Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Windows Windows XP Discussions Générales A l'aide, alerte au rootkit

A l'aide, alerte au rootkit

35 réponses
Avatar
Gloops
Bonjour tout le monde,

Tout a commenc=E9 calmement, mon d=E9fragmenteur (Auslogics Diskdefrag) s=
'en=20
prenait souvent aux m=EAmes fichiers et j'ai fini par trouver =E7a louche=
=2E=20
Comme Firefox =E9tait concern=E9 j'ai soulev=E9 la question dans un newsg=
roup=20
Firefox, il s'est av=E9r=E9 qu'il y avait un point o=F9 j'en demandais=20
beaucoup, il fallait effacer un fichier d'historique, de ce c=F4t=E9 les =

choses sont rentr=E9es dans l'ordre.

J'ai aussi par ailleurs des vid=E9os qui ont tendance =E0 se fragmenter d=
e=20
temps =E0 autre alors que je ne les ouvre jamais.

Dans le newsgroup Firefox, quelqu'un m'a sugg=E9r=E9 une analyse avec=20
http://dl.betanews.com/malwarebytes/mbam-setup.exe

On dirait que c'=E9tait une bonne id=E9e. Je glisse sur deux trucs dans u=
n=20
programme que j'ai d=E9velopp=E9, je demanderai ensuite confirmation dans=
un=20
newsgroup de programmation.

Je glisse aussi sur=20
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl=
orer=20
qui contient une clef DWord StartMenuLogoff =E0 1, si j'en crois ce que=20
j'ai lu ailleurs =E7a supprime le bouton d=E9connecter dans le menu=20
d=E9marrer, or j'ai tout ce qu'il faut pour fermer la session ou Windows,=
=20
donc =E7a n'a pas l'air m=E9chant.

Ce qui me tracasse davantage, ce sont deux fichiers dont les noms sont=20
des nombres =E0 sept chiffres, avec l'extension exe, dans le r=E9pertoire=
=20
Windows. MBAM me les signale comme Rootkit.Agent, et alors =E7a si je ne =

m'abuse, comme truc dangereux, =E7a se pose l=E0.

Avec un peu de chance ils n'ont pas encore s=E9vi et il suffira de les=20
effacer.

Bon, la premi=E8re des choses =E0 faire, je suppose, c'est de d=E9marrer =
avec=20
mon CD BartPE (il va de soi que je n'ai pas commenc=E9 =E0 r=E9ellement=20
utiliser la machine tant que je ne l'ai pas grav=E9, vu que maintenant le=
s=20
constructeurs ont la ... "d=E9contraction" de ne pas fournir de CD de=20
d=E9marrage avec les portables qu'ils vendent).

Alors une fois d=E9marr=E9 sur le BartPE, je fais quoi ?
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3 4
Avatar
Gloops
Herser a écrit, le 25/07/2011 15:52 :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Tu télécharges, installes, mets à jour la base et scannes ton PC
Ce scan n'est qu'un diagnostic, pas un nettoyage : il donne un rapport
ZHPDiag.txt
Rapport que tu envoies en PJ, ici.



Ah, les premiers 43% sont allés très vite, et puis pour le reste, j'a i
l'impression qu'on a le temps d'aller manger ...

Ah tiens à cette occasion j'ai vu que j'ai Google Chrome d'installé. Ils
ont fait très fort, ceux-là. Ah si je les ai laissés passer, je peu x
aussi avoir laissé passer autre chose ...
Avatar
Gloops
Gloops a écrit, le 25/07/2011 19:23 :
Herser a écrit, le 25/07/2011 15:52 :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Tu télécharges, installes, mets à jour la base et scannes ton PC
Ce scan n'est qu'un diagnostic, pas un nettoyage : il donne un rapport
ZHPDiag.txt
Rapport que tu envoies en PJ, ici.



Ah, les premiers 43% sont allés très vite, et puis pour le reste, j 'ai
l'impression qu'on a le temps d'aller manger ...

Ah tiens à cette occasion j'ai vu que j'ai Google Chrome d'installé . Ils
ont fait très fort, ceux-là. Ah si je les ai laissés passer, je p eux
aussi avoir laissé passer autre chose ...




Ah oui, ce qui prenait du temps, c'était qu'OnLine Armor demande les
autorisations ...

http://cjoint.com/?3GztKyXnu7N

Ah sur la même machine, de temps à autre il y a un écran bleu.
Tout-à-l'heure, IRP_NOT_LESS_OR_EQUAL sur aistor.sys (de mémoire).

Si il y a quelque chose qui saute aux yeux ...
Avatar
Gloops
Gloops a écrit, le 25/07/2011 18:43 :
Alors j'ai mis dans deux fichiers la liste des fichiers source et celle
de la sauvegarde, il y en a quelques milliers de différence, alors j' ai
voulu lister la différence ...



Euh, oui, mais pas dans le sens que je croyais ...
Il y a eu trois fichiers verrouillés donc non sauvegardés, et quelque s
milliers de fichiers sont présents ... dans la sauvegarde, mais pas (ou
du moins plus) dans l'original.

Tiens, elle est bizarre, cette sauvegarde.
Avatar
Herser
Gloops a écrit dans le message de news:j0k9mt$ugd$
Gloops a écrit, le 25/07/2011 19:23 :




Je viens de découvrir, un peu en retard !
De plus l'analyse est nécessairement longue.

J'ai oublié de demander le rapport MBAM visible dans l'onglet Rapports/Logs.
Choisis le rapport le + complet, si tu hésites sur le bon (double clic sur
mbam-log......txt)

Le diag n'est pas complet, il manque les outils rootkit.
Qui en diront peut-être plus : un fichier au nom aléatoire PEJHHXKVWJ.exe me
gêne

Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est coché sauf
:
- ligne 045
- ligne 061 et 062
- ligne 065
- ligne 082
Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree)
Si rapport plus complet, le renvoyer (corrigé des noms indiscrets etc...)

Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin"
Envoie le pour analyse sur VirusTotal :
http://www.virustotal.com/index.html
Si le site te dit que le fichier a déjà été analysé (in english), demande de
le réanalyser
Copie ici le résultat de l'analyse.



En dehors d'un rootkit potentiel, ton rapport montre la présence de la
toolbar Ask
Passer Ad-Remover pour supprimer ces barres inutiles :
http://www.teamxscript.org/adremoverTelechargement.html
Puis se déconnecter et fermer toutes les fenêtres
Lancer Ad-Remover onglet : "Scanner"
Puis l'onglet "Nettoyer"
Envoie les 2 rapports.

A propos du temps à nettoyer vs temps à réinstaller, ça dépend de ce que le
diag trouvera
On a quand même intérêt à d'abord nettoyer
- il n'est pas dit que les images soient propres
- on peut aussi oublier une modification réalisée entre-temps, voire la
perdre.
Restaurer une image est un peu l'outil ultime, comme reformater,
heureusement plus rapide à remettre en état

Herser
Avatar
Gloops
Herser a écrit, le 25/07/2011 23:48 :
Gloops a écrit dans le message de news:j0k9mt$ugd$
Gloops a écrit, le 25/07/2011 19:23 :




Je viens de découvrir, un peu en retard !
De plus l'analyse est nécessairement longue.

J'ai oublié de demander le rapport MBAM visible dans l'onglet
Rapports/Logs.
Choisis le rapport le + complet, si tu hésites sur le bon (double cli c
sur mbam-log......txt)

Le diag n'est pas complet, il manque les outils rootkit.
Qui en diront peut-être plus : un fichier au nom aléatoire
PEJHHXKVWJ.exe me gêne

Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est c oché
sauf :
- ligne 045
- ligne 061 et 062
- ligne 065
- ligne 082
Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree)
Si rapport plus complet, le renvoyer (corrigé des noms indiscrets etc ...)

Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin"
Envoie le pour analyse sur VirusTotal :
http://www.virustotal.com/index.html
Si le site te dit que le fichier a déjà été analysé (in engli sh),
demande de le réanalyser
Copie ici le résultat de l'analyse.



En dehors d'un rootkit potentiel, ton rapport montre la présence de l a
toolbar Ask
Passer Ad-Remover pour supprimer ces barres inutiles :
http://www.teamxscript.org/adremoverTelechargement.html
Puis se déconnecter et fermer toutes les fenêtres
Lancer Ad-Remover onglet : "Scanner"
Puis l'onglet "Nettoyer"
Envoie les 2 rapports.

A propos du temps à nettoyer vs temps à réinstaller, ça dépen d de ce que
le diag trouvera
On a quand même intérêt à d'abord nettoyer
- il n'est pas dit que les images soient propres
- on peut aussi oublier une modification réalisée entre-temps, voir e la
perdre.
Restaurer une image est un peu l'outil ultime, comme reformater,
heureusement plus rapide à remettre en état

Herser





Bon, eh ben celui-là, comme il n'est pas très gros, on va se le faire à
la bonne franquette (je n'ai pas fait très attention qu'il y avait
plusieurs tailles de rapports, au besoin je relancerai l'analyse,
dommage). Comme je disais dans mon commentaire en tête de fil, c'est
surtout les deux dernières lignes qui m'inquiètent.
__________________________________________________
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7260

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24/07/2011 19:17:51
mbam-log-2011-07-24 (19-17-33).txt

Type d'examen: Examen complet (C:|)
Elément(s) analysé(s): 519577
Temps écoulé: 4 heure(s), 54 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdva ncedStartMenuLogoff
(PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:documents and settingsbibimes documentsvisual studio
2005Projectswindowsapplication2windowsapplication2binDebugwindowsap plication2.exe
(Trojan.Agent) -> No action taken.
c:documents and settingsbibimes documentsvisual studio
2005Projectswindowsapplication2windowsapplication2objDebugwindowsap plication2.exe
(Trojan.Agent) -> No action taken.
c:WINDOWS1431312.exe (Rootkit.Agent) -> No action taken.
c:WINDOWS8942531.exe (Rootkit.Agent) -> No action taken.
Avatar
Bernard Lempel
Ne te tortures pas les méninges pour rien.
Accepte ce que MBAM te dit de faire.

B. Lempel

"Gloops" a écrit dans le message de news:
j0kr2n$bcb$
Herser a écrit, le 25/07/2011 23:48 :
Gloops a écrit dans le message de news:j0k9mt$ugd$
Gloops a écrit, le 25/07/2011 19:23 :




Je viens de découvrir, un peu en retard !
De plus l'analyse est nécessairement longue.

J'ai oublié de demander le rapport MBAM visible dans l'onglet
Rapports/Logs.
Choisis le rapport le + complet, si tu hésites sur le bon (double clic
sur mbam-log......txt)

Le diag n'est pas complet, il manque les outils rootkit.
Qui en diront peut-être plus : un fichier au nom aléatoire
PEJHHXKVWJ.exe me gêne

Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est coché
sauf :
- ligne 045
- ligne 061 et 062
- ligne 065
- ligne 082
Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree)
Si rapport plus complet, le renvoyer (corrigé des noms indiscrets etc...)

Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin"
Envoie le pour analyse sur VirusTotal :
http://www.virustotal.com/index.html
Si le site te dit que le fichier a déjà été analysé (in english),
demande de le réanalyser
Copie ici le résultat de l'analyse.



En dehors d'un rootkit potentiel, ton rapport montre la présence de la
toolbar Ask
Passer Ad-Remover pour supprimer ces barres inutiles :
http://www.teamxscript.org/adremoverTelechargement.html
Puis se déconnecter et fermer toutes les fenêtres
Lancer Ad-Remover onglet : "Scanner"
Puis l'onglet "Nettoyer"
Envoie les 2 rapports.

A propos du temps à nettoyer vs temps à réinstaller, ça dépend de ce que
le diag trouvera
On a quand même intérêt à d'abord nettoyer
- il n'est pas dit que les images soient propres
- on peut aussi oublier une modification réalisée entre-temps, voire la
perdre.
Restaurer une image est un peu l'outil ultime, comme reformater,
heureusement plus rapide à remettre en état

Herser





Bon, eh ben celui-là, comme il n'est pas très gros, on va se le faire à
la bonne franquette (je n'ai pas fait très attention qu'il y avait
plusieurs tailles de rapports, au besoin je relancerai l'analyse,
dommage). Comme je disais dans mon commentaire en tête de fil, c'est
surtout les deux dernières lignes qui m'inquiètent.
__________________________________________________
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7260

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24/07/2011 19:17:51
mbam-log-2011-07-24 (19-17-33).txt

Type d'examen: Examen complet (C:|)
Elément(s) analysé(s): 519577
Temps écoulé: 4 heure(s), 54 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedStartMenuLogoff
(PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:documents and settingsbibimes documentsvisual studio
2005Projectswindowsapplication2windowsapplication2binDebugwindowsapplication2.exe
(Trojan.Agent) -> No action taken.
c:documents and settingsbibimes documentsvisual studio
2005Projectswindowsapplication2windowsapplication2objDebugwindowsapplication2.exe
(Trojan.Agent) -> No action taken.
c:WINDOWS1431312.exe (Rootkit.Agent) -> No action taken.
c:WINDOWS8942531.exe (Rootkit.Agent) -> No action taken.
Avatar
Gloops
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien.
Accepte ce que MBAM te dit de faire.



Ah bon, il dit de faire quelque chose ?
Avatar
Herser
Gloops a écrit dans le message de news:j0ls6t$d1b$
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien.
Accepte ce que MBAM te dit de faire.



Ah bon, il dit de faire quelque chose ?



Oui, il dit : "no action taken"
Ce qui est le message classique après analyse, avant nettoyage.
Je pensais que tu avais nettoyé, mais sans doute l'as-tu fait

Un bon tuto sur MBAM :
http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Après analyse, MBAM liste les éléments infectieux avec "Afficher les
résultats"
Ces éléments sont cochés, on peut en décocher au cas où il y ait des faux
positifs.
Puis "Supprimer la sélection".
Un message peut signaler qu'il faut redémarrer pour finaliser le nettoyage.

MBAM rédige alors le rapport de nettoyage; c'est ce rapport qui est le +
intéressant.

Précise si tu es bien aller au bout du nettoyage.
Et renvoie le rapport de nettoyage.

Herser
Avatar
Gloops
Herser a écrit, le 26/07/2011 10:18 :
Gloops a écrit dans le message de news:j0ls6t$d1b$
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien.
Accepte ce que MBAM te dit de faire.



Ah bon, il dit de faire quelque chose ?



Oui, il dit : "no action taken"



Oui, ça signifie que je n'ai rien fait.

Tu penses que le bestiau n'a pas attaqué alors, et qu'il n'y a que ces
deux fichiers.
Bon alors je ne sais toujours pas ce qui fragmente ces vidéos à
l'improviste alors qu'elles ne demandent rien à personne.

Ou il y a des dépendances sous-entendues, qu'on ne verra que dans le
rapport de nettoyage ?
En fermant MBAM je me suis dit, de toute façon, on a les chemins des
fichiers, ça sera vite fait de les effacer.
Avatar
Gloops
Gloops a écrit, le 26/07/2011 10:23 :
Herser a écrit, le 26/07/2011 10:18 :
Gloops a écrit dans le message de news:j0ls6t$d1b$ g
Bernard Lempel a écrit, le 26/07/2011 09:30 :
Ne te tortures pas les méninges pour rien.
Accepte ce que MBAM te dit de faire.



Ah bon, il dit de faire quelque chose ?



Oui, il dit : "no action taken"



Oui, ça signifie que je n'ai rien fait.

Tu penses que le bestiau n'a pas attaqué alors, et qu'il n'y a que ce s
deux fichiers.
Bon alors je ne sais toujours pas ce qui fragmente ces vidéos à
l'improviste alors qu'elles ne demandent rien à personne.

Ou il y a des dépendances sous-entendues, qu'on ne verra que dans le
rapport de nettoyage ?
En fermant MBAM je me suis dit, de toute façon, on a les chemins des
fichiers, ça sera vite fait de les effacer.





Il va bien falloir que je fasse comme si il n'allait pas y avoir de
réponse ...

Eh ben rien à faire, MBAM a supprimé les fichiers qu'il a dit, et pui s
c'est tout. RootkitRevealer ne peut toujours pas sauvegarder son
résultat d'analyse, donc semble-t-il je n'ai toujours pas une machine
propre.

Quant aux deux fichiers exécutables dénoncés par MBAM comme travail lant
avec un rootkit, ils sont présents dès ma première image du disque,
pourtant je n'avais pas spécialement lambiné. Je note d'ailleurs qu'i l
n'y a que MBAM à les signaler, et si ça se trouve il me les aurait
signalés déjà l'année dernière.

Euh ... plus qu'à dire amen, alors ? C'est que les disques
d'installation Windows XP, ça ne court guère les rues, ces jours-ci.

Ah oui il a été question d'un outil McAfee ... ça n'avait pas l'air
d'être tout-à-fait la même cible, mais je vais essayer.
1 2 3 4