5 Bytes JMP 2806C9D0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] ole32.dll!CoCreateInstance 75919EA6 5 Bytes JMP 2806CC50 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] ole32.dll!CoInitializeEx 7591AD63 5 Bytes JMP 2806C8D0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] WININET.dll!InternetReadFile 762C654B 5 Bytes JMP 28073800 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] WININET.dll!InternetCloseHandle 762C9088 5 Bytes JMP 28073940 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] WININET.dll!HttpOpenRequestA 762CD508 5 Bytes JMP 280736A0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1708] WININET.dll!HttpSendRequestA 762DEE89 5 Bytes JMP 280738A0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [806046D6] \SystemRoot\System32\Drivers\spqp.sys

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [80604042] \SystemRoot\System32\Drivers\spqp.sys

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [80604800] \SystemRoot\System32\Drivers\spqp.sys

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [806040C0] \SystemRoot\System32\Drivers\spqp.sys

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8060413E] \SystemRoot\System32\Drivers\spqp.sys

IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [80613B90] \SystemRoot\System32\Drivers\spqp.sys

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortNotification] CC358B04

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortWritePortUchar] 838F9A7F

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortWritePortUlong] 458B38C6

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortGetPhysicalAddress] A5A5A514

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] [100D8BA5] \Program Files\DAEMON Tools Lite\Engine.dll (Helper library/DT Soft Ltd)

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortGetScatterGatherList] 5F8F9A50

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortReadPortUchar] 30810889

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortStallExecution] 54771129

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortGetParentBusType] 10C25D5E

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortRequestCallback] 8B55CC00

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 084D8BEC

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortGetUnCachedExtension] 0CF0918B

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortCompleteRequest] 458B0000

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortMoveMemory] 8B108910

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] 000CF491

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 04508900

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 053C7980

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortReadPortUshort] 560C558B

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortReadPortBufferUshort] C6127557

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortInitialize] B18D0502

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortGetDeviceBase] 00000CF8

IAT \SystemRoot\System32\Drivers\aj0xoniq.SYS[ataport.SYS!AtaPortDeviceStateChange] A508788D

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\Explorer.EXE[1856] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [74217817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396