- lun. 8 déc. 2014 12:25
#152977
Bonjour tout le monde
Toujours dans mes recherches avec des erreurs Java et Flash et après analyse du PC avec Rogue killer celui-ci me trouve des rootkits …
J’ai beau faire le nettoyage ceux cis reviennent ….
RK me renvoie aussi sur cette page
http://www.adlice.com/fr/rootkits-noyau ... res-noyau/
Je poste le rapport RK
RogueKiller V10.0.8.0 (x64) [Nov 20 2014] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com
Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en : Mode normal
Utilisateur : PCVIC [Administrateur]
Mode : Scan -- Date : 12/08/2014 11:59:37
¤¤¤ Processus : 0 ¤¤¤
¤¤¤ Registre : 8 ¤¤¤
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 -> Trouvé(e)
¤¤¤ Tâches : 0 ¤¤¤
¤¤¤ Fichiers : 0 ¤¤¤
¤¤¤ Fichier Hosts : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost
¤¤¤ Antirootkit : 5 (Driver: Chargé) ¤¤¤
[Filter(Kernel.Filter)] \Driver\atapi @ \Device\Ide\IdeDeviceP1T0L0-1 : \Driver\Thpdrv @ \Device\THPDRV1 (\SystemRoot\system32\DRIVERS\Thpevm.SYS)
[Filter(Kernel.Filter)] \Driver\atapi @ \Device\Ide\IdeDeviceP0T0L0-0 : \Driver\Thpdrv @ \Device\THPDRV2 (\SystemRoot\system32\DRIVERS\Thpevm.SYS)
[IAT:Inl] (explorer.exe @ kernel32.dll) ntdll.dll - NtWriteVirtualMemory : Unknown @ 0x77e20018 (jmp 0x15e9c8)
[IAT:Inl] (explorer.exe @ KERNELBASE.dll) ntdll.dll - NtWriteVirtualMemory : Unknown @ 0x77e20018 (jmp 0x15e9c8)
[IAT:Inl] (explorer.exe @ avghooka.dll) ntdll.dll - NtWriteVirtualMemory : Unknown @ 0x77e20018 (jmp 0x15e9c8)
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK5055GSX ATA Device +++++
--- User ---
[MBR] c20aa52a3c13e00ec2c3b5b11876ffe7
[BSP] a4f0373b3d04ab6f3c9a48630c2fa585 : HP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 476938 MB
User = LL1 ... OK
User = LL2 ... OK
+++++ PhysicalDrive1: TOSHIBA MK5055GSX ATA Device +++++
--- User ---
[MBR] dcf892ec47cc82f7c6108d0d960516c3
[BSP] 28d6bd9e1bb94037e8f3ad82c1959a35 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 821248 | Size: 238530 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 489330688 | Size: 238009 MB
User = LL1 ... OK
User = LL2 ... OK
En esperant y voir plus clair grace a vous car cela commence a etre agacant ....
VICTOR
Toujours dans mes recherches avec des erreurs Java et Flash et après analyse du PC avec Rogue killer celui-ci me trouve des rootkits …
J’ai beau faire le nettoyage ceux cis reviennent ….
RK me renvoie aussi sur cette page
http://www.adlice.com/fr/rootkits-noyau ... res-noyau/
Je poste le rapport RK
RogueKiller V10.0.8.0 (x64) [Nov 20 2014] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com
Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en : Mode normal
Utilisateur : PCVIC [Administrateur]
Mode : Scan -- Date : 12/08/2014 11:59:37
¤¤¤ Processus : 0 ¤¤¤
¤¤¤ Registre : 8 ¤¤¤
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-3600596217-935249159-3646576446-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 -> Trouvé(e)
¤¤¤ Tâches : 0 ¤¤¤
¤¤¤ Fichiers : 0 ¤¤¤
¤¤¤ Fichier Hosts : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost
¤¤¤ Antirootkit : 5 (Driver: Chargé) ¤¤¤
[Filter(Kernel.Filter)] \Driver\atapi @ \Device\Ide\IdeDeviceP1T0L0-1 : \Driver\Thpdrv @ \Device\THPDRV1 (\SystemRoot\system32\DRIVERS\Thpevm.SYS)
[Filter(Kernel.Filter)] \Driver\atapi @ \Device\Ide\IdeDeviceP0T0L0-0 : \Driver\Thpdrv @ \Device\THPDRV2 (\SystemRoot\system32\DRIVERS\Thpevm.SYS)
[IAT:Inl] (explorer.exe @ kernel32.dll) ntdll.dll - NtWriteVirtualMemory : Unknown @ 0x77e20018 (jmp 0x15e9c8)
[IAT:Inl] (explorer.exe @ KERNELBASE.dll) ntdll.dll - NtWriteVirtualMemory : Unknown @ 0x77e20018 (jmp 0x15e9c8)
[IAT:Inl] (explorer.exe @ avghooka.dll) ntdll.dll - NtWriteVirtualMemory : Unknown @ 0x77e20018 (jmp 0x15e9c8)
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK5055GSX ATA Device +++++
--- User ---
[MBR] c20aa52a3c13e00ec2c3b5b11876ffe7
[BSP] a4f0373b3d04ab6f3c9a48630c2fa585 : HP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 476938 MB
User = LL1 ... OK
User = LL2 ... OK
+++++ PhysicalDrive1: TOSHIBA MK5055GSX ATA Device +++++
--- User ---
[MBR] dcf892ec47cc82f7c6108d0d960516c3
[BSP] 28d6bd9e1bb94037e8f3ad82c1959a35 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 821248 | Size: 238530 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 489330688 | Size: 238009 MB
User = LL1 ... OK
User = LL2 ... OK
En esperant y voir plus clair grace a vous car cela commence a etre agacant ....
VICTOR
FLTL_BYjpe18