5/5 - (1 vote)

ZHPDiag – Module O58 (SDL)

Un pilote, ou driver, est un programme qui permet à un système d’exploitation de reconnaître un matériel et de l’utiliser.  Les services du système sont souvent la cible de malwares.

Le module “System Drivers List”, (SDL) scrute en totalité le dossier système “system32” de Windows pour éditer la liste des pilotes. Les commentaires sont généralement basés sur la signature du processus.

Aperçu ZHPDiag

—\\ Liste des pilotes du système (3) – 8s
O58 – SDL:2017/03/18 22:56:25 A . (.LSI – LSI 3ware SCSI Storport Driver.) — C:\WINDOWS\System32\drivers\3ware.sys [107424] =>.Microsoft Windows®
O58 – SDL:2017/03/18 22:56:25 A . (.PMC-Sierra – PMC-Sierra Storport Driver For SPC8x6G SAS.) — C:\WINDOWS\System32\drivers\adp80xx.sys [1135512] =>.Microsoft Windows®
O58 – SDL:2014/07/21 22:03:42 A . (.Advanced Micro Devices, Inc. – AMD PCI Root Bus Lower Filter.) — C:\WINDOWS\System32\drivers\amdkmpfd.sys [36096] =>.Advanced Micro Devices, Inc.®

Equivalence MBAM

Files Infected:
C:\WINDOWS\system32\kernelw.sys (Trojan.Tibs)

Exemple d’infection

—\\ Liste des pilotes du système (4) – 10s
O58 – SDL:04/10/2012 – 10:27:18 —A- . (.WIPFW Project. – WIPFW Kernel-Mode Driver.) — C:\WINDOWS\system32\Drivers\ip_fw.sys [38400] =>Rootkit.Hacktool
O58 – SDL:[MD5.828A44F4525D714F7B9FE01B23022A69] – 08/04/2014 – 09:02:20 —A- . (.StdLib – StdLib.) — C:\Windows\System32\Drivers\wStLibG64.sys [61120] =>PUP.Optional.LinkiDoo
O58 – SDL:24/04/2014 – 11:34:30 —A- . (.StdLib – StdLib.) — C:\Windows\System32\Drivers\{3de9eb9c-a833-42cb-b66f-841b954aebef}Gw64.sys [61112] =>PUP.Optional.LinkiDoo
O58 – SDL:24/04/2014 – 12:21:30 —A- . (.StdLib – StdLib.) — C:\WINDOWS\system32\Drivers\{7f2b4ad0-671a-477b-bcd4-79d041f50d27}t.sys [55232] =>PUP.Optional.LinkiDoo

Action ZHPFix

O58 – SDL:[MD5.{MD5Name}] – 14/07/2009 – 02:26:15 —A- . (…) — {FileName}

{FileName} : Nom du fichier.

1) L’outil supprime le fichier {FileName}.

Rapport ZHPFix (Exemple)

Ligne saisie :
O58 – SDL:[MD5.E6D35F3AA51A65EB35C1F2340154A25E] – 29/07/2010 – 16:47:25 —A- . (…) — C:\WINDOWS\system32\drivers\ccpiayx.sys

Rapport de ZHPFix v1.12.3129 par Nicolas Coolman, Update du 27/07/2010

========== Fichier(s) ==========
c:\windows\system32\drivers\ccpiayx.sys => Supprimé et mis en quarantaine

========== Récapitulatif ==========
1 : Fichier(s)

A propos de l'auteur

Retour en haut