ZHPDiag – Module O58 (SDL)

Un pilote, ou driver, est un programme qui permet à un système d’exploitation de reconnaître un matériel et de l’utiliser.  Les services du système sont souvent la cible de malwares.

Le module « System Drivers List », (SDL) scrute en totalité le dossier système « system32 » de Windows pour éditer la liste des pilotes. Les commentaires sont généralement basés sur la signature du processus.

Aperçu ZHPDiag

—\\ Liste des pilotes du système (3) – 8s
O58 – SDL:2017/03/18 22:56:25 A . (.LSI – LSI 3ware SCSI Storport Driver.) — C:\WINDOWS\System32\drivers\3ware.sys [107424] =>.Microsoft Windows®
O58 – SDL:2017/03/18 22:56:25 A . (.PMC-Sierra – PMC-Sierra Storport Driver For SPC8x6G SAS.) — C:\WINDOWS\System32\drivers\adp80xx.sys [1135512] =>.Microsoft Windows®
O58 – SDL:2014/07/21 22:03:42 A . (.Advanced Micro Devices, Inc. – AMD PCI Root Bus Lower Filter.) — C:\WINDOWS\System32\drivers\amdkmpfd.sys [36096] =>.Advanced Micro Devices, Inc.®

Equivalence MBAM

Files Infected:
C:\WINDOWS\system32\kernelw.sys (Trojan.Tibs)

Exemple d’infection

—\\ Liste des pilotes du système (4) – 10s
O58 – SDL:04/10/2012 – 10:27:18 —A- . (.WIPFW Project. – WIPFW Kernel-Mode Driver.) — C:\WINDOWS\system32\Drivers\ip_fw.sys [38400] =>Rootkit.Hacktool
O58 – SDL:[MD5.828A44F4525D714F7B9FE01B23022A69] – 08/04/2014 – 09:02:20 —A- . (.StdLib – StdLib.) — C:\Windows\System32\Drivers\wStLibG64.sys [61120] =>PUP.Optional.LinkiDoo
O58 – SDL:24/04/2014 – 11:34:30 —A- . (.StdLib – StdLib.) — C:\Windows\System32\Drivers\{3de9eb9c-a833-42cb-b66f-841b954aebef}Gw64.sys [61112] =>PUP.Optional.LinkiDoo
O58 – SDL:24/04/2014 – 12:21:30 —A- . (.StdLib – StdLib.) — C:\WINDOWS\system32\Drivers\{7f2b4ad0-671a-477b-bcd4-79d041f50d27}t.sys [55232] =>PUP.Optional.LinkiDoo

Action ZHPFix

O58 – SDL:[MD5.{MD5Name}] – 14/07/2009 – 02:26:15 —A- . (…) — {FileName}

{FileName} : Nom du fichier.

1) L’outil supprime le fichier {FileName}.

Rapport ZHPFix (Exemple)

Ligne saisie :
O58 – SDL:[MD5.E6D35F3AA51A65EB35C1F2340154A25E] – 29/07/2010 – 16:47:25 —A- . (…) — C:\WINDOWS\system32\drivers\ccpiayx.sys

Rapport de ZHPFix v1.12.3129 par Nicolas Coolman, Update du 27/07/2010

========== Fichier(s) ==========
c:\windows\system32\drivers\ccpiayx.sys => Supprimé et mis en quarantaine

========== Récapitulatif ==========
1 : Fichier(s)