Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Détection d'un rootkit par trend micro House Call (Résolu)

VioletSugar
 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut ;)

 

Non je ne t'ai pas oublié :) Je pense que c'est un faux positif, mais j'attends une confirmation. Je te réponds au plus vite! En attendant, et par précaution, je vais te demander de me poster le rapport d'un scan =>

 

Un petit scan supplémentaire avec un programme que tu vas pouvoir conserver: si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >>

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
    20091211135631.png
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complêt"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

VioletSugar Member

VioletSugar

Posté(e)
  • Auteur
Posté(e)

Coucou :)

 

Je n'arrive pas a faire l'analyse MBAM, car celui-ci reste bloqué sur un fichier pendant plus d'une heure à chaque fois:

 

C:\System Volume Information\SPP\SppgroupCache\{EA6D8841-57BD-4EC1-A283-1554B425FCC3}_WindowsUpdateInfo

 

De plus, j'ai analysé mon pc avec AVG anti rootkit, qui m'a detecté encore un soit disant rootkit "hidden file" dans

 

c:\windows\system32\SearchProtocolHost.exe

 

d'après ce que j'ai vu sur le net, c'est un fichier windows officiel mais bon j'attends ton avis ;)

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut ;)

 

Je n'arrive pas a faire l'analyse MBAM, car celui-ci reste bloqué sur un fichier pendant plus d'une heure à chaque fois:

Il s'agit du dossier où Windows stocke les points de restauration système.

On va vider la restauration puis tu referas le scan: suit le tutoriel en images pour cela et clique sur le bouton Supprimer comme indiqué ici => Désactiver/Réactiver la restauration système de Windows 7

 

De plus, j'ai analysé mon pc avec AVG anti rootkit, qui m'a detecté encore un soit disant rootkit "hidden file" dans

 

c:\windows\system32\SearchProtocolHost.exe

Peux tu produire le rapport stp ? c'est un fichier légitime appartenant à Windows.

 

A propos de cette détection d'Housecall, une suggestion d'un collègue:

 

Lance le gestionnaire des tâches: clic droit sur la barre des tâches > Gestionnaire des tâches puis sélectionne l'onglet Processus.

Repère le processus nommé APLangApp.exe

Fais un clic droit dessus > Terminer le processus (réponds OUI au message qui s'affiche). Le processus ne doit plus apparaitre dans la liste.

Relance le scan Housecall et dis moi si le rootkit est toujours détecté.

VioletSugar Member

VioletSugar

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonsoir :)

 

Merci beaucoup de prendre du temps pour m'aider ! ;)

 

Depuis que j'ai désinstallé firefox, le premier rootkit n'est plus détécté. Je vais néammoins suivre le conseil de ton collègue.

 

Je te posterai les rapports ce week end, car j'ai un exam' à passer demain et pas beaucoup de temps !

 

bonne soirée !

Modifié par VioletSugar
  • Upvote 1
VioletSugar Member

VioletSugar

Posté(e)
  • Auteur
Posté(e)

Bonsoir Thanos :)

Merci pour les exams, je pense avoir a peu prés geré!(enfin j'espere!)

 

Revenons à nos moutons :)

 

-Avg Antirootkit ne détecte plus rien, alors que je n'ai effectué aucune action particulière :mhh:

 

-J'ai toujours le même problème avec MBAM, qui bloque toujours sur le même fichier, alors que j'ai desactivé les restaurations.

 

Bonne soirée !!

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut ;)

 

-Avg Antirootkit ne détecte plus rien, alors que je n'ai effectué aucune action particulière :mhh:

Ca ressemble à une erreur de détection. (fichier légitime) On va s'en assurer =>

 

Rend toi à cette adresse => VirusTotal - Free Online Virus and Malware Scan

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> c:\windows\system32\SearchProtocolHost.exe

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Note: il arrive parfois que le fichier ait déjà été analysé. Si c'est le cas, clique sur le bouton Reanalyse file now

 

Petite question: est ce toi qui a installé le programme AnyPC ?

VioletSugar Member

VioletSugar

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour Thanos,

 

Je ferai l'analyse avec virustotal ce soir ou demain, car je suis sur un autre pc pour le moment. :)

 

Je n'ai jamais installé "anypc", d'ailleurs je ne sais même pas ce que c'est, mais il me semble que cela était pré installé dans mon ordinateur, car j'avais fait une analyse hijackthis peu de temps aprés l'avoir acheté (il y a deux mois) et ce fichier était déjà présent.

D'aprés ce que je viens de voir sur le net, c'est un logiciel qui permet de prendre le contrôle d'un ordinateur à distance.

Or, Failsafe est préinstallé sur ma machine. Peut-être que ce programme fait partie de Failsafe ?

Pense tu que je doive désinstaller AnyPC?

 

Bonne journée ;)

Modifié par VioletSugar

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...