Besoin d'une analyse de rapports Gmer [terminé]

[arriabelle]

Bonjour tout le monde,

 

J'ai fait un scan avec Gmer en mode sans échec et en mode normal, les deux rapports sont complètement différents. J'aurais aimé que quelqu'un analyse les rapports pour me dire si je suis rootkitée ou pas. Merci beaucoup d'avance.

Modifié le 16 novembre 2008 par arriabelle

[Falkra]

Bonjour,

 

encore ?

 

Remarque, sans le rapport... ca va être dur.

[arriabelle]

C'est sur que ça va mieux aller avec les logs... ^^' Oui oui encore moi, comme je lis pleins de trucs sur la manière dont les malwares infectes le système, je finis toujours par regarder ce qui se trouves sur mon pc et probablement que je paniques pour rien au fond^^'. J'ai trouvés deux drivers bizarres aussi dans ma base de registre (j'y ai pas touché, juste regardé comment c'est fait) Isdrv122 qui selon ce que j'ai trouvé sur google, est pas très très gentil et MchInjDrv.sys, lui non plus pas très très gentil comme j'ai pu voir. Voici les clés de registre, suivies des logs Gmer.

 

- HKEY_LOCAL_MACHINE\CurrentControlSet\SYSTEM\Enum\Root\LEGACY_ISDRV122

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MCHINJDRV

 

MODE NORMAL

 

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2008-11-13 22:24:44

Windows 5.1.2600 Service Pack 3

 

 

---- System - GMER 1.0.14 ----

 

SSDT F904D71C ZwCreateThread

SSDT F904D708 ZwOpenProcess

SSDT F904D70D ZwOpenThread

SSDT F904D717 ZwTerminateProcess

SSDT F904D712 ZwWriteVirtualMemory

 

---- User code sections - GMER 1.0.14 ----

 

.text C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe[1604] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 5 Bytes JMP 0056DBBD C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)

 

---- Devices - GMER 1.0.14 ----

 

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

 

---- Files - GMER 1.0.14 ----

 

File C:\Documents and Settings\Usager\Local Settings\Temporary Internet Files\Content.IE5\KL63OXA3\videoByTag[4].xml 0 bytes

 

---- EOF - GMER 1.0.14 ----

 

Comme le log en mode sans échec est trop long pour pouvoir le poster ici, voici le lien pour le voir: http://www.woofiles.com/dl-181364-S64fcW9M-gmer.log

Modifié le 15 novembre 2008 par arriabelle

[Falkra]

Il faut laisser MchInjDrv.sys tranquille, c'est un driver utilisé par beaucoup de logiciels de sécurité ou nettoyage, comme a-squared et d'autres.

 

Il n'y a rien de nécessairement anormal dans ce rapport. Des tas de logiciels légitimes crées des clés de registre invisibles, planquent des fichiers, etc... les firewalls notamment, mais pas seulement.

AU fait, le log est vide sur voofiles.

 

Je crois que le principal problème, qui explique ces allées et venues inquiètes, et le décorticage systématique de l'OS, à trop regarder dedans (même sans symptômes problématiques), on finit par voir du malware partout.

[arriabelle]

Merci beaucoup.