Author Topic: Rootkits dans mes drivers ? help svp  (Read 7218 times)

0 Members and 1 Guest are viewing this topic.

February 28, 2014, 09:45:36 pm

Totolanio

  • Guest
Rootkits dans mes drivers ? help svp
« on: February 28, 2014, 09:45:36 pm »
Salut,

je compte transférer des données de mon win xp à mon win7 (autre pc), et donc je le nettoie avant, et voici mon rapport rogue killer, car je ne sais pas comment l'interpréter :x
Et j'ai passé un malware anti root kit mais y'a rien apparemment (à part un message au démarrage du programme)

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

(mais ça ça me semble être normal c'est pour cacher des icones)

Et ça que je ne comprends rien, les deux derniers drivers sont en Vert et Violet pour le tout dernier (eat mozilla)



¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : unknown @ 0x805BC564 -> HOOKED (Unknown @ 0xF7AE8384)
[Address] SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xF7AE833E)
[Address] SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xF7AE838E)
[Address] SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xF7AE8334)
[Address] SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xF7AE8343)
[Address] SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xF7AE834D)
[Address] SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xF7AE837F)
[Address] SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xF7AE8352)
[Address] SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xF7AE8320)
[Address] SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xF7AE8325)
[Address] SSDT[177] : NtQueryValueKey @ 0x8062248E -> HOOKED (Unknown @ 0xF7AE83A7)
[Address] SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xF7AE835C)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x805A2DAA -> HOOKED (Unknown @ 0xF7AE8398)
[Address] SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xF7AE8357)
[Address] SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xF7AE8393)
[Address] SSDT[237] : NtSetSecurityObject @ 0x805C0662 -> HOOKED (Unknown @ 0xF7AE839D)
[Address] SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xF7AE8348)
[Address] SSDT[255] : NtSystemDebugControl @ 0x8061823E -> HOOKED (Unknown @ 0xF7AE83A2)
[Address] SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xF7AE832F)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7AE83B6)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7AE83BB)
[Address] IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED (sfsync02.sys @ 0xF7792D60)
[Inline] EAT @firefox.exe (LdrLoadDll) : ntdll.dll -> HOOKED (C:\Program Files\Mozilla Firefox\mozglue.dll @ 0x10001FFD)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1   localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST3250820AS +++++
--- User ---
[MBR] 826c6fe7b4d7ad9edbf2b592749407fb
[BSP] 1605c0987754059a1d4bd6f9c6c1c1b4 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238464 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_02282014_193006.txt >>



MERCI bcp si on peut m'aider T_T
« Last Edit: February 28, 2014, 09:47:12 pm by Totolanio »

Reply #1March 01, 2014, 12:13:51 pm

Tigzy

  • Administrator
  • Hero Member

  • Offline
  • *****

  • 947
  • Reputation:
    90
  • Personal Text
    Owner, Adlice Software
    • View Profile
    • Adlice Software
Re: Rootkits dans mes drivers ? help svp
« Reply #1 on: March 01, 2014, 12:13:51 pm »
Salut :)

Quote
[Address] IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED (sfsync02.sys @ 0xF7792D60)
=> StarForce Protection Synchronization Driver : sfsync02.sys
Je pense que c'est légitime.


Quote
[Inline] EAT @firefox.exe (LdrLoadDll) : ntdll.dll -> HOOKED (C:\Program Files\Mozilla Firefox\mozglue.dll @ 0x10001FFD)
Etant donné que c'est firefox qui hook sa propre table IAT avec sa propre DLL, je dirais que c'est sans danger.

Je vais rajouter dans la whitelist

Reply #2March 01, 2014, 08:02:00 pm

Totolanio

  • Guest
Re: Rootkits dans mes drivers ? help svp
« Reply #2 on: March 01, 2014, 08:02:00 pm »
ok mais jy connais gtellement rien que j'me disais "si y'a un rootkit ds le fichier de mozilla" lol

par contre ce truc starforce, apparemment c'est une protection anti piratage pour les jeux
je vais le supprimer quand même j'pense

Les autres alertes c'était rien du tout donc ? les autres drivers "inconnus"

Merci bien de ta réponse !

Reply #3March 01, 2014, 08:37:27 pm

Tigzy

  • Administrator
  • Hero Member

  • Offline
  • *****

  • 947
  • Reputation:
    90
  • Personal Text
    Owner, Adlice Software
    • View Profile
    • Adlice Software
Re: Rootkits dans mes drivers ? help svp
« Reply #3 on: March 01, 2014, 08:37:27 pm »
Drivers inconnus c'est en général des restes d'antivirus, ou des antivirus eux même. Ils font pointer le hook sur un shellcode qui redirige ensuite vers leur driver. Le driver de RK n'est pas assez évolué pour passer la première couche de hook.
C'est sans danger.

Reply #4March 01, 2014, 10:05:35 pm

Totolanio

  • Guest
Re: Rootkits dans mes drivers ? help svp
« Reply #4 on: March 01, 2014, 10:05:35 pm »
ok merci !!

dommage que je sache pas l'identifier :P


PS : la couleur de la mer est bleue, j'le jure, arrêtez de me demander haha

Reply #5March 02, 2014, 11:27:25 am

Tigzy

  • Administrator
  • Hero Member

  • Offline
  • *****

  • 947
  • Reputation:
    90
  • Personal Text
    Owner, Adlice Software
    • View Profile
    • Adlice Software
Re: Rootkits dans mes drivers ? help svp
« Reply #5 on: March 02, 2014, 11:27:25 am »
Quote
PS : la couleur de la mer est bleue, j'le jure, arrêtez de me demander haha

Je vais abaisser le nombre de questions à 1 post :p