Les rootkits

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

Les rootkits

Message par Malekal_morte » 30 juin 2007 20:40

Les rootkits sont la dernière génération de menaces.
Ce sont des menaces très dangereuses car ils se cachent à l'interieur du système.
En règle général, les antivirus ne les détectent pas (ou simplement une partie), une fois installé ils peuvent faire tout ce qu'ils veulent sur le système.

Pour plus d'information sur les rootkits, voir la page Le danger et fonctionnement des rootkits
Supprimer les rootkits sous Windows
Les scanneur rootkits de la partie Programmes Utils du forum : les-anti-rootkit-scanner-rootkit-t796.html

Cette page va énumérer les rootkits les plus courants et les plus dangereux.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

runtime2.sys : Rootkit.Win32.Agent.ey

Message par Malekal_morte » 30 juin 2007 20:54

Type : Rootkit kernel mode, voici les listes des drivers :
\??\%Windows%\System32\main.sys
\??\%Windows%\System32\drivers\runtime.sys
\??\%Windows%\System32\drivers\ip6fw.sys
\??\%Windows%\System32\drivers\netdtect.sys

Mode de propagation : Failles sur les sites WEB & Cracks

but du malware : transformer la machine infecté en machine à envoyer des mails de spam.

Suppression : suivre la Procédure de désinfection des Trojans/Backdoor

Fiches des antivirus :
http://ca.com/us/securityadvisor/virusi ... x?id=62470
http://vil.nai.com/vil/content/v_141846.htm
http://www.symantec.com/security_respon ... 99&tabid=2

Les scans :
Complete scanning result of "runtime2.sys", received in VirusTotal at 06.30.2007, 19:36:54 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 no virus found
AntiVir 7.4.0.37 06.29.2007 RKit/Posh.A
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 06.30.2007 Win32:Small-EPJ
AVG 7.5.0.476 06.30.2007 BackDoor.Generic7.JKO
BitDefender 7.2 06.30.2007 Trojan.Rootkit.GED
CAT-QuickHeal 9.00 06.30.2007 Rootkit.Agent.ey
ClamAV devel-20070416 06.30.2007 Trojan.Rootkit-163
DrWeb 4.33 06.30.2007 BackDoor.Bulknet
eSafe 7.0.15.0 06.30.2007 Win32.Pandex
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 06.30.2007 Rootkit.Agent.ey
FileAdvisor 1 06.30.2007 no virus found
Fortinet 2.91.0.0 06.30.2007 no virus found
F-Prot 4.3.2.48 06.29.2007 no virus found
F-Secure 6.70.13030.0 06.29.2007 Rootkit.Win32.Agent.ey
Ikarus T3.1.1.8 06.30.2007 Rootkit.Win32.Agent.ey
Kaspersky 4.0.2.24 06.30.2007 Rootkit.Win32.Agent.ey
McAfee 5064 06.29.2007 New Malware.z
Microsoft 1.2701 06.30.2007 no virus found
NOD32v2 2365 06.30.2007 Win32/Rootkit.Agent.EY
Norman 5.80.02 06.29.2007 no virus found
Panda 9.0.0.4 06.30.2007 Malware Generic
Sophos 4.19.0 06.24.2007 no virus found
Sunbelt 2.2.907.0 06.29.2007 Rootkit.Win32.Agent.ey
Symantec 10 06.30.2007 Trojan.Pandex
TheHacker 6.1.6.140 06.28.2007 Trojan/Agent.ey
VBA32 3.12.0.2 06.29.2007 Rootkit.Win32.Agent.ey
VirusBuster 4.3.23:9 06.30.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 Rootkit.Posh.A

Aditional Information
File size: 33536 bytes
MD5: 682d9123fe5aa5bcf6376339535fd9f4
SHA1: 2634831700d4e390feecfb52980262f54c05c1a1
Complete scanning result of "startdrv.exe", received in VirusTotal at 06.30.2007, 19:50:07 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 Win-Trojan/Agent.19968.BI
AntiVir 7.4.0.37 06.29.2007 TR/Dldr.Agent.brk.11
Authentium 4.93.8 06.29.2007 W32/Downloader2.AIKY
Avast 4.7.997.0 06.30.2007 Win32:Agent-IEA
AVG 7.5.0.476 06.30.2007 Downloader.Agent.LUQ
BitDefender 7.2 06.30.2007 Trojan.Dropper.Agent.BPJ
CAT-QuickHeal 9.00 06.30.2007 no virus found
ClamAV devel-20070416 06.30.2007 Trojan.Downloader-8897
DrWeb 4.33 06.30.2007 BackDoor.Bulknet
eSafe 7.0.15.0 06.30.2007 Win32.Agent.brk
eTrust-Vet 30.8.3752 06.29.2007 Win32/Cutwail!generic
Ewido 4.0 06.30.2007 Downloader.Agent.brk
FileAdvisor 1 06.30.2007 no virus found
Fortinet 2.91.0.0 06.30.2007 W32/Agent.BRK!tr.dldr
F-Prot 4.3.2.48 06.29.2007 W32/Trojan.AOYK
F-Secure 6.70.13030.0 06.29.2007 Trojan-Downloader.Win32.Agent.brl
Ikarus T3.1.1.8 06.30.2007 Trojan-Downloader.Win32.Agent.brk
Kaspersky 4.0.2.24 06.30.2007 Trojan-Downloader.Win32.Agent.brl
McAfee 5064 06.29.2007 Spy-Agent.bv
Microsoft 1.2701 06.30.2007 no virus found
NOD32v2 2365 06.30.2007 no virus found
Norman 5.80.02 06.29.2007 W32/Agent.BQVW
Panda 9.0.0.4 06.30.2007 Trj/Downloader.MDW
Sophos 4.19.0 06.24.2007 Mal/Dropper-F
Sunbelt 2.2.907.0 06.29.2007 Trojan-Dropper.Win32.Agent.bie
Symantec 10 06.30.2007 Trojan.Pandex
TheHacker 6.1.6.140 06.28.2007 Trojan/Downloader.Agent.brk
VBA32 3.12.0.2 06.29.2007 BackDoor.Bulknet
VirusBuster 4.3.23:9 06.30.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 Trojan.Dldr.Agent.brk.11

Aditional Information
File size: 19968 bytes
MD5: 23d471f1eb6a6e149c15fcb2403086cb
SHA1: ff5ab739d996f15924b400d563070e36ce3768af
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

Win32.Bagle

Message par Malekal_morte » 30 juin 2007 21:00

Type : Rootkit kernel mode, voici les listes des drivers :
c:\Documents and Settings\xxxxx\Application Data\hidires\m_hook.sys
C:\Documents and Settings\xxxxx\Dati applicazioni\hidires\rosa.sys

Mode de propagation : cracks. Souvent sur Emule, crack pour des antivirus.

but du malware :
Supprime les antivirus de l'ordinateur.
Supprime les clefs du registre pour redémarrer en mode sans échec

Suppression : https://www.malekal.com/W32.Beagle.KF_Trojan.Tooso.R.php

Fiches des antivirus :
http://www.ca.com/us/securityadvisor/vi ... x?id=43216
http://www.symantec.com/security_respon ... 99&tabid=1
Complete scanning result of "2.2.2.Panda.Antivirus.Titanium.20", received in VirusTotal at 06.30.2007, 19:40:34 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 Win-Trojan/Bagle.88592
AntiVir 7.4.0.37 06.29.2007 Worm/Bagle.SRN.2
Authentium 4.93.8 06.29.2007 W32/Downloader2.AJQP
Avast 4.7.997.0 06.30.2007 no virus found
AVG 7.5.0.476 06.30.2007 Downloader.Generic4.YRB
BitDefender 7.2 06.30.2007 Win32.Bagle.SRN@mm
CAT-QuickHeal 9.00 06.30.2007 TrojanDownloader.Bagle.ch
ClamAV devel-20070416 06.30.2007 Worm.Bagle-77
DrWeb 4.33 06.30.2007 Win32.HLLM.Beagle
eSafe 7.0.15.0 06.30.2007 Win32.Bagle.ch
eTrust-Vet 30.8.3752 06.29.2007 Win32/Glieder.FP
Ewido 4.0 06.30.2007 Downloader.Bagle.ch
FileAdvisor 1 06.30.2007 no virus found
Fortinet 2.91.0.0 06.30.2007 Bancban.QH!tr
F-Prot 4.3.2.48 06.29.2007 W32/Downloader2.AJQ
F-Secure 6.70.13030.0 06.29.2007 Trojan-Downloader.Win32.Bagle.ch
Ikarus T3.1.1.8 06.30.2007 Win32.Bagle.SRN
Kaspersky 4.0.2.24 06.30.2007 Trojan-Downloader.Win32.Bagle.ch
McAfee 5064 06.29.2007 no virus found
Microsoft 1.2701 06.30.2007 no virus found
NOD32v2 2365 06.30.2007 Win32/Bagle.IS
Norman 5.80.02 06.29.2007 W32/Mitglied.AEC
Panda 9.0.0.4 06.30.2007 Trj/Mitglieder.OI
Sophos 4.19.0 06.24.2007 Troj/Bancban-QH
Sunbelt 2.2.907.0 06.29.2007 Trojan-Downloader.Win32.Bagle.ch
Symantec 10 06.30.2007 Trojan.Tooso
TheHacker 6.1.6.140 06.28.2007 Trojan/Downloader.Bagle.ch
VBA32 3.12.0.2 06.29.2007 Worm.Win32.Bagle.IS
VirusBuster 4.3.23:9 06.30.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 Worm.Bagle.SRN.2

Aditional Information
File size: 326496 bytes
MD5: d8c8ce5e24e976088fe7905b55e6cea0
SHA1: 8ad51b596ee995f58a5a80d3c774cba4769c1705
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

msdirect.sys : Backdoor.Win32.ForBot.af

Message par Malekal_morte » 01 juil. 2007 00:03

Type : Rootkit kernel mode, voici les listes des drivers :
\??\%Windows%\System32\msdirect.sys

Mode de propagation : Failles sur les sites WEB & Cracks

but du malware : réduire la sécurité de l'ordinateur

Suppression : suivre la Procédure de désinfection des Trojans/Backdoor

Fiches des antivirus :
http://www.sophos.fr/security/analyses/trojrkfuc.html

Les scans :
Complete scanning result of "msdirect.sys", received in VirusTotal at 06.30.2007, 23:38:50 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 Win32/IRCBot.worm.2816
AntiVir 7.4.0.37 06.29.2007 BDS/ForBot.AF.1
Authentium 4.93.8 06.29.2007 W32/Backdoor.KYJ
Avast 4.7.997.0 06.30.2007 Win32:Trojan-gen. {Other}
AVG 7.5.0.476 06.30.2007 BackDoor.Generic2.MJC
BitDefender 7.2 06.30.2007 Backdoor.ForBot.M
CAT-QuickHeal 9.00 06.30.2007 Backdoor.ForBot.af
ClamAV devel-20070416 06.30.2007 Trojan.Forbot
DrWeb 4.33 06.30.2007 Trojan.DownLoader.7332
eSafe 7.0.15.0 06.30.2007 Win32.ForBot.af
eTrust-Vet 30.8.3752 06.29.2007 Win32/Shadown
Ewido 4.0 06.30.2007 Backdoor.ForBot.af
FileAdvisor 1 06.30.2007 High threat detected
Fortinet 2.91.0.0 06.30.2007 W32/RKFu.C!tr.bdr
F-Prot 4.3.2.48 06.29.2007 W32/Backdoor.KYJ
F-Secure 6.70.13030.0 06.29.2007 Backdoor.Win32.ForBot.af
Ikarus T3.1.1.8 06.30.2007 Backdoor.Win32.ForBot.af
Kaspersky 4.0.2.24 06.30.2007 Backdoor.Win32.ForBot.af
McAfee 5064 06.29.2007 NTRootKit-R
Microsoft 1.2701 06.30.2007 TrojanDownloader:Win32/BX
NOD32v2 2365 06.30.2007 Win32/Rootkit.Agent.NAD
Norman 5.80.02 06.29.2007 W32/SDBot.ZKR
Panda 9.0.0.4 06.30.2007 Dialer.GRN
Sophos 4.19.0 06.28.2007 Troj/RKFu-C
Sunbelt 2.2.907.0 06.29.2007 Scam.Iwin
Symantec 10 06.30.2007 Hacktool.Rootkit
TheHacker 6.1.6.140 06.28.2007 Backdoor/ForBot.af
VBA32 3.12.0.2 06.30.2007 Trojan.Win32.Rootkit.Agent.NAD
VirusBuster 4.3.23:9 06.30.2007 Worm.ForBot.CV
Webwasher-Gateway 6.0.1 06.29.2007 Trojan.ForBot.AF.1

Aditional Information
File size: 2816 bytes
MD5: b8329f32492cb2330260b7cf1d853e51
SHA1: b3fa4b03298913dcf94b26d44a55a39e93653518
Bit9 info: http://fileadvisor.bit9.com/services/ex ... cf1d853e51
Sunbelt info: Scam.Iwin is created by a browser exploit for the purpose of transmitting false clicks to internet URLs.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

ksys.sys : Trojan.Pandex

Message par Malekal_morte » 01 juil. 2007 00:09

Type : Rootkit kernel mode, voici les listes des drivers :
\??\%Windows%\System32\ksys.sys

Mode de propagation : Failles sur les sites WEB & Cracks

but du malware : transformer la machine infecté en machine à envoyer des mails de spam.

Suppression : suivre la Procédure de désinfection des Trojans/Backdoor

Fiches des antivirus :
http://www.trendmicro.com/vinfo/virusen ... ET&VSect=T
http://www.fbmsoftware.com/spyware-net/ ... _sys/4029/

Les scans :
Complete scanning result of "ksys.sys", received in VirusTotal at 06.30.2007, 20:05:27 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 no virus found
AntiVir 7.4.0.37 06.29.2007 RKit/Agent.FT
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 06.30.2007 no virus found
AVG 7.5.0.476 06.30.2007 BackDoor.Generic7.ERG
BitDefender 7.2 06.30.2007 no virus found
CAT-QuickHeal 9.00 06.30.2007 no virus found
ClamAV devel-20070416 06.30.2007 no virus found
DrWeb 4.33 06.30.2007 no virus found
eSafe 7.0.15.0 06.30.2007 no virus found
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 06.30.2007 no virus found
FileAdvisor 1 06.30.2007 no virus found
Fortinet 2.91.0.0 06.30.2007 no virus found
F-Prot 4.3.2.48 06.29.2007 no virus found
F-Secure 6.70.13030.0 06.29.2007 no virus found
Ikarus T3.1.1.8 06.30.2007 no virus found
Kaspersky 4.0.2.24 06.30.2007 no virus found
McAfee 5064 06.29.2007 no virus found
Microsoft 1.2701 06.30.2007 no virus found
NOD32v2 2365 06.30.2007 a variant of Win32/Rootkit.Agent.EB
Norman 5.80.02 06.29.2007 no virus found
Panda 9.0.0.4 06.30.2007 no virus found
Sophos 4.19.0 06.28.2007 no virus found
Sunbelt 2.2.907.0 06.29.2007 no virus found
Symantec 10 06.30.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 no virus found
VBA32 3.12.0.2 06.29.2007 no virus found
VirusBuster 4.3.23:9 06.30.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 Rootkit.Agent.FT

Aditional Information
File size: 4992 bytes
MD5: da8d4be7adda5890904fb147c6bc01af
SHA1: 0810bb62f7a3e6a135c6e9a54a5c7d04abc4dc23
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

windev-xxxx-xxxx.sys : Email-Worm.Win32.Zhelatin.cx

Message par Malekal_morte » 01 juil. 2007 00:16

Type : Rootkit kernel mode, voici les listes des drivers :
\??\%Windows%\System32\windev-xxxx-xxxx.sys
où x sont des lettres ou chiffres aléatoires.

Mode de propagation : Failles sur les sites WEB & Cracks

but du malware : transformer la machine infecté en machine à envoyer des mails de spam.

Suppression : suivre la Procédure de désinfection des Trojans/Backdoor

Fiches des antivirus :
http://www.sophos.com/security/analyses/trojdorfc.html
http://secubox.aldria.com/topic-1165.html
http://spywarefiles.prevx.com/spywarefi ... I042958788

Les scans :
Complete scanning result of "windev-5880-7a4b.sys", received in VirusTotal at 06.30.2007, 19:41:02 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 Win32/Zhelatin.worm.139008
AntiVir 7.4.0.37 06.29.2007 TR/Peed.MD.1
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 06.30.2007 Win32:Agent-GPF
AVG 7.5.0.476 06.30.2007 Downloader.Generic4.ERI
BitDefender 7.2 06.30.2007 Trojan.Peed.MD
CAT-QuickHeal 9.00 06.30.2007 I-Worm.Zhelatin.cx
ClamAV devel-20070416 06.30.2007 no virus found
DrWeb 4.33 06.30.2007 BackDoor.Groan
eSafe 7.0.15.0 06.30.2007 Win32.Zhelatin.cx
eTrust-Vet 30.8.3752 06.29.2007 Win32/Sintun!generic
Ewido 4.0 06.30.2007 Not-A-Virus.SpamTool.Win32.Agent.af
FileAdvisor 1 06.30.2007 High threat detected
Fortinet 2.91.0.0 06.30.2007 W32/Dorf.A!tr
F-Prot 4.3.2.48 06.29.2007 W32/Dropper.gen6
F-Secure 6.70.13030.0 06.29.2007 Email-Worm.Win32.Zhelatin.cx
Ikarus T3.1.1.8 06.30.2007 SpamTool.Win32.Agent.af
Kaspersky 4.0.2.24 06.30.2007 Email-Worm.Win32.Zhelatin.cx
McAfee 5064 06.29.2007 Downloader-BAI.sys.gen.a
Microsoft 1.2701 06.30.2007 Backdoor:Win32/Nuwar.C
NOD32v2 2365 06.30.2007 Win32/Fuclip.V
Norman 5.80.02 06.29.2007 W32/DLoader.CPZR
Panda 9.0.0.4 06.30.2007 Malware Generic
Sophos 4.19.0 06.28.2007 Troj/Dorf-Fam
Sunbelt 2.2.907.0 06.29.2007 Storm.Worm
Symantec 10 06.30.2007 Trojan.Peacomm.B
TheHacker 6.1.6.140 06.28.2007 W32/Zhelatin.cx
VBA32 3.12.0.2 06.29.2007 BackDoor.Groan
VirusBuster 4.3.23:9 06.30.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 Trojan.Peed.MD.1

Aditional Information
File size: 139008 bytes
MD5: ab22f4458431913a935d1e109de20886
SHA1: dd80c811365c1d880ed6d085b40ed300c9d9d8c4
Bit9 info: http://fileadvisor.bit9.com/services/ex ... 109de20886
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

DefLib.sys / Trojan.Win32.Agent.asu

Message par Malekal_morte » 26 juil. 2007 08:48

C:\WINDOWS\system32\DefLib.sys
NOTE : Ajout d'une procédure de suppression : https://www.malekal.com/Trojan.Win32.Age ... all.ig.php
Voir le sujet sur BISS : http://www.bluetack.co.uk/forums/index. ... opic=18139
File DefLib.sys received on 07.23.2007 21:19:56 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.24.0 2007.07.23 no virus found
AntiVir 7.4.0.44 2007.07.23 no virus found
Authentium 4.93.8 2007.07.23 no virus found
Avast 4.7.997.0 2007.07.23 no virus found
AVG 7.5.0.476 2007.07.22 Generic5.NVS
BitDefender 7.2 2007.07.23 no virus found
CAT-QuickHeal 9.00 2007.07.23 Trojan.Agent.asu
ClamAV devel-20070416 2007.07.23 no virus found
DrWeb 4.33 2007.07.23 Trojan.NtRootKit.312
eSafe 7.0.15.0 2007.07.23 no virus found
eTrust-Vet 31.1.5002 2007.07.23 no virus found
Ewido 4.0 2007.07.23 no virus found
FileAdvisor 1 2007.07.23 no virus found
Fortinet 2.91.0.0 2007.07.23 no virus found
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.23 Trojan.Win32.Agent.asu
Ikarus T3.1.1.8 2007.07.23 no virus found
Kaspersky 4.0.2.24 2007.07.23 Trojan.Win32.Agent.asu
McAfee 5080 2007.07.23 New Malware.z
Microsoft 1.2704 2007.07.23 no virus found
NOD32v2 2415 2007.07.23 no virus found
Norman 5.80.02 2007.07.23 no virus found
Panda 9.0.0.4 2007.07.23 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.23 Hacktool.Rootkit
TheHacker 6.1.7.152 2007.07.23 no virus found
VBA32 3.12.2.1 2007.07.23 no virus found
VirusBuster 4.3.26:9 2007.07.23 no virus found
Webwasher-Gateway 6.0.1 2007.07.23 no virus found
Additional information
File size: 7923 bytes
MD5: 9894edce78bfa80a35860ec23092830b
SHA1: 222984ae4d3e125d49570ad49e31dffbc94e7fde
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

spooldr / Trojan-Downloader.Win32.Tibs.mr

Message par Malekal_morte » 26 juil. 2007 08:50

C:\windows\spooldr.exe
C:\windows\system32\spooldr.sys

ATTENTION spooldr.* patche le fichier C:\Windows\system32\drivers\tcpip.sys qui est légitime.
Il convient d'utiliser la commande sfc /scannow avec le CD de Windows pour remettre le fichier d'origine

File spooldr.exe received on 07.21.2007 19:43:24 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.21.0 2007.07.20 no virus found
AntiVir 7.4.0.44 2007.07.21 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.07.20 no virus found
Avast 4.7.997.0 2007.07.20 no virus found
AVG 7.5.0.476 2007.07.20 no virus found
BitDefender 7.2 2007.07.21 Trojan.Peed.IAN
CAT-QuickHeal 9.00 2007.07.20 (Suspicious) - DNAScan
ClamAV devel-20070416 2007.07.21 no virus found
DrWeb 4.33 2007.07.21 no virus found
eSafe 7.0.15.0 2007.07.19 Suspicious Trojan/Worm
eTrust-Vet 30.8.3797 2007.07.20 no virus found
Ewido 4.0 2007.07.21 no virus found
FileAdvisor 1 2007.07.21 no virus found
Fortinet 2.91.0.0 2007.07.21 no virus found
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.21 no virus found
Ikarus T3.1.1.8 2007.07.21 Trojan.Peed.IAN
Kaspersky 4.0.2.24 2007.07.21 Trojan-Downloader.Win32.Tibs.mr
McAfee 5079 2007.07.20 no virus found
Microsoft 1.2704 2007.07.21 Worm:Win32/Nuwar.gen
NOD32v2 2411 2007.07.21 no virus found
Norman 5.80.02 2007.07.20 no virus found
Panda 9.0.0.4 2007.07.21 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 VIPRE.Suspicious
Symantec 10 2007.07.21 no virus found
TheHacker 6.1.7.150 2007.07.21 no virus found
VBA32 3.12.2.1 2007.07.21 no virus found
VirusBuster 4.3.26:9 2007.07.21 no virus found
Webwasher-Gateway 6.0.1 2007.07.21 Trojan.Crypt.XPACK.Gen
Additional information
File size: 97074 bytes
MD5: 8bcab6788038020e1a354e81ba6cd0e2
SHA1: 57eda1ac0d3611db4483ff1fd1190217661797d4
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
File spooldr.sys received on 07.21.2007 19:50:30 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.21.0 2007.07.20 no virus found
AntiVir 7.4.0.44 2007.07.21 TR/PCK.Tibs.AP.166
Authentium 4.93.8 2007.07.20 no virus found
Avast 4.7.997.0 2007.07.20 no virus found
AVG 7.5.0.476 2007.07.20 Generic5.PUS
BitDefender 7.2 2007.07.21 Trojan.Peed.HZS
CAT-QuickHeal 9.00 2007.07.20 no virus found
ClamAV devel-20070416 2007.07.21 no virus found
DrWeb 4.33 2007.07.21 no virus found
eSafe 7.0.15.0 2007.07.19 no virus found
eTrust-Vet 30.8.3797 2007.07.20 Win32/Sinteri!generic
Ewido 4.0 2007.07.21 no virus found
FileAdvisor 1 2007.07.21 no virus found
Fortinet 2.91.0.0 2007.07.21 W32/Tibs.AP
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.21 Packed.Win32.Tibs.ap
Ikarus T3.1.1.8 2007.07.21 Packed.Win32.Tibs.ap
Kaspersky 4.0.2.24 2007.07.21 Packed.Win32.Tibs.ap
McAfee 5079 2007.07.20 no virus found
Microsoft 1.2704 2007.07.21 no virus found
NOD32v2 2411 2007.07.21 no virus found
Norman 5.80.02 2007.07.20 no virus found
Panda 9.0.0.4 2007.07.21 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.21 Hacktool
TheHacker 6.1.7.150 2007.07.21 no virus found
VBA32 3.12.2.1 2007.07.21 no virus found
VirusBuster 4.3.26:9 2007.07.21 Rootkit.Tibs.IP
Webwasher-Gateway 6.0.1 2007.07.21 Trojan.PCK.Tibs.AP.166
Additional information
File size: 7968 bytes
MD5: 772cf03785d628e61cd66cc5dcdb7ece
SHA1: d36c03e366fab3ce93089c2ebd3a230f6982997d
File tcpip.sys received on 07.21.2007 19:34:34 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.21.0 2007.07.20 no virus found
AntiVir 7.4.0.44 2007.07.21 no virus found
Authentium 4.93.8 2007.07.20 no virus found
Avast 4.7.997.0 2007.07.20 no virus found
AVG 7.5.0.476 2007.07.20 no virus found
BitDefender 7.2 2007.07.21 no virus found
CAT-QuickHeal 9.00 2007.07.20 no virus found
ClamAV devel-20070416 2007.07.21 no virus found
DrWeb 4.33 2007.07.21 no virus found
eSafe 7.0.15.0 2007.07.19 no virus found
eTrust-Vet 30.8.3797 2007.07.20 no virus found
Ewido 4.0 2007.07.21 no virus found
FileAdvisor 1 2007.07.21 no virus found
Fortinet 2.91.0.0 2007.07.21 no virus found
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.21 Type_Win32
Ikarus T3.1.1.8 2007.07.21 no virus found
Kaspersky 4.0.2.24 2007.07.21 Type_Win32
McAfee 5079 2007.07.20 no virus found
Microsoft 1.2704 2007.07.21 no virus found
NOD32v2 2411 2007.07.21 no virus found
Norman 5.80.02 2007.07.20 no virus found
Panda 9.0.0.4 2007.07.21 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 VIPRE.Suspicious
Symantec 10 2007.07.21 no virus found
TheHacker 6.1.7.150 2007.07.21 no virus found
VBA32 3.12.2.1 2007.07.21 no virus found
VirusBuster 4.3.26:9 2007.07.21 no virus found
Webwasher-Gateway 6.0.1 2007.07.21 no virus found
Additional information
File size: 374144 bytes
MD5: bd9ad9d12f9197af28e391c7c6b87d78
SHA1: 5a6b3a0b97ba0b078e147c189cc7fab7dedaab33
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

lanmandrv.sys/lanmanwrk.exe : Trojan.Downloader.Agent.YHY

Message par Malekal_morte » 26 juil. 2007 08:53

O4 - HKLM\..\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe
--> C:\WINDOWS\System32\lanmandrv.sys
File lanmandrv.sys received on 07.17.2007 19:51:58 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.17 Win-Trojan/Agent.5376.C
AntiVir 7.4.0.42 2007.07.17 TR/Dldr.Agent.5376
Authentium 4.93.8 2007.07.17 no virus found
Avast 4.7.997.0 2007.07.17 no virus found
AVG 7.5.0.476 2007.07.16 no virus found
BitDefender 7.2 2007.07.17 Trojan.Downloader.Agent.YHY
CAT-QuickHeal 9.00 2007.07.17 no virus found
ClamAV devel-20070416 2007.07.17 no virus found
DrWeb 4.33 2007.07.17 no virus found
eSafe 7.0.15.0 2007.07.17 no virus found
eTrust-Vet 30.8.3789 2007.07.17 no virus found
Ewido 4.0 2007.07.17 no virus found
FileAdvisor 1 2007.07.17 no virus found
Fortinet 2.91.0.0 2007.07.17 no virus found
F-Prot 4.3.2.48 2007.07.17 no virus found
Ikarus T3.1.1.8 2007.07.17 Trojan-Downloader.Agent.YHY
Kaspersky 4.0.2.24 2007.07.17 no virus found
McAfee 5076 2007.07.17 Generic RootKit.a
Microsoft 1.2704 2007.07.17 no virus found
NOD32v2 2403 2007.07.17 no virus found
Norman 5.80.02 2007.07.17 no virus found
Panda 9.0.0.4 2007.07.17 no virus found
Sophos 4.19.0 2007.07.16 no virus found
Sunbelt 2.2.907.0 2007.07.16 no virus found
Symantec 10 2007.07.17 no virus found
TheHacker 6.1.7.148 2007.07.16 no virus found
VBA32 3.12.2 2007.07.16 no virus found
VirusBuster 4.3.23:9 2007.07.17 no virus found
Webwasher-Gateway 6.0.1 2007.07.17 Trojan.Dldr.Agent.5376
Aditional information
File size: 5248 bytes
MD5: 05333f35c77edbb1632965ddf2b14329
SHA1: a64b10c1fcc70cf278c4085890c25189222c2bf8
File lanmanwrk.exe received on 07.17.2007 19:52:16 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.17 no virus found
AntiVir 7.4.0.42 2007.07.17 no virus found
Authentium 4.93.8 2007.07.17 Possibly a new variant of W32/SelfStarterInternetTrojan!Maximus
Avast 4.7.997.0 2007.07.17 Win32:Agent-IZJ
AVG 7.5.0.476 2007.07.16 no virus found
BitDefender 7.2 2007.07.17 Dropped:Trojan.Downloader.Agent.YHY
CAT-QuickHeal 9.00 2007.07.17 no virus found
ClamAV devel-20070416 2007.07.17 no virus found
DrWeb 4.33 2007.07.17 no virus found
eSafe 7.0.15.0 2007.07.17 suspicious Trojan/Worm
eTrust-Vet 30.8.3789 2007.07.17 no virus found
Ewido 4.0 2007.07.17 no virus found
FileAdvisor 1 2007.07.17 no virus found
Fortinet 2.91.0.0 2007.07.17 no virus found
F-Prot 4.3.2.48 2007.07.17 W32/SelfStarterInternetTrojan!Maximus
Ikarus T3.1.1.8 2007.07.17 Trojan-Downloader.Win32.Banload.ams
Kaspersky 4.0.2.24 2007.07.17 no virus found
McAfee 5076 2007.07.17 no virus found
Microsoft 1.2704 2007.07.17 TrojanDownloader:Win32/Agent.ABD
NOD32v2 2403 2007.07.17 a variant of Win32/Agent.AIA
Norman 5.80.02 2007.07.17 W32/Horst.gen33
Panda 9.0.0.4 2007.07.17 no virus found
Sophos 4.19.0 2007.07.16 no virus found
Sunbelt 2.2.907.0 2007.07.16 no virus found
Symantec 10 2007.07.17 no virus found
TheHacker 6.1.7.148 2007.07.16 no virus found
VBA32 3.12.2 2007.07.16 no virus found
VirusBuster 4.3.23:9 2007.07.17 no virus found
Webwasher-Gateway 6.0.1 2007.07.17 Trojan.Downloader.Win32.ModifiedUPX.gen (suspicious)
Aditional information
File size: 19096 bytes
MD5: efefcf48fbab52ede273585a3acdb3cd
SHA1: c6ef6e499de8f2bf6e25025cf6deb05827cb277f
packers: UPX
packers: UPX
packers: UPX
packers: UPX
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

Re: Les rootkits

Message par Malekal_morte » 30 déc. 2007 10:44

Storm Happy new Year : http://www.prevx.com/blog/74/Storm-Worm ... round.html
Mail happy-2008.exe et happynewyear.exe.
File clean5d09-31a2.sys received on 12.26.2007 19:55:04 (CET)
Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - TR/Rootkit.Gen
Authentium - - -
Avast - - Win32:Zhelatin-ASX
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - Trojan.Zhelatin
DrWeb - - Trojan.Spambot.2386
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - W32/SYStroj.C.gen!Eldorado
F-Secure - - -
Ikarus - - Backdoor.Win32.Agent.amd
Kaspersky - - -
McAfee - - Downloader-BAI.sys.gen.a
Microsoft - - Backdoor:WinNT/Nuwar.B!sys
NOD32v2 - - probably a variant of Win32/Fuclip
Norman - - -
Panda - - -
Prevx1 - - Win32.Rootkit.Gen
Rising - - -
Sophos - - Troj/Dorf-Fam
Sunbelt - - -
Symantec - - Trojan.Peacomm
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Rootkit.Gen
Additional information
MD5: 1f2adda8ffb53d6de7681cca460e57e7
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

Re: Les rootkits

Message par Malekal_morte » 30 déc. 2007 10:46

Variante de windev-xxxx-xxxx.sys : viewtopic.php?p=25837#p25837
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KALLENY369D-166D]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KALLENY369D-166D\0000]
"Service"="kalleny369d-166d"
"DeviceDesc"="kalleny369d-166d"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kalleny369d-166d]
"Type"=dword:00000001
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\kalleny369d-166d.sys"
"DisplayName"="kalleny369d-166d"

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\system32\kalleny.config
C:\WINDOWS\system32\kalleny369d-166d.sys

scan completed successfully
hidden processes: 0
hidden files: 2
Fichier kalleny369d-166d.sys reçu le 2007.12.30 02:26:29 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 8/32 (25%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.12.29.11 2007.12.29 -
AntiVir 7.6.0.46 2007.12.29 TR/Rootkit.Gen
Authentium 4.93.8 2007.12.29 -
Avast 4.7.1098.0 2007.12.29 Win32:Zhelatin-ASX
AVG 7.5.0.516 2007.12.29 -
BitDefender 7.2 2007.12.29 -
CAT-QuickHeal 9.00 2007.12.29 -
ClamAV 0.91.2 2007.12.30 -
DrWeb 4.44.0.09170 2007.12.29 -
eSafe 7.0.15.0 2007.12.27 -
eTrust-Vet 31.3.5412 2007.12.29 Win32/Sintun!generic
Ewido 4.0 2007.12.29 -
FileAdvisor 1 2007.12.30 -
Fortinet 3.14.0.0 2007.12.29 -
F-Prot 4.4.2.54 2007.12.29 W32/SYStroj.C.gen!Eldorado
F-Secure 6.70.13030.0 2007.12.30 -
Ikarus T3.1.1.15 2007.12.30 -
Kaspersky 7.0.0.125 2007.12.30 -
McAfee 5195 2007.12.28 -
Microsoft 1.3109 2007.12.29 Backdoor:WinNT/Nuwar.B!sys
NOD32v2 2755 2007.12.29 -
Norman 5.80.02 2007.12.28 -
Panda 9.0.0.4 2007.12.30 -
Prevx1 V2 2007.12.30 -
Rising 20.24.52.00 2007.12.29 -
Sophos 4.24.0 2007.12.29 Troj/Dorf-Fam
Sunbelt 2.2.907.0 2007.12.28 -
Symantec 10 2007.12.30 Trojan.Peacomm.D
TheHacker 6.2.9.175 2007.12.29 -
VBA32 3.12.2.5 2007.12.29 -
VirusBuster 4.3.26:9 2007.12.29 -
Webwasher-Gateway 6.6.2 2007.12.29 Trojan.Rootkit.Gen
Information additionnelle
File size: 131200 bytes
MD5: 044f882926b899287d70ca2d4a9aeae6
SHA1: 4c23064e771b138afdf3356075de0df4ab99f31a
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

Re: Les rootkits

Message par Malekal_morte » 30 déc. 2007 13:06

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect "ImagePath"
Type: REG_EXPAND_SZ
Data: System32\drivers\protect.sys

c:\WINDOWS\system32\cdb.exe
Date: 9/22/2007 2:54 PM
Size: 46,080 bytes
c:\WINDOWS\system32\drivers\protect.sys
Date: 9/22/2007 2:55 PM
Size: 18,944 bytes
File protect.sys received on 09.22.2007 15:40:24 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.9.22.0 2007.09.21 -
AntiVir 7.6.0.15 2007.09.21 TR/Agent.NWI.1
Authentium 4.93.8 2007.09.21 -
Avast 4.7.1043.0 2007.09.22 -
AVG 7.5.0.485 2007.09.21 PSW.Agent.NWI
BitDefender 7.2 2007.09.22 Win32.Mydoom.ABS
CAT-QuickHeal 9.00 2007.09.21 -
ClamAV None 2007.09.22 Trojan.Agent-7550
DrWeb 4.33 2007.09.22 Trojan.NtRootKit.361
eSafe 7.0.15.0 2007.09.19 -
eTrust-Vet 31.2.5154 2007.09.21 -
Ewido 4.0 2007.09.20 -
FileAdvisor 1 2007.09.22 -
Fortinet 3.11.0.0 2007.09.22 W32/Agent.NAJ!tr
F-Prot 4.3.2.48 2007.09.21 -
F-Secure 6.70.13030.0 2007.09.21 -
Ikarus T3.1.1.12 2007.09.22 -
Kaspersky 4.0.2.24 2007.09.22 -
McAfee 5125 2007.09.21 -
Microsoft 1.2803 2007.09.22 -
NOD32v2 2544 2007.09.21 Win32/SpamTool.Agent.NAJ
Norman 5.80.02 2007.09.21 -
Panda 9.0.0.4 2007.09.22 Rootkit/Agent.GJE
Prevx1 V2 2007.09.22 -
Rising 19.41.52.00 2007.09.22 -
Sophos 4.21.0 2007.09.22 -
Sunbelt 2.2.907.0 2007.09.22 SpamTool.Win32.Agent.n
Symantec 10 2007.09.22 -
TheHacker 6.2.5.066 2007.09.22 -
VBA32 3.12.2.4 2007.09.22 Trojan.Win32.SpamTool.Agent.NAJ
VirusBuster 4.3.26:9 2007.09.21 -
Webwasher-Gateway 6.0.1 2007.09.21 Trojan.Agent.NWI.1
Additional information
File size: 18944 bytes
MD5: 13a366eef1bf920ffcf754716fda7ade
SHA1: a614eae1da5ee91f034958e23ebd8410ae981115
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

Re: Les rootkits

Message par Malekal_morte » 30 déc. 2007 13:11

Plus d'informations sur Cutwail.H sur BISS (en anglais) : http://www.bluetack.co.uk/forums/index. ... opic=18005

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ctl_w32.sys
Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ctl_w32.sys@ Driver
Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ctl_w32.sys
Reg HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ctl_w32.sys@ Driver
Reg HKLM\SYSTEM\CurrentControlSet\Services\ctl_w32
Reg HKLM\SYSTEM\CurrentControlSet\Services\ctl_w32@ImagePath \SystemRoot\system32\drivers\ctl_w32.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\ctl_w32@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ctl_w32@ErrorControl 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ctl_w32@Start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ctl_w32@DependOnGroup File System

---- Files - GMER 1.0.14 ----

File C:\WINDOWS\system32\drivers\ctl_w32.sys 34816 bytes
File nax.exe received on 11.27.2007 06:42:30 (CET)Antivirus Version Last Update Result
AhnLab-V3 2007.11.27.0 2007.11.27 -
AntiVir 7.6.0.34 2007.11.26 -
Authentium 4.93.8 2007.11.24 -
Avast 4.7.1074.0 2007.11.25 -
AVG 7.5.0.503 2007.11.26 Downloader.Agent.14.C
BitDefender 7.2 2007.11.27 -
CAT-QuickHeal 9.00 2007.11.26 -
ClamAV 0.91.2 2007.11.26 -
DrWeb 4.44.0.09170 2007.11.26 BackDoor.Bulknet.97
eSafe 7.0.15.0 2007.11.21 -
eTrust-Vet 31.3.5329 2007.11.26 -
Ewido 4.0 2007.11.26 -
FileAdvisor 1 2007.11.27 -
Fortinet 3.14.0.0 2007.11.27 -
F-Prot 4.4.2.54 2007.11.27 -
F-Secure 6.70.13030.0 2007.11.27 -
Ikarus T3.1.1.12 2007.11.27 -
Kaspersky 7.0.0.125 2007.11.27 -
McAfee 5171 2007.11.26 -
Microsoft 1.3007 2007.11.27 TrojanDropper:Win32/Cutwail.H
NOD32v2 2687 2007.11.26 -
Norman 5.80.02 2007.11.26 -
Panda 9.0.0.4 2007.11.26 -
Prevx1 V2 2007.11.27 -
Rising 20.20.10.00 2007.11.27 -
Sophos 4.23.0 2007.11.27 Troj/Pushdo-Gen
Sunbelt 2.2.907.0 2007.11.27 -
Symantec 10 2007.11.27 -
TheHacker 6.2.9.142 2007.11.26 -
VBA32 3.12.2.5 2007.11.23 -
VirusBuster 4.3.26:9 2007.11.26 -
Webwasher-Gateway 6.0.1 2007.11.27 -

Additional information
File size: 20480 bytes
MD5: 5eb708dbb4e3391435494d0f434fbbfd
SHA1: 41b911427cc4cd8d088c91e34dea804ba8c4c67f
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

Re: Les rootkits

Message par Malekal_morte » 22 janv. 2008 18:37

Rustock revient avec de nouvelles variantes.


Nouveaux drivers : drtya.sys / sysldr.sys / dxdss.sys etc..
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ztx86]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\ztx86.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ztx86\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..


Quote
Fichier upaq.exe reçu le 2008.01.22 14:59:28 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/32 (15.63%)


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.23.10 2008.01.22 -
AntiVir 7.6.0.48 2008.01.22 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.01.22 -
Avast 4.7.1098.0 2008.01.22 -
AVG 7.5.0.516 2008.01.22 -
BitDefender 7.2 2008.01.22 -
CAT-QuickHeal 9.00 2008.01.21 (Suspicious) - DNAScan
ClamAV 0.91.2 2008.01.22 -
DrWeb 4.44.0.09170 2008.01.22 -
eSafe 7.0.15.0 2008.01.16 Suspicious File
eTrust-Vet 31.3.5477 2008.01.22 -
Ewido 4.0 2008.01.22 -
FileAdvisor 1 2008.01.22 -
Fortinet 3.14.0.0 2008.01.22 -
F-Prot 4.4.2.54 2008.01.21 -
F-Secure 6.70.13260.0 2008.01.22 -
Ikarus T3.1.1.20 2008.01.22 -
Kaspersky 7.0.0.125 2008.01.22 -
McAfee 5212 2008.01.21 -
Microsoft 1.3109 2008.01.22 Backdoor:Win32/Rustock.gen!C
NOD32v2 2815 2008.01.22 -
Norman 5.80.02 2008.01.21 -
Panda 9.0.0.4 2008.01.21 -
Prevx1 V2 2008.01.22 -
Rising 20.28.12.00 2008.01.22 -
Sophos 4.24.0 2008.01.22 -
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.22 -
TheHacker 6.2.9.193 2008.01.22 -
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.21 -
Webwasher-Gateway 6.6.2 2008.01.22 Trojan.Crypt.XPACK.Gen
Information additionnelle
File size: 58368 bytes
MD5: 68d9a79aa5906e4af60aa2dbe0840dae
SHA1: c1cc9c6be035d67986ce8d3aae68b2b3a1ec1793
PEiD: -
packers: PE_Patch
Driver avec des fichiers .tga
File astq.tga received on 01.21.2008 22:33:20 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2008.1.22.10 2008.01.21 -
AntiVir 7.6.0.48 2008.01.21 TR/Rootkit.Gen
Authentium 4.93.8 2008.01.21 -
Avast 4.7.1098.0 2008.01.21 -
AVG 7.5.0.516 2008.01.21 -
BitDefender 7.2 2008.01.21 -
CAT-QuickHeal 9.00 2008.01.21 -
ClamAV 0.91.2 2008.01.21 -
DrWeb 4.44.0.09170 2008.01.21 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5475 2008.01.21 -
Ewido 4.0 2008.01.21 -
FileAdvisor 1 2008.01.21 -
Fortinet 3.14.0.0 2008.01.21 -
F-Prot 4.4.2.54 2008.01.21 -
F-Secure 6.70.13260.0 2008.01.21 -
Ikarus T3.1.1.20 2008.01.21 -
Kaspersky 7.0.0.125 2008.01.21 -
McAfee 5212 2008.01.21 -
Microsoft 1.3109 2008.01.21 Backdoor:Win32/Rustock.gen!B
NOD32v2 2812 2008.01.21 -
Norman 5.80.02 2008.01.21 -
Panda 9.0.0.4 2008.01.21 -
Rising 20.28.02.00 2008.01.21 -
Sophos 4.24.0 2008.01.21 Mal/RKRustok-A
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.21 -
TheHacker 6.2.9.192 2008.01.21 -
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.21 -
Webwasher-Gateway 6.6.2 2008.01.21 Trojan.Rootkit.Gen


File size: 54764 bytes
MD5: 640052aee6e091b4e3c8e8c3090ffbe8
SHA1: 3a0468f4f03a4ab959c62d244f34abb48c42c884
PEiD: -
packers: PE_Patch
File dxdss.sys received on 01.19.2008 02:27:08 (CET)

Result: 7/32 (21.88%)

AntiVir 7.6.0.48 2008.01.18 TR/Rootkit.Gen
BitDefender 7.2 2008.01.19 Backdoor.Rustock.NBY
Ikarus T3.1.1.20 2008.01.19 Backdoor.Rustock.NBY
Microsoft 1.3109 2008.01.18 Backdoor:Win32/Rustock.gen!C
Norman 5.80.02 2008.01.18 W32/Rootkit.CMA
Sophos 4.24.0 2008.01.19 Mal/RKRustok-A
Webwasher-Gateway 6.6.2 2008.01.18 Trojan.Rootkit.Gen

File size: 54764 bytes
MD5: fa3154fd716c5a304196de3fedf3b115
SHA1: 0b5e1b28035558d17e3b91e433144c799e5cba5a
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87242
Inscription : 10 sept. 2005 13:57
Contact :

Re: Les rootkits

Message par Malekal_morte » 24 janv. 2008 11:26

Autre variante :
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-25 00:09:38
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysldr]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\drivers\sysldr"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysldr\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysldr]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\drivers\sysldr"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysldr\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
Fichier sysldr reçu le 2008.01.24 10:12:59 (CET)
Situation actuelle: terminé
Résultat: 8/31 (25.81%)
Formaté Formaté

Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.24.11 2008.01.24 -
AntiVir 7.6.0.48 2008.01.24 TR/Rootkit.Gen
Authentium 4.93.8 2008.01.24 -
Avast 4.7.1098.0 2008.01.23 -
AVG 7.5.0.516 2008.01.23 -
BitDefender 7.2 2008.01.24 -
CAT-QuickHeal 9.00 2008.01.23 -
ClamAV 0.91.2 2008.01.24 -
DrWeb 4.44.0.09170 2008.01.24 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5482 2008.01.24 -
Ewido 4.0 2008.01.23 -
FileAdvisor 1 2008.01.24 -
Fortinet 3.14.0.0 2008.01.23 -
F-Prot 4.4.2.54 2008.01.24 -
F-Secure 6.70.13260.0 2008.01.24 W32/Rootkit.COE
Ikarus T3.1.1.20 2008.01.24 -
Kaspersky 7.0.0.125 2008.01.24 -
McAfee 5214 2008.01.23 -
Microsoft 1.3109 2008.01.24 Backdoor:Win32/Rustock.gen!C
NOD32v2 2818 2008.01.23 -
Norman 5.80.02 2008.01.23 W32/Rootkit.COE
Panda 9.0.0.4 2008.01.23 Rootkit/Rustock
Prevx1 V2 2008.01.24 -
Rising 20.28.31.00 2008.01.24 -
Sophos 4.24.0 2008.01.24 Mal/RKRustok-A
Sunbelt 2.2.907.0 2008.01.23 Trojan.Rootkit.GEN
TheHacker 6.2.9.196 2008.01.23 -
VBA32 3.12.2.5 2008.01.21 -
VirusBuster 4.3.26:9 2008.01.23 -
Webwasher-Gateway 6.6.2 2008.01.24 Trojan.Rootkit.Gen
Information additionnelle
File size: 54764 bytes
MD5: e69e35c1aa6a6bcfc50d6127e316b201
SHA1: 7a0e75e90bc7c594ff4a436bdf81e006eb0e2bb1
PEiD: -
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités