| [résolu]Pc qui Ram du à des virus datant de 2008 | |
|
|
|
Auteur | Message |
---|
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 0:53 | |
| Encore merci et bonne journée | |
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 11:14 | |
| - Citation :
- Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4545
Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702
5/09/2010 9:13:48 mbam-log-2010-09-05 (09-13-48).txt
Type d'examen: Examen complet (C:\|D:\|J:\|K:\|L:\|M:\|) Elément(s) analysé(s): 405232 Temps écoulé: 3 heure(s), 11 minute(s), 6 seconde(s)
Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 2 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 1 Dossier(s) infecté(s): 3 Fichier(s) infecté(s): 8
Processus mémoire infecté(s): (Aucun élément nuisible détecté)
Module(s) mémoire infecté(s): (Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s): HKEY_CURRENT_USER\SOFTWARE\UpMedia (Adware.SmartShopper) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Registry Helper (Rogue.RegistryHelper) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\Local Page (Hijack.SearchPage) -> Bad: (http://www.iesearch.com/) Good: (http://www.Google.com/) -> Quarantined and deleted successfully.
Dossier(s) infecté(s): C:\Program Files\ZZZZZZZZ (Backdoor.Bifrose) -> Delete on reboot. C:\Program Files\ZZZZZZZZ\Harry Potter et la Chambre des Secrets (Backdoor.Bifrose) -> Quarantined and deleted successfully. C:\WINDOWS\system32\UpMedia (Adware.SmartShopper) -> Quarantined and deleted successfully.
Fichier(s) infecté(s): C:\Documents and Settings\All Users\Documents\Logiciel\TuneUp_Utilities_2008_v7.x.xxxx\tuneup.utilities.2008.v7.x.xxxx.-.activation.patch.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. C:\Documents and Settings\HP_Administrateur\Bureau\Logiciel\TuneUp_Utilities_2008_v7.x.xxxx\tuneup.utilities.2008.v7.x.xxxx.-.activation.patch.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\CSM3F.tmp (Adware.RelevantKnowledge) -> Quarantined and deleted successfully. C:\Documents and Settings\HP_Administrateur\Mes documents\Logiciel\TuneUp_Utilities_2008_v7.x.xxxx\tuneup.utilities.2008.v7.x.xxxx.-.activation.patch.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\oreans32.sys (Rootkit.Agent) -> Quarantined and deleted successfully. L:\Logiciel\Winrar 3.93\Winrar 3.93 Patch-Key...gen 32 et 64 bits.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully. C:\WINDOWS\system32\phc7v2j0e9aa.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully.
Dernière édition par Hacker Tool le Mer 8 Sep - 22:34, édité 3 fois (Raison : Ajout balises [quote]) | |
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 19:47 | |
| J'ai eu le message comme quoi le pare feu de norton est désactivez
Et normalement il devrait être complètement désinstallez | |
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 19:55 | |
| Voici l'image | |
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 19:57 | |
| Et le pare-feu windows est désactivez + Et j'ai la version de kaspersky sans pare-feu | |
|
| |
Invité Invité
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 20:01 | |
| Bonjour Vide la quarantaine de Malwarebytes réinstalle le pare-feu |
|
| |
Hacker Tool Dévelopeur, WebMaster
Messages : 2124 Points : 3233 Réputation : 94 Localisation : Belfort
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 20:05 | |
| philagiv_2009 Bonjour Quant tu à plusieurs messages de se type, et que aucune réponse ne ta été adresser,, Merci d'utiliser la fonction Éditer en haut a droite des messages prévu a cette effet.. Ce qui évitera tous encombrement superflue Et facilitera la lecture a la personne qui te prend en charge Voila .. Merci de ta compréhension @ ++ | |
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 20:09 | |
| Quarantaine videz
Et pare feu de windows activez | |
|
| |
Invité Invité
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 20:12 | |
| |
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 20:16 | |
| il me semblait qu'il restez encore des malware que mbam n'as pas sur supprimez
Et il ram tjs autant quand je met kaspersky à jour + Firefox en meme temps
C'est peut etre pas le virus present qui empechez que le pc de tournez
Et je sais utilisez un live cd de kubuntu pour eliminez le reste (et normalement ça devrait marchez completement de cette manière)
Je suis en train de refaire un scan avec mbam
Dernière édition par philagiv_2009 le Dim 5 Sep - 20:22, édité 1 fois | |
|
| |
Invité Invité
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 20:21 | |
| Pourrai tu me refaire ZHPDiag, et héberge le rapport |
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 20:29 | |
| Ca m'inquiete encore la je refait le scan et j'ai de nouveau le message d'erreur et je suis obliger de cliquez sur continuez, cliquez sur recommancez ne sert à rien
Il fallait cochez de nouveau la ligne 01 et la ligne 065 ? | |
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 20:31 | |
| rapport via cijoint.fr
http://www.cijoint.fr/cjlink.php?file=cj201009/cijrdkLxku.txt | |
|
| |
Invité Invité
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Dim 5 Sep - 20:51 | |
| Je verrai cela tout à l'heure ll n'y a pas d'infection visible dans le dernier rapport, mais on vérifiera quelque chose
C:\WINDOWS\system32\drivers\oreans32.sys
Analyse sur Virus Total http://www.virustotal.com/fr/ Clique sur parcourir Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir Clique sur envoyer le fichier une fois le scan terminé, donne moi le résultat
|
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Lun 6 Sep - 17:57 | |
| Je doit mettre le plugin Suivant : https://addons.mozilla.org/fr/firefox/addon/722/ ??? Parce que j'ai eu un message d'un script et je l'ai arreter Et pour le fichier oreans32.sys, il a été supprimer par mbam il me semble Je peut aussi lancez Ad-Remover de C_XX ou pas ? PS : J'ai activez la Version de Mbam avec un serials si vous ça intéresse | |
|
| |
Invité Invité
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Lun 6 Sep - 18:23 | |
| Bonjour C'est bien cet addon, il empêche des mauvais scripts de s'exécuter sur le PC Pourquoi Ad Remover ? Je ne l'ai pas recommandé On fait passer les outils si cela est nécessaire, mais pas sans raison précise
J'ai activez la Version de Mbam avec un serials si vous ça intéresse ???
Le fichier que je t'ai demandé d'analyser sur VT, c'est parce que je l'ai vu dans le dernier rapport dans les lignes 041, jette y un coup d'oeil, et tu verras Ce fichier peut être suspect, je voudrai vérifier s'il n'est pas infectieux |
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Lun 6 Sep - 18:39 | |
| Ca c'est moi quand je dit des bêtise Je n'ai pas revue le fichier oreans32.sys dans le repertoire C:\WINDOWS\system32\drivers\ Et il est tjs dans la ligne o41 J'ai fait une analyse avec mbam + Kaspersky et il m'ont rien trouvez de suspects dans le répertoire C:\WINDOWS\system32\ Et ce fichier n'est pas sur mon pc portable C:\WINDOWS\system32\drivers\oreans32.sys (Rootkit.Agent) -> Quarantined and deleted successfully. Et j'ai toujours ce message suivant avec zhpdiag | |
|
| |
Invité Invité
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Mar 7 Sep - 1:30 | |
| On va vérifier s'il y a toujours ce rootkit
• Télécharge Defogger (de jpshortstuff) sur ton Bureau • Lance le • Une fenêtre apparait : clique sur "Disable" • Fais redémarrer l'ordinateur si l'outil te le demande • Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
Il faut impérativement désactiver tous tes logiciels de protection (antivirus, antispyware, pare-feu) pour utiliser ce programme Télécharge Gmer http://www.gmer.net/ • Clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection) • Dans l'onglet "Rootkit", clique sur "Scan" puis patiente. • A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
|
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Mar 7 Sep - 2:06 | |
| - Citation :
- defogger_disable by jpshortstuff (23.02.10.1)
Log created at 00:04 on 07/09/2010 (HP_Administrateur)
Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved.
Checking for services/drivers... Je scan maintenant avec Gmer P.S. : Je devrait peut etre changer d'antivirus, Quand j'ai désactiver kaspersky, on entend plus le pc Rammer Message du 7/09/2010 à 11h34 Je me suis allez couchez, maintenant je recommance une analyse avec gmer, mais gmer ram quand il scan le systemes volumes information.
Dernière édition par Hacker Tool le Mer 8 Sep - 22:35, édité 2 fois (Raison : Ajout balises [quote]) | |
|
| |
Invité Invité
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Mar 7 Sep - 16:25 | |
| Bonjour, gmer ram quand il scan le systemes volumes information. C'est normal, car les points de restauration sont très volumineux
|
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Mar 7 Sep - 17:10 | |
| Et c'est toujours pas fini le scan, et je pense qu'il faudra encore du temps pour que j'ai le rapport de gmer
Après la désinfection, il faudras que je change d'antivirus, je pense que kaspersky est l'un des plus lourds au niveau de la ram et je voudrait un autre plus léger et tout aussi performants.
Et qu'on optimise le pc en générale (Si cela ne te dérange pas) | |
|
| |
Invité Invité
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Mar 7 Sep - 17:26 | |
| D'accord, y'a pas de problème Je veux voir d'abord si tu n'as pas de rootkit dans ton PC Si c'est trop long le scan, je te ferai purger le PC |
|
| |
Invité Invité
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Mar 7 Sep - 21:12 | |
| Bonjour, Merci d'ajouter les balises adéquates lorsque l'on poste des rapports : les balises [code] Ceci dans un soucis purement éthique Dernière option dans la première ligne lorsque l'on écrit un message. Cordialement |
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Mar 7 Sep - 21:26 | |
| - juju666 a écrit:
- Bonjour,
Merci d'ajouter les balises adéquates lorsque l'on poste des rapports : les balises [code]
Ceci dans un soucis purement éthique
Dernière option dans la première ligne lorsque l'on écrit un message.
Cordialement C'est vrai que c'est nettement mieux comme ça. Et L'analyse de Gmer n'est toujours pas fini,je suis pas presser, c'est pour vous tenir informez | |
|
| |
philagiv_2009 Membre
Messages : 40 Points : 45 Réputation : 0 Localisation : Belgique
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 Mar 7 Sep - 22:23 | |
| Voici le Rapport de Gmer (Cijoint.fr n'accepte pas les fichier .log) - Spoiler:
GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-09-07 20:02:52 Windows 5.1.2600 Service Pack 3 Running: is4s24dk.exe; Driver: C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\fxldypoc.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwAdjustPrivilegesToken [0xF238D58C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwClose [0xF238DE0C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwConnectPort [0xF238E922] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateEvent [0xF238EE94] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateFile [0xF238E0EE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateKey [0xF238C436] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateMutant [0xF238ED6C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateNamedPipeFile [0xF238D192] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreatePort [0xF238EC28] SSDT \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.) ZwCreateProcess [0xF2401794] SSDT \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.) ZwCreateProcessEx [0xF2401F1E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateSection [0xF238D34E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateSemaphore [0xF238EFC6] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xF2390C08] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateThread [0xF238DAAA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateWaitablePort [0xF238ECCA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDebugActiveProcess [0xF23905FA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeleteKey [0xF238C9FA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeleteValueKey [0xF238CD88] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeviceIoControlFile [0xF238E576] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDuplicateObject [0xF23915CA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwEnumerateKey [0xF238CECA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwEnumerateValueKey [0xF238CF74] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwFsControlFile [0xF238E382] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadDriver [0xF239068C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadKey [0xF238C412] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadKey2 [0xF238C424] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwMapViewOfSection [0xF2390CBC] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwNotifyChangeKey [0xF238D0C0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenEvent [0xF238EF36] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenFile [0xF238DE8E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenKey [0xF238C5DC] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenMutant [0xF238EE04] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenProcess [0xF238D792] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenSection [0xF2390C32] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenSemaphore [0xF238F068] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenThread [0xF238D6B6] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryKey [0xF238D01E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryMultipleValueKey [0xF238CC46] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQuerySection [0xF2390FD4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryValueKey [0xF238C896] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueueApcThread [0xF2390922] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRenameKey [0xF238CB0E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplaceKey [0xF238C2B0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplyPort [0xF238F3F2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplyWaitReceivePort [0xF238F2B8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRequestWaitReplyPort [0xF239039A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRestoreKey [0xF2393E2C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwResumeThread [0xF23914AC] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSaveKey [0xF238C248] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSecureConnectPort [0xF238E65C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetContextThread [0xF238DCC8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetInformationToken [0xF238FC4A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetSecurityObject [0xF2390786] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetSystemInformation [0xF2391114] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetValueKey [0xF238C71E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSuspendProcess [0xF23911F8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSuspendThread [0xF2391320] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSystemDebugControl [0xF2390526] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwTerminateProcess [0xF238D90A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwTerminateThread [0xF238D860] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwUnmapViewOfSection [0xF2390E8A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwWriteVirtualMemory [0xF238D9EA]
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) FsRtlCheckLockForReadAccess Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) IoIsOperationSynchronous
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804EAF84 5 Bytes JMP F23824DC \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) .text ntkrnlpa.exe!IoIsOperationSynchronous 804EF912 5 Bytes JMP F23828B6 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) .text ntkrnlpa.exe!ZwCallbackReturn + 2C60 805044FC 4 Bytes JMP CF053739 .text ntkrnlpa.exe!ZwCallbackReturn + 2C9C 80504538 12 Bytes [28, EC, 38, F2, 94, 17, 40, ...] .text ntkrnlpa.exe!ZwCallbackReturn + 2CAC 80504548 16 Bytes [4E, D3, 38, F2, C6, EF, 38, ...] .text ntkrnlpa.exe!ZwCallbackReturn + 2D68 80504604 12 Bytes [8C, 06, 39, F2, 12, C4, 38, ...] {MOV WORD [ESI], ES; CMP EDX, ESI; ADC AL, AH; CMP DL, DH; AND AL, 0xc4; CMP DL, DH} .text ntkrnlpa.exe!ZwCallbackReturn + 2EE4 80504780 16 Bytes [0E, CB, 38, F2, B0, C2, 38, ...] .text ... .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF54FE380, 0x566445, 0xE8000020]
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [F1E69D50] \??\C:\WINDOWS\system32\drivers\kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [F1E69D50] \??\C:\WINDOWS\system32\drivers\kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\nwlnkipx.sys[TDI.SYS!TdiRegisterDeviceObject] [F1E69D50] \??\C:\WINDOWS\system32\drivers\kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\nwlnknb.sys[TDI.SYS!TdiRegisterDeviceObject] [F1E69D50] \??\C:\WINDOWS\system32\drivers\kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\nwlnkspx.sys[TDI.SYS!TdiRegisterDeviceObject] [F1E69D50] \??\C:\WINDOWS\system32\drivers\kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 arkbcfltr.sys (Microsoft AR PS/2 Keyboard Filter Driver (Beta 2 Release 2)/Microsoft Corporation) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 arkbcfltr.sys (Microsoft AR PS/2 Keyboard Filter Driver (Beta 2 Release 2)/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 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 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 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 Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xE2 0x63 0x26 0xF1 ... Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ... Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ... Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ... Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ... Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ... Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ... Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ... Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0x51 0xFA 0x6E 0x91 ... Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x37 0xA4 0xAA 0xC3 ... Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xE3 0x0E 0x66 0xD5 ... Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x05 0x73 0x21 0xDD ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E43D97C8-CF83-91E4-1191-F2A58928641F} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E43D97C8-CF83-91E4-1191-F2A58928641F}@iajdkdiibdkdllkajm 0x6A 0x61 0x66 0x69 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E43D97C8-CF83-91E4-1191-F2A58928641F}@hadcakmbhiogclki 0x6A 0x61 0x66 0x69 ...
---- EOF - GMER 1.0.15 ----
| |
|
| |
Contenu sponsorisé
| Sujet: Re: [résolu]Pc qui Ram du à des virus datant de 2008 | |
| |
|
| |
| [résolu]Pc qui Ram du à des virus datant de 2008 | |
|