Adlice forum

Software feedback => RogueKiller => Topic started by: Totolanio on February 28, 2014, 09:45:36 PM

Title: Rootkits dans mes drivers ? help svp
Post by: Totolanio on February 28, 2014, 09:45:36 PM

Salut,

je compte transférer des données de mon win xp à mon win7 (autre pc), et donc je le nettoie avant, et voici mon rapport rogue killer, car je ne sais pas comment l'interpréter :x
Et j'ai passé un malware anti root kit mais y'a rien apparemment (à part un message au démarrage du programme)

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

(mais ça ça me semble être normal c'est pour cacher des icones)

Et ça que je ne comprends rien, les deux derniers drivers sont en Vert et Violet pour le tout dernier (eat mozilla)



¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : unknown @ 0x805BC564 -> HOOKED (Unknown @ 0xF7AE8384)
[Address] SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xF7AE833E)
[Address] SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xF7AE838E)
[Address] SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xF7AE8334)
[Address] SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xF7AE8343)
[Address] SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xF7AE834D)
[Address] SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xF7AE837F)
[Address] SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xF7AE8352)
[Address] SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xF7AE8320)
[Address] SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xF7AE8325)
[Address] SSDT[177] : NtQueryValueKey @ 0x8062248E -> HOOKED (Unknown @ 0xF7AE83A7)
[Address] SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xF7AE835C)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x805A2DAA -> HOOKED (Unknown @ 0xF7AE8398)
[Address] SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xF7AE8357)
[Address] SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xF7AE8393)
[Address] SSDT[237] : NtSetSecurityObject @ 0x805C0662 -> HOOKED (Unknown @ 0xF7AE839D)
[Address] SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xF7AE8348)
[Address] SSDT[255] : NtSystemDebugControl @ 0x8061823E -> HOOKED (Unknown @ 0xF7AE83A2)
[Address] SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xF7AE832F)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7AE83B6)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7AE83BB)
[Address] IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED (sfsync02.sys @ 0xF7792D60)
[Inline] EAT @firefox.exe (LdrLoadDll) : ntdll.dll -> HOOKED (C:\Program Files\Mozilla Firefox\mozglue.dll @ 0x10001FFD)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1   localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) ST3250820AS +++++
--- User ---
[MBR] 826c6fe7b4d7ad9edbf2b592749407fb
[BSP] 1605c0987754059a1d4bd6f9c6c1c1b4 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238464 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_02282014_193006.txt >>



MERCI bcp si on peut m'aider T_T

Title: Re: Rootkits dans mes drivers ? help svp
Post by: Tigzy on March 01, 2014, 12:13:51 PM

Salut :)

Quote

[Address] IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED (sfsync02.sys @ 0xF7792D60)

=> StarForce Protection Synchronization Driver : sfsync02.sys
Je pense que c'est légitime.

Quote

[Inline] EAT @firefox.exe (LdrLoadDll) : ntdll.dll -> HOOKED (C:\Program Files\Mozilla Firefox\mozglue.dll @ 0x10001FFD)

Etant donné que c'est firefox qui hook sa propre table IAT avec sa propre DLL, je dirais que c'est sans danger.

Je vais rajouter dans la whitelist

Title: Re: Rootkits dans mes drivers ? help svp
Post by: Totolanio on March 01, 2014, 08:02:00 PM

ok mais jy connais gtellement rien que j'me disais "si y'a un rootkit ds le fichier de mozilla" lol

par contre ce truc starforce, apparemment c'est une protection anti piratage pour les jeux
je vais le supprimer quand même j'pense

Les autres alertes c'était rien du tout donc ? les autres drivers "inconnus"

Merci bien de ta réponse !

Title: Re: Rootkits dans mes drivers ? help svp
Post by: Tigzy on March 01, 2014, 08:37:27 PM

Drivers inconnus c'est en général des restes d'antivirus, ou des antivirus eux même. Ils font pointer le hook sur un shellcode qui redirige ensuite vers leur driver. Le driver de RK n'est pas assez évolué pour passer la première couche de hook.
C'est sans danger.

Title: Re: Rootkits dans mes drivers ? help svp
Post by: Totolanio on March 01, 2014, 10:05:35 PM

ok merci !!

dommage que je sache pas l'identifier :P


PS : la couleur de la mer est bleue, j'le jure, arrêtez de me demander haha

Title: Re: Rootkits dans mes drivers ? help svp
Post by: Tigzy on March 02, 2014, 11:27:25 AM

Quote

PS : la couleur de la mer est bleue, j'le jure, arrêtez de me demander haha

Je vais abaisser le nombre de questions à 1 post :p