A l'aide, alerte au rootkit

Gloops a écrit dans le message de news:j0rqps$lvp$1@speranza.aioe.org

Il va bien falloir que je fasse comme si il n'allait pas y avoir de
réponse ...

Ben ! j'attends la suite des diagnostics !
Si tu m'attends et que je t'attends............................
Ton médecin te soigne sans connaître les résultats des analyses qu'il a
demandées ?

Rappels quand même

ZHPDiag, à jour avec les diagnostics rootkit cochés dans les options.
Et envoi sur VirusTotal du fichier "PhysicalDisk0_MBR.bin"
Et rapport MBAM de NETTOYAGE et non d'analyse


Ou à défaut de diagnostic rootkit, scan avec MBRCheck :
http://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe
C'est cet analyseur de MBR qui écrit "PhysicalDisk0_MBR.bin" sur la
partition Windows.
Et c'est ce fichier qu'il faut envoyer à VirusTotal.
Avec les résultats ici, si problème détecté.



Herser, pas médecin pour autant.

Herser a écrit, le 28/07/2011 19:16 :

Gloops a écrit dans le message de news:j0rqps$lvp$1@speranza.aioe.org

Il va bien falloir que je fasse comme si il n'allait pas y avoir de
réponse ...

Ben ! j'attends la suite des diagnostics !
Si tu m'attends et que je t'attends............................
Ton médecin te soigne sans connaître les résultats des analyses q u'il a
demandées ?

C'est-à-dire que ... si je lui demande si je dois être à jeun (et à quel
point), en général il me répond de vive voix, c'est pratique :)

Rappels quand même

ZHPDiag, à jour avec les diagnostics rootkit cochés dans les option s.
Et envoi sur VirusTotal du fichier "PhysicalDisk0_MBR.bin"

Ah oui ça je l'ai relu tout-à-l'heure, j'ai vu que la première fois ça
m'était passé au-dessus :/

Et rapport MBAM de NETTOYAGE et non d'analyse

Oui, si tu veux, en fait on n'a franchement pas l'impression d'apprendre
grand-chose de neuf, car il cite les mêmes fichiers, mais cette fois en
disant qu'il les a effacés.

Je m'attendais à ce qu'il aille chercher des dépendances, ben
apparemment non.

Ou à défaut de diagnostic rootkit, scan avec MBRCheck :
http://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe

Il se peut que je dis une bêtise, mais il m'a bien semblé que ça av ait
été appelé par le module principal, non ?

C'est cet analyseur de MBR qui écrit "PhysicalDisk0_MBR.bin" sur la
partition Windows.
Et c'est ce fichier qu'il faut envoyer à VirusTotal.
Avec les résultats ici, si problème détecté.

Oui, ça, je vais voir tout-à-l'heure.

Herser, pas médecin pour autant.

Mais avec de bonnes recettes on dirait ... J'avais trois logiciels de
protection complémentaires, aucun ne m'avait signalé de rootkit.

Herser a écrit, le 25/07/2011 23:48 :

Le diag n'est pas complet, il manque les outils rootkit.
Qui en diront peut-être plus : un fichier au nom aléatoire
PEJHHXKVWJ.exe me gêne

Il faut dire que RootkitRevealer a facilement tendance à se lancer comm e
ça pour ne pas être trop facilement identifié par ses cibles, et ap rès
le programme a tendance à rester.
A ce niveau ce qui me gêne le plus est que le programme ne puisse pas
enregistrer le résultat de son analyse, sauf en mode ligne de commande,
où il trouve moins d'écarts qu'en mode fenêtre.

Je ne dirai pas que je me rappelle le nom, mais il me rappelle plus ou
moins quelque chose.

Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est c oché
sauf :
- ligne 045
- ligne 061 et 062
- ligne 065
- ligne 082
Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree)
Si rapport plus complet, le renvoyer (corrigé des noms indiscrets etc ...)

Ah oui alors ça c'est quelque chose où ... je suis allé un peu vite la
dernière fois. Cette fois j'ai corrigé les options, qui ne sont
effectivement pas celles par défaut.

Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin"
Envoie le pour analyse sur VirusTotal :
http://www.virustotal.com/index.html
Si le site te dit que le fichier a déjà été analysé (in engli sh),
demande de le réanalyser
Copie ici le résultat de l'analyse.

J'imagine que l'URL fera l'affaire ?
ça fera moins de boulot pour les serveurs de news ...

http://www.virustotal.com/file-scan/report.html?id=0b0a7ff8507423964130 86e41b3464f8ef160737104b01e14e3d1b5cabae5eb7-1311886567

Dès que j'ai téléchargé le fichier il a affiché ça, résulta t 0/43, avec
un tiret derrière chaque nom d'antivirus. J'ai cherché un bouton pour
lancer l'analyse, je ne l'ai pas vu, mais à ce que je comprends il faut
attendre que les intervenants réagissent, comme sur un newsgroup ?

En dehors d'un rootkit potentiel, ton rapport montre la présence de l a
toolbar Ask
Passer Ad-Remover pour supprimer ces barres inutiles :
http://www.teamxscript.org/adremoverTelechargement.html
Puis se déconnecter et fermer toutes les fenêtres
Lancer Ad-Remover onglet : "Scanner"
Puis l'onglet "Nettoyer"
Envoie les 2 rapports.

Oui, au final c'est vrai que je ne m'en sers pas si souvent que ça.

Ah tiens, Ad-remover décide lui-même quelles sont les barres à enle ver,
c'est un peu louche, ça, non ?

http://cjoint.com/?AGDbhyNBfTW


Bon alors il me restera à retrouver où est passé le compte-rendu de
purge de MBAM, là avec une recherche je n'ai trouvé que de choses qui
remontent au 24, mais c'était une recherche indexée, aussi.

Pour le moment, je fais déjà assez de fautes de Français de niveau CM1,
et de procédures appliquées à moitié, il est temps de dormir ...

Gloops a écrit dans le message de news:j0sqhn$6hm$1@speranza.aioe.org

Herser a écrit, le 25/07/2011 23:48 :

Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est
coché sauf :
- ligne 045
- ligne 061 et 062
- ligne 065
- ligne 082
Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree)
Si rapport plus complet, le renvoyer (corrigé des noms indiscrets
etc...)

Ah oui alors ça c'est quelque chose où ... je suis allé un peu vite la
dernière fois. Cette fois j'ai corrigé les options, qui ne sont
effectivement pas celles par défaut.

Et alors ..... ? le nouveau log donne d'autres infos intéressantes ?

Le scan crée un fichier sur C: nommé "PhysicalDisk0_MBR.bin"
Envoie le pour analyse sur VirusTotal :
http://www.virustotal.com/index.html

J'imagine que l'URL fera l'affaire ?
ça fera moins de boulot pour les serveurs de news ...

http://www.virustotal.com/file-scan/report.html?id0a7ff850742396413086e41b3464f8ef160737104b01e14e3d1b5cabae5eb7-1311886567

OK ! MBRCheck ne relève pas de rootkit dans le MBR : bon signe !
Peut-être avais tu déjà fait le nettoyage avec MBAM ?

Dès que j'ai téléchargé le fichier il a affiché ça, résultat 0/43,
avec un tiret derrière chaque nom d'antivirus. J'ai cherché un bouton pour
lancer l'analyse, je ne l'ai pas vu, mais à ce que je comprends il
faut attendre que les intervenants réagissent, comme sur un newsgroup ?

Non ! Tu envoies le fichier et si VT ne dit pas que ce fichier a déjà été
analysé, il lance l'analyse.
En fait, il scanne le fichier avec une quarantaine d'antivirus.
Si tous les résultats sont négatifs, le fichier est à 99.99 % propre
Si seuls 1 ou 2 ou 3 AV révèlent un virus, ce peut être un faux positif ou
un virus récent repéré par un AV plus réactif

Il n'y a rien d'autre à faire, ce n'est encore qu'un diagnostic.
Si virus, on voit son nom donné par l'AV qui l'a repéré
Un même virus a souvent plein d'alias, chaque AV ayant sa propre stratégie
de renommage.
Avec le/les nom/s, on poursuit alors la désinfection.

En dehors d'un rootkit potentiel, ton rapport montre la présence de
la toolbar Ask
Passer Ad-Remover pour supprimer ces barres inutiles :
http://www.teamxscript.org/adremoverTelechargement.html
Puis se déconnecter et fermer toutes les fenêtres
Lancer Ad-Remover onglet : "Scanner"
Puis l'onglet "Nettoyer"
Envoie les 2 rapports.

Oui, au final c'est vrai que je ne m'en sers pas si souvent que ça.

Ah tiens, Ad-remover décide lui-même quelles sont les barres à
enlever, c'est un peu louche, ça, non ?

http://cjoint.com/?AGDbhyNBfTW

L'idéal est d'envoyer le rapport de scan au "helper" qui repérera si faux
positif.
Puis faire le nettoyage ensuite
Je n'ai jamais vu à ce jour de FP sur Ad-Remover, je conseille donc le
nettoyage
Mais si veux que AskBar continue de t'empoisonner, tu vas sur leur site et
tu le réinstalles ;-)
Idem pour les autres pubiciels

Bon alors il me restera à retrouver où est passé le compte-rendu de
purge de MBAM, là avec une recherche je n'ai trouvé que de choses qui
remontent au 24, mais c'était une recherche indexée, aussi.

MBAM est un excellent outil qui a un onglet centralisant les rapports
conservés
Onglet Rapports/Logs : double clic sur un rapport et tu as le fichier txt

Pour le moment, je fais déjà assez de fautes de Français de niveau
CM1, et de procédures appliquées à moitié, il est temps de dormir ...

J'espère que tu as passé une bonne nuit !


PS : la plupart des rootkits qui s'installent de nos jours pour prendre la
main discrétement sur nos PC, sont de la famille des TDSS.
Un excellent outil pour les éradiquer : TDSSKiller de Kaspersky :
http://forum.malekal.com/tdsskiller-kaspersky-t28637.html

Si tu as des gros doutes, essaie !


Herser

Herser a écrit, le 29/07/2011 13:31 :

Gloops a écrit dans le message de news:j0sqhn$6hm$1@speranza.aioe.org

Herser a écrit, le 25/07/2011 23:48 :

Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout est
coché sauf :
- ligne 045
- ligne 061 et 062
- ligne 065
- ligne 082
Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree)
Si rapport plus complet, le renvoyer (corrigé des noms indiscrets
etc...)

Ah oui alors ça c'est quelque chose où ... je suis allé un peu v ite la
dernière fois. Cette fois j'ai corrigé les options, qui ne sont
effectivement pas celles par défaut.

Et alors ..... ? le nouveau log donne d'autres infos intéressantes ?

http://cjoint.com/?3GFsq11lxHL

Si je lis bien, deux analyseurs ont été lancés pour les rootkits, e t
n'ont rien trouvé, donc je ne sais toujours pas pourquoi RootkitReveale r
s'est planté après tentative d'enregistrer ses résultats.



Bon, l'autre jour j'ai fait les analyses VirusTotal, MBRcheck, et le
traitement AdRemover.

Pour ce qui est de AskBar, j'ai vu depuis que c'est SpywareTerminator
qui l'a installée, la pub apparaît sur leur pied de page web.

J'ai eu encore un écran bleu, j'ai eu le temps de voir le nom du pilote
(curieusement aucune trace dans l'observateur d'événements), et je l' ai
trouvé dans le répertoire de Emsisoft Anti-Malware, que j'ai lancé une
fois il y a quelques mois. Je l'avais désactivé dans le répertoire de
démarrage, mais il était resté en service automatique, que cette fo is
j'ai mis en manuel. J'en ai profité pour faire le ménage dans les
services, il y en avait effectivement quatre ou cinq qui n'avaient plus
lieu d'être. ça ne portait pas très loin à conséquence puisqu'i ls
renvoyaient à un programme dans le répertoire temporaire, qui est vid é à
chaque démarrage de session Windows.

J'espère que tu as passé une bonne nuit !

Un peu, mais ... pas suffisamment pour être sûr que j'ai couvert tous
les points. Et je dois démarrer un boulot bientôt, va falloir que je
trouve vite une solution.

PS : la plupart des rootkits qui s'installent de nos jours pour prendre
la main discrétement sur nos PC, sont de la famille des TDSS.
Un excellent outil pour les éradiquer : TDSSKiller de Kaspersky :
http://forum.malekal.com/tdsskiller-kaspersky-t28637.html

Si tu as des gros doutes, essaie !

Bon, j'essaie ça, et après je réessaie RootkitRevealer. Si ça ne marche
toujours pas, c'est que soit je suis tombé sur un sacrément costaud ( et
installé précocement sur la machine), soit c'est RootkitRevealer qui n'a
pas été bien installé, après tout il peut y avoir eu une autre ra ison
qu'un virus qui l'ait perturbé.

Gloops a écrit, le 31/07/2011 18:22 :

Bon, j'essaie ça, et après je réessaie RootkitRevealer. Si ça n e marche
toujours pas, c'est que soit je suis tombé sur un sacrément costaud (et
installé précocement sur la machine), soit c'est RootkitRevealer qu i n'a
pas été bien installé, après tout il peut y avoir eu une autre raison
qu'un virus qui l'ait perturbé.

Avec TDSSKILLER j'ai pu neutraliser un suspect, mais RootkitRevealer
n'est toujours pas plus capable d'enregistrer le résultat de son analys e
en format texte, en tout cas en étant lancé dans une fenêtre.

Il y a plusieurs versions, de TDSSKILLER, je me demande si il faut les
essayer toutes.

La fragmentation se limite à présent à une quarantaine de fichiers, les
vidéos se calment, au moins un instant, en surface la machine paraît
fonctionner correctement, mais je ne sais toujours pas ce qui s'est
passé, donc pas moyen de savoir si il se passe des choses en souterrain .
A ce stade le blocage de RootkitRevealer est sûrement le plus suspect.

Gloops a écrit, le 31/07/2011 18:22 :

Herser a écrit, le 29/07/2011 13:31 :

Gloops a écrit dans le message de news:j0sqhn$6hm$1@speranza.aioe.or g

Herser a écrit, le 25/07/2011 23:48 :

Vérifie dans ZHPDiag, icône "Options" (le tournevis) que tout es t
coché sauf :
- ligne 045
- ligne 061 et 062
- ligne 065
- ligne 082
Si ZHPDiag demande ensuite d'accepter sysinternal, accepte (I agree)
Si rapport plus complet, le renvoyer (corrigé des noms indiscrets
etc...)

Ah oui alors ça c'est quelque chose où ... je suis allé un peu vite la
dernière fois. Cette fois j'ai corrigé les options, qui ne sont
effectivement pas celles par défaut.

Et alors ..... ? le nouveau log donne d'autres infos intéressantes ?

http://cjoint.com/?3GFsq11lxHL

Si je lis bien, deux analyseurs ont été lancés pour les rootkits, et
n'ont rien trouvé, donc je ne sais toujours pas pourquoi RootkitRevea ler
s'est planté après tentative d'enregistrer ses résultats.



Bon, l'autre jour j'ai fait les analyses VirusTotal, MBRcheck, et le
traitement AdRemover.

Pour ce qui est de AskBar, j'ai vu depuis que c'est SpywareTerminator
qui l'a installée, la pub apparaît sur leur pied de page web.

J'ai eu encore un écran bleu, j'ai eu le temps de voir le nom du pilo te
(curieusement aucune trace dans l'observateur d'événements), et je l'ai
trouvé dans le répertoire de Emsisoft Anti-Malware, que j'ai lancé une
fois il y a quelques mois. Je l'avais désactivé dans le répertoir e de
démarrage, mais il était resté en service automatique, que cette fois
j'ai mis en manuel. J'en ai profité pour faire le ménage dans les
services, il y en avait effectivement quatre ou cinq qui n'avaient plus
lieu d'être. ça ne portait pas très loin à conséquence puisqu 'ils
renvoyaient à un programme dans le répertoire temporaire, qui est v idé à
chaque démarrage de session Windows.

J'espère que tu as passé une bonne nuit !

Un peu, mais ... pas suffisamment pour être sûr que j'ai couvert to us
les points. Et je dois démarrer un boulot bientôt, va falloir que j e
trouve vite une solution.

PS : la plupart des rootkits qui s'installent de nos jours pour prendr e
la main discrétement sur nos PC, sont de la famille des TDSS.
Un excellent outil pour les éradiquer : TDSSKiller de Kaspersky :
http://forum.malekal.com/tdsskiller-kaspersky-t28637.html

Si tu as des gros doutes, essaie !

Bon, j'essaie ça, et après je réessaie RootkitRevealer. Si ça n e marche
toujours pas, c'est que soit je suis tombé sur un sacrément costaud (et
installé précocement sur la machine), soit c'est RootkitRevealer qu i n'a
pas été bien installé, après tout il peut y avoir eu une autre raison
qu'un virus qui l'ait perturbé.

Assez amusantes, les propositions du correcteur orthographique :
contrevenante, pour RootkitRevealer
toussailler, pour TDSSKiller

Gloops a écrit dans le message de news:j13vg7$qsh$1@speranza.aioe.org

http://cjoint.com/?3GFsq11lxHL

Si je lis bien, deux analyseurs ont été lancés pour les rootkits, et
n'ont rien trouvé, donc je ne sais toujours pas pourquoi
RootkitRevealer s'est planté après tentative d'enregistrer ses
résultats.

Rootkit Revealer est toujours en v.1.71 datant de 2006
Même si c'est un outil de Russinovich, il vaut mieux utiliser Gmer ou
MBRCheck, à jour, eux
Donc pas de rootkit en vue, tant mieux.

Pour ce qui est de AskBar, j'ai vu depuis que c'est SpywareTerminator
qui l'a installée, la pub apparaît sur leur pied de page web.

C'est la mode ces logiciels qui installent autre chose.
Il faut bien surveiller les installations et décocher ce dont on ne veut
pas.

Je remarque que AskBar et les autres toolbars sont toujours présentes dans
ton rapport ZHPDiag
Peut-être n'était-ce pas le dernier rapport ?
http://www.commentcamarche.net/faq/25714-desinstaller-la-ask-toolbar

J'ai eu encore un écran bleu, j'ai eu le temps de voir le nom du
pilote (curieusement aucune trace dans l'observateur d'événements),
et je l'ai trouvé dans le répertoire de Emsisoft Anti-Malware, que
j'ai lancé une fois il y a quelques mois. Je l'avais désactivé dans
le répertoire de démarrage, mais il était resté en service
automatique, que cette fois j'ai mis en manuel. J'en ai profité pour
faire le ménage dans les services, il y en avait effectivement quatre
ou cinq qui n'avaient plus lieu d'être. ça ne portait pas très loin à
conséquence puisqu'ils renvoyaient à un programme dans le répertoire
temporaire, qui est vidé à chaque démarrage de session Windows.

Les BSOD sont parfois trop brutales pour laisser le temps d'inscrire
l'évènement.
Les systèmes n'aiment pas trop de antimachins
Or ton diagnostic révèle des traces de :
Avast comme AV et Online Armor comme FW : OK
Plus Crawler Spyware Terminator, A-Squared, et Spyware Terminator
Je supprimerais ces 3 derniers et garderais seulement MBAM, bien plus
performant, actuellement.
Avec un scan complet hebdomadaire après mise à jour.

Bon, j'essaie ça, et après je réessaie RootkitRevealer.

Laisse tomber Rootkit Revealer
Je pense que TDSSKiller ne trouvera rien, ZHPDiag aurait repéré un éventuel
TDSS
Java n'est pas à jour, c'est une des failles les plus utilisées
Actuellement en version 6.26 :
http://www.java.com/fr/download/

Donc en résumé pas de souci rootkit
Mais plein de barres inutiles et de processus superflus sur le rapport dont
je ne sais s'il est le bon !

Bonne semaine
Herser

Herser a écrit, le 31/07/2011 23:10 :

Gloops a écrit dans le message de news:j13vg7$qsh$1@speranza.aioe.org

http://cjoint.com/?3GFsq11lxHL

Si je lis bien, deux analyseurs ont été lancés pour les rootkits , et
n'ont rien trouvé, donc je ne sais toujours pas pourquoi
RootkitRevealer s'est planté après tentative d'enregistrer ses
résultats.

Rootkit Revealer est toujours en v.1.71 datant de 2006

Qu'il ne soit pas à jour, ça pourrait l'empêcher de détecter quel que
chose, pas d'écrire un fichier, si ?
Or, RootkitRevealer ne se base pas sur des signatures connues, mais sur
des écarts entre deux modes de lecture des tailles de fichiers. A ce qu e
je sache, depuis la création de Windows, ces modes de lecture n'ont pas
changé, si ?
Je ne m'attends pas à une mise à jour de RootkitRevealer au cours des
siècles à venir, sauf si les bases de Windows sont revues de fond en comble.
Mais à jour ou pas à jour, qu'un programme soit dans l'impossibilité
d'écrire quelque octet que ce soit dans un fichier, même un octet
périmé, il me semble que ça invite à s'interroger sur la cause.

Pour ce qui est de AskBar, j'ai vu depuis que c'est SpywareTerminator
qui l'a installée, la pub apparaît sur leur pied de page web.

C'est la mode ces logiciels qui installent autre chose.
Il faut bien surveiller les installations et décocher ce dont on ne v eut
pas.

Je remarque que AskBar et les autres toolbars sont toujours présentes
dans ton rapport ZHPDiag
Peut-être n'était-ce pas le dernier rapport ?
http://www.commentcamarche.net/faq/25714-desinstaller-la-ask-toolbar

Je n'ai pas relancé l'analyse ZHP depuis.

J'ai eu encore un écran bleu, j'ai eu le temps de voir le nom du
pilote (curieusement aucune trace dans l'observateur d'événements) ,
et je l'ai trouvé dans le répertoire de Emsisoft Anti-Malware, que
j'ai lancé une fois il y a quelques mois. Je l'avais désactivé d ans
le répertoire de démarrage, mais il était resté en service
automatique, que cette fois j'ai mis en manuel. J'en ai profité pour
faire le ménage dans les services, il y en avait effectivement quatr e
ou cinq qui n'avaient plus lieu d'être. ça ne portait pas très l oin à
conséquence puisqu'ils renvoyaient à un programme dans le répert oire
temporaire, qui est vidé à chaque démarrage de session Windows.

Les BSOD sont parfois trop brutales pour laisser le temps d'inscrire
l'évènement.

Pourtant, histoire de me narguer, cette fois-ci j'ai clairement vu un
compte à rebours en bas d'écran, qui a duré environ dix secondes, a près
il y a encore eu une seconde ou deux de réflexion, et ensuite on a
redémarré. Et toujours rien dans l'observateur d'événements. Je m e
demande si on n'aurait pas écrit des trucs mais ailleurs, auquel cas ç a
ne sert à rien puisqu'on ne les voit pas.

Les systèmes n'aiment pas trop de antimachins
Or ton diagnostic révèle des traces de :
Avast comme AV et Online Armor comme FW : OK
Plus Crawler Spyware Terminator, A-Squared, et Spyware Terminator
Je supprimerais ces 3 derniers et garderais seulement MBAM, bien plus
performant, actuellement.
Avec un scan complet hebdomadaire après mise à jour.

Tu crois que Spyware Terminator il y en a deux ?
Celui que je connais est en version 2.7.2.125, sa page de présentation
est là :
http://www.spywareterminator.com/fr/support/faq.aspx?faqid=1760&faqmod= SpyTerm_Help5

En bas on voit une pub pour Crawler.

Effectivement A-Squared, c'est le produit de Emsisoft, que j'avais
désactivé dans le répertoire de démarrage, mais dont il restait l e
service en mode automatique. Je l'ai désactivé en voyant qu'il
provoquait des écrans bleus, c'est à ce moment-là que j'ai aussi
supprimé les services résiduels temporaires, lancés a priori par
RootkitRevealer.
Sauf confusion de ma part. Dans le répertoire Emsisoft on voit plein de
programmes dont les noms commencent par a2.

Bon alors on va lancer MBAM de temps à autre ...

Bon, j'essaie ça, et après je réessaie RootkitRevealer.

Laisse tomber Rootkit Revealer

C'est louche, quand même, cette histoire.
Si je ne m'abuse les autres antirootkit cherchent des signatures, donc
des virus connus. RootkitRevealer, lui, cherche des symptômes. Ce qu'il
trouve ne constitue que des indices. Mais l'impossibilité d'écrire da ns
un fichier, ça vaudrait le coup de savoir pourquoi.

D'autant que les autres programmes peuvent écrire sans problème. Donc il
y a quelque chose qui bloque ce programme-là, et pas un autre. Et
seulement en mode fenêtre. En mode ligne de commande il peut écrire,
mais il trouve moins d'écarts.

J'ai déjà eu l'occasion d'utiliser RootkitRevealer par le passé, il
savait écrire dans un fichier.

Je pense que TDSSKiller ne trouvera rien, ZHPDiag aurait repéré un
éventuel TDSS
Java n'est pas à jour, c'est une des failles les plus utilisées
Actuellement en version 6.26 :
http://www.java.com/fr/download/

Ah oui Java ça craint. Ils font un téléchargement en session limité e, et
ensuite le moyen de le lancer avec les droits administrateur est tout
sauf évident. Donc, ça fait que le produit ne se met pas à jour.

SpywareTerminator fait pareil pour ses comptes-rendus de plantage : ils
bloquent les comptes-rendus, jusqu'au démarrage d'une session
administrateur, moment où ils sont assurés que le fil du réseau n'e st
pas branché sinon c'est qu'on n'a jamais lu les fiches de mises à jou r
mensuelles de Microsoft. Alors que les mises à jour de SpywareTerminato r
se passent bien, donc ils savent bien détecter une connexion à Intern et.

Donc en résumé pas de souci rootkit
Mais plein de barres inutiles et de processus superflus sur le rapport
dont je ne sais s'il est le bon !

Bon je relance ZHP alors ...
Et MBAM bientôt.

Bonne semaine

Merci, de même.

Gloops a écrit, le 01/08/2011 10:25 :

Bon je relance ZHP alors ...

http://cjoint.com/11au/AHbmwFiRMEn.htm