[Résolu] Rootkit ou autre problème ?

[Thanos]

salut

 

Dans mes tentatives d'optimisation (ce portable est une vieille machine), aurais-je désactivé un service à tord ?

Non je pense plutôt à une restriction sur une clé de la base de registre plutôt.

On va faire un export comme ceci car le fichier reg aurait du fonctionner normalement >>

 

Rend toi sur cette page afin de télécharger le fichier show.bat sur ton Bureau => http://senduit.com/7cee55

Patiente une seconde: le téléchargement va se lancer automatiquement.

 

Double-clique sur le fichier: un rapport va apparaitre. Poste son contenu et élimine le fichier show.bat sur ton Bureau après ca.

 

N'y aurait-il pas un autre outil comparable à Sophos Anti-Rootkit pour confirmer/infirmer son analyse ?

Si bien sûr! mais on a déjà passé GMER qui n'a rien trouvé. Je vais me renseigner sur le résultat de Sophos pour voir si ce type de résultat est habituel.

Y-a-t-il un outil pour faire un re-format (de bas niveau ?) de la clef afin d'être sur de bien la nettoyer ?

Franchement je n'en connais pas mais un format simple devrait suffire

N'ayant plus de licence pour Kaspersky (j'utilise mes 3 licences), ça m'ennuie de lui demander d'en acheter une et je voudrais savoir si Avira AntiVir Personal (gratuit) pourrait être un remplaçant correct à la version d'éval de Kaspersky que j'ai mise pour l'installation de XP.

Tout à fait! Antivir est très performant (bien plus qu'Avast! ou AVG) et il protègera le pc.

 

Si tu l'installes >>

 

Télécharge Antivir sur le bureau, et installe le programme.

 

Mets Antivir à jour et configure le en suivant les indications du Tutoriel vidéo d'angelique

(les réglages sont identiques même si la la version décrite est en anglais).

 

Si tu as besoin de faire un scan du pc avec Antivir, voilà ce qu'il faudra faire >>

 

Double-clique sur son icône près de l'horloge: cela ouvre l'interface principale.

Clique ensuite sur "Contrôler syst." à droite de "Dernier contrôle syst. intégral".

/!\ Cela peut être long.

Tu peux sauvegarder le rapport en fin de parcours (bouton "Rapport").

 

Si Antivir détecte des fichiers infectés, mets les en quarantaine: choisis "Déplacer en quarantaine" dans la liste des actions.

Tu peux automatiser ce type d'action en cochant la case Appliquer la sélection à toutes les détections.

Cela permet de ne pas rester à la surveiller

[eusebe12]

salut

 

Désolé mais ton fichier show.bat n'est plus accessible (File has expired); le piège des 30 minutes par défaut ?

 

Pour l'erreur "error parsing raw registry hive S-1-5-18 ....." n'y a-t-il pas quelque chose que l'on puisse directement vérifier dans la BDR ? je ne sais pas trop à quoi cela fait référence.

 

Merci pour tes commentaires et instructions pour Antivir, je vais donc m'orienter vers cette solution pour ce poste; j'espère juste qu'il n'est pas trop gourmand en mémoire et CPU (il n'y en a pas de rab).

 

Bonne journée

 

Edit:

pour info, ton lien pour Antivir semble un peu obsolete; je pense que la derniere version est là :

 

Avira AntiVir Personal - FREE Antivirus, Version 9 - date: 2009-08-17, version: 9.0.0.67

 

à partir du site Avira : Téléchargement Avira

Modifié le 2 septembre 2009 par eusebe12

[Thanos]

salut

Pour l'erreur "error parsing raw registry hive S-1-5-18 ....." n'y a-t-il pas quelque chose que l'on puisse directement vérifier dans la BDR ? je ne sais pas trop à quoi cela fait référence.

Les erreurs détectées par Sophos Root-Kit tool indiquent simplement que le programme n'a pas pu accéder à une certaine ruche du registre. Ce qui ne veux pas dire que le pc est infecté. L'erreur est assez courante d'après ce qu'on peux en voir sur le net. Un bug du produit en somme.

j'espère juste qu'il n'est pas trop gourmand en mémoire et CPU (il n'y en a pas de rab).

Un des moins gourmands je pense !

pour info, ton lien pour Antivir semble un peu obsolete; je pense que la derniere version est là :

pourtant il s'agit bien de la même adresse de téléchargement ? je vais voir ca merci

 

Désolé pour le fichier show.bat Voici un nouveau lien >>> http://senduit.com/1dd0e6

[eusebe12]

Re-salut

 

J'ai tourné show.bat , voilà le résultat :

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled"=dword:00000001

"AntiVirusDisableNotify"=dword:00000000

"FirewallDisableNotify"=dword:00000000

"UpdatesDisableNotify"=dword:00000000

"AntiVirusOverride"=dword:00000000

"FirewallOverride"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 

J'ai aussi remplacé la démo Kaspersky par Avira, je confirme la version :

 

Version du produit 9.0.0.67 04/08/2009

Moteur de recherche 8.02.01.07 25/08/2009

Fichier de définitions des virus 7.01.05.195 02/09/2009

Control Center 9.00.00.18 17/06/2009

Config Center 9.00.00.21 20/02/2009

Luke Filewalker 9.00.03.07 21/07/2009

AntiVir Guard 9.00.01.32 21/07/2009

Filtre 9.00.03.15 28/07/2009

Planificateur 9.00.00.09 13/05/2009

Updater 9.00.00.52 21/07/2009

 

Nos liens respectifs pointent bien sur le même serveur, mais les produits sont différents

le tien est : antivir_workstation_winu_fr_h.exe

alors que le mien est : avira_antivir_personal_fr.exe , c'est la version ci-dessus.

 

Je l'ai configuré comme Angélique, mis à jour et lancé un scan complet; il n'a rien trouvé.

Effectivement, il semble raisonnable au niveau des ressources utilisées, en particulier au démarrage.

Par contre, pas de miracle, il ne déclenche pas d'alerte du centre de Sécurité lorsque Antivir Guard est désactivé, dommage.

Une autre idée ?

[eusebe12]

Bonjour Thanos,

rien de nouveau sur le sujet sauf que, puis qu'il ne se lance pas tout seul, j'ai lancé moi même le petit programme (C:\WINDOWS\system32\wscntfy.exe) en charge d'afficher l'alerte dans la zone de notification (avec le petit bouclier rouge), et ce, aprés avoir désactivé Antivir.

Il affiche bien l'alerte et, qui plus est, disparait lorsque l'on réactive l'antivirus.

Le problème est donc, pourquoi n'est-il pas activé automatiquement par le Centre de Sécurité, qui pourtant se met à jour lui aussi !

Moi pas comprendre.

Bon weekend

[Thanos]

salut

 

Fais la manip suivante stp >>

 

Clique sur Démarrer/Exécuter puis saisis: wscui.cpl

Dans la rubrique Protection Antivirus , clique sur le bouton Recommandations.

Cette case est elle cochée ? >>

J'ai une solution pare -feu que je gère moi-même.

Si c'est le cas, décoche la puis clique sur le bouton OK

Ensuite désactive Antivir Guard et dis moi si le Centre de Sécurité affiche une laerte ou pas.

[eusebe12]

Bonjour

 

Non, aucune de ces cases n'est cochée, ni pour le pare-feu ni pour l'antivirus et le centre de sécurité reconnait bien Outpost et Antivir; et lorsque je les désactive, il affiche bien désactivé et le bandeau passe au rouge pour repasser au vert dès que réactivé.

C'est juste l'icône d'alerte et l'info-bulle associé (" Il se peut que votre ordinateur coure un risque ......") qui ne s'affichent pas

[eusebe12]

Bonjour

 

Bon, comme mon amie commençait à avoir vraiment besoin de sa machine j'ai, en désespoir de cause, rechargé Windows.

Bien qu'ayant utilisé les mêmes composants (du moins je le pense), il n'y a plus le problème d'alerte du Centre de Sécurité; mais je n'ai pas eu le temps de refaire le test avec Sophos anti-rootkit.

Ce problème restera donc un mystère ...

Désolé de t'avoir fait perdre du temps la dessus, et peut-être à une autre fois (mais je ne le souhaite pas).

En tout cas merci encore pour ton aide.

Cordialement