ndisrd.sys détecté par ZHP comme un virus

[Aguero10]

Bonsoir,

 

Depuis quelques temps ZHP me détecte C:\Windows\System32\DRIVERS\ndisrd.sys comme étant un virus, et comme il a l'air d'être un fichier système je n'ose pas trop y toucher..

Par ailleurs j'ai remarqué que Sun Microsystems n'est jamais à jour..

Voici le scan

 

Merci d'avance !!

Modifié le 22 décembre 2012 par Aguero10

[pear]

Bonjour,

 

C'est bien un trojan!

 

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

 

Ceci va vérifier si les logiciels sont à jour ou non et l'indiquer sur l'interface graphique ou sur un rapport.

Il vous faudra faire les mises à jour demandées

Des boutons permettent un accès direct au lancement de la mise à jour ou au téléchargement de celle-ci selon. (Flash player, ouverture du ou des navigateurs dont l'activeX et/ou le plugin n'est pas à jour.

Télécharger Sx Checkupdate

Cliquez sur Rapports

[Aguero10]

J'avais déjà essayé Mbam, sans résultat, je ne vois vraiment pas quel logiciel utiliser pour l'éliminer..

Voici quand même le rapport:

------------------------------

Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.12.26.11

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Aurel :: AUREL-PC [administrateur]

 

26/12/2012 19:45:50

mbam-log-2012-12-26 (19-45-50).txt

 

Type d'examen: Examen complet (C:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 506427

Temps écoulé: 9 minute(s), 33 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

------------------------------

 

Tout est ok selon SX, bizarre bizarre..

 

J'ai une question aussi, j'ai vu qu'il y avait une version Helper plus pratique pour ZHP.

Personnellement j'ai quelques connaissances dans ce domaine, suffisamment pour réparer/construire/désinfecter les PCs de mon entourage.

Je devine cependant qu'il faut "faire ses preuves" sur le forum avant de l'avoir, aussi je me demandais ce qu'il fallait faire concrètement pour y avoir droit.

[pear]

Essayez de le supprimer là:

C:\Windows\System32\DRIVERS\ndisrd.sys

 

Télécharger sur le bureauOTM by OldTimer .

Double-clic sur OTM.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Dans le cadre gauche, "Paste Instructions...."

* Copiez /Collez les lignes ci dessous) en vert:

:Processes

ndisrd

 

:Services

ndisrd

 

:Files

C:\Windows\System32\DRIVERS\ndisrd.sys

 

:Commands

[purity]

[emptytemp]

[Reboot]

Revenez dans OTM,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

Click le bouton rouge Moveit!

Fermez OTM

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTM\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

[/color]

[Aguero10]

Le problème si je le supprime c'est que je n'ai plus internet de disponible, j'ai beau chercher sur internet à quoi sert ce driver je ne trouve pas, je sais juste qu'il est lié au réseau..

Je suis connecté par Wi-fi, tous mes drivers sont à jour.

[pear]

Ceci apparait à l'examen de votre rapport:

 

O64 - Services: CurCS - 12/08/2011 - C:\Windows\System32\DRIVERS\ndisrd.sys (ndisrd) .(.NT Kernel Resources - NDISRD helper driver.) - LEGACY_NDISRD => Infection Diverse (Trojan.Interrupdate

 

A vous lire, ce serait un faux positif ?

 

Pour en avoir le coeur net,:

 

Avant d'aller plus loin, faites cette vérification, svp:

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

Rendez vous à cette adresse:

Cliquez sur parcourir(Choose File) pour trouver ces fichiers

C:\Windows\System32\DRIVERS\ndisrd.sys

et cliquez sur "envoyer le fichier"(Scan it)

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

[Aguero10]

J'avais aussi déjà essayé avec Virustotal, sans résultat non plus..

Par contre étant donné que je ne peux selectionner quasiment aucun fichier du dossier driver depuis Virustotal, j'ai copié-collé ndisrd.sys sur le Bureau, et d'ici je peux le scanner.

Voici le résultat:

-------------------------

SHA256: a3a36ec755a63255e6505f22bbea4c5ab6c76190d4f60645cf5fa26742fd6d5b

SHA1: 78f1bb6ce9fbd38acf08d908f86757fe94d3e34e

MD5: de4cef317628f50b576673964a8c712b

File size: 31.6 KB ( 32360 bytes )

File name: ndisrd.sys

File type: unknown

Detection ratio: 0 / 45

Analysis date: 2012-12-27 11:17:50 UTC ( 1 minute ago )

-------------------------

[pear]

Dans ce cas, considérez le comme légitime indiquez le dans les exceptions de votre antivirus.

[Aguero10]

Ok, bizarre quand même que seul ZHP l'indique comme un trojan..