Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Comment éradiquer Hacktool.Rootkit ?

mejean

Par mejean
dans Analyses et éradication malwares

 Partager

Messages recommandés

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)
Notre prestataire de maintenance informatique a fait tourner plusieurs outils sans plus d'efficacité.
Si vous avez une boite qui se charge de ça, vous avez besoin des forums ?

 

Ces prestataires, en général, clonent le PC avec une version propre. Par contre le choix de Symantec, enfin bon, ce n'est pas qualité, c'est pratique à piloter quand on est administrateur réseau, mais côté détections, c'est nul, mais ils doivent le savoir. :P

mejean Member

mejean

Posté(e)
  • Auteur
Posté(e)
Si vous avez une boite qui se charge de ça, vous avez besoin des forums ?

 

Ces prestataires, en général, clonent le PC avec une version propre. Par contre le choix de Symantec, enfin bon, ce n'est pas qualité, c'est pratique à piloter quand on est administrateur réseau, mais côté détections, c'est nul, mais ils doivent le savoir. :P

 

 

Petite ville, petit prestataire... et pas toujours beaucoup d'efficacité. Donc, oui les forums sont plutôt parfois utiles.

 

 

Par contre le choix de Symantec, enfin bon, ce n'est pas qualité, c'est pratique à piloter quand on est administrateur réseau, mais côté détections, c'est nul, mais ils doivent le savoir. :P

 

La preuve...

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Il faudrait désactiver Symantec pour faire un rapport, parce que sinon, il bloque le fichier, et on ne verra rien.

mejean Member

mejean

Posté(e)
  • Auteur
Posté(e) (modifié)

Bon voilà,

 

Avant le formatage je tente l'opération de la dernière chance. lol

 

J'ai mis le HD sur un autre PC et fait un scan Symantec Endpoint Protection. Il a détecté 3 fichier infectés :

  • wcscd.sys dans C:WINDOWS/system32/drivers et C:WINDOWS/system32/dllcache (attention ce dernier n'est pas affiché même si on a coché "Afficher les fichiers et dossiers cachés, il faut tapé l'adresse pour y accéder !?)
  • ndis.sys dans C:WINDOWS/system32/drivers

 

J'ai supprimé les fichiers à la mains car Symantec Endpoint Protection ne pouvait les supprimer !? (Attention, visiblement ndis.sys est un fichier système utilise qui gère des drivers (je pense). Je l'ai donc remplacé par celui d'une machine propre)

 

Problème : je n'accède pas à la base des registres du HD pour une analyse (si quelqu'un sais comment faire...).

 

J'ai rebranché le HD sur le PC d'origine. Au démarrage, Windows me redemande une activation (?). Ce que j'ai pu faire sans problème.

 

J'ai lancé un scan rapide Symantec Endpoint Protection : Il n'a rien détecté ! :P

 

Comme Symantec c'est pas le top, j'ai fait une mise à jour et lancé Malwarebyte... Il m'a déjà trouvé 5 problèmes :P (il tourne en ce moment)

Modifié par mejean
mejean Member

mejean

Posté(e)
  • Auteur
Posté(e)

Ci-joint le rapport Malwarebyte :

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4060

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

03/05/2010 13:11:58

mbam-log-2010-05-03 (13-11-58).txt

 

Type d'examen: Examen complet (C:\|X:\|)

Elément(s) analysé(s): 149898

Temps écoulé: 2 heure(s), 10 minute(s), 5 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 3

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\CLSID\{a2ba40a0-74f1-52bd-f411-00b15a2c8953} (Trojan.Ertfor) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a2ba40a0-74f1-52bd-f411-00b15a2c8953} (Trojan.Ertfor) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a2ba40a0-74f1-52bd-f411-00b15a2c8953} (Trojan.Ertfor) -> No action taken.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a2ba40a0-74f1-52bd-f411-00b15a2c8953} (Trojan.Ertfor) -> No action taken.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\poste_info\Local Settings\Temp\~DF21BF.tmp (Trojan.Downloader) -> No action taken.

mejean Member

mejean

Posté(e)
  • Auteur
Posté(e) (modifié)

J'ai redémarré le PC afin de supprimer les problèmes détectés.

 

J'ai fais un nettoyage de la base des registres. CCleaner a notamment nettoyé des clés faisant référence au fichier msxsltsso.dll cité plus haut.

 

Je refais une analyse Malwarebyte...

Modifié par mejean
mejean Member

mejean

Posté(e)
  • Auteur
Posté(e)

Et non :P

 

Toujours des clés et valeurs infectées :

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4060

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

03/05/2010 13:41:15

mbam-log-2010-05-03 (13-41-15).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 160718

Temps écoulé: 3 minute(s), 10 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\gootkitsso (Trojan.GootKit) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Ecoute, si tu fais 50 trucs et tu décides toi-même de la suite des opérations, je ne pense pas t'être utile, dans ces conditions, pourquoi demander sur un forum, après avoir fait ceci ou cela ? :P

J'ai du mal à comprendre la démarche.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...