Sujet Précédent Sujet Suivant

Rapport RogueKiller IRP HOOK

Résolu/Fermé
flo89 - Modifié par flo89 le 6/09/2014 à 17:21
 Utilisateur anonyme - 7 sept. 2014 à 15:18
Bonjour,

J'ai lancé une analyse avec RogueKiller et j'ai du mal à analyser son rapport, notamment la partie sur les AntiRootkits (en gras).

S'agit-t-il d'une menace? Que faire?

Merci d'avance pour votre aide.


Pour info j'ai lancé une analyse Avast et une analyse MalwareBytes, rien à signaler de ce côté.




RogueKiller V9.2.9.0 (x64) [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : https://www.adlice.com/softwares/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarrage : Mode normal
Utilisateur : Florent [Droits d'admin]
Mode : Recherche -- Date : 09/06/2014 16:08:10

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 10 ¤¤¤
[PUM.StartMenu] (X64) HKEY_USERS\S-1-5-21-1699421563-1006993641-2509406039-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0 -> TROUVÉ
[PUM.StartMenu] (X86) HKEY_USERS\S-1-5-21-1699421563-1006993641-2509406039-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0 -> TROUVÉ
[PUM.StartMenu] (X64) HKEY_USERS\S-1-5-21-1699421563-1006993641-2509406039-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0 -> TROUVÉ
[PUM.StartMenu] (X86) HKEY_USERS\S-1-5-21-1699421563-1006993641-2509406039-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0 -> TROUVÉ
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> TROUVÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> TROUVÉ
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-1699421563-1006993641-2509406039-1010-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main | Start Page : http://asus.msn.com -> TROUVÉ
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-1699421563-1006993641-2509406039-1010-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main | Start Page : http://asus.msn.com -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 7 (Driver: CHARGE) ¤¤¤
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_CREATE[0] : Unknown @ 0x43d62c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_CLOSE[2] : Unknown @ 0x43d62c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0x43d62c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0x43d62c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_POWER[22] : Unknown @ 0x43d62c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0x43d62c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_PNP[27] : Unknown @ 0x43d62c0

¤¤¤ Navigateurs web : 3 ¤¤¤
[PUM.Proxy][FIREFX:Config] koxdf18y.default : user_pref("network.proxy.http", "172.16.0.1"); -> TROUVÉ
[PUM.Proxy][FIREFX:Config] koxdf18y.default : user_pref("network.proxy.http_port", 3129); -> TROUVÉ
[PUM.Proxy][FIREFX:Config] koxdf18y.default : user_pref("network.proxy.type", 4); -> TROUVÉ

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST932032 5AS SCSI Disk Device +++++
--- User ---
[MBR] dacefda7334427c4ba596b95f4a2421b
[BSP] 430eaf6ed8558d670d2c84579f07828f : HP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 14997 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 30716280 | Size: 76308 MB
2 - [XXXXXX] EXTEN-LBA (0xf) [VISIBLE] Offset (sectors): 186996600 | Size: 213935 MB
User = LL1 ... OK
Error reading LL2 MBR! ([1] Fonction incorrecte. )


============================================
RKreport_SCN_09062014_143047.log - RKreport_DEL_09062014_151540.log



9 réponses

Réponse 1 / 9
Utilisateur anonyme
6 sept. 2014 à 18:43
bonsoir

rien de particulier pour l'anti rootkit.

mais par contre:
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Scanner] puis patiente le temps du scan.
Une fois le scan terminé clique sur le bouton [Nettoyer]
Patiente durant le nettoyage. Lis le message qui apparaît, puis clique sur Ok . Le PC va être redémarré automatiquement et le rapport s'ouvrira à la fin du redémarrage.
Poste le rapport

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

A lire :
Les programmes potentiellement indésirables :
https://www.malekal.com/adwares-pup-protection/

Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=


@+
1
Réponse 2 / 9
Utilisateur anonyme
6 sept. 2014 à 21:09
Re

Télécharge Malwaresbytes anti malware ici
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

--->> Installe le (choisis bien français ); ne modifie pas les paramètres d'installe
--->> Décoche la case Activer l'essai gratuit de Malwarebytes Anti-Malware Premium à la fin de l'installation
--->> /!\ Utilisateurs de Vista/7/8/8.1 : faire un clic droit sur le raccourci de MalwareBytes' Anti-Malware et choisir Exécuter en tant qu'administrateur
--->> Clique sur Mettre à jour dans le Tableau de bord afin de mettre à jour la base de données.
--->> Dans l'onglet Examen, sélectionnez Examen Menaces puis clique sur Examiner maintenant.
--->> Une fois le scan terminé, clique sur Tout mettre en quarantaine puis sur Appliquez les actions

--->> (Si un message demande de redémarrer le PC pour terminer la suppression, accepte)

--->> Le rapport est disponible dans Historique > Journaux de l'application. (Choisis bien le dernier en date
Tu sélectionnes le fichier et tu demandes l'affichage
En bas à gauche un bouton exporter ; tu cliques dessus et tu choisis fichier texte et tu choisis ensuite ou l'enregistrer pour ensuite pouvoir le poster dans ta prochaine réponse

Merci

@+
1
Réponse 3 / 9
Utilisateur anonyme
7 sept. 2014 à 09:04
Bonjour

On nettoie et finalise.

1) Vide la quarantaine de Malwaresbytes.

2)Télécharge DelFix de Xplode

Lance le.
Tu as 5 choix :

Réactiver l'UAC
Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
Purger la restauration de système
Réinitialisation des paramètres usine

Tu coches ceux qui sont en gras ci-dessus
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt



Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

@+
1
Réponse 4 / 9
flo89
6 sept. 2014 à 21:07
Bonsoir,

Merci pour cette réponse rapide.

Voici le rapport d'adwcleaner


# AdwCleaner v3.309 - Rapport créé le 06/09/2014 à 21:00:26
# Mis à jour le 02/09/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Florent - FLORENT-PC
# Exécuté depuis : C:\Users\Florent\Desktop\adwcleaner_3.309.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\SearchProtect
Dossier Supprimé : C:\Program Files (x86)\BrowseSmart
Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\Program Files (x86)\SearchProtect
Dossier Supprimé : C:\Users\Florent\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Florent\AppData\Local\OpenCandy
Dossier Supprimé : C:\Users\Florent\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Florent\AppData\Roaming\SearchProtect
Dossier Supprimé : C:\Users\Florent\AppData\Roaming\Uniblue
Dossier Supprimé : C:\Users\Work\AppData\Roaming\SearchProtect
Fichier Supprimé : C:\Users\Florent\AppData\Local\CRE\hakpajgggjjcjmidfbnnncnbaihjneaj.crx
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Users\Florent\AppData\Roaming\Mozilla\Firefox\Profiles\koxdf18y.default\searchplugins\daemon-search.xml
Fichier Supprimé : C:\Users\Florent\AppData\Roaming\Mozilla\Firefox\Profiles\koxdf18y.default\searchplugins\web-search.xml
Fichier Supprimé : C:\Users\Florent\AppData\Roaming\Mozilla\Firefox\Profiles\koxdf18y.default\user.js

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\hakpajgggjjcjmidfbnnncnbaihjneaj
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\hakpajgggjjcjmidfbnnncnbaihjneaj
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\speedupmypc
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\registrybooster_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\registrybooster_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\updateBrowseSmart_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\updateBrowseSmart_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\utilBrowseSmart_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\utilBrowseSmart_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_openoffice-org_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_openoffice-org_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{3E288F79-03E4-4983-A48E-0D879B51FF19}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4FC7-90CC-5EA0ABBE9EB8}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{32099AAC-C132-4136-9E9A-4E364A424E17}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{CCC7A320-B3CA-4199-B1A6-9F516DD69829}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32099AAC-C132-4136-9E9A-4E364A424E17}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{08C06D61-F1F3-4799-86F8-BE1A89362C85}]
Valeur Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{32099AAC-C132-4136-9E9A-4E364A424E17}]
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\dt soft\daemon tools toolbar
Clé Supprimée : HKCU\Software\Grand Virtual
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\AVG Security Toolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\dt soft\daemon tools toolbar
Clé Supprimée : HKLM\SOFTWARE\Messenger Plus!\OpenCandy
Clé Supprimée : HKLM\SOFTWARE\SearchProtect
Clé Supprimée : HKLM\SOFTWARE\Trymedia Systems
Clé Supprimée : HKLM\SOFTWARE\Uniblue
Clé Supprimée : HKLM\SOFTWARE\yuna software

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17239


-\\ Mozilla Firefox v32.0 (x86 fr)

[ Fichier : C:\Users\Florent\AppData\Roaming\Mozilla\Firefox\Profiles\koxdf18y.default\prefs.js ]

Ligne Supprimée : user_pref("CT3285358_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\":1365964678805,\"isWithState\":\"\",\"timeFromStart\":0,\"timeFromPrev\":0}]");
Ligne Supprimée : user_pref("Smartbar.ConduitHomepagesList", "hxxp://search.conduit.com/?ctid=CT3285358&octid=CT3285358&SearchSource=61&CUI=UN38912300352101723&UM=2&UP=SP61F3F9CE-3288-45BE-8B7E-CC388B15DE64");
Ligne Supprimée : user_pref("Smartbar.SearchFromAddressBarSavedUrl", "hxxp://startsear.ch/?q=");
Ligne Supprimée : user_pref("browser.search.defaultthis.engineName", "01NET.com Main Customized Web Search");
Ligne Supprimée : user_pref("extensions.greasemonkey.scriptvals.antikiller/AntiGame.JUPITER_FRTimeZoneDelta", 0);
Ligne Supprimée : user_pref("extensions.greasemonkey.scriptvals.antikiller/AntiGame.KASSIOPEIA_FRTimeZoneDelta", 0);
Ligne Supprimée : user_pref("extensions.greasemonkey.scriptvals.antikiller/AntiGame.UNI102_FRTimeZoneDelta", 0);
Ligne Supprimée : user_pref("extensions.greasemonkey.scriptvals.antikiller/AntiGame.UNI107_FRTimeZoneDelta", 0);
Ligne Supprimée : user_pref("extensions.greasemonkey.scriptvals.antikiller/AntiGame.UNI110_FRTimeZoneDelta", 0);
Ligne Supprimée : user_pref("extensions.greasemonkey.scriptvals.antikiller/AntiGame.UNI111_FRTimeZoneDelta", 0);
Ligne Supprimée : user_pref("extensions.greasemonkey.scriptvals.antikiller/AntiGame.UNI21_FRTimeZoneDelta", 0);
Ligne Supprimée : user_pref("extensions.greasemonkey.scriptvals.antikiller/AntiGame.UNI46_FRTimeZoneDelta", 0);
Ligne Supprimée : user_pref("extensions.greasemonkey.scriptvals.antikiller/AntiGame.UNI52_FRTimeZoneDelta", 0);
Ligne Supprimée : user_pref("extensions.greasemonkey.scriptvals.antikiller/AntiGame.UNI59_FRTimeZoneDelta", 0);
Ligne Supprimée : user_pref("extensions.greasemonkey.scriptvals.antikiller/AntiGame.UNI60_FRTimeZoneDelta", 0);
Ligne Supprimée : user_pref("extensions.greasemonkey.scriptvals.antikiller/AntiGame.UNI63_FRTimeZoneDelta", 0);
Ligne Supprimée : user_pref("foxgame.userprefs.foxgameDeltaTime-uni17.ogame.fr", "2864");
Ligne Supprimée : user_pref("foxgame.userprefs.foxgameDeltaTime-uni46.ogame.fr", "7147");
Ligne Supprimée : user_pref("foxgame.userprefs.foxgameDeltaTime-uni55.ogame.fr", "1401");
Ligne Supprimée : user_pref("foxgame.userprefs.foxgameDeltaTime-uni59.ogame.fr", "11574");
Ligne Supprimée : user_pref("foxgame.userprefs.foxgameDeltaTime-uni63.ogame.fr", "29289");
Ligne Supprimée : user_pref("smartbar.machineId", "EEGVCVRRIWB/KYYLGE7D6J1VUXDMSV9MINV5F5AYGUGVQM/3SJ8LACGJ7GCPGOJO6OX1OR8B+LVT7TNOOEA4KG");
Ligne Supprimée : user_pref("vshare.install.date", "1316373129");
Ligne Supprimée : user_pref("vshare.install.finished", "1.0.0");
Ligne Supprimée : user_pref("vshare.install.fresh", "false");
Ligne Supprimée : user_pref("vshare.install.guid", "{3665254d-f64a-4ead-8086-8c48a96302b0}");
Ligne Supprimée : user_pref("vshare.install.istoolbarhp", true);
Ligne Supprimée : user_pref("vshare.install.istoolbarsearch", true);
Ligne Supprimée : user_pref("vshare.install.newtab", false);

[ Fichier : C:\Users\Work\AppData\Roaming\Mozilla\Firefox\Profiles\kb9r1zxg.default\prefs.js ]


-\\ Google Chrome v37.0.2062.103

[ Fichier : C:\Users\Florent\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Supprimée [Search Provider] : hxxp://search.conduit.com/Results.aspx?q={searchTerms}&SearchSource=49&cui=UN41309957082433317&ctid=CT3285358&UM=2
Supprimée [Extension] : hakpajgggjjcjmidfbnnncnbaihjneaj

[ Fichier : C:\Users\Work\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Supprimée [Extension] : dhdepfaagokllfmhfbcfmocaeigmoebo
Supprimée [Extension] : fbmimoidopbghbcmdmpkjaffffmcbmbg
Supprimée [Extension] : hphibigbodkkohoglgfkddblldpfohjl
Supprimée [Extension] : kdcnnmifdmlmjffdgeieikcokcogpbej
Supprimée [Extension] : kincjchfokkeneeofpeefomkikfkiedl
Supprimée [Extension] : kkkeikdkpjenmoiicggnnodbkebafgpc
Supprimée [Extension] : pgmfkblbflahhponhjmkcnpjinenhlnc

*************************

AdwCleaner[R0].txt - [9913 octets] - [06/09/2014 20:07:48]
AdwCleaner[S0].txt - [9732 octets] - [06/09/2014 21:00:26]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [9792 octets] ##########
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
floo89 Messages postés 4 Date d'inscription samedi 6 septembre 2014 Statut Membre Dernière intervention 7 septembre 2014
6 sept. 2014 à 21:41
Re,

J'avais déjà lancé MalwareBytes il y a 2 jours, il avait trouvé quelques malwares, mais je relance, ça fait pas de mal.

Par contre il m'est arrivé quelque chose d'étrange avec Avast.

Hier j'ai lancé un scan minutieux, Avast me donne 700 fichiers positifs dans le répertoire C:\Windows\winsxs.
J'arrête le scan et je lance un scan au démarrage de l'ordinateur...et là rien, 0 positifs alors qu'il ne me semble pas qu'avast ait fait quelque chose sur les fichiers précédents.

On voit mal sur l'image mais c'est une partie des fichiers détectés, avec le commentaire "Rootkit: hidden file"
0
Réponse 6 / 9
floo89 Messages postés 4 Date d'inscription samedi 6 septembre 2014 Statut Membre Dernière intervention 7 septembre 2014
7 sept. 2014 à 00:05
Voici le rapport MalwareBytes de ce soir.

Merci

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 06/09/2014
Heure de l'examen: 21:25:15
Fichier journal: m bam.txt
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.09.06.07
Base de données Rootkits: v2014.08.21.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Florent

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 424101
Temps écoulé: 2 h, 15 min, 3 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Activé(e)
Examen approfondi Rootkits: Activé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 0
(No malicious items detected)

Secteurs physiques: 0
(No malicious items detected)


(end)
0
Réponse 7 / 9
floo89 Messages postés 4 Date d'inscription samedi 6 septembre 2014 Statut Membre Dernière intervention 7 septembre 2014
7 sept. 2014 à 11:24
Merci beaucoup pour l'aide apportée et la rapidité des réponses.

Voici le rapport:

# DelFix v10.8 - Rapport créé le 07/09/2014 à 11:09:09
# Mis à jour le 29/07/2014 par Xplode
# Nom d'utilisateur : Florent - FLORENT-PC
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\Users\Florent\Desktop\mbar
Supprimé : C:\rkill.log
Supprimé : C:\Users\Florent\Desktop\adwcleaner_3.309.exe
Supprimé : C:\Users\Florent\Desktop\RKreport_DEL_09062014_151540.log
Supprimé : C:\Users\Florent\Downloads\RogueKillerX64.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner

~ Purge de la restauration système ...

Supprimé : RP #794 [Point de contrôle planifié | 09/06/2014 18:44:39]

Nouveau point de restauration créé !

########## - EOF - ##########
0
Réponse 8 / 9
Utilisateur anonyme
7 sept. 2014 à 13:55
Re

je te propose donc de mettre ce sujet en résolu.

@+
0
Réponse 9 / 9
floo89 Messages postés 4 Date d'inscription samedi 6 septembre 2014 Statut Membre Dernière intervention 7 septembre 2014
7 sept. 2014 à 14:37
A plus,

Bonne journée.

Par contre je ne peux pas mettre en résolu, j'ai créé le post en tant que non membre et j'ai effacé les cookies.
0
Utilisateur anonyme
7 sept. 2014 à 15:18
je m'en occupe.
0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
Avis sur RogueKiller ???
registek34 -
Ysis -

5 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
impossible d'afficher le tableau dynamique sur un rapport existant
Pierre -
Adrien71 -

3 réponses
1fichier.com et bloqueur de pub
anthea1309 -
Patoche12 -

60 réponses